Janvier et juillet sont désignés comme périodes de destruction pour la destruction des données au sein de notre entreprise. Les données personnelles obtenues auprès des personnes concernées seront supprimées, détruites ou anonymisées par le personnel responsable de la protection des données au sein de l'entreprise dans le délai de destruction suivant l'expiration de la période de conservation. Le procès-verbal du processus de destruction sera conservé dans un lieu indépendant par le personnel responsable de la protection des données au sein de l'entreprise pendant 3 (trois) ans. Ces procès-verbaux seront détruits au bout de trois ans. Concernant le processus de destruction, le règlement sur la suppression, la destruction ou l'anonymisation des données personnelles n° 30224 du 28 octobre 2017 et les dispositions de la loi sur la protection des données personnelles n° 6698 seront pris comme base.
Les dispositions législatives qui sous-tendent les durées de conservation sont les suivantes :
• Loi sur la protection des données personnelles n° 6698,
• Code turc des obligations n° 6098,
• Loi sur la santé et la sécurité au travail n° 6331, •
Loi sur le travail n° 4857
• Loi sur la sécurité sociale et l'assurance maladie générale n° 5510
• Réglementation des publications réalisées. sur Internet n° 5651 Loi
n° 4982 l'information, •
Loi n° 3071 sur l'exercice du droit de pétition,
• Code de commerce turc n° 6102
• Loi sur la protection des consommateurs n° 6502
• Loi n° 6563 sur la réglementation du commerce électronique •
Loi n° 213 sur les procédures fiscales
• Loi n° 193 sur l'impôt sur le revenu
• Règlement sur les contrats à distance publié au Journal officiel n° 27866
• Règlement sur les communications commerciales et les messages électroniques commerciaux publié au Journal officiel n° 29417 du 15.07.2015 •
Règlement sur les services après-vente publié au Journal officiel n° 29029 et du 13.06.2014
• Règlement sur les mesures concernant la prévention du blanchiment des produits du crime et du financement du terrorisme n° 26751.
Les raisons nécessitant la destruction sont les suivantes :
• Modification ou suppression des dispositions législatives pertinentes sur lesquelles se fondent les données en question
• Suppression de la finalité qui constitue la base du traitement et du stockage des données,
• Le traitement des données personnelles ne peut être effectué qu'avec le consentement explicite. la demande d'une personne
auprès de l'entreprise pour la suppression, la destruction ou l'anonymisation des données dans le cadre de l'article 11 n° 6698 est acceptée,
• Si la demande d'anonymisation, de destruction ou de destruction faite à la Société n'est pas jugée appropriée, et si la demande de la personne concernée est acceptée dans la plainte déposée auprès du Conseil,
• La période de conservation est expirée et il n'existe aucune condition spécifique à l'événement concret qui justifierait un stockage pour une période plus longue
.. Stockage sécurisé des données personnelles, Afin d'empêcher le traitement et l'accès illégaux des données personnelles et de détruire les données personnelles conformément à la loi, des mesures techniques et administratives sont prises par le Société dans le cadre des mesures adéquates déterminées et annoncées par le Conseil pour les données personnelles spéciales conformément à l'article 12 de la loi et au quatrième alinéa de l'article 6 de la loi.
Les mesures techniques prises par l'entreprise concernant les données personnelles qu'elle traite sont énumérées ci-dessous :
• La sécurité des informations et des données est assurée en effectuant des tests d'intrusion sous forme d'applications de routine et aléatoires.
• Le reporting sur les risques et les menaces est effectué grâce à des analyses de sécurité de l'information en temps réel fournies par l'entreprise ou ses partenaires de solutions.
• La sécurité des données et des informations est assurée en définissant la matrice d'autorisation et en n'autorisant pas de demandes exceptionnelles.
• La sécurité de l'espace physique de l'informatique et des systèmes, serveurs et autres dispositifs et applications liés à la sécurité au sein de l'entreprise est assurée. Des mesures de sécurité ont été prises contre d'éventuelles attaques physiques de tiers.
