GPDR – KKVK

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. (MUCH BETTER TRAVEL – Agency Number : 14112)

PERSONAL DATA PROTECTION, STORAGE DISPOSAL AND COMPLIANCE POLICY

 

1-INTRODUCTION;

As Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., we attach great importance to the Protection of Personal Data. Protection of personal data is among the most important priorities of our company. The most important pillar of this issue is managed by this Policy; Protection and processing of personal data of our customers, clients, employees, employee candidates, visitors and third parties. The activities we carry out regarding the protection of personal data of our employees are also managed in line with the principles in this policy. According to the Constitution of the Republic of Turkey, everyone has the right to demand the protection of their personal data. Regarding the protection of personal data, which is a constitutional right, our company is governed by this Policy; pays due attention to the protection of all personal data and makes this a policy. In this context, all necessary administrative and technical measures are taken by our company for the protection of personal data processed in accordance with the relevant legislation.

2. PURPOSE;

The purpose of this Personal Data Protection, Storage, Disposal and Compliance policy (policy); In the protection and processing of personal data in accordance with the purpose of the law, to protect the fundamental rights and freedoms of individuals, especially the privacy of private life, and to comply with the obligations and principles of the real persons and Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., who process them, to the relevant law and other legal legislation. to arrange accordingly.

3. SCOPE;

This Policy; It applies to real persons whose data are processed in accordance with the provisions of the Law, and to natural and legal persons who process this data fully or partially automatically or non-automatically, provided that they are part of any data recording system.

4. RESPONSIBILITIES;

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. is responsible for the implementation of this policy.

5. DEFINITIONS AND ABBREVIATIONS;

Explicit consent: Consent on a specific subject, based on information and expressed with free will,

Anonymization: Making personal data incapable of being associated with an identified or identifiable natural person in any way, even by matching with other data,

Ministry: Ministry of Health

General Directorate: General Directorate of Health Information Systems

Relevant person: The real person whose personal data is processed,

Personal Health Record System: The system established in accordance with e-government applications, which provides access to the health data of the concerned persons themselves or the third parties they authorize,

Personal data: Any information relating to an identified or identifiable natural person,

Personal Health Data: All kinds of health information related to an identified or identifiable natural person,

Processing of personal data: Obtaining, recording, storing, preserving, changing, rearranging, disclosing, transferring, taking over, making available personal data by fully or partially automatic or non-automatic means provided that it is a part of any data recording system, all kinds of operations carried out on the data, such as the classification or prevention of its use,

Processing of Personal Health Data: Obtaining personal health data fully or partially automatically or by non-automatic means provided that it is a part of any data recording system,

all kinds of operations performed on health data such as recording, storing, preserving, changing, rearranging, disclosing, transferring, taking over, making it available, classifying or preventing its use,

Commission: Personal Health Data Commission established within the Ministry.

Board: Personal Data Protection Board,

Institution: Personal Data Protection Authority,

Central Health Data System: The data system created by the Ministry to collect personal health data,

Data processor: The natural or legal person who processes personal data on behalf of the data controller, based on the authority given by the data controller,

Undersecretary: Undersecretary of the Ministry of Health,

Health service provider: Real persons who provide or produce health services and legal persons in public law and private law,

USVS: National Health Data Dictionary published by the Ministry,

Directive: Information Security Policies Directive published by the Ministry,

Data Controller: The natural or legal person who determines the purposes and means of processing Personal Data and is responsible for the establishment and management of the data recording system,

Law/KVKK: The Law on Protection of Personal Data No. 6698, dated March 24, 2016, published in the Official Gazette dated 7 April 2016 and numbered 29677.

KVK Board: Personal Data Protection Board

KVK Authority: Personal Data Protection Authority

Policy: Policy on the Processing and Protection of Personal Data

Recipient group: The natural or legal person category to which personal data is transferred by the data controller,

Relevant user: Persons who process personal data within the organization of the data controller or in line with the authorization and instruction received from the data controller, excluding the person or unit responsible for the technical storage, protection and backup of the data,

Destruction: Deletion, destruction or anonymization of personal data,

Law: Law on Protection of Personal Data No. 6698, dated 24/3/2016,

Recording medium: Any medium containing personal data that is fully or partially automated or processed by non-automatic means, provided that it is a part of any data recording system,

Personal data processing inventory: Personal data processing activities carried out by data controllers depending on their business processes; The inventory they have created by associating the personal data with the purposes of processing, the data category, the transferred recipient group and the data subject group, explaining the maximum time required for the purposes for which the personal data is processed, the personal data to be transferred to foreign countries and the measures taken regarding data security,

Personal data retention and destruction policy: The policy on which data controllers base the process of determining the maximum time required for the purpose for which personal data is processed, and the process of deletion, destruction and anonymization,

Board: Personal Data Protection Board,

Periodic destruction: The deletion, destruction or anonymization process, which will be carried out ex officio at repetitive intervals and specified in the personal data storage and destruction policy, in case all the conditions for processing personal data in the law are eliminated,

Registry: The registry of data controllers kept by the Presidency of the Personal Data Protection Authority,

Data registration system: The registration system in which personal data is processed and structured according to certain criteria,

 

Data controller: Data controller, which determines the purposes and means of processing personal data.

6. REFERENCE AND DOCUMENTS;
7. Constitution
8. Personal Data Protection Law-No. 6698
9. Regulation on the Working Procedures and Principles of the Personal Data Protection Board
10. Regulation Amending the Regulation on the Processing and Privacy of Personal Health Data
11. Regulation on the Data Controllers Registry
12. PROTECTION OF PERSONAL DATA IN OUR LAWS;
13. Article 20 of the 1982 Constitution “Everyone has the right to demand the protection of their personal data”

Law No. B.6698 on the Protection of Personal Data,

1. Turkish Civil Code Article 24 “Personal Rights”
2. Articles 134 of the Turkish Penal Code and the following: “Privacy of Private Life, Collection and Protection of Personal Data”

Provisions of the E. Labor Law directly related to the Protection of the Employee’s Personal Data

1. Occupational Health and Safety Law Article 15/5 “Health information is kept confidential in order to protect the private life and reputation of the employee who has undergone a health examination”

Law No. 6705 regarding the approval of additional supervisory authorities and the protocol on cross-border data flow to the Agreement on the Protection of Individuals against automatic Processing of Personal data No. G.181

8. BASIC PRINCIPLES OF PROCESSING PERSONAL DATA;

Personal data is processed by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. and company employees within the scope of the following principles;

1. Compliance with the law and the rules of honesty,
2. Keeping accurate and up-to-date when necessary,-
3. Processing for specific, explicit and legitimate purposes,
4. Related, limited and measured processing for the purpose for which they are processed,
5. To keep for the period required by the relevant legislation or for the purpose for which they are processed,
6. Enlightening and informing personal data owners,
7. Establishing the necessary system for personal data owners to exercise their rights,
8. To take the necessary measures in the protection of personal data,
9. To act in accordance with the regulations of the KVK Board,
10. Informing and training the employees of Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. about the law on the protection of personal data and the processing of personal data in accordance with the law,
11. To comply with the decisions of the KVK Board,
12. Putting the necessary clauses in the contracts and keeping them up to date.
13. SPECIAL PRINCIPLES IN THE PROCESSING OF PERSONAL DATA;

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. and company employees act within the framework of the following principles in the storage and destruction of personal data;

1. In the deletion, destruction and anonymization of personal data, the principles listed in Article 4 of the Law and the technical and administrative measures specified in the relevant articles of this Policy, which must be taken within the scope of Article 12, the provisions of the relevant legislation, Board decisions and this Policy are fully complied with.
2. All transactions regarding the deletion, destruction and anonymization of personal data are recorded by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., and these records are kept for at least 10 years + 6 months, excluding other legal obligations. It is kept for a period of time (taking into account the general statute of limitations of 10 years and delays that may occur in notifications). Exceptionally, this period is 7 days for security camera recordings.
3. Unless a contrary decision is taken by the Board, the appropriate method of deletion, destruction or anonymization of personal data ex officio is chosen by us. However, upon the request of the Relevant Person, the appropriate method will be chosen by explaining the reason. Personal data included in Articles 5 and 6 of the Law are deleted, destroyed or anonymized by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. ex officio or upon the request of the person concerned. In case of application by the person concerned in this regard;

c.1. Requests submitted are finalized within 30 (thirty) days at the latest and the relevant person is informed,

c.2. In case the data subject to the request has been transferred to third parties, this situation is notified to the third party to which the data is transferred and necessary actions are taken before the third parties.

10. TERMS OF PROCESSING PERSONAL DATA;
11. PROCESSING CONDITIONS OF GENERAL PERSONAL DATA

Personal data will not be processed without the explicit consent of the person. Personal data is only processed without seeking explicit consent in the presence of the following conditions.

