سياسة تخزين البيانات والتخلص منها
سياسة تخزين البيانات والتخلص منها
1. الهدف والنطاق
تلتزم شركة BULKOON لصناعة الأحذية والمنتجات الجلدية ("شركتنا") بالامتثال للتشريعات القانونية ذات الصلة، بما في ذلك حماية البيانات الشخصية ومعالجتها والتخلص منها. تتضمن سياسة تخزين البيانات والتخلص منها هذه ("السياسة") الإطار والأسس اللازمة لإجراء أعمال التخزين والتخلص وفقًا للتشريعات ذات الصلة.
بموجب اللائحة الصادرة في الجريدة الرسمية بتاريخ 28 أكتوبر 2017 ورقم 30224 بشأن حذف البيانات الشخصية أو تدميرها أو جعلها مجهولة الهوية ("اللائحة")، يتعين على مسؤولي البيانات إعداد سياسة تخزين البيانات والتخلص منها وفقًا لجرد معالجة البيانات الشخصية. الهدف من هذه السياسة، التي تم إعدادها بناءً على التنظيم أعلاه، هو تحديد العمليات اللازمة لحذف أو تدمير أو جعل البيانات الشخصية التي تعالجها شركتنا مجهولة الهوية، بالإضافة إلى تحديد الأدوار والمسؤوليات للأشخاص المعنيين في هذه العمليات.
تشمل نطاق هذه السياسة؛ المدة القصوى لتخزين البيانات الشخصية، والتدابير الفنية والإدارية المتخذة لتخزين البيانات الشخصية بشكل قانوني والتخلص منها، بالإضافة إلى الوحدات المسؤولة عن تنفيذ العمليات ذات الصلة داخل شركتنا وبيئات التسجيل؛
2. التعريفات
البيئة الإلكترونية: الأماكن التي يمكن فيها إنشاء البيانات الشخصية وقراءتها وتعديلها وكتابتها باستخدام الأجهزة الإلكترونية،
البيئة غير الإلكترونية: جميع الأماكن الأخرى المكتوبة والمطبوعة والمرئية وما إلى ذلك،
القانون: قانون حماية البيانات الشخصية رقم 6698،
البيانات الشخصية: أي معلومات تتعلق بشخص حقيقي محدد أو يمكن تحديده،
معالجة البيانات الشخصية: جميع العمليات التي يتم تنفيذها على البيانات، مثل الحصول عليها وتسجيلها وتخزينها وحفظها وتعديلها وإعادة تنظيمها والإفصاح عنها ونقلها واستلامها وجعلها متاحة وتصنيفها أو منع استخدامها، سواء كانت آلية بالكامل أو جزئيًا أو غير آلية كجزء من نظام تسجيل البيانات،
مسؤول البيانات: شركة BULKOON لصناعة الأحذية والمنتجات الجلدية كشخص اعتباري،
لجنة حماية البيانات: اللجنة المعنية بحماية البيانات التي سيتم تشكيلها لمتابعة العمليات الإدارية وفقًا لقانون حماية البيانات الشخصية واللوائح الفرعية المعينة من قبل مسؤول البيانات،
الشخص المعني: الشخص الحقيقي الذي تتم معالجة بياناته الشخصية،
الهيئة: مجلس حماية البيانات الشخصية،
جعل البيانات مجهولة الهوية: جعل البيانات الشخصية غير مرتبطة بأي شكل من الأشكال بشخص حقيقي محدد أو يمكن تحديده، حتى عند مطابقتها مع بيانات أخرى،
التخلص: حذف البيانات الشخصية أو تدميرها أو جعلها مجهولة الهوية،
بيئة التسجيل: أي بيئة تحتوي على بيانات شخصية تم معالجتها بالكامل أو جزئيًا بطرق آلية أو غير آلية كجزء من نظام تسجيل البيانات،
جرد معالجة البيانات الشخصية: الجرد الذي يتم إنشاؤه من خلال ربط أنشطة معالجة البيانات الشخصية بأغراض المعالجة وفئات البيانات ومجموعات المستلمين المعنيين ومجموعات الأشخاص المعنيين، والذي يوضح ويشرح التدابير المتخذة لضمان أمان البيانات،
