• المقدمة: تحدد هذه السياسة المبادئ التي ستتبناها وتراعيها شركة نيفا أوتوموتيف للصناعة والتجارة فيما يتعلق بحماية البيانات الشخصية ومعالجتها. تهدف السياسة إلى تحديد إطار الأنشطة الخاصة بالامتثال التي ستنفذها الشركة من أجل الامتثال لقانون حماية البيانات الشخصية رقم 6698 ("KVK"). الهدف من ذلك هو أن تواصل الشركة تنفيذ أنشطتها وفقًا للمبادئ القانونية والنزاهة والشفافية التي تم تبنيها منذ تأسيسها. ستقوم الشركة، وفقًا لهذا الهدف، بإنشاء الهيكل والإجراءات والعمليات اللازمة للامتثال لقانون KVK؛ بالإضافة إلى ذلك، ستنفذ الآليات اللازمة لزيادة الوعي بين موظفيها وشركائها التجاريين.
  النطاق: تنطبق هذه السياسة على جميع البيانات الشخصية التي تتم معالجتها تلقائيًا أو جزئيًا، أو أي طريقة غير آلية تكون جزءًا من نظام تسجيل البيانات، باستثناء موظفي الشركة. يمكن العثور على التفاصيل المتعلقة بأصحاب البيانات الشخصية في الوثيقة الملحقة 2 ("الملحق 2 - أصحاب البيانات الشخصية") من هذه السياسة.
•  

1. غرض استخدام "سياسة حماية ومعالجة البيانات الشخصية"

تهدف هذه السياسة إلى ضمان تبني اللوائح الهامة الخاصة بالامتثال لقانون حماية البيانات الشخصية (قانون KVK) داخل الشركة. تم إعداد السياسة بهدف ضمان الإدارة العالية للأنشطة المتعلقة بالامتثال التي سيتم تنفيذها لضمان الامتثال لقانون KVK بشأن معالجة وحماية البيانات الشخصية على مستوى الشركة. ستقوم الشركة بإنشاء النظام اللازم لزيادة الوعي بين موظفيها وشركائها التجاريين بشأن الامتثال. في هذا السياق، تقدم السياسة إرشادات حول كيفية تطبيق الشركة بشكل ملموس للقوانين التي وضعتها قانون KVK والتشريعات ذات الصلة. ستقوم الشركة، تماشياً مع هذا الهدف، بتكييف هيكلها لضمان الامتثال للسياسة وستنفذ آليات التدقيق الداخلي بشكل دوري لضمان استمرارية الامتثال.

2. المبادئ المتعلقة بمعالجة البيانات الشخصية
   إحدى القضايا المهمة بالنسبة للشركة هي الامتثال للمبادئ العامة المنصوص عليها في التشريعات الخاصة بمعالجة البيانات الشخصية. في هذا السياق، يجب على الشركة أن تتصرف وفقًا للمبادئ الموضحة أدناه في معالجة البيانات الشخصية، بما يتماشى مع الدستور وقانون حماية البيانات الشخصية (KVK).

2.1. معالجة البيانات الشخصية وفقًا للقانون وقاعدة النزاهة:
يجب على الشركة، وفقًا للمادة 4 من قانون KVK، أن تقوم بمعالجة البيانات الشخصية وفقًا للقانون وقواعد النزاهة؛ يجب أن تكون البيانات دقيقة ومحدثة عند الحاجة، معالجة لأغراض محددة وواضحة وقانونية، بطريقة مرتبطة بالهدف، محدودة ومتناسبة. في هذا السياق، يجب على الشركة مراعاة متطلبات التناسب في معالجة البيانات الشخصية وعدم استخدام البيانات الشخصية لأغراض غير تلك التي يتطلبها الغرض.

2.2. ضمان دقة البيانات الشخصية وتحديثها عند الحاجة:
يجب على الشركة ضمان أن البيانات الشخصية المعالجة دقيقة ومحدثة، مع مراعاة الحقوق الأساسية لأصحاب البيانات والمصالح المشروعة للشركة، ويجب عليها إنشاء الأنظمة اللازمة لضمان ذلك.

2.3. معالجة البيانات لأغراض محددة وواضحة وقانونية:
يجب على الشركة معالجة البيانات الشخصية لأسباب مشروعة وموافقة للقانون. يجب على الشركة معالجة البيانات المتعلقة بأنشطتها فقط وبالقدر اللازم. يجب تحديد الغرض من معالجة البيانات الشخصية قبل بدء نشاط المعالجة.

