个人数据保护、处理与销毁政策
ERGİNOĞLU VE ÇALIŞLAR MİMARLIK İNŞAAT TİCARET VE TURİZM A.Ş.
个人数据保护、处理与销毁政策
1- 引言
埃尔吉诺格鲁与恰拉什建筑工程贸易旅游股份有限公司(以下简称“埃尔吉诺格鲁-恰拉什”或“本公司”)高度重视个人数据安全问题,包括使用本公司产品及服务的客户、业务合作伙伴在内,对与本公司相关的所有个人数据安全均保持高度敏感。”)高度重视个人数据的安全性,将根据第6698号《个人数据保护法》(“KVKK”)处理和存储与本公司相关的所有个人数据,包括使用本公司产品和服务的客户及业务合作伙伴的数据。
本《个人数据保护与处理政策》(以下简称“政策”)规定了Erginoğlu-Çalışlar在个人数据保护、存储和销毁方面采用的基本原则,并作为公司政策实施以实现可持续性。
目的
本政策旨在明确Erginoğlu-Çalışlar依据相关法律法规开展个人数据处理、保护、存储以及已处理个人数据的删除、销毁、匿名化等相关程序和原则,并向Erginoğlu-Çalışlar处理的个人数据主体告知相关事项。
适用范围
本政策适用于客户、网站用户、员工、应聘者、公司管理人员、访客、业务合作伙伴(供应商、承包商及与我们存在业务关系的机构的授权人员、股东和员工)以及第三方的所有个人数据,无论该数据是通过自动化方式处理,还是通过非自动化方式处理但属于任何数据记录系统的一部分。
在此范围内,上述个人数据主体群体可适用本政策全部条款,也可仅适用部分条款。
政策与相关法规的适用
本政策依据第6698号《个人数据保护法》、第30286号《数据责任人登记条例》及第30224号《个人数据删除、销毁或匿名化条例》制定。
关于个人数据的处理、保护和销毁,现行相关法规将优先适用。若法规与本政策存在冲突,Erginoğlu-Çalışlar接受现行法规的适用。
政策生效
Erginoğlu-Çalışlar制定的本政策已于2020年10月15日通过Erginoğlu-Çalışlar网站发布并生效。本政策可能因法律变更、Erginoğlu-Çalışlar个人数据处理流程调整或其他原因不时更新。
若政策整体或特定条款更新,政策生效日期将相应调整。本政策发布于公司官网(https://www.ecarch.com),并应个人数据主体要求向相关人员提供查阅。
定义
本政策适用范围内使用的定义如下:
| 明确同意 | 针对特定事项,基于充分告知且自由意志表达的同意 |
| 接收方类别 | 数据控制者向其传输个人数据的自然人或法人类别 |
| 匿名化处理 | 通过与其他数据进行匹配等方式,使个人数据无法与任何特定或可识别的自然人建立关联的处理方式 |
| 员工 | 根据《劳动法》与Erginoğlu-Çalışlar存在雇佣关系的员工,以及接受实习(强制/自愿)培训的学生/毕业生 |
| 相关用户 | 除负责数据技术存储、保护和备份的人员或部门外,在Erginoğlu-Çalışlar组织内部或根据Erginoğlu-Çalışlar授权和指示处理个人数据的人员 |
| 销毁 | 以无法恢复的方式删除、销毁或匿名化个人数据 |
| 记录介质 | 包含全部或部分自动处理,或作为任何数据记录系统组成部分的非自动处理方式处理的个人数据的任何介质 |
| 个人数据 | 与身份已确定或可确定的自然人相关的任何信息 |
| 相关人员 | 个人数据被处理的自然人 |
| 个人数据处理 | 通过完全或部分自动化的方式,或作为任何数据记录系统的一部分通过非自动化方式获取、记录、存储、保存、修改、重新整理、披露、传输、接收、使之可获取、分类或阻止使用个人数据等对数据进行的任何操作 |
| 个人数据清单 | 数据负责人根据业务流程开展的个人数据处理活动;通过关联个人数据处理目的、数据类别、接收方群体及数据主体群体所建立的清单,其中详细说明了: 向外国传输的个人数据以及为保障数据安全所采取的措施。 |
| 个人数据保护委员会 | Erginoğlu-Çalışlar为确保个人数据保护法规的合规性、维护、持续实施、管理及发展而设立的委员会,该委员会拥有决策权及向高层管理层汇报的权限,并为此目的在Erginoğlu-Çalışlar内部进行必要协调,由不同部门的授权人员组成。 |
| 委员会 | 个人数据保护委员会 |
| 机构 | 个人数据保护机构 |
| KVKK / 法律 | 第6698号《个人数据保护法》 |
| 特殊类别个人数据 | 个人种族、民族、政治思想、哲学信仰、宗教、教派或其他信仰、着装、协会、基金会或工会会员身份、健康状况、性生活、刑事定罪及安全措施相关数据,以及生物识别和遗传数据 |
| 定期销毁 | 当法律规定的个人数据处理条件全部消失时,根据个人数据处理、存储和销毁政策规定,以固定间隔主动实施的删除、销毁或匿名化操作 |
| 政策 | Erginoğlu-Çalışlar公司关于个人数据处理、存储和销毁所遵循原则的《个人数据保护、处理和销毁政策》 |
| 删除 | 使相关用户无法访问且无法再次使用个人数据的操作 |
| 数据处理者 | 基于数据控制者授予的授权,代表其处理个人数据的自然人或法人 |
| 数据控制者 | 确定个人数据处理目的和手段,负责建立和管理数据记录系统的自然人或法人 |