1. It is clearly stipulated in the laws,
2. It is compulsory for the protection of the life or physical integrity of the person or another person, who is unable to express his consent due to a physical impossibility, or whose consent is not given legal validity,
3. It is necessary to process the personal data of the parties to the contract, provided that it is directly related to the establishment or performance of a contract,
4. It is mandatory for the data controller to fulfill its legal obligation,
5. Making it public by the person concerned,
6. Data processing is mandatory for the establishment, use or protection of a right,
7. Data processing for the legitimate interests of the data controller, provided that it does not harm the fundamental rights and freedoms of the data subject.
8. PROCESSING CONDITIONS OF SPECIAL QUALITY PERSONAL DATA

Personal data regarding the race, ethnic origin, political thought, philosophical belief, religion, sect or other beliefs, dress, membership to associations, foundations or trade unions, health, sexual life, criminal convictions and security measures, and biometric and genetic data of the person is data.

The issues in Article 8 of this policy are also valid for sensitive personal data. However, special quality personal data related to health can only be provided by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. in Article 6/3 of the KVKK. It is processed in accordance with the provisions of the article or other legal regulations.

11. PROCESSING METHODS OF PERSONAL DATA

A-RECORDING ENVIRONMENTS

Personal data of data owners are safely stored by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. in the form of physical files and digitally, in accordance with the relevant legislation, especially the provisions of the KVKK, and within the framework of international data security principles:

Electronic media: Customer data held digitally.

Physical environments: Lockers and Archive.

1. SAFETY PRECAUTIONS

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., as the data controller, must take adequate technical and administrative measures to ensure the protection of personal data being processed in accordance with Article 12 of the KVK Law.

Data Controller Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. is obliged to make or have had the necessary audits done for the implementation of the Law.

The data controller and the data processor cannot disclose the personal data they have learned in violation of the provisions of this law and cannot use them for purposes other than processing. This obligation continues after they leave their duties.

In the event that this data falls into the hands of others through illegal means, the data controller shall notify the relevant person and the Board as soon as possible.

All administrative and technical measures taken by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., within the framework of the principles in Article 12 of the KVKK, in order to keep personal data safe, to prevent unlawful processing-access and to destroy data in accordance with the law, are listed below. counted;

a.Administrative Measures

a.1. Internal access to the stored personal data is limited to the personnel required to access it as per the job description. In limiting access, whether the data is of special nature and its importance are also taken into account.

a.2. In case the processed personal data is obtained by others unlawfully, it notifies the person concerned and the Board as soon as possible.

a.3. With regard to the sharing of personal data, a framework agreement is signed with the persons to whom personal data is shared, regarding the protection of personal data and data security, or data security is ensured by the provisions added to the existing agreement.

a.4. Personnel who are knowledgeable and experienced about the processing of personal data are employed and necessary trainings are given to the personnel within the scope of personal data protection legislation and data security. In this context, a confidentiality agreement is made with all employees.

a.5. In order to ensure the implementation of the provisions of the law within the company, the necessary inspections are made or made by the data controller. Confidentiality and security vulnerabilities revealed as a result of audits are promptly resolved.

b.Technical Measures

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., as data controller, will take the following technical measures:

b.1. It ensures that the physical files in which personal data are recorded are kept in locked cabinets and that the key is only available to him and to the authorized personnel. It takes other physical measures to prevent unauthorized access to the files in question.

b.2. It ensures that the personal data stored digitally can be accessed only by itself as the data controller and the personnel authorized in this regard, by putting a password on the computers, it ensures login with the registered user name and password, and takes the necessary cryptographic measures. It backs up a copy of digital data via storage devices in case of fire, flood and loss and encrypts the device in question so that only authorized personnel can access it. Takes other necessary measures to prevent unauthorized access.

b.3. Makes the necessary inspections to test the effectiveness of the technical measures taken.

b.4. It ensures that the processes of destruction of personal data stored in physical and digital media are non-recyclable and leave no audit trail.

C-STORAGE AND DISPOSAL

Personal data belonging to the data owners, in order to maintain the health services provided by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., to fulfill legal obligations, to protect and fulfill the rights of customers and other persons, and to manage customer relations, in a secure manner in the physical or electronic media listed above. It is stored within the limits specified in KVKK and other relevant legislation.

The reasons for keeping it are as follows:

1. Storing personal data as it is directly related to the establishment and performance of contracts,
2. For the establishment, use or protection of a right of personal data,
3. It is obligatory to keep personal data for the legitimate interests of Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., provided that it does not harm the fundamental rights and freedoms of individuals,
4. In order for Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. to fulfill any of its legal obligations arising from the legal or contractual agreement with third parties,
5. The legislation clearly stipulates the storage of personal data,
6. Explicit consent of the data owners in terms of storage activities that require the explicit consent of the data owners.

In accordance with the Regulation, the personal data of the data owners in the cases listed below are deleted, destroyed or anonymized by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. ex officio or upon request.

Information on personal use, personal data processing guide used by group tools and in compliance with the law 5. Personal data can be transferred manually to one or more of them and accurately, without preparing personal data.

1. Transfer of Special Quality Personal Data

While Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. is completed with due diligence, demonstration, march and being established; It is designed for personal data prepared with real or appropriate personal data processing method.

12. PERSONAL DATA INVENTORY

Personal data inventory will be created by Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. in accordance with business processes. Information is not included in the personal data inventory;

1. Personal data processing purpose

b.Data Categories

1. Transferred recipient group
2. Data subject group
3. Maximum period for keeping personal data
4. Foreign government agency
5. Data security for children
6. ENTRY TO THE COMPANY HEADQUARTERS AND PERSONAL DATA PROCESSING ACTIVITIES AND WEBSITE VISITORS

In this regard, it will be work related to all personal regulations and within the scope of KVKK.

14. RIGHTS OF THE DATA SUBJECT AND THE USE OF THESE RIGHTS

A- RIGHTS OF THE PERSONAL DATA OWNER

Personal data owners have the following rights:

1. Learning whether personal data is processed or not,
2. If personal data has been processed, requesting information about it,

c.Learning the purpose of processing personal data and whether they are used in accordance with its purpose,

1. Knowing the third parties to whom personal data is transferred in the country or abroad,
2. Requesting correction of personal data in case of incomplete or incorrect processing and requesting notification of the transaction made within this scope to third parties to whom the personal data has been transferred,
3. Requesting the deletion or destruction of personal data in the event that the reasons requiring its processing cease to exist despite the fact that it has been processed in accordance with the provisions of the KVK Law and other relevant laws, and requesting the notification of the transaction made within this scope to the third parties to whom the personal data has been transferred,
4. Objecting to the emergence of a result against the person himself by analyzing the processed data exclusively through automated systems,
5. To request the compensation of the damage in case of loss due to unlawful processing of personal data.
6. CASES WHERE THE PERSONAL DATA OWNER CANNOT ASSERVE HIS RIGHTS

Personal data owners cannot claim their rights in the following matters, since the following cases are excluded from the scope of KVKK in accordance with Article 28 of the KVKK;

1. Processing personal data for purposes such as research, planning and statistics by making them anonymous with official statistics.
2. Processing personal data for art, history, literature or scientific purposes or within the scope of freedom of expression, provided that they do not violate national defense, national security, public security, public order, economic security, privacy of private life or personal rights or constitute a crime.
3. Processing of personal data within the scope of preventive, protective and intelligence activities carried out by public institutions and organizations that are authorized by law to ensure national defense, national security, public safety, public order or economic security.
4. Processing of personal data by judicial authorities or enforcement authorities in relation to investigation, prosecution, trial or execution proceedings.

Pursuant to article 28/2 of KVKK; In the cases listed below, personal data owners cannot claim their other rights, except for the right to demand the compensation of the damage;

1. The processing of personal data is necessary for the prevention of crime or for criminal investigation.
2. Processing of personal data made public by the personal data owner.
3. If personal data processing is required by the authorized and authorized public institutions and organizations and professional organizations in the nature of public institutions, for the execution of supervisory or regulatory duties and for disciplinary investigation or prosecution, based on the authority given by the law.
4. The processing of personal data is necessary for the protection of the economic and financial interests of the State with regard to budgetary, tax and financial matters.C. ANSWER TO APPLICATIONS MADE BY THE PERSONAL DATA OWNER

If an application is made by the personal data owner to Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. to exercise their legal rights; Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. will conclude this request free of charge, as soon as possible and within 30 days at the latest, depending on its nature. The request will either be accepted or rejected on the condition that the reason is given. If the application requires cost, the fee in the tariff determined by the Board will be requested from the applicant.

 

1. Information that can be requested from the applicant

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. may request information and documents from the relevant person in order to determine whether the applicant has personal data. Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. may ask questions about the personal data owner’s application in order to clarify the issues in the personal data owner’s application.

1. Refusal of the Application

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. may reject the application of the applicant in the following cases by explaining the reason;

1. Processing personal data for purposes such as research, planning and statistics by making them anonymous with official statistics.b. Processing personal data for art, history, literature or scientific purposes or within the scope of freedom of expression, provided that they do not violate national defense, national security, public security, public order, economic security, privacy of private life or personal rights or constitute a crime.
2. Processing of personal data within the scope of preventive, protective and intelligence activities carried out by public institutions and organizations that are authorized by law to ensure national defense, national security, public safety, public order or economic security.
3. Processing of personal data by judicial authorities or enforcement authorities in relation to investigation, prosecution, trial or execution proceedings.
4. The processing of personal data is necessary for the prevention of crime or for criminal investigation.
5. Processing of personal data made public by the personal data owner.
6. If personal data processing is required by the authorized and authorized public institutions and organizations and professional organizations in the nature of public institutions, for the execution of supervisory or regulation duties and for disciplinary investigation or prosecution, based on the authority given by the law.
7. The processing of personal data is necessary for the protection of the economic and financial interests of the State with regard to budgetary, tax and financial matters.
8. The possibility of the personal data owner’s request to prevent the rights and freedoms of other persons
9. Requests that require disproportionate effort have been made.
10. The requested information is publicly available information.
11. ENFORCEMENT

This policy enters into force as of the signature date specified below and remains in effect until a new one is made or the activity of Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. is terminated or the text of this policy is legally repealed.

