Institution : RAYTA FREIZEITZENTREN BETRIEBSFÜHRUNG VISUELLE KUNST KOMMUNIKATION UND ORGANISATION
INDUSTRIE UND HANDEL AKTIENGESELLSCHAFT (Mersis Nr.: 0734-2552-7820-0001)
Gesetz: Gesetz Nr. 6698 zum Schutz personenbezogener Daten.
Richtlinie: Richtlinie zur Verarbeitung und zum Schutz personenbezogener Daten.
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Besondere Kategorien personenbezogener Daten: Daten über Rasse, ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Konfession oder sonstige Überzeugungen, Kleidung und Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
Empfängergruppe: Kategorie natürlicher oder juristischer Personen, an die personenbezogene Daten vom Verantwortlichen übermittelt werden.
Einwilligung: Freiwillig erteilte, informierte Zustimmung zu einem bestimmten Sachverhalt.
Anonymisierung: Verarbeitung personenbezogener Daten in einer Weise, dass sie unter keinen Umständen mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können, selbst wenn sie mit anderen Daten kombiniert werden.
Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.
Vernichtung: Löschung, Zerstörung oder Anonymisierung personenbezogener Daten.
Verantwortlicher: Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenverarbeitungssystems verantwortlich ist.
Auftragsverarbeiter: Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verarbeitung personenbezogener Daten: Jeder Vorgang wie Erheben, Erfassen, Speichern, Aufbewahren, Ändern, Neuordnen, Offenlegen, Übermitteln, Übernehmen, Zugänglichmachen, Klassifizieren oder Verhindern der Nutzung personenbezogener Daten, ganz oder teilweise automatisiert oder nicht automatisiert, sofern Teil eines Datenverarbeitungssystems.
Diese Richtlinie zur Verarbeitung und zum Schutz personenbezogener Daten („Richtlinie“) wurde erstellt, um die Verfahren und Grundsätze für die im Unternehmen durchgeführten Tätigkeiten zur Verarbeitung und zum Schutz personenbezogener Daten festzulegen.
Die Institution hat es sich zur Priorität gemacht, personenbezogene Daten von Bewerbern, Mitarbeitern, Lieferantenmitarbeitern und deren Vertretern, Mitarbeitern von Lieferantenunternehmen, Besuchern/Kunden, Website-Besuchern und anderen betroffenen Personen in Übereinstimmung mit der Verfassung der Republik Türkei, internationalen Abkommen, dem Gesetz Nr. 6698 und anderen relevanten gesetzlichen Vorschriften zu verarbeiten und sicherzustellen, dass betroffene Personen ihre Rechte effektiv ausüben können.
Diese Richtlinie wird zusammen mit anderen Richtlinien, Verfahren und Plänen zur Verarbeitung und zum Schutz personenbezogener Daten in allen Aktivitäten der Institution angewendet.
• Identität
(Name, Nachname, Name der Eltern, Geburtsdatum, Geburtsort, Familienstand, Personalausweisnummer, türkische Identifikationsnummer usw.)
• Kontakt
(Adresse, E-Mail-Adresse, Kommunikationsadresse, registrierte elektronische Post (KEP), Telefonnummer usw.)
• Personalakte
(Gehaltsabrechnungen, Disziplinarverfahren, Einstellungsunterlagen, Lebenslaufdaten, Leistungsbewertungen usw.)
• Rechtliche Vorgänge
(Korrespondenz mit Gerichten, Informationen aus Fallakten usw.)
• Lieferantenprozesse
(Rechnungen, Zahlungsinformationen, Bestellungen usw.)
• Physische Sicherheit
(Zutritts- und Austrittsdaten, Kameraaufzeichnungen von Mitarbeitern, Bewerbern, Besuchern/Kunden usw.)
• Verarbeitungssicherheit
(IP-Adressen, Website-Zugriffe, Benutzername/Passwort, Systemprotokolle usw.)
• Finanzen
(Bankkonten, Zahlungsinformationen, Buchhaltungsdaten, Finanztransaktionen usw.)
• Berufserfahrung
(Diplome, Schulungen, Zertifikate, Zeugnisse usw.)
• Bild- und Tonaufzeichnungen
(Fotos, Videos usw.)
• Sonstige Daten
(Familieninformationen, Militärstatus, Führerschein, Unterschrift usw.)