| 数据记录系统 | 根据特定标准对个人数据进行结构化处理的记录系统 |
| 数据控制者登记册 | 由个人数据保护机构主席办公室保存并向公众开放的数据负责人登记册 |
| 销毁 | 使个人数据无法被任何人以任何方式访问、恢复或再次使用的操作 |
本政策未涵盖的定义适用《个人数据保护法》的定义。
2- 个人数据处理相关一般事项
Erginoğlu-Çalışlar在开展个人数据处理活动时
- 遵循一般原则
- 个人数据处理条件
- 特殊性质个人数据处理条件
进行操作。
根据一般原则处理个人数据
符合法律和诚信原则的处理
Erginoğlu-Çalışlar在处理个人数据时,遵循法律法规规定的原则以及普遍信任和诚信原则。在此框架下,本公司依法、诚信且透明地开展个人数据处理活动。
确保个人数据准确且及时更新
Erginoğlu-Çalışlar;在处理个人数据时,充分考虑数据主体的基本权利及其合法权益,竭尽全力确保所处理的个人数据准确且及时更新。为此,我们采取必要的行政和技术措施,并为数据主体提供修改个人数据及核实其准确性的途径。
为特定、明确且合法的目的处理个人数据
Erginoğlu-Çalışlar明确且确定地界定个人数据处理目的,并在公开、合法且符合法律的目的范围内开展数据处理活动。
个人数据处理与目的相关、有限且适度
Erginoğlu-Çalışlar仅在与数据处理目的相关且符合该目的要求的情况下处理个人数据。避免处理与数据处理目的无关或非必要的个人数据。
在相关法规规定或处理目的所需期限内保存
Erginoğlu-Çalışlar仅在相关法规规定或处理目的所需的时间内保存个人数据。在此范围内,首先确定相关法规是否规定了个人数据的保存期限,若已规定期限则据此执行;若未规定期限,则根据处理目的所需时间保存个人数据。期限届满或处理原因消失时,个人数据将由我方删除、销毁或匿名化处理。相关详细信息详见本政策第5章。
根据个人数据处理条件进行处理
Erginoğlu-Çalışlar根据个人数据保护法规规定的数据处理条件开展个人数据处理活动。在此背景下,个人数据处理活动仅在满足以下数据处理条件时方可实施:
获取明确同意
根据法律规定,未经相关人员明确同意,不得处理其个人数据。Erginoğlu-Çalışlar在开展个人数据处理活动时,要求相关人员必须“在充分知情、明确无误且仅限于数据处理目的的前提下”,自由地给予处理其个人数据的明确同意。
无需征得明确同意的个人数据处理例外情形
在满足法律规定的下列任一条件时,Erginoğlu-Çalışlar可无需征得明确同意处理个人数据:
法律明确规定的情形
当相关人员的个人数据在法律中明确规定时,可在相关法律规定的范围内依法处理。
因实际不可行而无法获得相关人员明确同意且必须处理个人数据的情况
因实际不可能而无法表达同意,或其同意不具有法律效力的个人,为保护其本人或他人生命或身体完整所必需时,可在未经明确同意的情况下处理其个人数据。例如,当个人因意识不清无法获得明确同意时,为保护其生命或身体完整性,在实施医疗干预期间可处理相关个人的个人数据。
个人数据处理活动与合同订立或履行直接相关
只要与合同订立或履行直接相关,且处理合同双方的个人数据确有必要时,即可处理个人数据。
为履行Erginoğlu-Çalışlar的法律义务而必须进行个人数据处理活动
Erginoğlu-Çalışlar在为履行其法律义务所必需的情况下,可处理相关人员的个人数据。
个人数据由相关主体公开的情况
由相关主体自行公开,即以任何形式向公众披露的个人数据,可在未经明确同意的情况下进行处理。
为确立、行使或保护某项权利而必须进行数据处理的情况
为确立、行使或保护某项权利而必须进行数据处理时,个人数据可在未经明确同意的情况下进行处理。
为Erginoğlu-Çalışlar的合法利益而必须处理个人数据
在不损害相关人员基本权利和自由的前提下,为Erginoğlu-Çalışlar的合法利益而必须进行数据处理时,个人数据可在无需征得明确同意的情况下进行处理。
特殊类别个人数据的处理须符合特定条件
特殊类别的个人数据仅在获得相关人员明确同意的情况下方可处理。但除性生活和个人健康数据外的特殊类别个人数据,在法律规定的情形下可无需征得相关人员明确同意即可处理。涉及健康和性生活的个人数据,仅可在保护公共健康、实施预防医学、医疗诊断、治疗和护理服务、规划和管理医疗服务及资金等目的下,在未征得明确同意的情况下进行处理。因此,根据《个人数据保护法》规定,除非另有规定,个人健康数据仅可在明确同意范围内或由承担保密义务的公司医生进行处理。
Erginoğlu-Çalışlar采取委员会规定的特殊类别个人数据处理与保护措施。Erginoğlu-Çalışlar对特殊类别个人数据的保护与安全问题高度重视,严格执行相关技术及行政保护措施,并在公司内部实施必要监督。
根据个人数据传输条件进行处理
Erginoğlu-Çalışlar可在符合个人数据处理目的的前提下,在获得明确同意或基于法律依据的情况下,采取必要安全措施向第三方传输相关个人的个人数据及特殊类别个人数据。在此范围内,Erginoğlu-Çalışlar严格遵循《法律》第8条和第9条规定的个人数据传输条件。
