INTRODUZIONE: Con questa Politica vengono presentati i principi che NEVPA OTOMOTIV SANAYİ e TİCARET AŞ. adotterà e terrà in considerazione nell'applicazione per la protezione e il trattamento dei dati personali. La Politica ha l'obiettivo di stabilire il quadro delle attività di conformità da realizzare specificamente per la società, al fine di conformarsi alla Legge n. 6698 sulla Protezione dei Dati Personali ("KVK"). Questo obiettivo implica che la società continuerà a condurre le sue attività in conformità con i principi di legalità, onestà e trasparenza che sono stati adottati sin dalla sua fondazione. In conformità a questo obiettivo, la società stabilirà la struttura necessaria, le procedure e i processi per la conformità alla legge KVK; inoltre, attuerà i meccanismi necessari per sensibilizzare i propri dipendenti e partner commerciali.
AMBITO: Questa Politica si applica a tutti i dati personali trattati in modo automatico o parzialmente automatico, o comunque nell'ambito di un sistema di registrazione dei dati, al di fuori dei dipendenti della Società. Le informazioni dettagliate relative ai titolari di tali dati personali sono disponibili nel documento ALLEGATO 2 ("ALLEGATO 2 - Titolari dei Dati Personali") di questa Politica.

1. SCOPO D'USO DELLA "POLITICA DI PROTEZIONE E TRATTAMENTO DEI DATI PERSONALI"

Questa politica ha lo scopo di garantire che le normative fondamentali per la conformità alla Legge sulla Protezione dei Dati Personali (Legge KVK) siano adottate all'interno dell'azienda. La politica è stata redatta con l'obiettivo di garantire la gestione ai massimi livelli delle attività di conformità che saranno svolte per garantire la conformità alla Legge KVK per quanto riguarda l'elaborazione e la protezione dei dati personali a livello aziendale. L'azienda creerà il sistema necessario per sensibilizzare i propri dipendenti e partner commerciali a riguardo. In questo contesto, la politica fornisce una guida su come l'azienda applicherà concretamente le regole stabilite dalla Legge KVK e dalla legislazione pertinente. L'azienda, in linea con questo obiettivo, adatterà la propria organizzazione per garantire la conformità con la politica e attuerà periodicamente meccanismi di audit interni per garantire la continuità della conformità.

2. PRINCIPI DI TRATTAMENTO DEI DATI PERSONALI
   Uno degli aspetti più importanti per l'azienda è il rispetto dei principi generali stabiliti dalla legge per il trattamento dei dati personali. In questo contesto, l'azienda deve agire in conformità con i principi sottoelencati nel trattamento dei dati personali, in conformità con la Costituzione e la Legge sulla Protezione dei Dati Personali (KVK).

2.1. Trattamento dei Dati Personali in Conformità alla Legge e al Principio di Integrità:
L'azienda deve, ai sensi dell'articolo 4 della Legge KVK, trattare i dati personali in conformità alla legge e ai principi di integrità; i dati devono essere corretti e, se necessario, aggiornati, trattati per scopi specifici, chiari e legittimi, in modo connesso, limitato e proporzionato. In questo contesto, l'azienda deve considerare la necessità di proporzionalità nel trattamento dei dati personali e non deve utilizzare i dati personali per scopi che esulano da quelli richiesti.

2.2. Garantire che i Dati Personali Siano Corretti e Aggiornati Quando Necessario:
L'azienda deve garantire che i dati personali trattati siano corretti e aggiornati, considerando i diritti fondamentali dei titolari dei dati e gli interessi legittimi dell'azienda, e deve creare sistemi necessari per garantirlo.

2.3. Trattamento dei Dati per Scopi Specifici, Chiari e Legittimi:
L'azienda deve trattare i dati personali solo per motivi legittimi e giuridicamente appropriati. L'azienda deve trattare i dati in relazione alle sue attività e solo nella misura necessaria. Gli scopi per cui i dati personali saranno trattati devono essere determinati prima che inizi il trattamento dei dati.

