L'azienda, nell'ambito delle attività di trattamento dei dati e in base ai tipi di dati utilizzati all'interno dell'azienda, ha creato un Inventario dei Dati Personali. La categorizzazione mostrata nella tabella sopra è solo un esempio, mentre l'azienda ha completato dettagliatamente la classificazione dei dati e ha determinato i tempi di conservazione con le relative motivazioni.

7. DURATA DI CONSERVAZIONE DEI DATI PERSONALI
   L'azienda conserva i dati personali per il periodo previsto dalle leggi e dai regolamenti applicabili, se specificato in tali normative. Se non è prevista una durata di conservazione nelle normative, i dati personali vengono conservati per il periodo necessario in relazione all'attività che l'azienda svolge nel trattamento di tali dati, in base alle pratiche aziendali e alle consuetudini del settore. Successivamente, i dati vengono eliminati, distrutti o anonimizzati secondo le politiche aziendali pertinenti, in base alla natura dei dati stessi. Se lo scopo del trattamento dei dati personali è cessato e il periodo di conservazione previsto dalle normative e dalle politiche aziendali è terminato, i dati personali possono essere conservati solo per fungere da prova in caso di possibili controversie legali, o per far valere diritti legati ai dati personali o per difendersi in caso di causa. I periodi di conservazione sono determinati in base ai periodi di prescrizione per far valere i diritti e agli esempi di richieste precedentemente inviate all'azienda sui medesimi argomenti, anche dopo la scadenza dei periodi di prescrizione. In questo caso, i dati personali non sono accessibili per altri scopi, e l'accesso avviene solo quando necessario per l'uso in una controversia legale. Dopo la scadenza di questo periodo, i dati personali vengono eliminati, distrutti o anonimizzati.
8. ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI RELATIVE ALL'ACCESSO ALLE STRUTTURE DELL'AZIENDA E ALLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI ALL'INTERNO DEGLI EDIFICI
   Per garantire la sicurezza, l'azienda svolge attività di trattamento dei dati personali relative alla videosorveglianza negli edifici e impianti aziendali e al monitoraggio delle entrate e uscite degli ospiti. L'azienda tratta i dati personali utilizzando telecamere di sicurezza e registrando le entrate e uscite degli ospiti. Nell'ambito della videosorveglianza, l'azienda ha come obiettivo la protezione dei propri interessi, come garantire la sicurezza dell'azienda e delle altre persone. Questa attività di sorveglianza è svolta in conformità con la Legge sulla protezione dei dati personali (KVKK) e la Legge sui servizi di sicurezza privata e la normativa applicabile. A tal fine, tutte le informazioni relative alla videosorveglianza vengono comunicate a tutti i dipendenti e visitatori, e le persone vengono informate. I cartelli informativi sono affissi agli ingressi delle aree sorvegliate. L'azienda adotta le misure tecniche e amministrative necessarie per garantire la sicurezza dei dati personali ottenuti attraverso la videosorveglianza, in conformità con l'articolo 12 della Legge KVKK. Le registrazioni in tempo reale e i registri digitali memorizzati sono accessibili solo a un numero limitato di dipendenti dell'azienda. Le persone con accesso ai registri dichiarano di proteggere la riservatezza dei dati ai quali hanno accesso, firmando un accordo di riservatezza.

8.1. Monitoraggio degli ingressi e uscite degli ospiti negli edifici aziendali e nelle strutture
Al fine di garantire la sicurezza e per gli altri scopi indicati in questa Politica, l'azienda esegue attività di trattamento dei dati personali relative al monitoraggio degli ingressi e delle uscite degli ospiti negli edifici e nelle strutture aziendali. I dati identificativi delle persone che entrano negli edifici aziendali come ospiti vengono acquisiti, e tramite testi esposti o altri mezzi accessibili agli ospiti, i titolari dei dati personali vengono informati in merito a tali dati. I dati acquisiti per il monitoraggio degli ingressi e delle uscite degli ospiti vengono trattati esclusivamente per tale scopo e i relativi dati personali vengono registrati nei sistemi di registrazione fisica.

