Prawo o ochronie danych osobowych

1-Wprowadzenie

Cel Polityki

Ustawa o ochronie danych osobowych nr 6698 (dalej „Ustawa”) weszła w życie 7 kwietnia 2016 r. i zawiera regulacje dotyczące przetwarzania wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (dalej „Osoba, której dane dotyczą”). Jako San-Tur Turizm A.Ş. (dalej „Spółka”), przywiązujemy najwyższą wagę do przechowywania i niszczenia danych osobowych zgodnie z Ustawą.


Niniejsza Polityka dotycząca przetwarzania i bezpieczeństwa szczególnych kategorii danych osobowych (dalej „Polityka”) została przygotowana zgodnie z decyzją Rady Ochrony Danych Osobowych z dnia 31/01/2018 r., oznaczoną numerem 2018/10 (dalej „Decyzja Rady”) w sprawie „Odpowiednich środków, które administratorzy danych powinni podjąć przy przetwarzaniu szczególnych kategorii danych osobowych”, w celu ustalenia środków, które podejmujemy jako administrator danych w zakresie przetwarzania szczególnych kategorii danych osobowych.


Niniejsza Polityka oraz „Polityka przechowywania i niszczenia danych osobowych San-Tur Turizm A.Ş.” naszej Spółki („Polityka przechowywania i niszczenia danych”) wzajemnie się uzupełniają, a w kwestiach nieujętych w niniejszej Polityce należy zapoznać się z Polityką przechowywania i niszczenia danych. Nasza Spółka, jako administrator danych, będzie działać zgodnie z niniejszą Polityką podczas przetwarzania szczególnych kategorii danych osobowych, udostępniania ich osobom trzecim oraz przechowywania ich na nośnikach danych.

Zakres Polityki

Biorąc pod uwagę wszystkie procesy realizowane przez naszą Spółkę, przetwarzane są szczególne kategorie danych osobowych grup składających się z Upoważnionych Sygnatariuszy Spółki, Adresatów Procesów Prawnych, Podmiotów Danych, Pracowników, Kandydatów na Pracowników, Stażystów, Stażystów szkół zawodowych, Podwykonawców/Pracowników podwykonawców, Potencjalnych Nabywców Produktów lub Usług oraz Odbiorców Produktów lub Usług, a niniejsza Polityka dotyczy przetwarzanych szczególnych kategorii danych osobowych tych wyżej wymienionych grup osób.

Definicje i skróty

Wyraźna zgoda: Nośnik danych, na którym dane osobowe mogą być tworzone, odczytywane, modyfikowane i zapisywane za pomocą urządzeń elektronicznych.

Media nieelektroniczne: Wszystkie inne media pisane, drukowane, wizualne itp., które nie mieszczą się w zakresie mediów elektronicznych.

Dostawca usług: Osoba fizyczna lub prawna świadcząca usługi na rzecz Spółki w ramach konkretnej umowy.

Podmiot danych: Osoba fizyczna, której dane osobowe są przetwarzane.

Zniszczenie: usunięcie, zniszczenie lub anonimizacja danych osobowych.

Prawo: Ustawa o ochronie danych osobowych nr 6698.

Nośniki danych: Wszelkie nośniki zawierające dane osobowe, które są przetwarzane w całości lub w części w sposób zautomatyzowany lub w sposób niezautomatyzowany, pod warunkiem że stanowią część systemu gromadzenia danych.

Dane osobowe: Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Przetwarzanie danych osobowych: Każda operacja wykonywana na danych osobowych, taka jak zbieranie, rejestrowanie, przechowywanie, zatrzymywanie, zmiana, reorganizacja, ujawnianie, przekazywanie, przejmowanie, udostępnianie, klasyfikowanie lub zapobieganie wykorzystaniu danych, w całości lub w części w sposób zautomatyzowany lub w sposób niezautomatyzowany, pod warunkiem, że proces ten jest częścią systemu gromadzenia danych.