سياسة تخزين البيانات والتخلص منها/السياسة: هذه السياسة التي يعتمد عليها مسؤولو البيانات في تحديد المدة القصوى اللازمة لمعالجة البيانات الشخصية وإجراءات الحذف والتدمير وجعلها مجهولة الهوية،
التخلص الدوري: الإجراءات التي سيتم تنفيذها تلقائيًا في فترات متكررة وفقًا لسياسة تخزين البيانات والتخلص منها، في حالة زوال جميع شروط معالجة البيانات الشخصية المنصوص عليها في القانون،
المستخدم المعني: الأشخاص الذين يقومون بمعالجة البيانات الشخصية ضمن منظمة مسؤول البيانات، باستثناء الشخص أو الوحدة المسؤولة عن تخزين البيانات الشخصية وحمايتها ونسخها احتياطيًا، وفقًا للتفويضات والتعليمات الممنوحة لهم من قبل مسؤول البيانات.
اللائحة: اللائحة بشأن حذف البيانات الشخصية أو تدميرها أو جعلها مجهولة الهوية
VERBİS: نظام معلومات سجل مسؤولي البيانات
3. بيئات التسجيل
خلال أنشطة شركتنا، يتم جمع البيانات الشخصية من الموظفين ومرشحي العمل والعملاء والعملاء المحتملين والزوار وموظفي الموردين والسلطات، ويتم تخزين البيانات الشخصية المجمعة بشكل قانوني في البيئات الموضحة أدناه:
البيئات الإلكترونية
الخوادم (النطاق، النسخ الاحتياطي، البريد الإلكتروني، قاعدة البيانات، الويب، مشاركة الملفات، إلخ.)
البرمجيات (برامج المكتب، البوابة، EBYS، VERBİS.)
أجهزة أمان المعلومات (جدار الحماية، اكتشاف الهجمات ومنعها، سجلات اليومية، مضاد الفيروسات، إلخ.)
أجهزة الكمبيوتر الشخصية (سطح المكتب، المحمول)
الأجهزة المحمولة (الهاتف، الجهاز اللوحي، إلخ.)
الأقراص الضوئية (CD، DVD، إلخ.)
وسائط التخزين القابلة للإزالة (USB، بطاقة الذاكرة، إلخ.)
الطابعات، الماسحات الضوئية، آلات النسخ
البيئات غير الإلكترونية
الورق
أنظمة تسجيل البيانات اليدوية (استمارات الاستبيان، استمارات الخدمة، استمارات طلب العمل)
بيئات أخرى مكتوبة ومطبوعة ومرئية
المسؤولية
لتنفيذ ومتابعة نشر هذه السياسة وتحديثها، سيتم تشكيل لجنة حماية البيانات من قبل مجلس إدارة شركتنا، وستكون اللجنة مخولة بجميع الأمور المتعلقة بذلك. تتكون لجنة حماية البيانات من مدير الموارد البشرية ومدير الشؤون الإدارية ومدير تكنولوجيا المعلومات. تقوم لجنة حماية البيانات بالمهام والمسؤوليات التالية؛
ضمان توافق مدة تخزين البيانات الشخصية،
إدارة عملية التخلص من البيانات الشخصية خلال فترة التخلص الدوري،
مراجعة السياسة على الأقل سنويًا،
إعداد ونشر إجراءات تخزين البيانات الشخصية والتخلص منها، والتي ستنظم قواعد المعالجة بالتفصيل، بالإضافة إلى الإجراءات الأخرى التي تراها ضرورية، استنادًا إلى السياسة،
توزيع المهام اللازمة لتنفيذ السياسة والإجراءات، وتفويض الأشخاص المناسبين وتنظيم التدريب بشأن الامتثال للقانون،
متابعة تنفيذ جميع التدابير الفنية والإدارية المتخذة بموجب المادة 12 من القانون، وتخطيط الرقابة عليها،
تحديد الأمور التي يجب القيام بها لضمان الامتثال للقانون والتشريعات ذات الصلة، ومراقبة تنفيذها وتوفير التنسيق اللازم،
متابعة العمليات المتعلقة بالطلبات والمطالبات المقدمة من الأشخاص المعنيين الذين تتم معالجة بياناتهم الشخصية، وضمان اتخاذ الإجراءات اللازمة لحل المشكلات التي قد تنشأ بشأن تنفيذ القانون و/أو السياسة والإجراءات،
إدارة العلاقات مع الهيئة.
