Politica globala privind confidentialitatea datelor

Politica globala privind confidentialitatea datelor

 

1.   SCOP ŞI DOMENIU DE APLICARE
 
Arҫelik impreuna cu filialele și societățile sale afiliate (împreună denumite „Compania”, „noi”) se angajează să protejeze confidențialitatea tuturor persoanelor cu care derulãm afaceri, inclusiv clienții, furnizorii, angajații și contractanţii noștri. În recunoașterea acestui aspect, Compania a adoptat această Politică de confidențialitate a datelor (“Politica”).
 
2.   TERMENI DEFINIŢI
 
Legile aplicabile de protecţie a datelor - toate aspectele relevante privind confidențialitatea, protecția datelor sau legile și reglementările aferente din Turcia (Legea cu privire la protecția datelor cu caracter personal) din Spațiul Economic European (SEE), din Marea Britanie și Elveția, care se aplică Prelucrãrii datelor cu caracter personal, inclusiv, dar fără a se limita la Regulamentul general al UE privind protecția datelor 2016/679.
 
Date personale - orice date referitoare la o persoană fizică identificată sau identificabilă in mod direct sau indirect („Persoana vizată”); identificarea poate avea loc prin referire la un element de identificare precum  nume, număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale individului.
 
Personal - angajați, directori executivi, lucrători temporari, angajați cu normă întreagă sau parțială sau angajati ca siconsultanți terți și personal temporar care acționează în numele Arҫelik care fac obiectul prezentei politici.
 
A prelucra sau Prelucrare - orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, preluarea, consultarea, utilizarea, dezvăluirea, diseminarea sau punerea la dispoziție, transfer internațional, aliniere sau combinare, restrictionare, ștergere sau distrugere.
 
Imputernicit - orice entitate care prelucrează date cu caracter personal în numele oricărei entitãţi Arҫelik supuse acestei politici.
 
Încãlcarea securitãţii - o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
 
Mãsuri de securitate - măsuri, inclusiv măsuri legale, organizatorice și tehnice menite să asigure integritatea, disponibilitatea și confidențialitatea continuă a datelor cu caracter personal și prevenirea, atenuarea sau remedierea încălcărilor de securitate.
 
Date Personale Sensibile - orice date personale referitoare la originea rasială sau etnică a unei persoane, opinii politice, credințe religioase sau filozofice, apartenența la sindicat, caracteristicile genetice, biometrice, sănătate, viață sexuală, orientare sexuală sau condamnări penale.
 
 
3.   RESPONSIBILITÃŢI
 
a. Personalul este responsabil pentru respectarea acestei politici atunci când prelucrează datele cu caracter personal in cadrul  activităților lor normale de muncă.
 
b. Personalul de conducere din cadrul companiei este responsabil pentru aplicarea respectării acestei politici, inclusiv menținerea unei structuri de guvernare adecvate și alocarea resurselor necesare pentru a asigura respectarea și punerea în aplicare.
 
c. Personalul va notifica imediat Responsabilul Global de Protecție a Datelor, dacă suspecteazã sau cunoaşte că această politică intră în conflict cu orice obligație legală sau de reglementare locală sau că o anumită practică a companiei încalcă această politică.
 
d. Compania poate implementa politici, proceduri sau practici suplimentare, după caz,
ce sunt necesare pentru a asigura respectarea acestei politici sau pentru a respecta Legile locale aplicabile privind protecția datelor. Entitatile Arҫelik nu trebuie să adopte sau să implementeze astfel de politici, proceduri sau practici fără consultarea și aprobarea prealabilă din partea Responsabilului Global de Protecție a datelor.
 
 
4.   POLITICA GENERALÃ
 
a. Compania se străduiește să prelucreze datele cu caracter personal in conformitate cu această politică și cu legile aplicabile privind protecția datelor. În cazul în care Legile aplicabile privind protecția datelor impun un nivel de protecție mai ridicat decât prezenta politică, Compania trebuie să respecte aceste legi sau reglementări.
 
b. Principii de bazã
 
I. Legalitate și limitare a scopului
 
Compania va prelucra datele cu caracter personal în mod legal, corect și pentru scopuri de afaceri specifice, explicite și legitime și cu o justificare adecvată (temei legal) în conformitate cu legile privind protecția datelor aplicabile. Această justificare poate fi reprezentatã de consimțământul persoanelor vizate, executarea unui contract sau luarea unor măsuri înainte de încheierea unui contract, o obligație legala sau un interes legitim al Companiei asupra căruia nu prevaleaza interesele sau drepturile si libertatile fundamentale alepersoanei vizate. În cazul în care Compania este obligata prin legea aplicabilă sau prin politici interne sa solicite și sa obținaconsimțământul persoanelor vizate înainte de prelucrarea anumitor date cu caracter personal, atunci Compania va solicita acest consimțământ și îl va respecta. Compania ține o evidență a consimtamintelor pe care le obține și pune în aplicare mijloace efective pentru persoanele vizate de a-și retrage consimțământul.
 
