Politique de protection des données personnelles
En tant que Sönmez Cement, nous nous soucions de la confidentialité et de la sécurité de vos données personnelles. Dans ce contexte, nous souhaitons vous informer de la manière dont nous traitons les données personnelles que nous obtenons de nos clients, fournisseurs, partenaires commerciaux, de leurs employés et représentants et de tous autres tiers dans le cadre de nos relations commerciales, à quelles fins nous les utilisons et comment nous protégeons ces informations.
Tous les concepts et expressions utilisés dans cette déclaration ont le sens qui leur est attribué dans la loi sur la protection des données personnelles n° 6698 (« KVKK ») et d’autres lois. Le terme « vous » dans cette déclaration fait référence à vous personnellement. Le terme données personnelles est utilisé pour inclure les données personnelles sensibles. La signification des termes et des abréviations de la Politique est incluse dans la section ANNEXE – Abréviations.
Nous vous rappelons que si vous ne préférez pas que vos données personnelles soient traitées comme indiqué dans la Politique, vous ne devez pas nous transmettre vos données personnelles.
Nous vous rappelons qu’il vous appartient de vous assurer que les données personnelles que vous transmettez à notre société sont exactes, complètes et à jour au meilleur de votre connaissance. De plus, si vous partagez les données d’autres personnes avec nous, il vous incombera de collecter ces données conformément aux exigences légales locales. Dans ce cas, cela signifiera que vous avez obtenu toutes les autorisations nécessaires de la part dudit tiers pour que nous puissions collecter, traiter, utiliser et divulguer ses informations, et notre Société ne pourra être tenue pour responsable dans ce cadre.
À PROPOS DE SONMEZ CIMENT
Fondée avec le partenariat de Sönmez Holding, Kutlucan Holding et Türkün Holding, Sönmez Çimento Yapı ve Madencilik San. ve Tic. A.Ş. a commencé la production dans la zone franche d’Adana Yumurtalık TAYSEB en octobre 2014. L’usine, dont la construction a commencé en décembre 2012, a été conçue conformément à la législation environnementale en vigueur avec les systèmes de dépoussiérage les plus récents, tout en conservant sa caractéristique d’usine écologique avec l’utilisation de carburants alternatifs et de sources d’énergie renouvelables. .
Sonmez Cement, qui est très proche des sources de matières premières avec sa superficie de 413 hectares et plus de 200 employés, est la première et la seule usine de ciment en Turquie autorisée à s’établir dans des zones franches. Sönmez Cement, qui a mis en service son propre port en novembre 2017, utilise également cet avantage et offre le meilleur service à ses clients de la manière la plus rapide. De plus, Sönmez Cement vise à contribuer aux exportations du pays en ouvrant l’installation portuaire à l’usage de tiers à partir de février 2021.
Sonmez Cement, qui produit annuellement 2 millions de tonnes de clinker et 2,16 millions de tonnes de ciment, réalise une grande partie de ses ventes à l’exportation.
Les termes “nous” ou “Société” ou “Sönmez Çimento” dans la Politique, Siège : Demirtaş Dumlupınarosb Mahallesi İstanbul Caddesi Sönmez ASF İplik Sitesi No : 568 PK : 16110 Osmangazi / Bursa, Adana Succursale : Adana Yumurtalık Free Zone Sarımazı SB Mahallesi 2 . 5ème Boulevard Cadde No: 5/01 PK: 01920 Ceyhan / Adana, Istanbul Branch: Ayazağa Mahallesi Azerbaïdjan Caddesi No:3-I Vadistanbul Bulvar 2A Block Flat: 31 PK: 34396 / Sarıyer / Istanbul en présence du Bursa Trade Registry, 11965, Istanbul Ticaret Sönmez Çimento Yapı ve Madencilik Sanayi ve Ticaret A.Ş., enregistrée sous le numéro 119332 au registre et 6683 au registre du commerce de Ceyhan.Sönmez Çimento ») en tant que contrôleur de données.
NOS PRINCIPES DE TRAITEMENT DES DONNÉES PERSONNELLES
Toutes les données personnelles traitées par notre société sont traitées conformément à la KVKK et à la législation pertinente. Les principes de base et les principes auxquels nous prêtons attention lors du traitement de vos données personnelles conformément à l’article 4 du KVKK sont expliqués ci-dessous :
- Traitement conforme à la loi et à l’intégrité : Notre société ; agit conformément aux principes apportés par les réglementations légales et à la règle générale de confiance et d’honnêteté dans le traitement des données personnelles. Dans ce contexte, notre Société tient compte des exigences de proportionnalité dans le traitement des données personnelles et n’utilise pas les données personnelles autrement que dans le cadre de la finalité.
- S’assurer que les données personnelles sont exactes et à jour lorsque cela est nécessaire : notre société ; Il veille à ce que les données personnelles qu’il traite soient exactes et à jour, en tenant compte des droits fondamentaux des propriétaires de données personnelles et de leurs propres intérêts légitimes.
- Traitement à des fins spécifiques, explicites et légitimes : Notre société détermine de manière claire et précise la finalité légitime et licite du traitement des données personnelles. Notre société traite les données personnelles autant que nécessaire et en lien avec les produits et services qu’elle propose.
- Être liés à la finalité pour laquelle elles sont traitées, limitées et mesurées : Notre société traite les données personnelles d’une manière adaptée à la réalisation des finalités déterminées et évite le traitement de données personnelles qui ne sont pas liées à la réalisation de la finalité ou n’est pas nécessaire.
- Conservation des données personnelles pendant la période prévue par la législation pertinente ou requise aux fins pour lesquelles elles sont traitées : notre société ne conserve les données personnelles que pendant la durée spécifiée dans la législation pertinente ou requise aux fins pour lesquelles elles sont traitées. Dans ce contexte, notre Société détermine d’abord si une durée est prévue pour la conservation des données personnelles dans la législation applicable, si une durée est déterminée, elle agit conformément à cette durée, et si une durée n’est pas déterminée, elle conserve les données personnelles données pendant la durée nécessaire à la finalité pour laquelle elles sont traitées. Les données personnelles sont supprimées, détruites ou anonymisées par notre Société en cas d’expiration du délai ou de disparition des motifs de leur traitement.
CATÉGORIES DE PROPRIÉTAIRES DE DONNÉES
Les catégories de propriétaires de données autres que les employés (y compris les stagiaires et les employés des sous-traitants) dont les données personnelles sont traitées par notre société sont répertoriées dans le tableau ci-dessous. Une politique distincte concernant le traitement des données personnelles de nos employés a été établie et mise en œuvre au sein de l’entreprise. Les personnes n’appartenant pas aux catégories suivantes peuvent également adresser leurs demandes à notre société dans le cadre de KVKK ; leurs demandes seront également prises en considération.
CATÉGORIE DE CONTACTS | EXPLICATION |
Client | Les personnes physiques ou morales qui achètent nos produits |
Client potentiel | Les personnes physiques ou morales qui ont sollicité ou ont été intéressées à acheter ou à bénéficier de nos produits ou qui ont été évaluées selon les règles d’usage et de loyauté qu’elles peuvent avoir |
Visiteur | Les personnes réelles qui ont pénétré dans les installations physiques (bureaux, usines, etc.) détenues ou organisées par notre société à des fins diverses ou ont visité nos sites Web. |
Tierce personne | Afin d’assurer la sécurité des transactions commerciales entre notre Société et les parties susmentionnées ou de protéger les droits des personnes susmentionnées et d’obtenir des avantages, des tiers personnes physiques (par exemple garants, compagnons, membres de la famille et proches) ou personnelles données de notre entreprise, même si cela n’est pas expressément indiqué dans la politique Toutes les personnes physiques (par exemple, les anciens employés) qu’elle doit traiter dans un but spécifique |
Candidat salarié / Candidat stagiaire | Personnes réelles qui ont postulé auprès de notre société pour un emploi par quelque moyen que ce soit ou qui ont ouvert leur CV et les informations connexes à l’inspection de notre société. |
Employés, actionnaires, responsables des institutions avec lesquelles nous coopérons | Les personnes réelles, y compris les actionnaires et les responsables de ces institutions, travaillant dans des institutions (mais sans s’y limiter, des partenaires commerciaux, des fournisseurs, etc.) avec lesquelles notre société entretient des relations commerciales. |
QUAND COLLECTONS-NOUS DES DONNÉES PERSONNELLES VOUS CONCERNANT ?
Nous collectons vos données personnelles principalement dans les situations suivantes :
- Lorsque vous achetez ou utilisez nos produits,
- Lorsque vous nous vendez des biens ou nous fournissez des services,
- Lorsque vous vous abonnez à nos newsletters, choisissez de recevoir nos messages marketing,
- Lorsque vous nous contactez pour soumettre une plainte ou des commentaires par des moyens tels que le courrier électronique ou le téléphone,
- Lorsque vous postulez pour un emploi dans notre entreprise,
- Lorsque vous assistez à nos événements d’entreprise, séminaires, conférences et organisations,
- Lorsque vous nous contactez à quelque fin que ce soit en tant que client/fournisseur/partenaire commercial/sous-traitant potentiel.
Nous ne traiterons les données personnelles que nous obtenons dans les cas ci-dessus que conformément à la présente politique.
QUELLES DONNÉES PERSONNELLES TRAITONS-NOUS VOUS CONCERNANT ?
Les données personnelles que nous traitons à votre sujet varient selon le type de relation commerciale entre nous (par exemple, client, fournisseur, partenaire commercial, etc.) et la méthode de contact avec nous (par exemple, téléphone, e-mail, documents imprimés, etc.).
