1. OBJECTIF:
La présente Politique de protection des données personnelles et de confidentialité ("Politique") définit les principes que doit suivre Güneş Tel Çekme San. Ve Tic. A.Ş. ("Société") au sein de la Société et/ou par la Société tout en remplissant ses obligations de protection des Données Personnelles et de traitement des Données Personnelles conformément aux dispositions de la législation pertinente, notamment la Loi n° 6698 sur la Protection des Données Personnelles.
La Société s'engage à agir conformément à la présente Politique et aux procédures à mettre en œuvre conformément à la Politique en matière de Données Personnelles au sein de sa propre structure.
2. PORTÉE :
La présente politique couvre toutes les activités relatives aux données personnelles traitées par la société et s'applique à ces activités.
Cette Politique couvre les données personnelles des employés de l'entreprise, des candidats à l'embauche, des prestataires de services, des visiteurs et d'autres tiers. Cette Politique s'applique à tous les supports d'enregistrement sur lesquels sont traitées les données personnelles détenues ou gérées par l'entreprise et aux activités de traitement des données personnelles.
La présente Politique ne s'applique pas aux données qui ne sont pas considérées comme des Données Personnelles.
3. DÉFINITIONS :
"Consentement Explicite" désigne le consentement fondé sur des informations sur un sujet spécifique et exprimé avec une volonté libre.
"Anonymisation" signifie rendre les Données Personnelles impossibles à associer à une personne physique identifiée ou identifiable en toutes circonstances, même par rapprochement avec d'autres données.
"Obligation de Divulgation" désigne l'obligation du Responsable du Traitement ou de la personne autorisée par le Responsable du Traitement de fournir des informations à la Personne Concernée dans le cadre de l'article 10 de la Loi de Protection des Données Personnelles lors de l'acquisition de Données Personnelles.
"Données Personnelles" désigne toute information relative à une personne physique identifiée ou identifiable (dans le cadre de la présente Politique, le terme "Données Personnelles" inclut également les "Données Personnelles Sensibles" définies ci-dessous dans la mesure appropriée).
"Traitement des Données Personnelles" désigne toute opération effectuée sur les Données Personnelles telle que l'obtention, l'enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la prise en charge, la mise à disposition, le classement ou la prévention de l'utilisation des Données Personnelles par des moyens entièrement ou partiellement automatiques ou non automatiques pour autant qu'ils fassent partie de tout système d'enregistrement des données.
"Comité" désigne le comité responsable de l'application de la présente Politique et des procédures de la Loi sur la Protection des Données Personelles à mettre en œuvre conformément à la Politique.
"Conseil" signifie le Conseil de Protection des Données Personnelles.
"Autorité" désigne l'Autorité de Protection des Données Personnelles.
"KVKK" fait référence à la Loi sur la Protection des Données Personnelles n° 6698.
"Règlement KVK" désigne la loi n° 6698 sur la Protection des Données Personnelles et toute autre législation pertinente sur la protection des données personnelles, les décisions contraignantes, les décisions de principe, les dispositions, les instructions émises par les autorités de réglementation et de contrôle, les tribunaux et autres autorités officielles, ainsi que les accords internationaux applicables et toute autre législation pour la protection des données.
"Procédures KVK" désigne les procédures qui déterminent les obligations que la Société, les employés et le Comité doivent respecter dans le cadre de cette politique.
"Données Personnelles Sensibles" désigne les données relatives à la race, à l'origine ethnique, aux opinions politiques, aux convictions philosophiques, à la religion, à la secte ou à d'autres croyances, à l'apparence et à l'habillement, à l'appartenance à des associations, fondations ou syndicats, à la santé, à la vie sexuelle, aux condamnations pénales et aux mesures de sécurité, ainsi qu'aux données biométriques et génétiques.
"Suppression ou Effacement" signifie rendre les Données Personnelles inaccessibles et non réutilisables de quelque manière que ce soit pour les utilisateurs concernés.
"Responsable du Traitement" désigne la personne physique ou morale qui traite les Données Personelles pour le compte du Responsable du Traitement en étant autorisée par ce dernier.
"Personne Concernée" désigne toutes les personnes physiques dont les Données Personnelles sont traitées par ou pour le compte de la Société.
"Responsable du Traitement" désigne la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personelles et qui est responsable de l'établissement et de la gestion du système d'enregistrement des données.
