This statement is made in order to inform you in accordance with the Law on the Protection of Personal Data, numbered 6698 (the Law), by Anex Services Turizm Organizasyon Taşımacılık Ticaret Anonim Şirketi (the Company). You can have access to detailed information concerning the matters included in this Clarification Document via ‘‘the Policy of Protecting and Processing Personal Data’’ included in the following address www.anexservices.com.tr.

Within the scope of Law;

Explicit consent: means the consent that is based on being informed about a certain matter and given through free will;

Personal Data: means all kinds of information about a natural person whose identity is clear or can be defined;

Sensitive Personal Data: means data regarding race, ethnic origin, political opinion, philosophical belief, religion, denomination, other beliefs, fashion, association, foundation or union membership, health, sexual life, conviction and security measures, biometrical and genetic information;

Processing of Personal Data: means the processes carried out on data in order to prevent procurement, recording, storage, alteration, redeployment, disclosure, transfer, take-over, making obtainable, classification or utilization of personal data by means of fully or partially automated means or manually by being part of any data recording system.

1. PERSONAL DATA PROCESSED

   The personal data that are processed by our Company are categorized as following:

   • Identity Information (Such as the information presented in identity card, driver license and passport)
   • Contact Information (Address, e-mail address, phone number, KEP address etc.)
   • Location Information
   • Employees’ personal information (payroll information, disciplinary proceeding, records of employment and termination of employment documents, Information on the declaration of property, information on curriculum vitae, information on performance evaluation, information on leaves etc.)
   • Information on Legal Procedures (Information in correspondence with judicial authorities, information in the lawsuit file etc.)
   • Information on Customer Transactions (Records, requests, instructions etc. related to goods and service offers)
   • Physical Space and Security Information (Record information with respect to entrances and exits of employees and visitors to and from the workplace, camera records etc.)
   • Process Security (IP address, web-site log in and log out information, password information etc.)
   • Risk Management (certificate of authority, specimen signature and information processed in order to manage commercial, technical and administrative risks)
   • Financial Information (balance sheet, financial performance, bank account information etc.)
   • Information on Occupational Experience (diploma information, courses received, vocational training, certificates etc.)
   • Marketing Information (information on the shopping history, records of surveys and cookies, information received through campaign activities)
   • Visual/Audio Information
   • Sensitive Personal Data (Criminal record; information regarding the state of health; religious affinity; information regarding penal conviction; racial data)
   • Other Information (information regarding the usages of vehicle that belongs to the Company; vehicle tracking system data; traffic fines; accident reports; occupation accident reports; vehicle possession documents; etc.)

2. THE PURPOSE OF PROCESSING PERSONAL DATA
   1. To comply with the law and the principles of straightforwardness;
   2. To be accurate and up-to-date whenever necessary;
   3. To be processed for certain, obvious and legal purposes;
   4. To be connected, limited and restrained with the objectives of processing;
   5. To be stored as long as the period stipulated by the relevant legislation or required for the purposes of processing.

   Your personal data will be processed in accordance with the above given principles within the scope of purposes listed below as per the 4^th, 5^th and 6^th clauses of the Law:

   • Fulfilling the management and activities of our company in accordance with the legislation and company policies and procedures;
   • Fulfilling the liabilities that are assumed through the execution of Agreement, product and service conditions fully and accurately;
   • Complying with the legal liabilities;
   • Putting up the products and services offered by our Company for sale;
   • Establishing and maintaining the communication between supplier, business partners, external service providers and customers;
   • Executing the policies and processes of Human Resources;
   • Planning and implementing the information security and business continuity processes;
   • Procuring the physical, legal and commercial security of the Company, personnel, customers and other persons who are in a business relationship with the Company;
   • Carrying out the marketing analysis activities;
   • Carrying out communication and marketing activities;
   • Management of the employee and customer satisfaction;
   • Carrying out finance, accounting and operation processes;
   • Management of organizations and events;
   • Carrying out quality control processes through audit and execution of risk management activities;
   • Planning and conducting intracompany/external training activities;
   • Planning and conducting operational activities required for ensuring the execution of company activities in compliance with company procedures and/or relevant legislation;
   • Ensuring the security of company premises and facilities by means of generating and following up the visitor records;
   • Follow up of legal processes;
   • Informing the authorized persons, organizations and institutions.

   Our company never use or sell your personal data for no purpose other than the above-listed purposes and its scope and activities. All kinds of technical and administrative precautions are taken by our Company in order to prevent your personal data to be processed or accessed illicitly and to ensure that your personal data are safely stored.

   You can have access to detailed information concerning the reasons why your personal data are processed by our Company through ‘‘The Policy of Protecting and Processing Personal Data’’ which is given in the following web-page: www.anexservices.com.tr

3. TRANSFER OF PERSONAL DATA

   Your personal data may be transferred to our business partners, suppliers, shareholders, company officials, Group Companies/ shareholders/ authorized persons, 3^rd persons/institutions, which are required to gather your personal data because of the purpose of processing your personal data or to which to which we provide services and have an agreement, and public institutions and organizations which are legally authorized and legal persons of the private law, with respect to your explicit consent in order to fulfil the abovementioned process and objectives or even without seeking for your explicit consent in the cases written down in the second subparagraph of 5^th clause of the Personal Data Protection Law ( a) in the cases it is explicitly stipulated by relevant laws, b) it is obligatory to protect the life or physical integrity of the person or someone else who is in a condition of expressing his/her consent due to physical impossibility or whose consent does not gain legal validity, c) it is necessary to process personal data owned by the parties of a contract on the condition that it is directly related with concluding or execution of a contract, d) it is made public by the relevant person through her/his own free will, e) it is mandatory to process data in order to establish, exercise or protect a right and f) it is obligatory to process data for the legitimate interests of data supervisor provided that fundamental rights and freedoms of the related person are not harmed.) and personal data regarding health and sexual life expressed in the third paragraph of the 6^th clause may be transferred by the persons and authorized institutions and organizations who/which are under confidentiality obligation provided that the required measures are taken only in order to ensure public health and to render services like preventive medicine, medical diagnosis, treatment and care and to plan and administer health services and financing and for the below-listed purposes:

   • Meeting information-document demand within the scope of legal authority of authorized state institutions and organizations and private law persons;
   • Execution of corporate law, commercial activities, activity management and corporate communication processes;
   • Planning, implementation and management of strategies regarding commercial activities of the Company; execution of monitoring, risk management and audit activities;
   • Execution of processes, commercial activities and customer complaint/lawsuit processes which require participation of group companies;
   • Managing the processes regarding goods and services that are procured extraneously and getting support, audit and consultancy services;
   • Fulfilling the objectives of establishing the business partnership and customer services.

   You can have access to detailed information concerning the transfer of your personal data by our Company through ‘‘The Policy of Protecting and Processing Personal Data’’ which is given in the following web-page: www.anexservices.com.tr

4. THE METHOD OF DATA GATHERING AND LEGAL REASONS

   Your personal data may be gathered by our group companies, business partners and 3^rd persons/institutions, which are required to gather your personal data because of the purpose of processing your personal data or to which to which we provide services and have an agreement, either automatically or manually as being a part of data recording system or through documents and information that you submit verbally, electronically or in writing.

   4.1 Your personal data may be processed with respect to your explicit consent pursuant to 5(1) clause of the Law but, without seeking for your explicit consent if the following conditions, specified in 5(2) clause of the Law, exist:

   1. It is clearly stipulated by Laws.
   2. It is obligatory to protect the life or physical integrity of the person or someone else who is in a condition of expressing his/her consent due to physical impossibility or whose consent does not gain legal validity.
   3. It is necessary to process personal data owned by the parties of a contract on the condition that it is directly related with concluding or execution of a contract
   4. It is required in order to enable data supervisor to perform her/his obligations.
   5. It is made public by the relevant person through her/his own free will.
   6. It is mandatory to process data in order to establish, exercise or protect a right.
   7. It is obligatory to process data for the legitimate interests of data supervisor provided that fundamental rights and freedoms of the related person are not harmed.

   4.2 Your sensitive personal data other than health and sexual life can be processed with regard to your explicit consent in accordance with the clause 6(2) of Law or in the cases stipulated in the Laws in accordance with the clause 6(3).

   4.3 Your sensitive personal data concerning health and sexual life may be processed with regard to your explicit consent in accordance with the clause 6(2) of Law. In the event that you did not give your explicit consent, you sensitive personal data concerning health and sexual life may be processed only by the persons and authorized institutions and organizations who/which are under confidentiality obligation in order to ensure public health and to render services like preventive medicine, medical diagnosis, treatment and care and to plan and administer health services and financing.

5. YOUR RIGHTs WITHIN THE SCOPE OF LAW

   Pursuant to 11^th clause of the Law, you can apply to our Company regarding your personal data in order to:

   • Learn whether your personal data are processed or not and whether your personal data are used according to declared purposes or not and learn the reason why your data are processed and demand information regarding processing your personal data in case it is processed;
   • Learn the third parties to whom your data are transferred within the borders of our country or abroad pursuant to Law;
   • Ask for correction in case your data are processed deficiently or improperly;
   • Request your personal data to be erased or destroyed within the frame of provisions stipulated by the Law;
   • Ask our Company to notify the third parties, to whom your personal data are transferred, regarding your request to correct, erase or destroy your personal data;
   • Object to any negative consequence that you face due to the fact that your personal data are exclusively analysed through automated systems;
   • Demand to be indemnified in case you suffer a loss since your personal data are processed illegally.

   In order to exercise your rights concerning implementation of the Law, you can apply to our Company by filling ‘‘Data Owner Application Form’’ which is provided in the following address: www.anexservices.com.tr and send this application form via the method, specified below. In case any new application method is defined by the Board of Protection of Personal Data, such methods will be announced by us.

   • Delivering a copy of the Application Form bearing the wet signature in person by hand or through public notary to the address of “Barbaros Mah. Serik Cad No:305A/1 Aksu/ANTALYA” after the Data Owner Application Form is filled out.
   • Sending the Data Owner Application Form bearing a secure electronic signature to [email protected] via registered electronic mail after the Application Form is filled out and signed by means of ‘‘secure electronic signature’’ within the scope of Electronic Signature Act numbered 5070.

   Your applications within this scope will be finalized as soon as possible and maximum within 30 days. Such applications are free of charge for now. However, in case that The Board of Protection of Personal Data designates a fee then, a fee can be charged in compliance with this tariff.

   The following information shall be included in the Application pursuant to legislation and in case of any deficiency your application will not be put into process. Accordingly, the following information shall accompany the information regarding your request in your applications:

   1. Your name, surname and your signature if it is a printed copy;
   2. Republic of Turkey Identity Number for the citizens of Republic of Turkey and nationality, passport number or identity number for foreigners;
   3. Residence address or workplace address used for the correspondence;
   4. Electronic mail address, phone and fax number used for the correspondence;
   5. The request matter shall be explicitly stated.
   
   

   Respectfully submitted for your information.

   ANEX SERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET A.Ş.
   ADDRESS	: BARBAROS MAHALLESİ SERİK CAD. A Apt. NO: 305 A/1 AKSU ANTALYA
   CENTRAL REGISTRATION SYSTEM NO	: 0764038778500017
   TRADE REGISTRATION NO	: 83427
   TAX OFFICE	: Antalya Kurumlar V.D.
   TAX IDENTIFICATION NUMBER	: 7640387785

DOCUMENT CODE	:	GM-P002
APPROVED BY	:	BOARD OF DIRECTORS
DATE OF APPROVAL	:	05/01/2019
LAST REVISION DATE	:	00/0000
VERSION NO	:	01
RELATED DOCUMENTS	:	Personal Transactions Protection and Processing Policy Processing of Sensitive Personal Data Policy Personal Data Protection and Processing Enlightenment Text

CONTENTS

1. PURPOSE. 2

2. SCOPE. 3

3. RESPONSIBILITY. 3

4. DEFINITIONS. 3

5. RECORDING MEDIUMS. 5

6. LEGAL, TECHNICAL OR OTHER REASONS THAT REQUIRE THE RETENTION AND DESTRUCTION OF PERSONAL DATA. 5

7. MEASURES TO PROTECT PERSONAL DATA AND PREVENT İLLEGAL PROCESSİNG AND İLLEGAL ACCESS. 6

7.1      ADMINISTRATIVE MEASURES. 7

7.2      TECHNICAL MEASURES. 7

8. MEASURES TAKEN FOR LAWFUL DESTRUCTION PERSONAL DATA. 8

8.1.     DELETION OF PERSONAL DATA. 8

8.2.     DESTRUCTION OF PERSONAL DATA. 9

8.3.     ANONYMIZATON OF PERSONAL DATA. 10

8.3.1   Anonymization Methods That Do Not Provide Value Irregularity: 11

8.3.2   Anonymization Methods That    Provide Value Irregularity: 11

8.3.3   Statistical Methods to Strengthen Anonymization: 11

9. PERSONNEL INVOLVED IN PERSONAL DATA RETENTION AND DESTRUCTION PROCESSES. 11

10.      PERSONAL DATA RETENTION AND DESTRUCTION TIMES. 12

10.1   DELETION, DESTRUCTION OR ANOYNMIZATION EX OFFICIO TIMES. 13

10.2    DELETION AND DESTRUCTION TIMES OF PERSONAL DATA UPON REQUEST OF THE PERSON CONCERNED.. 13

ANNEX 1 PERSONNEL INVOLVED IN PERSONAL DATA RETENTION AND DESTRUCTION PROCESSES. 13

1. PURPOSE

The purpose of this policy is to define the procedures and principles, internal controls and precautions, operating rules and responsibilities regarding the retention and destruction of the ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Company) for the maximum time necessary for the purpose for which the personal data are processed in accordance to the Turkish Personal Data Protection Law no. 6698 (Law).

In line with the mission, vision and basic principles of the Strategic Plan, the company has adopted as a priority the processing of data of employees, employee candidates, service providers, visitors and other third parties in accordance with Turkish Basic Law, International Agreements, Turkish Personal Data Protection Law no. 6698 (Law) and other related consents and to effectively exercise the rights of the data owners. The work and procedures regarding the retention and destruction of personal data are carried out by the company in accordance with the Policy prepared in this policy.

1. SCOPE

These policy provisions are applied to customers, visitors, employees, employee candidates, shareholders, natural person authorities, shareholders, employees of the companies with which the Company has commercial relations (group companies, partners, suppliers, consultancies, etc.) and family members of data owners,  whose personal data are processed by the Company in whole or in part, or non-automated provided that it is part of any data recording system. This policy has been prepared in accordance with the Company's "Personal Data Inventory".

1. RESPONSIBILITY

This policy has been approved and implemented by the Company’s Board of Directors. Within the framework of the policy, all activities to be carried out in the company and the measures to be taken are defined by the appropriate procedures. The Company's management is responsible for preparing, updating and implementing these procedures.

All Company employees are responsible for performing their duties in accordance with this policy and all relevant procedures and regulations.

1. DEFINITIONS

The important definitions in this policy are listed below.

Recipient Group	The category of natural or legal persons to whom personal data is transferred by the data controller.
Cloud Environments / Systems	Systems where data such as Office 365, Salesforce, Dropbox can be stored and accessed on the internet.
Direct identifiers	Identifiers that directly reveal, disclose and distinguish the person they are in contact with.
Indirect identifiers	Identifiers that come together with other identifiers to reveal, disclose and distinguish the person they are in contact with.
Data owner	Natural person whose personal data are processed.
Related user	Persons who process personal data within the organization of the data controller or in accordance with the authorization and instruction received from the data controller, with the exception of the person or unit responsible for the technical retention, protection and backup of the data.
Destruction	Deletion, Destruction, and Anonymization of Personal Data.
Law	Turkish Personal Data Protection Law no. 6698.
Blackout	Procedures such as scratching, painting and icing all of the personal data so that they cannot be associated with an identified or identifiable natural person.
Recording Medium	Any medium in which personal data are processed, which are fully or partially automated, or processed in non-automated ways, provided that they are part of any data recording system.
Personal Data	Any information relating to an identified or identifiable natural person;
Personal Data Processing Inventory	Inventory in which are described and detailed; personal data processing activities carried out depending on the business processes of data officers; personal data processing purposes, data category, transferred recipient group and the maximum amount of time required for the purposes for which the personal data is created and associated with the data owner group, personal data foreseen to be transferred to foreign countries and data security measures.
Processing of personal data	Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.
Deletion of personal data	Making personal data inaccessible and unusable to relevant users in any way.
Destruction of personal data	Making personal data inaccessible, retrievable and reusable by anyone.
Anonymization of personal data	Making personal data unrelated to an identified or identifiable natural person under any circumstances, even by matching with other data.
Board	The Board of Protection of Personal Data.
Authority	The Authority of Protection of Personal Data.
Magnetic Tape	Media that stores the data with the help of micro magnet pieces on the flexible tape
Magnetic Disc	Media that stores data with the help of micro-magnet pieces on flexible (plate) or fixed media
Masking	Operations such as deletion, scratching, painting and starring certain areas of personal data in such a way that they cannot be associated with a specific or identifiable natural person.
Periodic destruction	In the event that all the conditions in the law for processing personal data disappear, the deletion, destruction or anonymisation will be carried out ex officio at regular intervals, as specified in the Personal Data Retention and Destruction Policy.
Data processor	Natural or legal person who processes personal data based on the authority granted by and on behalf of the data controller.
Data recording system	Any recording system through which personal data are processed by structuring according to specific criteria.
Data controller	Natural or legal person who determines the purposes and means of the processing of personal data, and who is responsible for establishment and management of the filing system.

1. RECORDING MEDIUM

The personal data of the data owners are stored securely in the following recording mediums organized by the Company in accordance with the relevant legislation, in particular the provisions of the Law, and within the framework of data security principles:

1. Cloud 
2. Paper medium
3. Central servers
4. Databases
5. Hard Drives

1. LEGAL, TECHNICAL OR OTHER REASONS THAT REQUIRE THE RETENTION AND DESTRUCTION OF PERSONAL DATA      

Personal data collected by the Company are processed within the scope of the purposes set out in the Personal Data Protection and Processing Policy in accordance with the processing conditions specified in Articles 5 and 6 of the Law and stored for the following purposes:

• Management of the company, performing and auditing the activities in accordance with the law, Company strategies, policies and procedures,
• Implementing human resources policies; planning and execution of human resources processes,
• Planning and implementation of information security processes,
• Ensuring the physical, legal and commercial security of the Company, its personnel and those who have a business relationship with the Company,
• Planning and implementation of corporate communication and marketing activities,
• Fulfilling legal obligations and exercising the rights arising from the legislation in force, as required or obligated by legal regulations,
• Execution of works and transactions within the framework of signed contracts and protocols,
• Management of relations with group companies, business partners and suppliers,
• Providing communication with real / legal persons in business relationship,
• Arrangement of all records and documents that will be based on transactions,
• Legal reporting,
• Providing legally authorized institutions and organizations with information arising from the legislation,
• Fulfilment of the burden of proof as evidence in future legal disputes.

Personal data processed within the framework of the Company's activities, is stored for the period of retention envisaged under the laws given below:

• Personal Data Protection Law No. 6698   
• Turkish Commercial Code No. 6102,
• Turkish Code of Obligations No. 6098,
• Consumer Protection Law No. 6502 
• Social Insurance and General Health Insurance Law No. 5510,
• Law No. 5651 on the Arrangement of Broadcasts Made on the Internet and Combating Crimes Committed Through These Publications,
• Occupational Health and Safety Law No. 6331,
• Labour Law No. 4857,
• Regulation on Health and Safety Measures to be Taken in Workplace Buildings and Additions,
• Other relevant laws and secondary regulations

Although it has been processed in accordance with the provisions of the law and other relevant laws, in the event that the reasons requiring its processing disappear, the personal data is deleted, destructed or anonymized by the Company ex officio or upon the request of the person concerned.

Accordingly;

• Amendment or removal of relevant legislation provisions that constitute the basis for processing personal data,
• The contract between the parties has never been established, the contract is not valid, the contract is terminated spontaneously, the contract is terminated, or the contract is returned
• The purpose that requires the processing of personal data disappears,
• It is determined that processing personal data is against the law or honesty rule,
• In cases where the processing of personal data occurs only based on explicit consent, the relevant person's withdrawal of his consent,
• The Company's acceptance of the application of the relevant person regarding the processing of personal data within the framework of the rights in paragraph 11 (e) and (f) of Article 11 of the Law,
• In cases where the company refuses the application made by the relevant person with the request of deletion or destruction of his personal data, the response he has given is insufficient or does not respond within the period stipulated by the Law; Complaints to the Board and this request is approved by the Board,
• Although the maximum period requiring the retention of personal data has passed, there are no conditions that would justify keeping the personal data longer,
• In the event of the disappearance of conditions requiring the processing of personal data in Articles 5 and 6 of the Law, personal data must be deleted, destructed or made anonymous.

1. MEASURES TO PROTECT PERSONAL DATA AND PREVENT ILLEGAL PROCESSING AND ILLEGAL ACCESS         

Technical and administrative measures are taken by the Company to ensure the appropriate level of security in order to prevent and protect the personal data from being illegally processed and accessed; Necessary audits are provided to ensure the enforcement of the provisions of the law.

1. ADMINISTRATIVE MEASURES

1. By determining the probability of occurrence of the risks that may arise regarding the protection of personal data and the losses it will cause in case of occurrence, measures are taken to reduce or eliminate the risks.
2. The duties, powers and responsibilities of the personnel involved in all processes and policies regarding the processing of personal data, ensuring the confidentiality and security and disposal are written down and made available to all personnel.
3. Personnel are provided with the necessary trainings within the scope of processing, protection and data security of personal data.
4. Keeping the policies and procedures up-to-date and providing the necessary training and informing the employees about the changes made are ensured.
5. Within the scope of the recruitment process, provisions regarding the protection and confidentiality of personal data are added to the contracts signed between the employees and the Company and signed by the employee.
6. By determining whether the processed personal data is still needed and stored in the right place, personal data retained for archival purposes will be kept in a more secure environment and unneeded personal data will be deleted, destructed or made anonymous in accordance with the Personal Data Retention and Destruction Policy.
7. Access to the personal data stored within the company is restricted to the personnel required for access based on the duty description.
8. If employees fail to comply with policies and procedures established and announced by the Company, sanctions will be imposed in accordance with the disciplinary process. 
9. With regard to the disclosure of personal data, confidentiality agreements for the protection of personal data and data security are concluded with individuals and data processors or data protection provisions are added to existing agreements.
10. within the framework of policies and procedures, regular checks are carried out for areas open to development, and necessary measures are planned and implemented.
11. In order to ensure enforcement of the legal provisions, measures are planned for the confidentiality and security deficiencies resulting from the audits, and the findings are promptly remedied.
12. If the processed personal data is obtained illegally from third parties, the data owner and the Management Board shall be informed as soon as possible.

1. TECHNICAL MEASURES

1. SSL connections, anti-virus and firewall software and hardware are used for the protection of information technology systems and data containing personal data.
2. Unused software and services are deleted from the devices.
3. The proper functioning of the software and hardware and the security measures taken are checked regularly; patch and software updates are provided to cover possible security gaps. Necessary precautions are taken by revealing risks, threats, weaknesses and openings, if any, for the company's information systems.
4. Access to systems containing personal data is provided within the framework of access policies, user and role management procedures. The scope and duration of authorization of users who have access to data are clearly defined. Information Technology employees' access to personal data is kept under control.
5. If remote access to the data is required, at least two-step authentication system is used.
6. Authority checks are carried out periodically.
7. The powers of the employees who change their duties or leave the job are revoked immediately. In this context, the inventory allocated to it by the Company is refunded.
8. Technical infrastructure is provided to prevent or prevent data from leaking out of the institution.
9. It is ensured that the log of transaction acts (log records) of all users are kept regularly.
10. The system weaknesses are controlled by receiving penetration test services regularly and when the need arises.
11. The medium and devices where personal data are stored are protected by taking physical security measures.
12. To ensure that personal data is stored safely, data is backed up and physical security of all backups is ensured.
13. Access to retention areas where personal data are stored is recorded and improper accesses or access attempts are kept under control.

14. Personal data is ensured to be destructed in a way that cannot be recycled and leave an audit trail.
15. Necessary measures are taken to make the deleted personal data inaccessible and reusable for the relevant users.
16. Pursuant to Article 12 of the Law, all kinds of digital media where personal data are stored are protected by encrypted or crypto graphic methods in a way to provide information security requirements. Cryptographic keys are kept safe and in different mediums.
17. During the storage and use of personal data in the cloud environment, encryption with cryptographic methods and using separate encryption keys where possible for personal data, especially for each cloud solution that is served; when the cloud computing service relationship ends; all copies of encryption keys required to make personal data available are destructed.
18. If it is necessary to transfer personal data via e-mail, it is ensured that it is transferred with an encrypted corporate e-mail address or by using a Registered Electronic Mail (KEP) account.
19. When it is necessary to transfer it via media such as Portable Memory, CD, DVD, it is encrypted with cryptographic methods and the cryptographic key is kept in different media.
20. While transferring between servers in different physical environments is performed, data transfer is performed by installing VPN between servers or by SFTP method.
21. Necessary precautions are taken against risks such as theft of documents, loss or being seen by unauthorized persons in the transfer of data via paper medium.

1. MEASURES TAKEN FOR LAWFUL DESTRUCTION PERSONAL DATA

1. DELETION OF PERSONAL DATA

Deletion of personal data is the process of making personal data inaccessible and reusable for the users concerned. All necessary technical and administrative measures are taken by the Company to make the deleted personal data inaccessible and reusable for the users concerned.

The process followed in the deletion of personal data is as follows:

1. Identification of personal data that will be the subject of deletion.
2. Identify relevant users for each personal data using the access authorization and control matrix or similar system.
3. Identification of the authorities and methods of the relevant users such as access, retrieval and reuse.
4. Closure and elimination of access, retrieval, reuse powers and methods of the relevant users within the scope of personal data.

Personal data are deleted by methods suitable for the recording media in which they are stored.

1. Data in the cloud is deleted by issuing a delete command. It is ensured that the user is not authorized to retrieve deleted data on the cloud system. 
2. Personal data on paper media is deleted using the blackout method. The blackout is done by truncating the personal data in the relevant documents whenever possible and making them invisible to the relevant users with solid ink so that they cannot be returned and read with technical solutions.
3. Office files on the central server are deleted with the delete command in the operating system, or the access rights of the respective user are removed from the directory in which the file is located. It is ensured that the user performing this operation is a different person than the database administrator.
4. Personal data on flash-based storage media is stored in encrypted form and deleted using software suitable for these media.
5. The personal data stored in the databases are deleted with the database commands (Delete) of the corresponding lines. It is ensured that the user performing this operation is a different person than the database administrator.

1. DESTRUCTION OF PERSONAL DATA

The destruction of personal data is to make the data inaccessible, retrievable and reusable for anyone. All necessary technical and administrative measures to destruct personal data are taken by the Company.

In order to destruct personal data, all copies of the data will be recognised and will be destructed in the following manner, one after the other, depending on the nature of the systems on which the data are available:

1. The following methods are used to destruct data on local systems:

• Demagnetize: The process of unacceptable falsification of the data on it by directing the magnetic media through a special device into a strong magnetic field.
• Physical destruction: The process of melting, burning or pulverizing optical and magnetic media.
• Overwrite: The process of preventing the recovery of old data by writing random data consisting of 0 and 1 at least seven times to magnetic media and rewritable optical media using special software.

2. The following methods are used to destruct data on environmental systems:

• Network devices (switch, router etc.): They are destructed by using one or more of the appropriate methods specified in (a).
• Flash-based environments: Flash-based hard drives with ATA (SATA, PATA etc.), SCSI (SCSI Express etc.) interface are destructed by using the <block erase> command if supported, if it is not supported, it is destructed by using the method of disposal proposed by the manufacturer or by using one or more of the appropriate methods specified in (a).
• Magnetic tape: They are destructed by exposure to very strong magnetic environments and demagnetizing or by physical destruction methods such as burning and melting.
• Units such as magnetic disc: They are destructed by exposing it to very strong magnetic environments by demagnetizing or physical destruction methods such as burning and melting.
• Mobile phones (Sim cards and fixed memory areas): They are destructed by using one or more of the appropriate methods specified in a).
• Optical discs (CD, DVD etc.): They are destructed by physical destruction methods such as burning, breaking into small pieces, melting.
• • Peripherals such as printer, fingerprint door access system, which can be removed from the data recording medium: By verifying that all data recording media are removed, they are destructed by using one or more of the appropriate methods specified in (a).
• Peripherals such as printer with fixed data recording environment, fingerprint door access system: they are destructed by using one or more of the appropriate methods specified in (a).