Fondamentalement, nos méthodes de traitement des données personnelles sont lorsque vous participez à nos événements commerciaux, enquêtes ou interagissez avec nous, par téléphone ou par e-mail. Dans ce contexte, les données personnelles que nous traitons à votre sujet peuvent être divulguées dans les catégories suivantes :
Catégories de données | Exemple |
INFORMATIONS D’IDENTITÉ | Informations contenues dans les pièces d’identité telles que nom, prénom, date de naissance |
Vos contacts | E-mail, numéro de téléphone, adresse |
Images et/ou vidéos permettant de vous identifier | Images photo et vidéo et données audio traitées pour des raisons de sécurité lorsque vous visitez notre société ou lorsque vous assistez à des événements organisés par notre société |
données financières | Données de compte bancaire, informations de facturation, relevé de transaction financière, informations préalables, informations de carte de crédit, copies de lettres de garantie, informations sur la dette |
Toute autre information que vous décidez de partager volontairement avec Sönmez Cement | Données personnelles que vous partagez de votre propre initiative, commentaires, opinions, demandes et plaintes, évaluations, commentaires et nos évaluations les concernant, fichiers téléchargés, domaines d’intérêt, informations fournies pour notre processus d’examen détaillé avant d’établir une relation commerciale avec vous |
Données électroniques collectées automatiquement | Lorsque vous visitez ou utilisez notre site Web, vous abonnez à nos newsletters, interagissez avec nous via d’autres canaux électroniques, nous pouvons collecter des données électroniques qui nous sont envoyées par votre ordinateur, votre téléphone portable ou un autre appareil d’accès (par exemple, le modèle matériel de l’appareil, l’adresse IP) en plus aux informations que vous nous transmettez directement. , version et paramètres du système d’exploitation, heure et durée d’utilisation de notre canal numérique, liens sur lesquels vous cliquez, etc.) |
Informations sur les actions en justice et la conformité | Vos données personnelles, données d’audit et d’inspection, données personnelles traitées dans le cadre de l’émission de factures pour les magasins en raison de l’exécution des processus de facturation client, procuration, signature, circulaire de signature, copies de dossier, exécution et privilèges salariaux, pension alimentaire -UPS |
Données client/fournisseur de l’entreprise | Du fait des opérations réalisées par nos unités commerciales dans le cadre de la vente de nos produits, les informations obtenues sur les propriétaires des données tels que le client/fournisseur ou le salarié, fondé de pouvoir chez le client/fournisseur. |
Gestion des incidents et informations de sécurité | Informations et évaluations collectées sur les événements susceptibles d’affecter les employés, les dirigeants ou les actionnaires de notre entreprise, les informations sur les plaques d’immatriculation et les véhicules, les informations sur les transports et les voyages, les enregistrements du journal d’accès à Internet, la surveillance des adresses IP, les informations sur les comptes d’utilisateurs, la localisation (gps) informations, enregistrements de sortie de connexion |
Données personnelles collectées à partir d’autres sources | Dans la mesure permise par les lois et réglementations applicables, nous pouvons également collecter vos données personnelles via des bases de données publiques, les méthodes et les plateformes où nos partenaires commerciaux collectent des données personnelles en notre nom. Par exemple, avant d’établir une relation commerciale avec vous, nous pouvons effectuer des recherches vous concernant à partir de sources accessibles au public afin d’assurer la sécurité technique, administrative et juridique de nos activités et transactions commerciales. En outre, certaines données personnelles appartenant à des tiers peuvent nous être transmises par vous (par exemple, garant, compagnon, données personnelles des membres de la famille, etc.). Afin que nous puissions gérer nos risques techniques et administratifs, nous pouvons traiter vos données personnelles par des méthodes utilisées conformément aux pratiques juridiques et commerciales généralement acceptées et de bonne foi dans ces domaines. Enregistrements de caméras, enregistrements d’audit et d’inspection, informations obtenues dans le cadre de l’assurance trafic, retraite et maladie. |
TRAITEMENT DES DONNÉES PERSONNELLES DES CANDIDATS EMPLOYÉS
En plus des catégories de données personnelles ci-dessus des candidats employés, nous comprenons l’expérience et les qualifications du candidat et évaluons son aptitude au poste vacant, si nécessaire, pour vérifier l’exactitude des informations transmises et faire des recherches sur le candidat en contacter les tiers auxquels le candidat a communiqué ses coordonnées, Afin de communiquer avec le candidat, de recruter de manière appropriée pour le poste vacant, de veiller au respect des dispositions légales et d’appliquer les règles de recrutement et les politiques de ressources humaines de notre Société, l’école diplômée, expérience de travail antérieure, état d’invalidité, etc. Nous collectons vos données personnelles.
Données personnelles des candidats salariés, formulaire de candidature dans les médias écrits et électroniques, plateforme de candidature électronique de notre Société, candidatures envoyées à notre Société physiquement ou par e-mail, sociétés d’emploi et de conseil, entretiens en face à face ou électroniques, Notre Société Les contrôles sur le candidat salarié sont effectués par les spécialistes des ressources humaines au moyen de tests de recrutement pour évaluer l’adéquation du candidat au cours du processus de recrutement.
Les candidats employés sont informés en détail conformément à KVKK avec un document séparé avant de soumettre leurs données personnelles lorsqu’ils postulent à un emploi, et leur consentement explicite est obtenu pour les activités de traitement des données personnelles nécessaires.
TRAITEMENT DES DONNÉES PERSONNELLES DE NOS VISITEURS DANS NOS BUREAUX
Notre entreprise traite les données personnelles des visiteurs de son bâtiment et de son usine dans le but d’assurer la sécurité physique de notre entreprise, de nos employés et visiteurs lors des procédures d’entrée et de sortie, et de vérifier les règles du lieu de travail. Dans ce contexte, dans le but de suivre l’entrée et la sortie des visiteurs, le nom, le prénom et le code HES, l’ID TR et les numéros de plaque de nos visiteurs sont confirmés et enregistrés dans le système des visiteurs. Cependant, l’identité du visiteur n’est pas conservée pendant son séjour dans l’entreprise, et l’identité est restituée au visiteur après l’enregistrement mentionné dans le système des visiteurs.
Le visiteur est informé du traitement de ses données personnelles par un texte d’éclairage à l’entrée de sécurité avant la réception des informations. Cependant, puisque notre société a un intérêt légitime dans ce contexte, KVKK art. Conformément à 5/2/f, le consentement explicite du visiteur n’est pas obtenu. Ces données sont conservées uniquement dans le système d’enregistrement des visiteurs et ne sont pas transférées vers un autre environnement, sauf en cas de situation susceptible de créer des soupçons menaçant la sécurité de la Société. Cependant, ces informations peuvent être utilisées dans des cas tels que la prévention du crime et la garantie de la sécurité de l’entreprise.
En outre, dans le but d’assurer la sécurité par notre Société et spécifié dans la Politique ; Lors de votre séjour dans les locaux de notre société, un accès internet peut être mis à la disposition de nos visiteurs sur simple demande. Dans ce cas, les journaux de bord de votre accès à Internet sont enregistrés conformément à la loi n° 5651 et aux dispositions impératives de la législation régie par cette loi ; Ces enregistrements ne sont traités qu’à la demande des institutions et organismes publics autorisés ou pour remplir nos obligations légales dans les processus d’audit à effectuer au sein de la Société.
Seul un nombre limité d’employés de Sönmez Cement peut accéder aux journaux de bord obtenus dans ce cadre. Les employés de l’entreprise qui ont accès aux enregistrements susmentionnés accèdent à ces enregistrements uniquement pour les utiliser dans les demandes ou les processus d’audit des institutions et organisations publiques autorisées, et les partagent avec les personnes légalement autorisées.
TRAITEMENT DES DONNÉES PERSONNELLES PAR ENREGISTREMENT CAMÉRA EN CIRCUIT FERMÉ
Afin d’assurer la sécurité de notre entreprise et de nos installations, des caméras de sécurité sont utilisées et les données personnelles sont traitées de cette manière. Notre société, dans le cadre de la surveillance avec des caméras de sécurité ; Il vise à accroître la qualité du service fourni, à assurer la sécurité des personnes et des biens des locaux physiques de l’entreprise et des personnes au sein de l’entreprise, à prévenir les abus et à protéger les intérêts légitimes des propriétaires des données.
Les activités de traitement des données personnelles menées par notre société avec des caméras de sécurité sont menées conformément à la Constitution, au KVKK, à la loi n° 5188 sur les services de sécurité privés et à la législation pertinente.
Notre entreprise, KVKK m. 4, traite les données personnelles de manière limitée et mesurée en rapport avec la finalité pour laquelle elles sont traitées. La vie privée de la personne ne fait pas l’objet d’une surveillance susceptible d’entraîner une intervention dépassant les objectifs de sécurité. Dans ce contexte, les propriétaires de données sont informés en plaçant des panneaux d’avertissement dans les zones communes où les enregistrements CCTV sont effectués. Cependant, étant donné que notre société a un intérêt légitime à conserver les enregistrements de vidéosurveillance, leur consentement explicite n’est pas obtenu. De plus, KVKK art. Conformément à l’article 12, les mesures techniques et administratives nécessaires sont prises pour assurer la sécurité des données personnelles obtenues à la suite de la surveillance CCTV.
De plus, une procédure a été préparée concernant les zones avec des caméras de vidéosurveillance, les zones de surveillance des caméras et les périodes d’enregistrement, et une demande a été prise dans notre entreprise. Cette procédure est prise en compte avant le placement de la caméra CCTV et la caméra est ensuite placée. Il est interdit de placer des caméras dans une mesure qui dépasse l’objectif de sécurité et dépasse la vie privée des personnes. Seul un certain nombre de personnels de la Société accèdent aux images de vidéosurveillance et ces autorisations sont régulièrement revues. Le personnel qui a accès à ces dossiers s’engage à protéger les données personnelles conformément à la loi.
L’enregistrement vidéo est effectué à travers un total de 60 caméras de sécurité situées dans la zone de service, telles que les bureaux de notre société, les portes d’entrée de notre usine et de notre port, les zones de travail ouvertes, l’extérieur des bâtiments et des installations, l’automatisation, les salles système, les archives, afin de assurer la sécurité du bâtiment, et l’enregistrement est effectué par l’unité de sécurité.
À QUELLES FINS UTILISONS-NOUS VOS DONNÉES PERSONNELLES ?
Nos finalités d’utilisation de vos données personnelles varient en fonction du type de relation commerciale entre nous (par exemple client, fournisseur, partenaire commercial, etc.). Fondamentalement, nos objectifs de traitement de vos données personnelles sont énumérés ci-dessous. Les activités de traitement des données personnelles concernant les candidats employés sont expliquées dans la section « Traitement des données personnelles des candidats employés » ci-dessus.
