فندق هوليداي إن في مدينة إسطنبول أولجاي (شركة مساهمة للسياحة والتجارة والصناعة)
سياسة حماية ومعالجة البيانات الشخصية
- المقدمة
تم نشر القانون رقم 6698 بشأن حماية البيانات الشخصية في الجريدة الرسمية بتاريخ 07 أبريل 2016، وعليه فقد دخل حيز التنفيذ. وقد تم تحرير هذا القانون من أجل حماية الحقوق والحريات الأساسية، وخاصة الحرص على خصوصية الحياة الشخصية عند معالجة البيانات الشخصية، وتنظيم الإجراءات والمبادئ التي تُلزم الأشخاص الحقيقيين / الاعتباريين الذين يقومون بمعالجة البيانات الشخصية بالامتثال لها.
تتم إدارة أنشطة هوليداي إن في مدينة إسطنبول أولجاي (شركة مساهمة للسياحة والتجارة والصناعة) ضمن إطار سياسة “معالجة وحماية البيانات الشخصية لهوليداي إن في مدينة إسطنبول أولجاي (شركة مساهمة للسياحة والتجارة والصناعة)”، وتم نشر السياسة على موقع www.adress.com وعرضها لكم.
- الغرض
الغرض من هذه السياسة تحديد الإجراءات والمبادئ التي تخضع لها شركتنا عند معالجة البيانات الشخصية، وضمان التنفيذ الفعال والمنتظم عن طريق إدارة الأنشطة التقنية والإدارية من خلال سياسة لحماية البيانات، وأيضًا إبلاغ الأشخاص المعنيين (الموظفين المُرشحين، والموظفين، والمتدربين، ونزلاء الفندق/ الضيف المجاور لنزيل الفندق، والشخص الذي يقوم بالدفع نيابة عن نزيل الفندق ، والأعضاء، والزوار، والعملاء المحتملين ، والموردين/ العملاء والمسؤولين والموظفين من الباطن، الأعضاء).
- النطاق
تتعلق السياسة بالبيانات الشخصية الموجودة في الأنظمة التي تعالج البيانات بطريقة مؤتمتة جزئيًا أو مؤتمتة بالكامل أو غير مؤتمتة بشرط أن تكون جزءًا من أي نظام لتسجيل البيانات. تشمل التوضيحات المتعلقة “بالبيانات الشخصية” في السياسية، تلك “البيانات ذات الطابع الخاص”.
- التعريفات
| الشركة | أولجاي (شركة مساهمة للسياحة والتجارة والصناعة) |
| موافقة واضحة: | الموافقة على مسألة محددة، بناءً على المعلومات المُعطاة والإرادة الحرة. |
| البيانات الشخصية | أي معلومات تتعلق بشخص طبيعي محدد أو يمكن التعرف عليه |
| البيانات ذات الطابع الخاص | البيانات المتعلقة بالإدانات الجنائية والتدابير الأمنية، والبيانات البيومترية، والجنسية، والبيانات الصحية، وما إلى ذلك. |
| مسؤول البيانات: | الشخص الطبيعي أو الاعتباري الذي يحدد الغرض من ووسائل معالجة البيانات الشخصية ويكون مسؤولاً عن إنشاء وإدارة نظام تسجيل البيانات. |
| المُعالج للبيانات | الشخص الطبيعي أو الاعتباري الذي يعالج البيانات الشخصية نيابة عن مسئول البيانات بعد الحصول على تفويض منه بذلك. |
| الشخص المعني | شخص حقيقي تتم معالجة بياناته الشخصية |
| الموظف | الموظفون في إطار الاتفاقية الموقعة مع الشركة |
| الموظف المرشح | الأشخاص الطبيعيين الذين تقدموا للحصول على وظيفة أو قدّموا سيرتهم الذاتية / معلوماتهم إلى الشركة |
| المتدرب | الأفراد الذين يتلقون التدريب داخل الشركة |
| المتدرب المرشح | الأشخاص الذين تقدموا إلى الشركة للحصول على التدريب، وقدموا لها سيرتهم الذاتية والمعلومات الأخرى ذات الصلة. |
| نزيل الفندق/ الضيف المجاور لنزيل الفندق | الأشخاص الذين يقيمون في فندق هوليداي إن مدينة إسطنبول، ويستفيدون من المنتجات والخدمات التي يُقدمها الفندق. |
| العضو | أعضاء مركز السبا الموجود في الفندق، وكذلك أعضاء بطاقة IHG Rewards Club، والتي أُسست لتوفير مزايا تقدمها مجموعة فنادق إنتركونتيننتال التابع لها فندق هوليداي إن إسطنبول سيتي، مثل الحملات العامة والخاصة لنزلاء الفندق، والعروض، والخصومات، والهدايا. |
| الزائر | الأشخاص الطبيعيين الذين يزورون الموقع الذي تقوم الشركة بإدارة أنشطتها، أو الموقع الإلكتروني الخاص بها. |
| المورد | الأطراف الثالثة التي تربط الشركة بها علاقة تعاقدية وتوفر منتجات / خدمات للشركة |
| العميل المحتمل | العملاء المستقبليون المرشحون لشراء المنتجات أو الخدمات من الشركة |
| العميل | الشخص الثالث/الشخص الاعتباري الذي تعرض عليه الشركة منتجاتها وخدماتها ضمن الإطار التعاقدي الذي يربطهم ببعضهم البعض. |
| الطرف الثالث | الأشخاص الحقيقيون الذين تتم معالجة بياناتهم الشخصية (أفراد عائلة الموظفين (معلومات الزوج والأطفال، والشخص الذي يقوم بالدفع نيابة عن نزيل الفندق) |
| ممثل مسؤول البيانات | يُعين ممثل مسؤؤل البيانات من قبل الشركة وفقًا للمادة 11/3 من “اللائحة التنفيذية بشأن سجل ضباط البيانات”، والذي دخل حيز النفاذ بتاريخ 01.01.2018، وتم نشره في الجريدة الرسمية بتاريخ 30.12.2017، وبرقم تسلسلي 30286. |
| مسئول التواصل | يُعين مسئول التواصل من قبل الشركة وفقًا للماردة 11/4 من “لائحة سجل ضباط البيانات”، والذي دخل حيز النفاذ بتاريخ 01.01.2018، وتم نشره في الجريدة الرسمية بتاريخ 30.12.2017، وبرقم تسلسلي 30286. |
| KVKK (هيئة حماية البيانات الشخصية) | القانون رقم 6698 بشأن حماية البيانات الشخصية مؤرخ في 24.03.2016 ، نُشر في الجريدة الرسمية بتاريخ 07.04.2016 ورقم تسلسلي 29677 |
| KVK (حماية البيانات الشخصية) | مجلس حماية البيانات الشخصية |
| مجلس حماية البيانات الشخصية | هيئة حماية البيانات الشخصية |
| السياسة | سياسة حماية ومعالجة الشركة للبيانات الشخصية |
| استمارة التقدم للعمل | نموذج طلب من قبل الشخص المعني (مالك البيانات) لاستخدامه في الطلبات المقدمة إلى الشركة وفقًا للقانون رقم 6698 بشأن حماية البيانات الشخصية |
| معالجة البيانات الشخصية | كافة العمليات التي تم إجراؤها على البيانات، مثل الحصول على البيانات بطريقة مؤتمتة جزئيًا أو مؤتمتة بالكامل أو غير مؤتمتة بشرط أن تكون جزءًا من أي نظام لتسجيل البيانات، أو تسجيلها أو حفظها أو تغييرها أو إعادة ترتيبها أو الكشف عنها أو نقلها أو إرسالها أو إتاحتها أو تصنيفها أو حتى حظر استخدامها. |
| حذف البيانات الشخصية | حظر وصول البيانات الشخصية وإعادة استخدامها من قبل المستخدمين المعنيين |
| تدمير البيانات الشخصية | هي عملية جعل البيانات الشخصية غير قابلة للوصول ولا يمكن استرجاعها وإعادة استخدامها من قبل أي شخص. |
| إخفاء هوية البيانات الشخصية | هو نسب البيانات الى مجهول بحيث أنه لا يمكن ربط البيانات الشخصية بشخص حقيقي يمكن تحديده أو يمكن التعرف عليه تحت أي ظرف من الظروف حتى لو كانت مطابقة لبيانات أخرى. |
| نظام تسجيل البيانات | نظام التسجيل الذي يتم فيه هيكلة البيانات الشخصية ومعالجتها وفقًا لمعايير معينة |
- تنفيذ السياسة والمسؤوليات
5.1 ‘أولجاي (شركة مساهمة للسياحة والتجارة والصناعة) مسؤولة عن تنفيذ هذه السياسة بصفتها المسئولة عن البيانات.
