Закон о защите персональных данных

1. Введение

Цель политики

Закон о защите персональных данных № 6698 («Закон») вступил в силу 7 апреля 2016 года и содержит положения, касающиеся обработки любой информации, относящейся к идентифицированному или поддающемуся идентификации физическому лицу («Субъект данных»). Компания San-Tur Turizm A.Ş. («Компания») придает первостепенное значение хранению и уничтожению персональных данных в соответствии с Законом.


Настоящая Политика обработки и защиты особых категорий персональных данных («Политика») разработана в соответствии с решением Совета по защите персональных данных от 31.01.2018 № 2018/10 («Решение Совета») о «Адекватных мерах, которые должны приниматься контролерами данных при обработке особых категорий персональных данных», с целью определения мер, которые мы, как контролер данных, принимаем в отношении обработки особых категорий персональных данных.


Настоящая Политика и «Политика хранения и уничтожения персональных данных компании San-Tur Turizm A.Ş.» («Политика хранения и уничтожения») дополняют друг друга, и по вопросам, не охваченным настоящей Политикой, следует обращаться к Политике хранения и уничтожения. Наша компания, как оператор персональных данных, обязуется действовать в соответствии с настоящей Политикой при обработке особых категорий персональных данных, передаче их третьим лицам и хранении их на носителях данных.

Сфера действия политики

С учетом всех процессов, осуществляемых нашей компанией, обрабатываются особые категории персональных данных групп, включающих уполномоченных лиц компании, получателей юридических документов, субъектов данных, сотрудников, кандидатов на работу, стажеров, стажеров профессиональных училищ, субподрядчиков/сотрудников субподрядчиков, потенциальных покупателей продукции или услуг и получателей продукции или услуг, и настоящая Политика распространяется на обрабатываемые особые категории персональных данных вышеупомянутых групп лиц.

Определения и сокращения

Явное согласие: средства массовой информации, с помощью которых персональные данные могут создаваться, считываться, изменяться и записываться посредством электронных устройств.

Неэлектронные СМИ: все остальные письменные, печатные, визуальные и т. д. СМИ, не подпадающие под определение электронных СМИ.

Поставщик услуг: Физическое или юридическое лицо, предоставляющее услуги Компании в рамках конкретного договора.

Субъект данных: физическое лицо, персональные данные которого обрабатываются.

Уничтожение: удаление, уничтожение или анонимизация персональных данных.

Закон: Закон о защите персональных данных № 6698.

Носители информации: любые носители, содержащие персональные данные, которые обрабатываются полностью или частично автоматизированными или неавтоматизированными средствами, при условии, что они являются частью системы хранения данных.

Персональные данные: любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу.

Обработка персональных данных: Любая операция, выполняемая с персональными данными, такая как сбор, запись, хранение, сохранение, изменение, реорганизация, раскрытие, передача, передача, предоставление доступа, классификация или предотвращение их использования, полностью или частично автоматизированными или неавтоматизированными средствами, при условии, что данный процесс является частью какой-либо системы хранения данных.

Инвентаризация обработки персональных данных: Подробный перечень, составляемый контролерами данных, с указанием осуществляемых ими операций по обработке персональных данных в зависимости от их бизнес-процессов; с указанием целей и правовых оснований обработки персональных данных, категорий данных, групп получателей и групп субъектов данных; а также с указанием максимального срока хранения, необходимого для целей обработки персональных данных, персональных данных, которые предполагается передавать в зарубежные страны, и мер, принимаемых в отношении безопасности данных.

Совет: Совет по защите персональных данных.

Особые категории персональных данных: данные, касающиеся расы, этнического происхождения, политических взглядов, философских убеждений, религии, секты или иных убеждений, внешнего вида и одежды, членства в ассоциациях, фондах или профсоюзах, состояния здоровья, сексуальной жизни, судимостей и мер безопасности, а также биометрические и генетические данные.

Периодическое уничтожение: Процесс удаления, уничтожения или анонимизации, осуществляемый по собственной инициативе с периодичностью, указанной в политике хранения и уничтожения персональных данных, в случае утраты всех условий обработки персональных данных, предусмотренных Законом.

Обработчик данных: Физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера данных на основании полномочий, предоставленных контролером данных.

Контролер данных: физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и ответственное за создание и управление системой хранения данных.

VERBIS: Информационная система реестра операторов данных.

Регламент: Регламент об удалении, уничтожении или анонимизации персональных данных, опубликованный в Официальном вестнике от 28 октября 2017 года.