"Destruction" désigne le processus consistant à rendre les Données Personnelles inaccessibles, irrécupérables et non réutilisables par quiconque, de quelque manière que ce soit.
4. POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES
4.1 Traitement des Données Personnelles en Conformité avec la Loi et de Bonne Foi
La Société traite les Données Personnelles conformément à la loi et à la bonne foi et sur la base de la proportionnalité.
4.2 Prendre les Mesures Nécessaires pour que les Données Personnelles Soient Exactes et Mises à Jour lorsque cela est nécessaire
La Société prend toutes les mesures nécessaires pour s'assurer que les Données Personnelles soient complètes, exactes et à jour et met à jour les Données Personnelles pertinentes dans le cas où la Personne Concernée demande des modifications des Données Personnelles dans le cadre du Règlement de la Loi sur la Protection des Données Personelles.
4.3 Traitement des Données Personnelles à des Fins Spécifiques, Explicites et Légitimes
Avant le Traitement des Données Personnelles, la finalité pour laquelle les Données Personnelles seront traitées est déterminée par la Société.
Dans ce contexte, la Personne Concernée est informée du champ d'application du règlement du KVK et son consentement explicite est obtenu si nécessaire.
4.4 Le Fait que les Données Personnelles soient Liées, Limitées et Mesurées aux Fins pour lesquelles Elles sont Traitées
La Société ne traite les Données Personnelles que dans des cas exceptionnels dans le cadre du Règlement KVK (article 5.2 et article 6.3 de la loi sur la Protection des Données Personelles) ou pour la finalité dans le cadre du Consentement Explicite obtenu de la Personne Concernée (article 5.1 et article 6.2 de la loi sur la Protection des Données Personelles) et conformément au principe de proportionnalité.
Le Responsable du Traitement traite les Données Personelles d'une manière qui est propice à la réalisation des finalités spécifiées et évite de traiter les Données Personelles qui ne sont pas liées à la réalisation de la finalité ou qui ne sont pas nécessaires.
4.5 Conservation des Données Personnelles pendant la Période Stipulée dans la Législation Pertinente ou Requise pour la Finalité de leur Traitement
La société conserve les Données Personnelles aussi longtemps que nécessaire conformément à la finalité.
Dans le cas où la Société souhaite conserver les Données Personnelles pour une période plus longue que celle stipulée dans le Règlement KVK ou requise par la finalité du Traitement des Données Personnelles, la Société agit conformément aux obligations spécifiées dans le Règlement KVK.
Les Données Personnelles sont supprimées ou rendues anonymes à l'expiration de la période requise pour la finalité du traitement des Données Personnelles.
Dans ce cas, on s'assure que les tiers auxquels la Société transfère les Données Personnelles suppriment, détruisent ou anonymisent également les Données Personnelles.
Le Comité est responsable du fonctionnement des processus d'effacement, de destruction et d'anonymisation.
Dans ce contexte, la procédure nécessaire est établie par le Comité.
4.6 TRAITEMENT DES DONNÉES PERSONNELLES - CONSENTEMENT EXPLICITE
Les Données Personnelles sont traitées après notification aux Personnes Concernées dans le cadre de l'exécution de l'obligation de divulgation et en cas de consentement explicite des Personnes Concernées.
Les Personnes Concernées sont informées de leurs droits avant d'obtenir un consentement explicite dans le cadre de l'Obligation de Divulgation.
Le Consentement Explicite de la Personne Concernée est obtenu par des méthodes conformes au Règlement du KVK.
Les Consentements Explicites sont conservés de manière prouvée par la société pendant la période requise dans le cadre des Règlements du KVK.
Le Comité est tenu de s'assurer que l'Obligation de Divulgation soit respectée pour tous les processus de Traitement des Données Personnelles, que le Consentement Explicite soit obtenu lorsque cela est nécessaire et que le Consentement Explicite obtenu est conservé.
Tous les employés du département qui traitent des Données Personnelles sont tenus de se conformer aux instructions du Comité, à la présente Politique et aux procédures KVK annexées à la présente Politique.
4.7 Traitement des Données Personnelles sans Consentement Explicite
Dans les cas où le traitement des Données Personnelles sans Consentement Explicite est prévu dans le cadre du Règlement KVK (article 5.2 de la Loi sur la Protection des Données), la Société peut traiter les Données Personnelles sans obtenir le Consentement Explicite de la Personne Concernée.