2.4. المعالجة بما يتوافق مع الهدف المحدد ومحدودة ومتناسبة:
يجب على الشركة معالجة البيانات الشخصية بطريقة تساعد على تحقيق الأهداف المحددة، وتجنب معالجة البيانات الشخصية غير الضرورية أو غير ذات الصلة.

2.5. الحفاظ على البيانات الشخصية للمدة اللازمة وفقًا للتشريعات المعمول بها أو لغرض المعالجة:
يجب على الشركة الاحتفاظ بالبيانات الشخصية فقط لمدة محددة وفقًا للتشريعات ذات الصلة أو طالما كان ذلك ضروريًا لغرض المعالجة. عند انتهاء المدة أو زوال سبب المعالجة، يجب على الشركة حذف البيانات أو تدميرها أو إخفاء هويتها.

2.6. معالجة البيانات الشخصية وفقًا للشروط الواردة في المادة 5 من القانون:
يجب معالجة البيانات الشخصية، كقاعدة عامة، وفقًا لإحدى أو أكثر من الشروط المنصوص عليها في المادة 5 من قانون KVK. يجب على الشركة التأكد من أن الأنشطة المتعلقة بمعالجة البيانات تتم بناءً على هذه الشروط.

2.7. نقل البيانات الشخصية:

2.7.1. نقل البيانات الشخصية داخل البلد:
يجب على الشركة نقل البيانات الشخصية إلى أطراف ثالثة وفقًا لأغراض المعالجة مع اتخاذ التدابير الأمنية اللازمة.

2.7.2. نقل البيانات الشخصية إلى الخارج:
حاليًا، لا تقوم الشركة بنقل البيانات الشخصية إلى الخارج، ولكن إذا لزم الأمر، سيتم نقل البيانات إلى الخارج فقط إذا تم اتخاذ التدابير الأمنية

3. التزامات الشركة في مجال حماية البيانات الشخصية ومعالجتها

3.1. واجب التسجيل في سجل مسؤولي معالجة البيانات:
يجب على الشركة التسجيل في سجل مسؤولي معالجة البيانات قبل بدء معالجة البيانات، وذلك ضمن المدة التي يحددها مجلس حماية البيانات الشخصية (KVK). يجب أن يتضمن طلب التسجيل في السجل المعلومات التالية:

I- هوية الشركة وعنوانها باعتبارها المسؤول عن المعالجة، وإذا كان هناك ممثل، يجب تقديم معلوماته.
II- الهدف من معالجة البيانات الشخصية.
III- مجموعة الأشخاص المعنيين والفئات المتعلقة بهذه البيانات.
IV- المستفيدون أو الفئات المستفيدة التي قد تُنقل إليها البيانات الشخصية.
V- البيانات الشخصية التي قد تُنقل إلى الدول الأجنبية.
VI- التدابير الأمنية المتخذة لحماية البيانات الشخصية.
VII- الحد الأقصى لمدة الاحتفاظ بالبيانات الشخصية للغرض الذي تم معالجتها من أجله.

3.2. التزام بتوعية صاحب البيانات الشخصية:
يجب على الشركة، أثناء الحصول على البيانات الشخصية، توعية صاحب البيانات حول النقاط التالية:

I- هوية الشركة باعتبارها المسؤول عن المعالجة وإذا كان هناك ممثل، يجب ذكره.
II- الهدف من معالجة البيانات الشخصية.
III- الأشخاص أو الفئات التي قد تُنقل إليها البيانات الشخصية، ولأي غرض.
IV- طريقة جمع البيانات الشخصية والأسباب القانونية لذلك.
V- حقوق صاحب البيانات الشخصية؛
• معرفة ما إذا كانت البيانات الشخصية تتم معالجتها،
• معرفة ما إذا كانت البيانات تُستخدم للغرض المحدد ووفقًا للاستخدام المناسب،
• معرفة الأشخاص الذين تم نقل البيانات إليهم،
• طلب تصحيح البيانات في حالة وجود معالجة ناقصة أو غير صحيحة، وإذا توافرت الشروط، طلب حذف البيانات الشخصية ونقل هذه الطلبات إلى الأطراف الثالثة،
• الاعتراض على النتيجة التي قد تظهر نتيجة التحليل التلقائي للبيانات التي تم معالجتها،
• طلب التعويض عن الأضرار في حال حدوث ضرر بسبب المعالجة غير القانونية.