2.4. Trattamento in Modo Correlato, Limitato e Proporzionato allo Scopo:
L'azienda deve trattare i dati personali in modo tale che siano utili per raggiungere gli scopi identificati, evitando il trattamento di dati che non siano necessari o pertinenti per gli scopi.

2.5. Conservazione dei Dati Personali per il Periodo Necessario in Conformità alla Legge Applicabile o agli Scopi del Trattamento:
L'azienda deve conservare i dati personali solo per il periodo stabilito dalla legislazione pertinente o per il tempo necessario per il raggiungimento dello scopo del trattamento. Una volta scaduto il periodo o cessata la necessità di trattamento, i dati devono essere cancellati, distrutti o anonimizzati.

2.6. Trattamento dei Dati Personali in Conformità con le Condizioni Stabilite nell'Articolo 5 della Legge:
In linea generale, i dati personali devono essere trattati in conformità con una o più delle condizioni stabilite nell'articolo 5 della Legge KVK. L'azienda deve garantire che le attività di trattamento dei dati siano condotte in base a tali condizioni.

2.7. Trasferimento dei Dati Personali:

2.7.1. Trasferimento di Dati Personali in Italia:
L'azienda deve trasferire i dati personali a terzi in conformità con gli scopi del trattamento e adottando le necessarie misure di sicurezza.

2.7.2. Trasferimento di Dati Personali all'Estero:
Attualmente, l'azienda non trasferisce dati personali all'estero, ma se necessario, i dati saranno trasferiti all'estero solo se vengono adottate le misure di sicurezza necessarie in conformità con gli scopi del trattamento.

2.7.3. Trasferimento di Dati Personali Sensibili:
I dati sensibili possono essere trasferiti solo quando le condizioni stabilite dalla legge sono soddisfatte e sono adottate misure di sicurezza amministrative e tecniche, tra cui il consenso esplicito del titolare dei dati.

3. OBBLIGHI DELL'AZIENDA IN MATERIA DI PROTEZIONE E TRATTAMENTO DEI DATI PERSONALI

3.1. Obbligo di Registrazione al Registro dei Responsabili del Trattamento dei Dati:
Prima di iniziare a trattare i dati, l'azienda deve registrarsi al Registro dei Responsabili del Trattamento dei Dati entro il termine stabilito dal Comitato per la Protezione dei Dati Personali (KVK). La richiesta di registrazione al Registro dei Responsabili del Trattamento deve contenere le seguenti informazioni:

I- Identità e indirizzo dell'azienda come responsabile del trattamento e, se presente, del suo rappresentante.
II- Lo scopo per il quale i dati personali saranno trattati.
III- Le categorie di persone e le categorie di dati relativi a queste persone.
IV- I destinatari o le categorie di destinatari a cui i dati personali possono essere trasferiti.
V- I dati personali che potrebbero essere trasferiti a paesi stranieri.
VI- Le misure di sicurezza adottate per la protezione dei dati personali.
VII- Il periodo massimo di conservazione dei dati personali per lo scopo per cui sono trattati.

3.2. Obbligo di Informare il Titolare dei Dati Personali:
L'azienda, al momento dell'acquisizione dei dati personali, deve informare il titolare dei dati sulle seguenti questioni:

I- Identità dell'azienda come responsabile del trattamento e, se presente, del suo rappresentante.
II- Lo scopo per cui i dati personali saranno trattati.
III- A chi e per quale scopo i dati personali potrebbero essere trasferiti.
IV- Il metodo di raccolta dei dati personali e le motivazioni legali.
V- I diritti del titolare dei dati personali;
• Apprendere se i dati personali sono trattati,
• Scoprire se i dati sono utilizzati per scopi legittimi e appropriati,
• Conoscere le persone a cui sono stati trasferiti i dati,
• Richiedere la correzione in caso di trattamento incompleto o errato e, se le condizioni sono soddisfatte, richiedere la cancellazione dei dati personali, incluso il trasferimento di queste richieste a terzi,
• Opporsi a un risultato negativo derivante esclusivamente dall'analisi automatica dei dati trattati,
• Richiedere il risarcimento dei danni in caso di trattamento illecito che ha causato danni.