16.AUDITING

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. official performs all kinds of audits, with or without prior notice of the personnel, in order to determine whether the principles determined by this policy are respected within the company. It checks the documents and records, makes the necessary organization, takes the necessary measures for the related documents to be read, understood and signed by the person concerned, and performs other inspections and controls that it deems necessary, provides the necessary training to the personnel or ensures that it is given by third parties.

ATTACHMENTS:

1-Personnel Title, Unit and Task List

2-Personal Data Retention and Disposal Periods Table

 

APPENDIX-1. PERSONNEL TITLE UNIT AND TASK LIST

STAFF RESPONSIBLE

Company Official: It is the principal responsible for the implementation of this policy text. In this context, it takes all kinds of measures, gives the necessary instructions to the personnel and performs audits to ensure that the company’s operation complies with the legal regulations on the protection of personal data and the principles set forth in this policy text.

Personnel: While performing their duties within the company, they are obliged to comply with the principles and procedures specified in all legal legislation on the subject, especially the KVK Law No. 6698, as well as the principles and principles set forth in this policy text. He is obliged to fulfill the instructions given to him during the processing, storage and destruction of personal data.

ANNEX-2. PERSONAL DATA STORAGE AND DISPOSAL TIMES TABLE

 

	It is deleted, destroyed or anonymized within 180 days following the end of the 10 years + 6 months storage period following the termination of the business relationship.
STAFF/PERSONAL FILE
PAYROLL	It is deleted, destroyed or anonymized within 180 days following the end of the 10 years + 6 months storage period following the termination of the business relationship.
	It is deleted, destroyed or anonymized within 180 days following the end of the storage period of 10 years + 6 months following the end of the business relationship.
OCCUPATIONAL HEALTH AND SAFETY PRACTICES
	Security camera recordings are kept for 7 days and are automatically deleted at the end of this period.
SECURITY CAMERA SYSTEMS
	It is deleted, destroyed or anonymized within 180 days following the end of the storage period of 10 years + 6 months following the end of the business relationship.
STAFF FINANCE PROCESSES
	It is deleted, destroyed or anonymized within 180 days following the end of the 10-year storage period and within 30 days following the application of the data owner.
FILE OF TRAINING RECORDS
	It is deleted, destroyed or anonymized within 180 days following the expiry of the 10 years + 6 months storage period following the expiry of the contract.
FILES AND INFORMATION RELATING TO CUSTOMER FILES AND OTHER SPECIAL LEGAL CONTRACTED PERSONS

 

 

Provided that it is not contrary to the periods stipulated in other laws;

 

 

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. (MUCH BETTER TRAVEL – Agency Number : 14112)                                                                                                                               (15.04.2022)

 

---

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. (MUCH BETTER TRAVEL – Acenta No: 14112)

KİŞİSEL VERİLERİN KORUNMASI SAKLANMASI İMHASI VE UYUM POLİTİKASI

1-GİRİŞ ;

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. olarak Kişisel Verilerin Korunması’na büyük önem vermekteyiz. Kişisel verilerin korunması, şirketimizin en önemli öncelikleri arasındadır. Bu konunun en önemli ayağını ise işbu Politika ile yönetilen; müşterilerimizin, danışanlarımızın, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, ve üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi oluşturmaktadır. Çalışanlarımızın kişisel verilerinin korunmasına ilişkin yürüttüğümüz faaliyetler de, bu politikadaki esaslarla paralel olarak yönetilmektedir. Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, şirketimiz, işbu Politika ile yönetilen; tüm kişisel verilerin korunmasına gerekli özeni göstermekte ve bunu bir politika haline getirmektedir. Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması için şirketimiz tarafından gerekli tüm idari ve teknik tedbirler alınmaktadır.

2.AMAÇ ;

İşbu Kişisel Verilerin Korunması Saklanması İmhası Ve Uyum politikasının (politika) amacı; Kanunun amacına uygun olarak kişisel verilerin korunmasında ve işlenmesinde başta  özel hayatın gizliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve bunları işleyen gerçek kişilerin ve Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.’nin yükümlülüklerini  ve uyulacak esasları ilgili kanuna ve diğer hukuki mevzuata uygun olarak düzenlemektir.

3.KAPSAM ;

Bu Politika; Kanun Hükümleri doğrultusunda verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

4.SORUMLULUKLAR ;

Bu politikanın uygulanmasından, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  sorumludur.

5.TANIMLAR VE KISALTMALAR ;

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Bakanlık: Sağlık Bakanlığı’nı

Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğü’nü

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

Kişisel Sağlık Kaydı Sistemi: İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-devlet uygulamalarına uygun olarak kurulan sistemi,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Sağlık Verisi: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisini,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Sağlık Verilerinin İşlenmesi: Kişisel sağlık verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,

kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi,

Komisyon: Bakanlık bünyesinde kurulan Kişisel Sağlık Verileri Komisyonu’nu

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,

Merkezi Sağlık Veri Sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Müsteşar: Sağlık Bakanlığı müsteşarını,

Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,

USVS: Bakanlıkça yayımlanan Ulusal Sağlık Veri Sözlüğünü,

Yönerge: Bakanlıkça yayımlanan Bilgi Güvenliği Politikaları Yönergesini,

Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen,veri kayıt siteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Kanun/KVKK: 7 Nisan 2016 Tarihli ve 29677 Sayılı Resmi Gazete de yayımlanan 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu

KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu

KVK Kurumu: Kişisel Verileri Koruma Kurumu’nu

Politika: Kişisel verilerin işlenmesi ve Korunması Politikası’nı

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,

Kurul: Kişisel Verileri Koruma Kurulunu,

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.

Bu Politikada yer almayan tanımlar için Kanundaki tanımlar geçerlidir.

 

6.REFERANS VE DÖKÜMANLAR ;

a.Anayasa

b.Kişisel Verilerin Korunması Kanunu-6698 sayılı

c.Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik

d.Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte   Değişiklik Yapılmasına Dair Yönetmelik

e.Veri Sorumluları Sicili Hakkında Yönetmelik

7.YASALARIMIZDA KİŞİSEL VERİLERİN KORUNMASI ;

A.1982 Anayasasının 20 Maddesi ” Herkes kendisi ile ilgili kişisel verilerin korunmasını isteme hakkına sahiptir ”

B.6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun,

C.Türk Medeni Kanunu 24 Maddesi “Kişilik Hakları”

D.Türk Ceza Kanun nun 134 ve devamı maddeleri “Özel Hayatın Gizliliği,Kişisel Verilerin Toplanması ve Korunması”

E.İş Kanunun işçinin kişisel Verilerinin Korunması ile doğrudan bağlantılı hükümleri

F.İş Sağlığı ve Güvenliği Kanunun 15/5 maddesi ” Sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgileri gizli tutulur”

G.181 No lu Kişisel verilerin otomatik İşleme tabi tutulması karşısında Bireylerin Korunması Sözleşmesine ek denetleyici makamlar ve sınır aşan veri akışına ilişkin protokolün uygun bulunduğuna dair 6705 sayılı Kanun

8.KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELER ;

Kişisel veriler, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. ve şirket çalışanları tarafından aşağıdaki ilkeler kapsamında işlenmektedir;

a.Hukuka ve dürüstlük kurallarına uygun olma,

b.Doğru ve gerektiğinde güncel tutma,-

c.Belirli,açık ve meşru amaçlar için işleme,

d.İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,

e.İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,

f.Kişisel veri sahiplerini aydınlatma ve bilgilendirme,

g.Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,

h.Kişisel verilerin muhafazasında gerekli tedbirleri alma,

ı.KVK Kurulu düzenlemelerine uygun davranma,

1. Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.’nin çalışanlarını kişisel verilerinin korunması kanunu ve kişisel verilerin kanuna uygun olarak işlenmesi konusunda bilgilendirmesi ve onlara eğitim vermesi,

k.KVK Kurulunun kararlarına uyma,

l.Sözleşmelere gerekli maddeleri koyma ve güncel tutma.

9.KİŞİSEL VERİLERİN İŞLENMESİNDE ÖZEL İLKELER ;

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. ve şirket çalışanları tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir;

4. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken ve işbu Politikanın ilgili maddelerinde belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
5. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 10 yıl + 6 ay(TBK’da düzenlenen 10 yıllık genel zamanaşımı ve tebligatlarda yaşanabilecek gecikmeler göz önüne alınarak) süreyle saklanmaktadır. İstisnai olarak güvenlik kamerası kayıtlarında bu süre 7 gündür.
6. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta ilgili kişi tarafından başvurulması halinde;

c.1. İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,

c.2. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

10.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI ;

A.GENEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler kişinin açık rızası olmadan işlenmeyecektir. Kişisel veri ancak aşağıdaki şartların varlığı halinde açık rıza aranmaksızın işlenmektedir.

a.Kanunlarda açıkça öngörülmesi,

b.Filli imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan  veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c.Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

d.Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

e.İlgili kişinin kendisi tarafından alenileştirilmesi,

f.Bir hakkın tesisi kullanılması veya korunması için veri işlemenin zorunlu olması,

g.İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.