5. أسباب الحاجة إلى تخزين البيانات
تم تعريف مفهوم معالجة البيانات الشخصية في المادة 3 من القانون، وفي المادة 4 من القانون، تم وضع شروط معالجة البيانات الشخصية، بما في ذلك:
a) أن تكون متوافقة مع القانون وقواعد النزاهة.
b) أن تكون صحيحة ومحدثة عند الحاجة.
c) أن تتم معالجتها لأغراض محددة وواضحة ومشروعة.
d) أن تكون مرتبطة بالغرض الذي تمت معالجتها من أجله، ومحدودة ومتناسبة.
e) الالتزام بالمبادئ المتعلقة بالحفاظ عليها للمدة اللازمة وفقًا للتشريعات ذات الصلة أو للغرض الذي تمت معالجتها من أجله.
تم ذكر شروط معالجة البيانات الشخصية في المواد 5 و6 من القانون. وفقًا لذلك، يتم الاحتفاظ بالبيانات الشخصية ضمن أنشطة شركتنا للمدة اللازمة وفقًا للتشريعات ذات الصلة أو لأغراض المعالجة.
5.1. الأسباب القانونية
قانون حماية البيانات الشخصية رقم 6698،
قانون الالتزامات التركي رقم 6098،
قانون التجارة التركي رقم 6102،
قانون الضمان الاجتماعي والتأمين الصحي العام رقم 5510،
قانون تنظيم البث عبر الإنترنت ومكافحة الجرائم المعالجة من خلال هذه البث رقم 5651،
قانون الصحة والسلامة المهنية رقم 6331،
قانون العمل رقم 4857،
التشريعات الثانوية الأخرى السارية بموجب هذه القوانين.
5.2. أغراض المعالجة التي تتطلب التخزين
يتم الاحتفاظ بالبيانات الشخصية المحتفظ بها ضمن شركتنا وفقًا للقانون وسياسة البيانات الشخصية لدينا (يمكن الوصول إلى السياسة ذات الصلة على https://bulkoon.com/kvk-politikasi)، للأغراض والأسباب المذكورة هنا.
6. التدابير الفنية والإدارية
تتخذ شركتنا جميع التدابير الفنية والإدارية اللازمة لضمان تخزين البيانات الشخصية بشكل آمن ومنع معالجتها والوصول إليها بشكل غير قانوني، وفقًا لطبيعة البيانات الشخصية والبيئة التي يتم الاحتفاظ بها فيها.
تشمل هذه التدابير، دون حصر، التدابير الإدارية والفنية التالية، بما يتناسب مع طبيعة البيانات الشخصية والبيئة التي يتم الاحتفاظ بها فيها.
6.1. التدابير الفنية
يتم ضمان أمان الشبكة وأمان التطبيقات.
يتم استخدام شبكة مغلقة لنقل البيانات الشخصية عبر الشبكة.
يتم تطبيق إدارة المفاتيح.
يتم اتخاذ تدابير الأمان المتعلقة بتوريد وتطوير وصيانة أنظمة تكنولوجيا المعلومات.
