Цель Политики защиты, хранения и уничтожения данных
Основной целью настоящей Политики является предоставление пояснений в отношении осуществляемой нашей КОМПАНИЕЙ в соответствии с нормами права деятельности по обработке персональных данных и в отношении систем, ориентированных на защиту персональных данных граждан, в этом контексте Политика обеспечивает прозрачность данной области деятельности, информируя лиц, ответственных за обработку нашей КОМПАНИЕЙ персональных данных граждан, и, прежде всего, наших гостей, сотрудников, соискателей вакантных должностей, акционеров компании, уполномоченных лиц компании, наших посетителей, в том числе сотрудников, акционеров и руководителей компаний, с которыми мы сотрудничаем, а также прочих третьих лиц.
Область применения Политики защиты, хранения и уничтожения данных
2.1 Приоритетную область применения в вопросах обработки и защиты персональных данных определяют вступившие в силу как в соответствии с национальным законодательством, так и с общепринятой процедурой, международные соглашения. В случае расхождений между положениями действующего законодательства и настоящей Политики, КОМПАНИЯ признает за основополагающую область применения, определенную нормами действующего законодательства.
2.2 Действие настоящей Политики распространяется на все персональные данные наших гостей, сотрудников, соискателей вакансий, акционеров компании, уполномоченных лиц компании, наших посетителей, в том числе сотрудников, акционеров и руководителей компаний, с которыми мы сотрудничаем, а также прочих третьих лиц, которые обрабатываются автоматически или неавтоматическими способами, при условии, что таковые являются частью автоматической системы регистрации данных.
2.3 Данная политика, относительно владельцев персональных данных, включенных в вышеуказанные группы, может быть применена в комплексе (например для соискателей вакантных должностей, которые также являются посетителями), так и в части положений (например, только наши посетители).
2.4 Персональные данные, анонимизированные в целях проведения статистических оценок и исследований, персональные данные, источник которых не известен, и данные, относящиеся к юридическим лицам, не рассматриваются в качестве персональных данных и не подпадают под действие настоящей политики.
2.5 Настоящая Политика периодически обновляется. В связи с этим, для того, чтобы ознакомиться с самой актуальной версией Политики, пожалуйста, регулярно посещайте нашу страничку www.grandhotelderin.com
Определения
Закон/Закон о ЗПД: Закон о Защите персональных данных номер 6698 от 24/3/2016 года.
Совет/Учреждение: Совет по защите персональных данных / Учреждение по защите персональных данных.
Персональные данные: Любого рода данные, относящиеся к идентифицированному или идентифицируемому физическому лицу.
Заинтересованное лицо: Лицо, чьи персональные данные обрабатываются.
Четковыраженное согласие: Согласие, относящееся к определенному вопросу, основанное на информировании, и предоставленное по свободной воле лица.
Анонимизирование: Приведение персональных данных в состояние, в котором таковые даже в сочетании с другими данными никоим образом не могут быть увязаны или отнесены к идентифицированному или идентифицируемому физическому лицу.
Удаление персональных данных: Удаление персональных данных означает приведение персональных данных в состояние, в котором заинтересованные пользователи не смогут получить к ним доступ и использовать повторно.
Уничтожение персональных данных: Приведение персональных данных в состояние, в котором никто не сможет получить к таковым доступ, восстановить и использовать повторно.
Обработка персональных данных: Любое действие с данными, такое как получение, регистрация, хранение, изменение, форматирование, раскрытие, передача, приведение в состояние готовности к использованию, классификация или предотвращение использования автоматически или другими неавтоматическими способами, при условии, что таковые являются частью какой-либо автоматической системы записи данных.
Оператор по обработке данных: Физическое или юридическое лицо, обрабатывающее персональные данные на основании полномочий, предоставленных лицом, ответственным за персональные данные, или от его имени.
Лицо, ответственное за персональные данные: Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных, отвещающее за установку и управление системой записи данных.
Специфические персональные данные: Данные, касающиеся расы, этнической принадлежности, политических взглядов, философских убеждений, религии и иных верований, стиля и манеры одеваться, членства в фонде, обществе или профсоюзе, здоровья, половой жизни, судимости и мер безопасности, а также биометрические и генетические.
Обязательство по предоставлению разъяснений: Предоставление при получении персональных данных лицом, ответственным за персональные данные, или лицом, им уполномоченным, информации о личности ответственного за персональные данные и его представителя, если имеется, о том, в каких целях будет осуществляться обработка персональных данных, кто и с какой целью будет пересылать обработанные персональные данные, о методе и правовом основании сбора персональных данных, а также о прочих правах, перечисленных в статье 11 Закона.