B.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişinin ırkı,etnik kökeni,siyasi düşüncesi,felsefi inancı,dini,mezhebi veya diğer inançları,kılık kıyafet ,dernek,vakıf ya da sendika  üyeliği,sağlığı,cinsel hayatı,ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel veriler için de bu politikanın 8. Maddesinde yer alan hususlar geçerlidir. Ancak sağlık ile ilgili özel nitelikli kişisel veriler Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından ancak KVKK’nın 6/3. Maddesi veya diğer yasal mevzuat hükümleri uyarınca işlenmektedir.

11.KİŞİSEL VERİLERİN İŞLENME USULLERİ

A-KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından fiziki dosya şeklinde ve dijital olarak, başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

Elektronik ortamlar:  Dijital olarak tutulan müşteri verileri.

Fiziksel ortamlar: Kilitli Dolaplar ve Arşiv.

B.GÜVENLİK TEDBİRLERİ

KVK Kanunun 12 maddesine uygun olarak işlenmekte olan kişisel verilerin muhafazasını sağlamak amacı ile yeterli teknik ve idari tedbirleri, veri sorumlusu olarak, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. almak zorundadır.

Veri Sorumlusu Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., Kanunun uygulanması için gerekli denetimleri yapmak veya yaptırmak zorundadır.

Veri sorumlusu ile veri işleyen öğrendikleri kişisel verileri bu kanun hükümlerine aykırı olarak açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevlerinden ayrılmalarından sonrada devam eder.

Bu verilerin kanuni olmayan yollardan başkalarının eline geçmesi durumunda veri sorumlusu en kısa zamanda bunu ilgilisine ve Kurula bildirir.

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi-erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır;

a.İdari Tedbirler

a.1. Saklanan kişisel verilere şirket içi erişim, iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

a.2. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

a.3. Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliği sağlanır.

a.4. Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam edilir ve personele kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilir. Bu bağlamda tüm çalışanlarla gizlilik sözleşmesi yapılır.

a.5. Şirket içerisinde kanun hükümlerinin uygulanmasını sağlamak amacıyla, veri sorumlusu tarafından gerekli denetimleri yapılır veya yaptırılır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri ivedi olarak giderilir.

b.Teknik Tedbirler

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., veri sorumlusu sıfatıyla aşağıdaki teknik tedbirleri alacaktır:

b.1. Kişisel verilerin kayıtlı olduğu fiziki dosyaların kilitli dolaplarda muhafaza edilmesini ve anahtarın yalnızca kendisinde ve konuyla ilgili yetkilendirilmiş personelin yeddinde bulunmasını sağlar. Söz konusu dosyalara yetkisiz kişilerin erişimini engellenmesi için alınması gereken diğer fiziki önlemleri alır.

b.2. Dijital olarak depo edilen kişisel verilere yalnızca veri sorumlusu sıfatıyla kendisinin ve bu hususta yetkilendirilmiş personelin erişebilmesi maksadıyla, bilgisayarlara şifre konularak kayıtlı kullanıcı adı ve şifreyle giriş yapılmasını sağlar, gerekli kriptografik önlemleri alır. Yangın, su baskını ve zayi durumlarına karşı, dijital verilerin bir kopyasını depolama cihazları vasıtasıyla yedekler ve söz konusu cihazı sadece yetkili personelin erişebileceği şekilde şifreler. Yetkisiz erişimin önlenmesi için gerekli diğer önlemler alır.

b.3.Alınan teknik tedbirlerin etkinliğinin sınanması için gerekli denetimleri yapar.

b.4. Fiziki ve dijital ortamda saklanan kişisel verilerin yok edilmesi işlemlerinin, geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde olmasını sağlar.

C-SAKLAMA VE İMHA

Veri sahiplerine ait kişisel veriler, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından özellikle sunulan sağlık hizmetlerinin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, müşterilerin ve diğer kişilerin haklarının korunması ve ifası ile müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

a.Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

b.Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla,

c.Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.’nin meşru menfaatleri için saklanmasının zorunlu olması,

d.Kişisel verilerin Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.’nin yasal veya 3. kişilerle yapılan sözleşmeden doğan herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla,

e.Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

f.Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir.

1. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
2. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
3. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
4. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
5. İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
6. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
7. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

D-İMHA USULLERİ

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından imha edilecektir.

a.Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri

a.1. Fiziksel Olarak Saklanan Kişisel Verilerin Yok Edilmesi: Fiziksel olarak saklanan kişisel veriler belirtilen sürenin(10 yıl+6 ay) dolması veya kişisel verilerin yok edilmesini gerektiren diğer durumlarda karartma(yakma, yırtma, kesme, mürekkeple kaplayarak görünmez hale getirme vs) yöntemiyle geri dönülemez şekilde yok edilir.

a.2. Dijital Olarak Saklanan Kişisel Verilerin Yok Edilmesi: Dijital olarak saklanan kişisel veriler belirtilen sürenin(10 yıl+6 ay) dolması veya kişisel verilerin yok edilmesini gerektiren diğer durumlarda ilgili veri tabanından  geri dönülemez şekilde silinmek suretiyle, yok edilir. Güvenlik kamerası kayıtları ise 7 gün sonra otomatik olarak silinmektedir.

KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.

E.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  tarafından, KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak müşterilerden ve çalışanlardan elde edilen kişisel verilerin saklama ve imha süresi; 6098 Sayılı Türk Borçlar Kanunu’nun 146. maddesinde düzenlenen “10 yıllık  yıllık genel zamanaşımı” ve tebligatlarda yaşanabilecek gecikmeler göz önüne alınarak, 10 yıl+6 ay olarak belirlenmiştir. İşbu sürenin sonunda, kişisel veriler yukarıda belirtilen yöntemler kullanılarak geri dönülmez şekilde, yok edilecektir. Sonuç olarak; Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. bünyesinde istisnasız tüm kişisel verilerin periyodik imha süresi 10 yıl+6 ay olarak düzenlenmiştir. İstisnai olarak güvenlik kamerası kayıtları için bu süre 7 gündür.

F.KİŞİSEL VERİLERİN AKTARILMASI

a.Genel Nitelikli Kişisel Verilerin Aktarılması

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek ve tüzel kişilere) aktarabilmektedir. Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. bu bağlamda KVKK’nın 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

Kişisel veriler, grup şirketleri tarafından meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir.

b.Özel Nitelikli Kişisel Verilerin Aktarılması

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve kurul tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.

12.KİŞİSEL VERİ ENVANTERİ

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. tarafından iş süreçlerine uygun olarak kişisel veri envanteri oluşturulacaktır. Kişisel veri envanterinde aşağıdaki bilgiler yer alacaktır;

a.Kişisel veri işleme amacı

b.Veri Kategorisi

c.Aktarılan alıcı grubu

d.Veri konusu kişi grubu

e.Kişisel verinin tutulacağı azami süre

f.Yabancı ülkelerine aktarımı öngörülen kişisel veriler

g.Veri güvenliğine ilişkin alınan tedbirler

13. ŞİRKET MERKEZİNE GİRİŞLER İLE BURALARDA YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETİ VE İNTERNET SİTE ZİYARETÇİLERİ

Bu hususta işlenen tüm kişisel veriler ilgili mevzuat ve KVKK kapsamında işlenecektir.

14.VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

A-KİŞİSEL VERİ SAHİBİNİN HAKLARI

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

a.Kişisel veri işlenip işlenmediğini öğrenme,

b.Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c.Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d.Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

e.Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

f.KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g.İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

h.Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

B.KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER

Kişisel veri sahipleri, KVKK’nın 28. maddesi gereğince aşağıdaki haller KVKK kapsamı dışında tutulduğundan, aşağıda yazılı konularda haklarını ileri süremezler;

a.Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

b.Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

c.Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d.Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVKK’nın 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, diğer haklarını ileri süremezler;

a.Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b.Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c.Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

d.Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

C.KİŞİSEL VERİ SAHİBİ TARAFINDAN YAPILAN BAŞVURULARA CEVAP

Kişisel veri sahibi tarafından, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.’ye, yasal haklarını kullanmak için  başvuru yapılması halinde; Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. bu talebi niteliğine göre en kısa sürede ve en geç 30 gün içerisinde ücretsiz olarak sonuçlandıracaktır. Talep ya kabul edilecek, ya da gerekçesi bildirilmek şartı ile reddedilecektir. Başvurunun maliyet gerektirmesi halinde başvuru sahibinden, Kurul tarafından belirlenen tarifedeki ücret talep edilecektir.

 

a.Başvuru Sahibinden Talep Edilebilecek Bilgiler

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi ve belge talep edebilir. Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

b.Başvurunun Reddedilmesi

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti., aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir;

a.Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

b.Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

c.Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d.Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

e.Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

f.Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

g.Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

h.Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

i.Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması

j.Orantısız çaba gerektiren taleplerde bulunulmuş olması.

k.Talep edilen bilginin kamuya açık bir bilgi olması.