Dans le cas où les Données Personnelles sont traitées de cette manière, la Société traite les Données Personnelles dans les limites fixées par le Règlement KVK. Dans ce contexte :
Les Données Personnelles peuvent être traitées par la Société sans Consentement Explicite si cela est explicitement stipulé dans les lois.
Les Données Personnelles peuvent être traitées par la Société sans Consentement Explicite si cela est obligatoire pour la protection de la vie ou de l'intégrité physique de la Personne Concernée elle-même ou d'une autre personne que la Personne Concernée, qui n'est pas en mesure de divulguer son consentement en raison d'une impossibilité réelle ou dont le consentement n'est pas légalement valable.
Pour autant qu'elles soient directement liées à l'établissement ou à l'exécution d'un contrat, s'il est nécessaire de traiter des Données Personelles appartenant aux parties au contrat, les Données Personelles peuvent être traitées par la Société sans le Consentement Explicite des Personnes Concernées.
Si le Traitement des Données Personnelles est obligatoire pour que la Société remplisse son obligation légale, les Données Personnelles peuvent être traitées par la Société sans le Consentement Explicite des Personnes Concernées.
Les Données Personnelles rendues publiques par la Personne Concernée peuvent être traitées par la Société sans obtenir de Consentement Explicite.
Si le Traitement des Données Personnelles est obligatoire pour la constatation, l'exercice ou la protection d'un droit, les Données Personnelles peuvent être traitées par la Société sans obtenir de Consentement Explicite.
Sous réserve de ne pas porter atteinte aux libertés et droits fondamentaux de la Personne Concernée, les Données Personnelles peuvent être traitées par la Société sans Consentement Explicite si le traitement des données est obligatoire pour les intérêts légitimes de la Société.
I. TRAITEMENT DE DONNÉES PERSONNELLES SENSIBLES
4.8 Données Personnelles Sensibles
Les données Personnelles Sensibles ne peuvent être traitées qu'en présence du Consentement Explicite de la Personne Concernée ou si le traitement est explicitement requis par la loi pour les Données Personnelles Sensibles autres que les données sur la vie sexuelle et la santé personnelle.
Les Données Personnelles relatives à la santé et à la vie sexuelle ne peuvent être traitées sans obtenir le Consentement Explicite que par des personnes soumises à l'obligation de confidentialité (par exemple, le médecin du travail) ou par des institutions et organisations autorisées aux fins de la protection de la santé publique, de la médecine préventive, des diagnostics médicaux, des services de traitement et de soins, de la planification et de la gestion des services et du financement de la santé.
Lors du Traitement de Données Personnelles Sensibles, des mesures déterminées par la Société sont prises.
La société organisera régulièrement des formations sur les Règlements KVK et la sécurité des Données Personnelles Sensibles pour les employés impliqués dans le traitement des Données Personnelles Sensibles.
On conclura des accords de confidentialité.
Elle définira clairement la portée et la durée de l'autorisation des utilisateurs qui sont autorisés à accéder aux Données Personnelles Sensibles.
Elle effectuera périodiquement des contrôles d'autorisation.
Elle révoquera immédiatement l'autorisation des employés qui changent de fonction ou quittent leur emploi et reprendre immédiatement l'inventaire attribué à l'employé concerné.
En cas de transfert vers des supports électroniques de nature spéciale, la Société en relation avec les supports électroniques dans lesquels les Données Personelles Sensibles sont traitées, stockées et/ou consultées :
Elle préservera les Données Personnelles Sensibles à l'aide de méthodes cryptographiques.
Elle conservera les clés cryptographiques dans des environnements sécurisés et différents.
Elle consigne de manière sécurisée les enregistrements des transactions de tous les mouvements effectués sur les Données Personnelles Sensibles.
Elle suivra en permanence les mises à jour de sécurité des environnements où se trouvent les Données Personnelles Sensibles, effectuera / fera effectuer régulièrement les tests de sécurité nécessaires, et enregistrera les résultats des tests.
Si l'accès aux Données Personnelles Sensibles se fait par le biais d'un logiciel, elle fera des autorisations d'utilisation de ce logiciel, effectuera / fera effectuer régulièrement des tests de sécurité de ce logiciel, et enregistrera les résultats des tests.
En cas d'accès à distance à des Données Personnelles Sensibles, elle fournira au moins un système d'authentification en deux étapes.