个人数据在国内的转移
Erginoğlu-Çalışlar根据法律第8条规定,在国内开展数据转移活动时均符合数据处理条件。(参见第二部分第2.1、2.2及2.3条)
个人数据的跨境传输
Erginoğlu-Çalışlar根据法律第9条规定,在符合数据处理条件的前提下开展跨境数据传输活动(参见第二部分第2.1、2.2及2.3条)。根据《个人数据保护法》,在未征得明确同意的情况下转移个人数据时,还需满足以下关于接收国的一项条件:
- 接收国被委员会认定为具备充分保护水平的国家,
- 若未达到充分保护标准,则土耳其境内及相关外国的数据控制者须以书面形式承诺提供充分保护,并获得委员会许可
个人数据接收方群体
Erginoğlu-Çalışlar根据法律第8条和第9条的规定,将数据主体的个人数据提供给为Erginoğlu-Çalışlar提供服务的业务合作伙伴、供应商、承包商、专家、经纪人、银行和金融机构、法律、税务等 在法律授权的公共机构和私人实体、公司授权人员、股东、公司授权的国内和/或国外存储、归档、信息技术支持(服务器、托管、软件、云计算等)服务提供商处进行处理。个人数据接收方的分类详见本政策第3部分。
在个人数据传输过程中,Erginoğlu-Çalışlar确保接收方亦遵守本政策。为此,在与第三方签订的合同中加入必要保护条款,并采取技术防护措施。
3- Erginoğlu-Çalışlar处理的个人数据类别、处理与传输目的、接收方群体
个人数据类别
Erginoğlu-Çalışlar开展的个人数据处理活动中涉及的个人数据类别及说明如下:
| 个人数据类别 | 说明 |
| 身份数据 | 包含个人身份信息的数据: 姓名、土耳其身份证号码、婚姻状况、性别、国籍、父母姓名、出生地点、出生日期及其他身份信息,以及包含这些信息的驾照、身份证、护照、出生证明等文件,以及税务编号、社会保障编号及其他信息。 |
| 通讯数据 | 用于通讯目的的信息,如电话号码、地址、电子邮箱、传真号码等,以及包含此类信息的居住证明等文件。 |
家庭成员/亲属的个人数据
指在本公司业务范围内或为保护公司/相关人员的法律权益及其他利益而收集的数据主体家庭成员及亲属的个人数据。例如:家庭成员的联系方式、身份信息等。
财务数据
根据本公司与数据主体建立的法律关系产生的、反映各类财务结果的信息、文件及记录相关的个人数据。例如:信用卡信息、收入信息、IBAN号码等。
人事数据
在与本公司建立工作关系范围内,为获取构成自然人人事权利基础的信息而处理的个人数据。
沟通与投诉管理数据
在接收和评估针对我公司的各类请求或投诉过程中获取的个人数据。
特殊类别个人数据
法律通过有限列举方式界定的个人数据,其处理可能导致数据主体遭受歧视风险。例如:包括血型在内的健康数据、生物识别数据、所属协会信息等。
操作安全数据
为保障数据主体及本公司技术、行政、法律和商业安全而处理的个人数据。
相关人员类别
以下为本政策涵盖的客户、平台用户、员工、应聘者、业务关联方(供应商、代理商、经纪人、专家及与我们存在业务关系的机构的授权代表、股东和员工)以及第三方的定义与说明。
| 相关人员类别 | 说明 |
| 客户 | 指使用或曾使用本公司提供的产品及服务的自然人。 |
网站及社交媒体用户
指访问/曾访问我公司旗下
等网站、社交媒体账号等平台,并/或使用/曾使用该等平台的自然人。
员工
指与我公司存在雇佣关系的自然人。
求职者
通过任何途径向本公司提交求职申请,并向本公司提交简历和/或求职申请表相关信息的自然人。
公司高管
Erginoğlu-Çalışlar的高级管理人员和/或有权代表Erginoğlu-Çalışlar的自然人以及法人实体的自然人代表。董事会成员亦属此范畴。
业务关联方(自然人供应商、承包商、法人实体的自然人代表、专家)
指与Erginoğlu-Çalışlar在业务往来中建立工作关系的自然人、法人实体的自然人代表、其雇员及专家等所有自然人。
其他第三方
不属于任何相关人员类别的其他自然人。
Erginoğlu-Çalışlar处理的个人数据按相关人员分类
下表详细列出了上述个人数据所有者类别与处理活动范围内的个人数据类别之间的对应关系:
| 个人数据类别 | 说明 |
| 身份数据 | 客户、网站及社交媒体用户、员工、求职者、承包商及承包商员工、供应商及供应商员工、专家、其他第三方 |
| 通讯数据 | 客户、网站及社交媒体用户、员工、求职者、承包商及承包商员工、供应商及供应商员工、专家、其他第三方 |
| 家庭成员/亲属的个人数据 | 员工 |
财务数据
客户、员工、求职者、承包商及承包商员工、供应商及供应商员工、专家、其他第三方
人事数据
员工、求职者
沟通与投诉管理数据
客户、网站及社交媒体用户、员工、求职者、承包商及承包商员工、供应商及供应商员工、专家、其他第三方
特殊类别个人数据
客户、员工、其他第三方
交易数据
客户、网站及社交媒体用户
营销数据
客户、网站及社交媒体用户
交易安全数据
客户、网站及社交媒体用户、员工、应聘者、承包商及承包商员工、供应商及供应商员工、专家、其他第三方
个人数据处理目的