15.YÜRÜRLÜK

İş bu politika aşağıda belirtilen imza tarihi itibari ile yürürlüğe girer ve yenisi yapılıncaya veya Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.’nin faaliyetinin sona ermesine yahut işbu politika metninin yasal olarak yürürlükten kaldırılmasına kadar yürürlükte kalmaya devam eder.

16.DENETİM

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. yetkilisi, şirket bünyesinde işbu politika ile belirlenmiş prensiplere riayet edilip, edilmediğini tespit etmek maksadıyla, zamanını personel önceden bildirerek veya bildirmeden, her türlü denetimi yapar. Evrakları, kayıtları kontrol eder, gerekli organizasyonu yapar, konuya ilişkin evrakların, ilgilisi tarafından okunup anlaşılarak imzalanması için gerekli önlemleri alır ve gerekli gördüğü diğer denetim ve kontrolleri yapar, personele gerekli eğitimleri bizzat verir veya 3.kişiler tarafından verilmesini sağlar.

EKLER:

1-Personel Unvan Birim ve Görev Listesi

2-Kişisel Veri Saklama ve İmha Süreleri Tablosu

EK-1.PERSONEL UNVAN BİRİM VE GÖREV LİSTESİ

PERSONEL GÖREV SORUMLUSU

Şirket Yetkilisi             : İşbu politika metninin uygulanmasının asli sorumlusudur. Bu bağlamda, şirket işleyişinin kişisel verilerin korunmasına yönelik hukuki mevzuat ve işbu politika metninde belirtilen ilkelere uygun olmasının sağlanması için her türlü önlemi alır, personele gerekli talimatları verir ve denetimleri yapar.

Personel                      : Şirket bünyesindeki görevlerini yerine getirirken, başta 6698 sayılı KVK Kanunu olmak üzere, konuya ilişkin tüm hukuki mevzuatta belirtilen ilke ve usuller ile işbu politika metninde belirtilen prensip ve ilkelere riayet etmekle yükümlüdür. Kişisel verilerin işlenmesi, muhafaza edilmesi ve yok edilmesi süreçlerinde kendisine verdiği talimatları yerine getirmekle yükümlüdür.

 

 

 

EK-2.KİŞİSEL VERİ SAKLAMA VE İMHA SÜRELERİ TABLOSU

Diğer kanunlarda öngörülen sürelere aykırı olmamak kaydı ile;

 

 

	İş ilişkisinin sona ermesini müteakip 10 yıl+6 aylık saklama süresinin bitimini takiben 180 gün içerisinde silinir, yok edilir ya da anonim hale getirilir.
PERSONEL/ÖZLÜK DOSYASI
	İş ilişkisinin sona ermesini müteakip 10 yıl+6 aylık saklama süresinin bitimini takiben 180 gün içerisinde silinir, yok edilir ya da anonim hale getirilir.
BORDROLAMA
	İş ilişkisinin sona ermesini takip eden 10 yıl+6 aylık saklama süresinin bitimini takip eden 180 gün içerisinde silinir, yok edilir ya da anonim hale getirilir.
İŞ SAĞLIĞI VE GÜVENLİĞİ UYGULAMALARI
	Güvenlik kamerası kayıtları 7 süreyle muhafaza edilir ve bu süre sonunda otomatik olarak silinir.
GÜVENLİK KAMERASI SİSTEMLERİ
	İş ilişkisinin sona ermesini takip eden 10 yıl+6 aylık saklama süresinin bitimini takip eden 180 gün içerisinde silinir, yok edilir ya da anonim hale getirilir.
PERSONEL FİNANSMAN SÜREÇLERİ
	10 yıllık saklama süresinin bitimini takiben 180 gün içerisinde, veri sahibinin başvurusunu takiben 30 gün içerisinde silinir, yok edilir ya da anonim hale getirilir.
EĞİTİM KAYITLARININ DOSYALANMASI
MÜŞTERİ     DOSYALARI VE SÖZLEŞME YAPILAN DİĞER ÖZEL HUKUK KİŞİLERİNE İLİŞKİN DOSYA VE BİLGİLER	Yapılan sözleşmenin sona ermesini müteakip 10 yıl+6 aylık saklama süresinin bitimini takiben 180 gün içerisinde silinir, yok edilir ya da anonim hale getirilir.

 

 

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  (MUCH BETTER TRAVEL – Acenta No: 14112)                                                                                                                             (15.04.2022)

 

---

 

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. (MUCH BETTER TRAVEL – Номер агентства : 14112)

СОБЛЮДЕНИЕ ПОЛИТИКИ ЗАЩИТЫ, ХРАНЕНИЯ И УТИЛИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1-ВВЕДЕНИЕ ;

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. придает большое значение защите персональных данных. Защита персональных данных является одним из главных приоритетов нашей компании.

Наиболее важным аспектом этого вопроса является защита и обработка персональных данных наших клиентов, консультантов, сотрудников, кандидатов на работу, посетителей и третьих лиц  руководствуясь данной Политикой. Наша деятельность по защите персональных данных наших сотрудников также осуществляется параллельно с принципами этой политики. Согласно Конституции Турецкой Республики, каждый человек имеет право требовать защиты персональных данных.  Что касается защиты персональных данных, являющейся одним из конституционных прав, наша компания, руководствуясь данной Политикой, уделяет должное внимание защите всех персональных данных. В связи с этим нашей компанией принимаются все необходимые административные и технические меры для защиты персональных данных, обрабатываемых в соответствии с действующим законодательством.

2.ЦЕЛЬ ;

Целью политики защиты, хранения и утилицации персональных данных является; защита основных прав и свобод физических лиц, особенно неприкосновенности частной жизни, при защите и обработке персональных данных в соответствии действующим законодательством, а также регулирование обязательств и принципов, которым должны следовать реальные лица, осуществляющие их обработку, в том числе и Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. в соответствии действующим законодательством и другими правовыми актами.

3. ОБЛАСТЬ ПРИМЕНЕНИЯ ;

Данная Политика применяется к физическим лицам, чьи данные обрабатываются в соответствии с Положениями Закона, а также к физическим и юридическим лицам, которые полностью или частично автоматизированы или обрабатывают эти данные неавтоматическими способами, входящими в состав любой системы регистрации данных.

4.ОБЯЗАННОСТИ ;

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. несет ответственность за реализацию этой политики.

5.ОПРЕДЕЛЕНИЯ И АББРЕВИАТУРЫ ;

Явное согласие: согласие на конкретную тему, основанное на информации и выраженное добровольно.

Анонимизация: Создание условий, при которых персональные данные не могут быть связаны с идентифицированным или идентифицируемым физическим лицом ни при каких обстоятельствах, даже путем сопоставления с другими данными,

Министерство: Министерство здравоохранения

Главное управление: Главное управление информационных систем здравоохранения

Контактное лицо: Физическое лицо, чьи личные данные были обработаны,

Система персонального медицинского учета: система, созданная в соответствии с приложением  e-devlet которая обеспечивает доступ к данным о здоровье соответствующих лиц ими самими или уполномоченными ими третьими лицами,

Персональные данные: Любая информация об идентифицированном или идентифицируемом физическом лице,

Персональные медицинские данные: любая медицинская информация о конкретном или идентифицируемом физическом лице,

Обработка персональных данных: все виды операций, выполняемых с персональными данными, такие как получение, запись, хранение, удержание, изменение, реорганизация, раскрытие, передача, завладение, предоставление, классификация или предотвращение использования персональных данных полностью или частично автоматическими средствами или неавтоматическими средствами при условии, что они являются частью любой системы регистрации данных,

Обработка персональных медицинских данных: все виды операций, выполняемых с персональными медицинскими данными, такие как получение, запись, хранение, удержание, изменение, реорганизация, раскрытие, передача, завладение, предоставление, классификация или предотвращение использования персональных медицинских данных полностью или частично автоматическими средствами или неавтоматическими средствами при условии, что они являются частью любой системы регистрации данных,

Комиссия: Комиссия по персональным медицинским данным, созданная при Министерстве

Совет: Совет по защите персональных данных,

Учреждение: Учреждение по защите персональных данных,

Центральная система медицинских данных: система данных, в которой собираются персональные медицинские данные, созданные министерством,

Обработчик данных: физическое или юридическое лицо, обрабатывающее персональные данные от его имени на основании полномочий, предоставленных ответственным за данные,

Заместитель министра: Заместитель министра здравоохранения,

Поставщик медицинских услуг: физические и юридические лица публичного и частного права, предоставляющие или производящие медицинские услуги,

USVS (Информационные системы здравоохранения): Национальный словарь данных по здравоохранению, опубликованный Министерством,

Директива: Директива по политике информационной безопасности, опубликованная Министерством,

Ответственный за данные: физическое или юридическое лицо, определяющее цели и средства обработки Персональных данных и несущее ответственность за создание и управление системой учета данных

Закон/ Закон о защите персональных данных (KVKK): Закон о защите персональных данных от 24 марта 2016 г. под номером 6698, опубликованный в Официальной газете от 7 апреля 2016 г. под номером 29677

Совет по защите персональных данных (KVK) : Совет по защите персональных данных

Учреждение по защите персональных данных (KVK): Учреждение по защите персональных данных,