3.3. التزام بالرد على طلبات أصحاب البيانات الشخصية:
يمكن لأصحاب البيانات الشخصية ممارسة حقوقهم المنصوص عليها في قانون KVK من خلال تقديم طلب كتابي أو باستخدام الطرق الأخرى التي يحددها المجلس. في هذا السياق، يجب على الشركة اتخاذ التدابير الإدارية والتقنية اللازمة للوفاء بالالتزامات الواردة في المادة 13 من قانون KVK لضمان تلبية حقوق أصحاب البيانات الشخصية. بموجب قانون KVK، لأصحاب البيانات الشخصية الحقوق التالية:

• معرفة ما إذا كانت بياناتهم الشخصية تتم معالجتها،
• طلب معلومات حول ما إذا كانت بياناتهم الشخصية تتم معالجتها،
• معرفة الغرض من معالجة البيانات الشخصية وإذا كانت تُستخدم بما يتوافق مع الغرض،
• معرفة الأطراف الثالثة التي تم نقل البيانات الشخصية إليها سواء داخل البلاد أو خارجها،
• طلب تصحيح البيانات في حال كانت معالجة البيانات ناقصة أو غير صحيحة، وإذا لزم الأمر، طلب أن يتم إشعار الأطراف الثالثة التي تم نقل البيانات إليها بهذا التصحيح،
• في حال تم معالجة البيانات الشخصية وفقًا لقانون KVK والقوانين الأخرى ذات الصلة، ولكن لم تعد هناك أسباب لمعالجتها، طلب حذف أو تدمير البيانات، وطلب إشعار الأطراف الثالثة التي تم نقل البيانات إليها بهذا التصرف،
• الاعتراض على النتيجة التي قد تظهر نتيجة التحليل التلقائي للبيانات التي تم معالجتها،
• طلب تعويض الأضرار في حال حدوث ضرر بسبب المعالجة غير القانونية للبيانات الشخصية.

يتم معالجة طلبات أصحاب البيانات فقط إذا تم تقديمها كتابيًا إلى الشركة. في المستقبل، قد يحدد المجلس طرق طلب أخرى. يجب على الشركة الرد على الطلب في أقرب وقت ممكن، وبحد أقصى خلال 30 يومًا. بناءً على التقييم، يمكن للشركة قبول الطلب واتخاذ الإجراءات اللازمة، أو رفض الطلب مع تقديم مبررات. من المهم الإشارة إلى أنه في حالة رفض طلب صاحب البيانات، أو اعتبار الرد غير كافٍ، أو عدم الرد في الوقت المحدد، يمكن لصاحب البيانات تقديم شكوى إلى المجلس في غضون 30 يومًا. لذا، من الضروري تقديم ردود سريعة ومرضية لتجنب الشكاوى.

3.4. التزام بتأمين البيانات الشخصية:
يجب على الشركة، وفقًا للمادة 12 من قانون KVK، اتخاذ التدابير التقنية والإدارية اللازمة لمنع معالجة البيانات الشخصية بشكل غير قانوني، ومنع الوصول غير القانوني إلى البيانات وضمان حفظ البيانات من خلال توفير المستوى المناسب من الأمان. في هذا السياق، يجب على الشركة تنفيذ أو التحقق من التدابير اللازمة. يجب أن تقوم الشركة بتنظيم الأنظمة اللازمة لإجراء المراجعات المتعلقة بتنفيذ التدابير التقنية والإدارية. يجب فحص نتائج هذه المراجعات من قبل الوحدات المختصة داخل الشركة واتخاذ الإجراءات اللازمة. إذا تم الحصول على البيانات الشخصية بطرق غير قانونية من قبل أطراف ثالثة، فإن الشركة ملزمة بإبلاغ صاحب البيانات في أقرب وقت ممكن، وإذا تطلب الأمر وفقًا للتشريعات، يجب عليها إبلاغ المجلس. يجب إنشاء هيكل تنظيمي مناسب لهذا الغرض. يجب على الشركة إنشاء الأنظمة اللازمة لتطبيق التدابير الأمنية المذكورة أدناه، ومراقبة هذه الأنظمة، وفي حالات تهديد الأمان، يجب اتخاذ التدابير اللازمة دون تأخير لإزالة المخاطر.

3.4.1. اتخاذ التدابير الفنية والإدارية لضمان المعالجة القانونية للبيانات الشخصية:
يجب على الشركة اتخاذ التدابير الفنية والإدارية اللازمة، بما في ذلك الإمكانيات التكنولوجية، لضمان أن البيانات الشخصية تتم معالجتها وفقًا للقانون.

