Informationstext

Richtlinien

 Richtlinie zur Speicherung und Vernichtung personenbezogener Daten

BEGRIFFE UND ABKÜRZUNGEN

Institution  : RAYTA UNTERHALTUNGSZENTREN BETRIEB VISUELLE KUNST KOMMUNIKATION UND ORGANISATION

INDUSTRIE UND HANDEL AKTIENGESELLSCHAFT

Gesetz: Gesetz Nr. 6698 zum Schutz personenbezogener Daten.

Verordnung: Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, veröffentlicht im Amtsblatt vom 28. Oktober 2017.

Richtlinie: Richtlinie zur Speicherung und Vernichtung personenbezogener Daten.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Empfängergruppe: Kategorie natürlicher oder juristischer Personen, an die personenbezogene Daten vom Verantwortlichen übermittelt werden.

Ausdrückliche Einwilligung: Freiwillig erteilte, auf Information beruhende Zustimmung zu einem bestimmten Sachverhalt.

Anonymisierung: Verarbeitung personenbezogener Daten in einer Weise, dass sie unter keinen Umständen mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können, selbst wenn sie mit anderen Daten kombiniert werden.

Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Vernichtung: Löschung, Zerstörung oder Anonymisierung personenbezogener Daten.

Verantwortlicher: Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenverarbeitungssystems verantwortlich ist.

Auftragsverarbeiter: Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen auf Grundlage einer erteilten Befugnis verarbeitet.

Elektronische Umgebung: Umgebungen, in denen personenbezogene Daten mithilfe elektronischer Geräte erstellt, gelesen, verändert und gespeichert werden können.

Nicht-elektronische Umgebung: Alle schriftlichen, gedruckten, visuellen und sonstigen Umgebungen außerhalb elektronischer Systeme.

ZWECK UND UMFANG

Diese Richtlinie zur Speicherung und Vernichtung personenbezogener Daten („Richtlinie“) wurde erstellt, um die Verfahren und Grundsätze für die vom Unternehmen durchgeführten Speicherungs- und Vernichtungsprozesse festzulegen.

Die Institution hat es sich zur Priorität gemacht, personenbezogene Daten von Bewerbern, Mitarbeitern, Lieferantenmitarbeitern und deren Vertretern, Mitarbeitern von Lieferantenunternehmen am Arbeitsplatz, Besuchern/Kunden, Website-Besuchern und anderen betroffenen Personen in Übereinstimmung mit der Verfassung der Republik Türkei, internationalen Abkommen, dem Gesetz Nr. 6698 und anderen relevanten gesetzlichen Bestimmungen zu verarbeiten und sicherzustellen, dass betroffene Personen ihre Rechte effektiv ausüben können.

Die personenbezogenen Daten der genannten Personen fallen in den Anwendungsbereich dieser Richtlinie, und diese Richtlinie gilt für alle Aufzeichnungsumgebungen und Datenverarbeitungsaktivitäten, die personenbezogene Daten betreffen.

VERANTWORTLICHKEITEN UND AUFGABENVERTEILUNG

Alle Einheiten und Mitarbeiter der Institution unterstützen aktiv die zuständigen Einheiten bei der Umsetzung der technischen und organisatorischen Maßnahmen im Rahmen dieser Richtlinie, der Schulung und Sensibilisierung der Mitarbeiter, der Überwachung und kontinuierlichen Kontrolle sowie der Verhinderung unrechtmäßiger Verarbeitung und unbefugten Zugriffs auf personenbezogene Daten und der Gewährleistung einer gesetzeskonformen Speicherung.

Die Verteilung der Titel, Einheiten und Aufgaben der Personen, die an den Prozessen der Speicherung und Vernichtung personenbezogener Daten beteiligt sind, ist wie folgt:

Position

Aufgabe

Vorstand

Genehmigt die Richtlinie und setzt sie in Kraft. Ist verantwortlich dafür, dass die Geschäftsleitung und die Mitarbeiter entsprechend der Richtlinie handeln. Stellt die notwendigen Ressourcen und Budgets bereit.

Geschäftsleitung

Verantwortlich für die Überwachung der Umsetzung und Durchführung der Richtlinie. Führt notwendige Entscheidungs- und Umsetzungsprozesse durch.

