Política de Eliminação de Dados
POLÍTICA DE ELIMINAÇÃO DE DADOS PESSOAIS
Na nossa empresa, janeiro e julho foram determinados como os períodos de eliminação de dados. Os dados pessoais obtidos dos titulares dos dados serão apagados, destruídos ou anonimizados pelo pessoal responsável pela proteção de dados dentro da empresa durante o seguinte período de eliminação após o término do período de retenção. Os registros dos procedimentos de eliminação serão mantidos pelo pessoal responsável pela proteção de dados num local independente durante 3 (três) anos. Após três anos, estes registros serão eliminados. Os procedimentos de eliminação serão realizados de acordo com o Regulamento sobre a Eliminação, Destruição ou Anonimização de Dados Pessoais nº 30224 de 28 de outubro de 2017 e as disposições da Lei de Proteção de Dados Pessoais nº 6698.
As razões para eliminação são as seguintes:
- • Alteração ou revogação das disposições legislativas relevantes que formam a base para o processamento,
- • O desaparecimento do propósito que exige processamento ou armazenamento,
- • Retirada do consentimento explícito pelo titular dos dados nos casos em que o processamento se baseia exclusivamente em consentimento explícito,
- • Pedido pelo titular dos dados para a eliminação ou destruição de dados pessoais no âmbito dos seus direitos ao abrigo do Artigo 11 da Lei,
- • Rejeição do pedido feito pelo titular dos dados para a eliminação, destruição ou anonimização dos seus dados pessoais pela Instituição, considerando a resposta insuficiente ou não respondendo dentro do período estipulado pela Lei; apresentação de uma reclamação ao Conselho e o Conselho considerar este pedido apropriado,
- • O período máximo de retenção para os dados pessoais expirou, e não há razão justificada para reter os dados pessoais por um período mais longo.
Em conformidade com o Artigo 12 da Lei e o quarto parágrafo do Artigo 6 da Lei, são tomadas medidas técnicas e administrativas em conformidade com a lei para garantir o armazenamento seguro de dados pessoais, prevenir o processamento e acesso ilegais, e para a sua eliminação em linha com as medidas adequadas determinadas e anunciadas pelo Conselho.
As medidas técnicas tomadas pela Empresa relativamente aos dados pessoais processados estão listadas abaixo:
- • São realizados testes de penetração para identificar quaisquer riscos, ameaças, vulnerabilidades e lacunas de segurança nos sistemas de informação da nossa Instituição, e são tomadas as medidas necessárias.
- • A gestão de incidentes de segurança da informação garante a monitorização contínua de riscos e ameaças que possam afetar a continuidade dos sistemas de informação através de análise em tempo real.
- • O acesso aos sistemas de informação e a autorização do utilizador são geridos através de matrizes de acesso e autorização e políticas de segurança do Active Directory corporativo.
- • São tomadas as medidas necessárias para garantir a segurança física do equipamento, software e dados do sistema de informação da Empresa.
- • São tomadas medidas para proteger os sistemas de informação contra ameaças ambientais, incluindo hardware (sistemas de controlo de acesso que permitem apenas a entrada de pessoal autorizado nas salas de servidores, sistemas de monitorização 24/7, segurança física dos switches de borda que formam a rede local), sistemas de supressão de incêndios, sistemas de ar condicionado, etc., e medidas de software (firewalls, sistemas de prevenção de intrusões, controlo de acesso à rede, sistemas anti-malware, etc.).
- • São identificados os riscos que possam levar ao processamento ilegal de dados pessoais, são tomadas medidas técnicas apropriadas contra estes riscos, e são realizados controlos técnicos sobre as medidas implementadas.
- • Foram estabelecidos procedimentos de acesso dentro da Empresa, e são realizados estudos de relatório e análise sobre o acesso a dados pessoais.
- • O acesso às áreas de armazenamento onde os dados pessoais são mantidos é registado, e o acesso não autorizado ou tentativas de acesso são mantidos sob controlo.
- • A Empresa toma as medidas necessárias para garantir que os dados pessoais eliminados sejam inacessíveis e inutilizáveis para os utilizadores relevantes.
- • Foram estabelecidos sistemas e infraestrutura para notificar a pessoa relevante e o Conselho se os dados pessoais forem obtidos ilegalmente por outros.
