Antragsformular für betroffene Personen

Richtlinie zur Aufbewahrung, Übertragung und Vernichtung personenbezogener Daten gemäß Gesetz Nr. 6698 zum Schutz personenbezogener Daten

Diese Richtlinie zur Aufbewahrung, Übertragung und Vernichtung personenbezogener Daten (die „Richtlinie“) wurde von Happy Place to Work Research Education Consultancy Ltd. Co. („Unternehmen“ oder „HPW“) gemäß Artikel 16 des Gesetzes zum Schutz personenbezogener Daten („PDPL“) und Artikel 5 der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten (die „Verordnung“) erstellt, wie es die darin festgelegten gesetzlichen Verpflichtungen erfordern.

Diese Richtlinie gilt für personenbezogene Daten von Mitarbeitern, Mitarbeiterkandidaten, Geschäftspartnern, Besuchern, Kunden, Mitarbeitern von Kunden und anderen Dritten.Die Bestimmungen dieser Richtlinie gelten für alle Aufzeichnungsumgebungen, in denen personenbezogene Daten vom Unternehmen verarbeitet oder verwaltet werden.

Definitionen

Gesetz zum Schutz personenbezogener Daten („PDPL“): Law No. 6698 on the Protection of Personal Data.

Offenlegungserklärung: The HPW PDPL Disclosure Statement.

Verarbeitung personenbezogener Daten: Any operation performed on personal data, including obtaining, recording, storing, preserving, modifying, reorganizing, disclosing, transferring, sharing, classifying, or rendering it inaccessible, up to and including deletion, destruction, or anonymization.

Betroffene Person: The natural person whose personal data is processed.

Ausdrückliche Einwilligung: Consent that is specific to the subject matter, informed, and freely given.

Datenverantwortlicher: The natural or legal person responsible for determining the purposes and means of processing personal data and managing the data recording system.

Zerstörung: Deletion, destruction, or anonymization of personal data.

Löschung personenbezogener Daten: Rendering personal data completely inaccessible and unusable by relevant users.

Vernichtung personenbezogener Daten: Rendering personal data completely inaccessible, irretrievable, and unusable by anyone.

Anonymisierung personenbezogener Daten: Rendering personal data non-associable with an identified or identifiable natural person, even when matched with other data.

Primäre Methoden zur Erhebung personenbezogener Daten

Das Unternehmen räumt der Sicherheit personenbezogener Daten höchste Priorität ein.Personenbezogene Daten stammen in erster Linie von Unternehmen, die Dienstleistungen des Unternehmens beziehen, wobei Kunden die personenbezogenen Daten ihrer Mitarbeiter übermitteln.Die Verantwortung für die Einholung der erforderlichen Genehmigungen für solche Übermittlungen liegt ausschließlich beim Datenverantwortlichen Kunden.Das Unternehmen ist nicht gesetzlich verpflichtet, solche Genehmigungen zu überprüfen oder zu untersuchen, sondern informiert die Teilnehmer durch eine umfassende Offenlegungserklärung darüber, wie personenbezogene Daten erfasst, verarbeitet und geschützt werden.

Interne Verantwortlichkeiten

Das Unternehmen stellt durch administrative und technische Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit den geltenden Gesetzen und Branchenstandards verarbeitet und gespeichert werden.Mitarbeiter sind verpflichtet, diese Richtlinie und die in der Offenlegungserklärung dargelegten Bestimmungen einzuhalten.Die Richtlinie wird regelmäßig aktualisiert, um sie an rechtliche Änderungen anzupassen.

Umgebungen zur Speicherung persönlicher Daten

Personenbezogene Daten werden elektronisch auf Unternehmenscomputern, E-Mail-Servern und gesicherten Netzwerken sowie physisch in schriftlicher, gedruckter oder visueller Form gespeichert.Zur elektronischen Speicherung gehören sichere Datenbanken und Cloud-Systeme, die durch Verschlüsselungs- und Firewall-Maßnahmen geschützt sind.Physische Lagerumgebungen sind nur autorisiertem Personal zugänglich.

Grundsätze der Aufbewahrung und Vernichtung

Das Unternehmen speichert und vernichtet personenbezogene Daten in Übereinstimmung mit den gesetzlichen Anforderungen.Die Datenvernichtung umfasst Lösch-, Vernichtungs- oder Anonymisierungsmethoden, wie in der Richtlinie beschrieben.

Verwaltungsmaßnahmen:

• Vertraulichkeitsvereinbarungen mit Mitarbeitern.

• Disziplinarverfahren bei Nichteinhaltung von Sicherheitsrichtlinien.

• Regelmäßige und stichprobenartige Audits.

• Informationssicherheitsschulung für Mitarbeiter.

• Verbot der Weitergabe personenbezogener Daten außerhalb betrieblicher Erfordernisse.

Technische Maßnahmen:

• Nutzung sicherer Speicherumgebungen.

• Verschlüsselung für Datenübertragung und -speicherung.

• Überwachung unbefugter Zugriffsversuche.

• Regelmäßige Systempenetrationstests.

• Verwendung sicherer Passwörter und Datensicherungssysteme.

Aufbewahrungsfristen

Personenbezogene Daten werden für die in den geltenden Gesetzen und Vorschriften festgelegte Dauer aufbewahrt.Beispiele hierfür sind:

• Verträge: Werden nach Ablauf 10 Jahre lang aufbewahrt.

• Kundenbeschwerden und -wünsche: 10 Jahre lang aufbewahrt.

• Besucheraufzeichnungen: 2 Jahre lang aufbewahrt.

• Kameraaufnahmen: 3 Monate lang aufbewahrt.

Datenübertragung

Personenbezogene Daten können im Rahmen der Artikel 5 und 6 der PDPL im In- und Ausland übermittelt werden, wobei die Einhaltung der Datenverarbeitungsgrundsätze gewährleistet ist.

Inlandstransfers:

Die Daten können an lokale Geschäftspartner und autorisierte Empfänger weitergegeben werden.

Internationale Überweisungen:

Daten können in Länder mit angemessenen Datenschutzstandards übertragen werden.Ist dies nicht der Fall, erfolgt die Übertragung mittels Standardvertragsklauseln oder gleichwertiger Garantien.

Datenvernichtungstechniken

Streichung:

• Elektronisch gespeicherte Daten sind für alle außer Datenbankadministratoren unzugänglich.

• Daten in physischer Form werden geschreddert oder unlesbar gemacht.

Zerstörung:

• Papierakten werden mit Aktenvernichtern vernichtet.

• Optische und magnetische Datenträger werden physisch zerstört oder hohen Magnetfeldern ausgesetzt.

Anonymisierung:

• Zu den Techniken gehören Variablenentfernung, regionale Maskierung und K-Anonymität, um sicherzustellen, dass Daten nicht mit einer Person verknüpft werden können.

Periodische Zerstörung

Die regelmäßige Vernichtung abgelaufener Daten wird zweimal jährlich, im Juni und Dezember, von der IT-Abteilung durchgeführt.

Veröffentlichung, Speicherung und Aktualisierungen

Diese Richtlinie ist sowohl in elektronischer als auch in physischer Form verfügbar.Es wird bei Bedarf aufgrund von Gesetzesänderungen oder Prozessänderungen aktualisiert.Ältere Versionen bleiben nach der Deaktivierung fünf Jahre lang erhalten.

Diese Richtlinie tritt mit ihrer Veröffentlichung in Kraft und die Einhaltung der Aktualisierungen ist für alle Mitarbeiter und relevanten Interessengruppen verpflichtend.