9. CONDITIONS DE SUPPRESSION DES DONNÉES PERSONNELLES (SUPPRESSION, DESTRUCTION ET ANONYMISATION)
   Conformément à l'article 138 du Code pénal turc, à l'article 7 de la loi sur la protection des données personnelles (KVK) et au "Règlement sur la suppression, la destruction et l'anonymisation des données personnelles" émis par le Comité, lorsque les raisons du traitement des données disparaissent, les données personnelles, bien qu'elles aient été traitées conformément aux dispositions légales applicables, sont supprimées, détruites ou anonymisées sur décision de l'entreprise ou sur demande du titulaire des données personnelles. L'entreprise a élaboré une politique conformément aux réglementations et, selon cette politique, la destruction des données est effectuée en fonction de la nature des données. Conformément à ce règlement, l'entreprise a établi des dates de destruction périodique et, avec le début de l'obligation, un calendrier a été créé pour effectuer la destruction périodique des données à intervalles réguliers.
10. CONFORMITÀ ALLA POLITICA DI PROTEZIONE E TRATTAMENTO DEI DATI PERSONALI DELL'AZIENDA
    10.1. Azioni necessarie per conformarsi alla Legge sulla Protezione dei Dati Personali (KVK) e alla normativa applicabile
    Per conformarsi alla Legge sulla Protezione dei Dati Personali (KVK) e alla normativa applicabile, l'azienda deve attuare i sistemi e le preparazioni necessarie in conformità con i termini di entrata in vigore stabiliti dalla Legge KVK. L'azienda deve creare i meccanismi necessari per garantire la conformità alle disposizioni previste nella Politica. In questo contesto, l'azienda deve:
    • Creare e attuare i processi necessari per iscriversi al registro dei responsabili del trattamento dei dati, in conformità con l'articolo 16 della Legge KVK.
    • In conformità con l'articolo 10 della Legge KVK, informare i titolari dei dati al momento della raccolta dei dati personali e fornire loro le informazioni richieste, se necessario.
    • In conformità con l'articolo 5 della Legge KVK, i dati personali devono essere trattati solo in base a uno o più dei motivi previsti dalla legge e in conformità con i principi di trattamento dei dati personali stabiliti nell'articolo 4 della Legge KVK e nella Politica.
    • Quando si trattano dati personali sensibili, bisogna rispettare rigorosamente le disposizioni dell'articolo 6 della Legge KVK, e i dati sensibili non devono essere richiesti al titolare dei dati a meno che non sia strettamente necessario per l'attività.
    • In conformità con gli articoli 8 e 9 della Legge KVK, i dati personali devono essere trattati in conformità con le normative e le disposizioni stabilite dal Comitato per la protezione dei dati.
    • In conformità con l'articolo 12 della Legge KVK, devono essere creati i sistemi di sicurezza necessari per proteggere i dati personali.
    • In conformità con l'articolo 7 della Legge KVK, devono essere creati i sistemi necessari per la cancellazione, distruzione e anonimizzazione dei dati personali.

10.2. Aspetti da considerare nella progettazione delle politiche aziendali per la protezione e il trattamento dei dati personali
Quando l'azienda crea le politiche per la protezione e il trattamento dei dati personali, deve:
• Agire in conformità con le disposizioni previste dalla Legge KVK e dalla normativa applicabile,
• Assicurarsi che le politiche pubbliche siano comprensibili per i titolari dei dati personali,
• Le politiche pubbliche e le modifiche a queste politiche devono essere rese disponibili ai titolari dei dati personali,
• Devono essere create politiche di base (ALLEGATO-4),
• I meccanismi di richiesta che saranno messi a disposizione dei titolari dei dati personali devono essere chiari e facilmente comprensibili, senza lasciare spazio a confusioni.
In conformità con i principi delineati in questa Politica, l'azienda deve creare politiche sulla protezione e il trattamento dei dati personali per (i) uso interno e (ii) politiche di base pubbliche a cui i titolari dei dati e le parti interessate possono accedere. Le politiche di base preparate devono essere compatibili e correlate con altre politiche aziendali relative alla protezione e al trattamento dei dati personali. Le linee guida per le politiche che saranno preparate per i sistemi interni dell'azienda devono essere riflesse nelle politiche pubbliche, ove pertinente, al fine di garantire che le persone coinvolte siano informate e che venga promossa la trasparenza e la responsabilità nelle attività di trattamento dei dati personali svolte dall'azienda.

10.3. Principi fondamentali per la protezione e il trattamento dei dati personali dei dipendenti dell'azienda
L'azienda deve agire in conformità con la Legge KVK e la normativa applicabile anche per quanto riguarda i dati personali dei propri dipendenti. A tal fine, l'azienda deve:
• Adempiere all'obbligo di informare i dipendenti.
• Quando i dati personali dei dipendenti vengono raccolti, trattati (inclusi accesso, visualizzazione, condivisione interna), o archiviati, devono essere conformi a tutti i principi stabiliti nell'articolo 4 della Legge KVK e nelle sezioni 2.1-2.5 di questa Politica; è necessario garantire che i dati personali dei dipendenti siano trattati in base a uno o più dei motivi previsti nell'articolo 5 della Legge KVK e nella sezione 2.6 di questa Politica.
• Devono essere progettati e attuati processi per valutare e rispondere alle richieste di informazioni sui dati personali dei dipendenti nei tempi previsti dalla Legge KVK.
• L'azienda deve garantire la sicurezza dei dati personali dei dipendenti.
• In relazione al trasferimento dei dati personali dei dipendenti, deve essere rispettato l'articolo 8 e 9 della Legge KVK.
• Devono essere implementati i processi necessari per la cancellazione, distruzione o anonimizzazione dei dati personali dei dipendenti in conformità con l'articolo 7 della Legge KVK.