5.2 يكون مجلس إدارة أولجاي (شركة مساهمة للسياحة والتجارة والصناعة) مخولًا ومسؤولًا عن إعداد السياسة وتنفيذها وتحديثها.
5.3 يجب على الأشخاص المعنية (الموظفين المُرشحين، والموظفين، والمتدربين، والمتدربين المرشحين، ونزلاء الفندق/ الضيف المجاور لنزيل الفندق، والأعضاء، والزوار، والعملاء المحتملين، والموردين، والعملاء والمسؤولين والموظفين من الباطن، الأطراف الثالثة، وأقارب الموظفين (الزوج والأبناء)، والشخص الذي يقوم بالدفع نيابة عن نزيل الفندق) التصرف وفقًا لأحكام السياسة، كما يجب عليهم ضمان الامتثال لهذه الأحكام وإبلاغ ممثل بيانات الشركة في حالة حدوث أي انتهاك.
5.4 تم نشر السياسة على موقع www.hiistanbulcity.com.tr ، ويمكن الوصول إليها أيضًا عن طريق تحميل أنظمة معالجة البيانات الشائعة.
5.5 سيتم إصدار التحديثات المتعلقة بالسياسة من قبل مجلس الإدارة، إما على الموقع الإلكتروني الخاص بالشركة أو على نظام معالجة البيانات المشترك.
5.6 في حالة وجود تعارض بين السياسة والأحكام الحالية للقانون، تسري أحكام القانون، ويقوم مجلس إدارة الشركة بوضع السياسة اللازمة لجعل السياسة متوافقة مع أحكام القانون وجعلها في متناول الجميع.
5.7 تعود سلطة إصدار قرار بتعطيل هذه السياسة إلى مجلس الإدارة.
- مبادئ معالجة البيانات الشخصية
6.1 المبادئ العامة لمعالجة البيانات الشخصية
تتم معالجة البيانات الشخصية وفقًا لقانون حماية البيانات الشخصية (KVKK) رقم 6698 واللوائح الثانوية، والإجراءات والمبادئ المنصوص عليها في هذه السياسة.
تتبع الشركة المبادئ التالية في معالجة البيانات الشخصية:
6.1.1 المعالجة المناسبة للقانون وقاعدة النزاهة
تتم معالجة البيانات الشخصية وفقاً لقواعد الثقة والنزاهة والأنظمة القانونية المعمول بها. تأخذ الشركة في الاعتبار متطلبات التناسب عند معالجة البيانات الشخصية، ولا تستخدم البيانات الشخصية لأغراض أخرى غير المعالجة.
6.1.2 التأكد من أن البيانات الشخصية صحيحة ومحدثة عند الضرورة
يتم اتخاذ التدابير اللازمة عند جمع ومعالجة البيانات الشخصية، وذلك لضمان دقة البيانات وتوفير الفرصة لتحديث البيانات الشخصية للأشخاص المعنيين.
6.1.3 معالجة البيانات الشخصية وفقاً لأغراض محددة ومبينة ومشروعة
يتم تعريف الغرض من معالجة البيانات الشخصية من قبل الشركة بطريقة واضحة ودقيقة، ويتم معالجة البيانات وفقًا للخدمات التي تقدمها المجموعة.
6.1.4 التوافق والتناسب مع أغراض معالجة البيانات
يتم “جرد البيانات”، أي تصنيف البيانات الشخصية والغرض من معالجتها، ومن ثم يتم تجنب معالجة البيانات التي لا تتعلق بتحقيق الأهداف.
6.1.5 تخزين البيانات الشخصية وفقاً للمدة المنصوص عليها في اللوائح المعنية أو المدة اللازمة لأغراض معالجة البيانات الشخصية.
تحتفظ الشركة بالبيانات الشخصية وفقاً للمدة المحددة في اللوائح المعنية أو المدة الضرورية لأغراض معالجة البيانات الشخصية. وفي هذا الإطار، تحدد الشركة المدة المنصوص عليها في اللوائح المعنية بتخزين البيانات الشخصية، حيث إذا كان قد تم تحديد مدة معينة تتحرك الشركة وفقاً لذلك، وإذا لم يكن هناك مدة محددة، يتم الاحتفاظ بالبيانات الشخصية وفقًا لأغراض معالجة البيانات الشخصية. يتم محو البيانات الشخصية أو إتلافها في حالة انتهاء المدة أو زوال أسباب معالجة البيانات الشخصية. في حالة حدوث تغييرات في فترات معالجة البيانات، يتم تحديد فترات جديدة كأساس.
- شروط معالجة البيانات الشخصية
تلتزم الشركة بالامتثال لشروط معالجة البيانات الشخصية المنصوص عليها في المادة 5 من KVKK (قانون حماية البيانات الشخصية) رقم 6698، عند معالجة البيانات الشخصية.
7.1. الحصول على موافقة واضحة من الشخص المعني
وفقًا لـ KVKK (قانون حماية البيانات الشخصية) رقم 6698، فإن سبب الامتثال للقانون الأساسي فيما يتعلق بمعالجة البيانات الشخصية هو “الموافقة الواضحة”. الموافقة الواضحة عبارة عن الموافقة التي يتم الحصول عليها بإرادة حرة فيما يتعلق بموضوع معين بعد إخطار الشخص المعني.
عند معالجة البيانات الشخصية، تقوم الشركة أولاً بتقييم ما إذا كانت هناك “شروط معالجة بيانات” محدودة في الفقرة الثالثة من المادة السادسة، والفقرة الثانية من المادة الخامسة من قانون حماية البيانات الشخصية رقم 6698. في حالة عدم وجود أي من هذه الشروط، تعتمد معالجة البيانات الشخصية على “الموافقة الواضحة” الواردة من الشخص المعني بمعالجة البيانات.
7.2. التنبؤ الواضح بالمعاملة وفقًا للقوانين
إذا أقرت التشريعات هذا بوضوح، يجوز معالجة البيانات الشخصية للشخص المعني وفقًا للقانون دون الحصول على “موافقة واضحة”
7.3 الفشل في الحصول على موافقة الشخص المعني نظرًا للاستحالة الفعلية
قد تتم معالجة البيانات الشخصية دون الحصول على موافقة واضحة، وذلك إذا كان من الضروري معالجة البيانات الشخصية من أجل حماية حياة وسلامة جسم الشخص الذي لا يستطيع الكشف عن موافقته بسبب الاستحالة الفعلية أو بسبب أن موافقته غير سارية قانونيًا.
7.4 الحاجة إلى معالجة البيانات الشخصية لأطراف العقد شريطة أن تكون مرتبطة مباشرة بإنشاء أو تنفيذ العقد.
قد تتم معالجة البيانات الشخصية دون الحصول على موافقة واضحة، وذلك في المعاملات المتعلقة مباشرة بتأسيس العقد أو تنفيذ الدين الخاضع للعقد.
7.5. الالتزام بمعالجة البيانات الشخصية من قبل مسئول البيانات للوفاء بالتزاماته القانونية
في الحالات التي تنص فيها التشريعات على معالجة البيانات، يجوز معالجة البيانات الشخصية للوفاء بالالتزامات القانونية للشركة.
7.6. نشر البيانات الشخصية من قبل الشخص المعني
إذا قام الشخص (صاحب البيانات) بنشر بياناته الشخصية، فقد تتم معالجة هذه البيانات بواسطة مجموعة الشركة.