Elektra: Автоматизированная система фронт-офиса, учета и покупок, содержащая данные клиента.
Политика утилизации: Политика, в соответствии с которой действуют лица, ответственные за персональные данные, для определения максимального периода времени, необходимого для целей обработки персональных данных, для выполнение операций по удалению, уничтожению и анонимизированию персональных данных.
Среда записи: Любого рода электронная среда, в которой находятся персональные данные, обрабатываемые автоматически или другими неавтоматическими способами, при условии, что таковые являются частью какой-либо автоматической системы записи данных.
Netahsilat (Нетахсилат): Система он-лайн платежей.
Компания: DERİN TURİZM YATIRIM VE OTEL İŞLETMECİLİĞİ LTD.ŞTİ
Принципы обработки персональных данных
4.1 Соблюдение норм закона и правил добросовестности: Компания в процессе обработки персональных данных, защищает законные интересы заинтересованных лиц. Персональные данные собираются и обрабатываются в соответствии с законодательством и принципами справедливости.
4.2 Обработка данных в конкретных, ясных и законных (прозрачных) целях, увязка, ограниченность и измеримость определенными целями обработки: КОМПАНИЯ должна определять и озвучивать то, с какой целью будут обрабатываться персональные данные до момента начала деятельности по обработке персональных данных. КОМПАНИЯ обрабатывает персональные данные исключительно с целью предоставления заинтересованному лицу еще более лучшего обслуживания. В ходе получения персональных данных заинтересованное лицо должно быть проинформировано в отношении личности ответственного за персональные данные и его представителя, если имеется, о том, в каких целях будет осуществляться обработка персональных данных, кому и с какой целью будут пересылаться обработанные персональные данные, о методе и правовом основании сбора персональных данных, а также о прочих правах заинтересованного лица.
4.3 Хранение данных в течение срока, предусмотренного действующим законодательством, или в течение другого необходимого срока в целях обработки: КОМПАНИЯ хранит данные исключительно в течение срока, предусмотренного применимым действующим законодательством, или в течение другого необходимого срока в целях обработки. КОМПАНИЯ и находящиеся под её контролем дочерние компании, будут продолжать обрабатывать и хранить персональные данные в соответствии с целями, изложенными в настоящей Политике, пока персональные данные признаются необходимыми для целей обработки, и также в течение обязательного срока, установленного регулирующими органами и/или применяемым законодательством и нормативными актами.
Достоверность данных, актуальность сведений: КОМПАНИЯ должна поддерживать достоверность, полноту и, при необходимости, актуальность обработанных персональных данных. При необходимости, обеспечивает удаление, исправление, дополнение или обновление недостоверных или недостающих данных.
Конфиденциальность и безопасность данных: Персональные данные являются конфиденциальными. Подлежат применению все необходимые технические и административные меры для обеспечения надлежащего уровня безопасности данных, расцениваемых на персональном уровне как конфиденциальные, с целью предотвращения несанкционированного доступа к таковым, незаконной обработки или распространения таковых, случайной утери, изменения или уничтожения таковых, а также с целью обеспечения хранения персональных данных.
Объем обработки данных
Обработка персональных данных осуществляется двумя различными способами.
Автоматическая обработка персональных данных в целом или в части: означает получение, сбор, регистрацию (запись), фотографирование, голосовую запись, видео-запись, структурирование, хранение, изменение, восстановление в прежнем виде, возврат или раскрытие данных соответствующим лицом или третьей стороной, указанными в настоящей Политике с целью передачи, распространения или представления другими способами, группирования или объединения, блокирования, удаления или уничтожения данных.
Неавтоматическая обработка / получение персональных данных: при условии, что таковые являются частью какой-либо системы записи данных, регистрация, хранение, изменение, форматирование, раскрытие, передача, передача за границу, приведение в состояние готовности к использованию, классификация или предотвращение использования данных.
5.1 КОМПАНИЯ обладает правом на обработку персональных данных заинтересованного лица, в течение срока пользования таковым предоставляемыми Компанией услугами и после прекращения взаимоотношений касательно услуг, при условии следования целям, указанным в настоящей Политике.