KVKK-Verantwortlicher

Verantwortlich für die Erstellung und Veröffentlichung der Richtlinie. Setzt die von der Geschäftsleitung beschlossenen technischen Maßnahmen um.

Buchhaltung und Finanzen

Leasing-Dienstleistungen

Verantwortlich für die Umsetzung der Richtlinie im Rahmen ihrer Aufgaben.

AUFBEWAHRUNGSUMGEBUNGEN

Personenbezogene Daten werden von der Institution in den unten aufgeführten Umgebungen rechtmäßig und sicher gespeichert.

Elektronische Umgebungen

Nicht-elektronische Umgebungen

Server (Buchhaltungsserver, Webserver usw.)

Papier

Software (Buchhaltungssoftware, Office-Anwendungen, VERBIS usw.)

Manuelle Datenerfassungssysteme (Formulare, Berichte usw.)

Informationssicherheitsgeräte (Firewall usw.)

Schriftliche und gedruckte Umgebungen

Persönliche Computer (Desktop, Laptop)

 

Tragbare Medien (USB, Backup-Festplatten, Geräte zur Speicherung von Bildern)

 

Drucker, Scanner, Kopiergeräte

 

 

ERLÄUTERUNGEN ZUR SPEICHERUNG UND VERNICHTUNG

Personenbezogene Daten werden von der Institution in Übereinstimmung mit dem Gesetz gespeichert und vernichtet.

In diesem Zusammenhang werden nachfolgend detaillierte Erläuterungen zur Speicherung und Vernichtung dargestellt.

Erläuterungen zur Speicherung          

In Artikel 3 des Gesetzes wird der Begriff der Verarbeitung personenbezogener Daten definiert; in Artikel 4 wird festgelegt, dass personenbezogene Daten zweckgebunden, begrenzt und verhältnismäßig verarbeitet und nur so lange aufbewahrt werden dürfen, wie es die einschlägigen Rechtsvorschriften oder der Verarbeitungszweck erfordern; in den Artikeln 5 und 6 werden die Bedingungen für die Verarbeitung personenbezogener Daten aufgeführt.

Dementsprechend werden personenbezogene Daten im Rahmen der Tätigkeiten der Institution für die in den einschlägigen Rechtsvorschriften vorgesehenen oder für unsere Verarbeitungszwecke erforderlichen Zeiträume gespeichert.

Gründe für die Speicherung      

Personenbezogene Daten werden im Rahmen der Tätigkeiten der Institution gemäß den folgenden Bestimmungen für die vorgesehenen Zeiträume gespeichert:

  • Aufbewahrungsfristen, die sich aus den nachfolgend aufgeführten Gesetzen und Vorschriften ergeben,
    • Gesetz Nr. 6698 zum Schutz personenbezogener Daten,
    • Türkisches Obligationenrecht Nr. 6098,
    • Türkisches Handelsgesetzbuch Nr. 6102,
    • Gesetz Nr. 5510 über Sozialversicherungen und allgemeine Krankenversicherung,
    • Gesetz Nr. 5651 über die Regulierung von Internetveröffentlichungen und die Bekämpfung von Straftaten,
    • Gesetz Nr. 6331 über Arbeitssicherheit und Gesundheitsschutz,
    • Gesetz Nr. 4982 über das Recht auf Information,
    • Arbeitsgesetz Nr. 4857,
    • Verordnung über Gesundheits- und Sicherheitsmaßnahmen in Arbeitsstätten und deren Anlagen,
    • Weitere sekundäre Vorschriften, die gemäß den genannten Gesetzen in Kraft sind.

 

  • Allgemein anerkannte Aufbewahrungsfristen in der Branche, in der die Institution tätig ist,
  • Aufbewahrungsfristen, die sich aus Arbeitsverträgen mit Mitarbeitern und Verträgen mit Lieferanten ergeben,
  • Zeiträume, in denen berechtigte Interessen der Institution im Einklang mit Recht und Treu und Glauben bestehen,
  • Zeiträume, in denen Risiken, Kosten und Verantwortlichkeiten im Zusammenhang mit der Speicherung personenbezogener Daten fortbestehen,
  • Verjährungsfristen zur Geltendmachung von Rechten im Zusammenhang mit personenbezogenen Daten,
  • Zeiträume, in denen die Institution gesetzlich verpflichtet ist, personenbezogene Daten bestimmter Kategorien zu speichern.
  •  