11. RELAZIONE TRA LA POLITICA DI PROTEZIONE E TRATTAMENTO DEI DATI PERSONALI DELL'AZIENDA E LE ALTRE POLITICHE
    L'azienda, con questa Politica, crea politiche interne aggiuntive relative alla protezione e al trattamento dei dati personali in linea con i principi esposti. I principi delle politiche interne dell'azienda sono riflessi, ove pertinente, nelle politiche pubbliche, con l'obiettivo di informare le parti interessate e garantire la trasparenza e la responsabilità riguardo le attività di trattamento dei dati personali condotte dall'azienda.
    ALLEGATI:
    DEFINIZIONI
    SCOPI DI TRATTAMENTO DEI DATI PERSONALI
    MODULO DI RICHIESTA
    CATEGORIE DI TITOLARI DEI DATI PERSONALI

• INTRODUCTION: Cette Politique définit les principes que NEVPA OTOMOTİV SANAYİ et TİCARET AŞ. adoptera et prendra en compte dans l'application de la protection et du traitement des données personnelles. La Politique vise à établir le cadre des activités de conformité à mettre en œuvre spécifiquement pour la société, afin de se conformer à la Loi n° 6698 sur la Protection des Données Personnelles ("KVK"). L'objectif est que la société continue de mener ses activités en conformité avec les principes de légalité, d'honnêteté et de transparence adoptés depuis sa création. Dans ce but, la société mettra en place la structure nécessaire, les procédures et les processus pour la conformité à la loi KVK; de plus, elle mettra en place les mécanismes nécessaires pour sensibiliser ses employés et partenaires commerciaux.
  PORTÉE : Cette Politique s'applique à toutes les données personnelles traitées de manière entièrement ou partiellement automatique, ou par tout autre moyen non automatique faisant partie d'un système d'enregistrement de données, à l'exception des employés de l'entreprise. Des informations détaillées concernant les titulaires de ces données personnelles sont disponibles dans le document ANNEXE 2 ("ANNEXE 2 - Titulaires des Données Personnelles") de cette Politique.
•  

1. OBJECTIF D'UTILISATION DE LA "POLITIQUE DE PROTECTION ET DE TRAITEMENT DES DONNÉES PERSONNELLES"

Cette politique a pour objectif de garantir que les réglementations importantes pour la conformité à la Loi sur la Protection des Données Personnelles (Loi KVK) soient adoptées au sein de l'entreprise. La politique a été préparée dans le but de garantir une gestion de haut niveau des activités de conformité qui seront menées afin d'assurer la conformité à la Loi KVK concernant le traitement et la protection des données personnelles au niveau de l'entreprise. L'entreprise mettra en place le système nécessaire pour sensibiliser ses employés et partenaires commerciaux à la conformité. Dans ce contexte, la politique fournit des directives sur la façon dont l'entreprise appliquera concrètement les règles établies par la Loi KVK et la législation pertinente. L'entreprise, conformément à cet objectif, mettra en place l'organisation nécessaire pour garantir la conformité à la politique et mettra en œuvre des mécanismes de contrôle interne périodiques pour assurer la continuité de la conformité.

2. PRINCIPES DE TRAITEMENT DES DONNÉES PERSONNELLES
   L'un des aspects les plus importants pour l'entreprise est de respecter les principes généraux prévus par la législation en matière de traitement des données personnelles. Dans ce cadre, l'entreprise doit agir conformément aux principes énumérés ci-dessous pour le traitement des données personnelles, en conformité avec la Constitution et la Loi sur la Protection des Données Personnelles (KVK).

2.1. Traitement des Données Personnelles en Conformité avec la Loi et le Principe d'Intégrité:
L'entreprise doit, conformément à l'article 4 de la Loi KVK, traiter les données personnelles conformément à la loi et aux principes d'intégrité ; les données doivent être exactes et, si nécessaire, mises à jour, traitées pour des fins spécifiques, claires et légitimes, de manière cohérente, limitée et proportionnée. Dans ce contexte, l'entreprise doit respecter la nécessité de proportionnalité dans le traitement des données personnelles et ne doit pas utiliser les données personnelles à des fins autres que celles nécessaires.

2.2. Garantir que les Données Personnelles soient Exactes et Mises à Jour Lorsque Nécessaire:
L'entreprise doit garantir que les données personnelles traitées soient exactes et mises à jour, en tenant compte des droits fondamentaux des titulaires de données et des intérêts légitimes de l'entreprise, et doit établir des systèmes nécessaires pour assurer cela.

2.3. Traitement des Données pour des Fins Spécifiques, Claires et Légitimes:
L'entreprise doit traiter les données personnelles uniquement pour des raisons légitimes et juridiquement appropriées. L'entreprise doit traiter les données en relation avec ses activités et seulement dans la mesure nécessaire. Les fins pour lesquelles les données personnelles seront traitées doivent être déterminées avant le début du traitement des données.

2.4. Traitement en Relation avec l'Objectif, Limité et Proportionné:
L'entreprise doit traiter les données personnelles de manière à atteindre les objectifs identifiés, en évitant le traitement de données qui ne sont pas nécessaires ou pertinentes pour ces objectifs.

2.5. Conservation des Données Personnelles pour la Durée Nécessaire Conformément à la Législation ou aux Objectifs du Traitement:
L'entreprise doit conserver les données personnelles uniquement pour la durée prévue par la législation applicable ou pour la durée nécessaire au traitement des données. Lorsque la période est terminée ou que le besoin de traitement a disparu, les données doivent être supprimées, détruites ou anonymisées.

2.6. Traitement des Données Personnelles en Conformité avec les Conditions Établies à l'Article 5 de la Loi:
En règle générale, les données personnelles doivent être traitées conformément à l'une ou plusieurs des conditions définies à l'article 5 de la Loi KVK. L'entreprise doit s'assurer que les activités de traitement des données sont menées conformément à ces conditions.