3.3. Obbligo di Rispondere alle Richieste dei Titolari dei Dati Personali:
I titolari dei dati personali possono esercitare i propri diritti ai sensi della Legge KVK presentando una richiesta scritta o utilizzando altri metodi che saranno determinati dal Comitato. In questo contesto, l'azienda deve adottare le misure amministrative e tecniche necessarie per adempiere agli obblighi previsti dall'articolo 13 della Legge KVK per garantire che i diritti dei titolari dei dati siano soddisfatti. I titolari dei dati personali, ai sensi della Legge KVK, hanno i seguenti diritti:

• Apprendere se i dati personali sono trattati,
• Richiedere informazioni se i dati personali sono trattati,
• Scoprire lo scopo del trattamento dei dati personali e se vengono utilizzati in modo conforme all'obiettivo,
• Conoscere i terzi a cui i dati personali sono trasferiti, sia all'interno che all'estero,
• Richiedere la correzione dei dati in caso di trattamento incompleto o errato e, se necessario, chiedere che l'operazione venga notificata ai destinatari dei dati personali,
• Se, pur essendo trattati in conformità con la Legge KVK e le normative pertinenti, non ci sono più ragioni per il trattamento, richiedere la cancellazione o la distruzione dei dati personali, e chiedere che l'operazione venga notificata ai destinatari dei dati personali,
• Opporsi a un risultato negativo derivante esclusivamente dall'analisi automatica dei dati trattati,
• Chiedere il risarcimento dei danni derivanti da un trattamento illecito dei dati personali.

Le richieste dei titolari dei dati saranno elaborate solo se inviate per iscritto all'azienda. In futuro, il Comitato potrebbe determinare altri metodi di richiesta. L'azienda deve rispondere alla richiesta nel più breve tempo possibile, e comunque non oltre 30 giorni. In base alla valutazione, l'azienda può accettare la richiesta e prendere le azioni necessarie, oppure rifiutare la richiesta con motivazione. È importante notare che i titolari dei dati, nel caso in cui la loro richiesta venga rifiutata, la risposta venga considerata insufficiente o non venga data risposta entro il termine, possono fare reclamo al Comitato entro 30 giorni. Pertanto, è essenziale fornire risposte tempestive e soddisfacenti per evitare reclami.

3.4. Obbligo di Garantire la Sicurezza dei Dati Personali:
L'azienda, in conformità con l'articolo 12 della Legge KVK, deve adottare le misure tecniche e amministrative necessarie per prevenire l'elaborazione illegale dei dati personali, impedire l'accesso illegale ai dati e garantire la conservazione dei dati, assicurando un adeguato livello di sicurezza. A tal fine, l'azienda deve attuare o far attuare i controlli necessari. L'azienda deve organizzare i sistemi per eseguire i controlli necessari riguardo all'attuazione delle misure tecniche e amministrative. I risultati di questi controlli devono essere esaminati dalle unità competenti all'interno dell'azienda e devono essere adottate le azioni necessarie. L'azienda è obbligata a informare tempestivamente il titolare dei dati personali e, se richiesto dalla normativa, il Comitato, nel caso in cui i dati personali siano ottenuti in modo illecito da terzi. A tal fine, deve essere creato un adeguato sistema organizzativo. L'azienda deve istituire i sistemi necessari per adottare le misure di sicurezza indicate di seguito, eseguire i controlli su tali sistemi e, qualora la sicurezza sia a rischio, adottare senza indugi le misure necessarie per eliminare il rischio.

3.4.1. Adozione di Misure Tecniche e Amministrative per Garantire il Trattamento Legale dei Dati:
L'azienda deve adottare le necessarie misure tecniche e amministrative, incluse le possibilità tecnologiche, per garantire che i dati personali siano trattati in conformità con la legge.