Политика: Политика обработки и защиты персональных данных

Группа получателей: категория физических или юридических лиц, передающих персональные данные ответственному за передачу данных,

Соответствующий пользователь: Лица, осуществляющие обработку персональных данных в организации, являющейся оператором данных, или в соответствии с полномочиями и инструкциями, полученными от оператора данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных,

Утилизация: удаление, уничтожение или анонимизация персональных данных,

Закон: Закон от 24/3/2016 № 6698 о защите персональных данных,

Носитель записи: Любой носитель, содержащий персональные данные, которые полностью или частично автоматизированы или обрабатываются неавтоматизированными средствами, при условии, что он является частью какой-либо системы учета данных,

Инвентаризация обработки персональных данных: Опись, в которой контролеры данных подробно описывают деятельность по обработке персональных данных, которую они осуществляют в зависимости от своих бизнес-процессов, связывая ее с целями обработки персональных данных, категорией данных, группой передаваемых получателей и группой субъектов данных, а также объясняя максимальный срок, необходимый для целей обработки персональных данных, предполагаемую передачу персональных данных в иностранные государства и меры, принимаемые в отношении безопасности данных,

Политика хранения и утилизации персональных данных: Политика, на которой контролеры данных основывают процесс определения максимального срока, необходимого для целей обработки персональных данных, а также процесс удаления, утилизации и анонимизации,

Совет: Совет по защите персональных данных,

Периодическая утилизация: Процесс удаления, утилизации или обезличивания будет осуществляться без согласования с кем-либо через периодические промежутки времени, указанные в политике хранения и утилизации персональных данных, в случае исчезновения всех условий обработки персональных данных, указанных в законе,

Реестр: Реестр контролеров данных, который ведет Управление по защите персональных данных,

Система регистрации данных: Система учета, в которой персональные данные структурируются и обрабатываются в соответствии с определенными критериями,

Ответственный за данные: физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и несущее ответственность за создание и управление системой учета данных

Для определений, не включенных в настоящую Политику, применяются определения, содержащиеся в Законе.

6.ССЫЛКИ И ДОКУМЕНТЫ ;

1. Конституция
2. Закон о защите персональных данных -№6698
3. Постановление о порядке и принципах работы Совета по защите персональных данных
4. Постановление, вносящее изменения в Постановление об обработке и обеспечении конфиденциальности персональных медицинских данных
5. Постановление о регистрации лиц, ответственных за данные

7.ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В НАШЕМ ЗАКОНОДАТЕЛЬСТВЕ;

1. Статья 20 Конституции 1982 года ” Каждый человек имеет право требовать защиты персональных данных”
2. Закон №6698 о защите персональных данных,
3. Статья 24 Гражданского кодекса Турции “Права личности”
4. Статья 134 и последующие статьи Уголовного кодекса Турции “Конфиденциальность частной жизни, сбор и защита персональных данных”
5. Положения Трудового кодекса, напрямую связанные с защитой персональных данных работника
6. Статья 15/5 Закона об охране труда “Информация о состоянии здоровья работника, проходящего медицинское обследование, сохраняется в тайне в целях защиты частной жизни и репутации “
7. Закон № 6705 о ратификации Протокола к Конвенции о защите физических лиц в отношении контролирующих органов и трансграничных потоков данных, дополняющего Конвенцию № 181 о защите физических лиц при автоматизированной обработке персональных данных
8. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ;

Обработка персональных данных осуществляется компанией Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  и сотрудниками компании в рамках следующих принципов;

1. Соблюдение законодательства и правил добросовестности
2. Поддержание точных и актуальных данных в случае необходимости
3. Обработка данных в конкретных, явных и законных целях,
4. Ограниченная и размеренная обработка данных в связи с целью, для которой они обрабатываются,
5. Хранение в течение срока, предусмотренного соответствующим законодательством или необходимого для целей их обработки,
6. Информирование и просвещение субъектов персональных данных,
7. Создание необходимой системы для использования своих прав субъектов персональных данных,
8. Принятие необходимых мер по защите персональных данных,

И. Действовать в соответствии с регламентом Совета по защите персональных данных,

1. Информирование Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. своих сотрудников о законе защиты персональных данных, обработке персональных данных в соответствии с законом и проводение обучения,
2. Соблюдение решений Совета по защите персональных данных,

 

1. Включать необходимые пункты в договоры и поддерживать их актуальность.

9.ОСОБЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ;

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. и сотрудники компании действуют в рамках следующих принципов при хранении и утилизации персональных данных;

1. При удалении, утилизации и анонимизации персональных данных полностью соблюдаются принципы, перечисленные в статье 4 Закона, а также технические и административные меры, которые должны быть приняты в рамках статьи 12 и указаны в соответствующих статьях настоящей Политики, положений соответствующего законодательства, решений Совета директоров и настоящей Политики.
2. Все операции, связанные с удалением, утилизацией, анонимизацией персональных данных, регистрируются Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. и такие записи хранятся не менее 10 лет + 6 месяцев (с учетом 10-летнего общего срока исковой давности, регламентированного Турецким кодексом об обязательствах, и задержек, которые могут возникнуть при уведомлении), исключая другие юридические обязательства. В исключительных случаях этот срок составляет 7 дней для записей с камер видеонаблюдения.
3. Если Совет директоров не примет иного решения, мы выбираем подходящий метод самостоятельного удаления, утилизации или анонимизации персональных данных. Однако по запросу заинтересованного лица будет выбран соответствующий метод с объяснением обоснования. Персональные данные, указанные в статьях 5 и 6 Закона, удаляются, утилизируются или анонимизируются компанией Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. самостоятельно или по запросу заинтересованного лица. В случае обращения заинтересованного лица по данному вопросу;

c.1. Запросы обрабатываются не позднее чем в течении 30 (тридцати) дней, о чем информируется соответствующее лицо,

с.2. В случае если данные, являющиеся предметом запроса, передаются третьим лицам, об этой ситуации уведомляется третье лицо, которому передаются данные, и перед третьими лицами предпринимаются необходимые действия.

10. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ;

А. УСЛОВИЯ ОБРАБОТКИ ОБЩИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные не будут обрабатываться без явного согласия лица. Обработка персональных данных без явного согласия осуществляется только при наличии следующих условий.

а. Прямо предусмотрены в законах,

1. Это необходимо для защиты жизни или физической неприкосновенности лица, которое не может сообщить о своем согласии в силу физической невозможности или чье согласие не имеет юридической силы,
2. Обработка персональных данных сторон договора необходима при условии, что это непосредственно связано с заключением или исполнением договора,
3. Контроллер данных обязан выполнять свои юридические обязательства,
4. Обнародование информации заинтересованным лицом,
5. Обработка данных обязательна для установления, осуществления или защиты прав,
6. Обработка данных обязательна для соблюдения законных интересов оператора данных при условии, что она не наносит ущерба основным правам и свободам субъекта данных.
7. УСЛОВИЯ ОБРАБОТКИ ОСОБЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Данные, касающиеся расы, этнического происхождения, политических взглядов, философских убеждений, религии, сект и других верований, одежды, членства в ассоциациях, фондах или профсоюзах, здоровья, сексуальной жизни, судимостей и мер безопасности, а также биометрические и генетические данные являются особыми персональными данными.

Положения статьи 8 настоящей Политики распространяются также на особые категории персональных данных.

Однако персональные данные особого характера, относящиеся к здоровью, обрабатываются Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. самостоятельно только в соответствии со статьей 6/3 Закона о защите персональных данных или другими положениями законодательства.

11. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

А- НОСИТЕЛИ ИНФОРМАЦИИ

Персональные данные субъектов данных надежно хранятся компанией Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. в виде физических файлов и в электронном виде, согласно соответствующему законодательству, особенно положениям Закона о защите персональных данных, и в рамках международных принципов безопасности данных:

Электронные носители: Данные о клиентах хранятся в цифровом формате.

Физические условия: Закрытые на ключ шкафчики и архивы.

В. МЕРЫ БЕЗОПАСНОСТИ

Для обеспечения защиты обрабатываемых персональных данных в соответствии со статьей 12 Закона о защите персональных данных компания Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. как контроллер данных, обязана принимать адекватные технические и административные меры.

Контроллер данных Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. обязан проводить или поручить другим проводить необходимые проверки прописанные законодательством.

Контролер и обработчик данных не могут разглашать полученные ими персональные данные в нарушение положений настоящего закона и не могут использовать их в целях, отличных от обработки. Эти обязательства остаются в силе и после того, как они покинут свои должности.

В случае незаконного доступа к этим данным со стороны других лиц контролер данных должен как можно скорее уведомить об этом соответствующее лицо и Совет директоров.

Все административные и технические меры, принимаемые Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  в рамках принципов статьи 12 Закона о защите персональных данных с целью безопасного хранения персональных данных, предотвращения незаконной обработки-доступа и утилизации данных в соответствии с законом перечислены ниже;

а. Административные меры

а.1. Внутрикорпоративный доступ к персональным данным имеют только те сотрудники, которым он необходим в соответствии с их должностными обязанностями. При ограничении доступа учитываются также особый характер данных и степень их важности.