- • As vulnerabilidades de segurança são rastreadas, são instalados patches de segurança apropriados, e os sistemas de informação são mantidos atualizados.
- • São utilizadas palavras-passe fortes em ambientes eletrónicos onde os dados pessoais são processados.
- • São utilizados sistemas seguros de registo de logs em ambientes eletrónicos onde os dados pessoais são processados.
- • São utilizados programas de backup de dados para garantir a segurança dos dados pessoais.
- • O acesso aos dados pessoais armazenados em suportes eletrónicos ou não eletrónicos é restrito de acordo com os princípios de acesso.
- • O acesso ao website da Instituição é encriptado usando o protocolo seguro (HTTPS) com algoritmo SHA 256 Bit RSA.
- • Foi estabelecida uma política separada para a segurança de categorias especiais de dados pessoais.
- • Os funcionários que processam categorias especiais de dados pessoais receberam formação sobre a segurança desses dados,
- • Foram assinados acordos de confidencialidade, e foram definidas as autorizações dos utilizadores com acesso aos dados.
- • Os ambientes eletrónicos onde as categorias especiais de dados pessoais são processadas, armazenadas e/ou acedidas são protegidos por métodos criptográficos, as chaves criptográficas são mantidas em ambientes seguros, todos os registos de transações são registados, as atualizações de segurança dos ambientes são monitorizadas continuamente, e os testes de segurança necessários são realizados regularmente. /Os resultados dos testes são registados,
- • São tomadas medidas de segurança adequadas para os ambientes físicos onde as categorias especiais de dados pessoais são processadas, armazenadas e/ou acedidas, e é garantida a segurança física para prevenir a entrada e saída não autorizadas.
- • Se for necessário transferir categorias especiais de dados pessoais por email, são encriptados e enviados usando o endereço de email corporativo ou conta de Correio Eletrónico Registado (KEP). Se for necessária transferência através de suportes portáteis como USB, CDs ou DVDs, os dados são encriptados usando métodos criptográficos, e a chave criptográfica é armazenada num suporte separado. Se for necessária transferência entre servidores em ambientes físicos diferentes, a transferência de dados é realizada estabelecendo uma VPN entre os servidores ou usando o método sFTP. Se for necessária transferência em papel, são tomadas as medidas necessárias contra riscos como roubo, perda ou visualização por pessoas não autorizadas, e o documento é enviado como "confidencial".
- • A Empresa determinará quais destes itens pode implementar.
As medidas administrativas tomadas pela Empresa relativamente aos dados pessoais processados estão listadas abaixo:
- • São fornecidas formações para melhorar a qualidade dos funcionários sobre a prevenção do processamento ilegal de dados pessoais, prevenção do acesso ilegal a dados pessoais, proteção de dados pessoais, técnicas de comunicação, conhecimentos e habilidades técnicas, Lei do Trabalho e outra legislação relevante.
- • Os funcionários assinam acordos de confidencialidade relativamente às atividades realizadas pela Empresa.
- • Foi preparado um procedimento disciplinar para funcionários que não cumpram as políticas e procedimentos de segurança.
- • A Instituição cumpre a sua obrigação de informar as pessoas relevantes antes de começar a processar dados pessoais.
- • Foi criado um inventário de processamento de dados pessoais.
- • São realizadas auditorias periódicas e aleatórias dentro da Empresa.
- • Os funcionários recebem formação em segurança da informação.