• Besondere personenbezogene Daten
(Gesundheitsdaten, Behinderungsinformationen, strafrechtliche Daten)
Die Institution verarbeitet personenbezogene Daten im Rahmen ihrer Tätigkeiten zu folgenden Zwecken und speichert sie für die erforderliche Dauer.
• Durchführung von Marketingprozessen
• Durchführung von Verkaufsprozessen
• Durchführung operativer Prozesse
• Beschaffung von Waren und Dienstleistungen
• Kommunikation mit Lieferanten
• Organisation und Eventmanagement
• Vertragsmanagement
• Durchführung und Kontrolle von Geschäftstätigkeiten
• Finanz- und Buchhaltungsprozesse
• Kommunikationsprozesse
• Managementprozesse
• Bewerbungsprozesse
• Erfüllung arbeitsrechtlicher Verpflichtungen
• Gehalts- und Finanzprozesse
• Steuer- und Sozialversicherungsmeldungen
• Arbeitszeit- und Urlaubsverwaltung
• Einstellungs- und Austrittsprozesse
• Zuweisungen und Inventarverwaltung
• Disziplinarverfahren
• Leistungsbewertung
• Mitarbeiterzufriedenheit
• Arbeitsschutz
• Unfallmanagement
• Notfallmanagement
• Sicherheit am Arbeitsplatz
• Zugriffskontrollen
• Schutz von Systemen
• Website-Sicherheit
• Technische Fehlerbehebung
• Beweissicherung bei Rechtsstreitigkeiten
• Bearbeitung von Anfragen und Beschwerden
Alle Einheiten und Mitarbeiter unterstützen aktiv die verantwortlichen Stellen bei der Umsetzung dieser Richtlinie.
Die Aufgabenverteilung ist wie folgt festgelegt.
|
Position |
Aufgabe |
|
Vorstand |
Genehmigt die Richtlinie und setzt sie in Kraft. Ist dafür verantwortlich, dass die Geschäftsleitung und die Mitarbeiter gemäß der Richtlinie handeln. Stellt die notwendigen Ressourcen und das Budget für die Umsetzung der Richtlinie bereit. |
|
Geschäftsleitung |
Verantwortlich für die Überwachung der im Rahmen der Umsetzung und Durchführung der Richtlinie durchgeführten Aktivitäten. Führt die erforderlichen Entscheidungs- und Umsetzungsmaßnahmen durch. |
|
KVKK-Verantwortlicher |
Verantwortlich für die Erstellung der Richtlinie sowie deren Veröffentlichung in den entsprechenden Umgebungen nach der Genehmigung. Führt die Umsetzung der technischen Lösungen durch, die von der Geschäftsleitung beschlossen und bereitgestellt wurden. |
|
Buchhaltung und Finanzen Vermietungsdienstleistungen |
Verantwortlich für die Umsetzung der Richtlinie im Rahmen ihrer jeweiligen Aufgaben. |
|
IT-Verantwortlicher |
Verantwortlich für die technische Sicherheit der Systeme, in denen besondere Kategorien personenbezogener Daten verarbeitet werden, die Umsetzung von Zugriffskontrollen sowie die Durchführung von Datensicherheitsmaßnahmen. |
Grundsätze für die Verarbeitung personenbezogener Daten
Personenbezogene Daten werden ausschließlich im Einklang mit den im Gesetz und in anderen gesetzlichen Vorschriften festgelegten Verfahren und Grundsätzen verarbeitet.
Bei der Verarbeitung personenbezogener Daten sind die folgenden Grundsätze zwingend einzuhalten:
Bedingungen für die Verarbeitung personenbezogener Daten
Gemäß Artikel 5 des Gesetzes werden personenbezogene Daten innerhalb der Institution nur unter folgenden Voraussetzungen verarbeitet.
Die Zwecke, für die personenbezogene Daten innerhalb der Institution verarbeitet werden können, sind in der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten unter Artikel 4 mit dem Titel „Zwecke der Datenverarbeitung“ festgelegt.
Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten
Gemäß Artikel 6 des Gesetzes werden besondere Kategorien personenbezogener Daten innerhalb der Institution nur unter folgenden Voraussetzungen verarbeitet.