Nos finalités de traitement des données personnelles | Exemple |
Évaluer les fournisseurs/partenaires commerciaux potentiels | Mener notre processus d’examen et de gestion des conflits d’intérêts conformément à nos règles en matière de risques |
Client Etablissement et gestion des relations, Exécution et conclusion du processus contractuel avec nos fournisseurs/partenaires commerciaux | Réaliser les transactions de vente des produits de notre société, soumettre des offres pour nos produits, fournir des biens, facturer (y compris les processus de facturation électronique et de retour de facture), établir et exécuter des contrats, assurer la sécurité des transactions juridiques post-contractuelles, améliorer nos services, évaluer les nouvelles technologies et applications Déterminer et mettre en œuvre les stratégies commerciales et d’affaires de notre Société, gérer les opérations (demande, proposition, évaluation, commande, budgétisation, contrat), fournir des organisations de transport de produits, exécuter des opérations financières et conclure des accords avec nos fournisseurs et clients dans ce cadre, gérer les affaires financières, les relations commerciales Pouvoir proposer des alternatives aux personnes morales/réelles dont il s’agit, réaliser des études documentaires dans le cadre de normes de qualité, faire des spécifications de matières premières, finaliser des échantillons et des analyses, réaliser des dispositifs entretien et réparations, fournisseur Préparation des formulaires de paiement progressif, partage des documents après-vente pertinents avec le client, envoi de documents aux entreprises de fret nationales et internationales, réservations d’hôtel et de transport pour les clients entrants, contrôle technique du matériel, processus d’expédition et de retour, création d’enregistrements dans le système pour les fournisseurs, réalisation d’analyses et de spécifications de produits, suivi et stockage des accords de maintenance annuels, visites de clients ou de fournisseurs, conduite d’appels d’offres avec les fournisseurs, obtention des autorisations légales nécessaires aux investissements, préparation du formulaire de paiement progressif pour les fournisseurs, envoi des documents d’exportation, création cartes et passation de commandes, société de surveillance, capitaine et direction des douanes, acceptation des entrepreneurs aux opérations sur le terrain, livraison des produits, exécution des processus de lettre de garantie, évaluation technique des fournisseurs et application Fournir la sélection d’équipements, créer ou approuver les dossiers des vendeurs/fournisseurs, créer des rapports de caisse enregistreuse, mener des processus douaniers |
Exécution des processus de marketing direct | Faire des notifications marketing sur nos services par e-mail et par téléphone, mener des enquêtes de satisfaction ou évaluer vos opinions, plaintes et commentaires sur les réseaux sociaux, plateformes en ligne ou autres canaux, les renvoyer, informer nos clients sur les innovations de l’entreprise, les activités de marketing avec les participants à les événements à organiser à faire, |
Contact et assistance (sur votre demande) | Répondre aux demandes d’informations sur nos services, fournir une assistance pour les demandes reçues via nos canaux de communication, conserver nos archives et mettre à jour notre base de données (en relation avec le processus de création de nouveaux clients et de nouvelles cartes de revendeur), communiquer avec les clients et les fournisseurs dans les salons auxquels nous participons , échanger des cartes de visite Trouver des solutions sur la base des rapports de réclamation de nos unités de vente ou de contrôle qualité et rendre compte des actions entreprises |
Respect des obligations légales | Exécution des procédures fiscales et d’assurance, respect de nos obligations légales découlant de la législation pertinente, en particulier la loi n° 5651 et d’autres législations, la loi n° 6563 sur la réglementation du commerce électronique et d’autres législations, le code pénal turc n° 5237 et la loi sur la protection des données personnelles n ° 6698, institutions officielles Effectuer les processus nécessaires dans le cadre du respect des lois et réglementations auxquelles nous sommes soumis, tels que l’exécution des processus devant nous, la tenue de registres et l’information obligations, conformité et audit, audits et inspections des autorités officielles, suivi et conclusion de nos droits et poursuites judiciaires, divulgation de données à la demande des autorités officielles, exécution des processus pertinents dans le cadre des exigences et obligations déterminées afin d’assurer le respect des obligations légales spécifiées dans le KVKK, tel que requis ou mandaté par les réglementations légales, et l’obtention des autorisations nécessaires pour l’investissement. Mesures liées aux facteurs physiques, chimiques et biologiques dans le cadre de la législation sur la santé et la sécurité au travail, conduite des opérations sur le terrain des sous-traitants, partage des informations client avec les opérateurs GSM sur la base de la décision du conseil d’administration de BTK |
Protection et sécurité des intérêts de l’entreprise | Réaliser les activités d’audit nécessaires à la protection des intérêts et des intérêts de l’entreprise, vérifier les conflits d’intérêts, assurer la sécurité juridique et commerciale des personnes qui entretiennent une relation commerciale avec notre entreprise, conserver les enregistrements de vidéosurveillance pour la protection des appareils de l’entreprise et actifs, en prenant des mesures de sécurité techniques et administratives et en travaillant au développement des services que nous fournissons exécution, mise en œuvre et supervision des règles du lieu de travail, planification et exécution des activités de responsabilité sociale, protection de la réputation commerciale et de la confiance de Sönmez Holding, Kutlucan Holding et les sociétés du groupe Türkün Holding, tous les incidents, accidents, plaintes, pertes volées, etc. Effectuer les interventions nécessaires et prendre les précautions nécessaires en signalant les situations, en transmettant les règles à suivre pour les situations dangereuses pouvant survenir lors de l’entretien et de la réparation, en mesurant la compétence professionnelle des sous-traitants, en veillant à l’ordre d’entrée et de sortie des employés de l’entreprise et obtenir les informations nécessaires en termes de sécurité, pour pouvoir effectuer les contrôles qualité et standards nécessaires, ou Remplir nos obligations de reporting et autres déterminées par les lois et règlements |
Planification et exécution des activités commerciales de l’entreprise | Conformément à l’objectif de déterminer, planifier et mettre en œuvre les politiques commerciales de l’entreprise à court, moyen et long terme, déterminer et mettre en œuvre les stratégies commerciales et commerciales ; Activités de communication, d’études de marché et de responsabilité sociale menées par notre société, exécution d’opérations d’achat, création de plans d’urgence |
Rapports et audit | Assurer la communication avec les sociétés du groupe Sönmez Holding, Kutlucan Holding et Türkün Holding établies en Turquie, en réalisant les activités nécessaires, les processus d’audit interne et de reporting |
Protection des droits et intérêts | Poursuites, enquêtes, etc. déposées contre notre société. exécution des défenses contre les actions en justice, médiation, exécution des dispositions relatives aux litiges civils et publics |
COMMENT UTILISONS-NOUS VOS DONNÉES PERSONNELLES À DES FINS MARKETING ?
Activités de marketing KVKK art. En règle générale, nous obtenons toujours votre consentement pour traiter vos données personnelles dans le cadre d’activités de marketing, car elles ne sont pas considérées dans le cadre des exceptions de 5/2. Notre société peut envoyer des communications promotionnelles sur ses produits, services, événements et promotions à intervalles réguliers. Ces communications promotionnelles peuvent vous être envoyées via différents canaux tels que le courrier électronique, le téléphone, les SMS, le courrier postal et les réseaux sociaux tiers.
Afin de vous fournir la meilleure expérience personnalisée, ces communications peuvent parfois être adaptées à vos préférences (par exemple, en fonction des résultats que nous tirons de vos visites sur le site Web ou des liens sur lesquels vous cliquez dans nos e-mails, tels que vous nous les indiquez) .
Traitement des opportunités pour des produits et services qui vous sont spécifiques tels que la publicité sur Internet, le ciblage, le reciblage, la vente croisée, la campagne, les publicités d’opportunités et de produits/services, l’utilisation de cookies à cette fin, la réalisation d’offres commerciales tenant compte de vos préférences et de vos achats récents, sur la base sur votre consentement. , suivre vos habitudes d’utilisation en fonction de vos enregistrements précédents et vous présenter des produits spéciaux ; Traitement des messages commerciaux électroniques (tels que newsletter, enquêtes de satisfaction client, publicités de produits, etc.) ) soumission ; envoyer des cadeaux et des promotions ; Nous pouvons mener des activités de marketing afin d’organiser la communication d’entreprise et d’autres événements et invitations dans ce cadre et de les informer à leur sujet.
Lorsque la législation applicable l’exige, nous vous demanderons votre permission avant de commencer les activités ci-dessus. Vous aurez également la possibilité de retirer (arrêter) votre consentement à tout moment. En particulier, vous pouvez toujours empêcher l’envoi de notifications liées au marketing en suivant les instructions de désabonnement incluses dans chaque e-mail et SMS.
POUR QUELLES RAISONS JURIDIQUES TRAITONS-NOUS VOS DONNÉES PERSONNELLES ?
KVKK art. Nous traitons pour les raisons juridiques suivantes énoncées au point 5 :
Raison légale | Exemple |
Dans les cas où nous avons besoin de votre consentement explicite conformément à KVKK et à d’autres législations, nous traitons sur la base de votre consentement (dans ce cas, nous souhaitons vous rappeler que vous pouvez retirer votre consentement à tout moment) | Nous obtenons votre consentement pour mener à bien nos activités de marketing. |
Dans tous les cas autorisés par la loi applicable | Loi de procédure fiscale m. Inclure le nom de la personne concernée sur la facture dans le cadre de 230 |
Lorsqu’il existe une obligation de protéger les intérêts vitaux de toute personne | Donner au médecin les informations sur la santé du membre du conseil qui s’est évanoui dans le conseil d’administration |
Lorsque nous devons conclure un contrat avec vous, exécuter le contrat et remplir nos obligations en vertu d’un contrat | Recevoir les coordonnées bancaires du client dans le cadre de la relation contractuelle avec le client |
Remplir nos obligations légales, | Remplir nos obligations fiscales, soumettre les informations demandées par décision de justice au tribunal |
Si vos données personnelles ont été rendues publiques par vous | L’utilisation des données personnelles que vous avez rendues publiques par des moyens tels que l’envoi d’un e-mail pour vous contacter, les canaux de médias sociaux, dans le but de les rendre publiques |
Il nous est nécessaire de traiter les données pour l’établissement ou la protection d’un droit, d’utiliser nos droits légaux et de nous défendre contre les actions en justice intentées contre nous. | Conserver les documents ayant valeur de preuve et les utiliser si nécessaire |
Dans les cas où nos intérêts légitimes l’exigent, à condition que cela ne porte pas atteinte à vos libertés et droits fondamentaux. | Pour assurer la sécurité des réseaux de communication et des informations de notre entreprise, pour mener à bien les activités de notre entreprise, pour détecter les transactions suspectes et pour mener des recherches afin de respecter nos règles de risque, pour utiliser les services de stockage, d’hébergement, de maintenance et de support afin de fournir services informatiques techniques et de sécurité, pour assurer l’efficacité des activités de notre entreprise et profiter des opportunités de la technologie. |
Dans les cas où vos données personnelles sont traitées avec un consentement explicite, nous tenons à souligner que si vous retirez votre consentement explicite, vous serez retiré du programme d’adhésion commerciale où le traitement basé sur le consentement explicite est requis et vous ne pourrez pas bénéficier des avantages dont vous avez bénéficié à la date pertinente.
QUAND PARTAGEONS-NOUS VOS DONNÉES PERSONNELLES ?
Notre société, concernant le transfert de données personnelles, principalement KVKK m. Il est sous la responsabilité d’agir conformément aux décisions et règlements connexes stipulés dans le KVKK et pris par le Conseil. En règle générale, les données personnelles et les données sensibles appartenant aux propriétaires des données ne peuvent pas être transférées à d’autres personnes physiques ou morales sans le consentement explicite de la personne concernée.
Transfert national de données personnelles
Conformément à l’article 8 du KVKK, dans les cas prévus aux articles 5 et 6 du KVKK, il est possible de transférer vos données personnelles sans le consentement de la personne concernée.
Sönmez Çimento, dans le cas où les conditions stipulées aux articles 5 et 6 du KVKK sont remplies, conformément aux conditions stipulées dans l’autre législation pertinente et en prenant les mesures de sécurité spécifiées dans la législation ; Sauf disposition contraire de la loi ou d’une autre législation pertinente, elles sont transférées à des tiers en Turquie et à des sociétés sous l’égide de Sönmez Cement. Ces raisons sont POUR QUELLES RAISONS JURIDIQUES TRAITONS-NOUS VOS DONNÉES PERSONNELLES ? ” sous le titre.
Partage de vos données personnelles à l’étranger :
Notre société peut transférer des données personnelles à des tiers en Turquie, ainsi que les traiter en Turquie ou à l’extérieur de la Turquie, y compris l’externalisation, conformément aux conditions stipulées dans la loi et toute autre législation pertinente et en prenant les mesures de sécurité spécifiées dans le législation peuvent également être transférés. Afin de mener à bien nos activités d’entreprise de la manière la plus efficace et de bénéficier des opportunités de la technologie, vos données personnelles peuvent être transférées à l’étranger en prenant les mesures techniques et administratives nécessaires via la technologie de l’information cloud.
KVKK m. En règle générale, nous demandons le consentement explicite des personnes concernées pour le transfert de données personnelles à l’étranger. Cependant, KVKK art. 9, KVKK art. 5/2 ou m. Existence de l’une des conditions réglementées au 6/3 et dans le pays étranger où les données personnelles seront transférées
a) La disponibilité d’une protection adéquate,
b) En l’absence d’une protection suffisante, les responsables du traitement des données en Turquie et dans le pays étranger concerné s’engagent par écrit à fournir une protection adéquate et le Conseil a l’autorisation.
Le transfert à l’étranger peut être effectué sans demander le consentement explicite du propriétaire des données, à condition que
A cet égard, dans des cas exceptionnels où le consentement exprès n’est pas demandé pour le transfert de données à caractère personnel mentionné ci-dessus, outre les conditions de traitement et de transfert sans consentement, une protection suffisante est recherchée dans le pays vers lequel les données seront transférées conformément aux avec le KVKK. Le Conseil de protection des données personnelles déterminera si une protection adéquate est assurée ; En l’absence d’une protection adéquate, les contrôleurs de données en Turquie et dans le pays étranger concerné doivent entreprendre une protection adéquate par écrit et avoir l’autorisation du Conseil de protection des données personnelles.