يتم ضمان أمان البيانات الشخصية المخزنة في السحابة.
تم إنشاء مصفوفة صلاحيات للموظفين.
يتم الاحتفاظ بسجلات الوصول بانتظام.
يتم تطبيق تدابير إخفاء البيانات عند الحاجة.
يتم استخدام أنظمة مضاد الفيروسات الحديثة.
يتم استخدام جدران الحماية.
تُتخذ تدابير أمان إضافية للبيانات الشخصية المنقولة عبر الورق، ويتم إرسال الوثائق ذات الصلة بصيغة مستندات سرية.
يتم متابعة أمان البيانات الشخصية.
تُتخذ التدابير الأمنية اللازمة بشأن الدخول والخروج من البيئات الفيزيائية التي تحتوي على بيانات شخصية.
يتم ضمان أمان البيئات الفيزيائية التي تحتوي على بيانات شخصية ضد المخاطر الخارجية (مثل الحرائق، الفيضانات، إلخ).
يتم ضمان أمان البيئات التي تحتوي على بيانات شخصية.
يتم تقليل البيانات الشخصية قدر الإمكان.
يتم نسخ البيانات الشخصية احتياطيًا، ويتم ضمان أمان البيانات الشخصية المنسخة احتياطيًا.
يتم تطبيق نظام إدارة حسابات المستخدمين ونظام التحكم في الصلاحيات، ويتم متابعة ذلك.
يتم الاحتفاظ بسجلات السجل بطريقة لا تتطلب تدخل المستخدم.
تم تحديد المخاطر والتهديدات الحالية.
إذا كانت البيانات الشخصية الحساسة ستُرسل عبر البريد الإلكتروني، فيجب إرسالها مشفرة وباستخدام حساب بريد إلكتروني مؤسسي أو KEP.
يتم استخدام أنظمة اكتشاف ومنع الهجمات.
يتم إجراء اختبارات اختراق.
تم اتخاذ تدابير الأمن السيبراني، ويتم متابعة تنفيذها باستمرار.
يتم تطبيق التشفير.
يتم استخدام برامج منع فقدان البيانات.
6.2. التدابير الإدارية
توجد لوائح انضباطية تتضمن أحكام أمان البيانات للموظفين.
يتم إجراء تدريبات وورش عمل لزيادة الوعي بشأن أمان البيانات للموظفين بشكل دوري.
تم إعداد سياسات مؤسسية بشأن الوصول وأمان المعلومات والاستخدام والتخزين والتخلص، وتم البدء في تنفيذها.
يتم توقيع تعهدات بالسرية.
يتم إلغاء صلاحيات الموظفين الذين تم تغيير مهامهم أو الذين تركوا العمل في هذا المجال.
تتضمن العقود الموقعة أحكام أمان البيانات.
تم تحديد سياسات وإجراءات أمان البيانات الشخصية.
يتم الإبلاغ عن مشكلات أمان البيانات الشخصية بسرعة.
تُجرى عمليات تدقيق دورية و/أو عشوائية داخل المؤسسة.
تم تحديد وتنفيذ بروتوكولات وإجراءات أمان البيانات الشخصية الحساسة.
يتم إجراء تدقيق دوري لمزودي الخدمات الذين يعالجون البيانات بشأن أمان البيانات.
يتم ضمان وعي مزودي الخدمات الذين يعالجون البيانات بشأن أمان البيانات.