3. Since the personal data in the paper and microfiche media are permanently and physically written on the media, the main media is to be destructed. During this process, the data is divided with paper destroying or cutting machines, horizontally and vertically into small pieces of incomprehensible size that cannot be combined. Personal data transferred by scanning from the original paper format to the electronic medium is demagnetized, physically destroyed according to the electronic medium on which it is located, and methods such as overwriting are destructed using one or more methods.

4. For the personal data contained in the Cloud, upon termination of the Cloud Computing Service relationship, all copies of the encryption keys required to provide the personal data will be destructed.

5. The destruction of personal data in devices which are malfunctioning or sent for maintenance is done as follows:

• Personal data are destructed by using one or more of the appropriate methods specified in (a), before they are disclosed to third parties such as manufacturers, vendors, maintenance service, repair,
• In cases where destruction is not possible or appropriate, the data carrier will be removed and stored and other defective parts will be sent to third parties such as manufacturers, vendors, service providers,
• It shall be ensured that the necessary measures are taken to prevent personal data from being copied by the personnel responsible for maintenance, repair and outside personnel.

1. ANONYMIZATION OF PERSONAL DATA

When personal data is made anonymous, personal data is under no circumstances associated with an identified or identifiable natural person, even if it is compared with other data. Anonymisation means that all direct and/or indirect identifiers in a data set are removed or changed in order to prevent the identity of the data owner from being identified or from losing their distinction in a group or set in a way that cannot be attributed to any natural person. Data that does not indicate a specific person due to the blocking or loss of these functions is considered anonymous data.

In determining the anonymisation methods to be used by the company, taking into account the following characteristics of the data set, one of the methods contained in the guidelines published by the Authority on the deletion, destruction or anonymisation of personal data shall be used:

• nature of the data,
• size of the data,
• structure of data in physical environments,
• data diversity,
• the purpose of the processing requested from the data,
• frequency of data processing
• reliability of the party to whom the data is transferred,
• effort to make the data anonymous makes sense. 
• extent and scope of the damage that may be caused if the anonymity of the data is compromised,
• the distribution, centrality ratio of the data,
• control of the users via access authorization to the relevant data,
• probability that his effort to construct and implement an attack that would disrupt anonymity would be meaningful.

1. Anonymization Methods That Do Not Provide Value Irregularity:

• Extracting Variables

• Extracting Records

• Regional Hiding

• Generalization

• Lower and Upper Limit Coding

• Global Coding

• Sampling

• Masking

• Aggregation / Creating Cumulative Data

1. Anonymization Methods That Do Not Provide Value Irregularity:

• Micro Joining

• Data Exchange

• Add Noise

1. Statistical Methods to Strengthen Anonymization: 

• K-Anonymity

• L-Diversity

• T-Proximity

1. PERSONNEL INVOLVED IN PERSONAL DATA RETENTION AND DESTRUCTION PROCESSES    

All units and employees of the Company, who are involved in the processing, retention and destruction of personal data, are responsible for the fulfilment of this Policy requirements, the proper implementation of the technical and administrative measures taken under the Policy, and for storing and protecting the data they produce in their own business processes.

Regular destruction that affects business processes and leads to data integrity, data loss and results that are contrary to legal requirements is carried out by the Information Technology Department, taking into account the nature of personal data, the systems in which it is stored and the business unit that owns the data.

The titles, units and job descriptions of those involved in the retention and destruction of personal data are included in the annex of this Policy.

1. PERSONAL DELATION, DESTUCTION OR ANOYNMIZATION EX OFFICIO TIMES

The table showing the time of retention and destruction of personal data at the company is given below:

Data category	Maximum retention time	Destruction time
Identity, Communication, Professional Experience, Personal, Financial, Visual and Audio Information, Risk Management, Disability, Criminal Record Registration Information of Employee	10 years after the end of the business relationship	Within 180 days after the end of the retention period
Health Information of Employee	15 years after the end of the business relationship	Within 180 days after the end of the retention period
Transaction / Information Security Data of Employee	2 years after the end of the business relationship	Within 180 days after the end of the retention period
Vehicle Data of Employee	During the business relationship	Within 180 days after the end of the business relationship
Location Data of Employee	1 year	Within 180 days after the end of the retention period
Identity, Communication, Professional Experience, Personal, Visual and Audio Information of Employee Candidate	2 years	Within 180 days after the end of the retention period
Identity, Communication, Financial, Risk Management, Legal Proceedings, Visual and Audio Information, Criminal Record Registration, Personal Information, Customer Transaction Information of Company Partner	10 years after the end of the business relationship	Within 180 days after the end of the retention period
Identity, Communication, Financial, Visual and Audio, Risk Management Information of Supplier Authority/Employee	10 years after the end of the business relationship	Within 180 days after the end of the retention period
Transaction Safety Information of Supplier Authority/Employee	10 years after the end of the business relationship	Within 180 days after the end of the business relationship
Transaction Safety Information of Visitors	2 years	Within 180 days after the end of the retention period
Identity Information of Visitors	1 year	Within 180 days after the end of the retention period
Physical Space Security Information	2 months	Within 180 days after the end of the retention period
Identity, Communication, Customer Transaction Information of The Person Receiving The Product / Service	10 years after the end of the business relationship	Within 180 days after the end of the retention period
Visual and Audio Information of The Person Receiving The Product/Service (in-vehicle security cameras)	40 days	Within 180 days after the end of the retention period
Transaction Safety Information of The Person Receiving The Product/Service	2 years	Within 180 days after the end of the retention period

1. DELETION, DESTRUCTION OR ANOYNMIZATION EX OFFICIO TIMES

In the event that all the conditions for processing personal data disappear in the law, personal data will be regularly deleted, destructed or anonymize by the Company within a period of six months. In the first periodic destruction process following the date on which the obligation to delete, destruct or anonymize personal data occurs, the implementation of such transactions is ensured.

If the relevant personal data has been transferred to third parties, this is notified to the data transmitting parties and / or those who process data on behalf of the Company based on the authorization granted by the Company and necessary actions are taken before these persons.

1. DELETION AND DESTRUCTION TIMES OF PERSONAL DATA UPON REQUEST OF THE PERSON CONCERNED             

In case the data owner requests the personal data to be deleted or destructed;

1. When all conditions for processing personal data have disappeared, personal data which are the subject of the request shall be deleted, destructed or anonymized by the company within thirty days at the latest and the data owner shall be informed.
2. If all the conditions for processing personal data have been disappeared and the personal data owner to the request have been transferred to third parties, this will be notified to the parties who have transferred the data and / or data processors on behalf of the Company based on the authorization granted by the Company, and the necessary actions are taken before these persons.
3. If all the conditions for processing personal data have not disappeared, this request may be rejected by explaining its justification pursuant to Article 13 of the Law, and the rejection response will be notified to the concerned person in writing or electronically within thirty days at the latest.

All transactions regarding the deletion, destruction and anonymization of personal data are recorded and these records are kept for at least three years, excluding other legal obligations.

ANNEX 1 PERSONNEL INVOLVED IN PERSONAL DATA RETENTION AND DESTRUCTION PROCESSES         

TITLE	DEPARTMENT	DUTY DEFINITION
Senior Management	Board of Directors, General Coordinator, General Manager	Responsible for the preparation, publishing, updating of the policy and ensuring that the employees act in accordance with the policy.
Department Manager	All departments	Responsible for the execution of the Policy in accordance with its duties and for its implementation in the unit it is responsible for.
Information Technologies Manager	Information Technologies	Responsible for safely retention, processing, accessing and destructing of personal data, in accordance with the law and for the management of the personal data destruction process.
Human Resources Manager Finance Manager Accounting Manager Law Manager Quality Manager	Human Resources  Finance  Accounting  Law  Quality	Responsible for implementing personal data retention and destruction policy: Is responsible for the management of the personal data destruction process in accordance with the periodic destruction period, ensuring the compliance of the processes within its duty with the retention period.

DOCUMENT NO	:	GM-P001
APPROVED BY	:	BOARD OF DIRECTORS
DATE OF APPROVAL	:	05/01/2019
LAST REVISION DATE	:	00/0000
VERSION NO	:	01
RELATED DOCUMENTS	:	Personal Data Retention and Destruction Policy Personal Data Protection and Processing Enlightenment Text Explicit Consent Statement for Processing of Personal Data Processing of Sensitive Personal Data Policy Data owner Application Form

CONTENTS

1.     PURPOSE. 3

2.     SCOPE. 3

3.     RESPONSIBILITY. 3

4.     DEFINITIONS. 3

5.     PROCESSING OF PERSONAL DATA. 5

5.1.   GENERAL PRINCIPLES REGARDING THE PROCESSING OF PERSONAL DATA.. 5

5.2.   CONDITIONS FOR PROCESSING OF PERSONAL DATA.. 6

5.3.   CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA.. 8

5.4.   DATA OWNER, PERSON GROUP AND PERSONAL DATA CATEGORIES PROCESSED.. 9

5.5.   PURPOSES OF PROCESSING PERSONAL DATA.. 11

5.6.   DELETION, DESTRUCTION AND ANONYMIZATION OF PERSONAL DATA.. 13

5.7.   TRANSFER OF PERSONAL DATA.. 14

5.7.1.    TRANSFER OF PERSONAL DATA DOMESTIC. 14

5.7.2.    TRANSFER OF PERSONAL DATA ABROADI 15

5.7.3.    TRANSFER OF DATA PROCESSED BY GROUP COMPANIES TO THE COMPANYI 15

6.     DATA SECURITY ISSUES. 16

6.1    ADMINISTRATIVE MEASURES. 16

6.2    TECHNICAL MEASURES. 16

7.     ENLIGHTENMENT. 17

8.     RIGHTS OF THE DATA OWNER. 18

8.1    SITUATIONS OUTSIDE THE RIGHTS OF DATA OWNERS. 18

1. PURPOSE

The purpose of this policy is to respect the fundamental rights and freedoms and privacy of individuals, especially the privacy of personal life, to ensure compliance with the obligations arising from the processing of personal data, to establish strategies, internal controls and measures, operational rules and responsibilities with regard to the processing and security of personal data, to make the data owner and the employees of the company aware while the processing of personal data by the company ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Company), in accordance with the Basic Law of the Turkish Republic and Law No. 6698 on the protection of personal data. 

1. SCOPE

These provisions apply to natural persons whose personal data are processed wholly or partly by automatic means or to natural persons whose data are not processed by automatic means, provided that they are part of a data collection system. Data owner is given in the article 5.4.

1. RESPONSIBILITY

This policy has been approved and implemented by the Company’s Board of Directors. Within the framework of the policy, all activities to be carried out in the company and the measures to be taken are defined by the appropriate procedures. The Company's management is responsible for preparing, updating and implementing these procedures.

All Company employees are responsible for performing their duties in accordance with this policy and all relevant procedures and regulations.

1. DEFINITIONS

The important definitions in this policy are listed below.

Explicit Consent	Consent on a specific subject, informative and explained by free will
Anonymization	Rendering personal data by no means identified or identifiable with a natural person even by linking with other data.
Data owner	Natural person whose personal data are processed.
Related user	Persons who process personal data within the organization of the data controller or in accordance with the authorization and instruction received from the data controller, with the exception of the person or unit responsible for the technical retention, protection and backup of the data.
Destruction	Deletion, Destruction, and Anonymization of Personal Data
Law	Turkish Personal Data Protection Law no. 6698
Recording Medium	Any medium in which personal data are processed, which are fully or partially automated, or processed in non-automated ways, provided that they are part of any data recording system.
Personal Data	Any information relating to an identified or identifiable natural person.
Processing of personal data	Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.
Deletion of personal data	Making personal data inaccessible and unusable to relevant users in any way.
Destruction of personal data	Making personal data inaccessible, retrievable and reusable by anyone.
Anonymization of personal data	Making personal data unrelated to an identified or identifiable natural person under any circumstances, even by matching with other data.
Board	The Board of Protection of Personal Data.
Authority	The Authority of Protection of Personal Data.
Sensitive Personal Data	Race, ethnicity, political thought, philosophical belief, religion, sect or other beliefs, disguise and outfit, association, foundation or union membership, health, sexual life, criminal conviction and security measures and biometric and genetic data of persons.
Periodic destruction	In the event that all the conditions in the law for processing personal data disappear, the deletion, destruction or anonymisation will be carried out ex officio at regular intervals, as specified in the Personal Data Retention and Destruction Policy.
Registry	Register of Data Protection Officers of the Presidency of the Data Protection Authority
Data processor	Natural or legal person who processes personal data based on the authority granted by and on behalf of the data controller.
Data recording system	Any recording system through which personal data are processed by structuring according to specific criteria.
Data controller	Natural or legal person who determines the purposes and means of the processing of personal data, and who is responsible for establishment and management of the filing system.

1. PROCESSING OF PERSONAL DATA 

1.  GENERAL PRINCIPLES RELATED TO THE PROCESSING OF PERSONAL DATA

The Company processes personal data in accordance with the procedures and principles established by law and other legislation, and the following principles are taken into account when processing personal data:

1. Compliance with laws and integrity rules

The Company will act in accordance with the law, secondary legislation and general principles of law when processing personal data under this policy. During the processing of personal data by the company, the following transaction will be applied as a minimum;

• A legitimate basis for processing personal data (e. g. explicit consent).
• The personal data may not be used in a way that leads to results against individuals without legitimate reason.
• Introduce transparency as a principle in the processing of personal data and inform people in this context.
• It is ensured that personal data are processed as little as possible and in accordance with the reasonable expectations and predictions of individuals.

2. Being true and when necessary updated 

In accordance with this principle, the following points are realized by the Company;

• Perform checks to ensure that personal data is correct,
• The sources from which the personal data originate are secure and their accuracy is checked,
• Careful consideration of requests due to incorrect personal data,
• Assessment of personal data should be updated or not,
• Technical and administrative measures are taken to keep channels open and to ensure that the information provided by the data owner is accurate and up-to-date.

3. Processing for specific, clear and legitimate purposes

The company shall ensure that the activities relating to the processing of personal data are clearly understandable to the data owner and are processed within the framework of the clear and legitimate purposes established before the start of the processing of personal data.

4. The data should be combined, limited and measured for the purpose for which they are processed

The personal data will be processed by the company only in connection with the achievement of the established objectives and only with the personal data necessary to achieve the purpose. The personal data collected will not be unlawfully disclosed to third parties and will not be used for purposes other than processing.

5. Retention for the time provided for by the relevant laws or for the time required for processing

The company stores personal data only for the period of time required by the relevant laws or for the purpose for which it is processed. If the reasons for processing cease to apply, the personal data will be deleted, destructed or made anonymous by the Company, either ex officio or at the request of the data owner. 

Retention periods and retention principles for personal data are regulated in the Personal Data Retention and Destruction Policy.

1. CONDITIONS FOR PROCESSING OF PERSONAL DATA

Personal data are processed by the company in accordance with the processing conditions set out in Article 5 of the Law. In this context, the personal data processing activities carried out will be carried out in the presence of the personal data processing conditions set out below:

1. Obtaining the explicit consent of the data owner

The Company evaluates whether the purpose of personal data processing is based on one of the processing conditions other than explicit consent. If it does not fulfil at least one of the conditions derogating from the law as the explicit consent, the consent of the person concerned shall be deemed to be given for the continuation of the data processing activity. 

In this context, the relevant personal data will be processed by the Company if the data owner consents to the Explicit Consent Statement for Processing of Personal Data regard to the processing of the data concerning him/her, with knowledge of the Personal Data Protection and Processing Enlightenment Text provided by the company, freewill, without leaving room for hesitation and limited only by the relevant transaction. 

2. Clearly prescribed by law

Insofar as the laws contain provisions for the processing of personal data, personal data will only be processed by the Company within the framework of the relevant legal provisions.

3. The person who cannot give his consent due to factual impossibility or whose consent is not legally valid is obliged to protect his/her life or the integrity of another person.

If the data owner cannot give his/her consent or his/her consent is not valid, the data may be processed by the Company in this context if the personal data are necessary to protect the life or physical integrity of the persons.

4. Requirement to process personal data of the parties to the contract where they are directly related to the conclusion or performance of a contract.

If the processing of personal data of the parties to the contract is obligatory, insofar as it is directly related to the conclusion or performance of a contract, the personal data of the persons concerned will be processed by the company, limited for this purpose.

5. The company is obliged to comply with its legal obligation

If data processing is required to fulfil the legal obligation, the personal data of the person concerned will be processed by the Company.

6. The data were published by the data owner himself/herself

Personal data which are published by the person concerned himself or herself and which are made available to the public in any way, are processed by the company restricted to the purpose.

7. Data processing is compulsory for the establishment, use or protection of a right

If the processing of personal data is necessary for the establishment, use or protection of a right, the processing of personal data is carried out by the Company in parallel with this obligation.

8. The processing of data is compulsory for the legitimate interests of the controller, provided that the fundamental rights and freedoms of the data owner are not violated

The processing of personal data is possible if the processing of data is required for legitimate reasons of the company, provided that the fundamental rights and freedoms of the data owner are not violated. A fair balance is struck between the benefits to the company from the data processing and the fundamental rights and freedoms of the data owner.

Processing conditions and examples of personal data, which are out of consent, are given in the table below:

Processing conditions	Scope	Example
Provision of the law	Tax Laws, Labour Law, Turkish Commercial Code, etc.	Keeping employee personal information in accordance with the law.
Conclusion of contract	Employment Contract, Sales Contract, etc.	Processing of personal data of employees in order to organize payroll.
Actual Impossibility	A person who cannot give consent due to de facto impossibility or is unable to distinguish.	Personal health information of the unconscious person. Location information of a kidnapped or missing person.
Legal Obligation of Data Controller	Financial Controls, Security Legislation, Compliance with Regulations.	Processing of data such as bank account number, marital status, existence of dependant, working situation of spouse, social insurance number in order to pay wages to the employee.
Publicity	The person concerned presents his information to the public.	The person declares his / her contact information publicly in order to be contacted in certain situations.
Establishment, use or protection of a right	Opening lawsuits, registration procedures, any kind of title deed etc. mandatory data in jobs.	Keeping the necessary information about an employee leaving the job during the trial timeout.
Legitimate Interest	The processing of data is compulsory for the legitimate interests of the controller, provided that the fundamental rights of the data owner are not violated	Data processing for the purpose of applying rewards and premiums that increase employee loyalty.

1. CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA

When the company processes sensitive personal data, it first determines whether data processing conditions exist, after ensuring that the legal compliance requirement that data be processed is met. In this context, and subject to appropriate measures being adopted by the Management Board, specific personal data shall be processed under the following conditions:

1. Specific personal data other than health and sex life,
   • If there is an explicit consent statement of data owner or
   • in legally prescribed cases

2. Personal data relating to health and sex life,
   • If there is an explicit consent statement of data owner 
   • Without the explicit consent of the data owner, personal data relating to health and sex life may only be processed for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

Processing conditions and examples of sensitive personal data, excluding explicit consent, are given in the table below:

Processing conditions	Scope	Example
Provision of the law	Personal data other than health and sexual life can be processed without the explicit consent of the person concerned. Tax Laws, Labour Law, Turkish Commercial Code etc. stricter sensitive data processing conditions.	The union information of the employee should be kept in the personal file as required by the legislation.
Protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing	Processing of data for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.	Health data processed by the doctor about his patient.

The measures taken for the processing of sensitive quality personal data are regulated in the "Processing of Sensitive Personal Data Policy".

1. DATA OWNER PERSON GROUP AND PROCESSED PERSONAL DATA CATEGORIES

The group of persons whose personal data are processed by our company are as follows:

Data owner person group
Employee Candidates & Trainee Candidates	Real persons who have applied for a job to the company by any means or who have opened their CV and related information for our company review
Employees	Company employees
Trainees	High school and university students intern at the company
Family members	Family members of data owners
Visitors	All natural persons who have entered the physical campuses owned by the company for various purposes or visit our websites for any purpose
Partner Authorities & Employees	Real person authorities, shareholders, employees of the companies with which the Company has commercial relations
Group Company Authorities & Employees	Real persons whose personal data are obtained through the business relations of the Group Companies within the scope of the operations carried out by the Company.
Supplier Authorities & Employees	Real persons or natural persons authorities, shareholders, employees of the company or the legal entities outsourcing the goods and services.
Shareholders	Company shareholder natural persons
Company Authorities	Company's board members and other authorized natural persons
Potential Customers	Real persons who are likely to buy / use the products and services offered by our company / group companies
Customers / Guests	Regardless of whether there is any contract with our Company / Group companies, real persons who buy / use or use the products and services offered by our Company / Group companies.
Third Parties	Third party natural persons (eg, those declared as references) or other natural persons not covered by the Personal Data Protection and Processing Policy in order to ensure the security of business transactions between our above mentioned parties, or to protect the rights of such persons and provide benefits.

The data processed for these people are categorized as follows:

ID information	Turkish ID No., Passport No., ID Card Serial no., Driving Licence No., Tax No., Name Surname, Name of Father, Name of Mother, Nationality, Place of Birth, Date of Birth, Age, Place of Registry, (Province, District, Neighbourhood-Village, Volume No, Family Sequence Number, Sequence Number) Issuing Authority of the Identity Card, Reason of Issue, Registration Number, Issue Date, Validity Date, Previous Surname, Marital Status, Gender, Religion, Photograph; Signature example, Military status, Parental Consent
Education & Experience Information	Educational status, certificate and diploma information, foreign language information, CV and references, work experience information, course, seminar internship information, other education and skills.
Contact information	Personal / Corporate mobile-landline phone number; Personal / Corporate e-mail address; residence address; contact name and surname and phone number in case of emergency
Sensitive Personal Data	Criminal record, criminal conviction information; disability; religion; health data; blood group; race information
Family Information	ID information of mother, father, spouse and children; telephone number, profession, educational status of their children; spouse's employment status and income information; Name-surname and age of persons responsible for caring, except for spouse and minors (under 18); child birth certificate; first degree family members death certificates.
Working Information	SSK Registration number; insurance entry / pension, allocation number; social security no; tax office and number; past workplace registration information, previous workplace wage and tax deduction information; work permit (for foreign employees); incentive status; business arrangement; confidentiality commitments; general health insurance information; job offer information; position name / task, department and unit, title; deadline for employment; the date of entry and exit of work; overwork information; fixture-tool-equipment delivery documents; partnership / additional work declaration form etc.
Permission Information	Leave request forms, leave exit / return date, number of leave days, reason for leave, address / phone to be tracked; rest and incapacity reports; annual paid leave schedule; Not to come to work without permission / to arrive late for work report-warning
Performance Information	Performance evaluation and goal achievement status, activity information, discipline records
Education & Development Information	Participated trainings, seminars, gained skills, training participation and information / forms
Financial Information	Bank account number, wallet; payrolls, wage compasses, premiums, bonuses etc. documents related to payments; file and debt information on enforcement proceedings; minimum subsistence information; private health insurance information; Personal data processed for information, documents and records showing any financial results created according to the type of legal relationship established with the personal data owner.
Vehicle Data	Vehicle / vehicle usage information (License plate number, license serial number, work start date, insurance-motor insurance start date, traffic fines, accident minutes, work accident notifications, vehicle embezzlement documents)
Location Data	Vehicle location data -GPS location
Dismissal Information	Letter of Resignation, Notice of Termination, Disclaimer, Notice, Contract of Employment, SSI Exit Declaration, Last Month Payroll, Work / Service Document, Severance and Notice Payrolls, Documents Proving the Reason for Termination of Service, Minutes Arranged for the Termination of the Service Contract
Internet Access Information	Personal / Company electronic devices and internet access log records over the Company's networks, related IP addresses
System Access Authorization Information	System login-logout and activity logs, username-password, IP addresses
Audio / Visual Information	Photographs and camera recordings (Except for records within the scope of Physical Space Security Information)
Physical Space Security Information	Image records, turnstile records, security records, etc., taken at the entrance to the physical space and during the stay at the physical space.
Visit Information	Entry and exit time to company facilities, vehicle brand and license plate, company information
Marketing Information	Satisfaction surveys that show the usage habits, likes and needs of customers with personal data, campaigns, reports and evaluations obtained as a result of direct marketing studies etc.
Customer / Guest Information	Records regarding the use of products and services and instructions and requests of the customer required for the use of products and services; professional knowledge, countries visited; training; height-weight
Travel & Accommodation Information	Travel and visa information, reservation / voucher number, flight information, hotel information, check-in, check-out dates, room number
Request and Complaint Management Information	Personal data regarding the receipt and evaluation of requests and complaints about customer satisfaction surveys, products and services.

1. PURPOSES OF PROCESSING PERSONAL DATA

Personal data collected by the company are processed in accordance with the processing conditions specified in Articles 5 and 6 of the Law for the following purposes:

Main Purposes	Sub Purposes
Management of the Company, Execution and Control of the Activities, Physical, Legal and Commercial Security Supply	Making and Implementing Emergency and Crisis Management Plans
	Managing Finance and Accounting Processes
	Provision of Physical Space Security
	Management of Relations and Related Processes with Group Companies, Partners and Suppliers
	Execution of Legal Processes
	Performance of Internal Audit and Internal Control Activities
	Business Continuity Management
	Ensuring Registration and Document Layout
	Planning and Execution of Corporate Management Activities
	Execution of Risk Management Processes
	Execution of Contract Processes
	Execution of Strategic Planning Activities
	Managing Process Management and Improvement Activities
	Ensuring Company Activities are Carried out in accordance with Company Policies and Procedures and / or Relevant Legislation
	Ensuring the legal and commercial security of the company, personnel and people who have a business relationship with the Company
	Securing the Company's Assets
	Fulfilling our legal obligations and exercising our rights arising from the applicable legislation in accordance with the applicable legislation.
	Execution of Supply Chain Management Processes
	Execution of Investment Processes
	Giving Information to Authorized Persons, Institutions and Organizations
	Creating and Tracking Visitor Records
Management of Human Resources Processes	Execution of candidate application processes
	Execution of candidate selection and evaluation processes
	Carrying out activities for employee satisfaction and loyalty
	Managing processes regarding employee benefits and rights
	Follow-up and control of employees' business activities
	Conducting occupational health and safety processes
	Establishment, performance and fulfilment of the obligations assumed.
	Recruitment, personal and discharge procedures
	Career planning, execution of promotion-appointment processes
	Fulfilment of performance management processes
	Execution of Personnel Assignment and Authorization Processes
	Planning and Implementing Training and Orientation Programs
	Management of Wage Policy
	Foreign Personnel Work and Residence Permit Procedures
Information Systems & Information Security Management	Planning and Execution of Information Security Processes
	Information Systems Risk Management
	Fulfilling Legal Obligations Regarding Internet Traffic Monitoring
	Management of User Access and Authorization Processes
	Creating Log Records
Planning and Implementation of Communication and Marketing Activities	Planning and Implementation of Events and Organizations
	Execution of Loyalty Processes for Firms / Products / Services
	Execution of Communication Activities
	Statistical Analysis and Market Research
	Execution of Activities like Campaign, Promotion, Advertisement, Promotion, etc.
	Customer Relations Management
	Customer Satisfaction Management
	Planning & Management of Marketing Activities
	Execution of Sponsorship Activities
Planning and Serving Products and Services	Execution of Logistics Activities
	Execution of Goods / Services After Sales Support Services
	Execution of Operation Processes
	Communication with Customers Regarding the Products and Services Offered
	Performance of Product / Service Conditions and Fulfilment of Obligations
	Establishment and Management of Processes Regarding Planning and Sales of Products / Services
	Demand and Complaint Management

Personal data may be processed with the explicit consent of the data owner in the following cases where the conditions for processing personal data laid down in Article 5(2) and (3) of the Law are not met;

Processed Personal Data	Purpose of processing
Health and Blood Group Information and Disability Status	Compliance with occupational health and safety regulations; Recruitment and periodic inspections and examinations within the scope of health surveillance of the workplace doctor, health report, e-reçete (prescription), health screening processes and corporate health insurance processes, execution of visa processes.
Religion (obtained by obtaining a copy of the old identity card) and Nationality Information; criminal conviction information	Management of human resources processes; Creation of the personal file within the scope of the Labour Law; Visa processing of employees, company authorities, employees and guests limited to certain tours.
Audiovisual Data (Photos & camera recordings)	Planning and implementation of corporate communication activities; management of corporate social media accounts; execution of visa procedures
Birthday Information; Birth and death information of 1st degree relatives	Celebrating the birthday of employees and sharing their families' death information within the scope of internal communication activities

1. DELETION, DESTRUCTION, AND ANONYMIZATION OF PERSONAL DATA     

Although it has been processed in accordance with the provisions of the law and other relevant laws, in the event that the reasons requiring its processing disappear, the personal data is deleted, destructed or anonymized by the Company ex officio or upon the request of the person concerned.

Accordingly;

• Amendment or removal of relevant legislation provisions that constitute the basis for processing personal data,
• The contract between the parties has never been established, the contract is not valid, the contract is terminated spontaneously, the contract is terminated or the contract is returned
• The purpose that requires the processing of personal data disappears,
• It is determined that processing personal data is against the law or honesty rule,
• In cases where the processing of personal data occurs only based on explicit consent, the relevant person's withdrawal of his consent,
• The Company's acceptance of the application of the relevant person regarding the processing of personal data within the framework of the rights in paragraph 11 (e) and (f) of Article 11 of the Law,
• In cases where the company refuses the application made by the relevant person with the request of deletion or destruction of his personal data, the response he has given is insufficient or does not respond within the period stipulated by the Law; Complaints to the Board and this request is approved by the Board,
• Although the maximum period requiring the retention of personal data has passed, there are no conditions that would justify keeping the personal data longer,
• In the event of the disappearance of conditions requiring the processing of personal data in Articles 5 and 6 of the Law, personal data must be deleted, destructed or made anonymous.

The rules for the deletion or anonymisation of personal data are laid down in the Personal Data Retention and Destruction Policy.

1. TRANSFER OF PERSONAL DATA

The transmissions of personal data to be carried out by the Company will comply with the conditions of transmission of personal data laid down in Articles 8 and 9 of the Law.

The parties to whom personal data may be transferred and the purposes of transfer are as follows:

Parties, to whom personal data may be transferred	Transfer purposes
Legally Authorized Institutions	Meeting the information-document request within the legal authority of authorized public institutions and organizations and private law persons.
Shareholders	Corporate law, commercial activities, event management and execution of corporate communication processes.
Company Authorities	Designing, implementing and managing strategies regarding the commercial activities of the Company; carrying out monitoring, risk management and audit activities.
Work partners	Fulfilment of the purposes of establishment of business partnership and commercial activities.
Group Companies	Carrying out processes and commercial activities that also require the participation of group companies.
Suppliers	Managing processes regarding outsourced goods and services, receiving support, supervision and consultancy services, benefiting from the benefits of the personnel.
Third Parties	Information sharing within the scope of reference verification / inquiry processes for employee candidates and leaving employees.

1. TRANSFER OF PERSONAL DATA DOMESTIC

Personal data may be transferred by the company if one of the following conditions exists:

• Obtaining explicit consent of the person concerned,
• Clearly prescribed in laws,
• The person who cannot give his consent due to factual impossibility or whose consent is not legally valid is obliged to protect his/her life or the integrity of another person,
• Requirement to process personal data of the parties to the contract where they are directly related to the conclusion or performance of a contract,
• The company is obliged to comply with its legal obligation,
• The data were published by the data owner himself/herself,
• Data processing is compulsory for the establishment, use or protection of a right,
• The processing of data is compulsory for the legitimate interests of the controller, provided that the fundamental rights and freedoms of the data owner are not violated.

Sensitive personal data can be transferred by taking sufficient precautions determined by the Board and if one of the following conditions exists:

• Obtaining explicit consent of the data owner,
• It is clearly prescribed by law in terms of sensitive personal data other than health and sexual life.
• Without the explicit consent of the data owner, personal data relating to health and sex life may only be processed for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

The measures taken for the transfer of sensitive personal data are regulated in the " Processing of Sensitive Personal Data Policy".

1. TRANSFER OF PERSONAL DATA ABROAD

Personal data may be transferred abroad by the company if one of the following conditions exists:

• Obtaining explicit consent of the data owner,
• Presence of one of the conditions specified in Articles 5 (2) and 6 (3) of the Law and the presence of sufficient protection in the foreign country where personal data will be transferred,
• In the event of a lack of adequate protection, the data controllers in Turkey and in the foreign countries must suffice in writing a sufficient obligation for protection, which has the permission of the board.

In the event that Turkey or the interest of the person concerned suffers serious harm, personal data may be transferred abroad with the permission of the Executive Board, without prejudice to the provisions of the international treaty, but only with the opinion of the competent public institution or organization.

The measures taken for the transfer of sensitive personal data abroad are regulated in the " Processing of Sensitive Personal Data Policy".

1. TRANSFER OF DATA PROCESSED BY GROUP COMPANIES TO THE COMPANY

The Company's personal data, which are processed by the Group Companies, in order to carry out the activities of the Group Companies in accordance with the Company's principles, targets and strategies, and to protect the rights, interests and reputation of the group, can also be processed by the Company. G In the event that the personal data sharing between the Group Companies and the Company takes place within the scope of the Law within the scope of the personal data transfer from the data controller to the data controller, the relevant Group Company enlightens the person that the personal data can be sent to the Company at the stage of collecting the personal data of the relevant person.

1. DATA SECURITY ISSUES

Any necessary technical and administrative measures are taken by the Company to ensure the appropriate level of security in order to prevent and protect the personal data from being processed and accessed unlawfully; Necessary audits are provided to ensure the enforcement of the provisions of the law.

1. ADMINISTRATIVE MEASURES

1. By determining the probability of occurrence of the risks that may arise regarding the protection of personal data and the losses it will cause in case of occurrence, measures are taken to reduce or eliminate the risks.
2. The duties, powers and responsibilities of the personnel involved in all processes and policies regarding the processing of personal data, ensuring the confidentiality and security and disposal are written down and made available to all personnel.
3. Personnel are provided with the necessary trainings within the scope of processing, protection and data security of personal data.
4. Keeping the policies and procedures up-to-date and providing the necessary training and informing the employees about the changes made are ensured.
5. Within the scope of the recruitment process, provisions regarding the protection and confidentiality of personal data are added to the contracts signed between the employees and the Company and signed by the employee.
6. By determining whether the processed personal data is still needed and stored in the right place, personal data retained for archival purposes will be kept in a more secure environment and unneeded personal data will be deleted, destructed or made anonymous in accordance with the Personal Data Retention and Destruction Policy.
7. Access to the personal data stored within the company is restricted to the personnel required for access based on the duty description.
8. If employees fail to comply with policies and procedures established and announced by the Company, sanctions will be imposed in accordance with the disciplinary process. 
9. With regard to the disclosure of personal data, confidentiality agreements for the protection of personal data and data security are concluded with individuals and data processors or data protection provisions are added to existing agreements.
10. Within the framework of policies and procedures; regular checks are carried out for areas open to development, and necessary measures are planned and implemented.
11. In order to ensure enforcement of the legal provisions, measures are planned for the confidentiality and security deficiencies resulting from the audits, and the findings are promptly remedied.
12. If the processed personal data is obtained illegally from third parties, the data owner and the Management Board shall be informed as soon as possible.

1. TECHNICAL MEASURES

1. SSL connections, anti-virus and firewall software and hardware are used for the protection of information technology systems and data containing personal data.
2. Unused software and services are deleted from the devices.
3. The proper functioning of the software and hardware and the security measures taken are checked regularly; patch and software updates are provided to cover possible security gaps.
4. Access to systems containing personal data is provided within the framework of access policies, user and role management procedures. The scope and duration of authorization of users who have access to data are clearly defined. Information Technology employees' access to personal data is kept under control.
5. If remote access to the data is required, at least two-step authentication system is used.
6. Authority checks are carried out periodically.
7. The powers of the employees who change their duties or leave the job are revoked immediately. In this context, the inventory allocated to it by the Company is refunded.
8. Technical infrastructure is provided to prevent data from leaking out of the institution.
9. It is ensured that the log of transaction acts (log records) of all users are kept regularly.
10. The system weaknesses are controlled by receiving penetration test services regularly and when the need arises.
11. The medium and devices where personal data are stored are protected by taking physical security measures.
12. Ensuring that personal data is stored safely, data is backed up and physical security of all backups is ensured.
13. Personal data is ensured to be destructed in a way that cannot be recycled and leave an audit trail.
14. Pursuant to Article 12 of the Law, all kinds of digital media where personal data are stored are protected by encrypted or crypto graphic methods in a way to provide information security requirements. Cryptographic keys are kept safe and in different mediums.
15. During the storage and use of personal data in the cloud environment, encryption with cryptographic methods and using separate encryption keys where possible for personal data, especially for each cloud solution that is served; when the cloud computing service relationship ends; all copies of encryption keys required to make personal data available are destructed.
16. If it is necessary to transfer personal data via e-mail, it is ensured that it is transferred with an encrypted corporate e-mail address or by using a Registered Electronic Mail (KEP) account.
17. When it is necessary to transfer it via media such as Portable Memory, CD, DVD, it is encrypted with cryptographic methods and the cryptographic key is kept in different media.
18. While transferring between servers in different physical environments is performed, data transfer is performed by installing VPN between servers or by SFTP method.
19. Necessary precautions are taken against risks such as theft of documents, loss or being seen by unauthorized persons in the transfer of data via paper medium.

1. ENLIGHTENMENT

The processed personal data cannot be disclosed to anyone else in violation of the provisions of the Law and cannot be used for purposes other than processing. During the acquisition of personal data, the Company informs the relevant people about the following subjects with the "Personal Data Protection and Processing Enlightenment Text". 

1. Company information,
2. The purposes of processing personal data,
3. To whom and for what purpose the processed personal data can be transferred,
4. Method and legal reason of collecting personal data,
5. Rights of the person under the Law.

The “Personal Data Protection and Processing Enlightenment Text" is also provided on the Company website.

If personal data cannot be obtained directly from the person due to the actual impossibility or inaccessibility of the person concerned;

•     Within a reasonable time from the acquisition of personal data,

•     In case personal data will be used for communication with the person concerned, during the initial communication,

•     If personal data is to be transferred, the obligation to enlighten the relevant person is fulfilled at the latest when personal data is transferred for the first time.

There is no obligation of illumination if personal data that is publicized by the person concerned is processed.

1. RIGHTS OF DATA OWNER

The data owner has the following rights about him/her by applying to our Company;

a)  Find out if personal data is processed,

b)     If personal data is processed, requesting information about it,

c)  Learning the purpose of processing personal data and whether they are used in accordance with its purpose,

ç)  To know the third parties to whom personal data are transferred domestically or abroad,

d)     Requesting correction of personal data if it is incomplete or incorrectly processed,

e)     Request personal data to be deleted or destructed,

f)  to request notification of transactions made in accordance with clauses (d) and (e) to third parties to whom personal data are transferred,

g)  To object to the emergence of a result against the person by analysing the processed data exclusively through automated systems,

ğ)  In the event that personal data is damaged due to illegal processing, the data owner has the right to demand the removal of the damage.

The company has established the operation and necessary communication channels for the management, fulfilment and recording of personal data owners’ applications.

The data owner conveys his requests regarding the implementation of the Law to the Company by filling out the "Data owner Application Form" at www.anexservices.com.tr with the information and documents that will determine his/her identity and by the following methods or other methods determined by the Board.

• After the Data owner Application Form has been filled out, a wet signed copy will be sent to the company’s address “Barbaros Mah. Serik Cad No: 305A / 1 Aksu / ANTALYA ”.
• After the Data owner Application Form is filled and signed with the “secure electronic signature” within the scope of the Electronic Signature Law No. 5070, it will be sent to the registered e-mail [email protected]. 

The company concludes its requests in the application free of charge as soon as possible and within thirty days at the latest, depending on the nature of the request. However, if the transaction requires a separate cost, the fee at the tariff determined by the Board may be charged.

The company accepts the request or rejects it by explaining its reason and informs the person in writing or electronically. In case the request in the application is accepted, the Company fulfils the requirement. In case the application is caused by the Company's error, the fee collected is returned to the concerned person.

In case the application is rejected, the answer is insufficient or the application is not answered in due time; the person concerned may complain to the Board within thirty days from the date when the Company has learned the answer, and within sixty days from the date of application.

1.  SITUATIONS OUTSIDE THE RIGHTS OF DATA OWNERS

Personal data owners will not be able to assert their rights in case of the following situations where the provisions of the law are not applied:

• Processing personal data for art, history, literature or scientific purposes or within the scope of freedom of expression, provided that they do not violate national defence, national security, public security, public order, economic security, privacy or personal rights, or constitute a crime.
• Processing personal data for purposes such as research, planning and statistics by anonymizing with official statistics.
• Processing personal data within the scope of preventive, protective and intelligence activities carried out by public institutions and organizations authorized by law to provide national defence, national security, public security, public order or economic security.
• Processing of personal data by judicial authorities or enforcement authorities regarding investigations, prosecutions, trials and execution proceedings.

Except for the obligation of illumination and the right to demand compensation, provided that it complies with the purpose and basic principles of the Law, personal data owners will not be able to assert their rights if:

• Personal data processing is necessary for crime prevention or criminal investigation.
• Processing of personal data personalized by the personal data owner.
• In case that personal data processing is necessary for the disciplinary investigation or prosecution by the authorized public institutions and organizations and the professional institutions that are public institutions based on the authority given by the law.
• Personal data processing is necessary to protect the state's economic and financial interests in relation to budget, tax and financial matters.

DOCUMENT NO	:	GM-P003
APPROVED BY	:	BOARD OF DIRECTORS
DATE OF APPROVAL	:	05/01/2019
LAST REVISION DATE	:	00/0000
VERSION NO	:	01
RELATED DOCUMENTS	:	Personal Data Protection and Processing Policy Personal Data Retention and Destruction Policy Personal Data Protection and Processing Enlightenment Text Personal Data Processing Explicit Consent Statement

CONTENTS

1.     PURPOSE. 3

2.     SCOPE. 3

3.     RESPONSIBILITY. 3

4.     DEFINITIONS. 3

5.     PROCESSING OF SENSITIVE PERSONAL DATA. 5

5.1.       GENERAL PRINCIPLES REGARDING THE PROCESSING OF SENSITIVE PERSONAL DATA.. 5

5.2.       CONDITIONS FOR PROCESSING OF SENITIVE PERSONAL DATA.. 5

5.3.       DATA OWNER, PERSON GROUP AND PERSONAL DATA CATEGORIES PROCESSED.. 6

5.4.       PURPOSES OF PROCESSING SENSITIVE PERSONAL DATA.. 7

5.5.       DELETION, DESTRUCTION AND ANONYMIZATION OF SENSITIVE PERSONAL DATA.. 8

5.6.       TRANSFER OF SENSITIVE PERSONAL DATA.. 8

5.6.1.    TRANSFER OF SENSITIVE PERSONAL DATA DOMESTIC. 8

5.6.2.    TRANSFER OF SENSITIVE PERSONAL DATA ABROAD.. 9

6.     DATA SECURITY ISSUES. 9

6.1    ADMINISTRATIVE MEASURES. 9

6.2    TECHNICAL MEASURES. 10

7.     RIGHTS OF DATA OWNER. 11

1. PURPOSE 

The purpose of this policy is to ensure compliance with the obligations within the scope of processing sensitive personal data, determination of controls and precautions, rules and responsibilities related to processing and security of sensitive personal data and to make the data owner and the employees of the company aware, in addition to the regulations within the scope of the "Protection and Processing of Personal Data Policy" (law) while the processing of personal data by the company ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Company), in accordance with the Basic Law of the Turkish Republic and Law No. 6698 on the protection of personal data.

1. SCOPE

These policy provisions apply to customers, employees, family members of employees, trainees, customers, shareholders whose data are processed by the Company wholly or partly by automatic means or who are processed automatically by being part of a data collection system.

1. RESPONSIBILITY

This policy, which is an annex to the Company's Personal Data Protection and Processing Policy, has been approved by the Company's Board of Directors and came into force. All activities and measures to be taken within the framework of policies and within the Company are determined by relevant procedures.  The Company's Senior Management is responsible for the preparation, updating and implementation of these procedures.

All Company employees are responsible for performing their duties in accordance with this policy and all relevant procedures and regulations.

1. DEFINITIONS

The important definitions in this policy are listed below.

Explicit Consent	Consent on a specific subject, informative and explained by free will
Anonymization	Rendering personal data by no means identified or identifiable with a natural person even by linking with other data.
Data owner	Natural person whose personal data are processed.
Related user	Persons who process personal data within the organization of the data controller or in accordance with the authorization and instruction received from the data controller, with the exception of the person or unit responsible for the technical retention, protection and backup of the data.
Destruction	Deletion, Destruction, and Anonymization of Personal Data
Law	Turkish Personal Data Protection Law no. 6698
Recording Medium	Any medium in which personal data are processed, which are fully or partially automated, or processed in non-automated ways, provided that they are part of any data recording system.
Personal Data	Any information relating to an identified or identifiable natural person.
Processing of personal data	Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.
Deletion of personal data	Making personal data inaccessible and unusable to relevant users in any way.
Destruction of personal data	Making personal data inaccessible, retrievable and reusable by anyone.
Anonymization of personal data	Making personal data unrelated to an identified or identifiable natural person under any circumstances, even by matching with other data.
Board	The Board of Protection of Personal Data.
Authority	The Authority of Protection of Personal Data.
Sensitive Personal Data	Race, ethnicity, political thought, philosophical belief, religion, sect or other beliefs, disguise and outfit, association, foundation or union membership, health, sexual life, criminal conviction and security measures and biometric and genetic data of persons.
Periodic destruction	In the event that all the conditions in the law for processing personal data disappear, the deletion, destruction or anonymisation will be carried out ex officio at regular intervals, as specified in the Personal Data Retention and Destruction Policy.
Registry	Register of Data Protection Officers of the Presidency of the Data Protection Authority
Data processor	Natural or legal person who processes personal data based on the authority granted by and on behalf of the data controller.
Data recording system	Any recording system through which personal data are processed by structuring according to specific criteria.
Data controller	Natural or legal person who determines the purposes and means of the processing of personal data, and who is responsible for establishment and management of the filing system.
Processing of personal data	Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.

1. PROCESSING OF SENSITIVE PERSONAL DATA

1. GENERAL PRINCIPLE RELATED TO THE PROCESSING OF SENSITIVE PERSONAL DATA

The personal data at the company are processed in accordance with the procedures and principles stipulated in the Law and other laws, and the principles set out in the "Personal Data Protection and Processing Policy" are taken into consideration in the processing of personal data.

1. CONDITION FOR PROCESSING OF SENSITIVE PERSONAL DATA

When the company processes sensitive personal data, it first determines whether data processing conditions exist, after ensuring that the legal compliance requirement that data be processed is met. In this context, and subject to appropriate measures being adopted by the Management Board, specific personal data shall be processed under the following conditions:

1. Specific personal data other than health and sex life,
   • If there is an explicit consent statement of data owner or
   • in legally prescribed cases

2. Personal data relating to health and sex life,
   • If there is an explicit consent statement of data owner 
   • Without the explicit consent of the data owner, personal data relating to health and sex life may only be processed for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

During the acquisition of sensitive personal data, the Company informs the data owner about the following issues with the "Protection and Processing of Personal Data Enlightenment Text":

1. Company information,
2. The purposes of processing personal data,
3. To whom and for what purpose the processed personal data can be transferred,
4. Method and legal reason of collecting personal data,
5. Rights of the person under the Law.

The relevant personal data will be processed by the Company if the data owner consents to the Explicit Consent Statement for Processing of Personal Data regard to the processing of the data concerning him/her, with knowledge of the Personal Data Protection and Processing Enlightenment Text provided by the company, freewill, without leaving room for hesitation and limited only by the relevant transaction.

Insofar as the laws contain provisions for the processing of personal data, personal data will only be processed by the Company within the framework of the relevant legal provisions.

The processed personal data cannot be disclosed to anyone else in violation of the provisions of the Law and cannot be used for purposes other than processing.

Processing conditions and examples of sensitive personal data, excluding explicit consent, are given in the table below:

Processing conditions	Scope	Example
Provision of the law	Personal data other than health and sexual life can be processed without the explicit consent of the person concerned. Tax Laws, Labour Law, Turkish Commercial Code etc. stricter sensitive data processing conditions.	The union information of the employee should be kept in the personal file as required by the legislation.
Protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing	Processing of data for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.	Health data processed by the doctor about his patient.

1. DATA OWNER PERSON GROUP AND PROCESSED PERSONAL DATA CATEGORIES

The group of persons whose personal data are processed by our company are as follows:

Data owner person group
Employees	Company employees
Trainees	High school and university students intern at the company
Family members	Family members of data owners
Shareholders	Company shareholder natural persons
Customers	Regardless of whether there is any contractual relationship with our company, real persons who have purchased / used our products and services.

The sensitive personal data processed for these people are as follows:

Sensitive Personal Data

Nationality, religion, criminal record, disability, health and blood group information

1.  PURPOSES OF PROCESSING sensıtıve PERSONAL DATA

The personal data collected by the company are processed in accordance with the processing conditions specified in Article 6 of the Law for the following purposes:

Main Purposes	Sub Purposes
Management of the company, performing the activities in accordance with the law, Company policies and procedures	Fulfilling our legal obligations and exercising our rights arising from the current legislation in accordance with the applicable legislation.
	Establishment and management of processes related to the planning and sales of products / services; performance of product and service conditions and fulfill the obligations assumed completely and correctly
	Providing accommodation, tour and visa services to customers
	Follow-up of contract processes and / or legal transactions
	Execution of the operational processes
	Risk management, auditing and control activities
	Arrangement of all records and documents that will be based on transactions
	Providing information from the legislation to public / private institutions and organizations authorized to receive information and documents in line with the relevant legislation provisions.
	Providing information to audit companies in accordance with the Law to ensure compliance with legal obligations and company policies
	Ensuring the physical, legal and commercial security of the company, personnel and people who have business relations with the Company
Execution of human resources policies; planning and execution of human resources processes	Establishment, performance and fulfilment of the obligations assumed.
	Conducting recruitment and personal processes
	Establishment, use or protection of processes related to benefits and interests such as corporate health insurance and private pension
	Compliance with occupational health and safety regulations; Recruitment and periodic inspections and examinations within the scope of health surveillance of the workplace doctor, health report, e-reçete (prescription), health screening processes.

In cases where the personal data processing conditions specified in Article 6 (3) of the Law are not met, personal data may be processed on the explicit consent of the data owner.

1. DELETION, DESTRUCTION AND ANONYMIZATION OF SENSITIVE PERSONAL DATA             

Although it has been processed in accordance with the provisions of the law and other relevant laws, in the event that the reasons requiring its processing disappear, the personal data is deleted, destructed or anonymized by the Company ex officio or upon the request of the person concerned.

In terms of deletion, destruction or anonymization of personal data, it is complied with the general principles in article 4 of the Law and the technical and administrative measures to be taken within the scope of article 12, the relevant legislation provisions, Board decisions and Personal Data Retention and Destruction Policy.

1. TRANSFER OF SENSITIVE PERSONAL DATA 

In the case of sensitive personal data transfers to be carried out by the company, it will act in accordance with the sensitive personal data transfer conditions arranged by the Board Decision.

The parties to which sensitive personal data can be transferred and the transfer purposes are as follows:

Parties, to whom personal data may be transferred	Transfer purposes
Legally Authorized Institutions	Meeting the information-document request within the legal authority of authorized public institutions and organizations and private law persons.
Work partners	Fulfilment of the purposes of establishment of business partnership and commercial activities.
Group Companies	Carrying out processes and commercial activities that also require the participation of group companies.
Suppliers	Managing processes regarding outsourced goods and services, receiving support, supervision and consultancy services, benefiting from the benefits of the personnel.

1.  TRANSFER OF SENSITIVE PERSONAL DATA DOMESTIC

 

Sensitive personal data can be transferred by taking sufficient precautions determined by the Board and if one of the following conditions exists:

1. Obtaining explicit consent of the data owner.
2. It is clearly prescribed by law in terms of sensitive personal data other than health and sexual life.
3. Without the explicit consent of the data owner, personal data relating to health and sex life may only be processed for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

Adequate measures taken for the transfer of personal data of special nature are regulated in Article 6 of this Policy.

1. TRANSFER OF SENSITIVE PERSONAL DATA ABROAD

 

Personal data may be transferred abroad by the company if one of the following conditions exists:

1. Obtaining explicit consent of the data owner,
2. It is clearly prescribed by law in terms of sensitive personal data other than health and sexual life and

• Adequate protection in the foreign country where personal data will be transferred,
• In the absence of adequate protection, adequate protection of data in a responsible and Turkey in the foreign countries to commit themselves in writing and the permission of the Board,

Without prejudice to the provisions of international conventions, where the interest of Turkey or the data owner will be seriously damaged personal data can only be transferred abroad with the permission of the Board, by obtaining the opinion of the relevant public institution or organization.

Adequate measures taken for the transfer of sensitive personal data abroad are regulated in Article 6 of this Policy.

1. DATA SECURITY ISSUES

Any necessary technical and administrative measures are taken by the Company to ensure the appropriate level of security in order to prevent and protect the personal data from being processed and accessed unlawfully; Necessary audits are provided to ensure the enforcement of the provisions of the law.

  

1.  ADMINISTRATIVE MEASURES

1. By determining the probability of occurrence of the risks that may arise regarding the protection of sensitive personal data and the losses it will cause in case of occurrence, measures are taken to reduce or eliminate the risks.
2. The duties, powers and responsibilities of the personnel involved in all processes and policies regarding the processing of sensitive personal data, ensuring the confidentiality and security and disposal are written down and made available to all personnel.
3. Personnel are provided with the necessary trainings within the scope of processing, protection and data security of personal data.
4. Keeping the policies and procedures up-to-date and providing the necessary training and informing the employees about the changes made are ensured.
5. Within the scope of the recruitment process, provisions regarding the protection and confidentiality of personal data are added to the contracts signed between the employees and the Company and signed by the employee.
6. By determining whether the processed personal data is still needed and stored in the right place, personal data retained for archival purposes will be kept in a more secure environment and unneeded personal data will be deleted, destructed or made anonymous in accordance with the Personal Data Retention and Destruction Policy.
7. Access to the personal data stored within the company is restricted to the personnel required for access based on the duty description.
8. If employees fail to comply with policies and procedures established and announced by the Company, sanctions will be imposed in accordance with the disciplinary process. 
9. With regard to the disclosure of personal data, confidentiality agreements for the protection of personal data and data security are concluded with individuals and data processors or data protection provisions are added to existing agreements.
10. Within the framework of policies and procedures, regular checks are carried out for areas open to development, and necessary measures are planned and implemented.
11. In order to ensure enforcement of the legal provisions, measures are planned for the confidentiality and security deficiencies resulting from the audits, and the findings are promptly remedied.
12. If the processed personal data is obtained illegally from third parties, the data owner and the Management Board shall be informed as soon as possible

    1. TECHNICAL MEASURES

1. SSL connections, anti-virus and firewall software and hardware are used for the protection of information technology systems and data containing personal data.
2. Unused software and services are deleted from the devices.
3. The proper functioning of the software and hardware and the security measures taken are checked regularly; patch and software updates are provided to cover possible security gaps.
4. Access to systems containing personal data is provided within the framework of access policies, user and role management procedures. The scope and duration of authorization of users who have access to data are clearly defined. Information Technology employees' access to personal data is kept under control.
5. If remote access to the data is required, at least two-step authentication system is used.
6. Authority checks are carried out periodically.
7. The powers of the employees who change their duties or leave the job are revoked immediately. In this context, the inventory allocated to it by the Company is refunded.
8. Technical infrastructure is provided to prevent data from leaking out of the institution.
9. It is ensured that the log of transaction acts (log records) of all users are kept regularly.
10. The system weaknesses are controlled by receiving penetration test services regularly and when the need arises.
11. Adequate security measures (against electricity leakage, fire, flooding, theft, etc.) are taken depending on the nature of the environment where sensitive personal data are available. By ensuring the physical security of these environments, unauthorized entry and exit are prevented.
12. Ensuring that sensitive personal data is stored safely, data is backed up and physical security of all backups is ensured.
13. Sensitive Personal data is ensured to be destructed in a way that cannot be recycled and leave an audit trail.
14. Data in any electronic environment where sensitive personal data are stored is kept using cryptographic methods. Cryptographic keys are kept safe and in different environments. Cryptographic keys are kept safe and in different environments.
15. During the storage and use of personal data in the cloud environment, encryption with cryptographic methods and using separate encryption keys where possible for personal data, especially for each cloud solution that is served; when the cloud computing service relationship ends; all copies of encryption keys required to make personal data available are destructed.
16. If it is necessary to transfer sensitive personal data via e-mail, it is ensured that it is transferred with an encrypted corporate e-mail address or by using a Registered Electronic Mail (KEP) account.
17. When it is necessary to transfer it via media such as Portable Memory, CD, DVD, it is encrypted with cryptographic methods and the cryptographic key is kept in different media.
18. While transferring between servers in different physical environments is performed, data transfer is performed by installing VPN between servers or by SFTP method.
19. Necessary precautions are taken against risks such as theft of documents, loss or being seen by unauthorized persons in the transfer of data via paper medium.

1. RIGHTS OF DATA OWNER

The rights of the data owner under the Law, the methods of transmitting their requests regarding the implementation of the Law, and the provisions regarding the finalization of the requests by the Company are regulated in the Protection and Processing of Personal Data Policy.

The purpose of this Cookie Policy is to provide information to you regarding processing of personal data which are obtained because of the usage of cookies by Platform users/members/visitors (Data Owner’) while running the mobile application and the web-page (‘Website’)  www.anexservices.com.tr (all together hereinafter referred to as ‘Platform’), which are operated by ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (the ‘Company’). The expression of ‘personal data’ included in this policy covers the information listed below:

• Customer Information

• Device Information 

• Behaviours

• Demographic Information 

• Marketing Information 

• Behavioural Advertising

You may visit the Platform without giving any personal information.  Cookies are used during your visit in order to collect information about Platform usage, to ensure that our visitors benefit from the Platform in the most efficient manner and to improve user experience.

By visiting the Platform, you are deemed to have approved the use of the information, collected thanks to cookies, in compliance with the Policy of Protecting and Processing Personal Data which is presented in the following address:  https://www..... If you do not want the cookies to be used in such manner, you must adjust the settings of your browser or abstain from using the Platform. Deactivating the cookies that we use may affect your user experience in the Platform.

What are the Cookies and why are the Cookies used?

Cookies are the text files with small sizes which are stored in your device or the network server through the browsers by websites you visit. Cookies cannot collect any information, including your personal information stored in your computer or files. In order to receive more information about cookies please visit the following websites:  www.aboutcookies.org and  www.allaboutcookies.org. The purposes of using cookies in the Platform are listed below:

• Improve the services rendered to you by means of increasing the functionality and performance of the Platform;
• To improve the Platform and offer new features over the Platform and customise the features offered according to your preferences;
• To ensure legal and commercial security of the Platform, you and our Company;
• To benefit from cookies within the scope of direct and indirect marketing activities.

Categories of the Cookies Used in the Platform

(Technical Cookies)	Thanks to technical cookies running of the Site is ensured and pages and areas of the website that do not run or respond are determined.
(Authentication Cookies)	In case the visitors log in the Site by entering their passwords, Authentication Cookies detects the visitor as the user of the website in each page visited by the visitor so that, visitors do not have to enter their passwords in each page.
(Flash Cookies)	These are the cookies that are used to activate the image or audio contents present in the Site.
(Customization Cookies)	Customization Cookies are used to remember the preferences of users while visiting different pages of a different website. For instance, it remembers the language preference that you have previously selected.
(Analytical Cookies)	Analytical Cookies make it possible to generate the analytical results such as number of visitors who visit the Site and the pages displayed in the Site, the time when the Site is visited and scrolling motions between different internet sites.

Cookies Used in the Platform

Cookie Type	Explanation, Duration and Preferences
Analytical Cookies
For Advertisement	It is used in order to display behavioural or target-oriented advertisements to visitors. It is possible to accept or reject them through browser settings.
Market Analysis	It is used in order to conduct a market analysis. It is possible to accept or reject them through browser settings.
Campaign/Promotion	It is used in order to calculate the effect of campaigns. It is possible to accept or reject them through browser settings.
Facebook	These kinds of cookies makes it possible to monitor Facebook members (or non-members) with the intent of market analysis and product development. It is possible to accept or reject them through browser settings.
Twitter	These cookies are used to monitor members or non-member visitors of social media networks with the intent of market analysis and product development. It is possible to accept or reject them through browser settings.
Google Analytical	These kinds of cookies ensures collecting all statistical data and thus improving the presentation and usage of the Site. Google enables us to have a better understanding on the users by adding data regarding societal statistics and interests to such statistics. Our website uses Google Analytical cookies. Data that are collected by means of such cookies are transmitted to Google servers located in USA and these data are preserved in compliance with the data protection principles of Google. In order to receive further information about principles of Googles regarding the analytical data processing activities and protection of personal data please click  here. Controlling the Cookies https://tools.qooqle.com/dlpaqe/qaoptout
Technical Cookies
Session	Session cookies are used in order to maintain the continuity of the session. It is possible to accept or reject them through browser settings.
Load-Balancing	Load Balancing Cookies are used in order to reduce the load on server by dispersing the load. It is possible to accept or reject them through browser settings.
Security	Security cookies are used for the security controls. It is possible to accept or reject them through browser settings.
Fraud Detection	These kinds of cookies are used in order to detect clicking tricks. It is possible to accept or reject them through browser settings.
Authentication Cookies
User ID	User ID cookies are used in order to display to users only their own information. It is possible to accept or reject them through browser settings.
Customization Cookies
Language	It memorizes the language selected by user and offers options in accordance with the selection of language. It is possible to accept or reject them through browser settings.
Mobile	It is used to display the main website if the user visits the Site through a mobile device. (For example, the device activated the flash or user is in a mobile site which do not require a Flash.) The From Site is recorded in order to comprehend the user preferences better. It is possible to accept or reject them through browser settings.
Flash Cookies
Flash Cookies	It activates the audio and video contents to be played. It is possible to accept or reject them through browser settings.

Is It Possible to Avoid the Usage of Cookies by Data Owners?

Data owners have the ability to customise their preferences regarding cookies by changing their browser settings. If the browser, which is used, provides the user with such opportunity then, it is possible to change the preferences regarding Cookies through the browser settings. Thus, while it may vary across the possibilities offered by the browser used data owners have the opportunity to block usage of cookies or to receive a warning before using cookies or deactivate or delete only the certain Cookies.

Preferences regarding cookies may be required to be determined and adjusted separately for each different device through which the user gain access to the Platform.

Adobe Analytics	http://www.adobe.com/uk/privacy/opt-out.html
AOL	https://help.aol.com/articles/restore-security-settings-and-enable-cookie-settings-on-browser
Google Adwords	https://support.google.com/ads/answer/2662922?hl=en
Google Analytics	https://tools.google.com/dlpage/gaoptout
Google Chrome	http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95647
Internet Explorer	https://support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies
MozillaFirefox	http://support.mozilla.com/en-US/kb/Cookies
Opera	http://www.opera.com/browser/tutorials/security/privacy/
Safari	https://support.apple.com/kb/ph19214?locale=tr_TR

DATA OWNER APPLICATION MANAGEMENT POLICY 

DOCUMENT NO	:	GM-P004
APPROVED BY	:	BOARD OF DIRECTORS
DATE OF APPROVAL	:	05/01/2019
LAST REVISION DATE	:	00/0000
VERSION NO	:	01
RELATED DOCUMENTS	:	Personal Data Retention and Destruction Policy Data Owner Application Form

 

CONTENTS

1.& PURPOSE. 2

2.& SCOPE. 3

3.& RESPONSIBILITY. 3

4.& DEFINITION.. 3

5.& APPLICATION RIGHT. 4

6.& APPLICATION PROCEDURES. 5

7.& APPLICATION RECORDING. 6

8.& APPLICATION EVALUATION.. 7

8.1. PERSONAL DATA DETECTION.. 7

8.2. INFORMATION REQUEST FOR PERSONAL DATA PROCESSED.. 7

8.3. CORRECTION REQUEST FOR PERSONAL DATA PROCESSED.. 7

8.4. DELETION/ DESTRUCTION REQUEST FOR PERSONAL DATA PROCESSED.. 7

8.5. REQUEST FOR NOTIFICATION OF CORRECTION / DELETION / DESTRUCTION REQUESTS REGARDING THE PROCESSED PERSONAL DATA TO THE DATA TRANSMITTED PARTIES. 8

8.6. OBJECTING TO THE EMERGENCE OF A RESULT AGAINST THE PERSON HIMSELF/HERSELF. 8

8.7. REQUEST TO ELIMINATE THE LOSS, IN CASE THE PERSONAL DATA IS DAMAGED DUE TO UNLAWFUL PROCESSING OF PERSONAL DATA.. 8

9.& RESPONDING APPLICATION.. 8

10. FEE. 9

1. PURPOSE

The purpose of this policy is to explain the operation and communication channels established regarding the management, execution and recording of the applications of the data owners with the implementation of the Law by the company ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (company) in the capacity of data controller in accordance with Personal Data Protection Law No. 6698 (Law). 

1. SCOPE

These policy provisions apply to natural persons who have personal data processed by the Company in full or partial automation, or non-automated means provided that they are part of any data recording system.

1. RESPONSIBILITY

This policy has been approved and implemented by the Company’s Board of Directors. Within the framework of the policy, all activities to be carried out in the company and the measures to be taken are defined by the appropriate procedures. The Company's management is responsible for preparing, updating and implementing these procedures.

Contact Person

• is responsible for ensuring communication in responding to requests to be made by the data owners to the Company.
• is responsible for ensuring that the applications of the data owner are answered within 30 days at the latest in line with the responses conveyed by the relevant departments.
• is responsible for ensuring the communication between the Board and the Company and meeting the requests of the Board.

Department Managers

• Department managers are responsible for ensuring that the contact applications received by them are examined and responsed within 1 week at the latest.

1. DEFINITIONS

Anonymization	Rendering personal data by no means identified or identifiable with a natural person even by linking with other data.
Application	Application made under Article 13 of the Law
Secure Electronic Signature	The electronic signature, which is linked exclusively to the signer and is created using the secure electronic signature creation tool available only to the signer, identifies the signer using the qualified electronic certificate and ensures that changes have been made to the signed electronic data.
Data owner	Natural person whose personal data are processed.
Destruction	Deletion, Destruction, and Anonymization of Personal Data
Contact Person	Legal person reported to the Registry by the data officer for communication with the institution during registration, regarding the obligations of its representative under the Law and secondary regulations to be issued based on this Law of the legal person representative of data controller not residing at Turkey with legal persons residing at Turkey.
Law	Turkish Personal Data Protection Law no. 6698
Recording Medium	Any medium in which personal data are processed, which are fully or partially automated, or processed in non-automated ways, provided that they are part of any data recording system.
Registered e-mail (REM) address	Qualified form of electronic mail that provides legal evidence regarding the use of electronic messages, including their delivery and delivery.
Personal Data	Any information relating to an identified or identifiable natural person.
Anonymization of personal data	Making personal data unrelated to an identified or identifiable natural person under any circumstances, even by matching with other data.
Processing of personal data	Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.
Deletion of personal data	Making personal data inaccessible and unusable to relevant users in any way.
Destruction of personal data	Making personal data inaccessible, retrievable and reusable by anyone.
Board	The Board of Protection of Personal Data.
Authority	The Authority of Protection of Personal Data.
Mobile signature	Electronic signature created using a mobile device
Data controller	Natural or legal person who determines the purposes and means of the processing of personal data, and who is responsible for establishment and management of the filing system.

1. APPLICATION RIGHT

Pursuant to Article 11 of the Law, the data owner has the right to apply to our Company to

request the following:

Find out if personal data is processed,

b) If personal data is processed, requesting information about it,

c)  Learning the purpose of processing personal data and whether they are used in accordance with its purpose,

ç)  To know the third parties to whom personal data are transferred domestically or abroad,

d) Requesting correction of personal data if it is incomplete or incorrectly processed,

e) Request personal data to be deleted or destructed,

f)  to request notification of transactions made in accordance with clauses (d) and (e) to third parties to whom personal data are transferred,

g)  To object to the emergence of a result against the person by analysing the processed data exclusively through automated systems,

ğ)  In the event that personal data is damaged due to illegal processing, the data owner has the right to demand the removal of the damage.

The data owner can benefit from this right provided that the application is made in Turkish.

Personal data owners will not be able to assert their rights in case of the following situations where the provisions of the law are not applied:

• Processing personal data for art, history, literature or scientific purposes or within the scope of freedom of expression, provided that they do not violate national defence, national security, public security, public order, economic security, privacy or personal rights, or constitute a crime.
• Processing personal data for purposes such as research, planning and statistics by anonymizing with official statistics.
• Processing personal data within the scope of preventive, protective and intelligence activities carried out by public institutions and organizations authorized by law to provide national defence, national security, public security, public order or economic security.
• Processing of personal data by judicial authorities or enforcement authorities regarding investigations, prosecutions, trials and execution proceedings.

Except for the obligation of illumination and the right to demand compensation, provided that it complies with the purpose and basic principles of the Law, personal data owners will not be able to assert their rights if:

• Personal data processing is necessary for crime prevention or criminal investigation.
• Processing of personal data personalized by the personal data owner.
• In case that personal data processing is necessary for the disciplinary investigation or prosecution by the authorized public institutions and organizations and the professional institutions that are public institutions based on the authority given by the law.
• Personal data processing is necessary to protect the state's economic and financial interests in relation to budget, tax and financial matters.

1. APPLICATION PROCEDURES

The data owner may submit his or her requests to the Company for the implementation of the law by filling in the data owner application form at www.anexservices.com.tr with the information and documents that determine his or her identity, using the methods indicated below.

• After the application form has been filled in, the data owner writes ‘“Personal Data Protection Law Information Request’’ on the envelope - the notification, and transmits it either manually or through a notary, to the address Serik Cad No: 305A - 1 Aksu - ANTALYA.

•&   After the application form has been filled in, the data owner signed it with the “secure electronic signature” within the scope of Electronic Signature Law No. 5070 and sent it to [email protected] address by writing “Personal Data Protection Law Information Request” to the subject part by registered e-mail.

In written applications, the date when the document is notified to the Company is the application date. For applications made with the other method, the date the application reaches the Company is the application date.

1. APPLICATION RECORDING

If the Application Form is submitted by hand, the identity of the person concerned is determined by checking the identity document (Name-Surname, Identity Number).

In order for a person other than the personal data owner to make a request, the original power of attorney issued on behalf of the person to apply by the personal data owner must be submitted. A copy of the power of attorney is kept in the annex.

The application for personal data of persons under the age of 18 can be made by their legal representative. In this case, copies of the documents that determine the authority of the legal representative are requested and a copy of it is kept in the application annex.

In applications made with secure electronic signature, the identity of the applicant can be legally determined with a qualified electronic certificate based on e-signature.

Applications made in writing by the data owner in person or through a notary are recorded in the Documents Registry by the Correspondent and delivered to the Contact Person against the signature.

Applications made to the registered e-mail address are sent to the Contact Person by e-mail by the Financial Advisor or authorized person.

The Contact Person checks whether the application is in accordance with the procedures set out in this Policy and whether the information and documents required to be included in the application form are complete. For applications that are not in accordance with the procedure, they contact the person concerned to provide the necessary information. Nevertheless, applications that are inappropriately and incomplete information / documented are rejected after being notified in writing to the person concerned.

Applications received in accordance with the procedure are forwarded by the Contact Person to the relevant department manager listed below, according to the category of the applicant.

• Candidate employee, former employee: Human Resources

• Supplier: Accounting / Purchasing

• Customer / Guest: Related Department

• Visitor: Security

• Other: Information Technologies / Law

1. APPLICATION EVALUATION

 

1. PERSONAL DATA DETECTION

In order to evaluate the requests of the data owners, firstly, it should be determined by the relevant department whether the personal data of the applicant is processed before the Company.

For this purpose, firstly, the relevant process, data category, recording medium and storage location in the Personal Data Inventory are determined based on the information in the Application Form. In addition to the review made on the Data Inventory, the data owner information on the application form is checked by searching on the Company databases.

If the personal data specified by the relevant person in the application form are not found in the relevant processes and systematic testing, the Contact Person is informed by e-mail.

If personal data specified by the relevant person in the application form are encountered in the relevant processes and systematic testing, one of the following steps is carried out in accordance with the request of the personal data owner and the requirement is fulfilled.

1. INFORMATION REQUEST FOR PERSONAL DATA PROCESSED

In line with the request of the person concerned, specified in the 11/1 of the Law and in the in the clause  (a) (b) (c) and (ç) of article 5 of this Policy, personal data processed in the Personal Data Inventory, the data processing purpose, the transmitted party and the transfer purpose information are sent to the Contact Person by e-mail.

1. CORRECTION REQUEST FOR PERSONAL DATA PROCESSED

In line with the request of the relevant person specified in the 11/1 of the Law and in the clause (d) of article 5 of this Policy, the personal data provided by the data owner and the documents proving them and the information in the Company records are compared. The data determined to be processed as defective or incomplete at the company are forwarded to the relevant department where the data is recorded together with the proving documents for correction and updated.

Information regarding the updated data is sent to the Contact Person by e-mail.

1. DELETION/DESTRUCTION REQUEST FOR PERSONAL DATA PROCESSED

In line with the request of the relevant person specified in 11/1 of the Law and in the clause (e) of article 5 of this Policy, it is determined in which processes that the Personal Data Inventory should be stored and processed due to legal obligation.

If there is no obligation to store and process due to legal obligation, related personal data will be deleted and destroyed in accordance with the Personal Data Retention and Destruction Policy. Upon completion of the deletion / destruction process, the information that the relevant personal data has been deleted and destructed is shared with the Contact Person.

If there is an obligation to process and store due to legal obligation, the Contact Person is informed that his request could not be fulfilled because the legal obligation, which is the basis for personal data processing, has not disappeared.

1. REQUEST FOR NOTIFICATION OF CORRECTION / DELETION / DESTRUCTION REQUESTS REGARDING THE PROCESSED PERSONAL DATA TO THE DATA TRANSMITTED PARTIES

In line with the request of the person concerned specified in the 11/1 of the Law and in clause (f) of article 5 of this Policy, The categories of people whose data are transferred from the Personal Data Inventory are determined.

If the person's request for correction / deletion or destruction has been fulfilled, the parties whose data are transferred are asked to carry out the same transactions and to confirm in writing that the request has been fulfilled.

Information about the request of the person's correction / deletion or destruction has been fulfilled by the third parties to whom the personal data is transferred is sent to the Contact Person by e-mail.

1. OBJECTING TO THE EMERGENCE OF A RESULT AGAINST THE PERSON HIMSELF/HERSELF   

In line with the request of the relevant person specified in the 11/1 of the Law and in the clause (g) of article 5 of this Policy, the process alleged to have a result against the data subject is examined.

If it is determined that there is no deficiency and error in the personal data processed in the process or during the process, it is informed to the Contact Person in this direction.

If any deficiencies or errors are detected in the process or in the personal data processed during the process, the information that the change made has been in favor of the person and the systems have been updated in this way is sent to the Contact Person via e-mail.

1. REQUEST TO ELIMINATE THE LOSS, IN CASE THE PERSONAL DATA IS DAMAGED DUE TO UNLAWFUL PROCESSING OF PERSONAL DATA

 

In accordance with the request of the relevant person specified in the 11/1 of the Law and in the clause (ğ) article 5 of this Policy, the loss request is examined with the participation of the Legal Advisor and the relevant departments. The action to be taken as a result of the examination and the response to the application are determined and processed through Legal Counseling.

Elimination of the damage caused by the person concerned due to the processing of personal data in violation of the Law is carried out with the approval of the Senior Management (Board of Directors / General Coordinator).

1. RESPONDING APPLICATON

Data Owner requests must be evaluated and finalized by the Company as soon as possible and within 30 days at the latest.

Examination of the applications submitted to the relevant departments should be finalized within 1 week from the date of receipt and notified to the Contact Person.

The Contact Person sends the information and documents related to the application to the Legal Advisor in order to examine the answers and actions taken from the relevant departments in terms of compliance with the legal order and the Law.

The letter prepared by the legal advisor according to the approval of the law and the result of the examination in response to the application is sent to the data owner by the Contact Person within thirty (30) days at the latest. The reply letter should include at least the following information;

1. Information about the company or its representative,
2. The applicant’s name and surname, for the citizens of the Republic of Turkey T. C. identity number, nationality for foreigners, passport number or identity number, if any, place of residence or workplace based on notification, e-mail address based on notification, telephone and fax number,
3. Request subject
4. Company's explanations regarding the application

Personal data of third parties may not be included in the responses to the application. In cases where the application cannot be responded without including the personal data belonging to third parties, the information of the third party is concealed / anonymized or shared by the relevant person.

The responses given to the applications made through the notary public are printed on the company letterhead and signed in two copies by the signatory authorities of the Company. The reply letter is recorded in the Document Registry and given to the correspondent to be sent to the applicant by mail.

The responses given by electronic signature are signed by the signature officers of the Company with electronic signature using a secure electronic signature. The reply is sent to the applicant's electronic mail account.

All the records, examination results, inquiries, correspondence, legal opinions and responses regarding the relevant application, written in the electronic directory created by the Contact Person, are stored in the archive.

1. FEE

The company concludes the requests in the application free of charge. However, if the transaction requires additional cost, the following tariff determined by the Board with the approval of the senior management may be applied:

• If the application of the person concerned is to be responded in writing, there is no fee for up to ten pages. 1 Turkish Lira transaction fee may be charged for each page above ten pages.
• If the response to the application is given in a recording medium such as CD, flash memory, the fee that can be requested by the Company cannot exceed the cost of the recording medium.

In case the application is caused by the Company's fault, the fee collected is returned to the relevant person.

Some rights are granted to owners of personal data pursuant to the Law and in accordance with the 11^th Clause of Personal Data Protection Law numbered 6698 (the Law). In order to exercise your rights within the scope of the Law, please submit your requests to the Company, which is your data supervisor, to the following addresses by filling out this application form clearly and fully pursuant to first subparagraph of the 13^th clause of Law:

• A copy which bears the wet signature to “Barbaros Mah. Serik Cad No:305A/1 Aksu/ANTALYA in person by hand or through public notary.
• By sending the form that bears the secure electronic signature to  [email protected]. via registered electronic mail after the form is signed by means of ‘‘secure electronic signature’’ within the scope of Electronic Signature Act numbered 5070.

We will reply your application as promptly as practicable or within 30 days at the latest. In the case that the information and documents you submitted to us are incomplete or incomprehensible, we will get in contact with you in order to clarify your application.

1. INFORMATION OF THE DATA OWNER

Name-Surname
Republic of Turkey Identity Number (For the citizens of Republic of Turkey)
Nationality and passport/Identity Number (For foreigners)
Phone Number
Residential Address/Workplace Address
E-mail Address

1. YOUR RELATIONSHIP WITH OUR COMPANY (Please specify your relationship with our Company such as customer, business partner, employee candidate, former employee, employee of the third party company and shareholder).

☐ Customer ☐ Visitor	☐ Business Partner  ☐ Employee
☐ Other (please specify)

1. CONTENT OF THE APPLICATION (Please specify your demand within the scope of the Law and your personal data regarding the application in detail. Please attach the relevant information and documents to your application.)

1. STATEMENT OF THE APPLICANT 

In accordance with the requests I specified above, I kindly request my application that I submitted to your company to be evaluated within the scope of 13^th clause of the Law and to be informed in this regard. I hereby declare and undertake that the information and document which I provided to you through this application and your Company may demand additional information in order to complete my application and that I have been informed about the fact that I may be required to pay the amount determined by the Board in case any additional cost arises.

Notification Method of the Application Response (Please select one of the following)

 

☐ I want it to be sent to the address that I stated via mail.

☐ I want it to be sent to my e-mail address that I stated.

 

Applicant/Owner of Personal Data

 

Name and Surname  : 

Application Date  : 

Signature    : 

 Текст настоящей Пояснительной записки подготовлен    АО "Анекс Сервисез Туризм Организасьон Ташимаджилык Тиджарет"  (Anex Services Turizm Organizasyon Taşımacılık Ticaret Anonim Şirketi) (Компания), действующим в качестве   ответственного за обработку персональных данных   на основании Закона №6698 "О защите персональных данных" (Закон)  , с целью ознакомления общественности. Подробная информация о положениях настоящей Пояснительной записки содержится на вебсайте www.anexservices.com.tr в разделе «Политика в отношении защиты и обработки персональных данных».

В соответствии с Законом нижеперечисленные понятия означают следующее:

Прямое согласие: согласие, выражаемое по собственной воле после, будучи полностью проинформированным в отношении конкретного вопроса;

Персональные данные: любая информация, касающаяся конкретного или идентифицируемого физического лица;  

Персональные данные особого характера: данные о расе, этническом происхождении, внешнем виде и одежде, членстве в ассоциациях, фондах или профсоюзах, состоянии здоровья, интимной жизни, данные о судимости и мерах безопасности, биометрические и генетические данные;    

Обработка персональных данных: получение, запись, хранение, архивирование, изменение, реорганизация, раскрытие, передача, переуступка, подготовка, предоставление, классификация или ограничение доступа к персональным данным с использованием полностью или частично автоматизированных систем или же при совершении любых операций, являющихся частью неавтоматизированной системы.  

1. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Обрабатываемые Компанией персональные данные классифицируются следующим образом:

• Идентификационная информация (удостоверение личности, водительские права, информация в паспорте и пр.)
• Контактная информация (адрес, адрес электронной почты, номер телефона, зарегистрированный адрес электронной почты и пр.)
• Информация о местоположении
• Информация о сотрудниках (информация о заработной плате, дисциплинарных взысканиях, входе-выходе с рабочего места, декларации об имуществе, резюме, оценке производительности труда, отпусках и пр.)
• Информация о правовых операциях (информация из уведомлений судебных органов, информация о материалах дела и пр.)
• Информация о клиентских транзакциях (записи о предоставлении продуктов и услуг, запросы, инструкции и пр.)
• Сведения о безопасности физического пространства (информация о входе и выходе сотрудников и посетителей, записи с камер и пр.)
• Безопасность транзакций (IP-адрес, информация для входа и выхода с веб-сайта, пароль и сведения о пароле и пр.)
• Управление рисками (доверенность, образец подписи, обработанная информация для управления коммерческими, техническими, административными рисками)
• Финансовая информация (баланс, финансовая производительность, информация о банковском счете и пр.)
• Информация о профессиональном опыте (сведения о дипломах, пройденных курсах, курсах повышения квалификации, сертификатах и пр.)
• Маркетинговая информация (информация об истории покупок, анкеты, файлы cookie, полученная в ходе кампании информация)
• Аудио/визуальная информация
• Персональные данные особого характера (сведения о привлечении к уголовной ответственности; медицинская информация; религиозная принадлежность; сведения о судимости; сведения о расовой принадлежности)
• Прочая информация (информация об использовании принадлежащих компании транспортных средств, данные системы слежения за автотранспортными средствами; штрафы за нарушение ПДД, отчеты об авариях, отчеты о несчастных случаях на производстве, документы об использовании транспортных средств и пр.)

2. Цель обработки персональных данных

В соответствии со ст. 5 и 6 Закона ЗПД, персональные данные обрабатываются:

1. в соответствии с принципами законности и добросовестности,
2. в соответствии с принципами достоверности и актуальности,
3. в конкретных, четких и законных целях,
4. исключительно в рамках, пределах и объеме целей обработки,
5. с хранением на протяжении срока, предусмотренного для конкретных целей обработки информации;

в следующих целях:

• выполнение уставной деятельности Компании в соответствии с законодательством, политикой и процедурами Компании;
• точное и полное выполнения обязательств Компании, возникающих из заключенных Компанией соглашений, условий предоставлений продукции и услуг;
• выполнение правовых обязательств;
• продажа продуктов и услуг, предлагаемых Компанией;
• взаимодействие между поставщиками, деловыми партнерами, внешними поставщиками услуг и клиентами;
• реализация кадровой политики и процессов;
• планирование и внедрение процессов информационной безопасности и непрерывности бизнеса;
• обеспечение физической, юридической и коммерческой безопасности Компании, ее персонала, клиентов и лиц, вступающих деловые отношения с Компанией;
• проведение маркетинговых аналитических исследований;
• выполнение коммуникационной и маркетинговой деятельности;
• управление уровнем удовлетворенности сотрудников и клиентов;
• выполнение финансовых, бухгалтерских и оперативных процессов;
• организация и управление мероприятиями;
• осуществление контроля качества путем проведения аудита и управления рисками;
• планирование и проведение внутренних / внешних учебных мероприятий;
• планирование и выполнение оперативной деятельности, направленной на осуществление уставной деятельности Компании в соответствии с процедурами Компании и / или соответствующим законодательством;
• создание и отслеживание записей о посетителях и обеспечение безопасности помещений и производственных мощностей компании;
• сопровождение правовых процессов;
• предоставление информации уполномоченным лицам и организациям.

Компания не использует и не продает персональные данные в каких-либо других целях, помимо указанных в настоящих документах целей, объемов и сфер деятельности. Компания принимает все необходимые технические и административные меры для правовой защиты персональных данных, предотвращения незаконного доступа к персональным данным и обеспечения безопасности персональных данных.

Подробная информация о целях обработки персональных данных Компанией содержится на вебсайте www.anexservices.com.tr в разделе  «Политика в отношении защиты и обработки персональных данных» .

3. Передача персональных данных

Для реализации вышеуказанных процессов и целей персональные данные могут передаваться при наличии прямого согласия их владельца или, в соответствии с положениями Закона "О защите персональных данных" в случаях, описанных в п. 2 ст. 5, (а) когда это напрямую предусмотрено законодательством, b) Необходимость защиты жизни или физической неприкосновенности лица, которое физически не в состоянии выразить свое согласие или не осознающего его юридической правомерности или же других лиц, c) Необходимость обработки персональных данных сторон договора при условии, что они напрямую связаны с подготовкой или исполнением договора, ç) необходимость выполнения правовых обязательств ответственного за обработку персональных данных, d) предоставление персональных данных общественности заинтересованным лицом, e) в случаях, когда обработка данных является обязательной для установления, использования или защиты прав, f) Необходимость обработки данных для обеспечения законных интересов ответственного за обработку персональных данных при условии, что такая обработка не наносит ущерб основным правам и свободам заинтересованного лица) для обработки деловым партнерам, поставщикам, акционерам, должностным лицам компании, группам компаний / акционерам / уполномоченным лицам, третьим лицам / организациям, юридически уполномоченным государственным учреждениям и частным юридическим лицам, давшими обязательство о неразглашении конфиденциальных данных для обработки информации, а также в случаях, описанных в п. 3 ст. 6, при условии принятия соответствующих мер, персональные данные о состоянии здоровье и интимной жизни могут предоставляться исключительно с целью защиты общественного здоровья, принятия профилактических медицинских мер, медицинской диагностики, лечения и ухода, планирования, управления и финансирования служб здравоохранения в следующих целях:  

• удовлетворение запроса информации и документов, получаемых от уполномоченных государственных учреждений и организаций, а также частных юридических лиц в рамках законодательства;
• реализация корпоративного законодательства, коммерческой деятельности, управление мероприятиями и процессами корпоративных коммуникаций;
• разработка, внедрение и управление стратегиями, связанными с коммерческой деятельностью Компании; реализация мониторинговой и аудиторской деятельности и управления рисками;
• реализация процессов, коммерческой деятельности и проведения разбирательств, связанных с жалобами/исками клиентов, требующих участия ассоциации компаний;
• управление процессами, связанными с товарами и услугами, предоставляемыми третьими лицами, получение консультационных, аудиторских услуг и услуг поддержки;
• организация  делового партнерства и предоставление услуг клиентам.

Подробная информация о передаче персональных данных Компанией содержится на вебсайте www.anexservices.com.tr в разделе  «Политика в отношении защиты и обработки персональных данных».

4. Порядок и правовые основания для сбора персональных данных

Персональные данные могут собираться с помощью автоматизированных систем или неавтоматизированных систем, являющихся частью системы обработки данных ассоциацией компаний,  третьими лицами/учреждениями, вступившими в договорные отношения с целью предоставления услуг по обработке данных  или направляться вами по соответствущим каналам связи в устном, письменном или электронном виде.

4.1 Персональные данные могут обрабатываться при наличии прямого согласия их владельца в соответствии со статьей 5 (1) Закона, или без прямого согласия в соответствии со статьей 5 (2) в нижеперечисленных случаях:

1. когда это напрямую разрешено законодательством.
2. Необходимость защиты жизни или физической неприкосновенности лица, которое физически не в состоянии выразить свое согласие или не осознающего его юридической правомерности или же других лиц.
3. Необходимость обработки персональных данных сторон договора при условии, что они напрямую связаны с подготовкой или исполнением договора.
4. Необходимость выполнения правовых обязательств ответственным лицом по обработке данных.
5. Предоставление личных данных общественности самим лицом.
6. В случаях, когда обработка данных является обязательной для установления, использования или защиты прав.
7. Необходимость обработки данных для обеспечения законных интересов ответственного лица при условии, что такая обработка не наносит ущерб основным правам и свободам соответствующего лица.

4.2 Персональные данные особого характера, кроме данных о состоянии здоровье и половой жизни, могут обрабатываться при наличии прямого согласия в соответствии со статьей 6 (2) Закона или без него в предусмотренных в ст. 6 (3) Закона случаях.

4.3 Данные о состоянии здоровье и половой жизни, могут обрабатываться при наличии прямого согласия в соответствии со статьей 6 (2) Закона. Персональные данные о состоянии здоровья и половой жизни могут предоставляться исключительно с целью защиты общественного здоровья, принятия профилактических медицинских мер, медицинской диагностики, лечения и ухода, планирования, управления и финансирования служб здравоохранения и в случае отсутствия прямого согласия могут обрабатываться лицами или уполномоченными организациями, давшими обязательство о неразглашении конфиденциальных данных.

5 Законные права владельца данных

В соответствии со ст. 11 Закона владелец данных имеет право обращения в Компанию в отношении своих персональных данных для выполнения следующих действий:

• осуществление запроса о статусе, цели обработки информации и использования персональных данных в соответствии с целью обработки;
• получение сведений о предоставлении персональных данных третьим лицам внутри страны или за рубеж в соответствии с действующим законодательством;
• требование исправления персональных данных в случае их неполной или неправильной обработки;
• требование удаления или уничтожения персональных данных на условиях, предусмотренных Законом;
• осуществление запроса об уведомлении третьих лиц о передаче информации об исправлении, удалении или аннулировании, а также о передаче персональных данных;
• опротестование результатов анализа, выполненного автоматизированным системами, направленных против владельца данных;
• требование возмещения ущерба, понесенного в случае незаконной обработки персональных данных.

Во исполнение Закона и осуществления связанных с ним прав просим заполнить находящуюся на веб-странице  www.anexservices.com.tr  "Форму заявки владельца данных" и отправить ее в Компанию нижеперечисленными способами. В случае, если Советом по защите персональных данных будет определен новый порядок подачи заявления, Компания уведомит о таком порядке.

• После заполнения формы заявки владельца данных ее экземпляр с оригинальной подписью передается лично или через нотариуса по адресу:  Barbaros Mah. Serik Cad No: 305A / 1 Aksu / ANTALYA/АНТАЛЬЯ, ТУРЦИЯ
• После заполнения и подписания "защищенной электронной подписью" в соответствии с положениями закона №5070 "Об электронной подписи" формы заявки владельца данных форма отправляется по адресу электронной почты [email protected].

Подающиеся таким образом заявки обрабатываются в кратчайший срок, не превышающий 30 дней. На данное время подача заявок осуществляется на бесплатной основе. При этом, в случае утверждения Советом по защите персональных данных тарифа, за услугу взимается плата в соответствии с утвержденным тарифом.

В связи с обязательным условиям наличия в форме нижеперечисленных сведений, заявки с какими-либо отсутствующими сведениями обработке не подлежат. Соответственно, помимо предмета запроса, в форме заявки должны содержаться следующие данные:

a. имя, фамилия и, в случае подачи заявки на бумажном носителе, подпись,

b. идентификационный номер ТР для граждан Турецкой Республики, номер паспорта или идентификационного документа для граждан других государств,

c. адрес проживания или места работы для получения уведомления,

d. адрес электронной почты, номер телефона или факса,

e. четко указанный предмет запроса.

Убедительно просим принять данную информацию к сведению.

АО "АНЕКС СЕРВИСЕЗ ТУРИЗМ ОГАНИЗАСЬОН ТАШИМАДЖИЛЫК ТИДЖАРЕТ"

АДРЕС: Barbaros Mah. Serik Cad No: 305A / 1 Aksu / ANTALYA/АНТАЛЬЯ, ТУРЦИЯ

НОМЕР В ЕДИНОМ РЕЕСТРЕ ЮРИДИЧЕСКИХ ЛИЦ: 0764038778500017

НОМЕР РЕГИСТРАЦИИ В ТОРГОВОЙ ПАЛАТЕ: 83427

НАЛОГОВАЯ АДМИНИСТРАЦИЯ: Налоговая администрация по обслуживанию учреждений Антальи

НАЛОГОВЫЙ НОМЕР: 7640387785

КОД ДОКУМЕНТА	:	GM-P002
УТВЕРДИЛ	:	ПРАВЛЕНИЕ
ДАТА УТВЕРЖДЕНИЯ	:	05/01/2019
ДАТА ПОСЛ. РЕД.	:	00/0000
ВЕРСИЯ	:	01
СВЯЗАННЫЕ ДОКУМЕНТЫ	:	Политика в отношении защиты и обработки персональных данных  Политика в отношении защиты и обработки персональных данных особого характера Пояснительная записка о защите и обработке персональных данных

СОДЕРЖАНИЕ

1.   ЦЕЛЬ. 2

2.   СФЕРА ДЕЙСТВИЯ. 3

3.   ОТВЕТСТВЕННОСТЬ. 3

4.   ОПРЕДЕЛЕНИЯ. 3

5.   НОСИТЕЛИ ДАННЫХ. 5

6.   ЮРИДИЧЕСКИЕ, ТЕХНИЧЕСКИЕ ИЛИ ДРУГИЕ ОСНОВАНИЯ ДЛЯ ХРАНЕНИЯ ИЛИ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. 5

7.   МЕРЫ. ПРИНИМАЕМЫЕ В ЦЕЛЯХ БЕЗОПАСНОГО ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРЕДОТВРАЩЕНИЯ ИХ НЕЗАКОННОГО ХРАНЕНИЯ ИЛИ ДОСТУПА К НИМ.. 6

7.1     АДМИНИСТРАТИВНЫЕ МЕРЫ.. 7

7.2     ТЕХНИЧЕСКИЕ МЕРЫ.. 7

8.   МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ    8

8.1.   УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. 8

8.2.   УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. 9

8.3.   АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. 10

8.3.1 Методы анонимизации, не обеспечивающие нерегулярность показателей: 11

8.3.2 Методы анонимизации, обеспечивающие нерегулярность показателей i: 11

8.3.3 Статистические способы для усиления анонимизации: 11

9.   ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ .   11

10.     СРОКИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ . 12

10.1  СРОКИ ОФИЦИАЛЬНОГО УДАЛЕНИЯ, УНИЧТОЖЕНИЯ И АНОНИМИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ  13

10.2  СРОКИ УДАЛЕНИЯ, УНИЧТОЖЕНИЯ И АНОНИМИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ЗАПРОСУ ЗАИНТЕРЕСОВАННОГО ЛИЦА. 13

ПРИЛОЖЕНИЕ 1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ  13

1. ЦЕЛЬ

 Цель настоящей Политики состоит в предоставлении сведений о принципах и правилах хранения в течение максимального срока обработанных персональных данных и их уничтожения, оперативных правил и ответственности учреждения за контроль и принятие мер, в отношении вышеуказанных действий, выполняемых   АО "АНЕКС СЕРВИСЕЗ ТУРИЗМ ОРГАНИЗАСЬОН ТАШИМАДЖИЛЫК ТИДЖАРЕТ (ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ)    (Компания),  действующего в качестве Ответственного лица за обработку персональных данных на основании Закона №6698 "О защите персональных данных" (Закон).

 

В соответствии с миссией, видением и основными принципами, определенными в Стратегическом плане, основным приоритетом является обработка персональных данных сотрудников Компании, соискателей должности, поставщиков услуг, посетителей и других третьих лиц в соответствии с Конституцией Турецкой Республики, международными договорами, Законом № 6698 о защите персональных данных («Закон») и другими соответствующими законодательными актами, а также обеспечивается эффективная реализация прав соответствующих лиц. Работы и операции по хранению и уничтожению персональных данных осуществляются Компанией в соответствии с разработанной в этом направлении Политикой.

1. СФЕРА ДЕЙСТВИЯ

Положения настоящей политики применяются к клиентам, посетителям, сотрудникам, соискателям, акционерам, должностным лицам юридических лиц, вступивших в коммерческие отношения с Компанией (ассоциация компаний, партнеры, поставщики, консультанты и пр.), членам семей акционеров, сотрудников и владельцев данных, чьи персональные данные обрабатываются Компанией полностью или частично с помощью автоматизированных систем или неавтоматизированных систем, являющихся частью системы обработки данных. Настоящая политика разработана в соответствии с «Учетом персональных данных».

1. ОТВЕТСТВЕННОСТЬ

Настоящая политика утверждена и введена в действие правлением Компании. Все действия, осуществляемые Компанией в рамках своей деятельности, а также принимаемые меры в рамках настоящей политики определяются соответствующими процедурами. Высшее руководство Компании несет ответственность за подготовку, обновление и реализацию данных процедур.

Все сотрудники Компании несут ответственность за выполнение своих обязанностей в соответствии с настоящей Политикой и всеми соответствующими процедурами и правилами.

1. ОПРЕДЕЛЕНИЯ

Ниже перечислены важные определения, использующиеся в настоящей Политике. 

Группа получателей	Категория физических или юридических лиц, получающих персональные данные от ответственного за обработку данных
Облачные носители/системы	Такие системы, как Office 365, Salesforce, Dropbox, хранящие и обеспечивающие доступ к данным через интернет
Непосредственные идентификаторы	Идентификаторы, непосредственно раскрывающие, идентифицирующие и выделяющие личность человека, которому они принадлежат
Косвенные идентификаторы	Идентификаторы, которые необходимо объединить с другими идентификаторами для раскрытия, идентификации и выделения личности человека, которому они принадлежат
Заинтересованное лицо	Физическое лицо, персональные данные которого подвергаются обработке
Заинтересованный пользователь	Лица, обрабатывающие персональные данные в организационной структуре ответственного за обработку данных или в соответствии с полномочиями и инструкциями, полученными от ответственного за обработку данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных
Уничтожение	Удаление, уничтожение или анонимизация персональных данных
Закон	Закон № 6698 "О защите персональных данных"
Затемнение	Такие процедуры, как стирание, закраска и размывка всех персональных данных с целью обеспечения невозможности их ассоциации с известным или идентифицируемым физическим лицом
Носитель записи	Любая среда-носитель персональных данных, обрабатываемых полностью или частично автоматизированными системами или неавтоматизированными системами, являющимися частью системы обработки данных
Персональные данные	Любая информация о конкретном или идентифицируемом физическом лице
Учет обработки персональных данных	Деятельность по обработке персональных данных, осуществляющаяся в зависимости от деловой деятельности ответственного лица за обработку данных: детальная опись, содержащая информацию о целях обработки персональных данных, категории данных, группе получателей передаваемых персональных данных и максимальном сроке, необходимом для хранения персональных данных в соответствии с целями их обработки, персональных данных, подлежащих передаче за рубеж, а также мерах, принимаемых для обеспечения безопасности персональных данных
Обработка персональных данных	Получение, запись, хранение, архивирование, изменение, реорганизация, раскрытие, передача, переуступка, подготовка, предоставление, классификация или ограничение доступа к персональным данным с использованием полностью или частично автоматизированных систем или же при совершении любых операций, являющихся частью неавтоматизированной системы
Удаление личных данных	Процесс, делающие персональные данные недоступными и непригодными для использования соответствующими пользователями
Уничтожение персональных данных	Процесс, при котором персональные данные никогда не могут быть доступны, восстановлены или использованы повторно
Анонимизация персональных данных	Процесс, обеспечивающий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств
Совет	Совет по защите персональных данных
Управление	Управление по защите персональных данных
Магнитная лента	Гибкая магнитная лента-носитель, хранящий данные с помощью микромагнитных частиц
Магнитный диск	Гибкий (дисковый) или жесткий носитель, хранящий данные с помощью микромагнитных частиц
Маскировка	Такие процедуры, как удаление, зачеркивание, закраска, сокрытия звездочками и т.д. части персональных данных с целью обеспечения невозможности их ассоциации с известным или идентифицируемым физическим лицом
Периодическое уничтожение	Периодическое официальное удаление, уничтожение или анонимизация персональных данных в случаях полного устранения необходимых условий для обработки персональных данных в соответствии с Политикой в отношении хранения и уничтожения персональных данных
Оператор данных	Физическое или юридическое лицо, обрабатывающее персональные данные на основании полномочий, полученных от ответственного за обработку персональных данных
Система учета данных	Система учета, в которой персональные данные обрабатываются в соответствии с определенными критериями
Ответственный за данные	Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и несущее ответственность за создание и управление системой учета данных

1. НОСИТЕЛИ ДАННЫХ

Безопасное хранение персональных данных их владельцев данных обеспечивается на следующих носителях, предоставляемых Компанией в соответствии с действующим законодательством, в частности с положениями Закона и согласно принципам безопасности данных:

1. Облачные носители
2. Бумажные носители
3. Центральные серверы
4. Базы данных 
5. Жесткие диски

1. ЮРИДИЧЕСКИЕ, ТЕХНИЧЕСКИЕ ИЛИ ДРУГИЕ ОСНОВАНИЯ ДЛЯ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Полученные Компанией персональные данные обрабатываются в соответствии с условиями обработки, указанными в статьях 5 и 6 Закона, в объеме, указанном в Политике в отношении защиты и обработки персональных данных и хранятся в следующих целях:

• Выполнение и проверка уставной деятельности Компании в соответствии с законодательством, стратегией, политикой и процедурами Компании
• Реализация кадровой политики; планирование и реализация кадровых процессов,
• Планирование и внедрение процессов информационной безопасности,
• Обеспечение физической, юридической и коммерческой безопасности Компании, ее персонала, клиентов и лиц, вступающих деловые отношения с Компанией,
• Планирование и реализация корпоративной коммуникационной и маркетинговой деятельности,
• Выполнение правовых обязательств и реализации прав Компании, вытекающих из действующего законодательства в соответствии с требованиями законодательства или правовых норм,
• Выполнение работ и транзакций в рамках подписанных договоров и протоколов,
• Управление отношениями с ассоциацией компаний, деловыми партнерами и поставщиками,
• Обеспечение коммуникации с физическими / юридическими лицами, находящихся в деловых отношениях с Компанией
• Учет всех записей и документов, необходимых для основной деятельности,
• Юридическая отчетность,
• Предоставление вытекающей из законодательства информации законно уполномоченным учреждениям и организациям,
• Выполнение свидетельских обязательств в потенциальных правовых разбирательствах.

Персональные данные, обрабатываемые в рамках деятельности Компании, хранятся на протяжении срока, предусмотренного следующими законодательно-нормативными актами:

• Закон № 6698 "О защите персональных данных",
• Торговый Кодекс Турции № 6102,
• Обязательственный Кодекс Турции № 6098
• Закон № 6502 "О защите прав потребителей"
• Закон № 5510 "О социальном страховании и общем медицинском страховании",
• Закон № 5651 «Об организации публикаций в интернете и борьбе с преступлениями, совершенными с помощью таких публикаций»,
• Закон № 6331 "Об охране труда и технике безопасности",
• Закон № 4857 "О труде",
• Положение "О мерах по охране труда и технике безопасности, подлежащих к применению в зданиях и пристройках на местах выполнения работ",
• Другие соответствующие законы и подзаконные акты 

Независимо от статуса обработки при устранении причин для обработки информации в соответствии с положениями Закона и других законодательных актов Компания периодически или по требованию заинтересованного лица удаляет, уничтожает или анонимизирует персональные данные.   Соответственно, удаление, уничтожение или анонимизация персональных данных выполняется в следующих случаях:

• Поправка или отмена соответствующих положений законодательства, являющихся основанием для обработки персональных данных,
• Отсутствие оформленного договора между сторонами, недействительность договора, самопроизвольное прекращение действия договора, расторжение или аннулирование договора
• Устранение цели обработки персональных данных,
• Выявление противоречия обработки персональных данных законодательству или правилам добропорядочности,
• Отзыв прямого согласия владельца данных в случаях, когда обработка персональных данных происходит при наличии прямого согласия,
• Принятие Компанией заявки заинтересованного лица относительно обработки персональных данных в рамках реализации прав, указанных в пунктах 1 (e) и (f) статьи 11 Закона,
• В случаях отклонения Компанией заявки заинтересованного лица об удалении или уничтожении персональных данных, неадекватности ответа или неполучения ответа в предусмотренный Законом срок; подачи жалобы в Совет и удовлетворение ее Советом,
• Отсутствие каких-либо обстоятельств, необходимых для хранения персональных данных на протяжении срока, превышающего максимальный срок хранения персональных данных,
• Устранение обстоятельств, требующих обработки персональных данных согласно статьям 5 и 6 Закона 

1. МЕРЫ, ПРИНИМАЕМЫЕ В ЦЕЛЯХ БЕЗОПАСНОГО ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРЕДОТВРАЩЕНИЯ ИХ НЕЗАКОННОЙ ОБРАБОТКИ ИЛИ ДОСТУПА К НИМ

Компания принимает технические и административные меры для обеспечения надлежащего уровня безопасности с целью предотвращения и защиты от незаконного доступа и обработки персональных данных; в целях соблюдения положений Закона проводятся необходимые проверки.  

1. АДМИНИСТРАТИВНЫЕ МЕРЫ

1. Проводится определение возможного риска в отношении защиты персональных данных; в случае возможности возникновения такого риска определяется возможный ущерб и предпринимаются меры для снижения или устранения риска.
2. Обязанности, полномочия и ответственность персонала, участвующего в процессах, политике и процедурах, связанных с обработкой, конфиденциальностью и безопасностью персональных данных и их уничтожением, оформляются в письменном виде и предоставляются всем сотрудникам для ознакомления.
3. Персонал проходит необходимую подготовку в сфере обработки, защиты и обеспечения безопасности персональных данных. 
4. Обеспечивается обновление политики и процедура, а также осуществляется необходимое обучение и оповещение сотрудников о внесенных изменениях. 
5. При найме на работу и подписании трудовых соглашений между Компанией и работников обеспечивается подписание работниками приложений к соглашению о защите и обеспечении конфиденциальности персональных данных. 
6. В процессе проверки потребности хранения, а также соответствия условий хранения персональных данных, обеспечивается более надежное хранение персональных данных в архиве, а персональные данные, потребность в хранении которых отпала, удаляются, уничтожаются или анонимизируются в соответствии с настоящей Политикой.
7. Доступ к хранящимся в Компании персональным данным ограничивается персоналом, для которого такой доступ предусматривается должностной инструкцией. 
8. В случае несоблюдения сотрудниками определенных и оглашенных Компанией политики и процедур, в отношении таких сотрудников применяются санкции, предусмотренные Процедурой дисциплинарного взыскания. 
9. В отношении обмена персональными данными, с лицами и операторами данных подписывается соглашение о конфиденциальности, касающиеся защиты и безопасности персональных данных, а уже существующие соглашения дополняются положениями о безопасности данных.
10. В рамках политики и процедур проводятся регулярные проверки, планируются и осуществляются необходимые действия в отношении областей, требующих улучшения. 
11. В целях обеспечения соблюдения положений Закона планируются и выполняются действия для незамедлительного устранения недостатков в конфиденциальности и безопасности, обнаруживающихся в результате проверок.
12. В случае незаконного получения обработанных персональных данных посторонними лицами заинтересованное лицо и Совет незамедлительно оповещаются о такой ситуации.

1. ТЕХНИЧЕСКИЕ МЕРЫ

1. Для защиты систем информационных технологий и данных, содержащих персональные данные используются SSL-соединения, антивирусное и межсетевое программное обеспечение и оборудование.
2. Неиспользуемое программное обеспечение и сервисы удаляются с устройств.
3. Проводятся регулярные проверки соответствия работы программного и аппаратного обеспечения, адекватности принимаемых мер безопасности, а также обновления безопасности носителей данных; обеспечивается необходимое исправление и обновление программного обеспечения для устранения возможных пробелов в безопасности. Необходимые меры предосторожности предпринимаются по мере выявления рисков, угроз, уязвимостей и, при наличии, недочетов в информационной системе Компании.  
4. Доступ к системам, содержащим персональные данные, предоставляется в рамках политики доступа, процедур управления пользователями и функциями. Объем и продолжительность авторизации пользователей, имеющих доступ к данным, четко определяются. Контролируется доступ сотрудников отдела ИТ к персональным данным.
5. При необходимости удаленного доступа к данным используется по меньшей мере двухэтапная система аутентификации.
6. Проводятся периодические проверки полномочий.
7. Полномочия сотрудников, сменивших должность или уволившихся с работы, немедленно снимаются. Инвентарь, выделенный таким сотрудникам Компанией, возвращается.
8. Обеспечивается техническая инфраструктура для предотвращения или определения утечки данных из компании.
9. Обеспечивается соответствующее хранение записей всех транзакций пользователей (журнал регистрации).
10. Проверка недостатков системы осуществляется путем проведения планового или аварийного тестирования на проникновение.
11. Защита носителей и устройств, хранящих персональные данные, обеспечивается с помощью принятия мер физической безопасности. 
12. В целях безопасности хранения персональных данных обеспечивается их резервное копирование и физическая безопасность резервных копий.
13. Ведется регистрация доступа к зонам хранения персональных данных, а неправомерный доступ или его попытки тщательно контролируются.
14. Уничтожение персональных данных происходит с обеспечением невозможности их восстановления и отметок в контрольном журнале.
15. С целью обеспечения недоступности и непригодности для повторного использования заинтересованными пользователями удаленных персональных данных принимаются необходимые меры.
16. В соответствии со ст. 12 Закона все данные на любых электронных носителях, содержащие персональные данные особого характера, хранятся криптографическим способом. Обеспечивается безопасное хранение криптографических ключей на различных носителях.
17. При хранении и использовании персональных данных в облаке, в случаях шифрования персональных данных с использованием криптографических способов обеспечивается использование отдельных ключей шифрования, особенно для каждого обслуживаемого облачного решения. 
18. При необходимости передачи персональных данных по электронной почте, обеспечивается их передача с зашифрованного корпоративного адреса электронной почты или с использованием учетной записи зарегистрированной электронной почты (KEP).
19. При необходимости передачи данных на таких носителях, как флэш-карта, CD, DVD, данные зашифровываются криптографическими способами, а криптографический ключ хранится на разных носителях.
20. При передаче данных между серверами на различных физических носителях передача данных осуществляется путем установки VPN между серверами или методом sFTP.
21. При передаче данных на бумажных носителях в отношении таких рисков, как кража документов, их потеря или просмотр посторонними лицами принимаются необходимые меры предосторожности.

1.  Меры, принимаемые для уничтожения ПЕРСОНАЛЬНЫХ ДАННЫХ в соответствии с законодательством 

1. ПЕРСОНАЛЬНЫХ ДАННЫХ

Удаление персональных данных - это процесс, позволяющий сделать личные данные недоступными и непригодными для обработки заинтересованными пользователями. Компанией принимаются необходимые технические и административные меры с целью обеспечения недоступности и непригодности для повторного использования заинтересованными пользователями удаленных персональных данных.

Процесс удаления персональных данных происходит следующим образом:

1. Идентификация персональных данных, подлежащих удалению.
2. Определение заинтересованных пользователей для каждого вида персональных данных с использованием матрицы авторизации и контроля доступа или аналогичной системы.
3. Определение полномочий и операций заинтересованных пользователей, таких как доступ, поиск и повторное использование.
4. Снятие полномочий доступа, поиска, повторного использование персональных данных с заинтересованных пользователей и закрытие доступа к операциям. 

Персональные данные удаляются с носителей данных соответствующими способами.

1. Данные в облаке удаляются с помощью команды удаления. Гарантируется отсутствие прав заинтересованного пользователя на восстановление удаленных данных в облачной системе. 
2. Персональные данные на бумажных носителях удаляется с помощью затемнения. Затемнение выполняется, по возможности, путем вырезания персональных данных из соответствующих документов или обеспечения невидимости таких данных для заинтересованных пользователей с помощью перманентных чернил с обеспечением необратимости затемнения и невозможности прочтения данных с помощью технических решений. 
3. Офисные файлы на центральном сервере удаляются с помощью команды удаления в операционной системе, или же удаляются права пользователя на доступ к файлу или папке. Пользователь, выполняющий эту операцию, не должен являться администратором базы данных.  
4. Персональные данные на флэш-накопителях хранятся в зашифрованном виде и удаляется с использованием программного обеспечения, соответствующего для такого вида носителей.  
5. Персональные данные, хранящиеся в базах данных удаляются с помощью удаления соответствующих строк командой базы данных (Удалить). Пользователь, выполняющий эту операцию, не должен являться администратором базы данных.   

1. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Уничтожение персональных данных - это процесс, при котором персональные данные никогда не могут быть доступны, восстановлены или использованы повторно. Компанией принимаются все необходимые технические и административные меры, касающиеся уничтожения персональных данных.

В целях уничтожения персональных данных обнаруживаются и последовательно уничтожаются все их копии в соответствии с типом систем, в которых находятся данные:

1. Данные в локальных системах уничтожаются следующими способами: 

• Размагничивание: уничтожение данных до несчитываемого состояния обеспечивается путем пропуска магнитного носителя через специальное устройство с сильным магнитным полем. 
• Физическое разрушение: процесс расплавления, сжигания или превращения в пыль оптических и магнитных носителей. 
• Наложение записи: процесс предотвращения восстановления старых данных путем по меньшей мере семикратной записи случайного набора данных, состоящих из 0 и 1, на магнитный носитель и перезаписываемый оптический носитель с использованием специального программного обеспечения.  

2. Данные в периферийных системах уничтожаются следующими способами: 

• Данные в сетевых устройствах (коммутаторе, маршрутизаторе и т. д.): уничтожаются с помощью одного или нескольких соответствующих способов, указанных в пункте (а). 
• Носители на основе флэш-памяти: для удаления данных с жестких дисков на основе флэш-памяти с интерфейсом ATA (SATA, PATA и т. Д.), SCSI (SCSI Express и т.д.) используется команда <block erase>, если такая команда поддерживается, или же, при отсутствии поддержки такой команды используется рекомендованный производителем способ удаления, или же используется один или несколько соответствующих методов, указанных в пункте (a).  
• Магнитная лента: разрушается путем размагничивания при подвергании воздействию очень сильных магнитных сред или же физическими методами разрушения, такими как сжигание или плавление. 
• Магнитный диск и подобные носители: разрушаются путем размагничивания при подвергании воздействию очень сильных магнитных сред   или же физическими методами разрушения, такими как сжигание или плавление. 
• Мобильные телефоны (сим-карты и встроенная память): уничтожаются с помощью одного или нескольких соответствующих методов, указанных в пункте (а). 
• Оптические диски (CD, DVD и т.д): разрушается физическими способами разрушения, такими как сжигание, измельчение, плавление. 
• Периферийные устройства, такие как принтер, система доступа к дверям по отпечаткам пальцев, с извлекаемым носителем данных: уничтожаются после подтверждения удаления данных с таких носителей с помощью одного или нескольких соответствующих способов, указанных в пункте (а). 
• Периферийные устройства, такие как принтер со встроенным носителем для записи данных, система доступа к дверям по отпечаткам пальцев: уничтожаются с помощью одного или нескольких соответствующих методов, указанных в пункте (а). 

3. Персональные данные на бумажных носителях и микрофишах уничтожаются путем основного носителя в связи с постоянной физической записью на нем. При этом процессы носители горизонтально и вертикально измельчаются на мелкие части с помощью измельчителей бумаги (шредеров) таким образом, чтобы носитель не поддавался восстановлению. Персональные данные, переданные с исходного бумажного носителя на электронный носитель путем сканирования, уничтожаются в соответствии с видом электронного носителя одним или несколькими способами, такими как размагничивание, физическое уничтожение, наложение записи.

4. Персональные данные, хранящиеся в облаке: по истечении срока обслуживания на облаке все копии ключей шифрования, необходимые для предоставления доступа к персональным данным, уничтожаются.  

5. Персональные данные на неисправных или подлежащих техническому обслуживанию устройствах уничтожаются следующим образом: 

• Уничтожение персональных данных, содержащихся на устройствах, подлежащих передаче третьим лицам, таким как производитель, продавец, компания по обслуживанию, ремонту, происходит с использованием одного или нескольких соответствующих способов, указанных в пункте (а)
• В случаях, когда уничтожение невозможно или нецелесообразно, блок памяти, хранящий данные, изымается из устройства, а оставшиеся части устройства отправляются к производителю, продавцу, сервисную компанию или другим третьим лицам.
• Обеспечивается принятие необходимых мер для предотвращения копирования третьими лицами данных с носителей, переданных для технического обслуживания или ремонта.

1. АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Анонимизация персональных данных - процесс, обеспечивающий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств Анонимизация означает, что путем удаления или изменения всех прямых и / или косвенных идентификаторов в наборе данных личность соответствующего лица не может быть идентифицирована или выделена в группе или скоплении лиц, а персональные данные не могут быть связаны с конкретным физическим лицом. Данные, не указывающие на конкретное лицо в результате блокировки или потери таких особенностей, считаются анонимизированными. 

При определении методов анонимизации, применяемых Компанией, используется один из методов, включенных в «Руководство по удалению, уничтожению или анонимизации», опубликованное Управлением, с учетом следующих особенностей в отношении владельца набора данных:

• Характер данных,
• Размер данных,
• Структура данных на физических носителях,
• Разнообразие данных,
• Выгода/цель обработки данных,
• Частота обработки данных,
• Обеспечение безопасности стороной-получателем данных
• Принятие во внимание потенциальных ситуаций, возникающих вследствие анонимизации данных,
• Размер и область воздействия ущерба, потенциально наносимого вследствие нарушения анонимности данных,
• Соотношение распределения/централизованности данных,
• Контроль прав доступа пользователей к данным,
• Вероятность атаки, направленной на нарушении анонимности данных.

1. Методы анонимизации, не обеспечивающие нерегулярность показателей:

• Вычитание переменных
• Извлечение записей
• Частичное сокрытие
• Обобщение
• Кодирование нижнего и верхнего предела
• Глобальное кодирование
• Дискретизация
• Маскировка 
• Агрегация/создание накопительных данных

1. Методы анонимизации, обеспечивающие нерегулярность показателей:

• Микро-соединение
• Режим обмена
• Добавление шума

1. Статистические способы для усиления анонимизации:

• K-Анонимность
• L-Разнообразие
• Т-Близость

1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Все отделы и сотрудники Компании, вовлеченные в процессы обработки, хранения и уничтожения персональных данных, несут ответственность за выполнение требований настоящей Политики, надлежащее выполнение технических и административных мер, принятых в рамках Политики, а также за хранение и защиту данных, используемых в процессе их деятельности.

Периодическое уничтожение, влияющие на деятельность Компании и целостность данных, потенциально влекущих за собой нарушение законно-правовых норм, осуществляется отделом информационных технологий с учетом типа персональных данных, систем, в которых они находятся, и подразделения, обрабатываемому такие данные.

Должности, подразделения и должностные инструкции лиц, занимающихся хранением и уничтожением персональных данных, включены в приложение к настоящей Политике.
 

1. СРОКИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Таблица с указанием сроков хранения и уничтожения персональных данных в Компании приведена ниже.

Категория данных	Максимальный период хранения	Период уничтожения
Идентификационные и контактные данные сотрудника, информация об опыте работы, личном деле, финансовая, визуальная и аудио информация, сведения об управлении рисками, инвалидности, наличии/отсутствии судимости	10 лет после окончания трудовых отношений	В течение 180 дней после окончания срока хранения
Сведения о состоянии здоровья, группе крови сотрудников	15 лет после окончания трудовых отношений	В течение 180 дней после окончания срока хранения
Данные о деятельности/информационной безопасности сотрудников	На протяжении трудовых отношений	В течение 180 дней после окончания срока хранения
Данные об автомобиле сотрудника	На протяжении трудовых отношений	В течение 180 дней после окончания трудовых отношений
Данные о местонахождении сотрудников	1 месяц	В течение 180 дней после окончания срока хранения
Идентификационные и контактные данные соискателя, сведения об опыте работы	2 года	В течение 180 дней после окончания срока хранения
Идентификационные и контактные данные партнера Компании, финансовая информация, сведения об управлении рисками	10 лет после окончания деловых отношений	В течение 180 дней после окончания срока хранения
Идентификационные и контактные данные сотрудника поставщика, финансовая и аудио-визуальная информация, сведения об управлении рисками	10 лет после окончания деловых отношений	В течение 180 дней после окончания срока хранения
Данные о деятельности/информационной безопасности сотрудников поставщика	На протяжении деловых отношений	В течение 180 дней после окончания деловых отношений
Информация о входе посетителя на сайт	2 года	В течение 180 дней после окончания срока хранения
Учетные данные посетителя	2 месяца	В течение 180 дней после окончания срока хранения
Информация, обеспечивающая безопасность физического пространства	2 месяца	В течение 180 дней после окончания срока хранения
Договоры	10 лет после окончания договорных отношений	В течение 180 дней после окончания срока хранения
Документы, реестры и записи	10 лет	В течение 180 дней после окончания срока хранения

1. Сроки официального удаления, уничтожения или анонимизации персональных данных

При устранении причин для обработки информации Компания регулярно через каждые шесть месяцев официально удаляет, уничтожает или анонимизирует персональные данные.  Периодическое официальное удаление, уничтожение или анонимизация персональных данных происходит в течение первой сессии уничтожения персональных данных после наступления срока их уничтожения.

В случае передачи соответствующих персональных данных третьим лицам, об этом сообщается сторонам, обрабатывающим данные от имени Компании, и обеспечивается выполнение ими соответствующих операций с персональным данными.

1. Срок удаления и уничтожения персональных данных по запросу заинтересованного лица

В случае запроса заинтересованного лица об удалении или уничтожении персональных данных:

1. При устранении условий для обработки персональных данных персональные данные, являющиеся предметом запроса, удаляются, уничтожаются или анонимизируются Компанией не позднее чем через тридцать дней после получения запроса, а заинтересованное лицо уведомляется о совершении этой операции.

2. При устранении условий для обработки персональных данных и в случае передачи соответствующих персональных данных третьим лицам, об этом сообщается сторонам, обрабатывающим данные от имени Компании, и обеспечивается выполнение ими соответствующих операций с персональным данными.

3. В случае действительности условий для обработки персональных данных запрос на удаление персональных данных может быть отклонен с соответствующим обоснованием согласно статье 13 Закона; ответ с отказом направляется заинтересованному лицу в письменной или электронной форме не позднее чем через тридцать дней.

Все операции, связанные с удалением, уничтожением и анонимизацией персональных данных, соответствующим образом регистрируются, и записи о них хранятся не менее трех лет, кроме случаев, предусмотренных законодательством. 

ПРИЛОЖЕНИЕ1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

ДОЛЖНОСТЬ	ПОДРАЗДЕЛЕНИЕ	ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
Высшее руководство	Совет директоров, генеральный координатор, генеральный директор	Ответственность за подготовку, публикацию, обновление политики и соблюдение ее сотрудниками.
Руководители отделов	Все подразделения	Ответственность за реализацию Политики в рамках своих должностных обязанностей и должностных обязанностей сотрудников, находящихся в ведении отдела.
Начальник отдела информационных технологий	Информационные технологии	Ответственность за защиту обработку, доступ к персональным данным, их уничтожение законным способом, а также управление процессом уничтожения персональных данных.
Начальник отдела кадров Начальник финансового отдела  Начальник бухгалтерии Начальник юридического отдела Начальник отдела обеспечения и контроля качества	Отдел кадров Финансовый отдел Бухгалтерия Юридический отдел Отдел обеспечения и контроля качества	Ответственный за реализацию политики в отношении хранения и уничтожения персональных данных: несет ответственность в рамках своих полномочий за надлежащее хранение данных на протяжении соответствующего срока, а также за руководство процессом периодического уничтожения персональных данных.

КОД ДОКУМЕНТА	:	GM-P001
УТВЕРДИЛ	:	ПРАВЛЕНИЕ
ДАТА УТВЕРЖДЕНИЯ	:	05/01/2019
ДАТА ПОСЛ. РЕД.	:	00/0000
ВЕРСИЯ	:	01
СВЯЗАННЫЕ ДОКУМЕНТЫ	:	Политика в отношении хранения и уничтожения персональных данных Пояснительная записка о защите и обработке персональных данных Прямое согласие на обработку персональных данных Политика в отношении защиты и обработки персональных данных особого характера Форма заявки владельца данных

 

СОДЕРЖАНИЕ

1.   ЦЕЛЬ. 3

2.   СФЕРА ДЕЙСТВИЯ. 3

3.   ОТВЕТСТВЕННОСТЬ. 3

4.   ОПРЕДЕЛЕНИЯ. 3

5.   ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ. 5

5.1.   ОБЩИЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. 5

5.2.   УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. 6

5.3.   УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОСОБОГО ХАРАКТЕРА.. 8

5.4.   КАТЕГОРИИ ГРУПП ЛИЦ И ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. 9

5.5.   ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. 11

5.6.   УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ИЛИ АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. 13

5.7.   ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ. 14

5.7.1. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ В ПРЕДЕЛАХ СТРАНЫ.. 14

5.7.2. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА РУБЕЖ... 15

5.7.3. ПЕРЕДАЧА КОМПАНИИ ДАННЫХ, ОБРАБОТАННЫХ АССОЦИАЦИЕЙ КОМПАНИЙ.. 15

6.   ПОЛОЖЕНИЯ О БЕЗОПАСНОСТИ ДАННЫХ. 16

6.1 АДМИНИСТРАТИВНЫЕ МЕРЫ.. 16

6.2 ТЕХНИЧЕСКИЕ МЕРЫ.. 16

7.   ОПОВЕЩЕНИЕ. 17

8.   ПРАВА ВЛАДЕЛЬЦА ДАННЫХ. 18

8.1 ОБСТОЯТЕЛЬСТВА, НА КОТОРЫЕ НЕ РАСПРОСТРАНЯЮТСЯ ПРАВА ВЛАДЕЛЬЦА ДАННЫХ. 18

1. ЦЕЛЬ

 Цель настоящей Политики состоит в предоставлении сведений об обработке, обеспечении безопасности, мерах контроля и предосторожности, оперативных правилах и ответственности, направленных на защиту основных прав и свобод в отношении конфиденциальности личной жизни, а также повышении осведомленности владельцев данных и сотрудников в отношении персональных данных   АО "АНЕКС СЕРВИСЕЗ ТУРИЗМ ОРГАНИЗАСЬОН ТАШИМАДЖИЛЫК ТИДЖАРЕТ (ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ)      (Компания),   действующего в качестве ответственного лица за обработку персональных данных на основании Закона №6698 "О защите персональных данных" (Закон) 

1. СФЕРА ДЕЙСТВИЯ

Положения настоящей политики применяются к физическим лицам, чьи персональные данные обрабатываются Компанией полностью или частично с помощью автоматизированных систем или неавтоматизированных систем, являющихся частью системы обработки данных. Группы лиц, персональные данные о которых подлежат обработке, перечислены в ст. 5.4 настоящей Политики.

1. ОТВЕТСТВЕННОСТЬ

Настоящая политика утверждена и введена в действие правлением Компании. Все действия, осуществляемые Компанией в рамках своей деятельности, а также принимаемые меры в рамках настоящей политики определяются соответствующими процедурами. Высшее руководство Компании несет ответственность за подготовку, обновление и реализацию данных процедур.

Все сотрудники Компании несут ответственность за выполнение своих обязанностей в соответствии с настоящей Политикой и всеми соответствующими процедурами и правилами.

1. ОПРЕДЕЛЕНИЯ

Ниже перечислены важные определения, использующиеся в настоящей Политике. 

Прямое согласие	Согласие, выражаемое по собственной воле, получив полную информацию в отношении конкретного вопроса
Анонимизация	Процесс, предоставляющий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств
Заинтересованное лицо	Физическое лицо, персональные данные которого подвергаются обработке
Заинтересованный пользователь	Лица, обрабатывающие персональные данные в организационной структуре ответственного за обработку данных или в соответствии с полномочиями и инструкциями, полученными от ответственного за обработку данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных
Уничтожение	Удаление, уничтожение или анонимизация персональных данных
Закон	Закон № 6698 "О защите персональных данных"
Носитель записи	Любая среда-носитель персональных данных, обрабатываемых полностью или частично автоматизированными системами или неавтоматизированными системами, являющимися частью системы обработки данных
Персональные данные	Любая информация о конкретном или идентифицируемом физическом лице
Обработка персональных данных	Получение, запись, хранение, архивирование, изменение, реорганизация, раскрытие, передача, переуступка, подготовка, предоставление, классификация или ограничение доступа к персональным данным с использованием полностью или частично автоматизированных систем или же при совершении любых операций, являющихся частью неавтоматизированной системы
Удаление личных данных	Процесс, делающие персональные данные недоступными и непригодными для использования соответствующими пользователями
Уничтожение персональных данных	Процесс, при котором персональные данные никогда не могут быть доступны, восстановлены или использованы повторно
Анонимизация персональных данных	Процесс, обеспечивающий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств
Совет	Совет по защите персональных данных
Управление	Управление по защите персональных данных
Персональные данные особого характера	Сведения о расе, этническом происхождении, политических взглядах, философских, религиозных, конфессиональных или других убеждениях, внешнем виде и одежде, членстве в ассоциациях, фондах или профсоюзах, состоянии здоровья, интимной жизни, данных о судимости и мерах безопасности, а также биометрические и генетические данные
Периодическое уничтожение	Периодическое официальное удаление, уничтожение или анонимизация персональных данных в случаях полного устранения необходимых условий для обработки персональных данных в соответствии с Политикой в отношении хранения и уничтожения персональных данных
Реестр	Реестр ответственных за обработку данных Главного управления по защите персональных данных
Оператор данных	Физическое или юридическое лицо, обрабатывающее персональные данные на основании полномочий, полученных от ответственного за обработку персональных данных
Система учета данных	Система учета, в которой персональные данные обрабатываются в соответствии с определенными критериями
Ответственный за обработку персональных данных	Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и несущее ответственность за создание и управление системой учета данных

1. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие принципы обработки персональных данных

Персональные данные обрабатываются в соответствии принципами и правилами, предусмотренными Законом и другими законодательными актами, а также с учетом нижеперечисленных принципов:

1. Обработка в соответствии с принципами законности и добросовестности

При обработке персональных данных в соответствии с настоящей Политикой компания действует в соответствии с законами, подзаконными актами и общими принципами права. В любой транзакции, предусматривающей работу с персональными данными, Компания обеспечивает соблюдение следующих минимальных требований:

• Наличие законных оснований для обработки персональных данных (например, прямого согласия),
• Недопустимость использования персональных данных без уважительной причины, которое может привести к результатам, направленным против и владельцев,
• Применение принципа прозрачности при обработке персональных данных и информирование об этом заинтересованных лиц,
• Гарантия обработки персональных данных в минимальном необходимом количестве, в соответствии с разумными ожиданиями и прогнозами отдельных лиц. 

2. Обработка в соответствии с принципами достоверности и актуальности

В соответствии с этим принципом Компания принимает следующие административные и технические меры:

• выполнение проверок для подтверждения достоверности персональных данных,
• определение и проверка достоверности источников персональных данных,
• внимательное рассмотрение запросов, связанных с недостоверными персональных данными,
• оценка необходимости обновления персональных данных,
• поддержание доступности каналов, обеспечивающих получение достоверных и актуальных данных заинтересованных лиц.

3. Обработка в конкретных, четких и законных целях

Компания обеспечивает обработку персональных данных в конкретных и законных целях с детальным уведомлением заинтересованного лица о действиях по обработке данных до начала выполнения таких действий. 

4. Обработка исключительно в рамках, пределах и объеме целей обработки

Персональные данные обрабатываются Компанией исключительно для достижения указанных целей и исключительно в объемах, необходимых для достижения цели. Полученные персональные данные не подвергаются незаконному разглашению другим лицам и не используются в иных целях, кроме целей обработки. 

5. Хранение на протяжении срока, предусмотренного для конкретных целей обработки информации

Компания хранит персональные данные исключительно в течение периода, требуемого соответствующим законодательством, или исключительно в целях их обработки. При устранении причин для обработки информации Компания периодически или по требованию заинтересованного лица удаляет, уничтожает или анонимизирует персональные данные. 

Сроки и принципы хранения персональных данных определяются  Политикой в отношении хранения и уничтожения персональных данных. 

1. Условия обработки персональных данных

Персональные данные обрабатываются Компании в соответствии с условиями обработки, предусмотренными ст. 5 Закона. В контексте данной статьи действия по обработке персональных данных выполняются при наличии нижеперечисленных условия:

1. Наличие прямого согласия владельца данных

Выполняется оценка соответствия условий обработки Компанией персональных данных без прямого согласия их владельцев; при отсутствии хотя бы одного условия для обработки данных без прямого согласия их владельца, для продолжения выполнения действий по обработке данных получается прямое согласие заинтересованного лица. В таком случае получается прямое согласие владельца персональных данных на их обработку исключительно в необходимом объеме путем подписания владельцем формы Прямого согласия на обработку персональных данных после ознакомления с текстом предоставляемой Компанией Пояснительной записки о защите и обработке персональных данных при условии свободного волеизъявления и отсутствия какого-либо принуждения, после чего Компания обрабатывает данные заинтересованного лица.

2. Обработка данных, когда это напрямую предусмотрено законодательством

В случае наличия положений законодательства в отношении обработки персональных данных, персональные данные обрабатываются исключительно в рамках действующего законодательства.

3. Персональные данные заинтересованного лица обрабатываются исключительно в следующих целях:
    Необходимость защиты жизни или физической неприкосновенности лица, которое физически не в состоянии выразить свое согласие или не осознающего его юридической правомерности или же других лиц.

Необходимость защиты жизни или физической неприкосновенности лица, которое физически не в состоянии выразить свое прямое согласие или не осознающего его юридической правомерности или же других лиц. 

4. Необходимость обработки персональных данных сторон договора при условии, что они напрямую связаны с подготовкой или исполнением договора.

Необходимость обработки персональных данных сторон договора при условии, что они напрямую связаны с подписанием или исполнением договора.

5. Необходимость выполнения правовых обязательств Компании

Необходимость выполнения Компанией юридических обязательств.

6. Предоставление личных данных общественности самим лицом

Компания обрабатывает персональные данные, обнародованные заинтересованным лицом, другими словами, каким-либо образом предоставленные им общественности.

7. В случаях, когда обработка данных является обязательной для установления, реализации или защиты прав

В случае, если обработка персональных данных является обязательной для установления, реализации или защиты прав, деятельность по обработке персональных данных осуществляется Компанией параллельно этому обязательству.

8. Необходимость обработки данных для обеспечения законных интересов ответственного лица при условии, что такая обработка не наносит ущерб основным правам и свободам соответствующего лица.

Обработка персональных данных возможна в том случае, если она является обязательной для соблюдения законных интересов Компании, при условии, что это не наносит ущерба основным правам и свободам соответствующего лица. Соблюдается разумный баланс между преимуществами Компании, получаемыми в результате обработки данных и основными правами и свободами заинтересованного лица. 

Условия и примеры обработки персональных данных без наличия прямого согласия перечислены в таблице ниже:

Условия обработки	Область применения	Пример
Положение Закона	Налоговое законодательство, Трудовой Кодекс, Коммерческий Кодекс Турции и пр.	Выполнение законных требований о хранении личной информации сотрудника.
Оформление договора	Трудовой договор, договор купли-продажи и пр.	Обработка персональных данных сотрудников с целью организации расчета заработной платы.
Недееспособность	Лицо, не могущее предоставить прямое согласие в связи с недееспособностью или невменяемостью	Сведения о состоянии здоровья лица, находящегося без сознания. Информация о местонахождении похищенного или пропавшего без вести лица.
Правовые обязательства Ответственного за обработку персональных данных	Соблюдение законодательств и правил в отношении финансового контроля и безопасности.	Обработка уполномоченными лицами таких данных, таких как номер банковского счета, семейное положение, трудоустройство супруга или номер социального страхования в целях начисления сотруднику заработной платы.
Получение рекламы	Предоставление заинтересованным лицом информации общественности.	Объявление самим лицом своей контактной информации общественности для связи в определенных ситуациях.
Обеспечение, защита, реализация прав	Данные, необходимые для судебного производства, регистрации, любых правоустанавливающих процессов и пр.	Хранение необходимой информации об уволившемся сотруднике на протяжении срока опротестования через суд.
Законные интересы	Обработка данных, являющаяся обязательной для защиты законных интересов ответственного за обработку данных, при условии, что такая обработка не наносит ущерба основным правам заинтересованного лица.	Обработка данных с целью выплаты вознаграждений и премий, повышающих лояльность сотрудников.

1. Условия обработки персональных данных особого характера

При обработке Компанией персональных данных особого характера прежде всего определяется наличие условий обработки данных; обработка данных выполняется после обеспечения соблюдения требований законодательства. В таком контексте персональные данные особого характера обрабатываются с принятием соответствующих мер, установленным Советом, а именно: 

1. Персональные данные особого характера, кроме данных о состоянии здоровье и половой жизни
   • обрабатываются при наличии прямого согласия владельца данных или
   • в случаях, предусмотренных Законом.

2. Персональные данные о состоянии здоровье и половой жизни
   • обрабатываются при наличии прямого согласия владельца данных. 
   • Персональные данные о состоянии здоровья и половой жизни могут обрабатываться лицами или уполномоченными организациями, давшими обязательство о неразглашении конфиденциальных данных, без прямого согласия их владельца исключительно с целью защиты общественного здоровья, принятия профилактических медицинских мер, медицинской диагностики, лечения и ухода, планирования финансирования и управления службами здравоохранения. 

Условия и примеры обработки персональных данных особого характера без наличия прямого согласия перечислены ниже:

Условия обработки	Область применения	Пример
Положение Закона	Персональные данные, кроме данных о состоянии здоровье и половой жизни   могут обрабатываться без прямого согласия заинтересованного лица. Налоговое законодательство, Трудовой Кодекс, Коммерческий Кодекс Турции и прочие более строгие условия обработки конфиденциальных данных.	Законодательное требование о хранении сведений об участии сотрудника в профсоюзах в его личном деле
Защита общественного здоровья, принятие профилактических медицинских мер, медицинская диагностика, лечение и уход, планирование, управление и финансирование служб здравоохранения	Обработка лицами или уполномоченной организациями, давшими обязательство о неразглашении конфиденциальных с целью защиты общественного здоровья, принятия профилактических медицинских мер, медицинской диагностики, лечения и ухода, планирования управления и финансирования служб здравоохранения	Обработка врачом сведений о состоянии здоровья пациента.

Меры, принимаемые при обработке персональных данных особого характера, определяются Политикой в отношении защиты и обработки персональных данных особого характера.

1. КАТЕГОРИИ ГРУПП ЛИЦ И ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Группы лиц, чьи персональные данные подлежат обработке Компанией, перечислены ниже:  

Группы лиц, персональные данные о которых подлежат обработке
Соискатели должности и кандидаты в стажеры	Физические лица, каким-либо образом подающие заявление на работу в Компании или направившие резюме, или соответствующую информацию для рассмотрения Компанией
Сотрудники	Сотрудники Компании
Стажеры	Старшеклассники и студенты, стажирующиеся в Компании
Члены семьи	Члены семьи владельцев персональных данных
Посетители	Все физические лица, посещающие физические объекты Компании с различными целями или с какой-либо целью посещающие веб-сайт Компании
Должностные лица и сотрудники партнерских компаний	Физические лица-представители, акционеры, сотрудники организаций, состоящих с Компанией в коммерческих отношениях
Должностные лица и сотрудники ассоциации компаний	Физические лица, персональные данные которых получены в результате деловых отношений с ассоциацией компаний в ходе оперативной деятельности Компании
Должностные лица и сотрудники поставщиков	Физические или юридические лица, должностные лица, акционеры, сотрудники компании, поставляющих товары и услуги в качестве независимых подрядчиков
Акционеры	Физические лица-акционеры Компании
Должностные лица Компании	Члены правления компании и другие уполномоченные физические лица
Потенциальные клиенты	Физические лица, потенциально способные приобрести/ использовать продукцию и услуги, предлагаемые Компанией/ассоциацией компаний
Клиенты/Гости	Физические лица, приобретающие/пользующиеся продукцией или услугами Компании/ассоциации компаний не зависимо от наличия договорных отношений с Компанией/ассоциацией компаний
Третьи лица	Сторонние физические лица, предоставляющие услуги коммерческой безопасности в деятельности Компании с вышеупомянутыми сторонами или осуществляющие защиту прав и представление интересов вышеупомянутых сторон (например, поручители) или другие физические лица, не охваченные Политикой в отношении защиты и обработки персональных данных

Обрабатываемые данные этих лиц классифицируются следующим образом:

Идентификационные данные	Идентификационный номер Турецкой Республики, номер паспорта, серийный номер удостоверения личности, номер водительского удостоверения, налоговый номер, имя-фамилия, имя отца, имя матери, гражданство, место рождения, дата рождения, возраст, место регистрации (город, район, микрорайон-деревня, номер тома, номер семейного реестра, номер записи) место выдачи, причина выдачи, регистрационный номер, дата выдачи, срок действия удостоверения личности, предыдущая фамилия, семейное положение, пол, религия, фотография; образец подписи, информация о воинском учете/статусе, согласие родителей
Сведения об образовании и опыте работы	Сведения об образовании, информация о сертификатах и дипломах, информация о владении иностранными языками, информация о резюме и рекомендациях, информация об опыте работы, информация о курсах, стажировках, семинарах, дополнительном образовании и навыках.
Контактные данные	Персональный/рабочий номер мобильного телефона; персональный /рабочий адрес электронной почты; адрес проживания; контактное лицо, фамилия и номер телефона в случае чрезвычайной ситуации
Персональные данные особого характера	Сведения о судимости, сведения об уголовном преследовании; инвалидность; религия; данные о состоянии здоровье; группа крови; информация о расе
Сведения о семье	Идентификационная информация о матери, отце, супруге и детях; номер телефона, профессия, информация об образовании детей; информация о трудоустройстве и доходах супруга; имя, фамилия и возраст лиц, находящихся на иждивении, за исключением супругов и несовершеннолетних (до 18 лет); свидетельство о рождении ребенка; свидетельства о смерти членов семьи первой степени.
Рабочая информация	Регистрационный номер социального страхования; активация страхового/пенсионного страхования, пенсионный номер; номер социального страхования; налоговая инспекция и налоговый номер; информация о регистрации с предыдущего места работы, информация о заработной плате и налоговых вычетах с предыдущего места работы; разрешение на трудоустройство (для иностранных работников); информация о поощрительных выплатах; трудовой договор; заявление о конфиденциальности; общая информация о медицинском страховании; информация о предложении работы; название должности /выполняемой задачи, отдела и подразделения, титул; дата найма; дата вступления и ухода с должности; сведения о сверхурочных; документы о принятии оборудования, инструмента, материалов; форма заявления о партнерстве/дополнительной работе и пр.
Сведения об отпуске	Формы заявления о предоставлении отпуска, дата выхода/возвращения из отпуска, количество дней отпуска, причина отпуска, контактный адрес/телефон на период отпуска; больничные листы и справки о нетрудоспособности; ежегодный график оплачиваемого отпуска; протокол-предупреждение неявки/опозданий на работу без уважительных причин-предупреждения
Информация о производительности труда	Оценка производительности труда и статус достижения рабочих целей, информация о деятельности, записи о дисциплинарных взысканиях
Информация об обучении и повышении квалификации	Сведения о пройденных тренингах, семинарах, приобретенных навыках, участии в обучении
Финансовая информация	Номер банковского счета и банковские реквизиты; сведения относительно ведомости заработной платы, начисленных взносов, премий, бонусов и пр.; сведения о деле об исполнительном производстве в связи с задолженностью; сведения о начислениях на прожиточный минимум; информация о частном медицинском страховании; персональные данные, обрабатываемые с целью получения информации, документов и записей о финансовых показателях, создаваемые в соответствии с типом правовых отношений, установленных с владельцем персональных данных.
Данные о транспорте	Информация о транспортном средстве/использовании транспортного средства (номерной знак, серийный номер лицензии, дата начала эксплуатации, дата начала действия страхового полиса-КАСКО, штрафы за нарушение правил дорожного движения, протоколы дорожно-транспортного происшествия, уведомления о несчастных случаях на производстве, документы о расходах на эксплуатацию транспортного средства)
Данные о местоположении	Данные о местонахождении автомобиля - GPS местоположение
Информация об увольнении	Заявление об увольнении, уведомление об увольнении, отказ от ответственности, уведомление об ответственности, трудовой договор, увольнительная декларация социального страхования, расчет заработной платы за предыдущий месяц, Справка о работе/предоставляемых услугах, ведомость выплат выходного пособия, документы, подтверждающие причину прекращения рабочих отношений, протоколы о прекращении предоставления услуг
Информация о пользовании интернетом	Записи в журнале доступа в интернет по сетям компании с персональных/корпоративных электронных устройств, соответствующие IP-адреса
Информация об авторизации доступа к системе	Журналы входа-выхода и действий в системе, логин-пароль пользователя, IP-адреса
Аудио/визуальная информация	Фотографии и записи с камер (за исключением записей в рамках Информации о безопасности физического пространства)
Информация, обеспечивающая безопасность физического пространства	Записи изображений, записи с турникетов, журнал службы безопасности и прочие записи, полученные при входе в физическое пространство и во время нахождения в физическом пространстве
Информация о посещении	Время входа и выхода с объектов Компании, марка автомобиля и номерной знак, информация о фирме
Маркетинговая информация	Получаемые отчеты и анализы, формы оценки удовлетворенности, кампании, прямые маркетинговые исследования, демонстрирующие пользовательские привычки, вкусы и потребности клиентов-владельцев персональных данных.
Сведения о клиенте/госте	Записи об использовании продуктов и услуг, а также инструкции и запросы клиентов, необходимые для предоставления продуктов и услуг; сведения о профессии, посещенных странах; обучение; рост-вес
Информация о путешествии и проживании	Информация о проезде и визе, номер бронирования/ваучера, информация о рейсе, информация об отеле, даты заселения-выезда, номер комнаты
Информация для управления запросами и жалобами	Персональные данные, касающиеся получения и рассмотрения запросов и жалоб, направленные на исследования удовлетворенности клиентов, продукции и услуг.

1. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Полученные Компанией персональные данные могут быть обработаны согласно положениям статей 5 и 6 Закона, в том числе в следующих целях: 

Основные цели	Подцели
Управление Компанией, обеспечение и контроль деятельности, обеспечение физической, юридической и коммерческой безопасности	Разработка и реализация планов действий в чрезвычайных ситуациях и управления кризисами
	Управление финансовыми и бухгалтерскими процессами
	Обеспечение физической безопасности пространства
	Управление отношениями и связанными процессами с ассоциацией компаний, партнерами и поставщиками
	Производство судебных процессов
	Проведение мероприятий внутреннего аудита и внутреннего контроля
	Управление непрерывностью бизнеса
	Учет и оформление документов
	Планирование и выполнение мероприятий по корпоративному управлению
	Выполнение процессов управления рисками
	Выполнение договорных процессов
	Выполнение мероприятий по стратегическому планированию
	Управление процессами управления и улучшения деятельности
	Обеспечение деятельности Компании, осуществляемой в соответствии с политикой и процедурами Компании и/или соответствующим законодательством
	Обеспечение физической, юридической и коммерческой безопасности Компании, ее персонала и лиц, вступающих деловые отношения с Компанией
	Обеспечение безопасности активов компании
	Выполнение правовых обязательств и реализации прав Компании, вытекающих из действующего законодательства
	Выполнение процессов управления цепочками поставок
	Выполнение инвестиционных процессов
	Предоставление информации уполномоченным лицам и организациям
	Создание и отслеживание регистрационных записей о посетителях
Управление кадровыми процессами	Прием заявок соискателей
	Проведение процессов отбора и оценки соискателей
	Проведение мероприятий, направленных на повышение удовлетворенности и лояльности сотрудников
	Управление процессами, связанными с выплатами вознаграждений и предоставлением льгот сотрудникам
	Отслеживание и контроль рабочей деятельности сотрудников
	Выполнение процессов охраны труда и техники безопасности
	Принятие и выполнение принятых договорных обязательств
	Проведение деятельности по найму, ведению личных дел и увольнению персонала
	Выполнение процессов планирования карьеры, продвижения по службе
	Выполнение процессов управления производительностью труда
	Выполнение процессов назначения и авторизации персонала
	Планирование и реализация программ обучения и ориентации
	Управление политикой в отношении заработной платы
	Выполнение процессов по оформлению разрешения на трудоустройство и вида на жительство для иностранных рабочих
Управление информационными системами и информационной безопасностью	Планирование и выполнение процессов информационной безопасности
	Управление рисками информационных систем
	Выполнение юридических обязательств по мониторингу интернет-трафика
	Управление доступом пользователей и процессами авторизации
	Создание записей в журнале
Планирование и реализация коммуникационной и маркетинговой деятельности	Планирование и проведение мероприятий и организационной деятельности
	Выполнение процессов по повышению лояльности к фирме/продукции/услугам
	Проведение коммуникационной деятельности
	Выполнение статистического анализа и исследований рынка
	Проведение кампаний, акций, рекламы, презентаций и прочих мероприятий
	Управление взаимоотношениями с клиентами
	Управление удовлетворенностью клиентов
	Планирование и управление маркетинговой деятельностью
	Проведение спонсорской деятельности
Планирование и предоставление продукции и услуг	Выполнение логистической деятельности
	Выполнение послепродажного обслуживания и поддержки
	Выполнение оперативных процессов
	Установление связи с клиентами относительно предлагаемых продуктов и услуг
	Выполнение условий продукции/услуг и выполнение обязательств
	Создание и управление процессами, касающимися планирования и продажи продукции/услуг
	Управление спросом и рекламациями

При отсутствии условий, предусмотренных в ст. 5 (2) и 6 (3) Закона, нижеперечисленные персональные данные могут обрабатываться с прямого согласия их владельца:

Персональные данные, подлежащие обработке	Цель обработки
Информация о состоянии здоровья, группе крови и инвалидности	Соблюдение правил охраны труда и техники безопасности: первичный и периодические осмотры и обследования, справка о состоянии здоровья, электронные рецепты, процессы проверки состояния здоровья в рамках контроля состояния здоровья врачом по гигиене труда, управление корпоративными процессами страхования, выполнение визовых процессов
Сведения о религии (полученные из фотокопии удостоверения личности старого образца) и гражданстве; информация об уголовном преследовании	Управление кадровыми процессами; оформления личного дела в рамках Закона о труде; оформление виз сотрудникам, должностным лицам компании, сотрудникам и гостям в рамках определенных туров
Аудиовизуальные данные (Фотографии и записи с камер)	Планирование и реализация корпоративных коммуникационных мероприятий; управление корпоративными аккаунтами в социальных сетях; выполнение визовых процедур
Информация о днях рождения; Информация о рождении и смерти родственников первой степени	Празднование дней рождения сотрудников и распространение информации о смерти членов их семей в рамках внутренних коммуникационных мероприятий

1. Удаление, уничтожение или анонимизация персональных данных

Независимо от статуса обработки при устранении причин для обработки информации в соответствии с положениями Закона и других законодательных актов Компания периодически или по требованию заинтересованного лица удаляет, уничтожает или анонимизирует персональные данные. 

Соответственно, удаление, уничтожение или анонимизация персональных данных выполняется в следующих случаях:

• Поправка или отмена соответствующих положений законодательства, являющихся основанием для обработки персональных данных,
• Отсутствие оформленного договора между сторонами, недействительность договора, самопроизвольное прекращение действия договора, расторжение или аннулирование договора
• Устранение цели обработки персональных данных,
• Выявление противоречия обработки персональных данных законодательству или правилам добропорядочности,
• Отзыв прямого согласия владельца данных в случаях, когда обработка персональных данных происходит при наличии прямого согласия,
• Принятие Компанией заявки заинтересованного лица относительно обработки персональных данных в рамках реализации прав, указанных в пунктах 1 (e) и (f) статьи 11 Закона,
• В случаях отклонения Компанией заявки заинтересованного лица об удалении или уничтожении персональных данных, неадекватности ответа или неполучения ответа в предусмотренный Законом срок; подачи жалобы в Совет и удовлетворение ее Советом,
• Отсутствие каких-либо обстоятельств, необходимых для хранения персональных данных на протяжении срока, превышающего максимальный срок хранения персональных данных,
• Устранение обстоятельств, требующих обработки персональных данных согласно статьям 5 и 6 Закона 

Положения, касающиеся удаления, уничтожения или анонимизации персональных данных изложены в Политике в отношении хранения и уничтожения персональных данных.

1. Передача персональных данных

При передаче персональных данных Компанией соблюдаются условия передачи персональных данных, изложенные в статьях 8 и 9 Закона.

Получатели персональных данных, передаваемых Компанией, а также цели их передачи перечислены ниже: 

Получатели данных	Цели передачи данных
Официально уполномоченные учреждения	Удовлетворение запроса информации и документов, получаемых от уполномоченных государственных учреждений и организаций, а также частных юридических лиц в рамках законодательства.
Акционеры	Реализация корпоративного законодательства, коммерческой деятельности, управление мероприятиями и процессами корпоративных коммуникаций.
Официальные лица компании	Разработка, внедрение и управление стратегиями, связанными с коммерческой деятельностью Компании; реализация мониторинговой и аудиторской деятельности и управления рисками.
Деловые партнеры	Организация делового партнерства и выполнение коммерческой деятельности.
Ассоциация компаний	Реализация процессов и коммерческой деятельности, требующей участия ассоциации компаний.
Поставщики	Управление процессами, связанными с товарами и услугами, предоставляемыми третьими лицами, получение консультационных услуг и услуг поддержки и аудита, реализация преимущественных прав персонала.
Третьи лица	Обмен информацией в рамках процессов проверки/запроса справок в отношении соискателей и увольняющихся сотрудников.

1. Передача персональных данных в пределах страны

Персональные данные могут передаваться Компанией в нижеперечисленных случаях:

• Получение прямого согласия заинтересованного лица,
• Когда это напрямую предусмотрено законодательством, 
• Необходимость защиты жизни или физической неприкосновенности лица, которое физически не в состоянии выразить свое согласие или не осознающего его юридической правомерности или же других лиц,
• Необходимость обработки персональных данных сторон договора при условии, что они напрямую связаны с подготовкой или исполнением договора,
• Необходимость выполнения правовых обязательств Компании, 
• Предоставление личных данных общественности самим лицом, 
• В случаях, когда обработка данных является обязательной для установления, использования или защиты прав, 
• Необходимость обработки данных для обеспечения законных интересов Компании при условии, что такая обработка не наносит ущерб основным правам и свободам соответствующего лица 

Персональные данные особого характера могут передаваться в нижеперечисленных случаях с принятием соответствующих мер, установленным Советом:

• Получение прямого согласия заинтересованного лица,
• Прямо оговариваемые законодательством ситуации, предусматривающие передачу персональных данных особого характера, кроме данных о состоянии здоровья и половой жизни
• Персональные данные о состоянии здоровья и половой жизни могут передаваться третьим лицам или уполномоченным организациям, давшим обязательство о неразглашении конфиденциальных данных, без прямого согласия их владельца исключительно с целью защиты общественного здоровья, принятия профилактических медицинских мер, медицинской диагностики, лечения и ухода, планирования финансирования и управления службами здравоохранения. 

Меры, принимаемые при передаче персональных данных особого характера, определяются Политикой в отношении защиты и обработки персональных данных особого характера.

1. Передача персональных данных за рубеж

Персональные данные особого характера могут передаваться Компанией за рубеж в нижеперечисленных случаях:

• Получение прямого согласия заинтересованного лица,
• Наличие одного из условий, указанных в статьях 5 (2) и 6 (3) Закона и наличие адекватной защиты данных в иностранном государстве, куда передаются персональные данные,
• В случае отсутствия соответствующих условий защиты в иностранном государстве, наличие письменного обязательства ответственного за обработку данных о защите данных, а также разрешения Совета.

Личные данные могут передаваться за рубеж с соблюдением положений международных конвенций в случае серьезной угрозы интересам Турции или заинтересованного лица исключительно при наличии рекомендаций соответствующих организаций или учреждений и разрешения Совета.

Меры, принимаемые при передаче персональных данных особого характера за рубеж, определяются Политикой в отношении защиты и обработки персональных данных особого характера.

1. ПЕРЕДАЧА КОМПАНИИ ДАННЫХ, ОБРАБОТАННЫХ АССОЦИАЦИЕЙ КОМПАНИЙ

Персональные данные, обрабатываемые Ассоциацией компаний для осуществления деятельности Ассоциации компаний в соответствии с принципами, целями и стратегиями Компании, а также для защиты прав, интересов и репутации ассоциацией, также могут обрабатываться Компанией. В случае, если обмен персональными данными между Ассоциацией компаний и Компанией происходит в рамках Закона как передача персональных данных от ответственного за обработку данных ответственному за обработку данных, соответствующая Компания ассоциации уведомляет заинтересованного лица на стадии сбора персональных данных об их возможной передаче в Компанию.

1. ПОЛОЖЕНИЯ О БЕЗОПАСНОСТИ ДАННЫХ

Компания принимает все необходимые технические и административные меры для обеспечения надлежащего уровня безопасности с целью предотвращения и защиты от незаконного доступа и обработки персональных данных; в целях соблюдения положений Закона проводятся необходимые проверки.  

1. АДМИНИСТРАТИВНЫЕ МЕРЫ

1. Проводится определение возможного риска в отношении защиты персональных данных; в случае возможности возникновения такого риска определяется возможный ущерб и предпринимаются меры для снижения или устранения риска.
2. Обязанности, полномочия и ответственность персонала, участвующего в процессах, политике и процедурах, связанных с обработкой, конфиденциальностью и безопасностью персональных данных и их уничтожением, оформляются в письменном виде и предоставляются всем сотрудникам для ознакомления.
3. Персонал проходит необходимую подготовку в сфере обработки, защиты и обеспечения безопасности персональных данных. 
4. Обеспечивается обновление политики и процедура, а также осуществляется необходимое обучение и оповещение сотрудников о внесенных изменениях. 
5. При найме на работу и подписании трудовых соглашений между Компанией и работников обеспечивается подписание работниками приложений к соглашению о защите и обеспечении конфиденциальности персональных данных. 
6. В процессе проверки потребности хранения, а также соответствия условий хранения персональных данных, обеспечивается более надежное хранение персональных данных в архиве, а персональные данные, потребность в хранении которых отпала, удаляются, уничтожаются или анонимизируются в соответствии с Политика в отношении хранения и уничтожения персональных данных.
7. Доступ к хранящимся в Компании персональным данным ограничивается персоналом, для которого такой доступ предусматривается должностной инструкцией. 
8. В случае несоблюдения сотрудниками определенных и оглашенных Компанией политики и процедур, в отношении таких сотрудников применяются санкции, предусмотренные Процедурой дисциплинарного взыскания. 
9. В отношении обмена персональными данными, с лицами и ответственными за обработку данных, которым передаются персональные данные подписывается соглашение о конфиденциальности, касающиеся защиты и безопасности персональных данных, а уже существующие соглашения дополняются положениями о безопасности данных.
10. В рамках политики и процедур проводятся регулярные проверки, планируются и осуществляются необходимые действия в отношении областей, требующих улучшения. 
11. В целях обеспечения соблюдения положений Закона планируются и выполняются действия для незамедлительного устранения недостатков в конфиденциальности и безопасности, обнаруживающихся в результате проверок.
12. В случае незаконного получения обработанных персональных данных посторонними лицами заинтересованное лицо и Совет незамедлительно оповещаются о такой ситуации.

1. ТЕХНИЧЕСКИЕ меры 

1. Для защиты систем информационных технологий и данных, содержащих персональные данные используются SSL-соединения, антивирусное и межсетевое программное обеспечение и оборудование.
2. Неиспользуемое программное обеспечение и сервисы удаляются с устройств.
3. Проводятся регулярные проверки соответствия работы программного и аппаратного обеспечения, адекватности принимаемых мер безопасности, а также обновления безопасности носителей данных; обеспечивается необходимое исправление и обновление программного обеспечения для устранения возможных пробелов в безопасности. 
4. Доступ к системам, содержащим персональные данные, предоставляется в рамках политики доступа, процедур управления пользователями и функциями. Объем и продолжительность авторизации пользователей, имеющих доступ к данным, четко определяются. Контролируется доступ сотрудников отдела ИТ к персональным данным.
5. При необходимости удаленного доступа к данным используется по меньшей мере двухэтапная система аутентификации.
6. Проводятся периодические проверки полномочий.
7. Полномочия сотрудников, сменивших должность или уволившихся с работы, немедленно снимаются. Инвентарь, выделенный таким сотрудникам Компанией, возвращается.
8. Обеспечивается техническая инфраструктура для предотвращения или определения утечки данных из компании.
9. Обеспечивается соответствующее хранение записей всех транзакций пользователей (журнал регистрации).
10. Проверка недостатков системы осуществляется путем проведения планового или аварийного тестирования на проникновение.
11. Защита носителей и устройств, хранящих персональные данные, обеспечивается с помощью принятия мер физической безопасности. 
12. В целях безопасности хранения персональных данных обеспечивается их резервное копирование и физическая безопасность резервных копий.
13. Уничтожение персональных данных происходит с обеспечением невозможности их восстановления и отметок в контрольном журнале.
14. В соответствии со ст. 12 Закона все данные на любых электронных носителях, содержащие персональные данные особого характера, хранятся крипографическим способом. Обеспечивается безопасное хранение криптографических ключей на различных носителях.
15. При хранении и использовании персональных данных в облаке, в случаях шифрования персональных данных с использованием криптографических способов обеспечивается использование отдельных ключей шифрования, особенно для каждого обслуживаемого облачного решения; по истечении срока обслуживания на облаке все копии ключей шифрования, необходимые для предоставления доступа к персональным данным, уничтожаются. 
16. При необходимости передачи персональных данных по электронной почте, обеспечивается их передача с зашифрованного корпоративного адреса электронной почты или с использованием учетной записи зарегистрированной электронной почты (KEP).
17. При необходимости передачи данных на таких носителях, как флеш-карта, CD, DVD, данные зашифровываются криптографическими способами, а криптографический ключ хранится на разных носителях.
18. При передаче данных между серверами на различных физических носителях передача данных осуществляется путем установки VPN между серверами или методом SFTP.
19. При передаче данных на бумажных носителях в отношении таких рисков, как кража документов, их потеря или просмотр посторонними лицами принимаются необходимые меры предосторожности.

1. ОПОВЕЩЕНИЕ 

Обработанные персональные данные не могут быть переданы кому-либо еще в нарушение положений Закона и не могут использоваться в иных целях, помимо целей обработки. При получении персональных данных Компания посредством Пояснительной записки о защите и обработке персональных данных  предоставляет заинтересованным лицам информацию о следующих вопросах.

1. Информация о Компании,
2. Цели обработки персональных данных,
3. Объект и цель передачи обработанных персональных данных
4. Методы и юридические основания для сбора персональных данных,
5. Права заинтересованного лица в соответствии с Законом.

Доступ к Пояснительной записке о защите и обработке персональных данных  также предоставляется через веб-сайт Компании.

В случае невозможности получения персональных данных непосредственно от заинтересованного лица в связи с недееспособностью или отсутствии связи с заинтересованным лицом оповещение заинтересованного лица происходит: 

• в течение разумного времени с момента получения персональных данных, 

• В случае использования персональных данных для связи с заинтересованным лицом - во время первоначального общения, 

• В случае передачи персональных данных обязательство по оповещение заинтересованного  лица выполняется не позднее, чем при первой передаче персональных данных.

В случае опубликования общественности обрабатываемых персональных данных заинтересованным лицом, оповещение не требуется.

1. Права владельца данных

Владелец персональных данных, путем подачи заявки в Компании имеет право на:

a) получение информации о статусе обработке персональных данных,

b) запрос на получение информации в случае, если персональные данные уже обработаны,

c) получение информации о целях обработки и о надлежащем использовании персональных данных,

ç) получение сведений о предоставлении ваших персональных данных третьим лицам внутри страны или за рубеж,

d) требование исправления персональных данных в случае их неполной или неправильной обработки,

e) запрос на удаление или уничтожение личных данных,

f) запрос о передаче персональных данных третьим лицам в рамках выполнения пунктов (e) и (f),

g) возражение против публикации результатов обработки и анализа персональных данных, выполненных посредством автоматических систем,

ğ) требование устранения ущерба в случае его возникновения из-за незаконной обработки персональных данных.

Компанией организована работа и необходимые каналы связи для управления, выполнения и учета заявок владельцев персональных данных.

Заинтересованное лицо заполняет находящуюся на веб-сайте  www.anexservices.com.tr "Форму заявки владельца данных" и отправляет ее в Компанию нижеперечисленными способами или другими способами, определенным Советом. 

• После заполнения формы заявки владельца данных ее экземпляр с оригинальной подписью передается лично или через нотариуса по адресу:   Barbaros Mah. Serik Cad No: 305A / 1 Aksu / ANTALYA/АНТАЛЬЯ, ТУРЦИЯ
•  После заполнения и подписания "защищенной электронной подписью" в соответствии с положениями закона №5070 "Об электронной подписи" формы заявки владельца данных форма отправляется по адресу электронной почты  [email protected].      

Сделанные запросы рассматриваются Компании бесплатно в течение самое большее тридцати дней на бесплатной основе. Тем не менее, в случае, если при выполнении операций по рассмотрению запроса несутся расходы, с заявителя взимается плата по тарифам, установленным Советом

Компания принимает запрос или отклоняет его с пояснением причины и уведомлением об этом заявителя в письменной или электронной форме. В случае принятия заявки, Компания выполняет требование запроса. В случае, если заявка связана с ошибкой Компании плата за обработку заявки возвращается заявителю.

В случае отклонения заявки, неадекватности ответа или неполучения ответа в обозначенный срок, заинтересованное лицо может подать жалобу в Совет в течение тридцати дней после получения какого-либо ответа Компании и шестидесяти дней со дня подачи заявки.

1. Обстоятельства, на которые не распространяются права владельца данных

Владельцы персональных данных не смогут отстаивать свои права в следующих случаях, на которые не распространяется действие Закона:

• Обработка личных данных в культурных, исторических, литературных или научных целях, или в рамках свободы выражения мнения при условии, что они не нарушают национальную оборону, национальную безопасность, общественную безопасность, общественный порядок, экономическую безопасность, неприкосновенность частной жизни или личные права, а также не являются преступлением.
• Обработка персональных данных для таких целей, как исследования, планирование и статистика путем официально статистической анонимизации.
• Обработка персональных данных в рамках превентивной, защитной и разведывательной деятельности, осуществляемой государственными учреждениями и организациями, на законодательном уровне уполномоченными обеспечивать национальную оборону, национальную безопасность, общественную безопасность, общественный порядок или экономическую безопасность.
• Обработка персональных данных судебными или правоохранительными органами в отношении расследований, судебного преследования, судебных разбирательств или исполнительного производства.

За исключением права на осведомление и требования возмещения ущерба, при условии, что это соответствует цели и основным принципам Закона, владельцы персональных данных не смогут отстаивать свои права, если:

• обработка персональных данных необходима в целях предотвращения преступления или уголовного расследования. 
• обработка персональных данных проводится в отношении персонализированных владельцем персональных данных. 
• Необходимость обработки данных для дисциплинарного расследования или судебного преследования уполномоченными государственными учреждениями и организациями, а также общественными специализированными учреждениями подтверждена на законных основаниях. 
•  Обработка персональных данных необходима для защиты экономических и финансовых интересов   государства в отношении бюджетных, налоговых и финансовых вопросов.    

ПОЛИТИКА В ОТНОШЕНИИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

КОД ДОКУМЕНТА	:	GM-P002
УТВЕРДИЛ	:	ПРАВЛЕНИЕ
ДАТА УТВЕРЖДЕНИЯ	:	05/01/2019
ДАТА ПОСЛ. РЕД.	:	00/0000
ВЕРСИЯ	:	01
СВЯЗАННЫЕ ДОКУМЕНТЫ	:	Политика в отношении защиты и обработки персональных данных  Политика в отношении защиты и обработки персональных данных особого характера Пояснительная записка о защите и обработке персональных данных

 

СОДЕРЖАНИЕ

1.   ЦЕЛЬ. 2

2.   СФЕРА ДЕЙСТВИЯ. 3

3.   ОТВЕТСТВЕННОСТЬ. 3

4.   ОПРЕДЕЛЕНИЯ. 3

5.   НОСИТЕЛИ ДАННЫХ. 5

6.   ЮРИДИЧЕСКИЕ, ТЕХНИЧЕСКИЕ ИЛИ ДРУГИЕ ОСНОВАНИЯ ДЛЯ ХРАНЕНИЯ ИЛИ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. 5

7.   МЕРЫ. ПРИНИМАЕМЫЕ В ЦЕЛЯХ БЕЗОПАСНОГО ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРЕДОТВРАЩЕНИЯ ИХ НЕЗАКОННОГО ХРАНЕНИЯ ИЛИ ДОСТУПА К НИМ.. 6

7.1   АДМИНИСТРАТИВНЫЕ МЕРЫ.. 7

7.2   ТЕХНИЧЕСКИЕ МЕРЫ.. 7

8.   МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ 8

8.1. УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. 8

8.2. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. 9

8.3. АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. 10

8.3.1 Методы анонимизации, не обеспечивающие нерегулярность показателей: 11

8.3.2 Методы анонимизации, обеспечивающие нерегулярность показателей i: 11

8.3.3 Статистические способы для усиления анонимизации: 11

9.   ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ . 11

10.   СРОКИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ . 12

10.1  СРОКИ ОФИЦИАЛЬНОГО УДАЛЕНИЯ, УНИЧТОЖЕНИЯ И АНОНИМИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ  13

10.2  СРОКИ УДАЛЕНИЯ, УНИЧТОЖЕНИЯ И АНОНИМИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ЗАПРОСУ ЗАИНТЕРЕСОВАННОГО ЛИЦА. 13

ПРИЛОЖЕНИЕ 1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ  13

1. ЦЕЛЬ

 Цель настоящей Политики состоит в предоставлении сведений о принципах и правилах хранения в течение максимального срока обработанных персональных данных и их уничтожения, оперативных правил и ответственности учреждения за контроль и принятие мер, в отношении вышеуказанных действий, выполняемых   АО "АНЕКС СЕРВИСЕЗ ТУРИЗМ ОРГАНИЗАСЬОН ТАШИМАДЖИЛЫК ТИДЖАРЕТ (ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ)    (Компания),  действующего в качестве Ответственного лица за обработку персональных данных на основании Закона №6698 "О защите персональных данных" (Закон).

 

В соответствии с миссией, видением и основными принципами, определенными в Стратегическом плане, основным приоритетом является обработка персональных данных сотрудников Компании, соискателей должности, поставщиков услуг, посетителей и других третьих лиц в соответствии с Конституцией Турецкой Республики, международными договорами, Законом № 6698 о защите персональных данных («Закон») и другими соответствующими законодательными актами, а также обеспечивается эффективная реализация прав соответствующих лиц. Работы и операции по хранению и уничтожению персональных данных осуществляются Компанией в соответствии с разработанной в этом направлении Политикой.

1. СФЕРА ДЕЙСТВИЯ

Положения настоящей политики применяются к клиентам, посетителям, сотрудникам, соискателям, акционерам, должностным лицам юридических лиц, вступивших в коммерческие отношения с Компанией (ассоциация компаний, партнеры, поставщики, консультанты и пр.), членам семей акционеров, сотрудников и владельцев данных, чьи персональные данные обрабатываются Компанией полностью или частично с помощью автоматизированных систем или неавтоматизированных систем, являющихся частью системы обработки данных. Настоящая политика разработана в соответствии с «Учетом персональных данных».

1. ОТВЕТСТВЕННОСТЬ

Настоящая политика утверждена и введена в действие правлением Компании. Все действия, осуществляемые Компанией в рамках своей деятельности, а также принимаемые меры в рамках настоящей политики определяются соответствующими процедурами. Высшее руководство Компании несет ответственность за подготовку, обновление и реализацию данных процедур.

Все сотрудники Компании несут ответственность за выполнение своих обязанностей в соответствии с настоящей Политикой и всеми соответствующими процедурами и правилами.

1. ОПРЕДЕЛЕНИЯ

Ниже перечислены важные определения, использующиеся в настоящей Политике. 

Группа получателей	Категория физических или юридических лиц, получающих персональные данные от ответственного за обработку данных
Облачные носители/системы	Такие системы, как Office 365, Salesforce, Dropbox, хранящие и обеспечивающие доступ к данным через интернет
Непосредственные идентификаторы	Идентификаторы, непосредственно раскрывающие, идентифицирующие и выделяющие личность человека, которому они принадлежат
Косвенные идентификаторы	Идентификаторы, которые необходимо объединить с другими идентификаторами для раскрытия, идентификации и выделения личности человека, которому они принадлежат
Заинтересованное лицо	Физическое лицо, персональные данные которого подвергаются обработке
Заинтересованный пользователь	Лица, обрабатывающие персональные данные в организационной структуре ответственного за обработку данных или в соответствии с полномочиями и инструкциями, полученными от ответственного за обработку данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных
Уничтожение	Удаление, уничтожение или анонимизация персональных данных
Закон	Закон № 6698 "О защите персональных данных"
Затемнение	Такие процедуры, как стирание, закраска и размывка всех персональных данных с целью обеспечения невозможности их ассоциации с известным или идентифицируемым физическим лицом
Носитель записи	Любая среда-носитель персональных данных, обрабатываемых полностью или частично автоматизированными системами или неавтоматизированными системами, являющимися частью системы обработки данных
Персональные данные	Любая информация о конкретном или идентифицируемом физическом лице
Учет обработки персональных данных	Деятельность по обработке персональных данных, осуществляющаяся в зависимости от деловой деятельности ответственного лица за обработку данных: детальная опись, содержащая информацию о целях обработки персональных данных, категории данных, группе получателей передаваемых персональных данных и максимальном сроке, необходимом для хранения персональных данных в соответствии с целями их обработки, персональных данных, подлежащих передаче за рубеж, а также мерах, принимаемых для обеспечения безопасности персональных данных
Обработка персональных данных	Получение, запись, хранение, архивирование, изменение, реорганизация, раскрытие, передача, переуступка, подготовка, предоставление, классификация или ограничение доступа к персональным данным с использованием полностью или частично автоматизированных систем или же при совершении любых операций, являющихся частью неавтоматизированной системы
Удаление личных данных	Процесс, делающие персональные данные недоступными и непригодными для использования соответствующими пользователями
Уничтожение персональных данных	Процесс, при котором персональные данные никогда не могут быть доступны, восстановлены или использованы повторно
Анонимизация персональных данных	Процесс, обеспечивающий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств
Совет	Совет по защите персональных данных
Управление	Управление по защите персональных данных
Магнитная лента	Гибкая магнитная лента-носитель, хранящий данные с помощью микромагнитных частиц
Магнитный диск	Гибкий (дисковый) или жесткий носитель, хранящий данные с помощью микромагнитных частиц
Маскировка	Такие процедуры, как удаление, зачеркивание, закраска, сокрытия звездочками и т.д. части персональных данных с целью обеспечения невозможности их ассоциации с известным или идентифицируемым физическим лицом
Периодическое уничтожение	Периодическое официальное удаление, уничтожение или анонимизация персональных данных в случаях полного устранения необходимых условий для обработки персональных данных в соответствии с Политикой в отношении хранения и уничтожения персональных данных
Оператор данных	Физическое или юридическое лицо, обрабатывающее персональные данные на основании полномочий, полученных от ответственного за обработку персональных данных
Система учета данных	Система учета, в которой персональные данные обрабатываются в соответствии с определенными критериями
Ответственный за данные	Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и несущее ответственность за создание и управление системой учета данных

1. НОСИТЕЛИ ДАННЫХ

Безопасное хранение персональных данных их владельцев данных обеспечивается на следующих носителях, предоставляемых Компанией в соответствии с действующим законодательством, в частности с положениями Закона и согласно принципам безопасности данных:

1. Облачные носители
2. Бумажные носители
3. Центральные серверы
4. Базы данных 
5. Жесткие диски

1. ЮРИДИЧЕСКИЕ, ТЕХНИЧЕСКИЕ ИЛИ ДРУГИЕ ОСНОВАНИЯ ДЛЯ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Полученные Компанией персональные данные обрабатываются в соответствии с условиями обработки, указанными в статьях 5 и 6 Закона, в объеме, указанном в Политике в отношении защиты и обработки персональных данных и хранятся в следующих целях:

• Выполнение и проверка уставной деятельности Компании в соответствии с законодательством, стратегией, политикой и процедурами Компании
• Реализация кадровой политики; планирование и реализация кадровых процессов,
• Планирование и внедрение процессов информационной безопасности,
• Обеспечение физической, юридической и коммерческой безопасности Компании, ее персонала, клиентов и лиц, вступающих деловые отношения с Компанией,
• Планирование и реализация корпоративной коммуникационной и маркетинговой деятельности,
• Выполнение правовых обязательств и реализации прав Компании, вытекающих из действующего законодательства в соответствии с требованиями законодательства или правовых норм,
• Выполнение работ и транзакций в рамках подписанных договоров и протоколов,
• Управление отношениями с ассоциацией компаний, деловыми партнерами и поставщиками,
• Обеспечение коммуникации с физическими / юридическими лицами, находящихся в деловых отношениях с Компанией
• Учет всех записей и документов, необходимых для основной деятельности,
• Юридическая отчетность,
• Предоставление вытекающей из законодательства информации законно уполномоченным учреждениям и организациям,
• Выполнение свидетельских обязательств в потенциальных правовых разбирательствах.

Персональные данные, обрабатываемые в рамках деятельности Компании, хранятся на протяжении срока, предусмотренного следующими законодательно-нормативными актами:

• Закон № 6698 "О защите персональных данных",
• Торговый Кодекс Турции № 6102,
• Обязательственный Кодекс Турции № 6098
• Закон № 6502 "О защите прав потребителей"
• Закон № 5510 "О социальном страховании и общем медицинском страховании",
• Закон № 5651 «Об организации публикаций в интернете и борьбе с преступлениями, совершенными с помощью таких публикаций»,
• Закон № 6331 "Об охране труда и технике безопасности",
• Закон № 4857 "О труде",
• Положение "О мерах по охране труда и технике безопасности, подлежащих к применению в зданиях и пристройках на местах выполнения работ",
• Другие соответствующие законы и подзаконные акты 

Независимо от статуса обработки при устранении причин для обработки информации в соответствии с положениями Закона и других законодательных актов Компания периодически или по требованию заинтересованного лица удаляет, уничтожает или анонимизирует персональные данные.   Соответственно, удаление, уничтожение или анонимизация персональных данных выполняется в следующих случаях:

• Поправка или отмена соответствующих положений законодательства, являющихся основанием для обработки персональных данных,
• Отсутствие оформленного договора между сторонами, недействительность договора, самопроизвольное прекращение действия договора, расторжение или аннулирование договора
• Устранение цели обработки персональных данных,
• Выявление противоречия обработки персональных данных законодательству или правилам добропорядочности,
• Отзыв прямого согласия владельца данных в случаях, когда обработка персональных данных происходит при наличии прямого согласия,
• Принятие Компанией заявки заинтересованного лица относительно обработки персональных данных в рамках реализации прав, указанных в пунктах 1 (e) и (f) статьи 11 Закона,
• В случаях отклонения Компанией заявки заинтересованного лица об удалении или уничтожении персональных данных, неадекватности ответа или неполучения ответа в предусмотренный Законом срок; подачи жалобы в Совет и удовлетворение ее Советом,
• Отсутствие каких-либо обстоятельств, необходимых для хранения персональных данных на протяжении срока, превышающего максимальный срок хранения персональных данных,
• Устранение обстоятельств, требующих обработки персональных данных согласно статьям 5 и 6 Закона 

1. МЕРЫ, ПРИНИМАЕМЫЕ В ЦЕЛЯХ БЕЗОПАСНОГО ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРЕДОТВРАЩЕНИЯ ИХ НЕЗАКОННОЙ ОБРАБОТКИ ИЛИ ДОСТУПА К НИМ

Компания принимает технические и административные меры для обеспечения надлежащего уровня безопасности с целью предотвращения и защиты от незаконного доступа и обработки персональных данных; в целях соблюдения положений Закона проводятся необходимые проверки.  

1. АДМИНИСТРАТИВНЫЕ МЕРЫ

1. Проводится определение возможного риска в отношении защиты персональных данных; в случае возможности возникновения такого риска определяется возможный ущерб и предпринимаются меры для снижения или устранения риска.
2. Обязанности, полномочия и ответственность персонала, участвующего в процессах, политике и процедурах, связанных с обработкой, конфиденциальностью и безопасностью персональных данных и их уничтожением, оформляются в письменном виде и предоставляются всем сотрудникам для ознакомления.
3. Персонал проходит необходимую подготовку в сфере обработки, защиты и обеспечения безопасности персональных данных. 
4. Обеспечивается обновление политики и процедура, а также осуществляется необходимое обучение и оповещение сотрудников о внесенных изменениях. 
5. При найме на работу и подписании трудовых соглашений между Компанией и работников обеспечивается подписание работниками приложений к соглашению о защите и обеспечении конфиденциальности персональных данных. 
6. В процессе проверки потребности хранения, а также соответствия условий хранения персональных данных, обеспечивается более надежное хранение персональных данных в архиве, а персональные данные, потребность в хранении которых отпала, удаляются, уничтожаются или анонимизируются в соответствии с настоящей Политикой.
7. Доступ к хранящимся в Компании персональным данным ограничивается персоналом, для которого такой доступ предусматривается должностной инструкцией. 
8. В случае несоблюдения сотрудниками определенных и оглашенных Компанией политики и процедур, в отношении таких сотрудников применяются санкции, предусмотренные Процедурой дисциплинарного взыскания. 
9. В отношении обмена персональными данными, с лицами и операторами данных подписывается соглашение о конфиденциальности, касающиеся защиты и безопасности персональных данных, а уже существующие соглашения дополняются положениями о безопасности данных.
10. В рамках политики и процедур проводятся регулярные проверки, планируются и осуществляются необходимые действия в отношении областей, требующих улучшения. 
11. В целях обеспечения соблюдения положений Закона планируются и выполняются действия для незамедлительного устранения недостатков в конфиденциальности и безопасности, обнаруживающихся в результате проверок.
12. В случае незаконного получения обработанных персональных данных посторонними лицами заинтересованное лицо и Совет незамедлительно оповещаются о такой ситуации.

1. ТЕХНИЧЕСКИЕ МЕРЫ

1. Для защиты систем информационных технологий и данных, содержащих персональные данные используются SSL-соединения, антивирусное и межсетевое программное обеспечение и оборудование.
2. Неиспользуемое программное обеспечение и сервисы удаляются с устройств.
3. Проводятся регулярные проверки соответствия работы программного и аппаратного обеспечения, адекватности принимаемых мер безопасности, а также обновления безопасности носителей данных; обеспечивается необходимое исправление и обновление программного обеспечения для устранения возможных пробелов в безопасности. Необходимые меры предосторожности предпринимаются по мере выявления рисков, угроз, уязвимостей и, при наличии, недочетов в информационной системе Компании.  
4. Доступ к системам, содержащим персональные данные, предоставляется в рамках политики доступа, процедур управления пользователями и функциями. Объем и продолжительность авторизации пользователей, имеющих доступ к данным, четко определяются. Контролируется доступ сотрудников отдела ИТ к персональным данным.
5. При необходимости удаленного доступа к данным используется по меньшей мере двухэтапная система аутентификации.
6. Проводятся периодические проверки полномочий.
7. Полномочия сотрудников, сменивших должность или уволившихся с работы, немедленно снимаются. Инвентарь, выделенный таким сотрудникам Компанией, возвращается.
8. Обеспечивается техническая инфраструктура для предотвращения или определения утечки данных из компании.
9. Обеспечивается соответствующее хранение записей всех транзакций пользователей (журнал регистрации).
10. Проверка недостатков системы осуществляется путем проведения планового или аварийного тестирования на проникновение.
11. Защита носителей и устройств, хранящих персональные данные, обеспечивается с помощью принятия мер физической безопасности. 
12. В целях безопасности хранения персональных данных обеспечивается их резервное копирование и физическая безопасность резервных копий.
13. Ведется регистрация доступа к зонам хранения персональных данных, а неправомерный доступ или его попытки тщательно контролируются.
14. Уничтожение персональных данных происходит с обеспечением невозможности их восстановления и отметок в контрольном журнале.
15. С целью обеспечения недоступности и непригодности для повторного использования заинтересованными пользователями удаленных персональных данных принимаются необходимые меры.
16. В соответствии со ст. 12 Закона все данные на любых электронных носителях, содержащие персональные данные особого характера, хранятся криптографическим способом. Обеспечивается безопасное хранение криптографических ключей на различных носителях.
17. При хранении и использовании персональных данных в облаке, в случаях шифрования персональных данных с использованием криптографических способов обеспечивается использование отдельных ключей шифрования, особенно для каждого обслуживаемого облачного решения. 
18. При необходимости передачи персональных данных по электронной почте, обеспечивается их передача с зашифрованного корпоративного адреса электронной почты или с использованием учетной записи зарегистрированной электронной почты (KEP).
19. При необходимости передачи данных на таких носителях, как флэш-карта, CD, DVD, данные зашифровываются криптографическими способами, а криптографический ключ хранится на разных носителях.
20. При передаче данных между серверами на различных физических носителях передача данных осуществляется путем установки VPN между серверами или методом sFTP.
21. При передаче данных на бумажных носителях в отношении таких рисков, как кража документов, их потеря или просмотр посторонними лицами принимаются необходимые меры предосторожности.

1.  Меры, принимаемые для уничтожения ПЕРСОНАЛЬНЫХ ДАННЫХ в соответствии с законодательством 

1. ПЕРСОНАЛЬНЫХ ДАННЫХ

Удаление персональных данных - это процесс, позволяющий сделать личные данные недоступными и непригодными для обработки заинтересованными пользователями. Компанией принимаются необходимые технические и административные меры с целью обеспечения недоступности и непригодности для повторного использования заинтересованными пользователями удаленных персональных данных.

Процесс удаления персональных данных происходит следующим образом:

1. Идентификация персональных данных, подлежащих удалению.
2. Определение заинтересованных пользователей для каждого вида персональных данных с использованием матрицы авторизации и контроля доступа или аналогичной системы.
3. Определение полномочий и операций заинтересованных пользователей, таких как доступ, поиск и повторное использование.
4. Снятие полномочий доступа, поиска, повторного использование персональных данных с заинтересованных пользователей и закрытие доступа к операциям. 

Персональные данные удаляются с носителей данных соответствующими способами.

1. Данные в облаке удаляются с помощью команды удаления. Гарантируется отсутствие прав заинтересованного пользователя на восстановление удаленных данных в облачной системе. 
2. Персональные данные на бумажных носителях удаляется с помощью затемнения. Затемнение выполняется, по возможности, путем вырезания персональных данных из соответствующих документов или обеспечения невидимости таких данных для заинтересованных пользователей с помощью перманентных чернил с обеспечением необратимости затемнения и невозможности прочтения данных с помощью технических решений. 
3. Офисные файлы на центральном сервере удаляются с помощью команды удаления в операционной системе, или же удаляются права пользователя на доступ к файлу или папке. Пользователь, выполняющий эту операцию, не должен являться администратором базы данных.  
4. Персональные данные на флэш-накопителях хранятся в зашифрованном виде и удаляется с использованием программного обеспечения, соответствующего для такого вида носителей.  
5. Персональные данные, хранящиеся в базах данных удаляются с помощью удаления соответствующих строк командой базы данных (Удалить). Пользователь, выполняющий эту операцию, не должен являться администратором базы данных.   

1. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Уничтожение персональных данных - это процесс, при котором персональные данные никогда не могут быть доступны, восстановлены или использованы повторно. Компанией принимаются все необходимые технические и административные меры, касающиеся уничтожения персональных данных.

В целях уничтожения персональных данных обнаруживаются и последовательно уничтожаются все их копии в соответствии с типом систем, в которых находятся данные:

1. Данные в локальных системах уничтожаются следующими способами: 

• Размагничивание: уничтожение данных до несчитываемого состояния обеспечивается путем пропуска магнитного носителя через специальное устройство с сильным магнитным полем. 
• Физическое разрушение: процесс расплавления, сжигания или превращения в пыль оптических и магнитных носителей. 
• Наложение записи: процесс предотвращения восстановления старых данных путем по меньшей мере семикратной записи случайного набора данных, состоящих из 0 и 1, на магнитный носитель и перезаписываемый оптический носитель с использованием специального программного обеспечения.  

2. Данные в периферийных системах уничтожаются следующими способами: 

• Данные в сетевых устройствах (коммутаторе, маршрутизаторе и т. д.): уничтожаются с помощью одного или нескольких соответствующих способов, указанных в пункте (а). 
• Носители на основе флэш-памяти: для удаления данных с жестких дисков на основе флэш-памяти с интерфейсом ATA (SATA, PATA и т. Д.), SCSI (SCSI Express и т.д.) используется команда <block erase>, если такая команда поддерживается, или же, при отсутствии поддержки такой команды используется рекомендованный производителем способ удаления, или же используется один или несколько соответствующих методов, указанных в пункте (a).  
• Магнитная лента: разрушается путем размагничивания при подвергании воздействию очень сильных магнитных сред или же физическими методами разрушения, такими как сжигание или плавление. 
• Магнитный диск и подобные носители: разрушаются путем размагничивания при подвергании воздействию очень сильных магнитных сред   или же физическими методами разрушения, такими как сжигание или плавление. 
• Мобильные телефоны (сим-карты и встроенная память): уничтожаются с помощью одного или нескольких соответствующих методов, указанных в пункте (а). 
• Оптические диски (CD, DVD и т.д): разрушается физическими способами разрушения, такими как сжигание, измельчение, плавление. 
• Периферийные устройства, такие как принтер, система доступа к дверям по отпечаткам пальцев, с извлекаемым носителем данных: уничтожаются после подтверждения удаления данных с таких носителей с помощью одного или нескольких соответствующих способов, указанных в пункте (а). 
• Периферийные устройства, такие как принтер со встроенным носителем для записи данных, система доступа к дверям по отпечаткам пальцев: уничтожаются с помощью одного или нескольких соответствующих методов, указанных в пункте (а). 

3. Персональные данные на бумажных носителях и микрофишах уничтожаются путем основного носителя в связи с постоянной физической записью на нем. При этом процессы носители горизонтально и вертикально измельчаются на мелкие части с помощью измельчителей бумаги (шредеров) таким образом, чтобы носитель не поддавался восстановлению. Персональные данные, переданные с исходного бумажного носителя на электронный носитель путем сканирования, уничтожаются в соответствии с видом электронного носителя одним или несколькими способами, такими как размагничивание, физическое уничтожение, наложение записи.

4. Персональные данные, хранящиеся в облаке: по истечении срока обслуживания на облаке все копии ключей шифрования, необходимые для предоставления доступа к персональным данным, уничтожаются.  

5. Персональные данные на неисправных или подлежащих техническому обслуживанию устройствах уничтожаются следующим образом: 

• Уничтожение персональных данных, содержащихся на устройствах, подлежащих передаче третьим лицам, таким как производитель, продавец, компания по обслуживанию, ремонту, происходит с использованием одного или нескольких соответствующих способов, указанных в пункте (а)
• В случаях, когда уничтожение невозможно или нецелесообразно, блок памяти, хранящий данные, изымается из устройства, а оставшиеся части устройства отправляются к производителю, продавцу, сервисную компанию или другим третьим лицам.
• Обеспечивается принятие необходимых мер для предотвращения копирования третьими лицами данных с носителей, переданных для технического обслуживания или ремонта.

1. АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Анонимизация персональных данных - процесс, обеспечивающий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств Анонимизация означает, что путем удаления или изменения всех прямых и / или косвенных идентификаторов в наборе данных личность соответствующего лица не может быть идентифицирована или выделена в группе или скоплении лиц, а персональные данные не могут быть связаны с конкретным физическим лицом. Данные, не указывающие на конкретное лицо в результате блокировки или потери таких особенностей, считаются анонимизированными. 

При определении методов анонимизации, применяемых Компанией, используется один из методов, включенных в «Руководство по удалению, уничтожению или анонимизации», опубликованное Управлением, с учетом следующих особенностей в отношении владельца набора данных:

• Характер данных,
• Размер данных,
• Структура данных на физических носителях,
• Разнообразие данных,
• Выгода/цель обработки данных,
• Частота обработки данных,
• Обеспечение безопасности стороной-получателем данных
• Принятие во внимание потенциальных ситуаций, возникающих вследствие анонимизации данных,
• Размер и область воздействия ущерба, потенциально наносимого вследствие нарушения анонимности данных,
• Соотношение распределения/централизованности данных,
• Контроль прав доступа пользователей к данным,
• Вероятность атаки, направленной на нарушении анонимности данных.

1. Методы анонимизации, не обеспечивающие нерегулярность показателей:

• Вычитание переменных
• Извлечение записей
• Частичное сокрытие
• Обобщение
• Кодирование нижнего и верхнего предела
• Глобальное кодирование
• Дискретизация
• Маскировка 
• Агрегация/создание накопительных данных

1. Методы анонимизации, обеспечивающие нерегулярность показателей:

• Микро-соединение
• Режим обмена
• Добавление шума

1. Статистические способы для усиления анонимизации:

• K-Анонимность
• L-Разнообразие
• Т-Близость

1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Все отделы и сотрудники Компании, вовлеченные в процессы обработки, хранения и уничтожения персональных данных, несут ответственность за выполнение требований настоящей Политики, надлежащее выполнение технических и административных мер, принятых в рамках Политики, а также за хранение и защиту данных, используемых в процессе их деятельности.

Периодическое уничтожение, влияющие на деятельность Компании и целостность данных, потенциально влекущих за собой нарушение законно-правовых норм, осуществляется отделом информационных технологий с учетом типа персональных данных, систем, в которых они находятся, и подразделения, обрабатываемому такие данные.

Должности, подразделения и должностные инструкции лиц, занимающихся хранением и уничтожением персональных данных, включены в приложение к настоящей Политике.
 

1. СРОКИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Таблица с указанием сроков хранения и уничтожения персональных данных в Компании приведена ниже.

Категория данных	Максимальный период хранения	Период уничтожения
Идентификационные и контактные данные сотрудника, информация об опыте работы, личном деле, финансовая, визуальная и аудио информация, сведения об управлении рисками, инвалидности, наличии/отсутствии судимости	10 лет после окончания трудовых отношений	В течение 180 дней после окончания срока хранения
Сведения о состоянии здоровья, группе крови сотрудников	15 лет после окончания трудовых отношений	В течение 180 дней после окончания срока хранения
Данные о деятельности/информационной безопасности сотрудников	На протяжении трудовых отношений	В течение 180 дней после окончания срока хранения
Данные об автомобиле сотрудника	На протяжении трудовых отношений	В течение 180 дней после окончания трудовых отношений
Данные о местонахождении сотрудников	1 месяц	В течение 180 дней после окончания срока хранения
Идентификационные и контактные данные соискателя, сведения об опыте работы	2 года	В течение 180 дней после окончания срока хранения
Идентификационные и контактные данные партнера Компании, финансовая информация, сведения об управлении рисками	10 лет после окончания деловых отношений	В течение 180 дней после окончания срока хранения
Идентификационные и контактные данные сотрудника поставщика, финансовая и аудио-визуальная информация, сведения об управлении рисками	10 лет после окончания деловых отношений	В течение 180 дней после окончания срока хранения
Данные о деятельности/информационной безопасности сотрудников поставщика	На протяжении деловых отношений	В течение 180 дней после окончания деловых отношений
Информация о входе посетителя на сайт	2 года	В течение 180 дней после окончания срока хранения
Учетные данные посетителя	2 месяца	В течение 180 дней после окончания срока хранения
Информация, обеспечивающая безопасность физического пространства	2 месяца	В течение 180 дней после окончания срока хранения
Договоры	10 лет после окончания договорных отношений	В течение 180 дней после окончания срока хранения
Документы, реестры и записи	10 лет	В течение 180 дней после окончания срока хранения

1. Сроки официального удаления, уничтожения или анонимизации персональных данных

При устранении причин для обработки информации Компания регулярно через каждые шесть месяцев официально удаляет, уничтожает или анонимизирует персональные данные.  Периодическое официальное удаление, уничтожение или анонимизация персональных данных происходит в течение первой сессии уничтожения персональных данных после наступления срока их уничтожения.

В случае передачи соответствующих персональных данных третьим лицам, об этом сообщается сторонам, обрабатывающим данные от имени Компании, и обеспечивается выполнение ими соответствующих операций с персональным данными.

1. Срок удаления и уничтожения персональных данных по запросу заинтересованного лица

В случае запроса заинтересованного лица об удалении или уничтожении персональных данных:

1. При устранении условий для обработки персональных данных персональные данные, являющиеся предметом запроса, удаляются, уничтожаются или анонимизируются Компанией не позднее чем через тридцать дней после получения запроса, а заинтересованное лицо уведомляется о совершении этой операции.

2. При устранении условий для обработки персональных данных и в случае передачи соответствующих персональных данных третьим лицам, об этом сообщается сторонам, обрабатывающим данные от имени Компании, и обеспечивается выполнение ими соответствующих операций с персональным данными.

3. В случае действительности условий для обработки персональных данных запрос на удаление персональных данных может быть отклонен с соответствующим обоснованием согласно статье 13 Закона; ответ с отказом направляется заинтересованному лицу в письменной или электронной форме не позднее чем через тридцать дней.

Все операции, связанные с удалением, уничтожением и анонимизацией персональных данных, соответствующим образом регистрируются, и записи о них хранятся не менее трех лет, кроме случаев, предусмотренных законодательством. 

ПРИЛОЖЕНИЕ1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

ДОЛЖНОСТЬ	ПОДРАЗДЕЛЕНИЕ	ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
Высшее руководство	Совет директоров, генеральный координатор, генеральный директор	Ответственность за подготовку, публикацию, обновление политики и соблюдение ее сотрудниками.
Руководители отделов	Все подразделения	Ответственность за реализацию Политики в рамках своих должностных обязанностей и должностных обязанностей сотрудников, находящихся в ведении отдела.
Начальник отдела информационных технологий	Информационные технологии	Ответственность за защиту обработку, доступ к персональным данным, их уничтожение законным способом, а также управление процессом уничтожения персональных данных.
Начальник отдела кадров Начальник финансового отдела  Начальник бухгалтерии Начальник юридического отдела Начальник отдела обеспечения и контроля качества	Отдел кадров Финансовый отдел Бухгалтерия Юридический отдел Отдел обеспечения и контроля качества	Ответственный за реализацию политики в отношении хранения и уничтожения персональных данных: несет ответственность в рамках своих полномочий за надлежащее хранение данных на протяжении соответствующего срока, а также за руководство процессом периодического уничтожения персональных данных.