5.2 Обработка КОМПАНИЕЙ персональных данных охватывает любого рода действия, касающиеся данных, без каких-либо ограничений, и осуществляемые автоматически, полуавтоматически или неавтоматическим методом, при условии, что таковой является частью автоматической системы.
5.3 КОМПАНИЯ обрабатывает данные заинтересованного лица или лиц, находящихся под опекой заинтересованного лица.
5.4 Также обработка данных включает в себя обмен данными, предоставленными по распоряжению КОМПАНИИ и/или с четковыраженного согласия лица и/или третьих лиц, чьи данные обрабатывает КОМПАНИЯ, действуя в пользу третьей стороны и в соответствии с её распоряжениями.
5.5 Четковыраженное согласие заинтересованного лица также охватывает регистрацию и обработку действий, осуществляемых КОМПАНИЕЙ с использованием различных электронных каналов связи соответствующего лица (включая, но не ограничиваясь, технические способы и каналы, используемые для веб-браузера, веб-сайта, интернета, мобильных приложений, платежных операций, денежных переводов и получения переводов). (Например, определение местоположения соответствующего лица с использованием электронного канала связи, определение входных данных, частоты выбора продукта и / или выявление и анализ других статистических данных)
Основные правила обработки данных
6.1 Заинтересованное лицо соглашается с тем, что КОМПАНИЯ, в рамках нижеуказанных целей, обязана обрабатывать данные заинтересованного лица или третьих сторон, указанных заинтересованным лицом во время пользования услугами КОМПАНИИ и даже тогда, когда договорные отношения прекращаются.
a) Предоставление и/или внедрение услуги для заинтересованного лица,
b) Обязательная обработка данных, необходимая для защиты законных прав КОМПАНИИ и/или третьих сторон,
c)Исполнение КОМПАНИЕЙ своих юридических обязанностей,
d)Обязательная обработка персональных данных заинтересованного лица, при условии, что таковая имеет непосредственное отношение к установлению договорных отношений или исполнению договора между заинтересованным лицом и КОМПАНИЕЙ,
e)Обязательная обработка данных, необходимая для установления, реализации или защиты права,
f)Другие обстоятельства, на которые заинтересованное лицо предоставило своё четковыраженное согласие,
g)Другие обстоятельства, прямо предусмотренные законодательством.
6.2 Четковыраженное согласие заинтересованного лица означает, что данное лицо принимает Политику и её положения.
Цели обработки данных
Третьи лица, обрабатывающие персональные данные, которые передаются с согласия КОМПАНИИ и/или заинтересованных лиц, вправе обрабатывать персональные данные заинтересованного лица или лиц, находящихся под опекой заинтересованного лица, в ниже следующих целях.
a)Предоставление услуг размещения в соответствии с заявленными параметрами размещения, предоставление более качественных и безопасных услуг для гостей,
b)Использование данных гостей (Имя, фамилия, дата рождения, адрес эл.почты, номер телефона и кредитной карты) при проведении КОМПАНИЕЙ операций по онлайн-оплате и получению онлайн-платежей через онлайн-систему Netahsilat.
c) Информационные опросы и опросы по оценке; планирование, статистические исследования и сбор данных, архивирование, предоставление услуг хранения, исследования в отношении степени удовлетворенности клиентов,
d) Проверка истории размещения заинтересованного лица и/или моделей поведения для того, чтобы оптимизировать и усовершенствовать перечень услуг КОМПАНИИ,
e) Предложение со стороны КОМПАНИИ новой и/или дополнительной услуги или внесервисного продукта,
f) Изменение существующих условий услуг, предоставляемых КОМПАНИЕЙ,
g) Анализ статистических данных КОМПАНИИ, подготовка и предоставление различных отчетов, заключений исследований и/или презентаций,
ı) Помимо обеспечения безопасности; обнаружение и/или предотвращение прочих действий, расцениваемых как преступные,
j)Удовлетворение жалоб, вопросов и запросов заинтересованного лица,
k)Подтверждение персональных данных заинтересованного лица,
l)Промоушн, маркетинговая, презентационная деятельность и проведение акций, касательно услуг по размещению,
m)Реализация иных целей, предусмотренных национальными и международными законами и правилами.