Dans le cas où les Données Personnelles Sensibles sont traitées dans un environnement physique, la Société en relation avec les environnements physiques où les Données sont traitées, stockées et/ou accessibles :
Elle s'assure que des mesures de sécurité adéquates (contre les fuites électriques, les incendies, les inondations, les vols, etc.) soient prises en fonction de la nature de l'environnement où se trouvent les Données Personnelles Sensibles.
Elle empêchera les entrées et sorties non autorisées en assurant la sécurité physique de ces environnements.
En cas de transfert de Données Personnelles Sensibles, le Contrôleur de Données :
S'il est nécessaire de transférer des Données Personnelles Sensibles par courrier électronique, une adresse électronique d'entreprise cryptée ou un compte de Courrier Électronique Enregistré ("KEP") sera utilisé.
S'il est nécessaire de transférer des Données Personnelles Sensibles via des supports tels que des mémoires portables, des CD, des DVD, il les cryptera avec des méthodes cryptographiques et conservera la clé cryptographique sur différents supports.
S'il est nécessaire de transférer des données personnelles sensibles entre des serveurs situés dans des environnements physiques différents, le transfert sera effectué en établissant un VPN entre les serveurs ou par la méthode SFTP.
S'il est nécessaire de transférer des Données Personnelles Sensibles sur support papier, il prend les précautions nécessaires contre les risques tels que le vol, la perte ou la consultation non autorisée du document et envoie le document au format "documents confidentiels".
En plus des règlements ci-dessus, la Société agira conformément aux Règlements du KVK, en particulier le Guide de Sécurité des Données Personnelles publié par le Conseil concernant la sécurité des données personnelles, y compris les catégories spéciales de données.
Dans tous les cas nécessitant le traitement des Données Personelles Sensibles, le Comité est informé par l'employé concerné.
S'il n'est pas clair si une donnée est une donnée personnelle sensible, le département concerné doit demander l'avis du Comité.
II. PÉRIODE DE STOCKAGE DES DONNÉES PERSONNELLES
Les Données Personelles sont conservées au sein de la Société pendant la durée des périodes de conservation légales pertinentes et sont conservées pendant la période nécessaire à la réalisation des activités liées à ces données et aux objectifs spécifiés dans la présente Politique.
Les Données Personelles dont la finalité d'utilisation a pris fin et dont la durée de conservation légale a expiré sont supprimées, détruites ou anonymisées par la Société conformément à l'article 7 de la Loi sur la Protection des Données Personelles.
4.9 SUPPRESSION, DESTRUCTION ET ANONYMISATION DES DONNÉES PERSONNELLES
Lorsque la finalité légitime du Traitement des Données Personnelles n'existe plus, les Données Personnelles concernées sont supprimées, détruites ou rendues anonymes.
Les situations dans lesquelles les Données Personnelles doivent être supprimées, détruites ou rendues anonymes sont suivies par le Comité.
Le Comité est responsable du fonctionnement des processus d'effacement, de destruction et d'anonymisation.
Dans ce contexte, la procédure nécessaire est établie par le Comité.
La société ne stocke pas les Données Personnelles en tenant compte de la possibilité d'une utilisation future.
Toutes les activités d'Effacement, de Destruction et d'Anonymisation à effectuer par la Société sur les Données Personnelles doivent être réalisées conformément aux principes spécifiés dans la Politique de Conservation, de Destruction et d'Anonymisation des Données Personnelles.
4.10 TRANSFERT DES DONNÉES PERSONNELLES ET TRAITEMENT DES DONNÉES PERSONNELLES PAR DES TIERS
La Société peut transférer les Données Personnelles à une tierce personne physique ou morale sur le territoire national et/ou à l'étranger conformément au Règlement KVK en prenant les mesures nécessaires en fonction des finalités du Traitement des Données Personnelles.
Dans ce cas, la Société s'assure que les tiers auxquels elle transfère des Données Personnelles respectent également la présente Politique.
Dans ce contexte, les dispositions de protection nécessaires sont ajoutées aux contrats conclus avec le tiers.
L'article à ajouter aux contrats conclus avec les tiers auxquels sont transférés tous types de Données Personnelles est obtenu auprès du Comité.
Chaque employé est tenu de suivre la procédure décrite dans la présente politique en cas de transfert de Données Personnelles.
Dans le cas où le tiers à qui les Données Personnelles sont transférées demande une modification de l'article communiqué par le Comité, la situation est immédiatement notifiée au Comité par l'employé.