• Matériel (système de contrôle d'accès qui permet uniquement au personnel autorisé d'entrer dans la salle système, système de surveillance des employés 24h/24 et 7j/7, assurant la sécurité physique des interrupteurs de périphérie qui forment le réseau local, système d'extinction d'incendie, système de climatisation, etc.) et des logiciels pour protéger les systèmes d'information contre les menaces environnementales immédiates. Les précautions nécessaires (pare-feux, systèmes de prévention des attaques, contrôle d'accès aux réseaux, systèmes de blocage des malwares, etc.) ont été prises.
• Des analyses de risques sont réalisées par l'entreprise et des mesures techniques correctives sont prises.
• Des restrictions d'accès sont imposées aux employés au sein de l'entreprise et les analyses de risques et rapports nécessaires sont effectués.
• L'accès aux zones de stockage, en particulier aux serveurs où sont conservés les enregistrements des journaux, est enregistré et tout accès non autorisé est contrôlé.
• Les précautions logicielles et physiques nécessaires sont prises pour empêcher que les données en question soient rétablies après suppression.
• Les procédures d'autorisation pour informer le conseil d'administration en cas d'éventuelles violations ont été efficacement définies.
• Les applications et les méthodes garantissant la sécurité des informations sont maintenues à jour et les correctifs de sécurité appropriés sont installés si nécessaire.
• La politique de mot de passe a été déterminée. Des mots de passe forts, modifiés à intervalles réguliers, sont utilisés.
• La journalisation est terminée. Une sauvegarde du journal est également effectuée.
• Les autorisations concernant les données détenues sur des supports numériques et non numériques sont limitées.
• Le site Web desservi par la société est crypté avec l'algorithme SHA 256 Bit RSA en utilisant la méthode HTTPS.
• Des politiques distinctes ont été déterminées concernant la protection des données personnelles sensibles.
• Les efforts nécessaires ont été faits pour informer les employés et autres tiers responsables du stockage et du traitement des données personnelles privées, des engagements ont été pris et des accords de confidentialité ont été signés.
• Des formations d'information de routine sont dispensées pour accroître la sensibilisation des employés.
En plus de tout cela, conformément à la décision du Conseil de protection des données personnelles du 31/01/2018 et numérotée 2018/10 relative aux "Précautions adéquates à prendre par les responsables du traitement lors du traitement des données personnelles spéciales", au moins le les mesures suivantes sont prises concernant les données personnelles spéciales :
1- Détermination d'une politique et d'une procédure distinctes, systématiques, clairement définies, gérables et durables pour la sécurité des données personnelles,
2- Pour les employés impliqués dans le traitement de données personnelles spéciales,
a) Procédures régulières concernant la loi et les réglementations connexes et les questions particulières de sécurité des données personnelles.
b) Conclure des accords de confidentialité,
) Définir clairement les utilisateurs qui ont accès aux données, la portée et la durée de leur autorisation,
d) Effectuer périodiquement des contrôles d'autorisation,
d) Supprimer immédiatement les autorisations des salariés qui changent de fonctions ou quittent leur emploi. Dans ce contexte, recevant le retour de l'inventaire qui lui est attribué par le responsable du traitement,
3- Environnements dans lesquels des données personnelles particulières sont traitées, stockées et/ou consultées, supports électroniques :
a) Conservation des données à l'aide de méthodes cryptographiques,
b) Conservation des clés cryptographiques dans des environnements sécurisés et différents,
c) Enregistrer en toute sécurité les enregistrements de transactions de tous les mouvements effectués sur les données,
ç) Surveiller en permanence les mises à jour de sécurité des environnements où se trouvent les données, effectuer régulièrement les tests de sécurité nécessaires, enregistrer les résultats des tests ,
d) Si les données sont accessibles via un logiciel, des autorisations d'utilisation pour ce logiciel sont accordées, des tests de sécurité réguliers de ces logiciels sont effectués, les résultats des tests sont enregistrés,
e) Si un accès à distance aux données est requis, au moins deux un système d'authentification par étapes est fourni,
4- Qualifications particulières Les environnements dans lesquels les données personnelles sont traitées, stockées et/ou accessibles sont des environnements physiques :
a) S'assurer que des mesures de sécurité adéquates sont prises (contre des situations telles que fuite d'électricité, incendie, inondation, vol , etc.) selon la nature de l'environnement dans lequel se trouvent les données personnelles sensibles,
b) Ceci empêche les entrées et sorties non autorisées en assurant la sécurité physique des environnements,
5- Si des données personnelles particulières doivent être transférées,
a) Si le les données doivent être transférées par e-mail, elles doivent être transférées cryptées en utilisant l'adresse e-mail de l'entreprise ou le compte de courrier électronique enregistré (KEP),
b) Mémoire portable, CD, S'il est nécessaire de les transférer via un support tel qu'un DVD, elle doit être cryptée avec des méthodes cryptographiques et la clé cryptographique est conservée dans un environnement différent,
c) Si le transfert est effectué entre des serveurs dans des environnements physiques différents, le transfert de données s'effectue en établissant un VPN entre les serveurs ou par méthode sFTP,
d) Si les données doivent être transférées sur support papier, le document est volé, perdu ou les précautions nécessaires doivent être prises contre les risques tels que le fait d'être vu par des personnes non autorisées et les documents doivent être envoyés sous le format de « documents confidentiels ».