Inwentarz przetwarzania danych osobowych: Inwentarz sporządzany przez administratorów danych, wyjaśniający działania związane z przetwarzaniem danych osobowych, które wykonują w zależności od swoich procesów biznesowych; powiązanie ich z celami i podstawami prawnymi przetwarzania danych osobowych, kategoriami danych, grupami odbiorców i grupami osób, których dane dotyczą; a także wyjaśniający maksymalny okres przechowywania wymagany dla celów, w których przetwarzane są dane osobowe, dane osobowe, które mają zostać przekazane do państw trzecich, oraz środki podjęte w celu zapewnienia bezpieczeństwa danych.

Zarząd: Urząd Ochrony Danych Osobowych.

Szczególne kategorie danych osobowych: Dane dotyczące rasy, pochodzenia etnicznego, poglądów politycznych, przekonań filozoficznych, religii, sekty lub innych przekonań, wyglądu i sposobu ubierania się, członkostwa w stowarzyszeniach, fundacjach lub związkach zawodowych, stanu zdrowia, życia seksualnego, wyroków skazujących i środków bezpieczeństwa, a także dane biometryczne i genetyczne.

Okresowe niszczenie: Proces usuwania, niszczenia lub anonimizowania przeprowadzany z urzędu w powtarzających się odstępach czasu określonych w polityce przechowywania i niszczenia danych osobowych, w przypadku gdy wszystkie warunki przetwarzania danych osobowych określone w ustawie przestaną obowiązywać.

Podmiot przetwarzający dane: Osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora danych, na podstawie upoważnienia udzielonego przez administratora danych.

Administrator danych: Osoba fizyczna lub prawna, która ustala cele i sposoby przetwarzania danych osobowych oraz odpowiada za utworzenie i zarządzanie zbiorem danych.

VERBIS: System Informacji o Rejestrze Administratorów Danych.

Rozporządzenie: Rozporządzenie w sprawie usuwania, niszczenia lub anonimizacji danych osobowych opublikowane w Dzienniku Urzędowym z dnia 28 października 2017 r.

Kandydat na pracownika: Osoby fizyczne, które w jakikolwiek sposób ubiegały się o pracę w naszej Spółce lub które udostępniły swoje CV i powiązane informacje do wglądu naszej Spółce.

Pracownik Spółki: Osoba fizyczna pracująca w naszej Spółce.

Odbiorca/Klient Produktu lub Usługi: Osoby, którym nasza Firma dostarcza towary i usługi.

Potencjalny odbiorca/klient produktu lub usługi: Potencjalne osoby, którym nasza Firma ma możliwość dostarczenia towarów lub usług.

Osoba w sporze prawnym: Osoba, z którą nasza Spółka pozostaje w sporze prawnym.

Podmiot upoważniony przez Spółkę: Podpisywacz oficjalnie upoważniony przez Spółkę.

Stażysta: Osoby odbywające staż w naszej firmie.

Podwykonawca: Osoba fizyczna, której nasza Spółka deleguje część swoich prac, na przykład dostawę towarów i usług, ze względu na jej wiedzę specjalistyczną.

Pracownik podwykonawcy: Pracownik osoby fizycznej lub prawnej, któremu nasza Spółka deleguje część swoich zadań, na przykład dostarczanie towarów i usług, ze względu na jego wiedzę specjalistyczną.

Praktykanci szkół zawodowych: Osoby pobierające naukę w szkołach zawodowych i odbywające obowiązkowy staż w naszej Spółce.

Strona trzecia: Inne osoby, które nie podlegają żadnej kategorii podmiotów danych w rozumieniu niniejszej Polityki.

2-Zasady Polityki

Ogólne zasady dotyczące przetwarzania szczególnych kategorii danych osobowych

Niniejsza Polityka została ustanowiona w celu uzasadnienia zasad i przepisów określonych w obowiązujących przepisach prawa w zakresie praktyk stosowanych przez naszą Spółkę. W przypadku sprzeczności między obowiązującymi przepisami prawa a Polityką, nasza Spółka uznaje, że pierwszeństwo mają obowiązujące przepisy prawa.