7. أسباب الحاجة إلى التخلص من البيانات
تتم معالجة البيانات الشخصية المحتفظ بها ضمن شركتنا؛
تغيير أو إلغاء أحكام التشريعات ذات الصلة التي تشكل أساس المعالجة،
زوال الغرض الذي يتطلب معالجتها أو تخزينها،
في الحالات التي تتم فيها معالجة البيانات الشخصية بناءً على شرط الموافقة الصريحة فقط، سحب الشخص المعني لموافقته الصريحة،
قبول طلب الشخص المعني بحذف أو تدمير بياناته الشخصية وفقًا للمادة 11 من القانون من قبل شركتنا،
رفض شركتنا طلب الشخص المعني بحذف أو تدمير أو جعل بياناته الشخصية مجهولة الهوية، أو اعتباره غير كافٍ، أو عدم الرد في الوقت المحدد المنصوص عليه في القانون؛ في هذه الحالات، يمكن تقديم شكوى إلى الهيئة، وإذا تم اعتبار هذا الطلب مناسبًا من قبل الهيئة،
انقضاء المدة القصوى التي تتطلب تخزين البيانات الشخصية، وعدم وجود أي شرط يبرر الاحتفاظ بالبيانات لفترة أطول،
في هذه الحالات، يتم حذف البيانات أو تدميرها أو جعلها مجهولة الهوية بناءً على طلب الشخص المعني.
7. طرق التخلص
7.1. حذف البيانات
هو إجراء يجعل البيانات الشخصية غير قابلة للوصول أو الاستخدام مرة أخرى من قبل المستخدمين المعنيين.
البيانات الشخصية الموجودة في البيئات الفيزيائية: يتم جعل البيانات التي انتهت مدة تخزينها غير قابلة للوصول أو الاستخدام مرة أخرى بأي شكل من الأشكال. في هذا السياق، يمكن استخدام طريقة الإخفاء. تتم طريقة الإخفاء عن طريق جعل البيانات الشخصية الموجودة على الوثائق غير مرئية للمستخدمين الآخرين باستخدام حبر ثابت بحيث لا يمكن استردادها في الحالات الممكنة.
البيانات الشخصية الموجودة في البيئات الإلكترونية: يتم استخدام طرق لحذف البيانات من البرمجيات بشكل لا يمكن استرداده مرة أخرى.
7.2. تدمير البيانات
هو إجراء يجعل البيانات الشخصية غير قابلة للوصول أو الاسترداد أو الاستخدام مرة أخرى من قبل أي شخص.
يتم تدمير البيانات التي انتهت مدة تخزينها في هذه البيئات باستخدام الطرق المناسبة للتدمير الفيزيائي أو الكتابة فوقها.
أجهزة الشبكة: يتم تدميرها باستخدام الطرق المناسبة مثل المغنطة أو التدمير الفيزيائي أو الكتابة فوقها.
الوسائط المعتمدة على الفلاش: يتم تدميرها باستخدام الطرق التي يوصي بها المصنع أو الطرق المناسبة للتدمير الفيزيائي أو الكتابة فوقها.
بطاقات SIM وبطاقات الذاكرة الثابتة: يتم تدميرها باستخدام الطرق المناسبة للتدمير الفيزيائي أو الكتابة فوقها.
الأقراص الضوئية: يتم تدميرها باستخدام الطرق الفيزيائية.
الطابعات وأنظمة دخول الأبواب المعتمدة على بصمة الإصبع: يتم تدميرها باستخدام الطرق المناسبة للتدمير الفيزيائي أو الكتابة فوقها.
البيئات الورقية وما إلى ذلك: يتم تدمير البيانات الشخصية الموجودة في البيئات الورقية باستخدام آلات تدمير الورق.
7.3. جعل البيانات مجهولة الهوية
هو إجراء يجعل البيانات الشخصية غير مرتبطة بأي شكل من الأشكال بشخص حقيقي محدد أو يمكن تحديده، حتى عند مطابقتها مع بيانات أخرى. يتم جعل البيانات مجهولة الهوية عن طريق إزالة أو تغيير جميع المعرفات المباشرة و/أو غير المباشرة في مجموعة البيانات، مما يمنع تحديد هوية الشخص المعني أو فقدان خاصية التمييز في مجموعة أو حشد، بحيث لا يمكن ربطها بشخص حقيقي. تعتبر البيانات التي لا تشير إلى شخص معين بيانات مجهولة الهوية. تشمل جميع الإجراءات التي يتم تنفيذها على السجلات في نظام تسجيل البيانات الشخصية، مثل التجميع أو الإخفاء أو الاشتقاق أو التعميم أو جعلها عشوائية، طرق جعل البيانات مجهولة الهوية. يتم اتخاذ الإجراءات بناءً على ما إذا كانت هناك مخاطر من عكس البيانات الشخصية المجهولة الهوية إلى حالة يمكن فيها تحديد الهوية أو تمييز الأشخاص الحقيقيين.