Les parties avec lesquelles le partage se fait dans le pays et à l’étranger
- Nous ne partageons pas vos Données Personnelles sauf dans les cas particuliers définis ici. L’accès à vos données personnelles au sein de Sönmez Çimento sera limité à ceux qui ont besoin de connaître les informations aux fins définies dans la présente politique. Afin de réaliser les finalités pour lesquelles vos données ont été collectées (pour des informations détaillées sur ces finalités, la rubrique « A quelles fins utilisons-nous vos données personnelles ? section), nous transférons vos Données Personnelles aux personnes et institutions suivantes :
Sociétés du groupe Sönmez Holding, Kutlucan Holding et Türkün Holding : Puisque nous opérons sous Sönmez Holding, Kutlucan Holding et Türkün Holding, vos données personnelles sont partagées avec les sociétés du groupe Sönmez Holding, Kutlucan Holding et Türkün Holding établies en Turquie et à l’étranger. pour eux. Ce partage n’est effectué qu’avec des employés autorisés pour réaliser l’objectif de partage pertinent.Cependant, nous tenons à préciser que le partage de données que nous partageons avec Sönmez Holding, Kutlucan Holding et Türkün Holding en général est effectué d’une manière qui n’inclut pas les données personnelles. les données dans le cadre du reporting financier liées aux activités de l’entreprise telles que la rentabilité et la productivité de l’entreprise. Dans certains cas particuliers, au lieu de partager des informations anonymes avec les sociétés du groupe Sönmez Holding, Kutlucan Holding et Türkün Holding, nous pouvons partager des données personnelles (comme répondre aux plaintes des clients). Des règles d’entreprise contraignantes concernant le transfert de vos données personnelles entre les sociétés du groupe Sönmez Holding, Kutlucan Holding et Türkün Holding ont été signées et les mesures nécessaires ont été prises. - Prestataires de services : définit les parties avec lesquelles notre société établit des partenariats commerciaux à des fins telles que la vente, la promotion et la commercialisation des produits de notre société dans le cadre de ses activités commerciales. Comme de nombreuses entreprises, nous pouvons travailler avec des tiers de confiance tels que des fournisseurs de technologies de l’information et de la communication, des prestataires de services de conseil, des sociétés de fret, des agences de voyage pour exécuter des fonctions et des services dans les technologies les plus efficaces et les plus récentes dans le cadre de certains activités de traitement de données, et dans ce cadre, nous pouvons utiliser des données pour mener à bien nos activités. Ce partage est limité à la finalité d’assurer la réalisation des finalités d’établissement et d’exécution du partenariat commercial. Nous utilisons les technologies du cloud computing afin de mener à bien les activités de notre entreprise de la manière la plus efficace et de bénéficier des possibilités de la technologie au niveau maximum, et dans ce contexte, nous pouvons traiter vos données personnelles dans le pays et à l’étranger à travers entreprises qui offrent des services de cloud computing. La société de support de services marketing avec laquelle nous partageons peut être établie à l’étranger et dans ce contexte, KVKK art. 8 et m. Conformément au 9, le partage de données avec l’étranger peut être effectué conformément aux dispositions relatives au partage de données à l’étranger.
- Institutions et organisations publiques : nous pouvons partager vos données personnelles avec les autorités officielles, judiciaires et administratives compétentes lorsque la loi l’exige ou lorsque nous devons protéger nos droits (par ex. Administrations fiscales, notaires, forces de l’ordre, gendarmerie, services de police, tribunaux et bureaux d’exécution, consultance douanière, Environnement et Urbanisme, Directions des Douanes, Ministère des Transports, Ministère du Commerce, autorité portuaire).
- Personnes de droit privé : Conformément aux dispositions de la législation applicable, les données personnelles peuvent être partagées dans un but limité au sein de l’autorité légale des personnes morales de droit privé autorisées à recevoir des informations et des documents de notre Société (par ex. Société de santé et de sécurité au travail).
- Consultants professionnels et autres : Afin de poursuivre les activités commerciales de Sönmez Cement, soutenir l’exécution des activités de Sönmez Cement, telles que l’exécution des processus d’appel d’offres, l’exécution des procédures de médiation et d’arbitrage, la conduite de nos relations avec nos fournisseurs, la promotion de nos projets, y compris les consultants professionnels tels que ceux énumérés ci-dessous
- Autres parties en relation avec des transactions d’entreprise : En outre, de temps à autre, vos données personnelles peuvent être utilisées dans le cadre de transactions d’entreprise, par exemple, lors de la vente d’une entreprise pour l’exécution de contrats, de relations contractuelles et commerciales établies pour l’exécution des affaires et des activités de l’entreprise, assurer l’efficacité et la sécurité des processus de notre entreprise, remplir les engagements pris ou lors de la vente d’une certaine partie d’une entreprise à une autre entreprise ou dans le cas où le nom, les actifs ou les actions de Sönmez Çimento sont soumis à toute autre réorganisation/structuration, fusion, joint-venture ou autre vente ou cession (en cas de faillite ou de transactions similaires).Nous partageons ces informations avec les entreprises dont nous recevons des services et des services de conseil en Turquie et à l’étranger, et avec d’autres parties liées aux transactions d’entreprise telles que nos clients, sous-traitants, fournisseurs, partenaires commerciaux.
COMBIEN DE TEMPS CONSERVONS-NOUS VOS DONNÉES PERSONNELLES ?
Nous ne conservons vos données personnelles que le temps nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées. Nous déterminons ces périodes séparément pour chaque processus commercial, et s’il n’y a aucune autre raison de conserver vos données personnelles à la fin de la période pertinente, nous détruisons vos données personnelles conformément à la KVKK.
Nous prenons en compte les critères suivants pour déterminer les délais de destruction de vos données personnelles :
- La durée acceptée selon l’usage général du secteur dans lequel le responsable du traitement opère dans le cadre de la finalité de traitement de la catégorie de données concernée,
- La période pendant laquelle la relation juridique établie avec la personne concernée, qui nécessite le traitement de données à caractère personnel dans la catégorie de données concernée, se poursuivra,
- La période pendant laquelle l’intérêt légitime à obtenir par le responsable du traitement, en fonction de la finalité du traitement de la catégorie de données concernée, sera valable conformément à la loi et aux règles de loyauté,
- La période pendant laquelle les risques, les coûts et les responsabilités découlant du stockage de la catégorie de données concernée en fonction de la finalité du traitement se poursuivront légalement,
- Si la période maximale à déterminer est appropriée pour maintenir la catégorie de données pertinente exacte et à jour si nécessaire,
- La période pendant laquelle le responsable du traitement est tenu de conserver les données personnelles dans la catégorie de données pertinente en raison de son obligation légale,
- Le délai de prescription déterminé par le responsable du traitement pour faire valoir un droit lié aux données personnelles dans la catégorie de données concernée.
COMMENT ÉLIMINONS-NOUS VOS DONNÉES PERSONNELLES ?
Bien que les données personnelles aient été traitées conformément aux dispositions de la loi pertinente conformément à la réglementation de l’article 138 du Code pénal turc et de l’article 7 du KVKK, dans le cas où les raisons nécessitant le traitement sont éliminées, elles sont supprimées à la demande de notre société. propre décision ou si le propriétaire des données personnelles le demande, détruites ou rendues anonymes.
Dans ce contexte, la Politique de conservation et de destruction des données personnelles a été préparée. Dans les cas où notre société a le droit et/ou l’obligation de conserver les données personnelles conformément aux dispositions de la législation pertinente, le droit de ne pas répondre à la demande du propriétaire des données est réservé. Lorsque les données personnelles sont traitées par des moyens non automatisés, à condition qu’elles fassent partie d’un système d’enregistrement de données, un système de destruction physique des données personnelles est appliqué pendant que les données sont supprimées/détruites afin qu’elles ne puissent pas être utilisées ultérieurement. Lorsque notre société s’accorde avec une personne ou une organisation pour traiter des données personnelles en son nom, les données personnelles sont supprimées en toute sécurité par ces personnes ou organisations d’une manière qui ne peut pas être récupérée. Notre société peut anonymiser les données personnelles lorsque les raisons qui nécessitent le traitement des données personnelles traitées conformément à la loi sont éliminées.
MÉTHODES D’ÉLIMINATION DES DONNÉES PERSONNELLES
Suppression des données personnelles
Bien que notre société ait été traitée conformément aux dispositions de la loi applicable, dans le cas où les raisons de son traitement disparaissent, elle peut supprimer les données personnelles à sa propre discrétion ou à la demande du propriétaire des données personnelles. La suppression des données personnelles est le processus qui rend les données personnelles inaccessibles et non réutilisables pour les utilisateurs concernés. Toutes les mesures techniques et administratives nécessaires sont prises par notre société pour rendre les données personnelles supprimées inaccessibles et réutilisables pour les utilisateurs concernés.
Processus de suppression des données personnelles
Le processus à suivre dans la suppression des données personnelles est le suivant :
Déterminer les données personnelles qui feront l’objet du processus de suppression.
- Identifier les utilisateurs pertinents pour chaque donnée personnelle à l’aide d’une matrice d’autorisation et de contrôle d’accès ou d’un système similaire.
- Déterminer les autorisations et les méthodes des utilisateurs concernés telles que l’accès, la récupération et la réutilisation.
- Fermeture et élimination de l’accès, de la récupération, de l’autorisation de réutilisation et des méthodes des utilisateurs concernés dans le cadre des données personnelles.
Méthodes de suppression des données personnelles
Environnement d’enregistrement des données | Explication |
Situé sur les serveurs Données personnelles | L’administrateur système supprime l’autorisation d’accès des utilisateurs concernés et supprime les données personnelles sur les serveurs pour ceux dont la période de temps a expiré. |
Placer dans l’environnement électronique Données personnelles | Parmi les données personnelles dans l’environnement électronique, celles dont la période a expiré sont rendues inaccessibles et inutilisables de quelque manière que ce soit pour les autres employés (utilisateurs liés) à l’exception de l’administrateur de la base de données. |
Données personnelles dans l’environnement physique | Les données personnelles conservées dans l’environnement physique sont rendues inaccessibles et non réutilisables de quelque manière que ce soit pour les autres employés, à l’exception du responsable de l’unité responsable de l’archivage des documents, pour ceux dont le délai est expiré. De plus, le processus de noircissement est appliqué par dessin/peinture/effacement d’une manière qui ne peut être lue. |
Sur les supports portables Données personnelles trouvées | Parmi les données personnelles conservées sur des supports de stockage flash, celles qui ont expiré sont cryptées par l’administrateur système et l’autorisation d’accès est donnée uniquement à l’administrateur système, avec des clés de cryptage. stockées dans des environnements sécurisés. |
Destruction des données personnelles
Malgré le fait qu’elles ont été traitées conformément aux dispositions de la loi applicable, notre société peut détruire les données personnelles sur sa propre décision ou à la demande du propriétaire des données personnelles, dans le cas où les raisons de leur traitement disparaissent. La destruction des données personnelles est le processus qui rend les données personnelles inaccessibles, irrécupérables et inutilisables par quiconque de quelque manière que ce soit. Le responsable du traitement est tenu de prendre toutes les mesures techniques et administratives nécessaires concernant la destruction des données personnelles.
Environnement d’enregistrement des données | Explication |
Données personnelles dans l’environnement physique | Parmi les données personnelles sur support papier, celles qui doivent être conservées, dont le délai est expiré, sont détruites de manière irréversible dans les machines à trombones. |
Données personnelles sur supports optiques/magnétiques | La destruction physique des données personnelles sur supports optiques et magnétiques, telle que la fonte, la combustion ou la pulvérisation, est appliquée. |
Détruire physiquement : Les données personnelles peuvent également être traitées de manière non automatique, à condition qu’elles fassent partie de tout système d’enregistrement de données. Pendant que ces données sont supprimées/détruites, un système de destruction physique des données personnelles est appliqué afin qu’elles ne puissent pas être utilisées ultérieurement.
Supprimer en toute sécurité du logiciel : Lors de la suppression/destruction de données traitées par des moyens entièrement ou partiellement automatisés et stockées sur des supports numériques ; des méthodes sont utilisées pour supprimer les données du logiciel concerné d’une manière qui ne peut plus être récupérée.