7.7 الالتزام بمعالجة البيانات الخاصة من أجل إنشاء أو استخدام أو حماية حق ما
عندما تكون معالجة البيانات الشخصية إلزامية لإنشاء أو استخدام أو حماية حق ما، يجوز معالجة البيانات دون موافقة واضحة من الشخص المعني.
7.8 الالتزام بمعالجة البيانات لحماية المصالح المشروعة لمسئول البيانات
يمكن لمسئول البيانات معالجة البيانات الشخصية لحماية مصالحه المشروعة، في الحالات التي تستوجب ذلك، دون الحاق الضرر بالحقوق والحريات الأساسية للشخص المعني.
- الأغراض من معالجة البيانات الشخصية
يمكن للشركة معالجة البيانات الشخصية، وذلك بما يتماشى مع “المبادئ العامة” الموضحة في المادة الرابعة من قانون KVKK (قانون حماية البيانات الشخصية)، و “شروط معالجة البيانات الشخصية” الموضحة في المادة الخامسة، وأيضًا “شروط معالجة البيانات الشخصية ذات الطابع الخاص” الموضحة في المادة السادسة، كل هذا ضمن قانون KVKK (قانون حماية البيانات الشخصية) رقم 6698، والتشريعات ذات الصلة.
البيانات الشخصية من قبل الشركة ؛
- لتكون وحدات العمل لدينا قادرة على تنفيذ أعمالها من أجل ضمان استفادتك من كافة المنتجات والخدمات التي تقدمها هوليداي إن مدينة إسطنبول، ولنكون قادرين على تقديم لكم خيارات غرف مختلفة بما يتوافق مع تفضيلاتك، وإدارة حجز الفنادق وإجراءات الإقامة، ومراقبة استخدام الخدمة الخاصة بك.
- القيام بمعاملات الدفع المتعلقة بالخدمات والمنتجات التي نقدمها، تنفيذ الالتزامات اللازمة وفقًا لقانون الأرشيف الإلكتروني، إدارة عمليات الاعتراضات الخاصة بك والمتعلقة بالمدفوعات، إبلاغ المؤسسات والهيئات المعتمدة بما يتماشى مع اعتراضاتك
- لإجراء معاملات عضوية بطاقة IHG Rewards Club المقدمة من مجموعة فنادق إنتركونتيننتال (IHG) في حالة موافقتك الواضحة، وإدارة حجوزاتك في فنادق ضمن مجموعة IHG ضمن نطاق عضويتك، وضمان استفادتك من الحملات والخصومات والعروض الترويجية والهدايا أثناء إقامتك، وتمكين مجموعة فنادق إنتركونتيننتال (IHG) من الاتصال بك وإرسال الرسائل الإلكترونية التجارية لأغراض تجارية ومبيعات وتسويق وترويج وخصم وشروط عضوية وترويج ومعلومات
- لتمكين شركتنا بتزويدك بمعلومات حول المنتجات والخدمات المقدمة في فندقنا ووحداته في حالة موافقتك الواضحة، وتوجيهك إليها، وتقديم مزايا / فوائد مثل الإعلانات، والمبيعات، وحملات التسويق، والترويجات ، والخصومات، وشروط العضوية، والتواصل معك عبر الرسائل الإلكترونية لهذه الأغراض
- توفير الاتصالات المؤسسية للأحداث والتنظيمات المخطط لها أن تتم في الوحدات التابعة للفندق ضمن نطاق التنظيم وإدارة الأحداث، وحفظ سجلات العملاء المحتملين، ومتابعة وتنفيذ عمليات العقد مع العملاء فيما يتعلق بالأحداث والمنظمات التي تم الاتفاق عليها
- قياس والعمل على زيادة رضا العملاء / الزائرين، وإدارة الطلب/الشكاوى، وتحسين وتنويع خدماتنا بما يتماشى مع طلباتك واحتياجاتك، وإجراء عمليات تدقيق الجودة اللازمة
- تمكين فندقنا ومجموعة فنادق إنتركونتيننتال التابع لها (“IHG”) من أن يرسل إليكم استطلاعًا عن مستوى رضاكم حرصًا منا على قياس رضا العملاء، وتمكين شركتنا من الاتصال بك سواء تم إرسال استطلاع الرضا أم لا ، وتمكيننا إعداد قوائم وتقارير وإحصائيات وتحليلات وفقًا لاستخدام المنتجات والخدمات المقدمة في الفندق والوحدات التابعة له، ومن ثم وفقا لذلك نعمل على تطوير منتجاتنا وخدماتنا
- تأمين الحياة والصحة والممتلكات، والتأمين القانوني والتجاري والمهني للمؤسسات والمنظمات الخاصة بالطرف الثالث سواء كانت طبيعية أم اعتبارية (الموظفين ، الضيوف ، الزوار ، العملاء ، الموردين ، إلخ) في فندقنا والوحدات التابعة له
- تأسيس وإدارة وإجراء علاقات مع العملاء / العملاء المحتملين/ الموردين (المصرح لهم والموظفين)، وإدارة أنشطة الإدارة والتواصل، ومتابعة عمليات العقد والحصول على المصالحة المالية، وتنفيذ الالتزامات القانونية والتجارية والإدارية للعقود
- تخطيط وتنفيذ استراتيجيات الشركة التجارية و / أو المهنية
- تنفيذ الأنشطة الإدارية
- تنفيذ المعاملات المالية والمحاسبة
- تنفيذ العمليات والسياسات الخاصة بالموارد البشرية
- الوفاء بالالتزامات الناشئة عن قانون العمل وقانون الضمان الاجتماعي وقانون الصحة والسلامة المهنية والتشريعات الأخرى للعاملين
- متابعة عمليات تعيين الموظف، وكذلك الدخول إلى مكان العمل والخروج منه، وتنفيذ عمليات الحقوق الجانبية والفوائد للعاملين
- إجراء التدقيق الداخلي / التحقيق / أنشطة الاستخبارات
- تخطيط وتنفيذ عمليات إدارة الطوارئ
- إدارة العمليات القانونية
- تخطيط وتدقيق وتنفيذ عمليات أمن المعلومات
- تسجيل الدخول إلى الإنترنت داخل الفندق وفقًا للقانون رقم 5651
- إحضار المعلومات والمستندات المطلوبة من قبل المؤسسات الرسمية والأجهزة القضائية و / أو السلطات الإدارية مع التزامات الاحتفاظ بالمعلومات والإبلاغ عنها على النحو المنصوص عليه في المؤسسات الرسمية
- إعطاء و/أو مراجعة المعلومات للأشخاص ، والمؤسسات والمنظمات المسؤولة والمفوضة، نظرًا للمسئولية القانونية
أداء الأنشطة والالتزامات ذات الصلة
- اتخاذ التدابير التقنية والقانونية والإدارية اللازمة في نطاق أمن البيانات
كما يمكن معالجة البيانات الشخصية وفقًا للشروط والأغراض المنصوص عليها في المواد 5 و 6 من القانون رقم 6698
- الغرض وراء معالجة البيانات ذات الطابع الخاص، وطرق حمايتها
9.1. أغراض معالجة البيانات ذات الطابع الخاص
وفقًا للمادة 6/1 من قانون KVK (حماية البيانات الشخصية) رقم 6698، البيانات ذات الطابع الخاص عبارة عن البيانات البيومترية والوراثية والبيانات المتعلقة بالعرق، والجذور، والفكر السياسي، والمعتقد الفلسفي، والدين، والمذهب، والمعتقدات الأخرى، والملبس، وعضويات الجمعيات والنقابات، والصحة، والحياة الجنسية، والأحكام الجزائية، والتدابير الأمنية.
تتم معالجة البيانات ذات الطابع الخاص والمنصوص عليها في المادة 6 من قانون KVK (حماية البيانات الشخصية) رقم 6698 تحت وصف “شروط معالجة البيانات ذات الطابع الخاص)، عن طريق عن طريق اتخاذ التدابير يحددها مجلس حماية البيانات الشخصية لحماية هذه البيانات.