Spółka będzie działać z uwzględnieniem zasad określonych w art. 4 ust. 2 Ustawy i wymienionych poniżej, zarówno przy przetwarzaniu danych osobowych, jak i szczególnych kategorii danych osobowych:

Zgodność z prawem i dobra wiara

Zasada ta wyraża obowiązek postępowania zgodnie z zasadami ustanowionymi w przepisach prawa i innych regulacjach prawnych w zakresie przetwarzania danych osobowych. Zgodnie z zasadą dobrej wiary, nasza Spółka uwzględnia interesy i uzasadnione oczekiwania osób, których dane dotyczą, dążąc do osiągnięcia swoich celów w zakresie przetwarzania danych osobowych. Zgodnie z tą zasadą, działania związane z przetwarzaniem danych osobowych prowadzone przez naszą Spółkę są również wysoce transparentne. W wyjaśnieniach udzielanych przez Spółkę, w szczególności odbiorcom produktów lub usług, pracownikom, stażystom i praktykantom szkół zawodowych, Spółka nie tylko wskazuje przetwarzane dane osobowe i cele przetwarzania, ale także oddzielnie określa, w jakich celach dane osobowe są przetwarzane w każdym procesie.

Dokładność i aktualność w razie potrzeby

Dbałość o dokładność i aktualność danych osobowych jest tak samo istotna dla ochrony podstawowych praw i wolności osoby, której dane dotyczą, jak i niezwykle istotna dla tożsamości korporacyjnej naszej Spółki.


W tym kontekście dane osobowe będące w posiadaniu Spółki dotyczące osoby, której dane dotyczą, są weryfikowane i aktualizowane na każdym etapie przetwarzania, zapewniając w ten sposób prawidłowy i wzajemny przepływ informacji.

Przetwarzanie w określonych, wyraźnych i uzasadnionych celach

Zasada, zgodnie z którą cele przetwarzania danych osobowych muszą być określone, uzasadnione i wyraźne, gwarantuje, że osoba, której dane dotyczą, może jasno zrozumieć czynności przetwarzania danych osobowych, że można zidentyfikować konkretny warunek prawny przetwarzania, na którym opiera się dana czynność, oraz że czynności te są przedstawione z wystarczającą szczegółowością, aby zapewnić szczegółowość celu, w jakim są wykonywane.


W tym względzie z najwyższą starannością dba się o przestrzeganie zasad szczegółowości i jasności w obrocie prawnym i dokumentach, w których wyjaśnione są cele przetwarzania danych osobowych (takie jak wyraźna zgoda, doprecyzowanie, odpowiadanie na żądania osób, których dane dotyczą, oraz rejestracja w Rejestrze Administratorów Danych). Jednocześnie unika się stosowania skomplikowanych, trudnych do zrozumienia sformułowań techniczno-prawnych.

Będąc istotnymi, ograniczonymi i proporcjonalnymi do celów, w których są przetwarzane

Zasada ta wymaga, aby przetwarzane dane osobowe były przydatne do osiągnięcia wyznaczonych celów oraz aby unikano przetwarzania danych osobowych, które nie są istotne lub zbędne do osiągnięcia tych celów.


W ramach niniejszej zasady, w celu zapewnienia, że dane osobowe są przetwarzane przez naszą Spółkę w sposób właściwy, ograniczony i proporcjonalny, przeprowadzane są regularne badania oceniające w celu minimalizacji danych, informowani są pracownicy, przeprowadzane są okresowe audyty bez uprzedniego powiadomienia oraz podejmowane są inne środki administracyjne i techniczne określone w niniejszej zasadzie.

Będące przechowywane przez okres określony w odpowiednich przepisach lub wymagane do celu, w jakim są przetwarzane

Zgodnie z wymogiem „zasady ograniczenia celu”, dane osobowe muszą być przechowywane przez okres wymagany do realizacji celu, dla którego są przetwarzane. W tym kontekście nasza Firma przechowuje dane osobowe przez okresy przechowywania określone w przepisach prawa lub, w przypadku braku takiego okresu, przez okres przedawnienia roszczeń w przypadku sporów prawnych.