II. Minimizarea datelor
 
Compania își limitează prelucrarea datelor cu caracter personal la cantitatea minimă de informații necesare pentru indeplinirea scopului sau scopurilor stabilite. Atunci când este posibil, Compania va folosi informații care nu identifică persoanele vizate.
Compania trebuie să reducă la minimum prelucrarea, accesul și păstrarea datelor cu caracter personal la ceea ce este necesar pentru scopul sau scopurile stabilite. Accesul este limitat la necesitatea de cunoaștere. Cu anumite excepţii, datele cu caracter personal nu vor fi accesibile pentru un număr nedeterminat de persoane.
 
III. Menținerea integrității și calității
 
Compania va menține în orice moment integritatea proceselor informatice ale datelor cu caracter personal și va lua măsuri rezonabile pentru ca datele personale să fie corecte, complete, actualizate și fiabile pentru scopul avut în vedere al Datelor cu Caracter Personal.
 
 
IV. Păstrarea și ștergerea datelor cu caracter personal
 
Compania nu va păstra Datele cu caracter personal mai mult timp decât este necesar. Datele cu caracter personal vor fi distruse sau anonimizate în conformitate cu politicile companiei aplicabile și cu termenele de păstrare a înregistrărilor, inclusiv cu Politica privind Păstrarea înregistrărilor companiei. Aceste politici ale companiei și termene de păstrare a înregistrărilor iau în considerare nevoile de afaceri ale companiei, obligațiile legale ale acesteia și considerentele de cercetare științifică, statistică sau istorică.
 
V. Transparenţă
 
Compania va furniza informații clare persoanelor vizate despre cel puțin:
 
• identitatea și datele de contact ale Companiei care acționează în calitate de operator de date cu caracter personal și ale responsabilului său global pentru protecția datelor, dacă există, sau ale Responsabililor de protecție a datelor la nivel local;
 
• categoriile de date cu caracter personal referitoare la persoanele vizate pe care le prelucrează compania;
 
• scopurile pentru care sunt prelucrate datele cu caracter personal și justificările Companiei pentru o astfel de prelucrare;
 
• dezvăluirea datelor cu caracter personal către terți destinatari;
 
• drepturile persoanelor vizate cu privire la datele lor cu caracter personal, inclusiv dreptul lor de a depune o plângere cãtre o autoritate de supraveghere;
 
• transferuri de date cu caracter personal în afara Turciei, SEE, Regatul Unit și Elveția și garanțiile legale aplicabile acestor date cu caracter personal transferate;
 
• perioada de păstrare sau criteriul utilizat pentru a determina perioada de păstrare a datelor cu caracter personal
 
• dacă furnizarea datelor cu caracter personal este obligatorie și consecințele posibile dacă persoana fizică nu furnizează datele cu caracter personal; și
 
 • existența unei decizii automate care produce efecte juridice sau similare și informații despre logica implicată, acolo unde este relevant.
 
 
Persoanelor vizate trebuie să li se furnizeze orice informații suplimentare cerute de legile locale aplicabile privind protecția datelor.
 
Cu anumite excepții limitate, informațiile prezentate mai sus vor fi furnizate persoanelor vizate în momentul obținerii datelor lor personale.
 
Toate comunicările către persoanele vizate cu privire la prelucrarea datelor lor cu caracter personal sunt aprobate de Responsabilul local pentru protecția datelor și, dacă este necesar, de Responsabilul global pentru protecția datelor, pe baza modelelor companiei.
 
Legile aplicabile privind protecția datelor pot prevedea derogări de la cerința de transparență în cazuri excepționale, de exemplu, atunci când furnizarea acestor informații este disproporționată. Aceste derogări nu pot fi invocate fără consultarea prealabilă a Responsabilului global cu protecția datelor.
 
 
VI. Drepturile persoanelor vizate
 
I. Compania ia în considerare orice solicitare a persoanelor vizate în legătură cu drepturile lor de acces, rectificare, restricție, portabilitatea datelor, ștergerea sau opoziția sau orice indicație clară că persoanele vizate doresc să își retragă consimțământul. Aceste solicitări sunt gratuite.
 