I- Misure Tecniche Necessarie per Garantire il Trattamento Legale dei Dati Personali:
Tutti i processi relativi alle attività di trattamento dei dati personali effettuate dai reparti dell'azienda devono essere analizzati, e deve essere creata una "mappa del trattamento dei dati personali". Tutte le attività eseguite dai reparti dell'azienda, dalla raccolta dei dati alla loro cancellazione, devono essere sottoposte a controllo di conformità con la legge. Le attività di trattamento dei dati personali nell'azienda devono essere monitorate tramite i sistemi tecnici installati. Le misure tecniche adottate devono essere periodicamente riportate all'interessato attraverso il meccanismo di audit interno.

II- Misure Amministrative Necessarie per Garantire il Trattamento Legale dei Dati Personali:
L'azienda deve informare e formare i propri dipendenti sulla protezione dei dati personali e sul trattamento legale dei dati. I contratti, i documenti e le politiche che regolano i rapporti legali tra l'azienda e i dipendenti devono includere clausole che vietano il trattamento, la divulgazione e l'uso improprio dei dati personali in violazione della Legge KVK. L'accesso ai dati personali deve essere limitato al dipendente dell'azienda che ne ha bisogno per svolgere le sue attività, e non tutti i dipendenti devono avere accesso a tutti i dati personali conservati nell'azienda. Tutte le attività svolte dall'azienda devono essere analizzate in dettaglio per ogni reparto, e sulla base di questa analisi, le attività di trattamento dei dati personali relative alle attività commerciali specifiche di ciascun reparto devono essere determinate. Le necessità legali per garantire la conformità del trattamento dei dati personali alle condizioni della Legge KVK devono essere identificate per ciascun reparto e per ogni attività specifica svolta. L'azienda deve creare consapevolezza e definire le regole operative per soddisfare questi requisiti legali di conformità per ciascun reparto. L'azienda deve adottare le misure amministrative necessarie per monitorare questa situazione e garantire la continuità dell'applicazione, implementando politiche, procedure e formazioni adeguate.

3.4.2. Adozione di Misure Tecniche e Amministrative per Prevenire l'Accesso Illegale ai Dati Personali:
L'azienda deve adottare le necessarie misure tecniche e amministrative, in base alla natura dei dati da proteggere e alle possibilità tecnologiche, per prevenire che i dati personali vengano divulgati, visualizzati, trasferiti o ottenuti in modo illegale da terzi, sia per negligenza che senza autorizzazione.

I- Misure Tecniche Necessarie per Prevenire l'Accesso Illegale ai Dati Personali:
• Devono essere adottate misure tecniche appropriate in linea con i progressi tecnologici, e queste misure devono essere aggiornate e rinnovate periodicamente.
• Devono essere implementate soluzioni tecniche di accesso e autorizzazione in conformità con i requisiti legali per ogni reparto.
• Le misure tecniche adottate devono essere regolarmente riportate all'interessato attraverso il meccanismo di audit interno, e le problematiche di rischio devono essere rivalutate e affrontate con soluzioni tecnologiche appropriate.
• Devono essere installati software e sistemi che includano protezione contro virus e firewall.
• Il personale qualificato in ambito tecnico deve essere assunto.

II- Misure Amministrative Necessarie per Prevenire l'Accesso Illegale ai Dati Personali:
I dipendenti dell'azienda devono essere formati sulle misure tecniche da adottare per prevenire l'accesso illegale ai dati personali.
• Devono essere progettati e implementati processi di accesso e autorizzazione ai dati personali all'interno dell'azienda, in conformità con i requisiti legali per ogni reparto.
• Devono essere ottenuti impegni dai dipendenti dell'azienda, dichiarando che non divulgano a terzi i dati personali appresi in violazione della Legge KVK, non li utilizzeranno al di fuori degli scopi previsti, e che tale impegno continuerà anche dopo la cessazione del rapporto di lavoro.
• I contratti stipulati con i destinatari dei dati personali devono includere clausole che stabiliscano che i destinatari adotteranno le misure di sicurezza necessarie per la protezione dei dati personali e garantiranno che tali misure vengano rispettate nelle loro organizzazioni.