Informacje o szczególnych kategoriach danych osobowych podlegających przetwarzaniu, celach przetwarzania i procedurach przetwarzania

Szczególne kategorie danych osobowych podlegających przetwarzaniu, wraz z celami przetwarzania, podstawami prawnymi oraz okresami przetwarzania i niszczenia, zostały określone w spisie danych przygotowanym przez naszą Spółkę, w rejestrze VERBIS, w Polityce Przechowywania i Niszczenia Danych oraz w stosownych dokumentach wyjaśniających. Oprócz tych informacji, poniżej znajdują się wyjaśnienia dotyczące celów i procedur przetwarzania szczególnych kategorii danych osobowych podlegających przetwarzaniu przez naszą Spółkę:

Przetwarzane szczególne kategorie danych osobowych Wyjaśnienie dotyczące celu przetwarzania Wyjaśnienie dotyczące procedury przetwarzania
Informacje religijne Podlega przetwarzaniu ze względu na jego umieszczenie w dokumentach tożsamości i innych dokumentach, w przypadkach gdy jest to wymagane w ramach obowiązków i zobowiązań prawnych. Informacje te są przetwarzane w taki sposób, w jaki są zawarte w dokumentach, takich jak dowody osobiste, pełnomocnictwa lub okólniki podpisów, które należy uzyskać w szczególności w trakcie procesu składania wniosków przez osobę, której dane dotyczą, w trakcie postępowania prawnego oraz w trakcie transakcji z upoważnionym sygnatariuszem firmy.
Informacje o wyglądzie i ubiorze Informacje te, uzyskane wyłącznie od pracowników, przetwarzane są w celu zapewnienia pracownikom odzieży roboczej. Informacje te są przetwarzane podczas procesu zakupu obuwia i odzieży dla pracowników. Informacje te obejmują zasadniczo rozmiar ciała/buta i nie dostarczają informacji o żadnych przekonaniach religijnych/politycznych itp.
Informacje o alergenach Przetwarzane w celu dostosowania produktów i usług oferowanych gościom do ich preferencji, a w szczególności w celu ochrony zdrowia gości. Dane te przetwarzane są w trakcie procesu rezerwacji i zakwaterowania i podlegają przetwarzaniu wyłącznie na życzenie gościa.
Informacje o niepełnosprawności i statusie osób o specjalnych potrzebach Przetwarzane w celu personalizacji oferowanych gościom produktów i usług zgodnie z ich preferencjami, a w szczególności w celu ochrony zdrowia gości. W przypadku pracowników dane przetwarzane są w szczególności w celu wypełnienia obowiązków prawnych. Informacje te są przetwarzane w imieniu gości w trakcie procesu zakwaterowania i rezerwacji i podlegają przetwarzaniu na żądanie gościa. Informacje uzyskane od pracowników są przetwarzane w ramach niezbędnych procesów powiadamiania Zakładu Ubezpieczeń Społecznych (SGK), przede wszystkim w procesie tworzenia akt osobowych.
Informacje o zdrowiu Przetwarzane przez lekarza w celach takich jak prowadzenie procesów zarządzania kryzysowego w ramach odpowiedzialności prawnej za gości oraz zapewnienie zgodności działań z przepisami prawa. W przypadku pracowników, podwykonawców i stażystów, dane są również przetwarzane w celu wypełnienia obowiązków z zakresu bezpieczeństwa i higieny pracy (BHP), poza tymi celami. Informacje te są przetwarzane w przypadku gości w ramach procesów prowadzonych przez lekarza. W przypadku pracowników, podwykonawców i stażystów, są one przetwarzane w ramach tworzenia dokumentacji kadrowej i medycznej, procedur badań okresowych oraz procedur zgłaszania wypadków przy pracy.
Informacje o grupie krwi Dane te mogą być przetwarzane w odniesieniu do pracowników, stażystów, stażystów szkół zawodowych, adresatów postępowań prawnych i osób upoważnionych do składania oświadczeń w celach takich jak prowadzenie postępowań prawnych, prowadzenie procesów zarządzania kryzysowego dla pracowników oraz zapewnianie bezpieczeństwa operacji. Informacje te są przetwarzane w taki sposób, w jaki znajdują się w dokumentach, takich jak dowody osobiste, pełnomocnictwa lub okólniki do podpisu, które należy uzyskać w procesie składania wniosków przez [osobę, której dane dotyczą], w postępowaniu sądowym oraz w procesach transakcji z upoważnionym sygnatariuszem firmy. Ponadto są one przetwarzane podczas tworzenia akt osobowych w celu przeprowadzania procedur awaryjnych.
Informacje o wyrokach skazujących i środkach bezpieczeństwa Dane te przetwarzane są w szczególności w celu realizacji obowiązków wynikających z umów o pracę i przepisów prawa oraz w celu realizacji procesów kadrowych. Dane te pozyskiwane są wyłącznie od adresatów postępowań sądowych oraz podwykonawców/pracowników podwykonawców. Informacje te podlegają przetwarzaniu w ramach postępowań sądowych. Ponadto, w przypadku zatrudniania przez Spółkę pracowników podwykonawców, są one przetwarzane w ramach procesu rejestracji personelu i monitorowania pracowników podwykonawców.