8. فترات التخزين وفقًا للتشريعات ذات الصلة
يتم تحديد فترات التخزين لجميع البيانات الشخصية المحتفظ بها ضمن شركتنا. عند تحديد فترات التخزين، يتم أخذ التشريعات ذات الصلة في الاعتبار أولاً، وإذا لم يكن هناك فترة محددة بموجب التشريعات ذات الصلة، يتم أخذ المدة اللازمة لغرض معالجة البيانات الشخصية في الاعتبار. يتم تضمين الفترات ذات الصلة في جرد معالجة البيانات الشخصية وVERBİS.
يتم الاحتفاظ بالبيانات الشخصية المذكورة في جرد معالجة البيانات الشخصية وفقًا للتشريعات القانونية الواردة أدناه، ما لم يكن هناك أي حالة قانونية تقطع أو توقف فترة التقادم، ويتم التخلص منها في أول فترة التخلص الدوري بعد انتهاء فترة التخزين.
فئة البيانات
مدة تخزين البيانات
الهوية
العلاقة القانونية/عقد العمل/انتهاء العمل +10 سنوات
الاتصال
العلاقة القانونية/عقد العمل/انتهاء العمل +10 سنوات
الموقع
العلاقة القانونية/عقد العمل/انتهاء العمل +10 سنوات
الإجراءات القانونية
حتى يصبح قرار المحكمة المعني نهائيًا أو حتى انتهاء فترات التقادم
معاملات العملاء
العلاقة القانونية/عقد العمل/انتهاء العمل +10 سنوات
أمان المعاملات
5 سنوات
إدارة المخاطر
العلاقة القانونية/عقد العمل/انتهاء العمل +10 سنوات
المالية
العلاقة القانونية/عقد العمل/انتهاء العمل +10 سنوات
التسويق
العلاقة القانونية/عقد العمل/انتهاء العمل +10 سنوات
9. فترة التخلص الدوري
وفقًا للمادة 11 من اللائحة، حددت شركتنا فترة التخلص الدوري بـ 6 أشهر.
عند تقديم طلب لشركتنا لحذف أو تدمير البيانات الشخصية الخاصة به، يتم تقييم الطلب وفقًا لما إذا كانت شروط معالجة البيانات الشخصية قد زالت أم لا. إذا كانت شروط معالجة البيانات الشخصية قد زالت تمامًا، تقوم شركتنا بحذف أو تدمير أو جعل البيانات الشخصية موضوع الطلب مجهولة الهوية. إذا لم تكن شروط معالجة البيانات الشخصية قد زالت تمامًا، يتم رفض الطلب مع توضيح الأسباب. يتم إنهاء الطلبات في جميع الحالات خلال 30 يومًا وإبلاغ الشخص المعني.
يتم تسجيل جميع العمليات المتعلقة بحذف البيانات الشخصية وتدميرها وجعلها مجهولة الهوية، ويتم الاحتفاظ بهذه السجلات، باستثناء الالتزامات القانونية الأخرى، لمدة لا تقل عن 3 (ثلاث) سنوات.
10. فترة تحديث السياسة
يتم مراجعة السياسة من قبل لجنة حماية البيانات حسب الحاجة وتحديث الأقسام اللازمة.
11. سريان السياسة
تدخل هذه السياسة حيز التنفيذ بعد نشرها على موقع شركتنا. تعتبر سارية وملزمة اعتبارًا من هذا التاريخ.