Suppression sécurisée par un expert : dans certains cas, il peut engager un expert pour supprimer les données personnelles en son nom. Dans ce cas, les données personnelles sont supprimées/détruites de manière sécurisée par la personne experte dans ce domaine, de manière irrécupérable.
Coupure électrique: Il rend les données personnelles physiquement illisibles.
Méthodes de destruction des données personnelles Afin de détruire les données personnelles, il est nécessaire d’identifier toutes les copies des données et de les détruire une par une en utilisant une ou plusieurs des méthodes suivantes, selon le type de systèmes dans lesquels les données sont situé:
Systèmes locaux : Une ou plusieurs des méthodes suivantes peuvent être utilisées pour détruire les données sur lesdits systèmes. JE)
Démagnétisation : C’est le processus de corruption des données qu’il contient de manière illisible en exposant le support magnétique à un champ magnétique très élevé en le faisant passer à travers un dispositif spécial. ii) Destruction physique : Il s’agit de la destruction physique des supports optiques et des supports magnétiques tels que la fonte, la combustion ou la pulvérisation. Les données sont rendues inaccessibles par des processus tels que la fusion, l’incinération, la pulvérisation ou le passage à travers un broyeur métallique vers un support optique ou magnétique. Pour les disques SSD, si l’écrasement ou la démagnétisation ne réussit pas, ce support doit également être physiquement détruit. iii) Écrasement : c’est le processus qui empêche la récupération d’anciennes données en écrivant des données aléatoires composées de 0 et de 1 au moins sept fois sur un support magnétique et un support optique réinscriptible. Ce processus est effectué à l’aide d’un logiciel spécial.
Systèmes environnementaux : Les méthodes de destruction pouvant être utilisées en fonction du type de support sont listées ci-dessous : ©) Périphériques réseau (commutateurs, routeurs, etc.) : Les supports de stockage de ces périphériques sont fixes. Les produits ont souvent une commande de suppression mais pas de fonction de destruction. Il doit être détruit en utilisant une ou plusieurs des méthodes appropriées spécifiées en (a). ii) Environnements Flash : disques durs Flash avec interfaces ATA (SATA, PATA, etc.), SCSI (SCSI Express, etc.), en utilisant la commande <block erase> si prise en charge, en utilisant la méthode de destruction recommandée par le fabricant si non pris en charge, ou (a Il doit être détruit en utilisant une ou plusieurs des méthodes appropriées spécifiées dans ). iii) Bande magnétique : Ce sont les environnements qui stockent les données à l’aide de pièces micro magnétiques sur la bande flexible. Il doit être détruit en l’exposant à des environnements magnétiques très puissants et en le démagnétisant ou par des méthodes de destruction physique telles que la combustion et la fusion. iv) Unités telles que disque magnétique : Ce sont des supports qui stockent des données à l’aide de pièces micro-aimants sur des supports flexibles (plaques) ou fixes. Il doit être détruit en l’exposant à des environnements magnétiques très puissants et en le démagnétisant ou par des méthodes de destruction physique telles que la combustion et la fusion. v) Téléphones portables (carte SIM et zones de mémoire fixes) : Il existe une commande de suppression dans les zones de mémoire fixes des téléphones intelligents portables, mais la plupart d’entre eux n’ont pas de commande de destruction. Il doit être détruit en utilisant une ou plusieurs des méthodes appropriées spécifiées en (a). vi) Disques optiques : Ce sont des supports de stockage de données tels que CD, DVD. Il doit être détruit par des méthodes de destruction physique telles que la combustion, la fragmentation en petits morceaux, la fonte. vii) Périphériques tels qu’imprimante, système d’accès à la porte par empreintes digitales avec support d’enregistrement de données amovible : tous les supports d’enregistrement de données doivent être vérifiés pour être retirés et détruits en utilisant une ou plusieurs des méthodes appropriées spécifiées au point (a) en fonction de leurs caractéristiques. viii) Périphériques tels qu’une imprimante avec un support d’enregistrement de données fixe, un système d’accès à la porte par empreinte digitale : La plupart de ces systèmes ont une commande de suppression, mais pas de commande de destruction. Il doit être détruit en utilisant une ou plusieurs des méthodes appropriées spécifiées en (a).
Support papier et microfiche : Les données personnelles contenues dans lesdits supports étant inscrites de façon permanente et physique sur le support, le support principal doit être détruit. Lors de l’exécution de ce processus, il est nécessaire de diviser le support en petits morceaux de taille incompréhensible, horizontalement et verticalement si possible, de manière à ce qu’ils ne puissent pas être réassemblés avec des destructeurs de papier ou des clippeuses. Les données personnelles transférées du format papier original vers un support électronique par numérisation doivent être détruites en utilisant une ou plusieurs des méthodes appropriées spécifiées au point (a) en fonction de l’environnement électronique dans lequel elles se trouvent.
Environnement infonuagique : Lors du stockage et de l’utilisation des données personnelles dans les systèmes susmentionnés, un cryptage avec des méthodes cryptographiques et, si possible, des clés de cryptage distinctes doivent être utilisés pour les données personnelles, en particulier pour chaque solution cloud qui est desservie. Lorsque la relation de service de cloud computing prend fin ; Toutes les copies des clés de cryptage nécessaires pour rendre les données personnelles utilisables doivent être détruites. En plus des supports ci-dessus, la destruction des données personnelles sur les appareils défaillants ou envoyés en maintenance est effectuée comme suit : ii) Dans les cas où la destruction n’est pas possible ou appropriée, le support de stockage des données est démonté et stocké, d’autres défectueux les pièces sont envoyées à des institutions tierces telles que le fabricant ou le revendeur, iii) à des fins de maintenance et de réparation externes Les mesures nécessaires doivent être prises pour empêcher le personnel entrant de copier les données personnelles et de les sortir de l’institution.
Anonymisation des Données Personnelles
L’anonymisation des données personnelles signifie que les données personnelles ne peuvent en aucun cas être associées à une personne physique identifiée ou identifiable, même en les associant à d’autres données. Notre société peut anonymiser les données personnelles lorsque les raisons qui nécessitent le traitement des données personnelles traitées conformément à la loi sont éliminées. Afin que les données personnelles soient anonymisées ; Les données personnelles doivent être rendues sans rapport avec une personne physique identifiée ou identifiable, même en utilisant des techniques appropriées pour le support d’enregistrement et le domaine d’activité concerné, telles que la restitution des données personnelles par le responsable du traitement ou des groupes de destinataires et/ou la mise en correspondance des données avec autre informations. Notre société prend toutes les mesures techniques et administratives nécessaires pour anonymiser les données personnelles.
Conformément à l’article 28 de la loi KVK ; Les données personnelles anonymisées peuvent être traitées à des fins telles que la recherche, la planification et les statistiques. Un tel traitement n’entre pas dans le champ d’application de la loi KVK et le consentement explicite du propriétaire des données personnelles ne sera pas demandé.
Méthodes pour rendre les données personnelles anonymes
L’anonymisation des données personnelles signifie que les données personnelles ne peuvent en aucun cas être associées à une personne physique identifiée ou identifiable, même si elles sont appariées à d’autres données.
Afin que les données personnelles soient anonymisées ; Les données personnelles doivent être rendues sans rapport avec une personne physique identifiée ou identifiable, même en utilisant des techniques appropriées pour le support d’enregistrement et le domaine d’activité concerné, telles que la restitution des données personnelles par le responsable du traitement ou des tiers et/ou la mise en correspondance des données avec autre informations.
L’anonymisation est la suppression ou la modification de tous les identifiants directs et/ou indirects d’un ensemble de données, empêchant l’identification de la personne concernée d’être identifiée, ou perdant son caractère distinctif dans un groupe ou une foule de telle sorte qu’elle ne peut être associée à un personne naturelle. Les données qui ne pointent pas vers une personne spécifique suite au blocage ou à la perte de ces fonctionnalités sont considérées comme des données anonymisées. En d’autres termes, les données anonymisées étaient les informations qui identifiaient une personne réelle avant ce processus, mais après ce processus, elles ne pouvaient plus être associées à la personne concernée et leur lien avec la personne était rompu. L’anonymisation a pour but de rompre le lien entre les données et la personne identifiée par ces données. Tous les processus de rupture de lien effectués par des méthodes telles que le regroupement, le masquage, la dérivation, la généralisation et la randomisation automatiques ou non automatiques appliqués aux enregistrements du système d’enregistrement des données où les données personnelles sont conservées sont appelés méthodes d’anonymisation. Les données obtenues à la suite de l’application de ces méthodes ne doivent pas permettre d’identifier une personne en particulier.
Des exemples de méthodes d’anonymisation sont décrits ci-dessous :
Méthodes d’anonymisation qui ne fournissent pas de distorsion de valeur : Dans les méthodes qui ne fournissent pas d’irrégularité de valeur, aucune modification, addition ou soustraction n’est appliquée aux valeurs des données de l’ensemble, à la place, des modifications sont apportées à toutes les lignes ou colonnes de l’ensemble. Ainsi, alors que les données globales changent, les valeurs des champs conservent leur état d’origine.
Soustraction de variables
C’est une méthode d’anonymisation qui est fournie en supprimant une ou plusieurs des variables de la table en les supprimant complètement. Dans ce cas, la colonne entière du tableau sera complètement supprimée. Cette méthode peut être utilisée si la variable est un identifiant d’ordre élevé, si une solution plus appropriée n’existe pas, si la variable est trop sensible pour être divulguée au public ou si elle ne sert pas à des fins d’analyse.
Suppression d’enregistrements
Dans cette méthode, l’anonymat est renforcé en supprimant une ligne contenant une singularité dans l’ensemble de données et la possibilité de générer des hypothèses sur l’ensemble de données est réduite. Habituellement, les enregistrements extraits sont ceux qui n’ont pas de valeur commune avec d’autres enregistrements et peuvent être facilement devinés par ceux qui ont une idée de l’ensemble de données. Par exemple, dans un ensemble de données contenant des résultats d’enquête, une seule personne de n’importe quelle industrie est incluse dans l’enquête. Dans un tel cas, il peut être préférable de retirer uniquement la fiche appartenant à cette personne, plutôt que de retirer la variable « industrie » de tous les résultats de l’enquête.
Masquage régional : Le but de la méthode de masquage régional est de rendre l’ensemble de données plus sûr et de réduire le risque de prévisibilité. Si la combinaison de valeurs pour un enregistrement particulier crée une très faible visibilité et que cette situation est susceptible de faire en sorte que cette personne se distingue dans la communauté concernée, la valeur exceptionnelle est changée en “inconnu”.
ré. Généralisation: C’est le processus de conversion des données personnelles pertinentes d’une valeur spécifique à une valeur plus générale. C’est la méthode la plus utilisée lors de la production de rapports cumulés et dans les opérations effectuées sur des chiffres totaux. Les nouvelles valeurs résultantes représentent des valeurs agrégées ou des statistiques appartenant à un groupe, ce qui rend impossible d’atteindre une personne réelle. Par exemple, une personne portant le numéro d’identification TR 12345678901 achète des couches sur la plateforme de commerce électronique, puis achète également des lingettes humides. Dans le processus d’anonymisation, les personnes qui achètent des couches sur la plateforme de commerce électronique en utilisant la méthode de généralisation%x On peut en conclure que x achète également des lingettes humides.
Codage des limites inférieure et supérieure : La méthode de codage des bornes inférieure et supérieure est obtenue en définissant une catégorie pour une certaine variable et en combinant les valeurs au sein du regroupement créé par cette catégorie. Généralement, les valeurs basses ou hautes d’une certaine variable sont rassemblées et une nouvelle définition est faite pour ces valeurs.
