Ответственный за обработку данных Гюнджель Озтюрк хранит и уничтожает персональные данные в соответствии с общими принципами и положениями, изложенными в настоящей Политике хранения и уничтожения персональных данных, разработанной на основании Конституции, Закона о защите персональных данных, Положения об удалении, уничтожении или анонимизации персональных данных, а также других применимых нормативных актов.
Цель настоящей Политики — установить общие правила и принципы хранения и уничтожения персональных данных физических лиц, а также обеспечить выполнение всех обязательств, предусмотренных законодательством.
Явное согласие: Добровольное и осознанное согласие лица на обработку данных по конкретному вопросу.
Категория получателей: Категория физических или юридических лиц, которым передаются персональные данные.
Анонимизация: Преобразование данных таким образом, чтобы невозможно было установить личность человека, даже при их сопоставлении с другими сведениями.
Уполномоченный пользователь: Лицо, обрабатывающее персональные данные внутри организации ответственного лица или по его поручению, за исключением лиц, ответственных исключительно за хранение и техническую защиту данных.
Уничтожение: Полное удаление, стирание или анонимизация персональных данных.
Персональные данные: Любая информация, которая прямо или косвенно относится к идентифицированному физическому лицу (например, имя, фамилия, номер документа, адрес электронной почты, дата рождения, банковские реквизиты и т. д.).
Субъект данных: Физическое лицо, чьи персональные данные обрабатываются.
Обработка данных: Любое действие, совершаемое с персональными данными — сбор, запись, систематизация, хранение, изменение, передача, раскрытие, удаление, ограничение использования или иное обращение с ними.
Специальные категории персональных данных: Сведения о расовом или этническом происхождении, политических взглядах, религиозных или философских убеждениях, членстве в профсоюзах, состоянии здоровья, сексуальной жизни, судимости, мерах безопасности, а также биометрические и генетические данные.
Периодическое уничтожение: Удаление или анонимизация персональных данных, выполняемое на регулярной основе после прекращения оснований для их обработки.
СРЕДЫ ХРАНЕНИЯ ДАННЫХ
Обработка персональных данных охватывает все категории информации, включая физические и электронные документы.
Компания хранит персональные данные, полученные автоматическими или неавтоматическими средствами, в следующих средах:
- Компьютеры и электронные почтовые аккаунты компании
- Настольные компьютеры и мобильные устройства сотрудников
- Серверы и системы резервного копирования
- Бумажные архивы, папки и журналы посетителей
- Переносные носители информации (CD, DVD, USB, внешние диски и т. д.)
- Офисное оборудование (принтеры, сканеры, копировальные аппараты и др.)
ПРИЧИНЫ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ДАННЫХ
Обработка персональных данных осуществляется на основе следующих принципов:
- Законность и добросовестность,
- Точность и актуальность данных,
- Обработка для конкретных и законных целей,
- Соразмерность и ограничение обработки только необходимыми рамками,
- Хранение данных в течение срока, установленного законом или необходимого для достижения цели.
Компания хранит и использует персональные данные в целях, связанных с деятельностью, и уничтожает их по собственной инициативе или по запросу субъекта данных, если больше не существует правовых или фактических оснований для обработки.
Основания для обработки персональных данных:
- Наличие явного согласия субъекта данных;
• Прямое требование закона;
• Невозможность получения согласия из-за чрезвычайных обстоятельств при необходимости защиты жизни или здоровья человека;
• Необходимость исполнения договора;
• Выполнение юридических обязанностей компании;
• Добровольное обнародование данных субъектом;
• Необходимость защиты или реализации законных прав;
• Законный интерес компании, при условии что он не нарушает основные права и свободы человека.
УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ИЛИ АНОНИМИЗАЦИЯ ДАННЫХ
Персональные данные удаляются, уничтожаются или анонимизируются по запросу субъекта или по решению компании в случаях:
- изменения или отмены правовых норм, регулирующих их обработку;
- утраты цели обработки или хранения;
- отзыва согласия субъектом данных;
- истечения установленного срока хранения;
- отсутствия оснований для дальнейшего хранения.
Если иное не предусмотрено решением уполномоченного органа, компания выбирает метод удаления, уничтожения или анонимизации данных с учётом технических возможностей и стоимости реализации.
При обращении субъекта данных компания объясняет причину выбора конкретного метода и принимает все необходимые технические и административные меры.
ТЕХНИЧЕСКИЕ И АДМИНИСТРАТИВНЫЕ МЕРЫ
Компания принимает все меры, предусмотренные законом, в соответствии с техническими возможностями и затратами:
- Используются надёжные программные и аппаратные средства. На всех компьютерах и почтовых системах применяются сложные пароли.
• Сотрудники проходят обучение по вопросам защиты информации, и их обязанности закреплены в трудовых договорах и соглашениях о конфиденциальности. Эти обязательства сохраняются и после увольнения.
• Создана инфраструктура для резервного копирования всех данных.
• Определён круг сотрудников, имеющих доступ к информации.
• Доступ к персональным данным предоставляется только их владельцу, его уполномоченному представителю, государственным органам и судебным инстанциям в установленных законом случаях.
• До начала обработки данных компания выполняет обязанность по информированию субъекта данных.
• Подготовлен внутренний реестр операций по обработке персональных данных.
СРОКИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
Компания хранит персональные данные только в течение срока, установленного действующим законодательством, либо на протяжении периода, необходимого для достижения целей их обработки. По истечении этих сроков данные подлежат уничтожению.
Если субъект персональных данных обращается с запросом об уничтожении своих персональных данных, компания действует следующим образом:
- Если все основания для обработки данных утратили силу: Компания рассматривает запрос в течение тридцати (30) дней, уведомляет субъекта о результатах, а также, если соответствующие данные были переданы третьим лицам, информирует их и обеспечивает принятие необходимых мер по уничтожению данных у этих сторон.
- Если основания для обработки данных сохраняются: Компания имеет право отказать в удовлетворении запроса, указав обоснование отказа, и сообщает об этом субъекту данных в письменной или электронной форме в течение тридцати (30) дней.
ПЕРИОДИЧЕСКОЕ УНИЧТОЖЕНИЕ ДАННЫХ
Персональные данные уничтожаются при первой плановой процедуре удаления, следующей за датой, когда возникла обязанность их уничтожения.
В этом контексте компания проводит процесс уничтожения каждые шесть (6) месяцев для всех данных, по которым отпала необходимость в дальнейшем хранении.
ПРОЦЕСС | СРОК ХРАНЕНИЯ | СРОК УНИЧТОЖЕНИЯ |
Подготовка договоров | 10 лет с момента окончания действия договора | В первый период периодического уничтожения, следующий за истечением срока хранения |
Выполнение кадровых процессов | 10 лет с момента прекращения деятельности | В первый период периодического уничтожения, следующий за истечением срока хранения |
Выполнение процессов доступа к оборудованию и программному обеспечению | 5 лет | В первый период периодического уничтожения, следующий за истечением срока хранения |
Регистрация посетителей и участников собраний | 5 лет | В первый период периодического уничтожения, следующий за истечением срока хранения |
Регистрация персональных данных о здоровье | В течение срока, указанного в законодательстве | В первый период периодического уничтожения, следующий за истечением срока хранения |
Идентификационные данные | В течение срока, указанного в законодательстве | В первый период периодического уничтожения, следующий за истечением срока хранения |
Записи с камер видеонаблюдения | Хранится не менее 2 месяцев в соответствии с Положением о частных больницах. | В первый период периодического уничтожения, следующий за истечением срока хранения |