Обработка, передача и раскрытие данных
Компания исполняет обязательства, налагаемые на таковую соответствующим законодательством и решениями Совета/Учреждения в отношении обработки, передачи или раскрытия персональных данных. В соответствии с целями, изложенными в настоящей политике, в целях обработки, передачи и / или раскрытия всех видов информации в зависимости от содержания и видов услуг по размещению, предоставляемых КОМПАНИЕЙ, подлежат использованию включая, но не ограничиваясь, личные данные заинтересованного лица и третьих сторон, как то: имя и фамилия контакта заинтересованного лица, персональный идентификационный номер и / или специальные отметки, указанные в документе, удостоверяющем личность, адрес регистрации и/или адрес проживания, номер телефона/сотового телефона, адрес эл.почты, информация о работодателе, а также об условиях занятости (рабочее место, заработная плата, рабочее время и т. д.), а также данные полученные при использовании различных электронных каналов и / или Интернета и использовании каналов, упомянутых выше (включая веб-файлы cookie и т. д.), в рамках действий (включая, помимо прочего, проверку этих каналов, предпринятые действия или историю транзакций) заинтересованного лица и / или третьих лиц, указанных заинтересованным лицом, совершенных в течение периода обслуживания.
8.1 В случае предоставления заинтересованным лицом КОМПАНИИ персональных данных (включая, но неограничиваясь, персональные данные, специфические персональные данные и проч.) третьих лиц (члены семьи, работодатель и т.д.), для того, чтобы воспользоваться услугами КОМПАНИИ, ответственным за получение согласия, необходимого для обработки таких персональных данных, является заинтересованное лицо, предоставившее таковые КОМПАНИИ.
8.2 В случае предоставления заинтересованным лицом КОМПАНИИ (или её уполномоченному сотруднику) указанных данных, предполагается, что заинтересованное лицо дает необходимое четковыраженное согласие, и КОМПАНИЯ освобождается от обязанности получения такого согласия у данного лица.
8.3 В случае обработки персональных данных и/или специфических персональных данных без получения четковыраженного согласия, и в случае, если в результате такой обработки данных заинтересованному лицу был нанесен ущерб, КОМПАНИЯ обязана возместить таковой в полном объеме.
8.4 Четковыраженное согласие заинтересованного лица также охватывает регистрацию и обработку информации о действиях, осуществляемых КОМПАНИЕЙ с использованием различных электронных каналов связи заинтересованного лица (включая, но не ограничиваясь, технические способы и каналы, используемые для веб-браузера, веб-сайта, интернета, мобильных приложений, платежных операций, денежных переводов и получения переводов). (Например, определение местоположения соответствующего лица с использованием электронного канала связи, определение входных данных, частоты выбора продукта и / или выявление и анализ других статистических данных)
8.5 КОМПАНИЯ вправе использовать предоставленные заинтересованным лицом номер телефона, мобильного телефона, адрес эл.почты и прочие контактные данные для отправки коммерческих электронных отправлений в рамках положения Закона об организации электронной торговли номер 6563, включая отправку СМС, голосовых и/или прочего рода рекламных сообщений (включая прямой маркетинг), до того момента, пока заинтересованное лицо не воспользуется своим правом отказаться от получения таковых.
8.6 Заинтересованное лицо предоставляет КОМПАНИИ право предоставлять его персональные данные филиалам и/или акционерам с целью направления различных маркетинговых предложений.
8.7 Рекламные / информационные сообщения, находящиеся в точках предоставления услуг КОМПАНИИ (например, рекламные брошюры, презентационные визуальные материалы, устные предложения и проч.) или контент, демонстрируемый КОМПАНИЕЙ (или связанными в КОМПАНИЕЙ партнерами) в ходе использования таких электронных каналов, как интернет, мобильный маркетинг, не должны рассматриваться как прямой маркетинг, и заинтересованное лицо не обладает правом требования прекратить распространение и/или показ такого рода контента.
Обработка данных заявителей или сотрудников
9.1 Обработка персональных данных с целью заключения, исполнения, обслуживания и расторжения трудового договора: КОМПАНИЯ, в таких целях как реализация процессов обучения и работы с человеческими ресурсами, как то: реализация личных прав, вытекающих из трудового договора и предоставление таковых на непрерывной основе, исполнение процедур по обеспечению для сотрудников безопасности и охраны труда, по получению разрешения на занятие трудовой деятельностью, оценка индивидуальных заявлений о приеме на работу, исполнение процедур по поиску и приему на работу сотрудников, мониторинг и оценка производительности труда, усовершенствование процессов обучения и условий труда, реализация процессов личностного роста сотрудников, вправе обрабатывать персональные данные, раскрытые в связи со стажем, опытом работы и/или производственной практикой заинтересованного лица.