I- التدابير الفنية اللازمة لضمان المعالجة القانونية للبيانات الشخصية:
يجب تحليل جميع العمليات المتعلقة بأنشطة معالجة البيانات الشخصية التي تقوم بها وحدات الشركة، ويجب إعداد "خريطة معالجة البيانات الشخصية". يجب أن تخضع جميع الأنشطة التي تتم من جمع البيانات إلى حذفها لمراجعة توافقها مع القانون. يجب مراقبة أنشطة معالجة البيانات الشخصية في الشركة من خلال الأنظمة التقنية التي تم إنشاؤها. يجب أن يتم الإبلاغ عن التدابير الفنية المتخذة بشكل دوري من خلال آلية التدقيق الداخلي إلى المعنيين.

II- التدابير الإدارية اللازمة لضمان المعالجة القانونية للبيانات الشخصية:
يجب على الشركة توعية وتدريب موظفيها بشأن حماية البيانات الشخصية والمعالجة القانونية للبيانات. يجب أن تتضمن العقود والوثائق والسياسات التي تنظم العلاقة القانونية بين الشركة وموظفيها بنودًا تمنع معالجة البيانات الشخصية أو إفشائها أو استخدامها بشكل غير قانوني وفقًا لقانون KVK. يجب أن يقتصر الوصول إلى البيانات الشخصية على الموظف المعني في الشركة بما يتوافق مع الغرض من المعالجة، ويجب ألا يكون لكل موظف في الشركة الوصول إلى جميع البيانات الشخصية المحفوظة. يجب تحليل جميع الأنشطة التي تنفذها الشركة بالتفصيل لكل وحدة من وحداتها، وبناءً على هذه التحليلات، يجب تحديد أنشطة معالجة البيانات الشخصية المرتبطة بالأنشطة التجارية الخاصة بكل وحدة. يجب تحديد المتطلبات القانونية لضمان امتثال الأنشطة المتعلقة بمعالجة البيانات الشخصية لشروط قانون KVK لكل وحدة والأنشطة التفصيلية التي تنفذها. يجب على الشركة أن ترفع الوعي وتحدد القواعد التنفيذية لتلبية هذه المتطلبات القانونية لضمان الامتثال لكل وحدة من الوحدات. يجب على الشركة اتخاذ التدابير الإدارية اللازمة لمراقبة هذه الأمور وضمان استمرارية التنفيذ من خلال تنفيذ السياسات والإجراءات والتدريب المناسب.

3.4.2. اتخاذ التدابير الفنية والإدارية لمنع الوصول غير القانوني إلى البيانات الشخصية:
يجب على الشركة اتخاذ التدابير الفنية والإدارية اللازمة، حسب طبيعة البيانات المراد حمايتها والإمكانيات التكنولوجية المتاحة، لمنع الكشف أو العرض أو النقل أو الحصول غير القانوني على البيانات الشخصية من قبل أطراف ثالثة، سواء كان ذلك نتيجة الإهمال أو بدون إذن.

I- التدابير الفنية اللازمة لمنع الوصول غير القانوني إلى البيانات الشخصية:
• يجب اتخاذ التدابير الفنية المناسبة وفقًا للتطورات التكنولوجية، ويجب تحديث هذه التدابير بشكل دوري وتجديدها.
• يجب تنفيذ حلول فنية للوصول والتفويض وفقًا للمتطلبات القانونية لكل قسم.
• يجب أن يتم الإبلاغ عن التدابير الفنية المتخذة بانتظام إلى المعنيين من خلال آلية التدقيق الداخلي، ويجب إعادة تقييم القضايا التي تمثل مخاطر واتخاذ الحلول التكنولوجية المناسبة لها.
• يجب تثبيت البرمجيات والأنظمة التي تشمل أنظمة الحماية ضد الفيروسات وجدران الحماية.
• يجب توظيف موظفين ذوي كفاءة في المجال التقني.