3.4.3. Monitoraggio delle Misure Prese per la Protezione dei Dati Personali:
L'azienda deve creare sistemi per monitorare l'implementazione delle misure tecniche e amministrative adottate. I risultati di questi controlli devono essere riportati al reparto pertinente all'interno dell'azienda e devono essere adottate attività per migliorare le misure prese. L'azienda deve progettare i processi necessari per aumentare la consapevolezza e il monitoraggio della protezione dei dati personali da parte dei dipartimenti, partner commerciali e fornitori.

3.4.4. Misure da Adottare in Caso di Rivelazione Non Autorizzata dei Dati Personali:
Nel caso in cui i dati personali trattati siano ottenuti da terzi in modo illecito, l'azienda è obbligata a informare tempestivamente il titolare dei dati personali e il Comitato KVK. A tal fine, deve essere creato un adeguato sistema interno.

4. PROTEZIONE DEI DATI PERSONALI SENSIBILI:
   La Legge KVK attribuisce particolare importanza ad alcune categorie di dati personali, in quanto il trattamento illecito di questi dati può causare danni o discriminazioni alle persone. Questi dati includono: razza, origine etnica, opinioni politiche, convinzioni filosofiche, religione, credo o altre convinzioni, abbigliamento, adesione a un'associazione, fondazione o sindacato, salute, vita sessuale, condanne penali e misure di sicurezza, nonché dati biometrici e genetici. L'azienda adotta misure rigorose per proteggere i dati personali sensibili che sono trattati in conformità con la Legge KVK. Le misure tecniche e amministrative adottate per la protezione dei dati personali vengono applicate con particolare attenzione ai dati sensibili, e all'interno dell'azienda vengono effettuati i controlli necessari. A tale scopo, i dati sulla salute dei dipendenti vengono trattati in relazione ai servizi medici aziendali e al personale che ha accesso a questi dati sensibili viene fornita una formazione adeguata, i diritti di accesso sono definiti e vengono effettuati controlli periodici, oltre alla firma di contratti di riservatezza. Nel caso di cessazione del rapporto di lavoro del personale, l'accesso viene immediatamente revocato. I file fisici contenenti i dati sanitari personali dei dipendenti sono conservati in armadi chiusi a chiave, accessibili solo al personale del pronto soccorso. Nessun altro reparto può accedere ai dati sanitari dei dipendenti oltre al personale del pronto soccorso.
5. INFORMAZIONE E INFORMAZIONE DEL TITOLARE DEI DATI PERSONALI:
   L'azienda, in conformità con l'articolo 10 della Legge KVK, informa i titolari dei dati personali al momento della raccolta dei dati personali. A questo scopo, l'azienda fornisce informazioni sul titolare dei dati, se presente, sul rappresentante del titolare, sugli scopi per cui i dati personali saranno trattati, a chi e per quali scopi i dati personali saranno trasferiti, sul metodo e sulla base legale per la raccolta dei dati personali e sui diritti del titolare dei dati, in base alla sua natura e al processo di trattamento dei dati. A tale scopo, l'azienda ha posizionato i testi informativi in ​​aree facilmente accessibili ai dipendenti, visitatori, clienti, terzi, candidati, e dipendenti delle istituzioni con cui collaboriamo. Sul sito web dell'azienda, insieme a questa politica, è stata pubblicata anche la nota di informazione per i clienti, la nota di informazione per i dipendenti e il modulo di richiesta.
6. INVENTARIO DEI DATI PERSONALI E CLASSIFICAZIONE DEI DATI PERSONALI:
   L'azienda, in conformità con le finalità legittime e legali del trattamento dei dati personali, elencate nell'articolo 5 della Legge KVK, e in conformità con i principi generali previsti dalla Legge KVK e con tutti gli obblighi regolamentati dalla Legge KVK, tratta i dati personali in modo limitato e conforme alle finalità indicate. L'azienda, in linea con la Legge sulla registrazione dei responsabili del trattamento dei dati, ha creato un inventario dei dati personali. In questo inventario sono inclusi i dati personali, le categorie di dati, la fonte dei dati, le finalità del trattamento dei dati, il processo di trattamento, i gruppi di destinatari a cui i dati sono trasferiti, i periodi di conservazione, le misure amministrative e tecniche. In questo inventario dei dati personali, sono incluse le categorie di dati di seguito elencate, che non sono limitate a queste sole categorie.