Löschung, Vernichtung oder Anonymisierung personenbezogener Daten
Obwohl personenbezogene Daten in Übereinstimmung mit dem Gesetz und anderen einschlägigen Vorschriften verarbeitet wurden, werden sie, wenn die Gründe für ihre Verarbeitung entfallen, von der Institution von Amts wegen oder auf Antrag der betroffenen Person gelöscht, vernichtet oder anonymisiert.
Die Grundsätze zur Löschung, Vernichtung und Anonymisierung personenbezogener Daten sind in der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten festgelegt.
Übermittlung personenbezogener Daten
Gemäß Artikel 8 des Gesetzes dürfen personenbezogene Daten innerhalb der Institution nur unter folgenden Voraussetzungen übermittelt werden.
Die Empfängergruppen, an die personenbezogene Daten übermittelt werden können, umfassen autorisierte öffentliche Institutionen und Organisationen, Lieferanten und Geschäftspartner, Finanzberater und Buchhaltungsdienstleister, Banken, beauftragte Anwaltskanzleien, Versicherungs- und private Rentenversicherungsunternehmen. Diese Empfängergruppen sind im Register der Datenverantwortlichen („VERBIS“) aufgeführt.
Gemäß Artikel 10 des Gesetzes ist die Institution verpflichtet, die betroffenen Personen bei der Erhebung personenbezogener Daten über folgende Punkte zu informieren.
Die Institution informiert alle betroffenen Personen in Übereinstimmung mit den Einträgen im Verzeichnis der Verarbeitungstätigkeiten.
Gemäß Artikel 11 des Gesetzes hat die betroffene Person folgende Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten.
Die Institution stellt die erforderlichen Kommunikationskanäle für Anfragen und Beschwerden bereit und bearbeitet diese gemäß dem Verfahren zur Verwaltung von Anträgen auf personenbezogene Daten.
Gemäß Artikel 12 des Gesetzes trifft die Institution alle erforderlichen technischen und administrativen Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten und unrechtmäßige Verarbeitung, unbefugten Zugriff sowie den Schutz personenbezogener Daten sicherzustellen.
Die technischen und administrativen Maßnahmen sind in der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten festgelegt.
Die Maßnahmen für besondere Kategorien personenbezogener Daten sind in der Richtlinie zur Sicherheit besonderer personenbezogener Daten festgelegt.
Die Institution führt Maßnahmen zur Sensibilisierung der Mitarbeiter gemäß dem Datenschutz-Bewusstseinsplan durch. IT-Risiken werden im Rahmen der IT-Risikomanagementrichtlinie verwaltet. Risiken werden im Risikokatalog für personenbezogene Daten dokumentiert und entsprechende Maßnahmen umgesetzt.
Wenn personenbezogene Daten im Auftrag der Institution verarbeitet werden, trägt die Institution gemeinsam mit diesen Parteien Verantwortung für Sicherheitsmaßnahmen. Verträge werden entsprechend den gesetzlichen Anforderungen gestaltet.
Die Institution führt die erforderlichen Prüfungen durch oder lässt diese durchführen.
Mitarbeiter und Auftragsverarbeiter dürfen personenbezogene Daten nicht unbefugt weitergeben oder zweckentfremdet verwenden. Diese Verpflichtung bleibt auch nach Beendigung der Tätigkeit bestehen.
Bei unrechtmäßigem Zugriff auf personenbezogene Daten informiert die Institution unverzüglich die betroffene Person und die Datenschutzbehörde. Der Prozess erfolgt gemäß dem Datenschutzverletzungsplan.
Gemäß Artikel 16 wird das Register öffentlich geführt und Verantwortliche müssen sich vor Beginn der Verarbeitung registrieren.
Die Registrierung erfolgt durch eine Erklärung mit folgenden Angaben:
Die Institution erstellt ein Verzeichnis der Verarbeitungstätigkeiten und führt die VERBIS-Registrierung gemäß den gesetzlichen Vorschriften durch.
Änderungen werden unverzüglich der Datenschutzbehörde gemeldet.
Die Institution überprüft die Richtlinie bei Bedarf und aktualisiert sie.
Die Richtlinie tritt mit der Genehmigung durch den Vorstand in Kraft und wird den Mitarbeitern bekannt gegeben.
TR
EN
DE