Os dados pessoais são eliminados pela Empresa mediante solicitação da pessoa interessada após o término do prazo legal ou ex officio das seguintes formas:
| SUPORTE DE REGISTRO DE DADOS |
EXPLICAÇÃO |
| Dados Pessoais em Servidores |
O administrador do sistema revoga os direitos de acesso dos utilizadores relevantes |
| Dados Pessoais em Suportes Eletrónicos |
Os dados pessoais em suportes eletrónicos cujo período de retenção expirou são tornados inacessíveis e inutilizáveis. |
| Dados Pessoais em Suportes Físicos |
Os dados pessoais mantidos em suportes físicos cujo período de retenção expirou são tornados inutilizáveis. Além disso, são tornados ilegíveis |
| Dados Pessoais em Suportes Portáteis |
Os dados pessoais armazenados em suportes de armazenamento baseados em flash são encriptados, e as chaves de encriptação são mantidas pelo administrador do sistema |
| Dados Pessoais em Suportes Físicos |
Os dados pessoais em suportes de papel são destruídos de forma irreversível. |
| Dados Pessoais em Suportes Ópticos/Magnéticos |
Os dados pessoais em suportes ópticos e magnéticos são destruídos. Além disso, os suportes magnéticos passam por um dispositivo especial. |
| DADOS PESSOAIS |
ARMAZENAMENTO |
| Documentos para emprego a serem submetidos à Instituição de Segurança Social; |
Dados de funcionários baseados em declarações de antiguidade e salário |
| Documentos para emprego a serem submetidos à Instituição de Segurança Social; |
Dados de funcionários além daqueles baseados em declarações de antiguidade e salário |
Os dados pessoais obtidos dos funcionários são armazenados e eliminados por períodos diferentes de acordo com a sua natureza. Os períodos de retenção para estes dados são os seguintes. Os dados cujo período de retenção expirou são eliminados durante o período de eliminação mais próximo, e os registros de eliminação são mantidos por 3 anos.
| declarações de tempo de serviço e salário. |
|
| Informação de Clientes |
De acordo com o Artigo 82 do Código Comercial Turco, os livros e registros comerciais baseados em investimentos são mantidos por 10 anos conforme a referida lei, e as Informações de Clientes relacionadas são mantidas pelo período necessário para o propósito pelo qual são processadas. |
| Contratos baseados em relações comerciais e seus dados |
10 anos de acordo com as disposições da Lei nº 6098 sobre Obrigações e outra legislação |
| Arquivos de Saúde Pessoal dos Funcionários |
De acordo com a legislação de Saúde e Segurança Ocupacional, os arquivos de saúde pessoal devem ser mantidos por 1 dia. |
| Informação de Candidatos a Emprego |
Armazenada por até 2 anos até esgotada. |
| Informação de Visitantes |
Armazenada por 2 anos |
| Informação de Parceiros e Consultores |
Armazenada durante o relacionamento com a Empresa e por 10 anos após o término do relacionamento de acordo com o Artigo 146 do Código de Obrigações Turco. |
| Informação Compartilhada por Empresas com a Companhia |
Armazenada durante o relacionamento com a Empresa e por 10 anos após o término do relacionamento de acordo com o Artigo 146 do Código de Obrigações Turco. |
| Cliente |
Para cada produto/serviço adquirido pelo Cliente, armazenado por 10 anos de acordo com o Artigo 146 do Código de Obrigações Turco e o Código Comercial Turco |
| Pedidos e Reclamações de Clientes/Clientes Potenciais |
Armazenados por 10 anos a partir da data do pedido de reclamação. |
| Dados pessoais que constituem crime sob o Código Penal Turco ou outras disposições penais. |
Pela duração do prazo prescricional |
| Sistemas de Rastreamento Diário |
10 anos |
| Processos de Acesso a Hardware e Software |
2 anos |
| Registros de Visitantes e Participantes de Reuniões |
2 anos a partir do evento se não houver relação contratual |
| Informação de estagiários não funcionários, participantes de cursos |
Durante o treinamento e outras atividades com a Empresa e por 1 ano após o término do relacionamento |
| Dados pessoais obtidos de candidatos a emprego |
Até o período de eliminação mais próximo se a candidatura for rejeitada. |
À luz das explicações acima, os períodos de eliminação para as categorias de dados incluídas no registro do Inventário VERBIS são os seguintes;
| Categoria de Dados |
Período de Retenção de Dados |
| 1-Identidade |
Período de Eliminação 10 Anos Após o Término de Outras Relações Legais |
| 2-Comunicação |
Período de Eliminação 10 Anos Após o Término de Outras Relações Legais |