Verarbeitungszwecke, die eine Speicherung erfordern

Die Institution verarbeitet personenbezogene Daten im Rahmen ihrer Tätigkeiten zu folgenden Zwecken und speichert sie für die erforderliche Dauer:

  • Durchführung von Marketingprozessen für Produkte/Dienstleistungen
  • Durchführung von Verkaufsprozessen für Waren/Dienstleistungen
  • Durchführung operativer Prozesse im Zusammenhang mit der Bereitstellung von Waren/Dienstleistungen
  • Durchführung von Beschaffungsprozessen für Waren und Dienstleistungen
  • Sicherstellung der Kommunikation mit Lieferanten
  • Durchführung von Organisations- und Veranstaltungsmanagementprozessen
  • Durchführung von Vertragsprozessen
  • Durchführung und Überwachung von Geschäftstätigkeiten
  • Durchführung von Finanz- und Buchhaltungsprozessen
  • Durchführung von Kommunikationsprozessen
  • Durchführung von Managementprozessen
  • Durchführung von Bewerbungsprozessen von Bewerbern
  • Erfüllung von Verpflichtungen aus Arbeitsverträgen und gesetzlichen Vorschriften
  • Durchführung von Gehalts-, Nebenleistungen- und Finanzprozessen
  • Erstellung von Steuer- und Sozialversicherungsmitteilungen
  • Durchführung von Arbeitszeit-, Urlaubs- und Abrechnungsprozessen
  • Durchführung von Einstellungs- und Austrittsprozessen
  • Durchführung von Zuweisungsprozessen
  • Durchführung von Inventar- und Gerätezuweisungsprozessen
  • Durchführung von Disziplinarverfahren
  • Durchführung von Leistungsbewertungsprozessen
  • Durchführung von Mitarbeiterzufriedenheits- und Bindungsprozessen
  • Durchführung von Arbeitsschutzmaßnahmen
  • Durchführung von Arbeitsunfallprozessen
  • Durchführung von Notfallmanagementprozessen
  • Erstellung und Umsetzung von Notfallplänen
  • Sicherstellung von Ordnung und Sicherheit am Arbeitsplatz
  • Sicherstellung der physischen Sicherheit von Räumlichkeiten
  • Kontrolle der Ein- und Ausgänge am Arbeitsplatz
  • Sicherstellung der Sicherheit von beweglichem Eigentum und Ressourcen
  • Überwachung von Subunternehmerverpflichtungen
  • Durchführung gesetzlich vorgeschriebener Gesundheitsdienste für Mitarbeiter
  • Verfolgung und Durchführung rechtlicher Angelegenheiten
  • Erfüllung gesetzlicher Verpflichtungen
  • Sicherstellung der Einhaltung gesetzlicher Vorschriften
  • Durchführung von Prüfungsprozessen
  • Weitergabe von Informationen an autorisierte Personen, Institutionen und Organisationen
  • Durchführung von Informationssicherheitsprozessen
  • Verwaltung von Zugriffsrechten
  • Schutz von Systemen und Verhinderung unbefugten Zugriffs
  • Sicherstellung der Sicherheit der Website
  • Sicherstellung des kontinuierlichen und sicheren Betriebs der Website
  • Erkennung und Behebung technischer Probleme
  • Erstellung von Aufzeichnungen, die als Beweismittel in möglichen Rechtsstreitigkeiten dienen können
  • Entgegennahme und Bewertung von Kommunikationsanfragen
  • Kontaktaufnahme mit Ihnen
  • Durchführung von Anfrage- und Beschwerdeprozessen
  • Bereitstellung von Informationen über Dienstleistungen
  • Durchführung von Besucher-/Kundenbeziehungsprozessen

Gründe für die Vernichtung

Personenbezogene Daten;

  • Änderung oder Aufhebung der relevanten gesetzlichen Bestimmungen,
  • Wegfall des Zwecks der Verarbeitung oder Speicherung,
  • Widerruf der Einwilligung durch die betroffene Person, sofern die Verarbeitung ausschließlich auf dieser beruht,
  • Annahme des Antrags der betroffenen Person auf Löschung oder Vernichtung durch die Institution gemäß Artikel 11,
  • Einreichung einer Beschwerde bei der zuständigen Behörde und deren Zustimmung,
  • Ablauf der maximalen Aufbewahrungsfrist ohne rechtfertigenden Grund für eine weitere Speicherung

werden von der Institution gelöscht, vernichtet oder anonymisiert.