Codage global : La méthode de codage global est une méthode de regroupement utilisée dans les ensembles de données qui ne peuvent pas être appliquées au codage des limites inférieure et supérieure, ne contiennent pas de valeurs numériques ou ont des valeurs qui ne peuvent pas être triées numériquement. Il est généralement utilisé lorsque certaines valeurs sont agrégées pour faciliter la réalisation de prévisions et d’hypothèses. En créant un nouveau groupe commun pour les valeurs sélectionnées, tous les enregistrements du jeu de données sont remplacés par cette nouvelle définition.
Échantillonnage: Dans la méthode d’échantillonnage, au lieu de l’ensemble de données complet, un sous-ensemble de l’ensemble est décrit ou partagé. Ainsi, puisqu’on ne sait pas si une personne connue pour être dans l’ensemble de données est incluse dans le sous-ensemble d’échantillon décrit ou partagé, le risque de produire des prédictions précises sur les individus est réduit. Des méthodes statistiques simples sont utilisées pour déterminer le sous-ensemble à échantillonner. Par exemple; Si un ensemble de données sur les informations démographiques, la profession et l’état de santé des femmes vivant à Istanbul est divulgué ou partagé par anonymisation, il peut être utile de scanner et de prédire l’ensemble de données pertinent d’une femme connue pour vivre à Istanbul. Cependant, dans l’ensemble de données pertinent, il ne reste que les enregistrements des femmes dont la population est enregistrée à Istanbul, et celles dont les enregistrements de population sont dans d’autres provinces sont exclus de l’ensemble de données, et l’anonymat est appliqué et les données sont divulguées ou partagées, si le personne malveillante accédant aux données est consciente du fait que le registre de la population d’une femme se trouve à Istanbul ou non ne sera pas en mesure de deviner de manière fiable si les informations appartenant à cette personne qu’il connaît sont incluses dans les données dont il dispose.
Méthodes d’anonymisation qui fournissent une irrégularité de valeur : Contrairement aux méthodes mentionnées ci-dessus, avec des méthodes qui fournissent une irrégularité de valeur; En modifiant les valeurs existantes, une distorsion est créée dans les valeurs du jeu de données. Dans ce cas, étant donné que les valeurs des enregistrements changent, le bénéfice prévu à tirer de l’ensemble de données doit être calculé correctement. Même si les valeurs de l’ensemble de données changent, il est toujours possible de tirer profit des données en s’assurant que les statistiques totales ne sont pas corrompues.
Micro-assemblage
Avec cette méthode, tous les enregistrements de l’ensemble de données sont d’abord classés dans un ordre significatif, puis l’ensemble est divisé en un certain nombre de sous-ensembles. Ensuite, en prenant la moyenne de la valeur de chaque sous-ensemble de la variable déterminée, la valeur de cette variable du sous-ensemble est remplacée par la valeur moyenne. Ainsi, la valeur moyenne de cette variable pour l’ensemble des données ne changera pas.
L’échange de données
La méthode d’échange de données consiste à enregistrer les modifications obtenues en échangeant les valeurs d’un sous-ensemble de variables entre des paires sélectionnées dans les enregistrements. Cette méthode est principalement utilisée pour les variables catégorisables, et l’idée principale est de transformer la base de données en modifiant les valeurs des variables entre les enregistrements individuels.
Ajoute du bruit
Avec cette méthode, des additions et des soustractions sont effectuées afin de fournir des distorsions dans une mesure déterminée dans une variable sélectionnée. Cette méthode est principalement appliquée sur des ensembles de données contenant des valeurs numériques. La distorsion s’applique également à chaque valeur.
Méthodes statistiques pour renforcer l’anonymisation
En raison de la combinaison de certaines valeurs dans les enregistrements avec des scénarios singuliers dans des ensembles de données anonymisés, il peut être possible d’identifier les personnes dans les enregistrements ou de dériver des hypothèses sur leurs données personnelles.
Pour cette raison, l’anonymat peut être renforcé en minimisant la singularité des enregistrements dans l’ensemble de données en utilisant diverses méthodes statistiques dans des ensembles de données anonymisés. L’objectif principal de ces méthodes est de maintenir le bénéfice à tirer de l’ensemble de données à un certain niveau tout en minimisant le risque de compromission de l’anonymat.
K-Anonymat
Dans les ensembles de données anonymisés, le fait que l’identité des personnes dans les enregistrements puisse être déterminée si les identifiants indirects sont combinés avec les bonnes combinaisons ou si les informations sur une personne particulière peuvent être facilement devinées a ébranlé la confiance dans les processus d’anonymisation. Sur cette base, les ensembles de données qui ont été anonymisés par diverses méthodes statistiques devaient être rendus plus fiables. Le K-anonymat a été développé pour empêcher la divulgation d’informations spécifiques à des individus présentant des caractéristiques singulières dans certaines combinaisons en permettant l’identification de plus d’une personne avec certains champs dans un ensemble de données. S’il existe plus d’un enregistrement appartenant aux combinaisons créées en combinant certaines des variables d’un ensemble de données, la probabilité d’identifier les personnes correspondant à cette combinaison diminue.
L-Diversité
La méthode de la L-diversité, qui est formée par les études menées sur les lacunes du K-anonymat, prend en compte la diversité des variables sensibles correspondant aux mêmes combinaisons de variables.
T-Proximité
Bien que la méthode L-diversity assure la diversité des données personnelles, il existe des situations où elle n’offre pas une protection suffisante puisque la méthode en question ne traite pas du contenu et de la sensibilité des données personnelles. Dans cet état, le processus de calcul du degré de proximité des données personnelles et des valeurs les unes par rapport aux autres et d’anonymisation de l’ensemble de données en le sous-classant en fonction de ces degrés de proximité est appelé méthode de proximité T.
Choisir la méthode d’anonymisation
Notre société décide laquelle des méthodes ci-dessus sera appliquée en examinant les données dont elle dispose et en tenant compte des caractéristiques suivantes de l’ensemble de données ;
La nature des données,
taille des données,
La structure des données dans les environnements physiques,
diversité des données,
Le bénéfice souhaité / la finalité du traitement des données,
La fréquence de traitement des données,
La fiabilité de la partie à laquelle les données seront transférées,
L’effort d’anonymisation des données est significatif,
L’ampleur du préjudice pouvant survenir en cas de rupture de l’anonymat des données, son étendue,
Ratio distribution/centralisation des données,
Contrôle d’autorisation d’accès des utilisateurs aux données pertinentes et
La possibilité que l’effort qu’il déploiera pour construire et mettre en œuvre une attaque qui perturbera l’anonymat sera significatif.
Pendant qu’une donnée est anonymisée, notre Société vérifie si la donnée en question permet à nouveau d’identifier une personne en utilisant les informations connues pour être au sein d’autres institutions et organisations auxquelles elle transfère des données personnelles, ou si elle a le caractère d’une re- identifier une personne, au moyen de contrats et d’analyses de risques.
Garantie d’anonymat
Alors que notre société décide d’anonymiser une donnée personnelle au lieu de la supprimer ou de la détruire, l’anonymat n’est pas rompu en combinant l’ensemble de données anonymisé avec mille autres ensembles de données, mille valeurs ou plus ne sont pas formées de manière à rendre un enregistrement singulier, anonymisé Nous souhaitons faire attention aux points que les valeurs de l’ensemble de données ne se combinent pas pour produire une hypothèse ou un résultat, et à mesure que les caractéristiques énumérées dans cet article changent, des contrôles sont effectués sur les ensembles de données qu’ils ont anonymisés par notre Société, et il est assuré que l’anonymat est préservé.
Risques de désanonymisation par inversion des données anonymisées
Étant donné que l’anonymisation est le processus de destruction des caractéristiques distinctives et identifiantes de l’ensemble de données, qui est appliqué aux données personnelles, il existe un risque que ces processus soient inversés avec diverses interventions et que les données anonymisées deviennent de véritables éléments de réidentification et de distinction. personnes. Cette situation s’appelle la rupture de l’anonymat. Les opérations d’anonymisation ne peuvent être réalisées que par des opérations manuelles ou par des opérations automatisées renforcées, ou par des opérations hybrides consistant en une combinaison des deux types de transactions. Cependant, l’important est qu’après le partage ou la divulgation de données anonymisées, des mesures ont été prises pour empêcher que l’anonymat ne soit corrompu par de nouveaux utilisateurs qui peuvent accéder aux données ou en être propriétaires. Les actions menées consciemment concernant la destruction de l’anonymat sont appelées “attaques contre la destruction de l’anonymat”. Dans ce contexte, il est étudié s’il existe un risque que les données personnelles qui ont été anonymisées par notre société soient inversées avec diverses interventions et que les données anonymisées deviennent des personnes réelles réidentifiantes et distinctives, et des mesures sont prises en conséquence.
COMMENT PROTÉGEONS-NOUS VOS DONNÉES PERSONNELLES ?
Afin de protéger vos données personnelles et d’empêcher tout accès illégal, notre société prend les mesures administratives et techniques nécessaires conformément au guide de sécurité des données personnelles publié par l’autorité KVK, des procédures sont organisées au sein de la société, des textes de clarification et de consentement explicite sont préparés et KVKK art. Conformément à 12/3, les inspections nécessaires sont effectuées pour s’assurer que la mise en œuvre des dispositions KVKK ou les services externalisés sont externalisés. Les résultats de ces audits sont évalués dans le cadre du fonctionnement interne de la Société et les activités nécessaires sont menées pour améliorer les mesures prises.
Vos données personnelles mentionnées ci-dessus peuvent être conservées dans un environnement numérique et physique en les transférant dans les archives physiques et les systèmes d’information de notre société et/ou de nos fournisseurs. Les mesures techniques et administratives prises ou à prendre pour assurer la sécurité des données personnelles sont expliquées en détail sous deux rubriques ci-dessous.
Mesures techniques
Nous utilisons des technologies et des méthodes de sécurité commerciales standard généralement acceptées, y compris la technologie standard appelée Secure Socket Layer (SSL) pour protéger les informations personnelles collectées. Cependant, en raison de la nature d’Internet, les informations peuvent être consultées par des personnes non autorisées sur les réseaux sans les mesures de sécurité nécessaires. En fonction de l’état actuel de la technologie, du coût de la mise en œuvre technologique et de la nature des données à protéger, nous prenons des mesures techniques et administratives pour protéger vos données des risques tels que la destruction, la perte, la falsification, la divulgation non autorisée ou l’accès non autorisé. Dans ce contexte, nous concluons des accords de sécurité des données avec les prestataires de services avec lesquels nous travaillons.
- Assurer la cybersécurité : Nous utilisons des produits de cybersécurité pour assurer la sécurité des données personnelles, mais les mesures techniques que nous prenons ne se limitent pas à cela. Avec des mesures telles que le pare-feu et la passerelle, la première ligne de défense est créée contre les attaques provenant d’environnements tels qu’Internet. Cependant, presque tous les logiciels et matériels sont soumis à un ensemble de processus d’installation et de configuration. Étant donné que certains logiciels couramment utilisés, en particulier les anciennes versions, peuvent présenter des failles de sécurité documentées, les logiciels et services inutilisés sont supprimés des appareils. Pour cette raison, il est préférable de supprimer les logiciels et services inutilisés plutôt que de les maintenir à jour en raison de leur commodité. Avec la gestion des correctifs et les mises à jour logicielles, il est garanti que le logiciel et le matériel fonctionnent correctement et que les mesures de sécurité prises pour les systèmes sont vérifiées régulièrement.