- إذا كان صاحب البيانات الشخصية لديه موافقة واضحة،
- في حال لم يصدر صاحب البيانات أي موافقة واضحة، يتم معالجة البيانات الشخصية بخلاف تلك البيانات المتعلقة بالصحة والحياة الجنسية وفقًا لما نصت عليه التشريعات، أما البيانات المتعلقة بالصحة والحياة الجنسية يتم معالجتها لحماية الصحة العامة، وتسيير الخدمات المتعلقة بالطب الوقائي والتشخيص الطبي وخدمات العلاج والرعاية، وتخطيط وإدارة الخدمات الصحية والتمويل، وذلك بالقدر الذي يتيحه القانون.
9.2. طرق حماية البيانات ذات الطابع الخاص
عملاً بقرار مجلس حماية البيانات الشخصية المؤرخ بـ 31/01/2018 ورقم 2018/10؛
تم تحديد سياسة وإجراءات منهجية محددة بوضوح وقابلة للإدارة ومستدامة لحماية البيانات الشخصية ذات الطابع الخاص.
بالنسبة للموظفين الذين يشاركون في معالجة البيانات الشخصية ذات الطابع الخاص،
- توفير دورات تدريبية منتظمة حول القانون واللوائح ذات الصلة المتعلقة بأمان البيانات الشخصية ذات الطابع الخاص،
- عقد اتفاقات السرية،
- يتم تعريف المستخدمين المصرح لهم بالوصول إلى البيانات بوضوح، وكذلك نطاق هذه البيانات ومدتها،
- إجراء فحوصات التفويض الدورية ،
- تتم إزالة تفويضات وسلطات الموظفين الذين غيروا وظائفهم أو من تركوا وظائفهم على الفور، ويتم إرجاع هذه السلطات إلى الشركة.
البيئات التي تتم فيها معالجة البيانات الشخصية الخاصة وتخزينها و / أو الوصول إليها، بالنسبة إلى الوسائط الإلكترونية ؛
- يتم حفظ البيانات باستخدام طرق التشفير ،
- يتم حفظ مفاتيح التشفير في بيئات آمنة ومختلفة ،
- يتم تسجيل سجلات المعاملة لجميع الحركات التي تتم على البيانات بشكل آمن،
- مراقبة التحديثات الأمنية لبيئات البيانات باستمرار ، وإجراء / تنفيذ اختبارات الأمان اللازمة بانتظام وتسجيل نتائج هذه الاختبارات ؛
- إذا تم الوصول إلى البيانات من خلال برنامج ، يتم عمل تصاريح للمستخدم لهذا البرنامج ، ويتم إجراء اختبارات الأمان لهذا البرامج بانتظام / وتسجيل نتائج الاختبار ،
- إذا كان الوصول عن بُعد إلى البيانات مطلوبًا ، يتم توفير نظام مصادقة ثنائي المستوى على الأقل ،
- البيئات التي تتم فيها معالجة البيانات الشخصية الخاصة وتخزينها و / أو الوصول إليها، بالنسبة إلى الوسائط المادية؛
التأكد من أن التدابير الأمنية الكافية (في حالة حدوث تسرب كهربائي أو حريق أو فيضان أو سرقة وما إلى ذلك) تُتخذ وفقاً لطبيعة البيئة التي تتوفر فيها البيانات الشخصية ذات الطابع الخاص،
- يتم حظر الدخول والخروج غير المصرح به، من خلال ضمان الأمن المادي لهذه البيئات
إذا تم نقل البيانات الشخصية ذات الطابع الخاص؛
- إذا كانت هناك حاجة إلى نقل البيانات عن طريق البريد الإلكتروني ، فتأكد من نقل البيانات في شكل مشفر عن طريق عنوان البريد الإلكتروني للشركة أو باستخدام حساب البريد الإلكتروني المسجل (بـ.إ.م) ،
- التشفير عن طريق أساليب التشفير إذا كان مطلوبًا نقلها عبر وسائط مثل الذاكرة المحمولة أو CD أو DVD، والحفاظ على مفاتيح التشفير في وسائط مختلفة.
- إذا لزم إجراء النقل بين الخوادم في بيئات مادية مختلفة، يتم إجراء نقل البيانات عن طريق إنشاء VPN بين الخوادم أو عن طريق SFTP ،
- إذا كانت هناك حاجة إلى نقل البيانات على الورق ، يتم اتخاذ الاحتياطات اللازمة ضد المخاطر مثل السرقة أو الفقدان أو رؤيتها من قبل الأشخاص غير المصرح لهم ويتم إرسال الوثائق في شكل “وثائق سرية”.
بالإضافة إلى التدابير المذكورة أعلاه، فإننا نولي اهتمامًا للتدابير الفنية والإدارية لضمان المستوى المناسب من الأمن المحدد في المبادئ التوجيهية لأمن البيانات الشخصية المنشورة على الموقع الإلكتروني لهيئة حماية البيانات الشخصية.
- نقل البيانات الشخصية
10.1. نقل البيانات الشخصية داخل حدود الدولة
يمكن نقل البيانات الشخصية لأطراف ثالثة في إطار اللائحة المنصوص عليها في المادة 8 من قانون KVKK (قانون حماية البيانات الشخصية)، وذلك وفقًا أهداف معالجة البيانات الشخصية بشكل يتماشى مع الحقوق والتشريعات المحددة في البند رقم 8 من سياسية البيانات الشخصية، وبالاعتماد على أحد شروط أو بعض شروط معالجة البيانات الشخصية المنصوص عليها في المادة الخامسة من قانون KVKK (قانون حماية البيانات الشخصية).
- إذا كان صاحب البيانات الشخصية لديه موافقة واضحة،
- إذا كان هناك تشريع خاص في القانون ينظم نقل البيانات الشخصية ،
- في حال تعذر الحصول على موافقة واضحة من صاحب البيانات بسبب الاستحالة الفعلية، وذلك إذا كان من الضروري معالجة البيانات الشخصية من أجل حماية حياة وسلامة جسم الشخص الذي لا يستطيع الكشف عن موافقته
- إذا كان ضروريًا معالجة البيانات الشخصية لأطراف العقد شريطة أن تكون مرتبطة مباشرة بإنشاء أو تنفيذ العقد.
- إذا كان نقل البيانات الشخصية إلزاميًا للشركة للوفاء بالتزاماتها القانونية ،
- إذا تم نشر البيانات الشخصية بواسطة صاحب البيانات الشخصية ،
- إذا كان نقل البيانات الشخصية ضروريًا لإنشاء الحق واستخدامه وحمايته ،
- قد يتم نقل البيانات الشخصية إذا كان نقل البيانات إلزاميًا للمصالح المشروعة للشركة ، بشرط ألا يضر بالحقوق والحريات الأساسية لصاحب البيانات الشخصية.
10.2. نقل البيانات الخارجية خارج حدود الدولة
10.2.1 في حالة الحصول على موافقة صريحة من الشخص المعني لنقل البيانات الشخصية إلى الخارج
وفقًا للمادة 9 من KVKK (قانون حماية البيانات الشخصية) رقم 6698 ، “لا يمكن نقل البيانات الشخصية إلى الخارج دون موافقة واضحة من الشخص المعني.” عندما يجب نقل البيانات الشخصية إلى الخارج من قبل الشركة ؛ بادئ ذي بدء ، يتم تقييم ما إذا كان أي من الشروط المذكورة في الفقرة الثانية من المادة 5 موجودة أم لا، وإذا كان أي من هذه الشروط غير موجود ، فيمكن نقل البيانات الشخصية إلى الخارج عن طريق الحصول على موافقة واضحة.
10.2.2 نقل البيانات الشخصية شريطة استيفاء شروط معالجة البيانات الشخصية، حتى إذا كان الشخص المعني لا يوافق صراحةً.
الفقرة الثانية من المادة الخامسة من قانون KVK (قانون حماية البيانات الشخصية) رقم 6698، موضحة ومبينة أدناه:
- أن ينص ذلك صراحةً في القانون ،
- إذا كان من الضروري معالجة البيانات الشخصية من أجل حماية حياة وسلامة جسم الشخص الذي لا يستطيع الكشف عن موافقته بسبب الاستحالة الفعلية أو بسبب أن موافقته غير سارية قانونيًا.