В процессе найма, сбор информации о заявителе осуществляется третьими лицами в рамках положений Закона о защите персональных данных № 6698.
Для обработки персональных данных, связанных с трудовыми отношениями, но при этом на данном этапе не являющихся частью процесса исполнения трудового договора, требуется четковыраженное согласие заявителя.
9.2 Обработка специфических персональных данных
Специфические персональные данные могут обрабатываться исключительно при наличии четковыраженного согласия на обработку специфических персональных данных, полученного у заинтересованного лица. Однако персональные данные, кроме данных о здоровье и половой жизни, могут быть обработаны в случаях, предусмотренных законодательством, без получения четковыраженного согласия заинтересованного лица; персональные данные, касающиеся здоровья и половой жизни могут быть обработаны только в целях защиты общественного здоровья, оказания профилактических медицинских услуг, услуг диагностирования, лечения и ухода, планирования и управления услугами в области здравоохранения и финансирования, и только со стороны лиц, обязавшихся сохранять секретность таковых или со стороны уполномоченных учреждений и организаций.
Передача данных третьим лицам / обмен информацией с третьими лицами
В рамках обработки данных для предоставления КОМПАНИЕЙ услуг заинтересованному лицу, осуществляется передача/предоставление данной политики заинтересованному лицу и/или третьим сторонам, указанным заинтересованным лицом. Заинтересованное лицо предоставляет право на осуществление КОМПАНИЕЙ действий по получению, регистрации, хранению, изменению, форматированию, раскрытию, передаче, приведению в состояние готовности к использованию, классификации или предотвращению использования автоматически или другими неавтоматическими способами, при условии, что таковые являются частью какой-либо системы записи данных, в том числе через все подразделения КОМПАНИИ, сеть интернет, центры обработки вызовов, государственные учреждения и организации, а также контрагентов, предоставляющих КОМПАНИИ услуги дополняющего или сопутствующего характера, и поставщиков.
Обязательства Ответственного за персональные данные и оператора данных
11.1 На основании положений данной политики, при обработке определенных видов персональных данных КОМПАНИЯ может обрабатывать данные, являясь оператором обработки данных и действуя от имени ответственного за персональные данные, включая третьих лиц. Ответственный за персональные данные может являться оператором по обработке некоторых персональных данных для третьих лиц. В связи с этим, каждая из сторон такого рода взаимоотношений действует в соответствии с Законом о защите персональных данных (и оператор данных, и ответственный за персональные данные). Поэтому:
а) Персональные данные обрабатываются в соответствии с принципами законодательства.
б) В обязательном порядке получается четковыраженное согласие заинтересованного лица, которому предоставляется соответствующая информация и разъяснения.
В случае возникновения ниже следующих обстоятельств, в случае подачи заинтересованным лицом запроса в отношении информации, касающейся собственных персональных данных, и содержащее жалобу или заявления, касающиеся соблюдения ответственным за персональные данные требований законодательства, ответственный за персональные данные направляет заинтересованному лицу в кратчайшие сроки но не позднее, чем в течение 30 дней, соответствующую информацию.
Кроме того, в случае, если в ходе обработки данных одна из сторон представляет оператора данных, а другая — ответственного за персональные данные, оператор данных должен исполнять нижеуказанные обязанности. Оператор данных обязуется:
Обрабатывать данные, переданные/раскрытые другой стороной, соблюдая масштабы и объемы, определенные в соответствии с положениями настоящей политики и разрешенные законодательством; или, по запросу регулирующего органа,
Для того, чтобы предотвратить несанкционированную обработку, потерю, повреждение, нарушение, несанкционированное изменение или разглашение данных, переданных / раскрытых ответственным за персональные данные, принимать все разумные технические и административные меры и действия, и информировать о каждом предпринятом действии ответственного за персональные данные,
КОМПАНИЯ, действуя через своего уполномоченного сотрудника, проверяет те меры и практические действия, которые применяет оператор данных в целях обеспечения безопасности данных,
Сотрудничает и оказывает поддержку в вопросах рассмотрения жалоб или заявления, переданных/раскрытых со стороны КОМПАНИИ, в том числе осуществляет нижеследующие действия,
Предоставляет КОМПАНИИ в течение 7 рабочих дней с момента получения запроса подробные данные относительно положения дел по рассмотрению жалобы и заявления, в том числе относительно данных заинтересованного лица (включая электронные данные), направленные/раскрытые ответственным за персональные данные оператору данных.
