Richtlinie zur Vernichtung personenbezogener Daten

RICHTLINIE ZUR VERNICHTUNG PERSONENBEZOGENER DATEN

Der Datenverantwortliche Güncel Öztürk speichert und vernichtet Ihre personenbezogenen Daten in Übereinstimmung mit den allgemeinen Grundsätzen und Regelungen, die in dieser Richtlinie zur Speicherung und Vernichtung personenbezogener Daten festgelegt sind, welche in Übereinstimmung mit der Verfassung, dem Gesetz Nr. 6698 zum Schutz personenbezogener Daten (im Folgenden „Gesetz“ genannt), der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten und anderen einschlägigen Rechtsvorschriften erstellt wurde.

Mit dieser Richtlinie zielt das Unternehmen darauf ab, allgemeine Grundsätze für die Speicherung und Vernichtung von Daten natürlicher Personen festzulegen, die Gegenstand von Verarbeitungstätigkeiten im Rahmen des Gesetzes sind, und die durch die Rechtsvorschriften festgelegten Verpflichtungen zu erfüllen.

Ausdrückliche Einwilligung: Eine auf Information beruhende und mit freiem Willen erklärte Einwilligung zu einem bestimmten Thema.

Empfängergruppe: Die Kategorie natürlicher oder juristischer Personen, an die personenbezogene Daten vom Datenverantwortlichen übermittelt werden.

Anonymisierung: Das Versetzen personenbezogener Daten in einen Zustand, in dem sie keinesfalls mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können, auch nicht durch Abgleich mit anderen Daten.

Relevanter Benutzer: Personen, die personenbezogene Daten innerhalb der Organisation des Datenverantwortlichen oder gemäß der vom Datenverantwortlichen erhaltenen Befugnis und Anweisung verarbeiten, mit Ausnahme der Person oder Einheit, die für die technische Speicherung, den Schutz und die Sicherung der Daten verantwortlich ist.

Vernichtung: Die Löschung, Zerstörung oder Anonymisierung personenbezogener Daten.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Vor- und Nachname, TR-Identifikationsnummer, E-Mail, Adresse, Geburtsdatum, Kreditkartennummer, Bankkontonummer).

Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Verarbeitung personenbezogener Daten: Jeder Vorgang, der mit Daten durchgeführt wird, wie das Erheben, Erfassen, Speichern, Aufbewahren, Verändern, Neuanordnen, Offenlegen, Übermitteln, Übernehmen, Bereitstellen, Klassifizieren oder Verhindern der Nutzung personenbezogener Daten ganz oder teilweise durch automatische Mittel oder durch nicht-automatische Mittel, sofern sie Teil eines Datenerfassungssystems sind.

Besondere Kategorien personenbezogener Daten: Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte oder andere Überzeugungen, Kleidung, Mitgliedschaft in Vereinigungen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.

Periodische Vernichtung: Der Lösch-, Vernichtungs- oder Anonymisierungsprozess, der von Amts wegen (ex officio) in den in dieser Richtlinie festgelegten wiederkehrenden Abständen durchzuführen ist, falls alle Bedingungen für die Verarbeitung personenbezogener Daten im Gesetz wegfallen.

DURCH DIE RICHTLINIE GEREGELTE AUFZEICHNUNGSUMGEBUNGEN

Die Datenverarbeitungstätigkeiten im Rahmen des Gesetzes umfassen alle personenbezogenen Daten. Darüber hinaus fallen sowohl physische als auch digitale Kopien der in der Richtlinie genannten Dokumente in diesen Geltungsbereich. Das Unternehmen speichert alle personenbezogenen Daten, die Gegenstand von Datenverarbeitungstätigkeiten im Rahmen des Gesetzes sind; personenbezogene Daten, die ganz oder teilweise durch automatische Mittel oder durch nicht-automatische Mittel verarbeitet werden, sofern sie Teil eines Datenerfassungssystems sind, in den unten angegebenen Umgebungen:

• Firmencomputer und E-Mail-Konten
• Den Mitarbeitern zugewiesene Desktop-Computer und Mobilgeräte
• Backup-Bereiche und Server
• In physischer Umgebung aufbewahrte Papierakten, Ordner und Besucherbücher
• Tragbare Speichermedien (CD, DVD, externe USB-Festplatte usw.)
• Drucker, Fotokopierer und ähnliche Bürogeräte

GRÜNDE FÜR DIE SPEICHERUNG UND VERNICHTUNG PERSONENBEZOGENER DATEN

Bei der Verarbeitung personenbezogener Daten werden folgende Grundsätze zugrunde gelegt:

• Übereinstimmung mit dem Recht und den Regeln der Redlichkeit,
• Gewährleistung der Richtigkeit und gegebenenfalls der Aktualität personenbezogener Daten,
• Verarbeitung für festgelegte, eindeutige und rechtmäßige Zwecke,
• Zweckbindung, Begrenzung und Angemessenheit in Bezug auf den Verarbeitungszweck,
• Aufbewahrung für den in den einschlägigen Rechtsvorschriften vorgesehenen oder für den Verarbeitungszweck erforderlichen Zeitraum.