а.2. В случае если обрабатываемые персональные данные получены третьими лицами незаконным путем, он обязан в кратчайшие сроки уведомить об этом соответствующее лицо и Совет директоров.

а.3. В отношении обмена персональными данными подписывается рамочное соглашение о защите персональных данных и безопасности данных с лицами, с которыми осуществляется обмен персональными данными, либо безопасность данных обеспечивается положениями, внесенными в существующее соглашение.

а.4. В компании работает персонал, обладающий знаниями и опытом в области обработки персональных данных, и персонал проходит необходимое обучение в рамках законодательства о защите персональных данных и безопасности данных. В связи с этим со всеми сотрудниками заключается соглашение о неразглашении информации.

а.5. Для обеспечения выполнения положений закона в компании проводятся или производятся необходимые проверки контроллером данных. Выявленные в результате проверки недостатки в области конфиденциальности и безопасности устраняются незамедлительно.

1. Технические меры

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. в качестве контроллера данных принимает следующие технические меры:

b.1. Обеспечиваеся хранение физических файлов, в которых хранятся персональные данные, в закрытых шкафах, а ключ от них хранится только у контролёра и уполномоченного персонала. Принимаются другие физические меры для предотвращения несанкционированного доступа к этим файлам.

b.2. Для того чтобы доступ к персональным данным, хранящимся в цифровом виде, мог получить только контролер данных и уполномоченный на то персонал, обеспечивается доступ к компьютерам с помощью зарегистрированного имени пользователя и пароля, а также принимаются необходимые криптографические меры. В случае пожара, наводнения или утраты создается резервная копия цифровых данных с помощью устройств хранения и они шифруются таким образом, чтобы доступ к ним мог получить только уполномоченный персонал. Принимаются другие необходимые меры для предотвращения несанкционированного доступа.

b.3. Проводит необходимые проверки для удостоверения эффективности принятых технических мер.

b.4. Обеспечивается утилизация персональных данных, хранящихся на физических и цифровых носителях, таким образом, чтобы они не могли быть переработаны и не оставляли следа проверок.

С- ХРАНЕНИЕ И УТИЛИЗАЦИЯ

Персональные данные, принадлежащие субъектам данных, надежно хранятся компанией Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. на указанных выше физических или электронных носителях в целях поддержания предоставляемых медицинских услуг, выполнения юридических обязательств, защиты и реализации прав клиентов и других лиц, а также управления отношениями с клиентами в пределах, установленных Законом о защите персональных данных и другим соответствующим законодательством.

Причины хранения информации заключаются в следующем:

а. Хранение персональных данных, поскольку они непосредственно связаны с заключением и исполнением условий договоров,

1. В целях установления, осуществления или защиты права на персональные данные,
2. Хранение персональных данных обязательно для соблюдения законных интересов Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. при условии, что это не наносёт ущерба основным правам и свободам физических лиц,
3. Для выполния Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. любых юридических обязательств, вытекающих из правового или договорного соглашения с третьими лицами,

е. В законодательстве четко прописано хранение персональных данных,

1. Явное согласие субъектов данных в части действий по хранению, требующих явного согласия субъектов данных.

В соответствии с Положением, в перечисленных ниже случаях персональные данные субъектов данных удаляются, утилизируются или анонимизируются компанией Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. самостоятельно или по запросу.

а. Изменение или отмена положений соответствующего законодательства, являющихся основанием для обработки или хранения персональных данных,

1. Исчезновение цели, требующей обработки или хранения персональных данных,

с. Исчезновение условий, требующих обработки персональных данных, в соответствии со статьями 5 и 6 Закона.

1. Соответствующее лицо отзывает свое согласие в случаях, обработки персональных данных осуществляющихся только на основании явного согласия,

е. Принятие контролером данных заявления субъекта данных об удалении, утилизация или анонимизация его персональных данных в рамках его прав, предусмотренных подпунктами (e) и (f) статьи 11 Закона,

1. В случаях, когда контролер отклоняет заявление субъекта данных с просьбой об удалении, утилизации или анонимизации персональных данных, признает ответ недостаточным или не дает ответа в установленный Законом срок, подается жалоба в Совет, и этот запрос удовлетворяется Советом,
2. Несмотря на то, что максимальный срок, необходимый для хранения персональных данных, истек, отсутствие обстоятельств, оправдывающих хранение персональных данных в течение более длительного периода времени,

D- ПРОЦЕДУРЫ УТИЛИЗАЦИИ

Персональные данные, полученные Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. в соответствии с Законом о защите персональных данных и другим соответствующим законодательством, будут утилизированы Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. самостоятельно или по заявлению Субъекта данных, в соответствии с положениями Закона и соответствующего законодательства, с помощью следующих методов в соответствии с положениями Закона и соответствующего законодательства, если исчезнут цели обработки персональных данных, перечисленные в Законе и Положении.

а. Методы удаления и утилизации персональных данных

а.1. Утилизация физически хранящихся персональных данных: Физически хранящиеся персональные данные подлежат безвозвратному уничтожению путем затемнения (сжигания, разрыва, разрезания, придания невидимости путем покрытия чернилами и т.п.) по истечении установленного срока (10 лет + 6 месяцев) или в иных случаях, требующих утилизации персональных данных.

а.2. Утилизация персональных данных, хранящихся в цифровом виде: Персональные данные, хранящиеся в цифровом виде, подлежат утилизации путем их безвозвратного удаления из соответствующей базы данных по истечении установленного срока (10 лет + 6 месяцев) или в иных случаях, требующих утилизации персональных данных. Записи с камер наблюдения автоматически удаляются через 7 дней.

В соответствии со статьей 28 Закона о защите персональных данных, если персональные данные обрабатываются для таких целей, как исследования, планирование и статистика, путем их анонимизации с помощью официальных статистических данных, то такая ситуация не подпадает под действие Закона, и явнго согласия не требуется.

Е- СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Срок хранения и утилизации персональных данных, полученных Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  от клиентов и сотрудников в соответствии с положениями Закона о защите персональных данных и других соответствующих законодательных актов; с учетом “10-летнего общего срока давности”, регламентированного статьей 146 Обязательственного кодекса Турции № 6098, и возможных задержек в уведомлениях, регламентирован сроком в 10 лет + 6 месяцев. По истечении этого срока персональные данные будут безвозвратно уничтожены вышеуказанными способами. Таким образом, срок периодической утилизации всех без исключения персональных данных в компании Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. регламентирован сроком в 10 лет + 6 месяцев. В исключительных случаях этот срок составляет 7 дней для записей с камер видеонаблюдения.

F- ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Передача общих категорий персональных данных

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. может передавать персональные данные и специальные категории персональных данных владельца персональных данных третьим лицам (сторонним компаниям, компаниями группы, третьим физическим и юридическим лицам), принимая необходимые меры безопасности в соответствии с законными целями обработки персональных данных. В данном контексте Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  действует в соответствии с правилами, предусмотренными статьей 8 Закона о защите персональных данных.

Персональные данные могут передаваться группами компаниями третьим лицам для законных и правомерных целей обработки персональных данных на основании одного или нескольких условий обработки персональных данных, указанных в статье 5 Закона, перечисленных ниже и на ограниченной основе.

1. Передача специальных категорий персональных данных

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  принимет необходимые меры безопасности и адекватные меры, предусмотренные советом директоров; В соответствии с законными и правомерными целями обработки персональных данных может передавать персональные данные специального характера владельца персональных данных третьим лицам в следующих случаях.

12. ИНВЕНТАРИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  осуществляет инвентаризацию персональных данных в соответствии с бизнес-процессами. В реестр персональных данных будет включена следующая информация;

а. Цель обработки персональных данных

1. Категория данных
2. Передаваемая группа получателей
3. Группа субъектов данных
4. Максимальный срок хранения персональные данные
5. Персональные данные, которые предполагается передавать в иностранные государства
6. Меры, принимаемые для обеспечения безопасности данных
7. ВХОДЫ В ГОЛОВНОЙ ОФИС КОМПАНИИ И ОСУЩЕСТВЛЯЕМАЯ ТАМ ДЕЯТЕЛЬНОСТЬ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ ПОСЕТИТЕЛИ ИНТЕРНЕТ-САЙТОВ

Все обрабатываемые в связи с этим персональные данные будут обрабатываться в рамках соответствующего законодательства и Закона о защите персональных данных.

14. ПРАВА ВЛАДЕЛЬЦА ДАННЫХ И ОСУЩЕСТВЛЕНИЕ ЭТИХ ПРАВ

A- ПРАВА ВЛАДЕЛЬЦА ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъекты персональных данных имеют следующие права:

1. Запрос информации, ведется ли обработка персональных данных,
2. Запрос информации, если персональные данные были обработаны,

с. Запрос информации о целях обработки персональных данных и о том, используются ли они в соответствии с их назначением,

1. Запрос информации о третьих лицах, которым передаются персональные данные внутри страны или за рубежом,
2. Запрашивать исправление персональных данных в случае их неполной или некорректной обработки, а также запрашивать уведомление о совершенной в рамках данного раздела операции у третьих лиц, которым передаются персональные данные,
3. Несмотря на то, что они были обработаны в соответствии с положениями Закона о защите персональных данных и других соответствующих законов, потребовать удаления или утилизацию персональных данных в случае исчезновения причин, требовавших их обработки, а также потребовать уведомления о совершенной в этих рамках операции третьих лиц, которым передаются персональные данные,
4. Возражать против получения результата в ущерб самому лицу путем анализа обрабатываемых данных исключительно с помощью автоматизированных систем,
5. В случае причинения ущерба в результате неправомерной обработки персональных данных требовать возмещения ущерба.

