Конфиденциальность и защита персональных данных

ПРИНЦИПЫ КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ЦЕЛЬ И СФЕРА ПРИМЕНЕНИЯ

Настоящие Принципы конфиденциальности и защиты персональных данных (далее именуемые «Принципы») определяют принципы, принятые компанией Fine Otel Turizm İşletmecilik A.Ş. (далее именуемой «Компания») в отношении защиты персональных данных, и направлены на информирование всех групп заинтересованных лиц в рамках Закона № 6698 «О защите персональных данных»  (далее именуемого «Закон № 6698»).

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В качестве компании, выступающей в качестве контролера данных, мы обрабатываем ваши персональные данные в рамках нижеследующих принципов.

2.1 Обработка в соответствии с законом и принципом добросовестности

При обработке ваших персональных данных соблюдаются принципы, установленные правовыми нормами, а также общие правила доверия и добросовестности. В соответствии с этим принципом, в частности, мы учитываем ваши интересы и разумные ожидания при достижении наших целей обработки персональных данных, не злоупотребляем нашими правами и действуем в соответствии с принципом прозрачности в наших действиях по обработке данных.

2.2 Обеспечение достоверности и актуальности персональных данных

В соответствии с данным принципом, подчеркивающим важность достоверности и актуальности персональных данных, с учетом ваших законных интересов, проводятся периодические проверки и обновления для обеспечения достоверности и актуальности обрабатываемых данных, а также принимаются необходимые меры этом направлении. В этом контексте в рамках Компании создаются системы для проверки достоверности персональных данных и внесения необходимых исправлений. Кроме того, проверяется достоверность источников сбора персональных данных и принимаются во внимание запросы, возникающие в связи с недостоверностью персональных данных. Таким образом, данный принцип применяется в соответствии с вашим правом требовать исправления персональных данных, которым вы обладаете в соответствии с Законом № 6698.

2.3 Обработка в определенных, четких и законных целях

Ваши персональные данные обрабатываются на основе четких, определенных и законных целей обработки данных. В этой связи, мы обеспечиваем, чтобы наша деятельность по обработке персональных данных была четко понятна субъектам, определяем и четко указываем в статье 3 настоящих Принципов, на каких целях и правовых условиях обработки она основана.

2.4 Релевантность, ограниченность и пропорциональность целям обработки

Ваши персональные данные обрабатываются ограниченно, целенаправленно и соразмерно необходимости для реализации предусмотренной цели/целей, а также мы избегаем обработки персональных данных, не связанных с достижением цели или в которых нет необходимости. Также, в рамках данного принципа, не осуществляется сбор или обработка персональных данных для целей, не существующих в настоящее время и предполагаемых к реализации в будущем.

2.5 Хранение данных в течение срока, предусмотренного соответствующим законодательством или необходимого для цели обработки

Ваши персональные данные хранятся только в течение срока, предусмотренного соответствующим законодательством или необходимого для цели их обработки. В этом отношении Компания принимает и применяет соответствующие административные и технические меры. В этом контексте, в первую очередь, определяется, предусмотрен ли в соответствующем законодательстве срок для хранения персональных данных. Если срок определен, то действуют в соответствии с этим сроком, если срок не определен, то персональные данные хранятся в течение срока, необходимого для цели их обработки. В случае утраты необходимости соответствующих процессов доступ к вашим персональным данным со стороны не имеющих к ним отношения подразделений, в рамках действия по исключению, указанного в Законе № 6698, блокируется. По истечении срока или при прекращении причин, требующих обработки данных, а также при отсутствии правового основания, позволяющего обрабатывать их более длительный срок, ваши персональные данные уничтожаются или анонимизируются в соответствии с законодательством о защите персональных данных.

3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 Ваши персональные данные, в том числе персональные данные, имеющие особый характер, могут обрабатываться в соответствии с Законом № 6698 на условиях, предусмотренных ниже.

3.1 Прямо предусмотрено законом.

Основным правилом является невозможность обработки персональных данных без явного согласия заинтересованных лиц, однако согласно данному исключению ваши персональные данные могут обрабатываться в случаях, когда обработка персональных данных явно предусмотрена законом.

3.2 Невозможность получения явного согласия заинтересованного лица по причине фактической неосуществимости

Обработка ваших персональных данных может осуществляться в случае, если обработка персональных данных необходима для защиты жизни или физической неприкосновенности заинтересованного лица или иного лица, которое не может дать свое согласие в силу фактической невозможности или согласие которого не может быть подтверждено.