TECHNISCHE UND ADMINISTRATIVE MASSNAHMEN

Zur sicheren Speicherung personenbezogener Daten, zur Verhinderung unrechtmäßiger Verarbeitung und Zugriffe sowie zur gesetzeskonformen Vernichtung personenbezogener Daten werden von der Institution technische und administrative Maßnahmen gemäß Artikel 12 des Gesetzes sowie im Rahmen der vom Ausschuss festgelegten ausreichenden Maßnahmen für besondere Kategorien personenbezogener Daten gemäß Artikel 6 Absatz 4 ergriffen.

Technische Maßnahmen

Die von der Institution im Zusammenhang mit den verarbeiteten personenbezogenen Daten getroffenen technischen Maßnahmen sind nachfolgend aufgeführt:

  • Aktuelle Antivirenprogramme werden verwendet.
  • Firewalls werden eingesetzt.
  • Physische Umgebungen, die personenbezogene Daten enthalten, werden gegen externe Risiken (Brand, Überschwemmung usw.) geschützt.
  • Für drahtlose Netzwerkverbindungen werden sichere Verschlüsselungsmethoden verwendet.

Administrative Maßnahmen

Die von der Institution im Zusammenhang mit den verarbeiteten personenbezogenen Daten getroffenen administrativen Maßnahmen sind nachfolgend aufgeführt:

  • Für Mitarbeiter wurde eine Berechtigungsmatrix erstellt.
  • Für Mitarbeiter wurde eine Informationssicherheitsverpflichtung erstellt.
  • Notwendige Sicherheitsmaßnahmen für den Zugang zu physischen Umgebungen mit personenbezogenen Daten werden umgesetzt.
  • Personenbezogene Daten werden so weit wie möglich minimiert.
  • Bestehende Risiken und Bedrohungen wurden identifiziert.
  • Ein Kommunikationsplan zum Schutz personenbezogener Daten, ein Verfahren zur Bearbeitung von Anträgen, ein Sensibilisierungsplan für Datenschutzverletzungen sowie ein Reaktionsplan wurden erstellt, umgesetzt und den Mitarbeitern vermittelt.
  • Richtlinien zur Verarbeitung und zum Schutz personenbezogener Daten, zur Speicherung und Vernichtung personenbezogener Daten, zum IT-Risikomanagement, zur Informationssicherheit sowie zur Sicherheit besonderer Kategorien personenbezogener Daten wurden erstellt und den Mitarbeitern bekannt gemacht.

 

TECHNIKEN ZUR VERNICHTUNG PERSONENBEZOGENER DATEN

Nach Ablauf der in den einschlägigen Vorschriften vorgesehenen Aufbewahrungsfrist oder der für den Verarbeitungszweck erforderlichen Dauer werden personenbezogene Daten von der Institution von Amts wegen oder auf Antrag der betroffenen Person gemäß den einschlägigen gesetzlichen Bestimmungen mit den unten aufgeführten Techniken vernichtet.

Löschung personenbezogener Daten

Personenbezogene Daten werden gemäß den in der folgenden Tabelle angegebenen Methoden gelöscht.

Datenaufzeichnungsumgebung

Beschreibung

Personenbezogene Daten auf Servern

Personenbezogene Daten, deren Aufbewahrungsfrist abgelaufen ist, werden durch Entzug der Zugriffsrechte der betreffenden Nutzer durch den IT-Verantwortlichen gelöscht.

Personenbezogene Daten in elektronischen Umgebungen

Personenbezogene Daten, deren Aufbewahrungsfrist abgelaufen ist, werden für alle Mitarbeiter außer dem IT-Verantwortlichen/KVKK-Verantwortlichen unzugänglich und nicht wiederverwendbar gemacht.

Personenbezogene Daten in physischen Umgebungen

Personenbezogene Daten, deren Aufbewahrungsfrist abgelaufen ist, werden unzugänglich und nicht wiederverwendbar gemacht und zusätzlich durch Unkenntlichmachung (Schwärzen/Übermalen/Löschen) gesichert.