II- التدابير الإدارية اللازمة لمنع الوصول غير القانوني إلى البيانات الشخصية:
يجب تدريب موظفي الشركة على التدابير الفنية التي سيتم اتخاذها لمنع الوصول غير القانوني إلى البيانات الشخصية.
• يجب تصميم وتنفيذ عمليات الوصول والتفويض للبيانات الشخصية داخل الشركة بما يتماشى مع المتطلبات القانونية لكل قسم.
• يجب الحصول على التزامات من موظفي الشركة بعدم الكشف عن البيانات الشخصية التي تعلموها لأطراف ثالثة بما يتعارض مع أحكام قانون KVK، وعدم استخدامها لأغراض خارج الأغراض المقررة، ويجب أن يستمر هذا الالتزام حتى بعد انتهاء خدمتهم في الشركة.
• يجب تضمين البنود في العقود الموقعة مع الجهات التي يتم نقل البيانات الشخصية إليها، تنص على أن هذه الجهات ستتخذ التدابير الأمنية اللازمة لحماية البيانات الشخصية وضمان الامتثال لهذه التدابير في منظماتهم.

3.4.3. مراقبة التدابير المتخذة لحماية البيانات الشخصية:
يجب على الشركة إنشاء أنظمة لمراقبة تنفيذ التدابير الفنية والإدارية المتخذة. يجب أن يتم الإبلاغ عن نتائج هذه المراجعات إلى القسم المعني داخل الشركة، ويجب اتخاذ الأنشطة اللازمة لتحسين التدابير المتخذة. يجب على الشركة تصميم العمليات اللازمة لزيادة الوعي ومراقبة حماية البيانات الشخصية من قبل الأقسام، والشركاء التجاريين والموردين.

3.4.4. التدابير التي يجب اتخاذها في حالة الإفشاء غير المصرح به للبيانات الشخصية:
في حالة حصول أطراف ثالثة على البيانات الشخصية المعالجة بطرق غير قانونية، يجب على الشركة إبلاغ صاحب البيانات الشخصية والمجلس المختص في أقرب وقت ممكن. لهذا الغرض، يجب إنشاء هيكل داخلي مناسب.

4. حماية البيانات الشخصية الحساسة:
   تولي قانون KVK اهتمامًا خاصًا ببعض فئات البيانات الشخصية لأن المعالجة غير القانونية لهذه البيانات قد تؤدي إلى أضرار أو تمييز ضد الأفراد. تشمل هذه البيانات: العرق، الأصل العرقي، الآراء السياسية، المعتقدات الفلسفية، الدين، المذهب أو المعتقدات الأخرى، اللباس، العضوية في الجمعيات أو المؤسسات أو النقابات، الصحة، الحياة الجنسية، الإدانات الجنائية وتدابير الأمن، بالإضافة إلى البيانات البيومترية والجينية. تتخذ الشركة تدابير صارمة لحماية البيانات الشخصية الحساسة التي تتم معالجتها وفقًا لقانون KVK. يتم تطبيق التدابير الفنية والإدارية المتخذة لحماية البيانات الشخصية بعناية خاصة للبيانات الحساسة، ويتم إجراء المراجعات اللازمة داخل الشركة. في هذا السياق، يتم معالجة بيانات الصحة للموظفين في إطار خدمات الطب المهني المقدمة من الشركة، ويتم تدريب الموظفين الذين لديهم إمكانية الوصول إلى هذه البيانات الحساسة، ويتم تحديد حقوق الوصول، وإجراء المراجعات الدورية وتوقيع اتفاقيات السرية. في حالة مغادرة الموظف، يتم سحب حق الوصول على الفور. يتم تخزين الملفات المادية التي تحتوي على البيانات الصحية الشخصية للموظفين في خزائن مغلقة ولا يمكن الوصول إليها إلا من قبل موظفي العيادة الطبية. لا يمكن لأي قسم آخر الوصول إلى بيانات صحة الموظفين باستثناء موظفي العيادة الطبية.
5. توعية وإعلام صاحب البيانات الشخصية:
   وفقًا للمادة 10 من قانون KVK، تقوم الشركة بتوعية أصحاب البيانات الشخصية أثناء جمع البيانات الشخصية. في هذا السياق، توفر الشركة معلومات عن هوية المسؤول عن البيانات، وإذا كان هناك ممثل له، عن هوية الممثل، الأغراض التي سيتم من أجلها معالجة البيانات الشخصية، من سيحصل على البيانات الشخصية ولأي غرض، طريقة جمع البيانات الشخصية والسبب القانوني لذلك، وكذلك حقوق صاحب البيانات الشخصية وفقًا لطبيعته وعملية معالجة البيانات. لهذا الغرض، تم وضع نصوص التوعية في الأماكن التي يمكن للموظفين والزوار والعملاء والأطراف الثالثة والمرشحين وموظفي المؤسسات التي نتعاون معها رؤيتها بسهولة. تم نشر نص التوعية للعملاء ونص التوعية للموظفين ونموذج الطلب على موقع الشركة الإلكتروني إلى جانب هذه السياسة.
6. جرد البيانات الشخصية وتصنيف البيانات الشخصية:
   تقوم الشركة بمعالجة البيانات الشخصية وفقًا للأغراض القانونية والمشروعة لمعالجة البيانات الشخصية كما هو مذكور في المادة 5 من قانون KVK، وبما يتوافق مع المبادئ العامة المنصوص عليها في قانون KVK وجميع الالتزامات المنظمة في قانون KVK. يتم معالجة البيانات الشخصية بشكل محدود بما يتماشى مع الأغراض المحددة. أنشأت الشركة جردًا للبيانات الشخصية وفقًا لائحة سجل المسؤولين عن البيانات التي أصدرها هيئة حماية البيانات الشخصية. يتضمن هذا الجرد البيانات الشخصية، وفئات البيانات، ومصدر البيانات، وأغراض معالجة البيانات، وعملية المعالجة، والمجموعات المستقبلة للبيانات، وفترات الاحتفاظ، والتدابير الإدارية والفنية. يشمل جرد البيانات الشخصية في الشركة الفئات التالية من البيانات، ولكنها ليست مقتصرة على هذه الفئات فقط.