9. 10. Transfert de Données Personnelles à des Tiers en Turquie
Les Données Personnelles peuvent être transférées par la Société à des tiers en Turquie sans Consentement Explicite dans des cas exceptionnels spécifiés à l'article 5.2 de la Loi sur la Protection des Données Personelles et à l'article 6.3 à condition que des mesures adéquates soient prises, ou dans d'autres cas, à condition que le Consentement Explicite de la Personne Concernée soit obtenu (article 5.1 et article 6.2 de la Loi sur la Protection des Données Personelles).
Les employés de la Société et la Société sont conjointement et solidairement responsables de veiller à ce que le transfert de Données Personnelles à des tiers en Turquie soit conforme aux Règlements KVK.
4.11 Transfert de Données Personnelles à des Tiers à l'Étranger
Les Données Personnelles peuvent être transférées par la Société à des tiers à l'étranger sans Consentement Explicite dans des cas exceptionnels spécifiés à l'article 5.2 et à l'article 6.3 de la loi sur la Protection des Données Personelles, ou dans d'autres cas, à condition que le Consentement Explicite de la Personne Concernée soit obtenu (article 5.1 et article 6.2 de la Loi sur la Protection des Données Personelles).
Dans le cas où les Données Personnelles sont transférées sans Consentement Explicite conformément au Règlement KVK, l'une des conditions suivantes doit également exister en ce qui concerne le pays étranger vers lequel elles seront transférées :
Le pays étranger vers lequel les Données Personnelles sont transférées figure dans le statut des pays à protection adéquate par le Conseil (veuillez suivre la liste actuelle du Conseil pour la liste), Si le pays étranger vers lequel le transfert aura lieu ne figure pas dans la liste des pays sûrs du Conseil, la Société et les Contrôleurs de Données dans le pays concerné obtiennent la permission du Conseil en s'engageant par écrit à ce qu'une protection adéquate soit fournie.
Les employés de la Société et la Société sont conjointement et solidairement responsables de veiller à ce que le transfert de Données Personnelles à des tiers à l'étranger soit conforme aux Règlements KVK.
4.12 OBLIGATION DE DIVULGATION DE LA SOCIÉTÉ
10. 11.
Conformément à l'article 10 de la loi sur la Protection des Données Personelles, la Société informe les Personnes Concernées avant le Traitement des Données Personnelles.
Dans ce contexte, la Société remplit son Obligation de Divulgation lors de l'acquisition de Données Personnelles.
La notification à faire aux Personnes Concernées dans le cadre de l'Obligation de Divulgation comprend les éléments suivants respectivement :
Identité du Responsable du Traitement et de son représentant, le cas échéant, dans quel but les Données Personnelles seront traitées, à qui et dans quel but les Données Personnelles traitées peuvent être transférées, la méthode et la raison légale de la collecte des Données Personnelles, les droits des Personnes Concernées énumérés à l'article 11 de la loi sur la Protection des Données Personelles.
La Société fournira les informations nécessaires si la Personne Concernée en fait la demande conformément à l'article 20 de la Constitution de la République de Turquie et à l'article 11 de la Loi sur la Protection des Données Personelles.
Si les Personnes Concernées en font la demande conformément au Règlement du KVKK, la Société informe la Personne Concernée des Données Personnelles traitées par la Personne Concernée.
L'employé qui suit le processus pertinent et la Société sont conjointement et solidairement responsables de veiller à ce que l'Obligation de Divulgation nécessaire soit remplie avant le Traitement des Données Personnelles.
Dans ce contexte, la procédure KVK nécessaire est établie par le Comité afin de signaler au Comité chaque nouveau processus de traitement des données.
Dans le cas où le Processeur de Données est un tiers autre que la Société, le tiers doit s'engager à respecter les obligations susmentionnées par un contrat écrit avant le début du Traitement des Données Personnelles.
Dans les cas où des tiers transfèrent des Données Personnelles à la Société, l'article à ajouter aux contrats est obtenu auprès du Comité.
Chaque employé est tenu de suivre la procédure prévue par la présente Politique en cas de transfert de Données Personnelles à la Société par un tiers.
Dans le cas où le tiers qui transfère les Données Personnelles demande une modification de l'article communiqué par le Comité, la situation est immédiatement notifiée au Comité par l'employé.
4.13 DROITS DES PERSONNES CONCERNÉES
11. 12.