- إذا كان من الضروري نقل البيانات الشخصية لأطراف العقد شريطة أن تكون مرتبطة مباشرة بإنشاء أو تنفيذ العقد.
- في حالة كونها ضرورية للشركة للوفاء بالتزاماتها القانونية ،
- في حال تم الإعلان عن البيانات الشخصية ذات الطابع الخاص من قبل الشخص المعني ،
- في حالة الالتزام بمعالجة البيانات الشخصية من أجل إنشاء أو استخدام أو حماية حق ما
- في حال كان نقل البيانات ضروريًا من أجل المصالح المشروعة لمسؤؤل البيانات، دون الإخلال بالحقوق والحريات الأساسية للشخص المعني
في حالة وجود أحد الشروط المذكورة، دون الحصول على موافقة واضحة،
في البلد الأجنبي حيث سيتم نقل البيانات الشخصية؛
أ) وجود درجة كافية من الحماية،
ب) في حالة عدم وجود درجة كافية من الحماية، يلزم تعهد خطي من مسؤؤل البيانات بحماية البيانات الشخصية في تركيا وفي البلد الأجنبي، هذا إلى جانب تصريح من مجلس حماية البيانات الشخصية.
وعليه، وفي هذه الحالة فقط يمكن نقل هذه البيانات إلى الخارج.
10.3. نقل البيانات الشخصية ذات الطابع الخاص
10.3.1. نقل البيانات الشخصية ذات الطابع الخاص داخل حدود الدولة
وفقًا للوائح المنصوص عليها في المادة 8 من قانون KVK (حماية البيانات الشخصية)، فأنه يمكن نقل البيانات الشخصية ذات الطابع الخاص
أ) في الحالات التي تتطلب موافقة واضحة، عن طريق الحصول على موافقة واضحة وفقًا للفقرة 1 من المادة 8،
ب) في حالة وجود أحد الشروط المذكورة في الفقرة الثانية من المادة 5 ، دون الحصول على موافقة واضحة،
ج) وفقًا للمادة 6 ، الفقرة 3 ، شريطة اتخاذ تدابير كافية ؛
- في حال البيانات الشخصية بخلاف البيانات المتعلقة بالصحة والحياة الجنسية، مثل البيانات المتعلقة بالعرق، والجذور، والفكر السياسي، والمعتقد الفلسفي، والدين، والمذهب، والمعتقدات الأخرى، والملبس، وعضويات الجمعيات والنقابات، والصحة، والحياة الجنسية، والأحكام الجزائية، والتدابير الأمنية، وذلك وفقًا للقانون
- في حال لم يصدر صاحب البيانات أي موافقة واضحة، يتم معالجة البيانات المتعلقة بالصحة والحياة الجنسية لحماية الصحة العامة، وتسيير الخدمات المتعلقة بالطب الوقائي والتشخيص الطبي وخدمات العلاج والرعاية، وتخطيط وإدارة الخدمات الصحية والتمويل،
وذلك من قبل الشركة.
10.3.2. نقل البيانات الخاصة إلى الخارج
عملاً بالمادة 9 من القانون رقم 6698،
- بالحصول على موافقة واضحة في الحالات التي تتطلب موافقة واضحة،
في حالة وجود أي من الشروط المنصوص عليها في الفقرة الثانية من المادة 5 من القانون ، دون الحصول على موافقة واضحة،
- في حالة وجود أي من الشروط المحددة في الفقرة 3 من المادة 6 دون الحصول على موافقة واضحة، شريطة اتخاذ تدابير كافية ،
في البلد الأجنبي حيث سيتم نقل البيانات الشخصية؛
أ) وجود درجة كافية من الحماية،
ب) في حالة عدم وجود درجة كافية من الحماية، يلزم تعهد خطي من مسؤؤل البيانات بحماية البيانات الشخصية في تركيا وفي البلد الأجنبي، هذا إلى جانب تصريح من مجلس حماية البيانات الشخصية.
وعليه، وفي هذه الحالة فقط يمكن نقل هذه البيانات إلى الخارج.
10.4 تصنيف البيانات الشخصية
وفقًا للمادة 10 من قانون KVK (قانون حماية البيانات الشخصية)، وفي إطار النص التوضيحي كشفت الشركة عن الوارد ذكره، مع توضيح الهدف من إخطار صاحب البيانات الشخصية بماهية البيانات التي تتم معالجتها.
فئات البيانات الشخصية
| بيانات الهوية
|
عبارة عن بيانات عن هوية الشخص؛ كالاسم-اللقب، ورقم الهوية التركية، ومعلومات عن الجنسية، واسم الأم، واسم الأب، ومكان الميلاد، وتاريخ الميلاد، والحالة الاجتماعية، والجنس، ومكان التسجيل، ورقم المجلد، والرقم العائلي، والرقم التسلسلي، ورقم تسجيل مباحث أمن الدولة، والدين، والرقم الضريبي، ورقم الهوية ، رقم جواز السفر، إلخ، والتي يتم معالجتها بشكل مؤتمت بالكامل، أو مؤتمت بشكل جزئي، وتعود هذه البيانات إلى شخص طبيعي محدد أو يمكن التعرف عليه. |
| معلومات التواصل | تشمل بيانات مثل رقم الهاتف والعنوان وعنوان البريد الإلكتروني، والتي تعود إلى شخص محدد أو يمكن التعرف عليه. |
| أفراد الأسرة ومعلومات التواصل في حالات الطوارئ | معلومات حول أفراد الأسرة (الأزواج والأطفال)، وأقارب صاحب البيانات الشخصية والأشخاص الآخرين الذين يمكن الوصول إليهم في حالة الطوارئ (الاسم – اللقب ، الهاتف المحمول)، وذلك لحماية المصالح القانونية وغيرها الخاصة بصاحب البيانات الشخصية، المحددة هويته أو الذي يمكن التعرف عليه. |
| البيانات المالية | عبارة عن رقم الحساب المصرفي، ورقم IBAN، والفاتورة، والشيكات، وبيانات السندات الاذنية، والتي تم الحصول عليها جراء العلاقة القانونية التي أنشأها مالك البيانات الشخصية مع الشركة. وتعود تلك البيانات إلى شخص محدد أو يمكن التعرف عليه. |
| المعلومات الشخصية | جميع أنواع البيانات الشخصية التي تتم معالجتها من أجل الحصول على المعلومات التي ستكون الأساس لإقامة الحقوق الشخصية للأشخاص الحقيقيين ضمن إطار العلاقة الخدمية مع الشركة، وهي تعود إلى شخص تم تحديده أو يمكن التعرف عليه. |
| الخبرة المهنية | تشمل بيانات مثل البيانات الدراسية، والدورات التدريبية، والتدريبات المهنية، والتي تعود إلى شخص محدد أو يمكن التعرف عليه. |
| البيانات البيومترية | معلومات البصمة، معلومات التعرف على الوجوه ، إلخ. |
| البيانات ذات الطابع الخاص | تشمل بيانات مثل (البيانات الصحية ، فصيلة الدم ، بيانات بشأن الإدانة الجنائية والتدابير الأمنية ، البيانات الوطنية)، والتي تعود إلى شخص محدد أو يمكن التعرف عليه. |
| المعلومات السمعية / البصرية | تشمل بيانات مثل الصور وتسجيلات الكاميرا، والتي تعود إلى شخص محدد أو يمكن التعرف عليه. |
| معلومات الجنسية | الجنسية |
| أمن المعاملات | معلومات حول عنوان IP، والمعلومات الخاصة بتسجيل الدخول والخروج من موقع الويب وكلمة المرور ومعلومات كلمة المرور |
| الإجراءات القانونية | المراسلات مع السلطات القضائية، والمعلومات الموجودة في ملف القضية، إلخ. |
| الإدانة الجنائية والتدابير الأمنية | بيانات عن الإدانات الجنائية والتدابير الأمنية الواردة من الأشخاص العاملين في الشركة |
| معاملة العملاء | معلومات حول الفاتورة، والشيكات ، والطلبات الخاصة بالعملاء الذين يشترون منتجات أو خدمات من الشركة. |