في إطار أنشطة معالجة البيانات وحسب أنواع البيانات المستخدمة داخل الشركة، قامت الشركة بإعداد جرد للبيانات الشخصية. التصنيف الموضح في الجدول أعلاه هو مجرد مثال، في حين أن الشركة قد أكملت تصنيف البيانات بشكل مفصل وحددت فترات الاحتفاظ بها مع الأسباب ذات الصلة.

7. مدة الاحتفاظ بالبيانات الشخصية
   تقوم الشركة بالاحتفاظ بالبيانات الشخصية طوال المدة التي ينص عليها القانون والأنظمة ذات الصلة، إذا كانت مذكورة في هذه اللوائح. إذا لم يتم تحديد مدة للاحتفاظ بالبيانات في اللوائح، يتم الاحتفاظ بالبيانات الشخصية لمدة تتماشى مع النشاط الذي تقوم به الشركة في معالجة هذه البيانات، استنادًا إلى ممارسات الشركة والأعراف القطاعية. بعد ذلك، يتم حذف البيانات أو تدميرها أو إخفاء هويتها وفقًا للسياسات ذات الصلة التي وضعتها الشركة، بناءً على طبيعة البيانات. إذا انتهت غاية معالجة البيانات الشخصية، وانتهت أيضًا مدة الاحتفاظ التي حددتها التشريعات واللوائح الداخلية للشركة، يمكن الاحتفاظ بالبيانات الشخصية فقط كدليل في حالة وجود نزاع قانوني محتمل، أو من أجل ممارسة الحق المتعلق بالبيانات الشخصية أو لتقديم الدفاع. يتم تحديد فترات الاحتفاظ بناءً على فترات التقادم المتعلقة بممارسة الحقوق والأمثلة من الطلبات التي تم توجيهها إلى الشركة في السابق بشأن نفس الموضوعات، حتى بعد انقضاء فترات التقادم. في هذه الحالة، لا يمكن الوصول إلى البيانات الشخصية لأي غرض آخر، ويتم الوصول إليها فقط عندما يكون من الضروري استخدامها في نزاع قانوني. بعد انتهاء هذه الفترة، يتم حذف البيانات أو تدميرها أو إخفاء هويتها.
8. الأنشطة المتعلقة بمعالجة البيانات الشخصية الخاصة بدخول مباني الشركة والأنشطة المتعلقة بمعالجة البيانات الشخصية داخل المباني
   من أجل ضمان الأمن، تقوم الشركة بمعالجة البيانات الشخصية المتعلقة بمراقبة الكاميرات في المباني والمرافق الخاصة بالشركة وكذلك متابعة دخول وخروج الزوار. تقوم الشركة بمعالجة البيانات الشخصية باستخدام كاميرات الأمان وتسجيل دخول وخروج الزوار. في إطار مراقبة الفيديو، تهدف الشركة إلى حماية مصالحها مثل ضمان أمان الشركة والأشخاص الآخرين. يتم تنفيذ هذا النشاط الرقابي وفقًا لقانون حماية البيانات الشخصية (KVKK) وقانون خدمات الأمن الخاصة وكذلك اللوائح ذات الصلة. لهذا الغرض، يتم إعلام جميع الموظفين والزوار بمعلومات حول المراقبة بالكاميرات، ويتم إبلاغ الأفراد. يتم تعليق إشعارات على مداخل المناطق التي تتم مراقبتها. تتخذ الشركة التدابير التقنية والإدارية اللازمة لضمان أمان البيانات الشخصية التي يتم الحصول عليها من خلال المراقبة بالكاميرات وفقًا للمادة 12 من قانون KVKK. التسجيلات الحية والسجلات الرقمية المخزنة يمكن الوصول إليها فقط من قبل عدد محدود من موظفي الشركة. يصرح الأشخاص الذين لديهم وصول إلى السجلات بأنهم سيحافظون على سرية البيانات التي يمكنهم الوصول إليها من خلال التوقيع على اتفاقية سرية.