Erginoğlu-Çalışlar根据以下目的开展个人数据处理活动。个人数据处理目的、业务流程及个人数据类别已通过关联方式在每个业务单元和流程中明确详细地确定,并纳入Erginoğlu-Çalışlar个人数据清单。
- 由Erginoğlu-Çalışlar业务部门实施必要规划、评估及工作,以便客户享受Erginoğlu-Çalışlar提供的服务;
- 开展Erginoğlu-Çalışlar服务相关的广告与营销活动,进行宣传、促销、活动、优惠、事件等事项的信息发布,执行企业传播活动,根据相关人士的偏好、使用习惯及需求定制化提供产品与服务;
- 组织企业传播及相关活动、促销和邀请,并就此进行信息发布,开展市场调研工作;
- 保障机构安全;
- 开展统计工作;
- 为优化Erginoğlu-Çalışlar向客户提供的数字及虚拟平台,并为网站及社交媒体用户提供高效个性化体验,收集用户数量、类型、访问频率、行为等统计数据,根据网站及社交媒体用户的兴趣领域和需求提供个性化内容与广告;
- 跟踪、评估相关人士提出的请求、建议和投诉,实施客户满意度管理,并在此范围内开展规划、统计和满意度评估工作;
- 管理与承包商、代理商、专家、供应商等业务往来企业的关系,开展业务及商业往来;
- 分包申请及分包合同框架下相关流程的执行;
- 保障与Erginoğlu-Çalışlar及其业务往来对象的法律及商业安全(包括规划Erginoğlu-Çalışlar提供的服务相关行政运营、客户/承包商/供应商(授权方或员工)评估与审核流程、法律合规流程等);
- 行使法定权利,在法律关系终止后,将交易记录信息作为争议解决的证据使用;
- 确定并实施Erginoğlu-Çalışlar的商业、法律及业务战略;
- 执行Erginoğlu-Çalışlar的财务政策;
- 执行Erginoğlu-Çalışlar的人力资源政策和招聘流程,对员工进行管控与监督,规范员工权益,履行劳动关系产生的法律义务;
- 信息安全流程的规划、监督与执行,信息技术基础设施的管理;
- 在Erginoğlu-Çalışlar业务范围内进行规划、报告、访客/客户统计及类似分析;
- 遵守国内相关法规,提供公共机构和组织要求的信息,履行报告义务。
个人数据的收集方法和原因
Erginoğlu-Çalışlar通过以下方式收集数据主体的个人数据:
- Erginoğlu-Çalışlar网站、各类社交媒体平台、Erginoğlu-Çalışlar业务活动中使用的电子邮件、短信(SMS)或彩信(MMS)
- 通过印刷和电子表格等其他通信方式,
- 通过Erginoğlu-Çalışlar业务活动中签署的合同、保单、提交的商业报价、印刷和电子表格、文件、信函,
- 通过业务洽谈中获得的名片及其他文件,
- 通过Erginoğlu-Çalışlar的集团公司、业务关联方或其服务/产品供应商等第三方渠道;以口头、书面或电子形式,通过完全或部分自动化的方式,或作为任何数据记录系统的一部分以非自动化方式收集。
根据上述方法收集的个人数据,将按照本政策第2部分规定的数据处理条件,并基于上述列出的个人数据处理目的,在遵守《个人数据保护法》及其他法规规定的时限要求,并采取所有必要的管理和技术措施的前提下进行保存。
个人数据传输对象群体
Erginoğlu-Çalışlar可依据KVKK规定,将本政策涵盖的个人数据传输给下列对象群体,用于指定目的。个人数据传输的接收方群体及传输目的已通过关联个人数据类别明确详细地确定,并已录入Erginoğlu-Çalışlar个人数据清单。
| 接收方群体 | 个人数据传输目的 |
| 承包商及分包商 |
为确保与承包商和分包商之间的工作关系目标得以实现,仅限于此目的。
供应商和业务合作伙伴
为确保本公司所采购的、且为履行本公司业务活动所必需的服务得以提供,仅限于此目的。
依法授权的公共机构和组织
在相关公共机构和组织法定权限范围内,仅限于其要求的目的。
依法授权的私法主体
在相关私法主体法定权限范围内,仅限于其要求的目的。
Erginoğlu-Çalışlar在进行个人数据传输时,均遵循本政策第二部分规定的事项。
4- 个人数据保护相关事项
Erginoğlu-Çalışlar根据《个人数据保护法》第12条规定,为防止其处理的个人数据被非法处理、防止数据被非法访问以及确保数据安全,在能力范围内并根据待保护数据的性质采取必要的技术和管理措施以确保适当的安全级别, 在此范围内进行或委托进行必要的监督检查。
确保个人数据安全
为防止个人数据被非法处理、防止数据被非法访问以及确保数据安全而采取的技术措施
为防止个人数据被非法处理、防止数据被非法访问以及确保数据安全,所采取的主要技术措施如下所列:
- Erginoğlu-Çalışlar在个人数据保护方面采取技术手段所能达到的最大程度的技术措施,并定期更新这些措施,同时对措施的实施情况进行定期检查。
- 公司安装并使用保障数据安全的软件和系统,通过病毒防护程序、防火墙等各类软件和系统保护数据存储环境,防止公司内部及外部对个人数据进行非法干预。
- 个人数据访问权限根据既定的数据处理目的进行限制,并定期审查授权情况。
- 针对存储区域建立技术安全系统,开展信息系统安全漏洞检测测试与研究,并根据测试研究结果消除已发现或潜在的风险因素。