2.7. Transfert des Données Personnelles:

2.7.1. Transfert des Données Personnelles en Turquie:
L'entreprise doit transférer les données personnelles à des tiers conformément aux objectifs du traitement et en prenant les mesures de sécurité nécessaires.

2.7.2. Transfert des Données Personnelles à l'Étranger:
Actuellement, l'entreprise ne transfère pas de données personnelles à l'étranger, mais si nécessaire, les données seront transférées à l'étranger uniquement si des mesures de sécurité adéquates sont prises conformément aux objectifs du traitement.

2.7.3. Transfert des Données Personnelles Sensibles:
Les données sensibles peuvent être transférées lorsque les conditions établies par la loi sont remplies et des mesures de sécurité appropriées, administratives et techniques, sont prises, y compris le consentement explicite du titulaire des données.

3. OBLIGATIONS DE L'ENTREPRISE EN MATIÈRE DE PROTECTION ET DE TRAITEMENT DES DONNÉES PERSONNELLES

3.1. Obligation d'Inscription au Registre des Responsables du Traitement des Données:
Avant de commencer à traiter les données, l'entreprise doit s'inscrire au Registre des Responsables du Traitement des Données dans le délai spécifié par le Conseil de la Protection des Données Personnelles (KVK). La demande d'inscription au Registre des Responsables du Traitement des Données doit inclure les informations suivantes :

I- Les informations d'identification et l'adresse de l'entreprise en tant que responsable du traitement et, le cas échéant, de son représentant.
II- L'objectif pour lequel les données personnelles seront traitées.
III- Une description des groupes de personnes et des catégories de données les concernant.
IV- Les destinataires ou catégories de destinataires auxquels les données personnelles peuvent être transférées.
V- Les données personnelles qui pourraient être transférées vers des pays étrangers.
VI- Les mesures de sécurité prises pour protéger les données personnelles.
VII- La durée maximale de conservation des données personnelles pour l'objectif pour lequel elles sont traitées.

3.2. Obligation d'Informer le Titulaire des Données Personnelles :
Lors de la collecte des données personnelles, l'entreprise doit informer le titulaire des données sur les points suivants :

I- Identité de l'entreprise en tant que responsable du traitement des données et, le cas échéant, de son représentant.
II- L'objectif pour lequel les données personnelles seront traitées.
III- Les personnes ou groupes de personnes auxquelles les données personnelles peuvent être transférées et les raisons de ce transfert.
IV- La méthode de collecte des données personnelles et les raisons juridiques pour leur collecte.
V- Les droits du titulaire des données personnelles :
• Apprendre si les données personnelles sont traitées,
• Savoir si les données sont utilisées conformément à leur objectif et à leur utilisation appropriée,
• Connaître les personnes à qui les données ont été transférées,
• Demander la correction des données en cas de traitement incomplet ou incorrect et, si les conditions sont réunies, demander la suppression des données personnelles, y compris la transmission de ces demandes à des tiers,
• Contester un résultat négatif découlant exclusivement de l'analyse automatisée des données traitées,
• Demander des réparations en cas de dommage résultant d'un traitement illicite des données.

3.3. Obligation de Répondre aux Demandes des Titulaires des Données Personnelles :
Les titulaires des données personnelles peuvent exercer leurs droits en vertu de la loi KVK en soumettant une demande écrite ou en utilisant d'autres méthodes que le Comité définira. Dans ce cadre, l'entreprise doit prendre les mesures administratives et techniques nécessaires pour répondre aux obligations prévues à l'article 13 de la loi KVK, afin de garantir que les droits des titulaires des données soient respectés. En vertu de la loi KVK, les titulaires des données personnelles ont les droits suivants :

• Apprendre si leurs données personnelles sont traitées,
• Demander des informations si leurs données personnelles sont traitées,
• Découvrir l'objectif du traitement des données personnelles et si elles sont utilisées conformément à cet objectif,
• Connaître les tiers vers lesquels les données personnelles sont transférées, à l'intérieur ou à l'extérieur du pays,
• Demander la correction des données en cas de traitement incomplet ou incorrect et, si nécessaire, demander que cette opération soit notifiée aux destinataires des données personnelles,
• Si, bien que traitées conformément à la loi KVK et aux autres lois pertinentes, il n'y a plus de raisons pour leur traitement, demander leur suppression ou destruction, et demander que cette opération soit notifiée aux destinataires des données personnelles,
• Contester un résultat négatif généré exclusivement par l'analyse automatisée des données traitées,
• Demander réparation pour les dommages causés par le traitement illégal des données personnelles.

Les demandes des titulaires de données ne seront traitées que si elles sont soumises par écrit à l'entreprise. À l'avenir, le Comité pourrait définir d'autres méthodes de demande. L'entreprise doit répondre à la demande dans les plus brefs délais et au plus tard dans un délai de 30 jours. Selon l'évaluation, l'entreprise peut accepter la demande et prendre les actions nécessaires, ou refuser la demande avec une justification. Il est important de noter que les titulaires des données, en cas de rejet de leur demande, de réponse insuffisante ou de non-réponse dans le délai imparti, peuvent déposer une plainte auprès du Comité dans un délai de 30 jours. Par conséquent, il est essentiel de fournir des réponses rapides et satisfaisantes pour éviter les plaintes.