Zgodnie z art. 10 Ustawy, nasza Spółka informuje osoby, których dane dotyczą, o celach przetwarzania ich szczególnych kategorii danych osobowych. Szczególne kategorie danych osobowych przetwarzane w ramach działalności Spółki są przechowywane przez okres określony w odpowiednich przepisach. W tym kontekście szczególne kategorie danych osobowych są przechowywane przez okresy przechowywania określone w wyżej wymienionych przepisach.

Ustawa o ochronie danych osobowych nr 6698 Turecki Kodeks Zobowiązań nr 6098
Turecki Kodeks Handlowy nr 6102 Ustawa o zabezpieczeniu społecznym i ogólnym ubezpieczeniu zdrowotnym nr 5510
Ustawa o podatku od wartości dodanej nr 3065 Ustawa o podatku dochodowym nr 193
Ustawa o podatku dochodowym od osób prawnych nr 5520 Ustawa o podatku od czynności cywilnoprawnych nr 488
Ustawa o urzędnikach państwowych nr 657 Ustawa o bezpieczeństwie i higienie pracy nr 6361
Ustawa o prawie do informacji nr 4982 Ustawa o wykonywaniu prawa do petycji nr 3071
Prawo pracy nr 4857 Ustawa o szkolnictwie wyższym nr 2547
Ustawa o funduszach emerytalnych nr 5434 Ustawa o usługach społecznych nr 2828
Ustawa o oświadczeniu tożsamości nr 1774 Rozporządzenie w sprawie środków bezpieczeństwa i higieny pracy, które należy podjąć w budynkach i przybudówkach miejsc pracy
Ustawa o ochronie konsumentów nr 6502 Ustawa o szkoleniu zawodowym nr 3308
Turecka ustawa o agencjach zatrudnienia nr 4904 Ustawa o zachętach turystycznych nr 2634
Rozporządzenie w sprawie kwalifikacji obiektów turystycznych Rozporządzenie wykonawcze w sprawie obiektów turystycznych
Rozporządzenie w sprawie usług archiwalnych Inne przepisy wykonawcze obowiązujące na podstawie tych ustaw
Porozumienia krajowe/międzynarodowe Rozporządzenie w sprawie biur podróży

Zgodnie z informacjami zawartymi w rejestrze VERBIS naszej Spółki szczególne kategorie danych osobowych przetwarzane są w następujących celach:

1. Realizacja procesów zarządzania kryzysowego 2. Realizacja procesów bezpieczeństwa informacji
3. Realizacja procesów selekcji i zatrudniania kandydatów na pracowników/stażystów/studentów 4. Realizacja procesów aplikacyjnych kandydatów na pracowników
6. Wykonywanie obowiązków wynikających z umów o pracę i przepisów prawa dla pracowników 7. Realizacja procesów dotyczących praw i świadczeń dodatkowych dla pracowników
8. Wykonywanie czynności audytowych/etycznych 10. Wykonywanie uprawnień dostępu
11. Prowadzenie działalności zgodnie z przepisami prawa 12. Wykonywanie prac finansowo-księgowych
15. Realizacja procesów cesji 16. Monitorowanie i realizacja spraw prawnych
17. Wykonywanie czynności audytu wewnętrznego / dochodzeń / wywiadu 18. Realizacja działań komunikacyjnych
19. Planowanie procesów kadrowych 20. Realizacja / Audyt działalności gospodarczej
21. Wykonywanie czynności z zakresu bezpieczeństwa i higieny pracy 25. Realizacja procesów zaopatrzenia w towary/usługi
26. Realizacja usług wsparcia posprzedażowego towarów/usług 27. Realizacja procesów sprzedaży towarów/usług
28. Realizacja procesów produkcji i eksploatacji towarów/usług 29. Realizacja procesów zarządzania relacjami z klientami
30. Realizacja działań mających na celu zadowolenie klienta 33. Realizacja procesów oceny wydajności
35. Realizacja procesów zarządzania ryzykiem 36. Wykonywanie czynności magazynowo-archiwalnych
38. Realizacja procesów kontraktowych 40. Realizacja działań planowania strategicznego
41. Monitorowanie wniosków/reklamacji 42. Zapewnienie bezpieczeństwa mienia ruchomego i zasobów
43. Realizacja procesów zarządzania łańcuchem dostaw 44. Realizacja polityki płacowej
46. Zapewnienie bezpieczeństwa operacji administratora danych 50. Udostępnianie informacji osobom upoważnionym, instytucjom i organizacjom
54. Wykonywanie powiązanych procesów poprzez uzyskanie dokumentów, takich jak dokument tożsamości/pełnomocnictwo itp. 54. Realizacja i audyt procesów umownych poprzez uzyskiwanie dokumentów tożsamości
51. Wykonywanie czynności zarządczych

Przekazywanie szczególnych kategorii danych osobowych

Nasza Spółka może udostępniać szczególne kategorie danych osobowych osobom trzecim zgodnie z warunkami przetwarzania danych określonymi w artykułach 8 i 9 LPPD (Ustawy o ochronie danych osobowych).


W przypadku przekazywania szczególnych kategorii danych osobowych osobom trzecim, Spółka podejmie środki bezpieczeństwa określone w Uchwale Zarządu. W tym kontekście szczególne kategorie danych osobowych:

  • W przypadku transferu pomiędzy serwerami w różnych środowiskach fizycznych, transfer odbywa się poprzez ustanowienie połączenia VPN pomiędzy serwerami lub za pośrednictwem metody sFTP.
  • W przypadku konieczności przekazania danych za pośrednictwem nośnika papierowego, podejmowane są odpowiednie środki zabezpieczające przed ryzykiem kradzieży, utraty lub nieautoryzowanego przeglądania dokumentu, a dokument jest przesyłany w formacie „dokumentów poufnych”.

Przechowywanie szczególnych kategorii danych osobowych

Nasza Spółka przechowuje szczególne kategorie danych osobowych zgodnie z ogólnymi zasadami i warunkami przetwarzania, o których mowa szczegółowo powyżej. W odniesieniu do środowisk, w których przechowywane i/lub udostępniane są szczególne kategorie danych osobowych, nasza Spółka stosuje środki bezpieczeństwa określone w Decyzji Zarządu. W tym kontekście, środki administracyjne i techniczne podejmowane przez Spółkę w celu przechowywania szczególnych kategorii danych osobowych są następujące:

  1. Zapewnione jest bezpieczeństwo sieci i aplikacji.
  2. Do przesyłu danych osobowych za pośrednictwem sieci stosuje się sieci zamknięte.
  3. Wprowadzono zarządzanie kluczami.
  4. Podejmowane są środki bezpieczeństwa w zakresie pozyskiwania, rozwoju i utrzymania systemów informatycznych.
  5. Obowiązują przepisy dyscyplinarne zawierające postanowienia dotyczące bezpieczeństwa danych pracowników.
  6. Okresowo prowadzone są szkolenia i badania podnoszące świadomość pracowników w zakresie bezpieczeństwa danych.
  7. Dla pracowników ustalono macierz autoryzacji.
  8. Rejestry dostępu są regularnie prowadzone.
  9. Przygotowano i wdrożono politykę korporacyjną dotyczącą dostępu, bezpieczeństwa, użytkowania, przechowywania i niszczenia informacji.
  10. W razie konieczności stosowane są środki maskowania danych.
  11. Podpisano umowy o zachowaniu poufności.
  12. Uprawnienia w tym zakresie zostają cofnięte w przypadku pracowników, którzy zmieniają zakres obowiązków lub odchodzą z pracy.
  13. Używane są najnowsze systemy antywirusowe.
  14. Używane są zapory sieciowe.
  15. Podpisane umowy zawierają postanowienia dotyczące bezpieczeństwa danych.
  16. W przypadku danych osobowych przesyłanych na nośnikach papierowych stosowane są dodatkowe środki bezpieczeństwa, a odpowiednie dokumenty są wysyłane w formie dokumentów poufnych.
  17. Określono zasady i procedury bezpieczeństwa danych osobowych.
  18. Problemy związane z bezpieczeństwem danych osobowych są szybko zgłaszane.
  19. Prowadzony jest monitoring bezpieczeństwa danych osobowych.
  20. Podejmowane są niezbędne środki bezpieczeństwa dotyczące wejścia i wyjścia ze środowisk fizycznych, w których znajdują się dane osobowe.
  21. Zapewnione jest bezpieczeństwo środowisk fizycznych, w których znajdują się dane osobowe, przed zagrożeniami zewnętrznymi (pożar, powódź itp.).
  22. Zapewnione jest bezpieczeństwo środowisk, w których przechowywane są dane osobowe.
  23. Dane osobowe są minimalizowane w jak największym stopniu.
  24. Dane osobowe są kopiowane zapasowo i zapewnione jest bezpieczeństwo tych danych.
  25. Wdrożono i monitorowano system zarządzania kontami użytkowników i kontroli autoryzacji.
  26. Przeprowadzane są okresowe i/lub losowe audyty wewnętrzne.
  27. Rejestry zdarzeń są przechowywane w sposób uniemożliwiający ingerencję użytkownika.
  28. Zidentyfikowano istniejące ryzyka i zagrożenia.
  29. Określono i wdrożono protokoły i procedury mające na celu zapewnienie bezpieczeństwa szczególnych kategorii danych osobowych.
  30. Jeżeli szczególne kategorie danych osobowych mają być przesyłane pocztą elektroniczną, muszą zostać przesłane w formie zaszyfrowanej, za pośrednictwem poczty elektronicznej REM (Registered Electronic Mail) lub firmowego konta e-mail.
  31. Stosowane są systemy wykrywania i zapobiegania włamaniom.
  32. Stosowane są testy penetracyjne.
  33. Podjęto środki bezpieczeństwa cybernetycznego, a ich wdrażanie jest stale monitorowane.
  34. Szyfrowanie jest wykonywane.
  35. Szczególne kategorie danych osobowych przesyłane za pomocą pamięci przenośnych, nośników CD lub DVD są przesyłane w formie zaszyfrowanej.
  36. Zapewnione są okresowe audyty dostawców usług przetwarzania danych pod kątem bezpieczeństwa danych.
  37. Zapewniona jest świadomość dostawców usług przetwarzania danych w zakresie bezpieczeństwa danych.
  38. Używane jest oprogramowanie zapobiegające utracie danych.

Publikacja i przechowywanie Polityki

Polityka może zostać opublikowana w dwóch różnych mediach, a mianowicie w formie kopii papierowej z podpisem na mokro oraz w formie elektronicznej, i może zostać udostępniona publicznie na stronie internetowej. Wersja papierowa jest przechowywana w Dziale Kadr i jego odpowiednich aktach.

Okres aktualizacji Polityki

Polityka jest w razie potrzeby przeglądana i odpowiednie sekcje są aktualizowane.

Egzekwowanie i odwołanie Polityki

Polityka wchodzi w życie z chwilą jej opublikowania. W przypadku decyzji o jej odwołaniu, stare, podpisane na mokro egzemplarze Polityki są anulowane (poprzez ostemplowanie „anulowana” lub dopisanie „anulowana”) i podpisywane przez Dział Kadr. Są one przechowywane przez Dział Kadr przez okres co najmniej 5 lat. Status „anulowana” Polityki jest ustawiany w używanym systemie zarządzania hotelem.