B- СИТУАЦИИ, КОГДА ВЛАДЕЛЕЦ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕ МОЖЕТ ОТСТАИВАТЬ СВОИ ПРАВА

В соответствии со статьей 28 Закона о защите персональных данных владельцы персональных данных не могут отстаивать свои права по следующим вопросам, поскольку следующие случаи исключены из сферы действия Закона о защите персональных данных;

1. Обработка персональных данных для таких целей, как исследования, планирование и статистика, путем их анонимизации с помощью официальной статистики.
2. Обработка персональных данных в художественных, исторических, литературных или научных целях или в рамках свободы выражения мнения, при условии, что такая обработка не нарушает государственную оборону, национальную безопасность, общественную безопасность, общественный порядок, экономическую безопасность, неприкосновенность частной жизни или личных прав, а также не является преступлением.
3. Обработка персональных данных в рамках профилактической, защитной и разведывательной деятельности, осуществляемой государственными учреждениями и организациями, которым законом поручено и разрешено обеспечивать национальную оборону, национальную безопасность, общественную безопасность, общественный порядок или экономическую безопасность.
4. Обработка персональных данных судебными органами или органами принудительного исполнения в связи с проведением расследования, уголовного преследования, вынесением решения или исполнением судебного решения.

В соответствии со статьей 28/2 Закона о защите персональных данных; В перечисленных ниже случаях владельцы персональных данных не могут отстаивать свои другие права, за исключением права требовать возмещения ущерба;

1. Обработка персональных данных необходимых для предотвращения преступлений или уголовного расследования.
2. Обработка персональных данных, обнародованных самим субъектом персональных данных.

с. Обработка персональных данных необходимых для выполнения надзорных или регулирующих функций, а также для проведения дисциплинарного расследования или преследования государственными учреждениями и организациями, а также профессиональными организациями, имеющими характер государственных учреждений, которые уполномочены на это законом.

1. Обработка персональных данных необходимая для защиты экономических и финансовых интересов государства в связи с бюджетными, налоговыми и фискальными вопросами.

С- ОТВЕТ НА ЗАЯВЛЕНИЯ, ПОДАННЫЕ ВЛАДЕЛЬЦЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

В случае если владелец персональных данных обратится к Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.   с просьбой об осуществлении своих законных прав, Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  бесплатно удовлетворит эту просьбу не позднее чем за 30 дней, в зависимости от ее характера. Запрос будет либо принят, либо отклонен, при условии указания причины. Если заявка требует затрат, то с заявителя взимается плата по тарифу, установленному Советом Директоров.

а. Информация, которая может быть запрошена у заявителя

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  может запросить у соответствующего лица информацию и документы для того, чтобы определить, является ли заявитель владельцем персональных данных. Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  может задавать вопросы субъекту персональных данных по его заявлению с целью уточнения вопросов, содержащихся в заявлении субъекта персональных данных.

1. Отказ в приеме заявления

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.  может отклонить заявление заявителя с объяснением причины в следующих случаях;

а.  Обработка персональных данных для таких целей, как исследования, планирование и статистика, путем их анонимизации с помощью официальной статистики.

1. Обработка персональных данных в художественных, исторических, литературных или научных целях или в рамках свободы выражения мнения, при условии, что такая обработка не нарушает государственную оборону, национальную безопасность, общественную безопасность, общественный порядок, экономическую безопасность, неприкосновенность частной жизни или личных прав, а также не является преступлением.
2. Обработка персональных данных в рамках профилактической, защитной и разведывательной деятельности, осуществляемой государственными учреждениями и организациями, которым законом поручено и разрешено обеспечивать национальную оборону, национальную безопасность, общественную безопасность, общественный порядок или экономическую безопасность.
3. Обработка персональных данных судебными органами или органами принудительного исполнения в связи с проведением расследования, уголовного преследования, вынесением решения или исполнением судебного решения.
4. Обработка персональных данных необходимых для предотвращения преступлений или уголовного расследования.
5. Обработка персональных данных, обнародованных самим субъектом персональных данных.
6. Обработка персональных данных необходимых для выполнения надзорных или регулирующих функций, а также для проведения дисциплинарного расследования или преследования государственными учреждениями и организациями, а также профессиональными организациями, имеющими характер государственных учреждений, которые уполномочены на это законом.
7. Обработка персональных данных необходима для защиты экономических и финансовых интересов государства в связи с бюджетными, налоговыми и фискальными вопросами.
8. Если просьба владельца персональных данных может воспрепятствовать осуществлению прав и свобод других лиц.
9. Предъявление требований, которые требовали непропорционально больших усилий.
10. Запрашивание общедоступной информации.
11. ДЕЯТЕЛЬНОСТЬ

Настоящая политика вступает в силу с даты подписания, указанной ниже, и действует до тех пор, пока не будет составлена новая, или пока Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti.   не прекратит свою деятельность, или данный текст политики не будет юридически отменен.

16. ПРОВЕРКИ

Должностное лицо Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. должно проводить все виды проверок, с предварительным уведомлением персонала или без него, с целью определения того, соблюдаются ли в компании принципы, изложенные в настоящей политике. Он контролирует документы и записи, осуществляет необходимую организацию, принимает необходимые меры для того, чтобы документы, относящиеся к предмету, были прочитаны и подписаны соответствующим лицом путем их прочтения и понимания, а также осуществляет другие проверки и контроль, которые считает необходимыми, проводит необходимое обучение персонала лично или обеспечивает его проведение третьими лицами.

ПРИЛОЖЕНИЯ

1- Наименование должности персонала и список обязанностей

2- Таблица сроков хранения и утилизации персональных данных

ПРИЛОЖЕНИЕ-1. НАИМЕНОВАНИЕ ДОЛЖНОСТИ СОТРУДНИКА,  ПОДРАЗДЕЛЕНИЕ И СПИСОК ОБЯЗАННОСТЕЙ

ОТВЕТСТВЕННЫЙ ПЕРСОНАЛ

Представитель компании: Является основным ответственным за реализацию данной политики. В связи с этим он принимает всевозможные меры для обеспечения соответствия деятельности компании правовому законодательству о защите персональных данных и принципам, изложенным в тексте настоящей политики, проводит необходимые инструктажи персонала и осуществляет аудиторские проверки.

Персонал: При выполнении своих обязанностей в компании они обязаны соблюдать принципы и процедуры, предусмотренные всеми законодательными актами по данному вопросу, в особенности Законом № 6698 о защите персональных данных, а также принципы и положения, указанные в данной политике. Он обязан выполнять данные ему инструкции при обработке, хранении и утилизации персональных данных.

ПРИЛОЖЕНИЕ-2. ТАБЛИЦА СРОКОВ ХРАНЕНИЯ И УТИЛИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

При условии, что это не противоречит срокам, установленным другими законами;

ПЕРСОНАЛ/ ЛИЧНОЕ ДОСЬЕ	Он будет удален, уничтожен или анонимизирован в течение 180 дней после окончания периода 10-лет  + 6-месяцев хранения после прекращения деловых отношений.
УЧЕТ ЗАРАБОТНОЙ ПЛАТЫ	Он будет удален, уничтожен или анонимизирован в течение 180 дней после окончания периода 10-лет  + 6-месяцев хранения после прекращения деловых отношений.
ОХРАНА ТРУДА И ТЕХНИКА БЕЗОПАСНОСТИ	Он будет удален, уничтожен или анонимизирован в течение 180 дней после окончания периода 10-лет  + 6-месяцев хранения после прекращения деловых отношений.
СИСТЕМЫ ВИДЕОНАБЛЮДЕНИЯ	Записи с камер наблюдения хранятся в течение 7 дней и по истечении этого срока автоматически удаляются.
ПРОЦЕССЫ КАДРОВОГО ФИНАНСИРОВАНИЯ	Он будет удален, уничтожен или анонимизирован в течение 180 дней после окончания периода 10-лет  + 6-месяцев хранения после прекращения деловых отношений.
ВЕДЕНИЕ ДОКУМЕНТАЦИИ ПО ОБУЧЕНИЮ	Они удаляются, уничтожаются или анонимизируются в течение 180 дней после окончания 10-летнего периода хранения и в течение 30 дней после заявления владельца данных.
ДОСЬЕ И ИНФОРМАЦИЯ, КАСАЮЩАЯСЯ ДОСЬЕ КЛИЕНТОВ И ДРУГИХ ЧАСТНЫХ ЮРИДИЧЕСКИХ ЛИЦ, С КОТОРЫМИ БЫЛИ ЗАКЛЮЧЕНЫ ДОГОВОРА	По истечении срока действия контракта он будет удален, уничтожен или анонимизирован в течение 180 дней после окончания периода хранения 10 лет + 6 месяцев.

 

Redtulip Turizm Sağlık Hiz.Tic.San.Ltd.Şti. (MUCH BETTER TRAVEL – Номер агентства : 14112)

(15.04.2022)