3.4. Obligation de Garantir la Sécurité des Données Personnelles :
L'entreprise, conformément à l'article 12 de la Loi KVK, doit prendre les mesures techniques et administratives nécessaires pour prévenir le traitement illégal des données personnelles, empêcher l'accès illégal aux données et garantir la conservation des données, en assurant un niveau de sécurité adéquat. À cet égard, l'entreprise doit effectuer ou faire effectuer les contrôles nécessaires. L'entreprise doit organiser des systèmes pour effectuer des contrôles concernant l'implémentation des mesures techniques et administratives. Les résultats de ces contrôles doivent être examinés par les départements compétents au sein de l'entreprise, et des actions nécessaires doivent être prises. L'entreprise est obligée d'informer rapidement le titulaire des données personnelles et, si requis par la législation, le Comité, si les données personnelles sont obtenues illégalement par des tiers. À cette fin, une structure organisationnelle appropriée doit être mise en place. L'entreprise doit établir les systèmes nécessaires pour prendre les mesures de sécurité énumérées ci-dessous, effectuer les contrôles de ces systèmes et, en cas de risques pour la sécurité, prendre immédiatement les mesures nécessaires pour éliminer le risque.

3.4.1. Prendre des Mesures Techniques et Administratives pour Garantir le Traitement Légal des Données Personnelles :
L'entreprise doit adopter les mesures techniques et administratives nécessaires, y compris les possibilités technologiques, pour garantir que les données personnelles sont traitées conformément à la loi.

I- Mesures Techniques Nécessaires pour Garantir le Traitement Légal des Données Personnelles :
Tous les processus relatifs aux activités de traitement des données personnelles effectuées par les départements de l'entreprise doivent être analysés, et une "carte de traitement des données personnelles" doit être créée. Toutes les activités réalisées par les départements de l'entreprise, de la collecte des données à leur suppression, doivent faire l'objet d'un contrôle de conformité avec la loi. Les activités de traitement des données personnelles au sein de l'entreprise doivent être surveillées par les systèmes techniques installés. Les mesures techniques prises doivent être régulièrement rapportées à la personne concernée via le mécanisme de contrôle interne.

II- Mesures Administratives Nécessaires pour Garantir le Traitement Légal des Données Personnelles :
L'entreprise doit informer et former ses employés sur la protection des données personnelles et le traitement légal des données. Les contrats, documents et politiques qui régissent la relation juridique entre l'entreprise et ses employés doivent inclure des clauses interdisant le traitement, la divulgation et l'utilisation inappropriée des données personnelles en violation de la loi KVK. L'accès aux données personnelles doit être limité à l'employé de l'entreprise qui en a besoin pour accomplir ses tâches, et tous les employés ne doivent pas avoir accès à toutes les données personnelles détenues par l'entreprise. Toutes les activités menées par l'entreprise doivent être analysées en détail pour chaque département, et sur la base de cette analyse, les activités de traitement des données personnelles liées aux activités commerciales spécifiques de chaque département doivent être déterminées. Les exigences légales pour garantir la conformité du traitement des données personnelles aux conditions de la loi KVK doivent être identifiées pour chaque département et chaque activité spécifique. L'entreprise doit sensibiliser et définir les règles opérationnelles pour satisfaire ces exigences légales de conformité pour chaque département. L'entreprise doit adopter les mesures administratives nécessaires pour surveiller cette situation et garantir la continuité de l'application, en mettant en œuvre des politiques, des procédures et des formations appropriées.

3.4.2. Prendre des Mesures Techniques et Administratives pour Prévenir l'Accès Illégal aux Données Personnelles :
L'entreprise doit adopter les mesures techniques et administratives nécessaires, en fonction de la nature des données à protéger et des possibilités technologiques, pour empêcher que les données personnelles soient divulguées, consultées, transférées ou obtenues illégalement par des tiers, que ce soit par négligence ou sans autorisation.

I- Mesures Techniques Nécessaires pour Prévenir l'Accès Illégal aux Données Personnelles :
• Des mesures techniques appropriées doivent être prises en fonction des progrès technologiques, et ces mesures doivent être mises à jour et renouvelées régulièrement.
• Des solutions techniques d'accès et d'autorisation conformes aux exigences légales de chaque département doivent être mises en place.
• Les mesures techniques adoptées doivent être régulièrement rapportées à la personne concernée par le biais du mécanisme de contrôle interne, et les problèmes de risques doivent être réévalués et traités par des solutions technologiques appropriées.
• Des logiciels et des systèmes doivent être installés, comprenant des protections contre les virus et des pare-feu.
• Du personnel qualifié dans le domaine technique doit être recruté.