6- Outre les mesures mentionnées ci-dessus, des mesures techniques et administratives visant à garantir le niveau de sécurité approprié spécifié dans le Guide de sécurité des données personnelles publié sur le site Internet de l'Autorité de protection des données personnelles sont également prises en compte.
Les mesures administratives prises par l'entreprise concernant les données personnelles qu'elle traite sont listées ci-dessous :
• Des formations de sensibilisation sont dispensées à intervalles réguliers afin de sensibiliser les salariés, notamment le personnel responsable des données personnelles privées, au traitement, au transfert, à la destruction et stockage des données.
• Des engagements sont pris des collaborateurs sur leurs domaines d'activité et des accords de confidentialité sont signés.
• Des sanctions disciplinaires sont prévues pour les violations de la sécurité de l'information dans le cadre du règlement KVKK et du règlement disciplinaire.
• Des textes d'information sont transmis aux personnes concernées avant le début du traitement des données.
• Des formulaires de consentement explicite sont recueillis auprès des personnes concernées afin de remplir les conditions. Une fois les formulaires en question fournis et les consentements obtenus, les activités de traitement des données commencent.
• Un état des lieux des traitements de données personnelles a été réalisé.
• Des audits périodiques et aléatoires sont réalisés au sein de l'entreprise.
À l'expiration des délais légaux, les données personnelles sont détruites à la demande de la personne concernée ou d'office par l'entreprise de la manière suivante.
SUPPORT D'ENREGISTREMENT DE DONNÉES | EXPLICATION |
Serveur et données sur les serveurs | Les données concernées sont détruites par l'administrateur système en supprimant les privilèges d'accès pendant la première période de destruction suivant l'expiration de la période de conservation. |
Données personnelles dans les médias électroniques | Après la fin de la période de conservation, les données concernées sont détruites par l'administrateur de la base de données en supprimant l'accès aux autres collaborateurs pendant la première période de destruction. |
Données personnelles dans l’environnement physique | Les données personnelles conservées dans l'environnement physique sont détruites par gravure/peinture, dessin/découpe/effacement/gaufrage et grattage au cours de la première période de destruction suivant l'expiration de leur période de stockage. Ces processus sont appliqués à une intensité qui ne permet pas aux données d'être reconnues ou comprises par des tiers. |
Données personnelles contenues dans des supports portables | Pendant la période de destruction qui suit la fin de la période de stockage, les données personnelles conservées sur ces supports de stockage sont supprimées par l'administrateur du système de manière à ce que les autres employés et les tiers ne puissent pas y accéder, et détruites si cela est jugé nécessaire. Si le processus de destruction doit être effectué physiquement, il se fait en séparant les données stockées dans l'environnement flash de telle sorte que leur intégrité ne soit plus garantie. |
Données personnelles contenues dans les supports optiques/magnétiques | Les données personnelles contenues dans les supports optiques et magnétiques sont détruites pendant la première période de destruction après l'expiration de leur période de conservation, par destruction physique telle que gravure ou pulvérisation, de manière à ne pas permettre l'accès à des tiers. En plus de la destruction physique, les données sont rendues impossibles à lire grâce au traitement magnétique effectué avec des dispositifs spéciaux. |
Les données personnelles collectées auprès des personnes concernées sont conservées et détruites dans des délais différents en fonction de leurs caractéristiques. Ces données, dont la durée de conservation est expirée, sont détruites dans le délai de destruction le plus proche et les enregistrements relatifs à cette destruction sont conservés pendant 3 ans. Le tableau d’application général concernant la durée et la base de conservation des données personnelles est le suivant.