- Restrictions d’accès : les droits d’accès aux systèmes contenant des données personnelles sont limités et révisés régulièrement. Dans ce contexte, les employés bénéficient d’un accès dans la mesure nécessaire à leur travail et à leurs fonctions, ainsi qu’à leurs pouvoirs et responsabilités, et l’accès aux systèmes pertinents est fourni à l’aide d’un nom d’utilisateur et d’un mot de passe. Lors de la création des mots de passe et mots de passe susmentionnés, les combinaisons de lettres majuscules et minuscules, de chiffres et de symboles sont préférées aux chiffres ou aux séquences de lettres qui sont associées à des informations personnelles et peuvent être facilement devinées.
- Cryptage : outre l’utilisation de mots de passe et de mots de passe forts, limiter le nombre de tentatives de saisie de mots de passe pour se protéger contre les attaques courantes telles que l’utilisation de l’algorithme de force brute (BFA), garantir que les mots de passe et les mots de passe sont changés à intervalles réguliers, ouvrir le compte administrateur et autorité d’administration à utiliser uniquement en cas de besoin, et données Pour les employés qui ont été licenciés de leur superviseur, l’accès est restreint par des méthodes telles que la suppression du compte ou la fermeture des connexions sans perdre de temps.
- Logiciel Anti-Virus : Afin d’être protégé contre les logiciels malveillants, des produits tels que l’antivirus et l’antispam, qui analysent régulièrement le réseau du système d’information et détectent les dangers, sont utilisés, et les fichiers nécessaires sont régulièrement analysés en les tenant à jour. . Si des données personnelles doivent être obtenues à partir de différents sites Web et/ou canaux d’application mobile, les connexions sont établies via SSL ou d’une manière plus sécurisée.
- Surveillance de la sécurité des données personnelles : vérifier quels logiciels et services sont en cours d’exécution dans les réseaux d’information, déterminer s’il y a une infiltration ou toute action qui ne devrait pas être dans les réseaux d’information, conserver régulièrement les enregistrements des transactions de tous les utilisateurs (tels que les enregistrements de journal) , Signaler les problèmes de sécurité le plus rapidement possible. . Les preuves sont collectées et stockées en toute sécurité lors d’événements indésirables tels que l’effondrement du système d’information, les logiciels malveillants, les attaques par déni de service, la saisie de données incomplète ou incorrecte, les violations de la confidentialité et de l’intégrité, l’abus du système d’information.
- Assurer la sécurité des environnements contenant des données personnelles : Si des données personnelles sont stockées sur des appareils situés dans les campus des responsables de traitement ou sur des supports papier, des mesures de sécurité physiques sont prises contre les menaces telles que le vol ou la perte de ces appareils et papiers. Les environnements physiques contenant des données personnelles sont protégés contre les risques externes (incendie, inondation, etc.) avec des méthodes appropriées, et les entrées/sorties dans ces environnements sont contrôlées.
- Si les données personnelles se trouvent sur des supports électroniques, l’accès peut être restreint ou séparé entre les composants du réseau afin d’empêcher une violation de la sécurité des données personnelles. Par exemple, si des données personnelles sont traitées dans cette zone en la limitant à une certaine partie du réseau réservée à cet effet, les ressources disponibles ne peuvent être réservées qu’à la sécurité de cette zone limitée, et non de l’ensemble du réseau.
- Le même niveau de précaution est également pris pour les supports papier, les supports électroniques et les appareils situés en dehors du campus de la Société et contenant des données personnelles appartenant à la Société. En effet, bien que des atteintes à la sécurité des données personnelles se produisent souvent en raison du vol ou de la perte d’appareils contenant des données personnelles (ordinateur portable, téléphone portable, disque flash, etc.), les données personnelles à transférer par e-mail ou courrier sont également envoyées soigneusement et en prenant les précautions adéquates. Dans le cas où les employés accèdent au réseau du système d’information avec leurs appareils électroniques personnels, des mesures de sécurité adéquates sont également prises pour eux.
- En cas de perte ou de vol d’appareils contenant des données personnelles, des méthodes d’autorisation de contrôle d’accès et/ou de cryptage sont utilisées. Dans ce contexte, la clé de chiffrement est stockée dans un environnement auquel seules les personnes autorisées peuvent accéder, et tout accès non autorisé est empêché.
- Les documents papier contenant des données personnelles sont également stockés de manière verrouillée et dans des environnements accessibles uniquement aux personnes autorisées, et l’accès non autorisé à ces documents est empêché.
- Notre entreprise, KVKK m. Dans le cas où des données personnelles sont obtenues par des tiers par des moyens illégaux, il en informe le conseil d’administration de KVK et les propriétaires des données dès que possible. Si cela est jugé nécessaire, le conseil d’administration de KVK peut annoncer cette situation sur le site Web ou par tout autre moyen.
- Stockage des données personnelles dans le cloud : dans le cas où les données personnelles sont stockées dans le cloud, la Société doit évaluer si les mesures de sécurité prises par le fournisseur de services de stockage dans le cloud sont suffisantes et appropriées. Dans ce cadre, un contrôle d’authentification en deux étapes est mis en place pour connaître en détail quelles données personnelles sont stockées dans le cloud, sauvegarder, synchroniser et accéder à distance à ces données personnelles si nécessaire. Lors du stockage et de l’utilisation des données personnelles dans les systèmes susmentionnés, il est garanti qu’elles sont cryptées avec des méthodes cryptographiques, qu’elles sont cryptées et envoyées aux environnements cloud, et que des clés de cryptage individuelles sont utilisées pour les données personnelles lorsque cela est possible, en particulier pour chaque solution cloud desservie. Lorsque la relation de service de cloud computing prend fin ; Toutes les copies des clés de cryptage pouvant servir à rendre les données personnelles utilisables sont détruites. Les accès aux zones de stockage de données où sont stockées les données personnelles sont enregistrés et les accès ou tentatives d’accès inappropriés sont instantanément communiqués aux personnes concernées.
- Approvisionnement, développement et maintenance des systèmes de technologie de l’information : Les exigences de sécurité sont prises en considération lors de la détermination des besoins liés à l’approvisionnement, au développement ou à l’amélioration des systèmes existants par l’entreprise.
- Sauvegarde des données personnelles : dans les cas où des données personnelles sont endommagées, détruites, volées ou perdues pour quelque raison que ce soit, la Société utilise les données sauvegardées pour prendre des mesures dès que possible. Les données personnelles sauvegardées ne sont accessibles que par l’administrateur système et les sauvegardes des ensembles de données sont conservées hors du réseau.
Mesures administratives
- Toutes les activités menées par notre société ont été analysées en détail pour toutes les unités commerciales et, à la suite de cette analyse, un inventaire du traitement des données personnelles basé sur les processus a été préparé. Les zones à risque de cet inventaire sont identifiées et les mesures juridiques et techniques nécessaires sont prises en permanence. par ex. Les documents devant être préparés dans le cadre de KVKK ont été préparés en tenant compte des risques dans cet inventaire)
- Les activités de traitement des données personnelles effectuées par notre société sont contrôlées par des systèmes de sécurité de l’information, des systèmes techniques et des méthodes légales. Des politiques et procédures relatives à la sécurité des données personnelles sont déterminées et des contrôles réguliers sont effectués dans ce cadre.
- Notre société peut recevoir ponctuellement des services de prestataires externes afin de répondre à ses besoins informatiques. Dans ce cas, les transactions sont effectuées en s’assurant que les prestataires externes desdits Traitements de Données fournissent au moins les mesures de sécurité prévues par notre Société. Dans ce cas, au moins les éléments suivants sont inclus dans ce contrat, qui est signé par la signature d’un contrat écrit avec le responsable du traitement :
- Le sous-traitant n’agit que conformément à l’objectif et à l’étendue du traitement des données spécifiés dans le contrat, conformément aux instructions du responsable du traitement et conformément à la KVKK et à d’autres législations,
- Agissant conformément à la politique de conservation et de destruction des données personnelles,
- Le Sous-traitant est soumis à une obligation de confidentialité indéfinie concernant les données personnelles qu’il traite,
- En cas de violation de données, le sous-traitant est tenu d’informer immédiatement le responsable du traitement de cette situation,
- Notre Société effectuera ou fera effectuer les audits nécessaires sur les systèmes du Sous-traitant contenant des données à caractère personnel, et pourra examiner sur place les rapports et la société prestataire de services, qui ressortent à la suite de l’audit,
- Prendre les mesures techniques et administratives nécessaires à la sécurité des données personnelles ; et
- En outre, les catégories et types de données personnelles transférées au responsable du traitement sont précisées dans un article séparé, dans la mesure où la nature de la relation entre nous et le responsable du traitement le permet.
- Comme le souligne l’Autorité dans ses guides et publications, les données personnelles sont réduites au maximum dans le cadre du principe de minimisation des données, et les données personnelles non nécessaires, périmées et ayant une finalité ne sont pas collectées, et si elles sont collectées dans le période avant que le KVKK, conformément à la politique de stockage et d’élimination des données personnelles, ne soit détruit.
Du personnel spécialisé sur les questions techniques est employé. - Notre société a déterminé des dispositions relatives à la confidentialité et à la sécurité des données dans les contrats de travail à signer lors des processus de recrutement de ses employés et demande aux employés de se conformer à ces dispositions. Les employés sont régulièrement informés et formés sur la loi sur la protection des données personnelles et prennent les mesures nécessaires conformément à cette loi. Les rôles et responsabilités des collaborateurs ont été revus dans ce périmètre et leurs fiches de poste ont été revues.
- Des mesures techniques sont prises conformément aux évolutions technologiques, les mesures prises sont périodiquement vérifiées, mises à jour et renouvelées.
- Les autorisations d’accès sont limitées et les autorisations sont revues régulièrement.
Les mesures techniques prises sont régulièrement rapportées à la personne habilitée, les facteurs de risques sont passés en revue et des efforts sont déployés pour produire les solutions technologiques nécessaires. - Des logiciels et du matériel, y compris des systèmes de protection antivirus et des pare-feu, sont installés.
- Les programmes de sauvegarde sont utilisés pour garantir que les données personnelles sont stockées en toute sécurité.
- Les systèmes de sécurité des zones de stockage sont utilisés, les mesures techniques prises sont périodiquement signalées à la personne concernée conformément aux contrôles internes, les problèmes à risque sont réévalués et les solutions technologiques nécessaires sont produites. Les fichiers/sorties stockés dans l’environnement physique sont conservés par les sociétés fournisseurs puis détruits conformément aux procédures déterminées.
- La question de la protection des données personnelles est également abordée par la haute direction, et des efforts sont faits pour établir un comité spécial (comité KVK) sur ce sujet. Une politique de gestion régissant les règles de fonctionnement du comité KVK de la société sera mise en œuvre au sein de la société et les tâches du comité KVK seront expliquées en détail.
COMMENT PROTÉGEONS-NOUS VOS DONNÉES PERSONNELLES PRIVÉES ?
Une politique distincte concernant le traitement et la protection des données personnelles sensibles a été préparée et mise en œuvre.
KVKK m. 6, les données relatives à la race, l’ethnicité, la pensée politique, les convictions philosophiques, la religion, la secte ou d’autres convictions, l’habillement, l’association, l’appartenance à une fondation ou à un syndicat, la santé, la vie sexuelle, la condamnation pénale et les mesures de sécurité, ainsi que les données biométriques et génétiques Comme elles comportent un risque de victimisation ou de discrimination lorsqu’elles sont traitées illégalement, elles ont été réglementées en tant que données personnelles de qualité spéciale et ont soumis le traitement de ces données à une protection plus sensible.