II- Mesures Administratives Nécessaires pour Prévenir l'Accès Illégal aux Données Personnelles :
Les employés de l'entreprise doivent être formés sur les mesures techniques à prendre pour empêcher l'accès illégal aux données personnelles.
• Des processus d'accès et d'autorisation aux données personnelles doivent être conçus et mis en œuvre dans l'entreprise, en conformité avec les exigences légales pour chaque département.
• Des engagements doivent être obtenus auprès des employés de l'entreprise, les obligeant à ne pas divulguer à des tiers les données personnelles apprises en violation de la loi KVK, à ne pas les utiliser en dehors des objectifs de traitement, et à garantir que cet engagement reste en vigueur après la cessation de leur emploi.
• Les contrats conclus avec les destinataires des données personnelles doivent inclure des clauses stipulant que les destinataires prendront les mesures de sécurité nécessaires pour protéger les données personnelles et veilleront à ce que ces mesures soient respectées dans leurs propres organisations.

3.4.3. Contrôle des Mesures Prises pour la Protection des Données Personnelles :
L'entreprise doit mettre en place des systèmes pour surveiller l'implémentation des mesures techniques et administratives prises. Les résultats de ces contrôles doivent être rapportés au département concerné au sein de l'entreprise, et des actions doivent être prises pour améliorer les mesures adoptées. L'entreprise doit concevoir les processus nécessaires pour accroître la sensibilisation et le contrôle de la protection des données personnelles par ses départements, partenaires commerciaux et fournisseurs.

3.4.4. Mesures à Prendre en Cas de Révélation Non Autorisée des Données Personnelles :
Si les données personnelles traitées sont obtenues de manière illégale par des tiers, l'entreprise est tenue d'informer immédiatement le titulaire des données personnelles et le Comité KVK. À cet effet, un système interne approprié doit être mis en place.

4. PROTECTION DES DONNÉES PERSONNELLES SENSIBLES :
   La loi KVK accorde une attention particulière à certaines catégories de données personnelles, car leur traitement illégal peut entraîner des préjudices ou des discriminations envers les individus. Ces données incluent : l'origine raciale, l'origine ethnique, les opinions politiques, les croyances philosophiques, la religion, la secte ou d'autres croyances, l'habillement, l'adhésion à une association, une fondation ou un syndicat, la santé, la vie sexuelle, les condamnations pénales et les mesures de sécurité, ainsi que les données biométriques et génétiques. L'entreprise prend des mesures rigoureuses pour protéger les données personnelles sensibles traitées conformément à la loi KVK. Les mesures techniques et administratives prises pour la protection des données personnelles sont appliquées avec une attention particulière pour les données sensibles et des contrôles nécessaires sont effectués au sein de l'entreprise. À cet égard, les données de santé des employés sont traitées dans le cadre des services médicaux fournis par l'entreprise, et le personnel ayant accès à ces données sensibles reçoit une formation appropriée, les droits d'accès sont définis, des contrôles périodiques sont effectués et des accords de confidentialité sont signés. En cas de départ de l'employé, l'accès est immédiatement révoqué. Les fichiers physiques contenant les données de santé personnelles des employés sont conservés dans des armoires verrouillées et accessibles uniquement au personnel médical de l'entreprise. Aucun autre département n'a accès aux données de santé des employés, à l'exception du personnel médical.
5. INFORMATION ET INFORMER LE TITULAIRE DES DONNÉES PERSONNELLES :
   L'entreprise, conformément à l'article 10 de la loi KVK, informe les titulaires des données personnelles lors de la collecte de ces données. À cet égard, l'entreprise fournit des informations sur l'identité du responsable du traitement des données, si applicable, son représentant, les fins pour lesquelles les données personnelles seront traitées, les destinataires et les finalités du transfert des données personnelles, la méthode de collecte des données personnelles et sa base légale, ainsi que les droits du titulaire des données, en fonction de sa nature et du processus de traitement des données. À cette fin, l'entreprise a placé des textes d'information dans des zones facilement accessibles aux employés, visiteurs, clients, tiers, candidats et aux employés des institutions avec lesquelles nous collaborons. Sur le site web de l'entreprise, avec cette politique, sont également publiés le texte d'information pour les clients, le texte d'information pour les employés et le formulaire de demande.
6. INVENTAIRE DES DONNÉES PERSONNELLES ET CLASSIFICATION DES DONNÉES PERSONNELLES :
   L'entreprise, conformément aux finalités légitimes et légales du traitement des données personnelles énoncées à l'article 5 de la loi KVK, et conformément aux principes généraux énoncés par la loi KVK et à toutes les obligations régies par la loi KVK, traite les données personnelles de manière limitée et conformément aux finalités indiquées. L'entreprise, en accord avec le Règlement sur le registre des responsables du traitement des données, a créé un inventaire des données personnelles. Cet inventaire contient les données personnelles, les catégories de données, la source des données, les finalités du traitement des données, le processus de traitement, les groupes de destinataires des données, les durées de conservation, ainsi que les mesures administratives et techniques. Dans cet inventaire des données personnelles, les catégories de données suivantes sont incluses, mais ne sont pas limitées à ces seules catégories.

L'entreprise, dans le cadre de ses activités de traitement des données et en fonction des types de données utilisées au sein de l'entreprise, a créé un Inventaire des Données Personnelles. La catégorisation présentée dans le tableau ci-dessus n'est qu'un exemple, tandis que l'entreprise a complété en détail la classification des données et a déterminé les durées de conservation avec les raisons correspondantes.