- 为确保个人数据的安全存储,依法采用符合技术发展水平的系统和备份程序。
- 通过移动存储设备、CD、DVD介质传输的特殊性质个人数据均采用加密方式传输。
为防止个人数据被非法处理、防止数据被非法访问以及确保数据安全而采取的行政措施
为防止个人数据被非法处理、防止数据被非法访问以及确保数据安全而采取的主要行政措施如下所列:
- 为确保Erginoğlu-Çalışlar集团内部的合规性与可持续性,已成立并启动”个人数据保护委员会”。
- Erginoğlu-Çalışlar员工定期接受关于个人数据保护及合法处理的培训与指导。
- Erginoğlu-Çalışlar开展的所有业务活动均按业务单元进行详细分析,根据分析结果,针对各业务单元开展的商业活动确定了个人数据处理活动,并纳入个人数据清单,该清单由Erginoğlu-Çalışlar定期更新。
- 针对Erginoğlu-Çalışlar各业务部门开展的个人数据处理活动,为确保符合个人数据处理条件,已针对每个业务部门及具体活动确定了应履行的要求。
- 为确保合规要求得到满足,相关业务部门正在开展意识培养工作并制定实施细则;为保障这些事项及实施的持续性,公司内部政策正在落实并实施监督检查。
- 在与员工、第三方、客户、承包商、分包商、专家及其他供应商签订的合同和文件中,为确保个人数据的合法处理、保护及数据隐私,已增补相关条款,明确规定各方责任,并对违反法律及合同的数据处理活动实施处罚条款。
个人数据保护措施的监督
Erginoğlu-Çalışlar根据《个人数据保护法》要求,在其内部实施或委托实施必要的监督工作。这些监督结果在公司内部运作范围内向个人数据保护委员会、高层管理人员和相关部门进行汇报,并制定相应行动计划。为改进已采取的措施,相关流程负责人和个人数据保护委员会将跟踪计划行动的执行情况。
非法披露个人数据时的应对措施
若个人数据被他人通过非法途径获取或披露,Erginoğlu-Çalışlar将尽快向相关个人数据主体及委员会通报该情况。
特殊类别个人数据的保护
法律对某些个人数据赋予特殊重要性,因其在非法处理时可能导致个人权益受损和/或引发歧视风险。此类数据包括:种族、民族、政治思想、哲学信仰、宗教、教派或其他信仰、着装、协会、基金会或工会会员身份、健康状况、性生活、刑事定罪及安全措施相关数据,以及生物识别和基因数据。Erginoğlu-Çalışlar对法律规定为”特殊性质”且依法处理的特殊性质个人数据的保护予以最高程度的重视。
Erginoğlu-Çalışlar以最高标准对待特殊性质个人数据的安全问题,并在公司内部实施必要的监督机制。
个人数据主体合法权益的保护
Erginoğlu-Çalışlar在执行本政策及法律时,充分保障个人数据主体的全部合法权益,并采取必要措施确保其权利不受侵害。有关个人数据主体权利的详细信息,请参阅本政策第6章。
5- 个人数据存储与销毁相关事项
个人数据存储与销毁的记录介质
Erginoğlu-Çalışlar处理的个人数据可根据数据性质、处理目的及使用频率等原则存储于不同介质中。在此范围内,数据主体的个人数据由Erginoğlu-Çalışlar依据《个人数据保护法》规定及其他相关法规,安全存储于下列介质中:
电子环境:
- 服务器:中央服务器、数据中心服务器
- 软件:基于云基础设施的第三方软件、根据数据处理目的使用的各类软件等
- 数据库
- 电子设备:网络设备、计算机、笔记本电脑、便携式存储设备(闪存盘、硬盘等)、打印机、移动电话
物理环境:
- 部门文件柜
- Erginoğlu-Çalışlar所属的物理档案库
个人数据的存储与期限
Erginoğlu-Çalışlar将个人数据保存至相关法规规定或处理目的所需的时间期限。在此框架下,Erginoğlu-Çalışlar首先遵循相关法规对个人数据保存期限的规定;若未作规定,则根据处理该数据时所提供服务的性质,保存至处理所需的时间期限。当保存期限届满、数据主体提出请求或处理目的消失时,Erginoğlu-Çalışlar将删除、销毁或匿名化个人数据。关于Erginoğlu-Çalışlar处理的个人数据保存期限的详细信息,请参阅本政策附件1。
要求存储个人数据的法律、技术和管理原因
当个人数据处理目的终止、数据主体提出要求和/或相关法规及公司规定的存储期限届满时,个人数据将被
- 为在可能的法律纠纷中作为证据、主张与个人数据相关的权利或建立辩护等履行法律责任之目的,可依据法律规定的标准和/或指定期限予以存储。在确定相关期限时,将以主张前述权利的时效期限为基准设定存储期限。在此情况下,存储的个人数据不得用于任何其他目的,仅在相关法律纠纷中需要使用时方可访问相关个人数据。
- 通过删除、销毁或匿名化方式销毁的数据,最迟可保存至下一个定期销毁日期。
上述期限届满后,个人数据将被删除、销毁或匿名化处理。
要求销毁个人数据的法律、技术及行政原因
Erginoğlu-Çalışlar将对其存储的个人数据进行处理,
- 所有需要处理个人数据的目的及存储个人数据的理由均已消失,
- 仅基于明确同意条件处理个人数据的情况下,数据主体撤回其同意,
- 数据主体依据《个人数据保护法》及本政策第6章所述权利要求销毁其个人数据,且该申请被Erginoğlu-Çalışlar接受,或该申请被拒绝后向委员会投诉,且委员会认定该请求合理,