La société répond aux demandes suivantes des Personnes Concernées dont elle détient les Données Personnelles, conformément au Règlement KVK :
Savoir si des Données Personnelles sont traitées par la Société, Demander des informations en cas de traitement de Données Personnelles, Connaître la finalité du traitement des Données Personnelles et savoir si elles sont utilisées conformément à leur finalité, Connaître les tiers auxquels les Données Personnelles sont transférées au niveau national ou à l'étranger, Demander la correction des Données Personnelles en cas de traitement incomplet ou incorrect par la Société, Demander l'effacement ou la destruction des Données Personnelles par la Société au cas où les raisons nécessitant le Traitement des Données Personnelles disparaissent pour être évaluées dans le cadre des principes de finalité, de durée et de légitimité, dans le cas où les Données Personnelles sont corrigées, effacées ou détruites par la Société, demander la notification de ces opérations aux tiers auxquels les Données Personnelles sont transférées, s'opposer à ce résultat dans le cas où un résultat au détriment de la Personne Concernée se produit dans le cas où les Données Personnelles traitées sont analysées exclusivement par des systèmes automatisés, demander la réparation du dommage dans le cas où les Données Personnelles sont traitées de manière illicite et que la Personne Concernée subit un dommage pour cette raison.
Dans les cas où les Personnes Concernées veulent exercer leurs droits et/ou pensent que la Société n'agit pas dans le cadre de la présente Politique lors du traitement des Données Personnelles, elles peuvent soumettre leurs demandes à notre Société en remplissant le formulaire sur le site web de la Société ou en créant leurs propres demandes de manière à répondre aux conditions déterminées par l'Autorité de Protection des Données Personnelles, en main propre, par notaire ou par lettre recommandée avec accusé de réception ou adresse électronique recommandée (KEP), signature électronique sécurisée, signature mobile ou en utilisant votre adresse e-mail préalablement notifiée et enregistrée dans notre système via les adresses de contact suivantes.
Veuillez confirmer les méthodes d'application actuelles auprès de la législation avant de poser votre demande.
Dans le cas où les Personnes concernées soumettent par écrit à la Société leurs demandes concernant leurs droits énumérés ci-dessus, la Société finalisera gratuitement la demande dans un délai de trente jours au plus tard, en fonction de la nature de la demande.
Dans le cas où un coût supplémentaire surviendrait concernant la finalisation des demandes par le Contrôleur des Données, les frais du tarif déterminé par la Conseil de Protection des Données Personnelles peuvent être demandés par le Contrôleur des Données.
4.14 GESTION ET SÉCURITÉ DES DONNÉES
12. 13.
La société établit un Comité pour remplir ses obligations en vertu des Règlements du KVK, pour assurer et superviser la mise en œuvre des procédures du KVK requises pour l'application de cette Politique, et pour faire des suggestions pour leur fonctionnement.
Tous les employés impliqués dans le processus concerné sont conjointement et solidairement responsables de la protection des Données Personnelles conformément à la présente Politique et aux Procédures du KVK.
Les activités de traitement des Données Personnelles par la Société sont supervisées par des systèmes techniques en fonction des possibilités technologiques et du coût de l'application.
Du personnel compétent en matière de questions techniques liées aux activités de traitement des Données Personnelles est employé.
Les employés de la société sont informés et formés sur la protection et le traitement des Données Personnelles conformément à la loi.
La Procédure KVK nécessaire est établie pour garantir que les employés qui doivent avoir accès aux données personnelles dans l'entreprise ont accès à ces données personnelles.
Les employés de la société ne peuvent accéder aux Données Personnelles que dans le cadre de l'autorisation qui leur est définie et conformément à la Procédure KVK correspondante.
Tous les types d'accès et de transactions effectués par l'employé au-delà de son autorisation sont illégaux et constituent un motif de résiliation du contrat de travail pour un motif valable.
La société doit immédiatement informer le Comité si l'employé soupçonne que la sécurité des Données Personnelles n'est pas assurée de manière adéquate ou si une telle faille de sécurité est détectée.
Une Procédure KVK détaillée pour la sécurité des données personnelles est établie par le Comité.
Chaque personne qui se voit attribuer un appareil de la société est responsable de la sécurité des appareils qui lui sont attribués.
Chaque employé de la Société ou personne travaillant au sein de la Société est responsable de la sécurité des dossiers physiques dans son domaine de responsabilité.
Si des mesures de sécurité supplémentaires sont demandées ou doivent être demandées pour la sécurité des Données Personnelles dans le cadre du Règlement KVK, tous les employés sont tenus de respecter les mesures de sécurité supplémentaires et d'assurer la continuité de ces mesures de sécurité.