7. DURÉE DE CONSERVATION DES DONNÉES PERSONNELLES
   L'entreprise conserve les données personnelles pendant la période prévue par les lois et règlements applicables, le cas échéant. Si la législation ne prévoit pas de durée de conservation, les données personnelles sont conservées pendant la durée nécessaire, en fonction de l'activité de l'entreprise liée à leur traitement, des pratiques internes de l'entreprise et des usages du secteur. Ensuite, les données sont supprimées, détruites ou anonymisées conformément aux politiques de l'entreprise, en fonction de la nature des données. Si l'objectif du traitement des données personnelles a pris fin et que la durée de conservation, telle que définie par la législation applicable et la politique de l'entreprise, est écoulée, les données personnelles peuvent être conservées uniquement à des fins de preuve en cas de litige juridique possible, ou pour faire valoir un droit lié aux données personnelles ou pour établir une défense. Les durées de conservation sont déterminées en fonction des délais de prescription applicables pour faire valoir des droits, ainsi qu'en fonction des exemples de demandes précédentes faites à l'entreprise concernant les mêmes sujets, même après l'expiration des délais de prescription. Dans ce cas, les données personnelles ne sont pas accessibles à d'autres fins et l'accès est possible uniquement lorsqu'elles sont nécessaires pour une procédure judiciaire. Après l'expiration de cette période, les données personnelles sont supprimées, détruites ou anonymisées.
8. ACTIVITÉS DE TRAITEMENT DES DONNÉES PERSONNELLES RELATIVES À L'ACCÈS AUX BÂTIMENTS DE L'ENTREPRISE ET AUX ACTIVITÉS DE TRAITEMENT DES DONNÉES PERSONNELLES À L'INTÉRIEUR DES BÂTIMENTS
   Dans le but d'assurer la sécurité, l'entreprise mène des activités de traitement des données personnelles en relation avec la vidéosurveillance dans les bâtiments et installations de l'entreprise ainsi que le suivi des entrées et sorties des invités. L'entreprise effectue des activités de traitement des données personnelles en utilisant des caméras de sécurité et en enregistrant les entrées et sorties des invités. Dans le cadre de la vidéosurveillance, l'objectif de l'entreprise est de protéger ses intérêts, comme assurer la sécurité de l'entreprise et des autres personnes. Cette activité de surveillance est menée conformément à la loi sur la protection des données personnelles (KVKK) et à la loi sur les services de sécurité privée ainsi qu'à la réglementation applicable. À cette fin, toutes les informations concernant la vidéosurveillance sont communiquées à tous les employés et visiteurs, et les personnes sont informées. Des panneaux d'information sont affichés aux entrées des zones surveillées. L'entreprise prend les mesures techniques et administratives nécessaires pour garantir la sécurité des données personnelles obtenues par la vidéosurveillance, conformément à l'article 12 de la loi KVKK. Les enregistrements en temps réel et les enregistrements numériques conservés sont accessibles uniquement à un nombre limité d'employés de l'entreprise. Les personnes ayant accès aux enregistrements déclarent qu'elles préserveront la confidentialité des données auxquelles elles ont accès en signant un accord de confidentialité.

8.1. Suivi des entrées et sorties des invités dans les bâtiments et installations de l'entreprise
Afin d'assurer la sécurité et pour d'autres objectifs mentionnés dans cette politique, l'entreprise procède à des activités de traitement des données personnelles relatives au suivi des entrées et sorties des invités dans les bâtiments et installations de l'entreprise. Les données d'identification des personnes entrant dans les bâtiments de l'entreprise en tant qu'invités sont collectées, et les titulaires de données personnelles sont informés à cet égard par des textes affichés ou d'autres moyens accessibles aux invités. Les données collectées pour le suivi des entrées et sorties des invités sont traitées uniquement à cette fin et les données personnelles concernées sont enregistrées dans un système de registre physique.