8.1. متابعة دخول وخروج الزوار في مباني الشركة والمدخلات
من أجل ضمان الأمن ولأغراض أخرى مذكورة في هذه السياسة، تقوم الشركة بأنشطة معالجة البيانات الشخصية المتعلقة بمتابعة دخول وخروج الزوار في مباني ومرافق الشركة. يتم جمع بيانات الهوية للأشخاص الذين يدخلون مباني الشركة كزوار، ومن خلال النصوص المعروضة أو وسائل أخرى متاحة للزوار، يتم توعية أصحاب البيانات الشخصية بهذا الصدد. يتم معالجة البيانات التي تم جمعها لغرض متابعة دخول وخروج الزوار فقط لهذا الغرض، ويتم تسجيل البيانات الشخصية ذات الصلة في نظام التسجيل المادي.

9. شروط إتلاف البيانات الشخصية (الحذف، التدمير والتعقيم)
   وفقًا للمادة 138 من القانون الجنائي التركي، والمادة 7 من قانون حماية البيانات الشخصية (KVK)، ولائحة "حذف البيانات الشخصية، تدميرها وتعقيمها" الصادرة عن المجلس، عندما تزول الأسباب التي تتطلب معالجة البيانات، يتم حذف البيانات الشخصية أو تدميرها أو جعلها مجهولة بناءً على قرار الشركة أو بناءً على طلب صاحب البيانات، على الرغم من معالجتها وفقًا للأحكام القانونية ذات الصلة. قامت الشركة بإنشاء سياسة وفقًا للائحة، وبموجب هذه السياسة يتم إتلاف البيانات وفقًا لطبيعة البيانات. وبموجب هذه اللائحة، قامت الشركة بتحديد تواريخ الإتلاف الدوري، ومع بدء الالتزام تم إعداد تقويم للإتلاف الدوري للبيانات على فترات منتظمة.
10. التوافق مع سياسة حماية البيانات الشخصية ومعالجتها الخاصة بالشركة
    10.1. الأمور التي يجب على الشركة القيام بها للتوافق مع قانون حماية البيانات الشخصية (KVK) والتشريعات ذات الصلة
    من أجل التوافق مع قانون حماية البيانات الشخصية (KVK) والتشريعات ذات الصلة، يجب على الشركة تنفيذ الأنظمة والاستعدادات اللازمة وفقًا للمواعيد المحددة في قانون KVK. يجب على الشركة إنشاء الآليات اللازمة لضمان الامتثال لأحكام السياسة الموضحة. في هذا السياق، يجب على الشركة:
    • إنشاء وتنفيذ العمليات اللازمة للتسجيل في سجل مسؤولي معالجة البيانات وفقًا للمادة 16 من قانون KVK.
    • وفقًا للمادة 10 من قانون KVK، يجب إبلاغ أصحاب البيانات أثناء جمع البيانات الشخصية وتقديم المعلومات المطلوبة عند الطلب.
    • وفقًا للمادة 5 من قانون KVK، يجب معالجة البيانات الشخصية فقط بناءً على شرط أو أكثر من شروط المعالجة المنصوص عليها في القانون وبما يتماشى مع مبادئ معالجة البيانات الشخصية المنصوص عليها في المادة 4 من قانون KVK وفي السياسة.
    • عند معالجة البيانات الشخصية الحساسة، يجب الامتثال بدقة لأحكام المادة 6 من قانون KVK، ولا يجب طلب البيانات الحساسة من صاحب البيانات ما لم يكن ذلك ضروريًا لتنفيذ النشاط.
    • وفقًا للمادتين 8 و9 من قانون KVK، يجب معالجة البيانات الشخصية وفقًا للوائح والأنظمة التي وضعتها لجنة حماية البيانات.
    • وفقًا للمادة 12 من قانون KVK، يجب إنشاء أنظمة الأمان اللازمة لحماية البيانات الشخصية.
    • وفقًا للمادة 7 من قانون KVK، يجب إنشاء الأنظمة اللازمة لحذف وتدمير وتحقيق التعقيم للبيانات الشخصية.