| المعرفة التسويقية | البيانات الشخصية التي تتم معالجتها للتسويق والترويج من خلال تحديد عادات الاستخدام والتفضيلات والرضا واحتياجات أصحاب البيانات الشخصية، وذلك فيما يتعلق بالمنتجات والخدمات التي تقدمها الشركة، وكذلك التقارير التي يتم إعدادها حول هذه البيانات |
| المعلومات الخاصة بإدارة المطالب/الشكاوى | عبارة عن بيانات حول استلام وتقييم أي شكاوى / طلبات موجهة إلى الشركة، والتي يتم معالجتها بشكل مؤتمت بالكامل، أو مؤتمت بشكل جزئي، وتعود هذه البيانات إلى شخص طبيعي محدد أو يمكن التعرف عليه. |
| معلومات تخص السلامة الفيزيائية للمكان | معلومات حول سجلات الكاميرا أثناء إقامتك في الفندق التابع للشركة، وكذلك السجلات الأمنية والمستندات. |
تصنيف يخص أصحاب البيانات الشخصية الذي أعدته مجموعة TİMS
وصف تصنيف أصحاب البيانات الشخصية
|
الموظف |
موظفي الشركة |
| الموظف المرشح | الأشخاص الطبيعيين الذين تقدموا للحصول على وظيفة أو قدّموا سيرتهم الذاتية / معلوماتهم إلى الشركة |
| المتدرب | الأفراد الذين يتلقون التدريب داخل الشركة |
| المتدرب المرشح | الأشخاص الذين تقدموا إلى الشركة للحصول على التدريب، وقدموا لها سيرتهم الذاتية والمعلومات الأخرى ذات الصلة. |
| نزيل الفندق/ الضيف المجاور لنزيل الفندق | الأشخاص الذين يقيمون في الفندق التابع للشركة، ويستفيدون من المنتجات والخدمات التي يُقدمها الفندق. |
| العميل المحتمل | العملاء المستقبليون المرشحون للاستفادة من الخدمات التي تقدمها الشركة |
| موظف/موظفو عملاء الشركة | العاملون لدى الأطراف الثالثة والموظفون من الباطن الذي تعرض عليهم الشركة منتجاتها وخدماتها ضمن الإطار التعاقدي الذي يربطهم ببعضهم البعض. |
| العميل | الجهات الخارجية التي توفر الشركة لها منتجات أو خدمات ضمن إطار تعاقدي |
| موظف/موظفو الموردين في الشركة | الأشخاص الحقيقيون، بمن فيهم مسؤولو/ موظفو الشركة الموردة ومقاولوها من الباطن الذين يقدمون السلع أو الخدمات للشركة |
| المورد | يحدد الشخص الذي يقدم الخدمات للشركة على أساس تعاقدي وفقا لأوامر وتعليمات الشركة. |
| الطرف الثالث | الأشخاص الحقيقيون الذين تتم معالجة بياناتهم الشخصية (أقارب العامل، أفراد عائلة الموظفين (معلومات الزوج والأطفال، والشخص الذي يقوم بالدفع نيابة عن نزيل الفندق) |
| الزائر | الأشخاص الطبيعيين الذين يزورون الموقع الذي تقوم الشركة بإدارة أنشطتها، أو الموقع الإلكتروني الخاص بها. |
10.6 الأشخاص الذين يتم نقل البيانات الشخصية إليهم من قبل الشركة
وفقًا للمادة 10 من KVKK (قانون حماية البيانات الشخصية)، تقوم الشركة بإخطار صاحب البيانات الشخصية بمجموعات الأشخاص الذين يتم نقل البيانات الشخصية إليهم.
يجوز للشركة نقل البيانات الشخصية إلى فئات التصنيف التالية وفقًا للمادتين 8 و 9 من KVKK (قانون حماية البيانات الشخصية):
- عملاء الشركة / المقاولين من الباطن ،
- موردي الشركة / المقاولين من الباطن ،
- في حالة الموافقة الصريحة ، يمكن نقلها إلى مجموعة فنادق إنتركونتيننتال خارج حدود البلد، والتابع لها فندق هوليداي إن.
- المؤسسات والمنظمات العامةوالسلطات الإدارية المرخصة قانونيًا،
11- طريقة جمع البيانات الشخصية والسبب القانوني:
من الممكن أن يتم جمع بياناتكم الشخصية طبقًا لهذا النص التوضيحي، شفهياً أو كتابياً أو إلكترونيًا من قبل الفندق والشركات التابعة لها وموقع الشركة على الويب ومركز الاتصال والموردين، وذلك بواسطة طرق مؤتمتة أو غير مؤتمتة.
- التزامات الشركة بصفتها مسئولة عن البيانات
توفر الشركة معلومات للأشخاص المعنين في الحصول على البيانات الشخصية، ومنها:
- هوية مسؤؤل البيانات والممثل له، إن وجد ،
- الغرض من معالجة البيانات الشخصية ،
- إلى من ولأي غرض يمكن نقل بياناتكم الشخصية
- طريقة جمع بياناتكم الشخصية والحُجة القانونية
- الحقوق الأخرى المدرجة في المادة 11
.
- حقوق الشخص المعني
13.1 عمل التوضيحات اللازمة من أجل صاحب البيانات الشخصية
تقوم الشركة بمشاركة طرق جمع البيانات الشخصية والحجة القانونية لهذا، وأهداف معالجة تلك البيانات الشخصية،ولمن ولأي غرض يمكن نقل البيانات الشخصية التي تمت معالجتها، وفقًا للحقوق المنصوص عليها في المادة 11 من قانون KVKK (قانون حماية البيانات الشخصية)، وذلك من خلال النص التوضيحي.
13.2 حقوق صاحب البيانات الشخصية بموجب قانون KVKK (قانون حماية البيانات الشخصية)
مع عدم الإخلال بالشروط المنصوص عليها في المادة 28 المعنونة بـ “الاستثناءات” من قانون البيانات الشخصية، فإن حقوقك بموجب المادة 11 من القانون تكون كالتالي:
- معرفة ما إذا كانت بياناتك الشخصية تتم معالجتها أم لا،
- طلب المعلومات في حال تمت معالجة البيانات الشخصية ،
- معرفة الغرض من معالجة البيانات الشخصية وما إذا كانت تُستخدم بشكل مناسب ،
- معرفة الأطراف الثالثة التي يتم نقل البيانات الشخصية إليها سواء في الداخل أم الخارج ،
- طلب تصحيح بياناتك الشخصية إذا كانت غير مكتملة أو تمت معالجتها بشكل غير صحيح ، يحق لكم طلب تصحيحها،
- طلب حذف أو إتلاف بياناتك الشخصية في إطار الشروط المنصوص عليها في المادة 7 من القانون
- مطالبة الأطراف الثالثة التي تُنقل بياناتك الشخصية إليك بالإخطار بالمعاملات التي تتم وفقًا للفقرتين (هـ) و (و) ،
- الاعتراض على ظهور نتيجة ضدك على إثر تحليل البيانات المعالجة بشكل حصري من خلال الأنظمة الآلية ،
- طلب معالجة الضرر إذا كنت تعاني من ضرر بسبب المعالجة غير القانونية للبيانات الشخصية
13.3 ممارسة حقوق صاحب البيانات الشخصية
تقدم الشركة إرشادات حول كيفية ممارسة حقوق الأشخاص المعنيين ، ويتم تقديم الطلبات على موقع الشركة www.hiistanbulcity.com.tr بعد إكمال نموذج “طلب صاحب البيانات”، ويمكن تقديمه كتابيًا أو إلكترونيًا بالطرق التالية.
في حالة الطلب الخطي؛
يمكنك إرسال نسخة موقعة من نموذج صاحب البيانات مع مستند يؤكد هويتك، إلى شارع تورجوت أوزال ميلات/ رقم 189 توبكابي/ فاتح/ إسطنبول، شخصيًا أو عن طريق توكيل موثق من كاتب العدل (النوتر)، ويشير إلى أنه يحق لك التقدم بطلب للحصول على الحقوق بموجب المادة 11، أو عن طريق البريد الموثق. .