- 尽管个人数据的最长保存期限已过,但不存在任何可证明延长保存期限的正当理由时
的情况下予以销毁。
个人数据的安全保存
Erginoğlu-Çalışlar采取必要的技术和管理措施,在技术允许的范围内确保所处理的个人数据在安全环境中存储,防止其被非法销毁、丢失或篡改。有关个人数据安全的详细信息,请参阅本政策第4部分“关于个人数据保护的事项”。
就个人数据存储而言,Erginoğlu-Çalışlar采取的主要技术措施如下:
- 为确保个人数据在安全环境中存储,已安装并使用保障数据安全的软件和系统。
- 针对存储区域建立技术安全系统,开展信息系统安全漏洞检测测试与研究,并根据测试研究结果消除已发现或潜在的风险因素。
- Erginoğlu-Çalışlar在技术能力范围内采取个人数据保护的技术措施,并定期更新这些措施,同时对措施实施情况进行定期审查。
- 为确保个人数据的安全存储,公司依法采用符合技术发展水平的系统和备份程序。
- 通过限制个人数据存储环境的访问权限,仅允许授权人员在个人数据存储目的范围内访问这些数据。
就个人数据存储而言,Erginoğlu-Çalışlar采取的主要行政措施如下所列:
- Erginoğlu-Çalışlar员工定期接受关于个人数据保护、存储及依法处理方面的培训和指导。
- 在与第三方签订的合同及文件中,已增补条款以确保个人数据的合法处理、存储及数据安全,明确规定各方应采取必要安全措施,并对违反法律及合同的数据处理行为实施处罚条款。
个人数据的合法销毁
Erginoğlu-Çalışlar为销毁个人数据采取的主要技术和行政措施如下:
- 个人数据销毁过程在技术专家以及个人数据保护委员会授权人员的监督下进行。
- 个人数据保护委员会负责评估和跟踪基于存储和数据销毁周期的个人数据清单,并协调业务部门的工作。
- Erginoğlu-Çalışlar向员工提供关于定期、合规销毁个人数据的信息和培训。
- 就此事项开展审计并提交报告。
- 在与第三方签订的合同及文件中,已增补关于个人数据依法处理、存储、处理目的终止、存储期限届满或数据主体要求销毁等条款, 明确规定了各方相关责任,并对违反法律和合同的数据处理活动实施了处罚条款。
关于个人数据销毁的一般事项
即使个人数据已按照法律及相关法规规定进行处理,但当处理和存储个人数据的目的不复存在时,Erginoğlu-Çalışlar将根据数据主体的要求或自行决定,通过删除、销毁或匿名化等方式销毁个人数据。
Erginoğlu-Çalışlar在删除、销毁或匿名化个人数据时,将遵循上述技术和管理措施、相关法规条款、委员会决议及本政策的规定行事。Erginoğlu-Çalışlar对个人数据进行删除、销毁及匿名化处理的所有操作均予以记录,相关记录除其他法律义务外至少保存三年。
除非委员会另有决定,Erginoğlu-Çalışlar将根据个人数据销毁的相关规定,选择删除、销毁或匿名化处理等适当方法。应相关人员要求时,将说明选择方法的理由并予以实施。
个人数据销毁方法
个人数据删除
个人数据删除是指使相关用户无法访问且无法再次使用个人数据的操作。Erginoğlu-Çalışlar可根据数据存储介质采用以下方法删除个人数据:
| 存储介质 | 数据销毁方法 |
| 云基础设施中的第三方软件,根据数据处理目的采用不同软件 | 下达删除指令 |
| 根据数据处理目的采用不同软件 | 通过软件工具删除 |
| 数据库 | 通过数据库命令删除 |
| 数据库、服务器中的数据 | 撤销相关用户对文件所在目录的访问权限,执行删除命令 |
| 纸质及印刷副本 | 遮盖处理(指在相关文件上,尽可能剪切个人数据,若无法剪切,则使用不可逆的固体墨水进行处理,使其无法被相关用户读取。) |
个人数据销毁
个人数据销毁是指使个人数据完全无法被任何人访问、恢复或再次使用。Erginoğlu-Çalışlar可根据数据存储介质,采用以下一种或多种方法销毁个人数据:
| 存储介质 | 数据销毁方式 |
磁性数据存储介质(磁带盒等)
消磁处理(指将磁性介质通过专用设备,使其暴露于极高强度磁场中,导致其上的数据无法读取的破坏过程)
磁性与光学数据存储介质(DVD、CD、硬盘等)、纸质及印刷副本
物理销毁(将光学介质和磁性介质熔化、焚烧或粉碎;纸质及印刷副本则通过碎纸机/切碎机或焚烧方式实现物理销毁)
磁性及可重写光学介质(DVD-R等)
覆盖写入(在磁介质和可重写光学介质上至少七次写入由0和1组成的随机数据,以防止旧数据被恢复)
磁性数据存储介质(磁带、硬盘等)
使用“块擦除”命令销毁
云基础设施中的第三方软件
对存储介质进行加密,并在删除操作后销毁所有加密密钥副本
个人数据匿名化
个人数据匿名化是指即使将个人数据与其他数据进行匹配,也无法与任何已知或可识别的自然人建立关联。要使个人数据实现匿名化,必须通过数据控制者、接收方或接收方群体采用符合记录环境及相关活动领域的技术手段(如数据恢复和与其他数据匹配等),确保个人数据无法与特定或可识别的自然人建立关联。Erginoğlu-Çalışlar可采用以下一种或多种方法实现个人数据匿名化:
- 变量剔除:通过从表格中完全删除一个或多个变量实现匿名化的方法