Personenbezogene Daten auf tragbaren Medien

Personenbezogene Daten auf Flash-basierten Speichermedien werden verschlüsselt und mit eingeschränkten Zugriffsrechten sicher gespeichert.

Vernichtung personenbezogener Daten

Personenbezogene Daten werden gemäß den in der folgenden Tabelle angegebenen Methoden vernichtet.

 

Datenaufzeichnungsumgebung

Beschreibung

Personenbezogene Daten in physischen Umgebungen

Personenbezogene Daten auf Papier, deren Aufbewahrungsfrist abgelaufen ist, werden in Aktenvernichtern unwiederbringlich zerstört.

Personenbezogene Daten auf optischen/magnetischen Medien

Personenbezogene Daten auf optischen und magnetischen Medien werden durch physische Verfahren wie Schmelzen oder Zerkleinern unwiederbringlich vernichtet.

 

Anonymisierung personenbezogener Daten

Die Anonymisierung personenbezogener Daten bedeutet, dass personenbezogene Daten unter keinen Umständen mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können, selbst wenn sie mit anderen Daten kombiniert werden.

Zur Anonymisierung personenbezogener Daten werden diese durch geeignete technische Methoden so verarbeitet, dass sie weder durch die Institution noch durch Dritte, selbst durch Rückführung und/oder Zusammenführung mit anderen Daten, mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können.

SPEICHER- UND VERNICHTUNGSFRISTEN

In Bezug auf die personenbezogenen Daten, die im Rahmen der Tätigkeiten der Institution verarbeitet werden;

  • Aufbewahrungsfristen auf Ebene einzelner personenbezogener Daten werden im Verzeichnis der Verarbeitungstätigkeiten festgelegt;
  • Aufbewahrungsfristen nach Datenkategorien werden im VERBIS-System registriert;
  • Aufbewahrungsfristen auf Prozessebene sind in der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten festgelegt

aufgeführt.

Die Institution kann diese Aufbewahrungsfristen bei Bedarf aktualisieren.

Für personenbezogene Daten, deren Aufbewahrungsfrist abgelaufen ist, werden Löschung, Vernichtung oder Anonymisierung von Amts wegen durch den IT-Verantwortlichen / KVKK-Verantwortlichen durchgeführt.

 

Prozess

Aufbewahrungsdauer

Vernichtungsfrist

Personalakten und Mitarbeiterdaten

10 Jahre nach Beendigung des Arbeitsverhältnisses

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Lohn-, Gehalts- und Sozialversicherungsdaten

10 Jahre nach Beendigung des Arbeitsverhältnisses

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Arbeitsschutz- und Sicherheitsdaten

15 Jahre nach Beendigung des Arbeitsverhältnisses

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Kameraaufzeichnungen

1 Monat

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Besucheraufzeichnungen

30 Tage

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Foto- und Videoaufzeichnungen der Bergrodelbahn

Am Ende des Tages der Aufnahme oder am selben Tag, wenn kein Kauf erfolgt

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Lieferantenverträge und Dienstleistungsaufzeichnungen

10 Jahre nach Vertragsende

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Lieferantenmitarbeiterdaten

10 Jahre nach Beendigung der Geschäftsbeziehung

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Kontaktformular (Website)

3 Jahre

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

E-Mail-Korrespondenz

10 Jahre

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

IT-Logdaten (IP, Benutzername usw.)

 1 Jahr

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Buchhaltungs- und Finanzdaten

10 Jahre

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

Rechtliche Vorgänge und Streitfälle

10 Jahre nach Beendigung der Rechtsbeziehung

Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist

PERIODISCHE VERNICHTUNGSFRIST

Gemäß Artikel 11 der Verordnung hat die Institution die periodische Vernichtungsfrist auf 6 Monate festgelegt. Dementsprechend werden im Januar und Juli jedes Jahres periodische Vernichtungsprozesse durchgeführt.

ÜBERPRÜFUNG DER RICHTLINIE

Die Institution überprüft die Richtlinie zur Speicherung und Vernichtung personenbezogener Daten bei Bedarf und aktualisiert die entsprechenden Abschnitte.

VERANTWORTUNG FÜR DIE UMSETZUNG DER RICHTLINIE

Die Richtlinie tritt mit der Genehmigung durch den Vorstand in Kraft. Die Richtlinie wird den Mitarbeitern bekannt gegeben.