في حالة الطلب الإلكتروني ؛
يمكنك إرسال استمارة الطلب، مرفقًا بها “التوقيع الإلكتروني الآمن”، والمُعرف وفقًا لقانون التوقيع الإلكتروني رقم 5070، أو إرسالها موقعة بالتوقيع الإلكتروني الآمن على البريد الإلكتروني الموثق info@hiistanbulcity.com.tr أو olcayturizm@ hs04.kep.tr.
13.4 المدة المتوقعة لرد الشركة على الطلب
يتم الرد على الطلبات التي تقدمها إلى الشركة كتابةً أو إلكترونيًا في أقرب وقت ممكن وفقًا لطبيعة طلبك وخلال ثلاثين يومًا على الأكثر مقابل رسوم المعاملة المحددة في المادة 7 من البيان الخاص بمبادئ وإجراءات النموذج المرسل إلى مسئول البيانات.
- أمن البيانات الشخصية
14.1 التدابير الفنية لضمان المعالجة القانونية للبيانات الشخصية
- تتعهد الشركة بإتخاذ كافة التدابير الفنية اللازمة لضمان مستوى الأمان المناسب من أجل منع المعالجة غير القانونية للبيانات الشخصية، وحظر الوصول غير القانوني إلى البيانات الشخصية ، والمحافظة على البيانات الشخصية، وزيادة مستوى أمن حماية البيانات الشخصية، وكذلك القيام بعمليات التدقيق اللازمة.
- يُعين ممثل مسؤؤل البيانات من قبل الشركة وفقًا للمادة 11/3 من “اللائحة التنفيذية بشأن سجل ضباط البيانات”، والذي دخل حيز النفاذ بتاريخ 01.01.2018، وتم نشره في الجريدة الرسمية بتاريخ 30.12.2017، وبرقم تسلسلي 30286، وذلك لتحديد أغراض معالجة البيانات الشخصية وطرقها، ومراقبة ومتابعة عمليات معالجة البيانات، والوفاء الفعال للالتزامات بموجب قانون KVK (قانون حماية البيانات الشخصية) واللوائح الثانوية، وإعداد إجراءات KVKK (حماية البيانات الشخصية) اللازمة من خلال متابعة التطورات والأنشطة الإدارية من أجل ضمان مستوى الأمان لحماية البيانات الشخصية وفقًا لإجراءات KVKK (حماية البيانات الشخصية)، واتخاذ التدابير الفنية والإدارية، ومن أجل ضمان فعالية وتنفيذ السياسة.
- يتم توظيف الكوادر الفنية بالإضافة إلى موظفينا الحاليين.
- تتم مراجعة أنشطة معالجة البيانات الشخصية بواسطة الأنظمة الفنية، ويتم مراجعة تقرير التدقيق ذي الصلة من قبل ممثل البيانات المسؤول ومجلس الإدارة ويتم تحديد التدابير التقنية الإضافية التي يتعين اتخاذها وتنفيذها على الفور.
- في إطار التدابير التقنية الواجب اتخاذها في نطاق قانون KVK (حماية البيانات الشخصية) سيتم إبرام عقود الدعم الفني مع أطراف ثالثة، وذلك بهدف تحليل البنية التحتية الحالية من حيث أمن البيانات وتحديد نقاط الضعف / التحسين ، إن وجدت، القضاء على أوجه القصور ذات الصلة تماشيًا مع خريطة الطريق التي تم إنشاؤها لتطوير المناطق غير المتوافقة أثناء العناية بأمن البيانات الحالي ، ومن أجل إنشاء البرامج والأجهزة اللازمة وحظر الوصول غير المصرح به إلى البيانات من الخارج.
- يتم وضع الإجراءات الداخلية اللازمة فيما يتعلق بالالتزامات التي تنشأ في نطاق قرارات مجلس حماية البيانات الشخصية واللوائح الثانوية بشكل عاجل ويتم إعداد التدابير الفنية ذات الصلة وإخطار الموظفين بها.
14.2 التدابير الإدارية لضمان المعالجة القانونية للبيانات الشخصية
فيما يلي الإجراءات الإدارية الرئيسية للشركة لضمان المعالجة القانونية للبيانات الشخصية:
- تقوم الشركة بإبلاغ موظفيها وفقًا للقانون رقم 6698 بشأن حماية البيانات الشخصية واللوائح ذات الصلة ، وتوفر دورات تدريبية دورية حول هذا الموضوع.
- يجب إخطار الموظفين أن يتصرفوا وفقًا لأحكام قانون KVK لمعالجة البيانات الشخصية وتلك ذات الطابع الخاص التي تعلموها خلال عقود الخدمة التي قاموا بتأديتها، وأنهم لن يقوموا بمعالجة هذه البيانات لأي غرض بخلاف النطاق والمدة والتشريعات واللوائح الثانوية التي تخضع لها الشركة ، وللأمور التي تتطلب موافقة واضحة، لن يقوموا بمعالجتها إلا بعد الحصول على هذه الموافقة الواضحة، وأنه لن يتم نقل البيانات إلى أطراف ثالثة في تركيا أو خارجها ما لم يتم منح الشركة موافقة واضحة من قِبل صاحب البيانات الشخصية للشركة، وأن تستمر هذه الالتزامات بعد انتهاء عقد الخدمة، وأنه إذا تبين أن أي موظف قد قام بمعالجة هذه البيانات بطريقة غير قانونية، فسيقوم على الفور بإبلاغ مسؤؤل البيانات، كما تم إبلاغهم بالعقوبات التي ستفرض في حال انتهاك تلك الاتفاقية.
- تتعهد الشركة بإتخاذ كافة التدابير الفنية اللازمة لضمان مستوى الأمان المناسب من أجل منع المعالجة غير القانونية للبيانات الشخصية، وحظر الوصول غير القانوني إلى البيانات الشخصية ، والمحافظة على البيانات الشخصية، وزيادة مستوى أمن حماية البيانات الشخصية، وكذلك القيام بعمليات التدقيق اللازمة. كما لا يجوز لمعالج البيانات معالجة البيانات الشخصية المنقولة إليه خارج نطاق وغرض معالجة البيانات، في العقود الجارية مع مؤسسات معالجة البيانات في إطار تعاقدي مع الشركة ووفقًا للاتفاقات التي يتم إبرامها.
- يتم تنظيم وصول الموظفين إلى البيانات الشخصية والبيانات الشخصية ذات الطابع الخاص من خلال قرارات تحديد السلطة، تماشيًا مع مخزن البيانات الذي أنشأته دراسة أنشطة معالجة البيانات الشخصية التي تقوم بها إدارات الشركة. يتم إجراء عمليات التدقيق ذات الصلة بواسطة ممثل مسؤؤل البيانات.
- يتم اتخاذ التدابير الإدارية اللازمة وفقًا لتكاليف التنفيذ من أجل منع التخزين الآمن للبيانات الشخصية أو المعالجة غير القانونية لهذه البيانات أو إتلافها أو تغييرها أو حذفها.
14.3 التدابير الفنية لحظر الوصول غير القانوني إلى البيانات الشخصية
- يتم اتخاذ التدابير التقنية وتحديثها وتجديدها بشكل دوري وفقًا لتكاليف التطبيق، من أجل حظر الوصول غير المصرح به إلى البيانات الشخصية بشكل غير قانوني ، لمنع الكشف غير المقصود أو غير المصرح به لمثل هذه البيانات.
- يتم وضع الإجراءات الداخلية اللازمة فيما يتعلق بالالتزامات التي تنشأ في نطاق قرارات مجلس حماية البيانات الشخصية واللوائح الثانوية بشكل عاجل ويتم إعداد التدابير الفنية ذات الصلة وإخطار الموظفين بها.
- يتم تثبيت البرامج والأجهزة بما في ذلك أنظمة الحماية من الفيروسات والجدران النارية.
- تمكن القرارات الإدارية والفنية المتخذة للحد من تخويل الموظفين من الوصول إلى المعلومات واستخدامها في إطار السلطة الموكلة إليهم.