3.3 Непосредственная связь с заключением или исполнением договора

Обработка ваших персональных данных может осуществляться в случае необходимости обработки персональных данных, принадлежащих сторонам договора, при условии непосредственной связи с заключением или исполнением договора.

3.4 Исполнение Компанией правовых обязательств

Обработка ваших персональных данных может осуществляться в случае, когда обработка необходима для исполнения правовых обязательств, которым подчинена и за которые несет ответственность Компания в рамках законодательства, договоров и аналогичных правовых обязательств.

3.5 Раскрытие персональных данных

Если ваши персональные данные были разглашены вами, то есть были доведены до сведения общественности, они могут обрабатываться соразмерно цели предоставления таких данных в открытом доступе.

3.6 Необходимость обработки данных для установления или защиты права

Обработка ваших персональных данных может осуществляться в случае, необходимости обработки данных для установления, использования или защиты соответствующего права в рамках осуществления и управления процессами, касающимися правовых и коммерческих прав, имеющимся у Компании.

3.7 Обработка данных на основании законного интереса

Обработка ваших персональных данных может осуществляться в случае, необходимости обработки данных для законных интересов Компании. Наша Компания, при необходимости обработки данных на основании указанного условия, проводит оценку с учетом ваших основных прав и свобод и принимает решение по результатам оценки.

3.8 Обработка на основании явного согласия

Обработка персональных данных на основании явного согласия является основным правилом, однако при наличии других условий, указанных в настоящей статье, явное согласие субъектов данных не требуется. В противном случае может иметь место злоупотребление правом. В этой связи обработка ваших персональных данных осуществляется на основании вашего явного согласия, если только они не обрабатываются на основании какого-либо из условий, указанных в настоящих Принципах.

3.9 Обработка специальных категорий персональных данных

Специальные категории персональных данных, в соответствии со статьей 6 Закона № 6698,  обрабатываются только при следующих условиях:

а) Наличие явного согласия субъекта данных, 

б) Прямо предусмотрено законом, 

в) Если это необходимо для защиты жизни или физической неприкосновенности лица, которое не может дать свое согласие в силу физической невозможности или согласие которого не имеет юридической силы, или если это необходимо для защиты жизни или физической неприкосновенности другого лица, 

г) В отношении персональных данных, которые были раскрыты субъектом данных, и в соответствии с его волей о разглашении, 

д) Необходимость для установления, использования или защиты права, 

е) Необходимость для целей охраны общественного здоровья, профилактической медицины, медицинской диагностики, лечения и ухода, осуществления услуг здравоохранения, а также планирования, управления и финансирования медицинских услуг лицами, обязанными соблюдать конфиденциальность, или уполномоченными учреждениями и организациями,

ж) Необходимость для исполнения правовых обязательств в областях трудоустройства, охраны труда и техники безопасности, социального обеспечения, социальных услуг и социальной помощи, 

з) Предназначение для нынешних или бывших членов и филиалов фондов, ассоциаций и других некоммерческих организаций или формирований, созданных в политических, философских, религиозных или профсоюзных целях, или для тех, кто находится в регулярном контакте с этими организациями и формированиями, при условии, что это соответствует законодательству и целям, которым они подчиняются, ограничивается сферами их деятельности и не разглашается третьим лицам. 

4. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Ваши персональные данные и специальные категории данных могут передаваться нашим деловым партнерам внутри страны, государственным органам и учреждениям и аналогичным организациям или нашим деловым партнерам за рубежом в рамках статьи 2 настоящих Принципов. При осуществлении подобной передачи данных обеспечивается соблюдение статей 8 и 9 Закона № 6698. При необходимости получается ваше явное согласие, и передача осуществляется в данных определенных рамках.

5. БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для обеспечения безопасности персональных данных и предотвращения их незаконной обработки принимаются все разумные административные и технические меры, направленные на предотвращение рисков несанкционированного доступа, случайной потери данных, намеренного удаления данных или их повреждения.

Принимаются все разумные технические и физические меры для предотвращения доступа к персональным данным со стороны лиц, не имеющих соответствующих полномочий. В этой связи система авторизации выстраивается таким образом, чтобы исключить возможность доступа лиц и систем к большему объему персональных данных, чем это необходимо. В рамках собственной организации проводятся и инициируются необходимые проверки с целью обеспечения применения положений Закона № 6698.