II. Compania va răspunde acestor solicitări în termen de o lună și va depune toate eforturile pentru a răspunde cererii în acest interval de timp, în conformitate cu Politica privind drepturile persoanei vizate din cadrul companiei.
 
III. Compania nu este obligată să răspundă unei solicitări atunci când nu poate corela în mod legal datele personale cu persoana fizică solicitantã sau când o cerere este vădit nefondată sau excesivă din cauza caracterului repetitiv.
 
 
VII. Menținerea securității adecvate și raportarea încălcărilor de securitate
 
I. Compania va implementa Măsuri de securitate pentru protejarea datelor cu caracter personal, în special în cazul transmiterilor de date cu caracter personal printr-o rețea sau stocarea datelor cu caracter personal pe dispozitive portabile sau media. Aceste Măsuri de Securitate trebuie să țină seama de riscurile reprezentate de Prelucrare, de natura Datelor Personale în cauză, de stadiul tehnicii și de costurile implementării Măsurilor de Securitate.
 
II. Măsurile de securitate vor fi prevazute în politici și proceduri de securitate scrise.
 
Personalul raportează imediat o încălcare de securitate către Responsabilul global pentru protecția datelor și Departamentele de securitate a informațiilor și telecomunicații din cadrul Arҫelik și ține o evidență a încălcărilor de securitate în conformitate cu Politica companiei privind încălcarea datelor.
 
 
VIII. Divulgarea Datelor Personale
 
Compania trebuie să dezvăluie datele personale numai către anumiţi terți, cum ar fi autoritățile de aplicare a legii sau instanțele judecătorești, partenerii de afaceri, furnizorii sau clienții, în cazul în care sunt autorizați în mod special să facă acest lucru prin legile aplicabile în Turcia, SEE, Marea Britanie sau Elveția sau altfel în conformitate cu Legile aplicabile de protecție a datelor.
 
Atunci când se bazează pe imputerniciti, Compania trebuie să-i selecteze cu atenție și să îi supună controalelor contractuale pentru a proteja confidențialitatea și securitatea datelor cu caracter personal în cauză și pentru a îndeplini cerințele legilor privind protecția datelor aplicabile.
 
IX.Transferuri internaţionale de date personale
 
Compania va transfera datele cu caracter personal numai într-o țară din afara Turciei, SEE, Regatul Unit și Elveția, în conformitate cu cerințele stabilite în Legile aplicabile privind protecția datelor.
 
Cu anumite excepții limitate în conformitate cu Legile aplicabile privind protecția datelor, Compania va pune la dispoziție garanții adecvate, cum ar fi acordurile de transfer pentru a depăși restricțiile privind transferurile internaționale de date cu caracter personal în conformitate cu legile privind protecția datelor aplicabile.
 
Compania se poate baza doar pe excepții din Legile aplicabile privind protecția datelor pentru restricțiile privind transferurile internaționale, în urma revizuirii și aprobării de către responsabilul global pentru protecția datelor.
 
X. Traininguri
Angajații care prelucrează datele cu caracter personal ca parte a rolului sau funcției lor sunt instruiți în mod regulat cu privire la respectarea prezentei politici. Instruirea trebuie să fie adaptată la rolul sau funcția personalului în cauză.
 
XI. Monitorizare şi înregistrãri
 
Responsabilul global pentru protecția datelor și Responsabilii locali pentru protecția datelor efectuează revizuiri și audituri periodice pentru a asigura respectarea acestei politici.
Compania ține un registru al operațiunilor de procesare. Înregistrarea trebuie să fie pusă la dispoziția autorităților de supraveghere la cerere.
 
XII. Conformitate şi Renunţãri
 
Cerințele impuse de această politică pot face obiectul unei renuntari numai de la caz la caz în circumstanțe excepționale și sub rezerva condițiilor, după aprobarea Responsabilului Global pentru Protecția Datelor.
 
Orice membru al personalului care nu respectă această politică poate face obiectul unor măsuri disciplinare, inclusiv încetarea contractului de muncă.
 
MAI MULTE INFORMAŢII
 
Compania va transmite această Politică către Personal și poate traduce Politica în limbi locale în scop informativ. În cazul discrepanțelor dintre limba locală și versiunea în limba engleză, va prevala versiunea în limba engleză a Politicii.
Întrebările sau îngrijorările cu privire la această Politică sau problemele de confidențialitate, în general, trebuie să fie adresate Responsabilului Global pentru Protecția Datelor (la telefon  +90 212 314 34 34 sau prin e-mail la compliance@arcelik.com).
Data versiunii: 2.12.2019