14.4 التدابير الإدارية لحظر الوصول غير القانوني إلى البيانات الشخصية
فيما يلي الإجراءات الإدارية الرئيسية التي اتخذتها الشركة لمنع الوصول غير المشروع إلى البيانات الشخصية:
- يتم اتخاذ القرارات الإدارية المتعلقة بعمليات الوصول إلى البيانات الشخصية وترخيصها ، ويتم إبلاغ الموظفين بالقرارات ذات الصلة ، كما تتم مراجعة تنفيذ القرارات من قبل ممثل مسئول البيانات عن كل شركة في المجموعة.
- يتم إخطار الموظفين بأنهم لن يكونوا قادرين على الكشف عن البيانات الشخصية التي عرفوا عنها ومخالفة التشريعات، ولا يمكنهم استخدامها لأي غرض بخلاف أغراض المعالجة ، وأن هذا الالتزام سيستمر بعد استقالتهم ويتم اتخاذ الترتيبات اللازمة في عقود الخدمة وفقًا لذلك.
- يقوم المتدربون الذين يتلقون التدريب في الشركة بالتعهد على أنه لن يتم الإفصاح عن البيانات الشخصية بأي طريقة خلال فترة التدريب لأي شخص يتعارض مع قانون KVK (قانون حماية البيانات الشخصية)، وأن هذه البيانات لا يمكن الوصول إليها بشكل غير قانوني، وأنه لا يجوز استخدام البيانات لأغراض أخرى غير المعالجة.
- تُطبع كافة الصفحات الخاصة بهذا المستند الخاص بعبارة “سري”.
- يتم وضع تعريف محدد لمفهوم “وثيقة سرية” في عقود الخدمة، كما يتم الحصول على تعهدات أ،ه في حالة إنهاء اتفاقية الخدمة ، يتم أخذ الالتزامات الواجب تسليمها إلى الشركة مقابل محاضر تسليم المواد والأدوات والمستندات التي تحتوي على معلومات سرية، وأنهم لن يقوموا بنسخ هذه المعلومات دون إذن كتابي من الشركة، ولن يقوموا بمشاركة أي وسائط مكتوبة أو شفهية و / أو إلكترونية مع أي طرف ثالث بخلاف المنظمات التي يتعين عليهم مشاركتها في إطار التشريعات، وفي حالة علموا أن معلومات سرية قد تم الكشف عنها بواسطة موظف آخر في انتهاك لأحكام البروتوكول الإضافي، يجب عليهم إخطار الشخص المسؤول كتابةً على الفور وإعلامه بالوضع.
14.5. التدابير الفنية للحفاظ على البيانات الشخصية في البيئات الآمنة
فيما يلي التدابير التقنية الرئيسية المتخذة لحماية البيانات الشخصية في البيئات الآمنة:
- لضمان التخزين الآمن للبيانات الشخصية ، يتم استخدام برامج النسخ الاحتياطي المشروعة.
- يتم توظيف موظفين إضافيين متخصصين في المسائل الفنية.
- يتم الحفاظ على الخوادم في بيئات آمنة. تم منع الوصول غير المصرح به من خلال تحديد الموظفين التقنيين الذين يمكنهم دخول هذه البيئات.
- يتم تسجيل الموظفين في أنظمة الشركة باستخدام اسم المستخدم وكلمة المرور الخاصة بهم ، ويتم تدريب الموظفين على عدم مشاركة اسم المستخدم وكلمة المرور مع أطراف ثالثة.
- يتم توفير تحديث مستمر لأنظمة التشغيل وبرامج النظام وبرامج الأمان التي تعمل على الخادم.
- تخضع سجلات الخادم (السجلات) لعمليات تدقيق ومراقبة منتظمة.
- يتم الاحتفاظ برموز الوصول لخوادم قواعد البيانات وأجهزة المودم والبرنامج المركزي ومكافحة الفيروسات وبرامج البريد الإلكتروني المجمعة فقط بواسطة مسؤول تكنولوجيا المعلومات.
14.6. التدابير الواجب اتخاذها في حالة الكشف غير المصرح به للبيانات الشخصية
- إذا تم الحصول على البيانات الشخصية التي تمت معالجتها وفقًا للمادة 12 من قانون KVK (قانون حماية البيانات الشخصية) من قِبل الآخرين بوسائل غير قانونية، يتعين على الشركة تنفيذ الإجراءات الإدارية اللازمة لضمان إخطار مجلس حماية البيانات الشخصية وصاحب البيانات المعني وممثل مسؤؤل البيانات.
15.1 أنشطة الرصد من خلال الكاميرا المثبتة عند مدخل وداخل مقر الشركة
يتم تسجيل الصور في مناطق الخدمة العامة، مثل بوابات الدخول للمركز والمرافق والمؤسسات والمبنى الخارجي والمطعم والكافتيريا وقاعة الاستقبال وقاعة انتظار الزوار والمصعد وموقف السيارات والمقصورة الأمنية والممرات الأرضية حرصًا منا على الأمن المادي والإشراف على المبنى، وضمان سلامة الحياة والممتلكات ، والسلامة الصحية والقانونية والتجارية والمهنية ، ومراقبة الدخول والخروج ، وذلك في المؤسسات والمنظمات الحقيقية و / أو القانونية التابعة لأطراف ثالثة، على سبيل المثال (الموظفون ، نزلاء الفندق / ضيوف نزلاء الفندق، الزوار ، موظفو ومسؤولو الشركة الموردة ، مسؤولو العملاء والموظفون ، الأعضاء ، إلخ)، كل هذا وفقًا لقانون خدمات الأمن الخاصة والتشريعات ذات الصلة. وفقًا للمادة 10 من KVKK (قانون حماية البيانات الشخصية) يتم إخطار صاحب البيانات الشخصية بطرق متعددة حول وجود الكاميرات. لا تخضع خصوصية الشخص للمراقبة في الحالات التي تتجاوز أهداف الأمان. يستطيع عدد محدود فقط من الموظفين الوصول إلى لقطات الكاميرا الحية والتسجيلات المسجلة والمخزّنة رقميًا. يتعهد عدد محدود من الأشخاص الذين لديهم حق الوصول إلى السجلات أنهم سيحمون سرية البيانات التي يصلون إليها.
15.2 سجلات المعالجة للوصول إلى الإنترنت
وفقًا للقانون رقم 5651 والأحكام الإلزامية للتشريعات المنظمة وفقًا لهذا القانون، يتم تسجيل سجلات الدخول إلى الإنترنت أثناء إقامة نزلاء الفندق / ضيوفهم والأعضاء المقيمون في الفندق والوحدات الملحقة بالفندق، للأغراض المحددة في سياسة البيانات الشخصية ولضمان أمن شركتنا. تتم معالجة هذه السجلات فقط من أجل طلبها من قبل المؤسسات والهيئات العامة المعتمدة أو للوفاء بالتزامنا القانوني في عمليات التدقيق التي يتعين القيام بها داخل الشركة.
- مدة تخزين البيانات الشخصية
تتم معالجة البيانات الشخصية وفقًا لقانون معالجة البيانات والمهلات من أجل الوفاء بالالتزامات ذات الصلة بموجب القوانين واللوائح الثانوية، في حالة حدوث تغييرات في فترات معالجة البيانات، يتم تحديد فترات جديدة كأساس.
- حذف البيانات الشخصية والتخلص منها وتجاهلها
تقوم الشركة بإتخاذ التدابير الإدارية اللازمة من أجل حذف أو تدمير أو إخفاء الهوية، بناءًا على طلب الشخص المعني أو مباشرة في حالة استبعاد الأسباب التي تتطلب معالجة البيانات التي تمت معالجتها وفقًا لأحكام القانون والقوانين الأخرى ذات الصلة المتعلقة بحماية البيانات الشخصية، بالإضافة إلى ذلك ، تتواصل الجهود الرامية إلى إنشاء بنية أساسية تقنية في هذا الصدد.
- التحديثاتيتم اتخاذ القرار من قبل مجلس الإدارة الذي يتخذه مجلس الإدارة ويدخل حيز التنفيذ. تحتفظ الشركة بالحق في مراجعة وتحديث السياسة في نطاق التغييرات في التشريعات.