10.2. الأمور التي يجب مراعاتها عند تصميم سياسات حماية البيانات الشخصية ومعالجتها في الشركة
عند إنشاء سياسات حماية البيانات الشخصية ومعالجتها، يجب على الشركة:
• التحرك وفقًا لأحكام قانون KVK والتشريعات ذات الصلة،
• التأكد من أن السياسات العامة قابلة للفهم من قبل أصحاب البيانات الشخصية،
• يجب أن تكون السياسات العامة والتعديلات التي يتم إجراؤها عليها متاحة لأصحاب البيانات الشخصية،
• يجب إنشاء السياسات الأساسية (الملحق-4)،
• يجب أن تكون آليات تقديم الطلبات لأصحاب البيانات الشخصية واضحة ومفهومة بشكل لا يترك مجالًا للارتباك.
وفقًا للمبادئ الموضحة في هذه السياسة، يجب على الشركة إنشاء سياسات لحماية البيانات الشخصية ومعالجتها لـ (1) الاستخدام الداخلي و (2) السياسات الأساسية العامة التي يمكن لأصحاب البيانات المعنية والأطراف ذات الصلة الوصول إليها. يجب أن تكون السياسات الأساسية التي سيتم إعدادها متوافقة ومرتبطة مع السياسات الأخرى المتعلقة بحماية البيانات الشخصية ومعالجتها. يجب أن تعكس المبادئ الخاصة بالسياسات التي ستُعد لأنظمة الشركة الداخلية في السياسات العامة، حيثما كان ذلك مناسبًا، من أجل ضمان اطلاع المعنيين وتوفير الشفافية والمساءلة بشأن الأنشطة المتعلقة بمعالجة البيانات الشخصية التي تنفذها الشركة.

10.3. المبادئ الأساسية لحماية ومعالجة البيانات الشخصية لموظفي الشركة
يجب على الشركة أن تتصرف وفقًا لقانون KVK والتشريعات ذات الصلة فيما يتعلق بالبيانات الشخصية لموظفيها. في هذا السياق، يجب على الشركة:
• الوفاء بالالتزام بإعلام الموظفين.
• عندما يتم جمع البيانات الشخصية للموظفين أو معالجتها (بما في ذلك الوصول، العرض، المشاركة الداخلية)، أو تخزينها، يجب أن تكون متوافقة مع جميع المبادئ المحددة في المادة 4 من قانون KVK والفقرات 2.1-2.5 من هذه السياسة؛ يجب التأكد من أن البيانات الشخصية للموظفين تتم معالجتها بناءً على أحد الأسباب أو أكثر من الأسباب المنصوص عليها في المادة 5 من قانون KVK والفقرات 2.6 من هذه السياسة.
• يجب تصميم وتنفيذ العمليات لتقييم والرد على طلبات المعلومات حول البيانات الشخصية للموظفين في الأطر الزمنية التي حددها قانون KVK.
• يجب على الشركة ضمان أمان البيانات الشخصية للموظفين.
• يجب أن يتم الامتثال للمادة 8 و9 من قانون KVK بشأن نقل البيانات الشخصية للموظفين.
• يجب تنفيذ العمليات اللازمة لحذف، تدمير أو جعل البيانات الشخصية للموظفين مجهولة وفقًا للمادة 7 من قانون KVK.

11. العلاقة بين سياسة حماية البيانات الشخصية ومعالجتها في الشركة والسياسات الأخرى
    تقوم الشركة من خلال هذه السياسة بإنشاء سياسات فرعية داخلية تتعلق بحماية البيانات الشخصية ومعالجتها بما يتماشى مع المبادئ الموضحة. يتم عكس مبادئ السياسات الداخلية للشركة في السياسات العامة ذات الصلة، بهدف إطلاع المعنيين وضمان الشفافية والمسؤولية فيما يتعلق بأنشطة معالجة البيانات الشخصية التي تقوم بها الشركة.
    المرفقات:
    التعاريف
    أغراض معالجة البيانات الشخصية
    نموذج الطلب
    فئات أصحاب البيانات الشخصية