Кандидат на должность: Физические лица, подавшие заявку на работу в нашей компании любым способом или предоставившие свое резюме и соответствующую информацию для рассмотрения нашей компанией.

Сотрудник компании: Физические лица, работающие в нашей компании.

Получатель товара или услуги/клиент: лица, которым наша компания предоставляет товары и услуги.

Потенциальный получатель/клиент товара или услуги: потенциальные лица, которым наша компания может предоставить товары и услуги.

Лицо, участвующее в правовом споре: лицо, с которым наша компания находится в правовом споре.

Уполномоченный представитель компании: лицо, официально уполномоченное компанией подписывать документы.

Стажер: Лица, проходящие стажировку в нашей компании.

Субподрядчик: физическое лицо, которому наша Компания делегирует часть своей работы, например, предоставление товаров и услуг, в силу своей специализации.

Сотрудник субподрядчика: Сотрудник физического или юридического лица, которому наша Компания делегирует часть своей работы, например, предоставление товаров и услуг, в силу его квалификации.

Стажер из профессионального училища: Лица, получающие образование в профессиональных училищах и проходящие обязательную стажировку в нашей компании.

Третья сторона: Другие лица, не подпадающие ни под одну из категорий субъектов данных, указанных в настоящей Политике.

2. Принципы политики

Общие принципы обработки особых категорий персональных данных

Настоящая Политика разработана на основе правил и положений, установленных действующим законодательством, в рамках деятельности, осуществляемой нашей Компанией. В случае противоречия между действующим законодательством и настоящей Политикой, наша Компания признает, что преимущественную силу имеет действующее законодательство.


Компания обязуется действовать, принимая во внимание принципы, изложенные в статье 4, пункте 2 Закона и перечисленные ниже, при обработке как персональных данных, так и особых категорий персональных данных:

Соответствие закону и добросовестность

Этот принцип выражает обязанность действовать в соответствии с принципами, установленными законами и другими правовыми нормами при обработке персональных данных. В соответствии с принципом добросовестности, наша Компания учитывает интересы и разумные ожидания субъектов данных, стремясь достичь своих целей в обработке персональных данных. В соответствии с этим принципом, деятельность по обработке персональных данных, осуществляемая нашей Компанией, также отличается высокой прозрачностью. Действительно, в разъяснительных уведомлениях, предоставляемых Компанией, в частности, получателям продукции или услуг, сотрудникам, стажерам и стажерам профессиональных училищ, Компания не просто указывает обрабатываемые персональные данные и цели обработки, но и отдельно уточняет, для каких целей обрабатываются персональные данные в каждом отдельном процессе.

Точность и своевременное обновление информации там, где это необходимо.

Поддержание точности и актуальности персональных данных имеет такое же важное значение для защиты основных прав и свобод субъекта данных, как и для сохранения корпоративной идентичности нашей компании.


В этом контексте персональные данные субъекта данных, хранящиеся в Компании, проверяются и обновляются на каждом этапе обработки, что обеспечивает здоровый и взаимный обмен информацией.

Обработка данных осуществляется в определенных, явных и законных целях.

Принцип, согласно которому цели обработки персональных данных должны быть четко определены, законны и ясны, гарантирует, что действия по обработке персональных данных будут понятны субъекту данных, что можно определить конкретное правовое условие обработки, на котором основана эта деятельность, и что эти действия будут представлены с достаточной детализацией, чтобы обеспечить конкретность цели, для которой они осуществляются.


В этом отношении проявляется максимальная деликатность в соблюдении принципов конкретности и ясности в юридических сделках и документах, где разъясняются цели обработки персональных данных (например, явное согласие, разъяснение, ответы на запросы субъектов данных и регистрация в Реестре операторов данных). Параллельно избегается использование сложных технико-юридических выражений, которые трудно понять.

Они должны быть релевантными, ограниченными и соразмерными целям, для которых они обрабатываются.

Этот принцип требует, чтобы обрабатываемые персональные данные соответствовали поставленным целям и чтобы избегалась обработка персональных данных, не имеющих отношения к достижению таких целей или не необходимых для них.


В рамках данного принципа, для обеспечения того, чтобы обработка персональных данных нашей компанией осуществлялась релевантным, ограниченным и соразмерным образом, проводятся регулярные исследования по минимизации данных, сотрудники информируются, периодически и без предварительного уведомления проводятся проверки, а также применяются другие административные и технические меры, указанные в настоящем документе.