Afin de stocker les Données Personnelles dans des environnements sécurisés, des logiciels et du matériel, y compris des systèmes de protection contre les virus et des pare-feu, sont installés conformément à l'évolution technologique.
La Société utilise des programmes de sauvegarde pour prévenir la perte ou l'endommagement des Données Personnelles et des mesures de sécurité adéquates sont prises.
Les mesures nécessaires seront prises pour protéger les documents contenant des Données Personnelles dans l'entreprise avec des systèmes cryptés (chiffrés).
Dans ce contexte, les Données Personnelles ne seront pas stockées dans les zones communes et sur le bureau.
Les documents tels que les fichiers et les dossiers, etc. contenant des Données Personnelles ne seront pas déplacés vers le bureau ou le dossier public, les informations sur les ordinateurs de la Société ne seront pas transférées vers un autre dispositif tel qu'une clé USB, etc.
Le Comité, conjointement avec le Conseil d'Administration, est chargé de prendre des mesures techniques et administratives pour la protection de toutes les Données Personnelles au sein de la Société, de surveiller en permanence les développements et les activités administratives, de préparer les procédures KVK nécessaires et de les annoncer au sein de la Société, d'assurer et de superviser leur respect.
Dans ce contexte, le Comité, avec l'approbation du Conseil d'Administration, organise les formations nécessaires pour sensibiliser les employés.
Si un département de la Société traite des Données Personnelles Sensibles, ce département sera informé par le Comité de l'importance, de la sécurité et de la confidentialité des données personnelles qu'il traite et le département concerné agira conformément aux instructions du Comité.
Seuls quelques employés seront autorisés à accéder aux Données Personnelles Sensibles et leur liste et leur suivi seront effectués par le Comité.
Toutes les Données Personnelles traitées au sein de la société sont considérées comme des "Informations Confidentielles" par la Société.
Les employés de la Société ont été informés que leurs obligations en matière de sécurité et de confidentialité des Données Personnelles se poursuivront après la fin de la relation d'affaires et un engagement a été obtenu de la part des employés de la Société de se conformer à ces règles.
4.15 FORMATION
13.
La Société fournit à ses employés la formation nécessaire sur la protection des Données Personnelles dans le cadre de la Politique, des Procédures KVK et des Règlements KVKK joints.
Dans les formations, les définitions des Données Personnelles Sensibles et les pratiques pour leur protection sont particulièrement mises en avant.
Si un employé de la Société accède à des Données Personnelles physiquement ou dans un environnement informatique, la société fournit à l'employé concerné une formation spécifique à ces accès (par exemple, le programme informatique auquel il a accès).
4.16 AUDIT
La société a le droit de vérifier régulièrement et d'office que tous les employés, départements et contractants de la société agissent conformément à la présente Politique et aux Règlements du KVK, à tout moment et d'office, sans préavis, et effectue les audits de routine nécessaires dans ce contexte.
Le Comité établit une procédure KVK pour ces audits, la soumet à l'approbation du Conseil d'Administration et veille à la mise en œuvre de ladite procédure.
4.17 VIOLATIONS
Chaque employé de la société signale au Comité les affaires, les transactions ou les actions qu'il pense être contraires aux procédures et aux principes spécifiés dans le Règlement KVK et dans la présente Politique.
Dans ce contexte, le Comité crée un plan d'action pour la violation en question, conformément à la présente politique et aux Procédures du KVK.
Sur la base des informations fournies, le Comité prépare la notification à faire à la Personne Concernée ou à l'Autorité concernant la violation, en tenant compte des dispositions de la législation en vigueur en la matière, notamment le Règlement KVK.
Dans ce cas, la Personne de Contact du Responsable du Traitement effectue la correspondance et la communication avec l'Autorité.
4.18 MODIFICATIONS DE LA POLITIQUE
La présente Politique peut être modifiée par la Société avec l'approbation du Directeur Général.
La Société partage le texte actualisé de la Politique avec ses employés par courrier électronique ou le rend accessible aux employés et aux Personnes Concernées via l'adresse web afin que les modifications apportées à la Politique puissent être examinées.
4.19 DATE D'ENTRÉE EN VIGUEUR DE LA POLITIQUE
Cette version de la Politique a été approuvée par le Directeur Général de la Société le 18/12/2018 et est entrée en vigueur.