Unser Unternehmen speichert und verwendet personenbezogene Daten auf der Grundlage der Verarbeitungszwecke und der in den unten aufgeführten Artikeln 5 und 6 des Gesetzes genannten Verarbeitungsbedingungen; und vernichtet personenbezogene Daten von Amts wegen oder auf Antrag des Inhabers der personenbezogenen Daten, falls alle genannten Bedingungen wegfallen:

Vorliegen der ausdrücklichen Einwilligung des Inhabers der personenbezogenen Daten: Die erste Bedingung für die Verarbeitung personenbezogener Daten ist die ausdrückliche Einwilligung des Inhabers.
Ausdrückliche gesetzliche Regelung: Personenbezogene Daten des Dateninhabers können ohne ausdrückliche Einwilligung rechtmäßig verarbeitet werden, wenn dies in den Gesetzen ausdrücklich vorgesehen ist.

Unmöglichkeit der Einholung der ausdrücklichen Einwilligung aufgrund tatsächlicher Unmöglichkeit: Personenbezogene Daten des Dateninhabers können verarbeitet werden, wenn die Verarbeitung personenbezogener Daten zwingend erforderlich ist, um das Leben oder die körperliche Unversehrtheit der Person, die ihre Einwilligung aufgrund tatsächlicher Unmöglichkeit nicht erklären kann oder deren Einwilligung keine Gültigkeit zuerkannt werden kann, oder einer anderen Person zu schützen.

Direkter Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags: Die Verarbeitung personenbezogener Daten ist möglich, wenn die Verarbeitung personenbezogener Daten der Vertragsparteien erforderlich ist, sofern dies in direktem Zusammenhang mit dem Abschluss oder der Erfüllung des Vertrags steht.

Rechtliche Verpflichtung: Personenbezogene Daten des Dateninhabers können verarbeitet werden, wenn die Datenverarbeitung für die Erfüllung der rechtlichen Verpflichtungen unseres Unternehmens zwingend erforderlich ist.

Veröffentlichung der personenbezogenen Daten durch den Inhaber der personenbezogenen Daten: Wenn der Dateninhaber seine personenbezogenen Daten selbst veröffentlicht hat, können die betreffenden personenbezogenen Daten im Rahmen der Veröffentlichung verarbeitet werden.

Zwingende Notwendigkeit der Datenverarbeitung für die Begründung oder den Schutz eines Rechts: Personenbezogene Daten des Dateninhabers können verarbeitet werden, wenn die Datenverarbeitung für die Begründung, Ausübung oder den Schutz eines Rechts zwingend erforderlich ist.

Zwingende Notwendigkeit der Datenverarbeitung für das berechtigte Interesse unseres Unternehmens: Personenbezogene Daten des Dateninhabers können verarbeitet werden, wenn die Datenverarbeitung für die berechtigten Interessen unseres Unternehmens zwingend erforderlich ist, sofern die Grundrechte und -freiheiten des Inhabers der personenbezogenen Daten nicht beeinträchtigt werden.

LÖSCHUNG, VERNICHTUNG ODER ANONYMISIERUNG PERSONENBEZOGENER DATEN

In Fällen, in denen die Bestimmungen der einschlägigen Rechtsvorschriften, die die Grundlage für die Verarbeitung bilden, geändert oder aufgehoben werden, der Zweck, der die Verarbeitung oder Speicherung erfordert, wegfällt, die Verarbeitung personenbezogener Daten nur auf der Bedingung der ausdrücklichen Einwilligung beruht und die betroffene Person ihre ausdrückliche Einwilligung widerruft, die Höchstdauer für die Speicherung personenbezogener Daten abgelaufen ist und keine Bedingung vorliegt, die die Speicherung personenbezogener Daten für einen längeren Zeitraum rechtfertigt; werden personenbezogene Daten vom Unternehmen auf Antrag der betroffenen Person oder von Amts wegen gelöscht, vernichtet oder anonymisiert.