Хранение в течение периода, предусмотренного соответствующим законодательством, или в течение периода, необходимого для целей, для которых осуществляется их обработка.

В соответствии с принципом «ограничения цели обработки», персональные данные должны храниться в течение периода, необходимого для достижения цели, для которой они обрабатываются. В этом контексте наша Компания хранит персональные данные в течение сроков хранения, установленных законодательством, или, при отсутствии такого срока, в течение срока исковой давности, применимого к любым правовым спорам.

Информация об особых категориях персональных данных, подлежащих обработке, целях обработки и процедурах обработки.

Особые категории персональных данных, подлежащих обработке, а также цели их обработки, правовые основания, сроки обработки и уничтожения указаны в подготовленном нашей компанией реестре данных, регистрационном документе VERBIS, Политике хранения и уничтожения, а также в соответствующих пояснительных текстах. В дополнение к этой информации ниже приведены пояснения относительно целей и процедур обработки особых категорий персональных данных, подлежащих обработке нашей компанией:

Обрабатываемые особые категории персональных данных Пояснение относительно цели обработки Пояснение к процедуре обработки
Религиозная информация Обработка данных может осуществляться в связи с их включением в удостоверения личности и другие документы, в случаях, когда их получение необходимо в рамках правовых обязанностей и обязательств. Эта информация обрабатывается по мере ее включения в такие документы, как удостоверения личности, доверенности или циркуляры о подписях, которые необходимо получить, в частности, в процессе подачи заявления субъектом данных, в процессе судебного разбирательства и в процессе совершения сделок с участием уполномоченных лиц компании.
Информация о внешнем виде и одежде Эта информация, полученная исключительно от сотрудников, обрабатывается с целью обеспечения сотрудников рабочей одеждой. Эта информация обрабатывается в процессе закупки обуви и одежды для сотрудников. По сути, это информация о размере тела/обуви, и она не содержит сведений о религиозных/политических и других взглядах/убеждениях.
Информация об аллергенах Обработка данных осуществляется с целью персонализации предлагаемых гостям товаров и услуг в соответствии с их предпочтениями, и, в частности, для защиты здоровья гостей. Данная информация обрабатывается в процессе бронирования и размещения и может быть обработана по указанию самого гостя.
Информация о статусе инвалидности и особых потребностях Обработка данных осуществляется с целью персонализации предлагаемых гостям товаров и услуг в соответствии с их предпочтениями, и, в частности, для защиты здоровья гостей. В отношении сотрудников обработка данных осуществляется, в частности, для выполнения юридических обязательств. Данная информация обрабатывается для гостей в процессе размещения и бронирования и может быть обработана, если это указано самим гостем. Информация, полученная от сотрудников, обрабатывается в необходимых процедурах уведомления Управления социального обеспечения (УСО), в первую очередь, в процессе создания личных дел сотрудников.
Информация о здоровье Медицинская справка обрабатывается врачом в целях, например, для проведения мероприятий по оказанию экстренной помощи в рамках юридической ответственности за пациентов и обеспечения соответствия проводимых мероприятий законодательству. Для сотрудников, субподрядчиков и стажеров она также обрабатывается в целях выполнения обязательств по охране труда и технике безопасности, помимо указанных целей. Данная информация обрабатывается для гостей в рамках процедур, проводимых врачом. Для сотрудников, сотрудников субподрядчиков и стажеров она обрабатывается в рамках создания личных и медицинских карт, процедур проведения периодических осмотров и процедур уведомления о несчастных случаях на производстве.
Информация о группе крови Данная информация может обрабатываться в отношении сотрудников, стажеров, стажеров профессиональных училищ, получателей юридических документов и уполномоченных лиц для таких целей, как ведение юридических процессов, управление чрезвычайными ситуациями в отношении сотрудников и обеспечение безопасности операций. Данная информация обрабатывается по мере ее включения в такие документы, как удостоверения личности, доверенности или циркуляры о подписях, которые необходимо получить в процессе подачи заявления [субъектом данных], в ходе судебного разбирательства и в процессе сделок с участием уполномоченных лиц компании. Кроме того, она обрабатывается при создании личных дел сотрудников для проведения экстренных процедур.
Информация об уголовных судимостях и мерах безопасности Данная информация обрабатывается, в частности, для выполнения обязательств, вытекающих из трудовых договоров и законодательства, а также для проведения кадровых процессов. Эта информация получается только от лиц, являющихся адресатами юридических процессов, и от субподрядчиков/сотрудников субподрядчиков. Данная информация подлежит обработке, поскольку она включена в судебные разбирательства. Кроме того, в случае, если компания нанимает работников-субподрядчиков, она обрабатывается в процессе регистрации персонала и отслеживания работы этих работников.