DONNÉES PERSONNELLES | PÉRIODE DE STOCKAGE |
Enregistrements vocaux du centre d'appels | Il sera conservé pendant 3 ans conformément à la loi n° 6563 et à la législation connexe. |
Journaliser les enregistrements des employés | Conformément à la loi n°5651, elles seront conservées 2 ans et 10 ans si elles font l'objet d'un litige. |
Informations reçues des clients comme base des factures | Il sera stocké pendant 10 ans conformément au code de commerce turc n° 6102. |
Informations sur les transactions client | Il sera conservé pendant 10 ans conformément au Code des obligations turc n° 6098. 3 ans dans les cas relevant du champ d'application de la loi n° 6563. |
Données collectées à partir des applications de cookies | Les cookies de transaction seront conservés pendant 12 mois et les cookies de mesure de visite qui stockent l'identifiant de l'utilisateur seront conservés pendant 13 mois. Les cookies de session, parmi les Cookies de Transaction, conservent les données pendant la session. Les délais concernés sont déterminés en fonction de la nature de la demande, du RGPD européen et des usages établis. |
Enregistrements de transactions concernant les services après-vente (Ex : date d'installation du produit, informations et documents remis au client après rénovation, coordonnées du client) | Conformément au Règlement sur les Services Après-Vente publié au Journal Officiel du 13/6/2014 et numéroté 29029, certains des produits de la liste ci-jointe seront stockés pendant 10 ans. Le règlement en question a été révisé sur certains aspects le 12 février 2020. |
Données personnelles concernant les clients | Si une relation d'achat et de vente a été conclue, elle est conservée pendant 10 ans conformément au Code de commerce turc n° 6102, au Code des obligations n° 6098, à la loi n° 6502 et à la loi n° 213. |
Données personnelles traitées à des fins de sécurité conformément aux caméras de vidéosurveillance (enregistrements de caméras) | Les données obtenues grâce à ces caméras sont conservées pendant 90 jours. |
Données obtenues dans le cadre des contrats conclus dans le cadre de l'activité de l'entreprise | Les données obtenues conformément au Code de commerce turc n° 6102 seront conservées pendant 10 ans après la fin de la relation contractuelle. |
Dossiers d'approbation des messages électroniques commerciaux envoyés aux adresses de communication électronique des destinataires à des fins de marketing, de promotion et d'information | Elles sont conservées pendant 1 an conformément au paragraphe 13/2 du règlement sur les communications commerciales et les messages électroniques commerciaux publié au Journal officiel n° 29417 du 15.07.2015. |
Données personnelles concernant les dossiers fiscaux | Il est conservé 5 ans conformément à la loi de procédure fiscale n°213. |
Données personnelles traitées avec des documents qui doivent être conservés conformément à la loi sur les procédures fiscales, tels que la facture/la note de frais/le reçu | Il est conservé pendant 5 ans conformément à la loi de procédure fiscale n°213. |
Données personnelles des visiteurs | Les registres des visiteurs et les registres liés à l'utilisation du Wi-Fi (conformément à la loi n° 5651) sont conservés pendant 2 ans. Les enregistrements visuels sont conservés pendant 6 mois. |
Données traitées dans le cadre des services réseau proposés par la société (adresses IP, données concernant le type et la capacité des données transférées, données concernant les informations utilisateur définies pour l'IP ouverte et intervalles de temps concernant l'achat de services) | Elle est conservée 2 ans conformément à la loi n°5651. Les enregistrements visuels sont conservés pendant 6 mois. |
Informations sur le dossier personnel | Elles sont conservées pendant 10 ans après la fin de la relation contractuelle conformément à la loi sur le travail n° 4857 et à la législation connexe et au Code des obligations turc n° 6098. |
Données relevant du champ de la santé et de la sécurité au travail (résultats des tests de santé de routine, dossiers de formation en SST et autres dossiers reçus sur la santé et la sécurité au travail) | Elles sont conservées pendant 15 ans à compter de la fin de la relation contractuelle conformément à l'article 86 de la loi n° 6331 sur la santé et la sécurité au travail et au règlement sur les services de santé et de sécurité au travail. |