Sofern vom Datenschutzausschuss keine gegenteilige Entscheidung getroffen wird, wählt unser Unternehmen die geeignete Methode der Löschung, Vernichtung oder Anonymisierung von Amts wegen entsprechend den technologischen Möglichkeiten und den Implementierungskosten aus. Auf Anfrage des Inhabers der personenbezogenen Daten wird der Grund für die gewählte Methode erläutert. Bei jedem dieser Prozesse werden die erforderlichen technischen und administrativen Maßnahmen getroffen.

GETROFFENE TECHNISCHE UND ADMINISTRATIVE MASSNAHMEN

Unser Unternehmen trifft die erforderlichen technischen und administrativen Maßnahmen gemäß den technologischen Möglichkeiten und Implementierungskosten in Bezug auf die unten genannten Punkte, in Übereinstimmung mit Artikel 12 des Gesetzes, den Bestimmungen der Verordnung, den oben genannten allgemeinen Grundsätzen, dieser Richtlinie und den Entscheidungen des Datenschutzausschusses:

• Die erforderliche Software und Hardware wurde festgelegt. Auf Computern und E-Mail-Konten werden starke Passwörter verwendet.
• In Bezug auf den Schutz von Kundeninformationen wurden die schutzbedürftigen Punkte unserem Personal durch Schulungen vermittelt, und ihre Verantwortlichkeiten wurden in Arbeitsverträgen (Vertraulichkeitsvereinbarungen) schriftlich festgehalten. Diese Verpflichtung besteht auch nach dem Ausscheiden der betreffenden Personen aus ihren Aufgaben fort.
• Für die Sicherung aller Daten wurde die erforderliche Infrastruktur geschaffen.
• Mitarbeiter, die auf Daten auf Computern zugreifen können, wurden identifiziert.
• Kundendateien und -informationen werden nur den betreffenden Personen selbst, ihren Verwandten, für die sie eine schriftliche Genehmigung erteilt haben, den zuständigen öffentlichen Institutionen und Organisationen im Rahmen der Gesetzgebung und den zuständigen Justizbehörden in Gerichtsverfahren ausgehändigt.
• Vor Beginn der Verarbeitung personenbezogener Daten wird die Pflicht zur Information der betroffenen Personen durch die Institution erfüllt.
• Ein Inventar der Verarbeitungstätigkeiten personenbezogener Daten wurde erstellt.

SPEICHER- UND VERNICHTUNGSFRISTEN

Unser Unternehmen bewahrt personenbezogene Daten nur für die Zeiträume auf, die in den Rechtsvorschriften vorgesehen sind, zu deren Einhaltung es verpflichtet ist, oder für den Zeitraum, der für den Verarbeitungszweck erforderlich ist; und vernichtet personenbezogene Daten nach Ablauf dieser Fristen. Falls der Inhaber der personenbezogenen Daten sich an unser Unternehmen wendet und die Vernichtung seiner personenbezogenen Daten verlangt:

Wenn alle Bedingungen für die Verarbeitung personenbezogener Daten entfallen sind: Es schließt den Antrag des Inhabers der personenbezogenen Daten spätestens innerhalb von dreißig Tagen ab und informiert den Inhaber der personenbezogenen Daten; falls die Gegenstand des Antrags bildenden personenbezogenen Daten an Dritte übermittelt wurden, teilt es diese Situation dem Dritten mit und sorgt dafür, dass die erforderlichen Maßnahmen beim Dritten durchgeführt werden.

Wenn nicht alle Bedingungen für die Verarbeitung personenbezogener Daten entfallen sind: Der Antrag des Inhabers der personenbezogenen Daten kann unter Angabe der Gründe gemäß dem dritten Absatz von Artikel 13 des Gesetzes abgelehnt werden, und die Ablehnungsantwort wird dem Inhaber der personenbezogenen Daten spätestens innerhalb von dreißig Tagen schriftlich oder digital mitgeteilt.

PERIODISCHE VERNICHTUNGSFRISTEN

Im ersten periodischen Vernichtungsprozess nach dem Datum, an dem die Verpflichtung zur Vernichtung personenbezogener Daten entsteht, werden personenbezogene Daten vernichtet. In diesem Zusammenhang werden personenbezogene Daten, falls die Verpflichtung zu ihrer Vernichtung entsteht, in Zeiträumen von 6 Monaten der Vernichtung unterzogen.

Diese Richtlinie gilt als mit ihrer Veröffentlichung auf der Website in Kraft getreten.