В соответствии со статьей 10 Закона, наша Компания информирует субъектов данных о целях обработки их особых категорий персональных данных. Особые категории персональных данных, обрабатываемые в рамках деятельности Компании, хранятся в течение периода, установленного соответствующим законодательством. В этом контексте особые категории персональных данных хранятся в течение сроков хранения, установленных в рамках вышеупомянутых положений.

Закон о защите персональных данных № 6698 Турецкий кодекс обязательств № 6098
Торговый код Турции № 6102 Закон о социальном обеспечении и общем медицинском страховании № 5510
Закон о налоге на добавленную стоимость № 3065 Закон о подоходном налоге № 193
Закон о корпоративном налоге № 5520 Закон о гербовом сборе № 488
Закон о государственных служащих № 657 Закон об охране труда и технике безопасности № 6361
Закон о праве на информацию № 4982 Закон об осуществлении права на подачу петиций № 3071
Закон о труде № 4857 Закон о высшем образовании № 2547
Закон о пенсионных фондах № 5434 Закон о социальных услугах № 2828
Закон о декларации личности № 1774 Положение о мерах по охране труда и технике безопасности, принимаемых в зданиях и пристройках на рабочих местах.
Закон о защите прав потребителей № 6502 Закон о профессиональном обучении № 3308
Закон Турции о создании агентств по трудоустройству № 4904 Закон о стимулировании туризма № 2634
Положение о квалификации туристических объектов Положение о реализации правил в отношении туристических объектов
Положение об архивных услугах Другие подзаконные акты, действующие в соответствии с настоящими законами.
Национальные/международные соглашения Регулирование деятельности туристических агентств

Как указано в регистрационном документе нашей компании в системе VERBIS, специальные категории персональных данных обрабатываются в следующих целях:

1. Выполнение процессов управления чрезвычайными ситуациями 2. Выполнение процессов обеспечения информационной безопасности
3. Проведение отбора и найма кандидатов на должности сотрудников / стажеров / студентов. 4. Проведение процедур отбора кандидатов на вакансии.
6. Исполнение обязательств, вытекающих из трудовых договоров и законодательства в отношении работников. 7. Осуществление процедур предоставления сотрудникам дополнительных прав и льгот.
8. Проведение аудита/этических мероприятий. 10. Выполнение разрешений доступа
11. Осуществление деятельности в соответствии с законодательством. 12. Выполнение работ по финансово-бухгалтерскому учету.
15. Выполнение процессов назначения заданий 16. Контроль и исполнение правовых обязательств.
17. Проведение внутреннего аудита / расследований / разведывательной деятельности. 18. Осуществление коммуникационных мероприятий
19. Планирование процессов управления человеческими ресурсами 20. Выполнение/аудит хозяйственной деятельности
21. Выполнение мероприятий по охране труда и технике безопасности. 25. Выполнение процессов закупки товаров/услуг
26. Оказание послепродажного обслуживания товаров/услуг. 27. Осуществление процессов продаж товаров/услуг
28. Выполнение производственных и технологических процессов товаров/услуг 29. Выполнение процессов управления взаимоотношениями с клиентами.
30. Выполнение мероприятий для удовлетворения потребностей клиентов. 33. Проведение процессов оценки эффективности работы
35. Выполнение процессов управления рисками 36. Выполнение операций по хранению и архивированию.
38. Исполнение договорных процедур 40. Выполнение мероприятий по стратегическому планированию
41. Рассмотрение запросов/жалоб 42. Обеспечение безопасности движимого имущества и ресурсов.
43. Выполнение процессов управления цепочкой поставок 44. Реализация политики в области заработной платы
46. Обеспечение безопасности операций контроллера данных 50. Предоставление информации уполномоченным лицам, учреждениям и организациям.
54. Выполнение соответствующих процедур путем получения таких документов, как удостоверение личности/доверенность и т. д. 54. Исполнение и проверка договорных процессов путем получения документов, удостоверяющих личность.
51. Выполнение управленческих мероприятий

Передача особых категорий персональных данных

Наша компания может передавать особые категории персональных данных третьим лицам в соответствии с условиями обработки данных, указанными в статьях 8 и 9 Закона о защите персональных данных (LPPD).