Données sur les partenaires de l'entreprise et les membres du conseil d'administration | Il est conservé 10 ans conformément au Code de commerce turc n° 6102. |
Données liées à la candidature à un emploi/demande de stage/candidature et candidatures (Ex : CV, CV, lettre de motivation, formulaire de candidature, etc.) | Si l'acceptation des personnes concernées n'est pas effectuée par la société, les documents sont conservés selon les usages pendant 6 mois à compter de la date de réception. |
Données sur les fournisseurs et les transporteurs | Conformément à la loi n°6102, à la loi n°6098 et à la loi n°213, elles sont conservées pendant 10 ans après la fin de la relation contractuelle. |
Données sur les visiteurs en ligne | Il est conservé pendant 2 ans conformément à la loi n° 5651 |
Dossiers d’adhésion et de réservation | Il est conservé 10 ans conformément à la loi n°6098. |
Enquêtes de satisfaction reçues des employés et des clients | Elles sont conservées pendant 1 an afin de garantir la proportionnalité entre la pratique sectorielle et l'intérêt légitime de l'entreprise et la nature des données personnelles. |
Données soumises à une réclamation interne et à une demande d'informations | Les données en question sont conservées pendant 10 ans conformément au Code de commerce turc n° 6102, au Code des obligations n° 6098 et à la loi du travail n° 4857, au cas où elles pourraient faire l'objet d'un litige. |
Données personnelles de la personne concernée en cas de fouille mortelle | Elles seront conservées pendant 20 ans conformément au Règlement sur les données personnelles de santé publié au Journal Officiel n° 30808 du 21.06.2018. |
Notre société a choisi juillet et janvier comme périodes de destruction, et les données dont la période de conservation est expirée seront détruites et enregistrées dans le rapport le mois qui correspond à la période de destruction la plus proche. Ledit rapport comprendra les informations sur l'unité ou le nom de la personne. Ces procès-verbaux seront conservés pendant 3 ans.
La personne concernée est ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC., conformément à l'article 13 de la loi. Lorsque LTD.ŞTİ demande la suppression ou la destruction de ses données personnelles ;
1. Si toutes les conditions de traitement des données personnelles ont été éliminées ; La Société supprime, détruit ou anonymise les données personnelles faisant l'objet de la demande selon un procédé de destruction approprié, en expliquant le motif, dans un délai de 30 (trente) jours à compter du jour de réception de la demande. Pour que la Société soit considérée comme ayant reçu la demande, la personne concernée doit avoir formulé la demande conformément à la Politique de traitement et de protection des données personnelles. Dans tous les cas, la société informe la personne concernée de la transaction.
2. Si toutes les conditions de traitement des données personnelles n'ont pas été éliminées, cette demande pourra être rejetée par la Société en expliquant le motif conformément au troisième alinéa de l'article 13 de la Loi, et la réponse de refus sera notifiée au service compétent. personne par écrit ou par voie électronique dans un délai de trente jours au plus tard. La personne concernée se réserve le droit de porter plainte auprès de l'établissement. Dans ce contexte, les personnes concernées peuvent s'adresser à la Commission dans un délai de 60 (soixante jours) après avoir appris que leurs demandes ont été rejetées.
3. Dans ce cadre, les candidatures doivent être adressées à notre Société sous forme « écrite »,
• Par candidature personnelle du Candidat,
• Par l'intermédiaire d'un notaire,
• En signant par le Candidat avec la « signature électronique sécurisée » définie dans la Signature Electronique. Loi n° 5070 et
envoyées à l'adresse e-mail enregistrée de la Société peuvent nous être transmises. Nos coordonnées pour exercer ce droit sont les suivantes :
Titre : ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC. LTD. STI.
Mersisno : 0-0550-4031-2600017
Adresse e-mail : bilgiislem@alminprofil.com.tr
Adresse postale : ASO 1. Org. En chantant. Région. Daghestan Cad. No:9 Sincan/ANKARA
Tél: 0312 267 58 80