Предотвращает обработку данных (передачу данных) со стороны Оператора данных в страну и/или международную организацию, которая не входит в число Экономических Зон Европейского Союза и не включена в перечень стран с достаточным уровнем защиты персональных данных, или не имеет разрешения заинтересованного лица или Совета по защите персональных данных на передачу таковых.
Без предварительного письменного согласия КОМПАНИИ, обязуется не передавать / не разглашать персональные данные третьим лицам,
Даже в случае наличия письменного четковыраженного согласия КОМПАНИИ, оператор данных несет ответственность за передачу/раскрытие данных в соответствии с письменными соглашением. В упомянутом письменном соглашении третья сторона и её подрядчики обязуются принять все необходимые технические и административные меры для предотвращения несанкционированной обработки, утери, уничтожения, повреждения, несанкционированного изменения или раскрытия данных.
Оператор данных обязуется возместить весь и любого рода ущерб/убыток, понесенный КОМПАНИЕЙ по причине не принятия или принятия ненадлежащим образом оператором данных необходимых мер и действий (согласно политике и законодательства). Оператор данных предоставляет свое четковыраженное согласие на то, что устранит весь и любого рода ущерб/убыток (включая, но не ограничиваясь ущербом, вызванным результатом такого нарушения), а также выплатит компенсацию расходов по любого рода жалобам, юридическим процедурам и прочим обязательствам (включая, но не ограничиваясь перечисленным: любые расходы, понесенные КОМПАНИЕЙ в ходе реализации своих законных прав), возникшим у КОМПАНИИ в результате нарушений, допущенных оператором данных, и согласует это с ответственным за персональные данные.
Если иное не предусмотрено договором между КОМПАНИЕЙ и оператором данных, оператор данных после прекращения договорных отношений между ним и КОМПАНИЕЙ, обязуется вернуть любые данные (включая личные данные), которые были переданы / раскрыты со стороны КОМПАНИИ. Оператор данных отвечает за предоставление КОМПАНИИ информации относительно принятия всех необходимых мер по обеспечению безопасности данных для предотвращения несанкционированного доступа к таковым третьих лиц, относительно осуществления процедур по уничтожению персональных данных, направленных/раскрытых со стороны КОМПАНИИ, с подтверждением исполнения данных действий.
Период обновления, обработки, хранения данных и уничтожение данных
12.1 Обработка данных осуществляется в течение всего срока пользования услугами КОМПАНИИ, а также по истечении данного срока в целях, указанных настоящей Политикой, в целях и интересах компании, по запросу надзорных/регулирующих органов и/или в течение периода времени, установленного нормами законодательства.
12.2 Обработка данных, переданных посредством использования электронных каналов компании (веб-браузер, веб-сайт, Интернет, мобильные приложения и / или другие инструменты электронной передачи данных), продолжается также после того, как лицо удалило данные из соответствующих электронных каналов.
12.3 По запросу заинтересованного лица и в рамках, определенных нормами законодательства, таковому предоставляется информация о персональных данных, хранящихся в КОМПАНИИ.
12.4 В случае, если персональные данные заинтересованного лица, хранящиеся в Компании, неточны или не являются полными, по письменному уведомлению об этом, направляемому заинтересованным лицом в КОМПАНИЮ, обеспечивается дополнение и корректировка персональных данных.
12.5 Персональные данные хранятся в течение периода времени, необходимого для целей, указанных в соответствующем законодательстве или для целей, для которых они были обработаны, и в любом случае в течение 15 лет. Не смотря на то, что данные были обработаны в соответствии с положениями законодательства, в случае прекращения действия основания, требующего обработки данных, и истечения срока хранения таковых КОМПАНИЕЙ, соответствующие данные подлежат удалению, уничтожению или анонимизированию автоматически или со стороны ответственного за данные по запросу заинтересованного лица.
12.6 При определении сроков хранения и утилизации персональных данных применяются следующие критерии:
a)При определении порядка хранения данных, устанавливая то в рамках какого/каких исключения/исключений, указанных в пунктах 5 и 6 Закона, таковые могут быть оценены,
Используется система матриц прав доступа и контроля. Для каждого блока персональных данных идентифицируются соответствующие пользователи, определяются такие полномочия и методики соответствующих пользователей как право доступа, возврата, повторного использование, в случаях расторжения трудового договора или изменения должности пользователя, полномочия и методики, касающиеся доступа, возврата, повторного использования персональных данных, обновляются, блокируются и аннулируются.
b)В случае истечения срока хранения персональных данных, установленного нормами законодательства, или в случае, когда срок хранения этих данных не предусмотрен нормами законодательства, все персональные данные подлежат удалению, уничтожению или анонимизированию каждые 10 лет со стороны ответственного за персональные данные.