Принятые меры включают следующее:

• Обеспечивается сетевая безопасность и безопасность приложений.
• При передаче персональных данных по сети используются закрытые системные сети.
• Принимаются меры безопасности в рамках закупки, разработки и обслуживания систем информационных технологий.
• Обеспечивается безопасность персональных данных, хранящихся в облачных хранилищах.
• Действуют дисциплинарные положения для сотрудников, содержащие нормы о безопасности данных.
• Для сотрудников проводятся регулярные обучающие мероприятия и мероприятия по повышению осведомленности в вопросах безопасности данных.
• Для сотрудников разработана матрица полномочий.
• Ведутся регулярные журналы доступа.
• Разработаны и внедрены корпоративные политики в области доступа, информационной безопасности, использования, хранения и уничтожения данных.
• Оформляются соглашения о конфиденциальности.
• У сотрудников, сменивших должность или уволившихся, отменяются полномочия в данной области.
• Используются актуальные антивирусные системы.
• Используются межсетевые экраны.
• Заключаемые договоры содержат положения о безопасности данных.
• Для персональных данных, передаваемых в бумажном виде, принимаются дополнительные меры безопасности, и соответствующие документы направляются в формате документов с грифом секретности.
• Определены политики и процедуры обеспечения безопасности персональных данных.
• Проблемы безопасности персональных данных оперативно отражаются в отчетности.
• Осуществляется мониторинг безопасности персональных данных.
• Принимаются необходимые меры безопасности в отношении доступа в физические среды, содержащие персональные данные, и выхода из них.
• Обеспечивается защита физических сред, содержащих персональные данные, от внешних рисков (пожар, наводнение и т.п.).
• Обеспечивается безопасность сред, содержащих персональные данные.
• Объем персональных данных минимизируется в максимально возможной степени.
• Создаются резервные копии персональных данных, и обеспечивается безопасность резервных копий персональных данных.
• Применяется система управления учетными записями пользователей и контроля полномочий, а также осуществляется их мониторинг.
• Проводятся и организуются внутренние периодические и/или выборочные проверки.
• Записи журналов ведутся таким образом, чтобы исключить вмешательство пользователей.
• Определены существующие риски и угрозы.
• Определены и применяются протоколы и процедуры, направленные на обеспечение безопасности специальных категорий персональных данных.
• Если специальные категории персональных данных направляются по электронной почте, они обязательно отправляются в зашифрованном виде с использованием защищенной электронной почты KEP или корпоративной почтовой учетной записи.
• Используются системы обнаружения и предотвращения атак.
• Проводится тестирование на проникновение.
• Приняты меры кибербезопасности, и их применение находится под постоянным контролем.
• Специальные категории персональных данных, передаваемые на съемных носителях, CD, DVD, передаются в зашифрованном виде.
• Обеспечивается регулярный контроль поставщиков услуг по обработке данных в вопросах безопасности данных.
• Обеспечивается осведомленность поставщиков услуг по обработке данных в вопросах безопасности данных.

6. ПРАВА СУБЪЕКТОВ ДАННЫХ, ПОРЯДОК И ПРИНЦИПЫ ОБРАЩЕНИЯ

 В случае наличия у вас как субъекта данных запроса, касающегося ваших прав, предусмотренных статьей 11 Закона № 6698, а также, если вы являетесь гражданином Европейского Союза, прав, предусмотренных в рамках GDPR, таких как: отзыв вашего явного согласия, получение информации о ваших данных и доступ к этим данным, исправление, удаление ваших персональных данных или ограничение их обработки в определенных ситуациях, переносимость данных при определенных условиях, возражение против обработки ваших персональных данных и аналогичных прав, вы можете направить нам свои запросы следующими способами: заполнив Форму обращения по защите персональных данных, которую можно скачать по ссылке, либо обращением, отвечающим минимальным требованиям, предусмотренным Положением о порядке и принципах обращения к Контролеру данных. Ваше обращение мы как Компания рассмотрим в кратчайшие сроки и не позднее тридцати дней бесплатно в зависимости от характера вашего запроса. Однако, если выполнение вашего запроса повлечет за собой дополнительные расходы, с вас будет взиматься плата в размере, установленном Советом по защите персональных данных. Если ваша заявка отклонена, ответ признан недостаточным или  неполучения ответа на обращение в установленный срок вы можете проинформировать нас об этом, кроме того, вы как субъект данных, имеете право обратиться в компетентный орган по защите данных в вашей стране в течение тридцати дней с даты, когда вы были уведомлены о нашем ответе, и в любом случае в течение шестидесяти дней с даты подачи надлежащего заявления.