- 记录剔除:通过剔除个人数据集中包含唯一标识符的行来增强匿名性的方法
- 泛化处理:将相关个人数据从特定值转换为更通用值的操作
- 区域隐藏:当特定记录的值组合极少出现,且这种情况很可能导致该个人在相关群体中被识别时,将引发特殊情况的值替换为“未知”以降低可预测风险的方法。
- 上下限编码:通过为个人数据集中的特定变量定义类别,将该类别产生的分组内值合并处理而获得。
- 全局编码:通过为选定值创建一个通用的新组,将数据集中的所有记录替换为该新定义,即为匿名化方法。
- 抽样:抽样方法中,不公开整个数据集,而是公开或共享从数据集中提取的子集。
- 微聚合:该方法将数据集中的所有记录划分为若干子集,计算子集中特定变量的平均值,并用该平均值替换子集中该变量的原始值。
- 数据交换:数据交换方法是通过交换记录中选定成对变量子集的值来实现记录变更的方法。
- 噪声添加:在数据集中对选定变量进行添加和删除操作,以造成特定程度的破坏。
- 其他增强匿名化的统计方法(K-匿名性、L-多样性、T-邻近性等)
个人数据定期销毁周期
Erginoğlu-Çalışlar在个人数据删除、销毁或匿名化义务产生后的首次定期销毁操作中,将执行个人数据的删除、销毁或匿名化处理。
Erginoğlu-Çalışlar的定期销毁周期为6个月;但Erginoğlu-Çalışlar承认,若发生难以弥补或无法弥补的损害且明显违反法律的情况,委员会可缩短本条款及销毁周期表中规定的期限。
个人数据存储与销毁流程责任部门
为执行个人数据存储和销毁流程,并根据本政策采取必要行动,Erginoğlu-Çalışlar 设立了“个人数据保护委员会”。有关此事项的详细信息,请参阅本政策第 7 节。
个人数据保护委员会的相关人员有责任全面履行本政策规定的个人数据存储和销毁流程中的所有义务。
6- 相关人员的权利及行使权利的相关事项
个人数据主体依据《个人数据保护法》享有的权利
个人数据主体可依据《个人数据保护法》第11条向Erginoğlu-Çalışlar提出申请,了解与其相关的:
- 个人数据是否被处理,
- 若个人数据已被处理,则要求获取相关信息,
- 了解个人数据的处理目的及其是否符合该目的,
- 了解个人数据在境内或境外被转移的第三方,
- 要求更正处理不完整或错误的个人数据,并通知接收数据的第三方相关操作,
- 要求删除或销毁个人数据,即使该数据已根据法律及其他相关法规的规定进行处理,但处理原因已不复存在,并要求将此操作通知接收个人数据的第三方,
- 反对仅通过自动化系统分析处理数据而产生不利于本人的结果,
- 因个人数据被违法处理而遭受损害时,有权要求赔偿损失。
个人数据主体无法行使权利的情形
根据《个人数据保护法》第28条规定,个人数据主体在下列情形下无法行使第6.1条所述权利,因该等情形不属于本法适用范围:
- 在不向第三方提供个人数据且遵守数据安全义务的前提下,由自然人完全基于自身或与其共同居住的家庭成员相关活动进行的数据处理,
- 为研究、规划和统计等目的,通过官方统计手段使个人数据匿名化后进行处理,
- 在不损害国家防务、国家安全、公共安全、公共秩序、经济安全、隐私权或人格权,且不构成犯罪的前提下,为艺术、历史、文学或科学目的,或在言论自由范围内处理个人数据,
- 为保障国防、国家安全、公共安全、公共秩序或经济安全,由依法赋予职责和权限的公共机构和组织在预防性、保护性及情报活动中处理个人数据,
- 司法机关或执行机关为调查、起诉、审判或执行程序处理个人数据。
根据《个人数据保护法》第28条第2款规定,在下列情形下,除要求赔偿损失的权利外,数据主体不得行使本政策第6.1条规定的权利:
- 个人数据处理系为预防犯罪或进行犯罪调查所必需。
- 经相关个人本人公开的个人数据处理。
- 基于法律授权,由负责且有权限的公共机构及具有公共机构性质的专业组织为履行监督或监管职责,以及进行纪律调查或诉讼所必需的个人数据处理。
- 为保护国家在预算、税收和财政事务方面的经济与财政利益而必须进行的个人数据处理。
相关人士行使权利
相关人士可通过填写本政策第6.1条所述权利的申请表(副本见政策附件 2和www.ecarch.com地址处获取申请表,填写后以湿签形式提交,或通过注册电子邮箱、安全电子签名、移动签名或事先告知Erginoğlu-Çalışlar并已在系统中登记的电子邮箱地址提交。上述地址提供的《个人数据保护法申请表》中详细说明了申请方法。
若相关人士希望通过代理人行使此权利,须将经主管机关签发或核证的身份证明文件、支持申请的证明文件(如有)作为申请表附件提交给Erginoğlu-Çalışlar。
Erginoğlu-Çalışlar对申请的答复
Erginoğlu-Çalışlar将根据申请性质,在最短时间内(最迟三十日内)免费处理所收到的申请。若因履行申请产生费用,可按委员会规定的费率收取费用。
Erginoğlu-Çalışlar可接受申请,也可说明理由予以拒绝;其答复将以书面或电子形式通知个人数据主体。若申请获得批准,Erginoğlu-Çalışlar将履行申请要求。
相关人士向委员会投诉的权利
若申请被驳回、所获答复不充分或未在规定期限内作出答复,相关人员有权自获悉Erginoğlu-Çalışlar答复之日起三十日内,且无论如何自申请之日起六十日内向委员会提出申诉。