12.7 При удалении, уничтожении и анонимизировании персональных данных обязательно соблюдение принципов, прописанных в 4 статье Закона, озаглавленной как «Общие Принципы», выполнение процедур, предусмотренных 12 статьей Закона, озаглавленной «Обязательства по обеспечению безопасности данных», а также следование положениям соответствующего законодательства, решений Учреждения/Совета и настоящей Политики.
12.8 Все действия по удалению, уничтожению и анонимизированию персональных данных регистрируются со стороны КОМПАНИИ. Данные регистрационные записи, с сохранением обязательности исполнения прочих юридических обязательства, должны храниться в течении не менее, чем 10 лет.
12.9 До тех пор пока иное не определено решением Учреждения по защите персональных данных, КОМПАНИЯ выбирает приемлемый Регламент, определяющий порядок удаления, уничтожения и анонимизирования персональных данных.
12.10 Собранные КОМПАНИЕЙ персональные данные хранятся в различных форматах. И подлежат удалению способом соответствующим формату записи. Данные в облачной системе удаляются командой удаления данных и / или стираются вручную, персональные данные, хранящиеся на бумажных носителях, удаляются методом затемнения / зачеркивания. Процедура затемнения предусматривает вырезку персональных данных из документа, при возможности, при отсутствии же таковой — зачеркивание данных нестираемыми чернилами образом, исключающим восстановление данных, прочтение их с использованием технических средств, и видимость таковых для соответствующих пользователей.
Офисные файлы, хранящиеся на центральном сервере, удаляются командой удаления файла в операционной системе, или аннулированием права доступа соответствующего пользователя к файлу или каталогу, в котором хранится файл. Персональные данные, хранящиеся в памяти переносного/мобильного устройства, хранятся в зашифрованном виде и удаляются при помощи программного обеспечения, соответствующего среде записи. Соответствующие строки, содержащие персональные данные, удаляются командами баз данных (УДАЛИТЬ и т.д.). При выполнении данных операций необходимо обратить внимание на то, является ли соответствующий пользователь также администратором базы данных.
Уничтожение персональных данных — это процесс, результатом которого является невозможность доступа кого-либо к персональным данным, невозможность их восстановления и повторного использования. КОМПАНИЯ, ответственный за персональные данные принимают все необходимые технические и административные меры, связанные с уничтожением персональных данных. Для уничтожения персональных данных, выявляются все копии, содержащие эти данные, а системы, содержащие данные, физически уничтожаются, например, методом плавления, сжигания или измельчения оптических носителей и магнитных носителей. При уничтожении оптических или магнитных носителей методом плавления, сжигания, измельчения или пропускания через измельчитель металлических деталей, обеспечивается полное уничтожение возможности доступа к данным. Уничтожение данных на сетевых устройствах (коммутаторы, маршрутизаторы и т.д.) осуществляется командой «удалить» / «delete», на мобильных телефонах (сим-карты и области постоянной памяти) и на мобильных смартфонах в фиксированных областях памяти командой «удалить» / «delete» и методом физического уничтожения, на оптических дисках и таких носителях данных как CD, DVD и т.п., данные уничтожаются физическими методами, такими как сжигание, измельчение, плавление и т.п. Уничтожение персональных данных, содержащихся в поврежденных или направленных на тех.обслуживание устройствах, осуществляется путем извлечения и передачи на хранение носителя данных, и только прочие неисправные детали отправляются третьим сторонам, таким как производитель, продавец и сервисный центр. Обязательно принимаются все необходимые меры для предотвращения копирования и выноса за пределы предприятия персональных данных лицами, привлеченными для выполнения тех.обслуживания, ремонта и в подобного рода целях извне.
Процесс анонимизирования данных заключается в том, что все прямые и / или косвенные идентификаторы в наборе данных удаляются или изменяются, что предотвращает идентификацию соответствующего лица или приводит к невозможности выделения этого блока данных в группе / массиве данных, а следовательно, к невозможности увязать блок данных с реальным человеком. Цель анонимизирования данных — разорвать связь между лицом, которое идентифицируют эти данные, и самими данными. Данные анонимизируются путем выбора соответствующих данных, и разрыва связей между таковыми посредством реализации таких методов, как автоматическое или неавтоматическое группирование, маскирование, деривация, обобщение, рандомизация записей в системе записи данных, где хранятся персональные данные лиц.