| 3-Localização |
2 Anos para Dados Não Baseados em Outra Relação Contratual / 10 Anos Após o Término da Relação Recíproca para o Primeiro Período de Eliminação |
| 4-Personalidade |
Período de Eliminação 15 Anos Após o Término de Outras Relações Legais |
| 5-Transação Legal |
Período de Eliminação 10 Anos Após o Término de Outras Relações Legais |
| 6-Transação de Cliente |
Período de Eliminação 10 Anos Após o Término de Outras Relações Legais |
| 7-Segurança de Espaço Físico |
Pelos períodos estipulados em outra legislação, mas em qualquer caso |
| 8-Segurança de Transação |
2 Anos para Outros Registros Web e de Log / 10 Anos para Aplicações Corporativas para o Período de Eliminação Mais Próximo |
| 9-Gestão de Risco |
2 Anos para Dados Não Baseados em Outra Relação Contratual / 10 Anos Após o Término da Relação Recíproca para o Primeiro Período de Eliminação |
| 10-Finanças |
Período de Eliminação 10 Anos Após o Término de Outras Relações Legais |
| Categoria de Dados |
Período de Retenção dos Dados |
| 11-Experiência Profissional |
Período de Eliminação: 10 anos após o término de outras relações |
| 12-Marketing |
5 anos para dados não baseados em outra relação contratual / 10 anos após o término da relação contratual para o primeiro período de eliminação |
| 13-Gravações Visuais e Sonoras |
2 anos para dados não baseados em outra relação contratual / 10 anos após o término da relação contratual para o primeiro período de eliminação |
| 17-Aparência e Disfarce |
Período de Eliminação: 10 anos após o término de outras relações |
| 21-Informações de Saúde |
Período de Eliminação: 15 anos após o término de outras relações |
| 23-Condenações Criminais e Medidas de Segurança |
Período de Eliminação: 10 anos após o término de outras relações |
| 26-Outras Informações - Informações da Família do Funcionário |
Período de Eliminação: 10 anos após o término de outras relações |
| 26-Outras Informações - Assinatura e Outras Informações Escritas |
Período de Eliminação: 10 anos após o término de outras relações |
Nossa empresa selecionou os meses de julho e janeiro como períodos de eliminação, e os dados cujo período de retenção expirou serão eliminados no mês de eliminação mais próximo e registrados.
Neste relatório, algumas letras ou números da seção TR ou Nome serão removidos.
As informações serão incluídas de forma que não permitam a identificação clara da pessoa e de suas informações. Esses registros serão mantidos por 3 anos.
Quando a pessoa em questão solicitar a exclusão ou destruição de seus dados pessoais por meio de solicitação à SÜMER ULUSLARARASI SANAYİ VE TİCARET A.Ş., de acordo com o Artigo 13 da Lei;
- Se todas as condições para o processamento de dados pessoais tiverem desaparecido; a empresa exclui, destrói ou anonimiza os dados pessoais objeto da solicitação utilizando o método de eliminação apropriado no prazo de 30 (trinta) dias a partir da data de recebimento da solicitação, explicando o motivo. Para que a solicitação seja considerada recebida pela empresa, a pessoa em questão deve ter feito a solicitação de acordo com a Política de Processamento e Proteção de Dados Pessoais. Em qualquer caso, a empresa informa a pessoa em questão sobre o processo.
- Se nem todas as condições para o processamento de dados pessoais tiverem desaparecido, esta solicitação poderá ser recusada pela empresa com justificativa, de acordo com o terceiro parágrafo do Artigo 13 da Lei, e esta situação será notificada à pessoa em questão por escrito ou eletronicamente no prazo máximo de trinta dias. O direito da pessoa em questão de apresentar queixa à Instituição permanece garantido. Neste contexto, as pessoas em questão podem recorrer ao Conselho no prazo de 60 (sessenta) dias a partir da data em que tomarem conhecimento da recusa da sua solicitação.
- Nesse contexto, os pedidos à nossa empresa “por escrito” podem ser feitos:
- Por solicitação pessoal do requerente;
- Através de um cartório de notas,
- Enviando para o endereço de e-mail registrado da empresa após assinatura com uma "assinatura eletrônica segura" conforme definido na Lei de Assinatura Eletrônica nº 5070 pelo requerente
Nossas informações de contato para exercer este direito são as seguintes:
Title: SÜMER ULUSLARARASI SANAYİ VE TİCARET A.Ş.
MERSIS No / Tax No: 7860018595
Email Address:info@sumeras.com
Mailing Address: BAŞKENT OSB MAHALLESİ BAŞKENT BULVARI NO:81 SİNCAN/ANKARA
Tel: 03124184129