CATEGORIZZAZIONE DEI DATI PERSONALI

CATEGORIA DEI DATI PERSONALI DESCRIZIONE
Dati di Contatto: Gruppo di dati che possono essere utilizzati per raggiungere la persona (telefono, indirizzo, e-mail, numero di fax, indirizzo IP).
Dati di Identificazione: Gruppo di dati contenente informazioni sull'identità della persona (nome e cognome, codice fiscale, nome della madre, nome del padre, luogo e data di nascita, sesso, numero di serie della carta d'identità, fotocopia della carta d'identità, numero di partita IVA, numero di previdenza sociale, nazionalità, fotocopia/ scansione del certificato di matrimonio, tesserino lavorativo).
Dati Sanitari: Gruppo di dati contenente informazioni sulla salute della persona (gruppo sanguigno, radiografia polmonare, …).
Dati di Sicurezza delle Transazioni: Dati personali trattati per garantire la sicurezza tecnica, amministrativa, legale e commerciale delle nostre attività. Ad esempio; registrazioni dei log, informazioni IP, dati di autenticazione, ecc.
Dati sui Membri della Famiglia e Persone Fisiche: Dati trattati nell'ambito delle attività aziendali per tutelare gli interessi legali e altri interessi del titolare dei dati personali, inclusi i membri della famiglia (ad esempio, coniuge, madre, padre, figli), parenti e altre persone da contattare in caso di emergenza.
Dati di Sicurezza Fisica: Dati personali relativi a registrazioni e documenti raccolti durante l'ingresso e la permanenza nell'area fisica; registrazioni delle telecamere, registrazioni dei veicoli e dati raccolti ai punti di sicurezza, ecc.
Dati Visivi/Audio: Gruppo di dati contenente dati visivi e audio relativi alla persona (foto, registrazioni audio, registrazioni video, fotocopia/scansione della patente di guida, fotocopia/scansione della carta d'identità, fotocopia/scansione del passaporto).
Dati Finanziari: Gruppo di dati contenente informazioni finanziarie relative alla persona. Dati personali relativi a tutte le informazioni, documenti e registrazioni che mostrano qualsiasi risultato finanziario creato in base al tipo di relazione giuridica tra l'azienda e il titolare dei dati (numero di conto bancario, numero IBAN, informazioni sulla carta, nome della banca, profilo finanziario, modulo di ordine via posta).
Dati Sensibili Biometrici / Genetici: Dati sensibili che riguardano razza, etnia, opinioni politiche, credenze filosofiche, religione, convinzioni o altri credi, abbigliamento, adesione a organizzazioni, salute, vita sessuale, condanne penali e misure di sicurezza, così come i dati biometrici e genetici. Gruppo di dati contenente dati biometrici/genetici relativi alla persona (impronte digitali).
Dati di Procedure Legali e di Conformità: Dati personali trattati per la determinazione e il monitoraggio dei diritti legali e il recupero dei debiti, così come per il rispetto degli obblighi legali e delle politiche aziendali.
Dati Educativi: Gruppo di dati contenente informazioni educative sulla persona (voto del diploma, fotocopia/scansione del diploma).
Dati di Firma: Gruppo di dati contenente informazioni sulla firma della persona (firma autografa, firma elettronica, fotocopia/scansione della firma).
Dati di Registro Penale: Gruppo di dati relativi alle sanzioni subite dalla persona (procedimenti penali, registro penale, registro disciplinare).