Права заинтересованного лица
Каждое заинтересованное лицо имеет: право быть проинформированным в отношении того, обрабатываются ли его персональные данные, право на запрос информации, в случае если персональные данные обрабатываются, право на информирование о цели обработки персональных данных, и о том, обработаны ли их персональные данные в соответствии с этой целью, право на информацию о третьих лицах внутри страны или за рубежом, которым передаются персональные данные, право на подачу запроса на исправление персональных данных, если при их обработке возникли недостатки или ошибки, право на подачу запроса на удаление или уничтожение персональных данных, право на информирование о направлении данных третьим лицам в пределах страны или за рубеж, право на возражения в отношении получения результатов против самого лица в случае анализа обрабатываемых данных только посредством автоматической системы, право на запрос на возмещение и устранение ущерба, возникшего в результате обработки персональных данных в нарушение Закона.
Конфиденциальность обработки данных
14.1 Персональные данные подлежат защите данных. В обязательном порядке предотвращается несанкционированный доступ к данным сотрудниками самой КОМПАНИИ, её аффиллированных и/или дочерних предприятий, строго запрещены обработка или использование данных со стороны неавторизованных/неуполномоченных сотрудников. Обработка данных каким-либо сотрудником самой КОМПАНИИ, её аффиллированных и/или дочерних предприятий, не уполномоченным на это в рамках должностных обязанностей, признается несанкционированной обработкой данных. Сотрудники самой КОМПАНИИ, её аффиллированных и/или дочерних предприятий имеют право доступа к персональным данным исключительно при условии предоставления таковым полномочий доступа к персональным данным, прописанных в их должностных обязанностях.
14.2 Категорически запрещено использование персональных данных сотрудниками самой Компании, её аффилированных и/или дочерних предприятий, в частных или коммерческих целях, передача этих данных посторонним лицам или приведение данных в состояние доступности к таковым каким-либо иным способом. Ответственный за персональные данные информирует сотрудников об обязанности соблюдать конфиденциальность данных на начальном этапе при приеме таковых на работу, и обеспечивает обучение и подготовку своих сотрудников в данной области.
14.3 В целях обеспечения безопасности и защиты собственности и конфиденциальности, а также контроля и измерения качества обслуживания, на входах и в пределах здания и предприятий, на кухне и в служебных помещениях, а также в других подобного рода зонах, ведется видео-и аудио наблюдение.
14.4 Заинтересованное лицо извещается о том, что в пунктах предоставления услуг КОМПАНИИ и в процессе общения с представителями КОМПАНИИ ведется видео наблюдение и видеозапись с использованием соответствующих технических средств. Заинтересованное лицо соглашается и признает важность видео и аудио наблюдения, и настоящим пунктом дает КОМПАНИИ четковыраженное согласие на обработку данных таким образом.
Безопасность обработки данных
Персональные данные защищены от несанкционированного доступа, незаконной обработки или разглашения данных, а также от случайной потери, изменения или уничтожения данных. Данные подлежат защите вне зависимости от того обрабатываются они в электронном формате или на бумажном носителе. Для принятия технических и административных мер по защите персональных данных отслеживаются и применяются новые и передовые методы обработки данных и системы информационных технологий.
Контроль защиты данных
Контроль за соблюдением положений настоящей Политики защиты данных и соответствующего законодательства о защите данных осуществляется на регулярной основе уполномоченными лицами в соответствующих подразделениях КОМПАНИИ. Орган по защите персональных данных может лично контролировать соблюдение КОМПАНИЕЙ, ее дочерними и аффилированными лицами положений настоящей политики, в порядке, разрешенном национальным законодательством.
17.Контакты
При направлении заинтересованным лицом запроса, касающегося применения данной политики и Закона о защите персональных данных в письменной форме ответственному за персональные данные, таковой ответственный сотрудник в кратчайшие сроки в зависимости от характера запроса, но в любом случае, не позднее, чем в течение 30 дней, безвозмездно обязан удовлетворить данный запрос. Однако, если выполняемые действия требуют дополнительных затрат, с заявителя взимается определенная плата в соответствии с тарифами, установленными Советом по защите персональных данных.