7- 个人数据处理、存储与销毁治理架构
负责个人数据处理、存储与销毁的部门
为确保Erginoğlu-Çalışlar符合个人数据保护法规,并实现合规性维护、持续管理及优化发展,特成立”个人数据保护委员会”。该委员会拥有决策权及向高层管理层汇报的权限,由Erginoğlu-Çalışlar内部各相关部门负责人组成,负责统筹协调相关事务。
该委员会的职责如下:
- 协调和管理Erginoğlu-Çalışlar内部各业务部门与个人数据处理、存储、保护和销毁相关的所有活动,
- 制定有关个人数据处理、存储、保护和销毁的基本政策,并提交高层管理人员审批实施。
- 确保个人数据处理、存储、保护和销毁相关政策的执行,管理法规与公司政策合规流程,并向高层管理层汇报
- 协调Erginoğlu-Çalışlar作为数据控制者开展活动时与相关数据主体的沟通,为此提供必要组织保障
- 针对委员会提出的请求、诉求、投诉及通知,在公司内部开展必要活动与安排,组织相关流程
- 针对相关人员提出的请求、诉求、投诉及通知,在公司内部开展必要活动与安排,组织相关流程
- 更新个人数据处理清单,跟踪数据处理活动,进行报告,将信息录入清单,并在发生变更时在VERBİS(数据责任人登记信息系统)中进行必要更新
- 组织员工意识培训,确保培训的持续性,并评估其成效
- 在Erginoğlu-Çalışlar内部及与Erginoğlu-Çalışlar合作的机构中,提高对个人数据处理、存储、保护和销毁的认识,并进行信息通报
- 决定个人数据处理活动的监督方式,并在此范围内进行必要的协调
- 确定或确保处理个人数据的第三方所采取的数据安全技术及管理措施,实施或委托实施监督
- 识别个人数据处理活动中可能产生的风险,确保采取必要预防措施;将行动方案和改进建议提交高层管理层审批,并协调实施
- 在KVKK合规框架内组织公司内部审计,若需接受外部审计则做好必要安排,确保针对已识别风险制定并评估应对措施
- 与个人数据保护咨询公司协作参与评估工作,提交相关报告
- 跟踪委员会公告及法规动态,确保在相关领域落实执行并进行必要通报
- 管理数据隐私泄露事件流程,明确责任人/团队及职责,统筹报告与整改工作
8- 更新、合规与变更
更新与合规
Erginoğlu-Çalışlar 保留根据法律修订、委员会决议或行业/信息技术领域发展对本政策及相关附属政策进行修改的权利。
本政策的所有变更将立即更新至文本中,相关说明详见政策末尾。
修订内容
个人数据处理、保护及销毁政策已发布。
附录1- 个人数据存储与销毁期限表
| 流程 | 保存期限 | 销毁期限 [1] |
| 回应涉及员工、客户及第三方的法院/执行信息请求 | 劳动关系终止后10年 | 180天内 |
| 员工融资流程 | 雇佣关系终止后10年 | 180天内 |
| 与客户、承包商、供应商及第三方签订的合同 | 合同终止后10年 | 180天内 |
| 招聘与薪资核算 | 劳动关系终止后10年 | 180天内 |
| 职业健康与安全实践 | 劳动关系终止后10年 | 180天内 |
支付流程
劳动关系终止后10年
180天内
合同流程执行
劳动关系终止后10年
180天内
员工档案建立与保存
劳动关系终止后10年
180天内
为员工创建的软件系统账户、交易安全信息的设置
劳动合同终止后1年
180天内
管理客户赔偿请求、评估损失与损害
损失发生后10年
180天内
[1] 指Erginoğlu-Çalışlar保存的个人数据在存储期限届满后将被销毁的时间。
附件2——《个人数据保护法》申请表
A. 表格目的
本表格根据《个人数据保护法》第11条制定,旨在方便您行使向公司申请获取信息的权利。有关您的个人数据处理流程以及提交本申请表后的后续流程的详细信息,请查阅www.ecarch.com网站上发布的《个人数据保护、处理和销毁政策》(以下简称“政策”)。
B. 申请人的联系方式
本表格所要求的信息,旨在准确核实您的身份、对您的请求进行详细调查,并向您传达申请结果(”目的”),且可为此目的进行处理。因此,请确保您提供的信息准确无误且完整。所要求的个人数据仅用于实现上述目的,不会以任何其他形式使用。
| 姓名 | |
| 您的土耳其身份证号码 | |
| 您的电话号码 | |
| 您的电子邮箱地址 | |
| 居住地址 | |
| 申请人与公司的关系 (请说明您与公司的关系,例如客户、员工等) | |
| 您在公司内部联系的部门 |
C. 申请人的请求
| 请在下文详细说明您的请求。 |
D. 申请答复的告知方式
对您申请的回复可通过以下方式发送:发送至上述电子邮箱地址、邮寄至您提供的地址(挂号信方式)或通过公证处转交。
E. 附件
如有支持您申请的证明文件,请将其附加于表格中。
若以个人名义申请,请将身份证明文件(身份证、驾驶证、
护照等)的复印件/影本附加于表格附件中。
若通过代理人提交申请,必须将包含特别授权的委托书副本作为表格附件提交给公司。
F. 申请人签名
根据上述要求,我请求公司依据《法律》第13条对我的申请进行评估并告知结果。
申请人(个人数据主体/代理人):
姓名:
申请日期:
签名: