Turan Makina
Turan Makina
Turan Makina
  • Catálogo
Atrás

Política de Almacenamiento y Destrucción de Datos Personales

SISTEMAS DE TUBERÍAS DE PLÁSTICO TURAN MACHINE INC.

Política de almacenamiento y destrucción de datos personales

 

 

Contenido

  1. ALCANCE
  2. DEFINICIONES
  3. OBJETO Y ALCANCE
  4. MEDIOS DE GRABACIÓN
  5. SITUACIONES QUE REQUIEREN LA DESTRUCCIÓN DE DATOS PERSONALES
  6. DESTRUCCIÓN DE DATOS PERSONALES
  7. MÉTODOS Y PROCESO DE DESTRUCCIÓN DE DATOS PERSONALES
  8. PERIODOS DE ALMACENAMIENTO Y DESTRUCCIÓN
  9. CAMBIOS QUE SE REALIZARÁN EN LA POLÍTICA
  10. FECHA DE VIGENCIA DE LA POLÍTICA

 

 

A. ÁMBITO DE APLICACIÓN

  1. Esta Política de almacenamiento y destrucción de datos personales (“Política”); TURAN MACHINE PLASTIC PIPE SYSTEMS INC. (“Compañía”) incluye todas las subsidiarias, direcciones, unidades, empleados y terceros que operan en Turquía y que participan en los procesos en los que se procesan datos personales.
  2. Esta Política; Abarca todas las actividades de almacenamiento y destrucción que la Empresa realizará sobre datos personales.
  3. Esta Política sólo se aplicará a la destrucción y almacenamiento de datos personales.
  4. En caso de que la Ley, Reglamento u otra legislación sea modificada, actualizada o derogada parcial o totalmente, la Compañía cambiará la Política actualizándola para que sea compatible con la nueva Ley, Reglamento o legislación.

B. DEFINICIONES

Los conceptos utilizados en la implementación de esta Política tienen los siguientes significados:

Grupo de compradores Es el grupo de personas físicas o jurídicas a las que se transfieren datos personales por parte del responsable del tratamiento.
Usuario relacionado Personas que traten datos personales dentro de la organización del responsable del tratamiento o de acuerdo con la autoridad e instrucciones recibidas del responsable del tratamiento, excluida la persona o unidad responsable del almacenamiento técnico, la protección y la copia de seguridad de los datos.
Destrucción Eliminación, destrucción o anonimización de datos personales
Ley Ley de Protección de Datos Personales N° 6698
Medio de grabación Cualquier entorno en el que se traten datos personales por medios total o parcialmente automatizados o no automáticos, siempre que forme parte de cualquier sistema de registro de datos.
Inventario de tratamiento de datos personales Actividades de tratamiento de datos personales realizadas de acuerdo con los procesos de negocio de la empresa; Se trata de un inventario que se crea asociando los fines del tratamiento de datos personales con la categoría de datos, el grupo de destinatarios a los que se transfieren los datos y el grupo de personas sujetas a los datos, y explica en detalle el período máximo requerido para los fines para los cuales se procesan los datos personales, los datos personales que se planea transferir a países extranjeros y las medidas adoptadas con respecto a la seguridad de los datos.
La Junta Junta de Protección de Datos Personales
Destrucción periódica Es el proceso de supresión, destrucción o anonimización que realizará la Compañía de oficio dentro de ciertos intervalos de tiempo especificados en esta Política en caso de que se eliminen todas las condiciones de tratamiento de datos personales especificadas en la ley.
Registro Se trata del Registro de Responsables del Tratamiento que deberá llevar la Junta de conformidad con el Proyecto de Reglamento del Registro de Responsables del Tratamiento, actualmente no vigente.
Sistema de registro de datos Es un sistema de registro en el que se estructuran y tratan datos personales según criterios determinados.
Responsable del tratamiento de datos Es la persona física o jurídica que determina los fines y medios del tratamiento de datos personales y es responsable del establecimiento y gestión del sistema de registro de datos.
Reglamento Es el Reglamento sobre la Supresión, Destrucción o Anonimización de Datos Personales.

 

C. OBJETO Y ALCANCE

  1. Esta Política aplica a las personas físicas o jurídicas responsables de la destrucción de datos personales incluidos en el Reglamento establecido de conformidad con el Artículo 7 de la Ley y determina los principios que deben seguir la Compañía y los terceros por los cuales la Compañía es contractualmente responsable.
  2. De conformidad con el Reglamento, la Compañía, en su calidad de Responsable del Tratamiento con obligación de inscripción en el Registro, está obligada a elaborar y actuar de conformidad con esta Política para almacenar los datos personales en su posesión de acuerdo con el inventario de datos personales y destruirlos cuando sea necesario.
  3. Los siguientes principios se aplicarán en el almacenamiento y destrucción de datos personales:
  4. Se cumplirán los principios generales del artículo 4 de la Ley.
  5. La Compañía acepta que la elaboración de esta Política por sí sola no significa que los datos personales hayan sido destruidos de conformidad con el Reglamento, la Ley y la legislación aplicable.
  6. La Compañía acepta, declara y se compromete a actuar de conformidad con las medidas de seguridad del Artículo 12 de la Ley, las disposiciones de la legislación aplicable, las decisiones que adopte el Directorio y esta Política al almacenar, eliminar, destruir o anonimizar datos personales.
  7. La Compañía se compromete a cumplir esta Política y las herramientas, programas y procesos a implementar de conformidad con la Política durante la destrucción de datos personales tratados con fines total o parcialmente automáticos o no automáticos, siempre que forme parte de cualquier sistema de registro.
  8. La Compañía toma todas las medidas técnicas y administrativas necesarias para almacenar de forma segura los datos personales y evitar el procesamiento y acceso ilícito. Las medidas técnicas y administrativas en cuestión se describen en las guías técnicas creadas respecto a los métodos a utilizar para el almacenamiento y destrucción de datos personales.
  9. Si la Compañía tendrá empleados que estarán presentes durante los procesos de almacenamiento y destrucción de datos personales, determina sus títulos, unidades y descripciones de funciones.

D. MEDIOS DE GRABACIÓN

Con esta Política, la Compañía se compromete a incluir datos personales en los entornos que se enumeran a continuación y otros entornos que puedan surgir además de estos dentro del ámbito de la Política.

  1. Computadoras/servidores utilizados en nombre de la empresa
  2. Dispositivos de red,
  3. Unidades de disco compartidas/no compartidas utilizadas para almacenar datos en la red,
  4. Teléfonos móviles y todas las áreas de almacenamiento en su interior,
  5. Papel,
  6. Microficha,
  7. Periféricos como impresora, lector de huellas,
  8. Cintas magnéticas,
  9. Discos ópticos,
  10. Memorias flash.

E. SITUACIONES QUE REQUIEREN LA DESTRUCCIÓN DE DATOS PERSONALES

En el caso de una violación dentro del alcance especificado a continuación, se aceptará una posible violación de seguridad y la Compañía ejecutará los procesos de violación de seguridad pertinentes, y los informes y notificaciones con respecto a estos se compartirán con la administración de la Compañía, la Junta Directiva y los propietarios de datos personales relevantes cuando se considere necesario. Para tal efecto, se implementarán los procesos de gestión de incumplimientos de la Compañía para realizar dichos reportes y notificaciones.

  1. Violación de la ley

La Compañía se compromete a no procesar datos personales de manera contraria a lo especificado en la Ley.

Salvo que existan excepciones a las condiciones para el tratamiento de datos personales en los artículos 5 y 6 de la Ley, la Compañía;

  1. No almacenará datos personales de personas cuyo consentimiento explícito no se haya obtenido, salvo las excepciones previstas en la Ley.
  2. Si se elimina la finalidad del tratamiento de los datos tratados en el marco de la excepción o del consentimiento explícito y/o expiran los plazos legales de conservación, la Empresa no almacenará y destruirá dichos datos personales.
    1. Eliminación de las condiciones de tratamiento de datos personales

La Empresa es responsable de la actualización de las condiciones de procesamiento de datos y comparte esta responsabilidad con todos los empleados relevantes que procesan datos personales.

Los empleados no continuarán procesando datos si las condiciones para el procesamiento de datos ya no son aplicables. La determinación de estas situaciones la realiza el departamento de Control Interno, Cumplimiento y Legal por recomendación de la unidad de negocio correspondiente y el proceso de destrucción se realiza de acuerdo con esta Política.

La Compañía acepta que las condiciones del tratamiento de datos se eliminen en los casos pertinentes que se enumeran a continuación y también se especifican en el Reglamento:

  1. Modificación o derogación de las disposiciones de la legislación pertinente que constituyan la base para el tratamiento de datos personales;
  2. El contrato entre las partes nunca se ha establecido, el contrato es inválido, el contrato termina automáticamente, el contrato se termina o el contrato se retira,
  3. Desaparezca la finalidad que requiere el tratamiento de los datos personales,
  4. El tratamiento de datos personales es contrario a la ley o al principio de honestidad,
  5. En los casos en que el tratamiento de datos personales se base únicamente en el consentimiento explícito, el interesado deberá retirar su consentimiento,
  6. Aceptación por parte de la Compañía de la solicitud realizada por el interesado de conformidad con el procedimiento relativo al tratamiento de datos personales en el marco de los derechos de los incisos (e) y (f) del artículo 11 de la Ley,
  7. Si la Compañía rechaza la solicitud realizada por el interesado solicitando la destrucción de sus datos personales, si la respuesta resulta insuficiente o si no responde dentro del plazo previsto en la Ley; Presentar una queja ante la Junta Directiva y la Junta, al considerar apropiada esta solicitud,
  8. Aunque haya transcurrido el plazo máximo de conservación de los datos personales, no existen circunstancias que justifiquen conservarlos durante un periodo mayor.

F. DESTRUCCIÓN DE DATOS PERSONALES

La destrucción de datos personales se puede realizar de tres formas diferentes: eliminación, destrucción o anonimización de datos, que se explican en detalle a continuación.

Las unidades de negocio relevantes dentro de la empresa, los propietarios de los sistemas de información y aplicaciones donde se encuentran los datos personales en cuestión, los departamentos de Control Interno, Cumplimiento y Legal y otras personas o departamentos que puedan ser relevantes para el sujeto toman una decisión por escrito sobre el método a aplicar para la destrucción de los datos personales, en función del motivo de esta destrucción. De conformidad con esta decisión escrita, se aplica uno de los métodos de destrucción del Artículo G) de esta Política de conformidad con la Guía para la Eliminación, Destrucción y Anonimización de Datos Personales publicada por el Directorio.

La Compañía también crea directrices técnicas sobre los métodos que se utilizarán para el almacenamiento y destrucción de datos personales y garantiza su implementación.

La supervisión de la destrucción de datos personales es responsabilidad de la unidad de negocio correspondiente del propietario de los datos dentro de la empresa. La unidad de negocio propietaria de datos recibe apoyo de diferentes unidades de la Compañía para la destrucción de datos, siempre que sea auditada por la misma.

  1. Eliminación de datos personales

Borrado de datos personales tratados total o parcialmente por medios automáticos; Es el proceso de hacer que los datos personales en cuestión sean inaccesibles y no reutilizables de ninguna manera por los usuarios correspondientes.

En el proceso de eliminación de datos personales que forman parte de cualquier sistema de registro de datos y son tratados por medios no automáticos, se determinan los datos personales que serán objeto de supresión, teniendo en cuenta los plazos legales de conservación. La Compañía actualiza las matrices de roles y autorizaciones actualmente establecidas en los sistemas de información y aplicaciones de la Compañía en materia de acceso y autorización de datos personales e identifica a los usuarios relevantes. En este ámbito se determinan las autorizaciones y los métodos de los Usuarios relevantes, como el acceso, la recuperación y la reutilización.

En los casos en que la Compañía elimine datos personales, los hará inaccesibles o reutilizables de cualquier forma. Al realizar este proceso, la Compañía garantiza que ningún usuario pueda acceder ni reutilizar los datos.

  1. Destrucción de datos personales

La destrucción de datos personales es el proceso de hacer que los datos personales sean inaccesibles, irreversibles y reutilizables para cualquier persona.

El proceso de destrucción se llevará a cabo en los casos en que la Compañía procese datos en medios de grabación físicos, y la Compañía esté obligada a hacer irrecuperables dichos datos.

Al realizar este proceso con soportes de papel y microfichas, los soportes serán destruidos por máquinas trituradoras o trituradoras en pequeños pedazos que no se pueden volver a unir. Además, la Compañía podrá recibir servicios de destrucción de Terceros en este contexto.

  1. Anonimización de datos personales

La anonimización es el proceso mediante el cual los datos personales no pueden asociarse a una persona física identificada o identificable, incluso cuando se combinan con otros datos, cuando la Empresa procesa datos personales total o parcialmente por medios automatizados.

La Compañía elimina o modifica todos los identificadores directos y/o indirectos en el conjunto de datos relevante, impidiendo la identificación de la persona relevante y garantizando que la persona pierda la capacidad de ser distinguida en un grupo o multitud de una manera que no pueda asociarse con una persona física.

Al anonimizar datos, la Compañía puede utilizar métodos como funciones unidireccionales y encriptación.

G. MÉTODOS Y PROCESO DE DESTRUCCIÓN DE DATOS PERSONALES

Para la destrucción de datos personales, la Compañía define todos los métodos que se pueden utilizar durante la destrucción en esta Política y sus anexos. La unidad de negocio propietaria de los datos es responsable de determinar e implementar el método apropiado en esta Política según la situación apropiada.

Durante la destrucción de datos personales, la Compañía lleva a cabo la destrucción eligiendo el método adecuado entre los siguientes métodos, de acuerdo con la decisión escrita que tomará:

  1. Exagerar

Es el proceso de hacer ilegibles datos antiguos escribiendo datos aleatorios consistentes en 0 y 1 al menos 7 veces en medios magnéticos y medios ópticos regrabables con software.

  1. Magnetización

Es el proceso de hacer ilegibles los datos en medios magnéticos cambiándolos físicamente en un campo magnético de alto valor.

  1. Destrucción física

Es el proceso de destruir físicamente medios ópticos o medios magnéticos mediante fusión, pulverización, molienda o procesos similares. Se puede aplicar en casos donde fallan los métodos de magnetización o sobrescritura.

  1. Destrucción de datos personales en sistemas ambientales

Es el proceso de destrucción que debe realizarse sobre la unidad interna, si está disponible, o sobre todo el dispositivo, si no está disponible, que contenga datos personales en sistemas como impresoras, unidades de huella dactilar, torniquetes de entrada de puertas, sobrescribiéndolos, magnetizándolos o destruyéndolos físicamente. Este tipo de destrucción debe implementarse antes de que los dispositivos sean sometidos a operaciones de respaldo, mantenimiento o similares.

H. PERÍODOS DE ALMACENAMIENTO Y DESTRUCCIÓN

 

  1. Destrucción periódica y períodos de retención legal

Los datos físicos y electrónicos que han superado sus plazos legales de conservación y destrucción se destruyen periódicamente. La Empresa destruye los datos personales en el primer proceso de destrucción periódico siguiente a la fecha en que surge la obligación de destrucción.