9. CONDITIONS DE SUPPRESSION DES DONNÉES PERSONNELLES (SUPPRESSION, DESTRUCTION ET ANONYMISATION)
   Conformément à l'article 138 du Code pénal turc, à l'article 7 de la loi sur la protection des données personnelles (KVK) et au "Règlement sur la suppression, la destruction et l'anonymisation des données personnelles" émis par le Comité, lorsque les raisons du traitement des données disparaissent, les données personnelles, bien qu'elles aient été traitées conformément aux dispositions légales applicables, sont supprimées, détruites ou anonymisées sur décision de l'entreprise ou sur demande du titulaire des données personnelles. L'entreprise a élaboré une politique conformément aux réglementations et, selon cette politique, la destruction des données est effectuée en fonction de la nature des données. Conformément à ce règlement, l'entreprise a établi des dates de destruction périodique et, avec le début de l'obligation, un calendrier a été créé pour effectuer la destruction périodique des données à intervalles réguliers.
10. CONFORMITÉ À LA POLITIQUE DE PROTECTION ET DE TRAITEMENT DES DONNÉES PERSONNELLES DE L'ENTREPRISE
    10.1. Actions nécessaires pour se conformer à la Loi sur la Protection des Données Personnelles (KVK) et à la législation applicable
    Pour se conformer à la Loi sur la Protection des Données Personnelles (KVK) et à la législation applicable, l'entreprise doit mettre en place les systèmes et préparatifs nécessaires conformément aux délais d'entrée en vigueur établis par la Loi KVK. L'entreprise doit créer les mécanismes nécessaires pour assurer la conformité avec les dispositions de la Politique. À cet égard, l'entreprise doit :
    • Créer et mettre en œuvre les processus nécessaires pour s'inscrire au registre des responsables du traitement des données, conformément à l'article 16 de la Loi KVK.
    • Conformément à l'article 10 de la Loi KVK, informer les titulaires des données lors de la collecte des données personnelles et fournir les informations requises en cas de demande.
    • Conformément à l'article 5 de la Loi KVK, les données personnelles doivent être traitées uniquement sur la base d'un ou plusieurs des motifs prévus par la loi et conformément aux principes de traitement des données personnelles énoncés à l'article 4 de la Loi KVK et dans la Politique.
    • Lors du traitement des données personnelles sensibles, il convient de respecter strictement les dispositions de l'article 6 de la Loi KVK, et les données sensibles ne doivent pas être demandées au titulaire des données, sauf si cela est strictement nécessaire pour l'activité.
    • Conformément aux articles 8 et 9 de la Loi KVK, les données personnelles doivent être traitées conformément aux réglementations et dispositions établies par le Comité de protection des données.
    • Conformément à l'article 12 de la Loi KVK, des systèmes de sécurité nécessaires doivent être créés pour protéger les données personnelles.
    • Conformément à l'article 7 de la Loi KVK, des systèmes nécessaires doivent être créés pour la suppression, la destruction et l'anonymisation des données personnelles.

10.2. Aspects à considérer lors de la conception des politiques de protection et de traitement des données personnelles de l'entreprise
Lors de l'élaboration des politiques de protection et de traitement des données personnelles, l'entreprise doit :
• Agir conformément aux dispositions prévues par la loi KVK et la législation applicable,
• Veiller à ce que les politiques publiques soient compréhensibles pour les titulaires des données personnelles,
• Les politiques publiques et les modifications de ces politiques doivent être mises à la disposition des titulaires des données personnelles,
• Des politiques de base (ANNEXE-4) doivent être créées,
• Les mécanismes de demande qui seront mis à la disposition des titulaires des données personnelles doivent être clairs et sans ambiguïté, afin d'éviter toute confusion.
Conformément aux principes énoncés dans cette politique, l'entreprise doit élaborer des politiques de protection et de traitement des données personnelles pour (i) un usage interne et (ii) des politiques de base accessibles au public pour les titulaires des données et les parties prenantes. Les politiques de base préparées doivent être compatibles et cohérentes avec d'autres politiques internes de l'entreprise concernant la protection et le traitement des données personnelles. Les principes des politiques qui seront élaborées pour les systèmes internes de l'entreprise doivent être reflétés dans les politiques publiques, dans la mesure du possible, afin de garantir que les parties concernées soient informées et que la transparence et la responsabilité des activités de traitement des données personnelles de l'entreprise soient assurées.

10.3. Principes de base pour la protection et le traitement des données personnelles des employés de l'entreprise
L'entreprise doit agir conformément à la loi KVK et à la législation applicable en ce qui concerne les données personnelles de ses employés. À cet égard, l'entreprise doit :
• Remplir l'obligation d'information envers les employés.
• Lorsque les données personnelles des employés sont collectées, traitées (y compris l'accès, la visualisation, le partage interne) ou stockées, elles doivent être conformes à tous les principes énoncés à l'article 4 de la loi KVK et aux sections 2.1 à 2.5 de cette politique. Il faut s'assurer que les données personnelles des employés sont traitées sur la base de l'un ou de plusieurs des motifs énoncés à l'article 5 de la loi KVK et dans la section 2.6 de cette politique.
• Des processus doivent être conçus et mis en œuvre pour évaluer et répondre aux demandes d'informations sur les données personnelles des employés dans les délais prévus par la loi KVK.
• L'entreprise doit assurer la sécurité des données personnelles des employés.
• En ce qui concerne le transfert des données personnelles des employés, il convient de respecter les articles 8 et 9 de la loi KVK.
• Des processus nécessaires pour la suppression, la destruction ou l'anonymisation des données personnelles des employés doivent être mis en œuvre conformément à l'article 7 de la loi KVK.

11. RELATION ENTRE LA POLITIQUE DE PROTECTION ET DE TRAITEMENT DES DONNÉES PERSONNELLES DE L'ENTREPRISE ET LES AUTRES POLITIQUES
    L'entreprise, par cette Politique, élabore des sous-politiques internes liées à la protection et au traitement des données personnelles conformément aux principes énoncés. Les principes des politiques internes de l'entreprise sont reflétés, dans la mesure où cela est pertinent, dans les politiques publiques, dans le but d'informer les parties prenantes et d'assurer la transparence et la responsabilité concernant les activités de traitement des données personnelles menées par l'entreprise.
    ANNEXES :
    DÉFINITIONS
    OBJECTIFS DU TRAITEMENT DES DONNÉES PERSONNELLES
    FORMULAIRE DE DEMANDE
    CATÉGORIES DE TITULAIRES DE DONNÉES PERSONNELLES