Sönmez Çimento attache une importance particulière au traitement des données personnelles de nature particulière, qui comporte le risque de créer une discrimination lorsqu’elles sont traitées illégalement. Dans ce contexte, Sönmez Çimento détermine principalement s’il existe des conditions de traitement des données dans le traitement de données personnelles de qualité spéciale, et après s’être assuré que la condition de conformité à la loi existe, le traitement des données est effectué.
Les données personnelles de nature particulière, à l’exclusion de la santé et de la vie sexuelle, sont fournies par Sönmez Çimento, à condition que des mesures adéquates déterminées par le conseil d’administration de KVK soient prises. Conformément au 6/3, elles peuvent être traitées sans consentement explicite dans les cas prévus par la loi. Dans les cas où le traitement de ces catégories particulières de données personnelles n’est pas prévu par la loi, le consentement explicite des employés est demandé et aucun traitement de données personnelles n’est effectué pour les employés qui ne donnent pas leur consentement explicite.
Cependant, le consentement exprès est absolument requis lors du traitement des données personnelles liées à la santé et à la vie sexuelle.
Notre société prend des mesures particulières pour assurer la sécurité des données personnelles sensibles. Conformément au principe de minimisation des données, des catégories particulières de données personnelles ne sont pas collectées sauf si cela est nécessaire pour le processus commercial concerné et ne sont traitées que lorsque cela est nécessaire. En cas de traitement de données personnelles sensibles, les mesures techniques et administratives nécessaires sont prises pour se conformer aux obligations légales et pour se conformer aux mesures déterminées par le conseil d’administration de KVK.
QUELS SONT VOS DROITS SUR VOS DONNEES PERSONNELLES ?
KVKK m. Conformément au 11, en tant que personnes concernées, vous disposez des droits suivants concernant vos données personnelles :
- Savoir si vos données personnelles sont traitées par notre Société,
- Si vos données personnelles ont été traitées, demander des informations à ce sujet,
- Connaître la finalité du traitement des données personnelles et savoir si elles sont utilisées conformément à sa finalité ou non,
- Connaître les tiers auxquels a qui les données personnelles sont transférées sur le territoire national ou à l’étranger,
- Demander la correction de vos données personnelles en cas de traitement incomplet ou incorrect et demander la notification de la transaction effectuée dans ce cadre aux tiers auxquels vos données personnelles ont été transférées,
- Demander la suppression ou la destruction de vos données personnelles dans le cas où les raisons nécessitant le traitement sont éliminées, bien qu’elles aient été traitées conformément aux dispositions de la KVKK et d’autres lois pertinentes, et demander la notification de la transaction effectuée dans ce cadre à les tiers auxquels vos données personnelles ont été transférées,
- S’opposer à l’émergence d’un résultat contre vous en analysant les données traitées exclusivement par le biais de systèmes automatisés,
- Demander une indemnisation pour les dommages que vous avez subis si vous subissez des dommages dus au traitement illicite de vos données personnelles.
Vous pouvez transmettre gratuitement ces demandes à notre Société, conformément au Communiqué d’Application, selon le mode suivant :
- Une fois le formulaire sur notre site Web rempli et signé avec une signature humide, Sönmez Çimento Yapı ve Madencilik Sanayi ve Ticaret A.Ş. Adana Yumurtalık Free Zone Sarımazı SB District 2. 5ème Boulevard Cadde No : 5/01 PK : 01920 Ceyhan / Adana en personne (nous vous rappelons que votre pièce d’identité vous sera demandée).
- Une fois le formulaire sur notre site Web rempli et signé avec une signature humide, Sönmez Çimento Yapı ve Madencilik Sanayi ve Ticaret A.Ş. Adana Yumurtalık Free Zone Sarımazı SB District 2. 5ème Boulevard Cadde No: 5/01 PK: 01920 Ceyhan / Adana adresse via un notaire public.
- Après avoir rempli le formulaire de demande sur notre site Web et l’avoir signé avec votre “signature électronique sécurisée” dans le cadre de la loi n° 5070 sur la signature électronique, il est envoyé par e-mail à kvkk@sonmezcimento.com.tr avec signature électronique sécurisée.
- En le soumettant par écrit en utilisant votre adresse e-mail préalablement notifiée à notre société et enregistrée dans le système de notre société.
- Après avoir rempli le formulaire de demande sur notre site Web et l’avoir signé avec votre “signature électronique sécurisée” dans le cadre de la loi n° 5070 sur la signature électronique, il est envoyé par courrier électronique recommandé à sonmezcimento@hs1.kep.tr avec signature électronique sécurisée.
Dans l’application;
Nom, prénom et signature si la demande est écrite, numéro d’identité TR pour les citoyens de la République de Turquie, nationalité, numéro de passeport ou numéro d’identification, le cas échéant, lieu de résidence ou adresse de travail pour la notification, adresse e-mail pour la notification, le cas échéant tout, numéro de téléphone et de fax, l’objet de la demande est obligatoire. Les informations et documents relatifs au sujet sont également joints à la candidature.
Il n’est pas possible de faire une demande par des tiers au nom des propriétaires de données personnelles. Pour qu’une personne autre que le propriétaire des données personnelles fasse une demande, une copie signée par écrit et notariée de la procuration spéciale délivrée par le propriétaire des données personnelles au nom du demandeur doit être disponible. Dans l’application contenant vos explications concernant le droit que vous avez en tant que propriétaire des données personnelles et vous ferez et demanderez d’utiliser les droits susmentionnés ; Le sujet que vous demandez doit être clair et compréhensible, le sujet que vous demandez est lié à vous-même ou si vous agissez au nom de quelqu’un d’autre, vous devez être spécifiquement autorisé à cet égard et documenter votre autorité, la demande doit contenir votre identité et votre adresse des informations et des documents confirmant votre identité doivent être joints à la demande.
Dans ce cadre, vos candidatures seront finalisées dans les meilleurs délais et sous 30 jours maximum. Ces applications sont gratuites. Toutefois, si la transaction nécessite un coût supplémentaire, les frais du tarif déterminé par le conseil KVK peuvent être facturés.
Dans le cas où le propriétaire des données personnelles soumet sa demande à notre Société conformément à la procédure prescrite, notre Société conclura gratuitement la demande concernée dans les meilleurs délais et au plus tard dans les trente jours, selon la nature de la demande. Cependant, si le processus nécessite un coût séparé, notre société facturera au demandeur les frais dans le tarif déterminé par le conseil d’administration de KVK. Notre société peut demander des informations à la personne concernée afin de déterminer si le demandeur est le propriétaire des données personnelles. Notre société peut poser des questions sur la candidature du propriétaire des données personnelles afin de clarifier les problèmes liés à la candidature du propriétaire des données personnelles.
KVKK m. Dans les cas où votre candidature est rejetée par notre Société conformément au 14, si vous trouvez notre réponse insuffisante ou si nous ne répondons pas à la candidature dans les délais ; Vous pouvez déposer une plainte auprès du conseil d’administration de KVK dans les trente jours à compter de la date à laquelle vous avez pris connaissance de la réponse de notre société, et dans tous les cas dans les soixante jours à compter de la date de la demande.
QUELLES SONT LES SITUATIONS OÙ LES PROPRIÉTAIRES DE DONNÉES NE PEUVENT PAS FAIRE VALOIR LEURS DROITS ?
Les propriétaires de données personnelles ne peuvent pas revendiquer les droits susmentionnés dans ces matières, car les situations suivantes sont exclues du champ d’application du KVKK conformément à l’article 28 du KVKK :
- Traitement des données personnelles à des fins telles que la recherche, la planification et les statistiques en les rendant anonymes avec les statistiques officielles.
- Traitement de données personnelles à des fins artistiques, historiques, littéraires ou scientifiques ou dans le cadre de la liberté d’expression, à condition qu’il ne porte pas atteinte à la défense nationale, à la sécurité nationale, à la sécurité publique, à l’ordre public, à la sécurité économique, à la vie privée ou aux droits de la personne ou ne constitue pas un crime .
- Traitement de données à caractère personnel dans le cadre d’activités de prévention, de protection et de renseignement menées par des institutions et organismes publics habilités par la loi à assurer la défense nationale, la sécurité nationale, la sécurité publique, l’ordre public ou la sécurité économique.
- Traitement de données à caractère personnel par les autorités judiciaires ou les autorités d’exécution dans le cadre d’une enquête, de poursuites, d’un procès ou d’une procédure d’exécution.
Conformément à l’article 28/2 du KVKK ; Dans les cas énumérés ci-dessous, les propriétaires de données personnelles ne peuvent pas faire valoir leurs autres droits, à l’exception du droit d’exiger la réparation du dommage :
- Le traitement des données personnelles est nécessaire à la prévention du crime ou à une enquête pénale.
- Traitement des données personnelles rendues publiques par le propriétaire des données personnelles.
- Le traitement des données à caractère personnel est requis par les institutions et organismes publics habilités et habilités et les organisations professionnelles ayant le caractère d’établissements publics pour l’exécution des missions de surveillance ou de régulation et pour les enquêtes ou poursuites disciplinaires fondées sur l’autorité conférée par la loi.
- Le traitement des données à caractère personnel est nécessaire à la protection des intérêts économiques et financiers de l’Etat en matière budgétaire, fiscale et financière.
AUTRES SUJETS
En cas d’incohérence entre la KVKK et d’autres dispositions législatives pertinentes et la présente politique, la KVKK et les autres dispositions législatives pertinentes seront appliquées en premier.
Nous tenons à vous rappeler que nous pouvons apporter des mises à jour à cette politique en raison de changements dans les politiques de notre entreprise et les dispositions législatives qui peuvent changer au fil du temps. Nous publierons la version la plus récente de la politique sur notre site Web.
ANNEXE – ABREVIATIONS
ABRÉVIATIONS | |
Loi n° 5651 | La loi sur la réglementation des publications faites sur Internet et la lutte contre les délits commis par le biais de ces publications, qui a été publiée au Journal officiel du 23 mai 2007 et numérotée 26530 |
Constitution | La Constitution de la République de Turquie, datée du 7 novembre 1982 et numérotée 2709, publiée au Journal officiel du 9 novembre 1982 et numérotée 17863 |
Avis de candidature | Communiqué sur les procédures et principes d’application au responsable du traitement, publié au Journal officiel du 10 mars 2018 et numéroté 30356 |
Personne concernée/personnes liées ou personne concernée | Clients de Sönmez Çimento et/ou des sociétés du groupe avec lesquelles Sönmez Çimento est associée, entreprises clientes avec lesquelles elle entretient des relations commerciales, partenaires commerciaux, actionnaires, fonctionnaires, candidats employés, stagiaires, visiteurs, fournisseurs, employés des institutions avec lesquelles elle coopère, tiers et limité à ceux qui sont énumérés ici.Il se réfère à la personne physique dont les données personnelles sont traitées, comme les autres personnes. |
Règlement sur la suppression, la destruction ou l’anonymisation des données personnelles | Règlement sur la suppression, la destruction ou l’anonymisation des données personnelles, publié au Journal officiel du 28 octobre 2017 et numéroté 30224 et entré en vigueur le 1er janvier 2018 |
CONSEIL DE LA PROTECTION DES DONNÉES PERSONNELLES | La loi sur la protection des données personnelles, entrée en vigueur après sa publication au Journal officiel du 7 avril 2016 et numérotée 29677 |
Conseil KVK | Commission de protection des données personnelles |
Institution KVK | Autorité de protection des données personnelles |
M. | Matière |
par ex. | Exemple |
Politique | Cette politique de protection des données personnelles et de confidentialité de Sönmez Çimento |
Entreprise/ Ciment Sonmez | Sönmez Cement Construction and Mining Industry and Trade Inc. |
Code pénal turc | Publié au Journal Officiel du 12 octobre 2004 et numéroté 25611 ; Code pénal turc n° 5237 du 26 septembre 2004 |