La destrucción periódica de todos los datos personales se realiza a intervalos de 6 meses. Los plazos legales de conservación que deben servir de base durante la destrucción periódica se determinan en el Inventario de Datos Personales de la Empresa (ANEXO). El proceso de destrucción se implementa durante la primera destrucción periódica siguiente a la ocurrencia de la obligación de destrucción.

Todas las transacciones relativas a datos personales destruidos se registran y estos registros se conservan durante 3 años.

  1. Proceso de Destrucción en Caso de Solicitud por los Titulares de los Datos

 

En los casos en que los titulares de datos recurran a la Compañía y soliciten la destrucción de sus datos personales, la Compañía verifica el estado actual de las condiciones para el procesamiento de los datos personales. Como resultado de dicho control;

 

Si se entiende que se han eliminado todas las condiciones para el tratamiento de datos personales, los datos personales objeto de la solicitud se destruirán a más tardar en el plazo de treinta días de conformidad con las decisiones y métodos especificados en esta Política y se informará a la persona interesada.

Si se entiende que se han eliminado las condiciones para el tratamiento de datos personales y los datos personales objeto de la solicitud se han transferido a terceros, la Compañía notifica esta situación al tercero correspondiente y se asegura de que se tomen las medidas necesarias dentro del alcance del Reglamento con el tercero.

Si no se han eliminado todas las condiciones para el tratamiento de datos personales, la Compañía puede rechazar la solicitud explicando el motivo al titular de los datos correspondientes y notificar a la persona correspondiente sobre el rechazo por escrito o electrónicamente dentro de los treinta días a más tardar.

Con el fin de conocer y responder las solicitudes de los titulares de datos, se establece al interior de la Compañía un Proceso de Gestión de Solicitudes y Reclamos de los Titulares de Datos Personales.

  • AUTORIZACIÓN EN PROCESOS DE ALMACENAMIENTO Y DESTRUCCIÓN
    1. Las personas responsables del almacenamiento y destrucción de datos personales y sus descripciones de funciones son las siguientes:
  1. Grupo de Trabajo KVKK: trabaja con las unidades de negocio relevantes de la Compañía en el almacenamiento y la destrucción de datos personales y decide sobre políticas y métodos, garantiza que la Política y sus anexos se mantengan actualizados y, cuando sea necesario, trabaja en estrecha colaboración con las unidades relevantes de la Compañía para garantizar que la Política se implemente correctamente y de acuerdo con la Ley y el Reglamento.
  2. Control Interno, Cumplimiento y Derecho: Brinda consultoría en temas legales relacionados con el almacenamiento y destrucción de datos personales, y proporciona la información necesaria a las unidades de negocio relevantes en caso de cambios en la Ley, Regulación y legislación pertinente. Garantiza que la Política se implemente de conformidad con la Ley y el Reglamento.
  3. Tecnologías de la información: Garantiza que los procesos de destrucción y almacenamiento pertinentes se realicen de conformidad con la Ley y el Reglamento a la luz de las decisiones y métodos especificados en la Política.
  4. Las unidades de negocio relevantes de la Compañía: Expresan sus opiniones y justificaciones para determinar las políticas y métodos respecto al almacenamiento y destrucción de datos personales y monitorean las acciones tomadas de conformidad con esta Política.

J. CAMBIOS QUE DEBEN REALIZARSE EN LA POLÍTICA

  1. En caso de que la Ley, Reglamento u otra legislación sea modificada, actualizada o derogada parcial o totalmente, la Compañía cambiará la Política actualizándola para que sea compatible con la nueva Ley, Reglamento o legislación.

 

  1. La Compañía compartirá la Política actualizada con sus empleados vía correo electrónico y la hará accesible a sus empleados a través de la intranet corporativa, para que cualquier cambio realizado a la Política pueda ser revisado.

 

K. FECHA DE VIGENCIA DE LA POLÍTICA

Esta Política entró en vigor el 26.03.2020 .

 

 

ANEXO : Inventario que muestra los períodos de conservación de datos personales