При передаче особых категорий персональных данных третьим лицам Компания обязана принимать меры безопасности, указанные в Решении Совета директоров. В данном контексте речь идет об особых категориях персональных данных;

  • В случаях передачи данных между серверами, находящимися в разных физических средах, передача осуществляется путем установления VPN-соединения между серверами или с помощью метода sFTP.
  • Если требуется передача данных на бумажных носителях, принимаются необходимые меры против таких рисков, как кража, потеря или несанкционированный просмотр документа, и документ отправляется в формате «конфиденциальных документов».

Хранение особых категорий персональных данных

Наша компания хранит особые категории персональных данных в соответствии с общими принципами и условиями обработки, подробно описанными выше. Что касается среды, где хранятся и/или к которой осуществляется доступ к особым категориям персональных данных, наша компания принимает меры безопасности, указанные в решении совета директоров. В этом контексте, административные и технические меры, принимаемые компанией для хранения особых категорий персональных данных, следующие:

  1. Обеспечивается безопасность сети и безопасность приложений.
  2. Для передачи персональных данных по сети используются сети закрытого типа.
  3. Внедрена система управления ключами.
  4. Принимаются меры безопасности в рамках закупок, разработки и обслуживания информационных технологических систем.
  5. Действуют дисциплинарные правила, включающие положения о защите данных сотрудников.
  6. Для сотрудников периодически проводятся тренинги и мероприятия по повышению осведомленности в области информационной безопасности.
  7. Для сотрудников разработана матрица полномочий.
  8. Журналы доступа ведутся регулярно.
  9. Разработаны и внедрены корпоративные политики в отношении доступа, информационной безопасности, использования, хранения и уничтожения информации.
  10. При необходимости применяются меры по маскированию данных.
  11. Подписываются соглашения о конфиденциальности.
  12. Уполномочения в этой области отзываются у сотрудников, в отношении которых происходит изменение должностных обязанностей или которые увольняются с работы.
  13. Используются современные антивирусные системы.
  14. Используются межсетевые экраны.
  15. Подписанные контракты содержат положения о защите данных.
  16. При передаче персональных данных на бумажных носителях принимаются дополнительные меры безопасности, а соответствующие документы отправляются в конфиденциальном формате.
  17. Разработаны политики и процедуры обеспечения безопасности персональных данных.
  18. О проблемах, связанных с безопасностью персональных данных, сообщается оперативно.
  19. Осуществляется мониторинг безопасности персональных данных.
  20. Принимаются необходимые меры безопасности в отношении входа и выхода из физических помещений, содержащих персональные данные.
  21. Обеспечивается защита физических сред, содержащих персональные данные, от внешних рисков (пожар, наводнение и т. д.).
  22. Обеспечивается безопасность сред, содержащих персональные данные.
  23. Объем персональных данных сведен к минимуму.
  24. Персональные данные резервируются, и обеспечивается безопасность этих резервных копий.
  25. Внедрена и контролируется система управления учетными записями пользователей и контроля авторизации.
  26. Проводятся и проводились периодические и/или выборочные внутренние проверки.
  27. Журналы событий ведутся таким образом, чтобы исключить вмешательство пользователя.
  28. Выявлены существующие риски и угрозы.
  29. Разработаны и внедрены протоколы и процедуры обеспечения безопасности особых категорий персональных данных.
  30. Если особые категории персональных данных должны быть отправлены по электронной почте, они должны быть отправлены в зашифрованном виде с использованием REM (Registered Electronic Mail) или корпоративного почтового ящика.
  31. Используются системы обнаружения и предотвращения вторжений.
  32. Проводится тестирование на проникновение.
  33. Приняты меры кибербезопасности, и их реализация постоянно контролируется.
  34. Выполняется шифрование.
  35. Особые категории персональных данных, передаваемых с помощью портативных носителей памяти, компакт-дисков или DVD-дисков, передаются в зашифрованном виде.
  36. Обеспечивается периодическая проверка поставщиков услуг по обработке данных на предмет безопасности данных.
  37. Обеспечивается осведомленность поставщиков услуг по обработке данных о безопасности данных.
  38. Используется программное обеспечение для предотвращения потери данных.

Публикация и хранение Политики

Данная политика может быть опубликована в двух различных форматах: в виде подписанного собственноручно (печатного) экземпляра и в электронном виде, а также может быть размещена на интернет-странице для всеобщего ознакомления. Печатный экземпляр хранится в отделе кадров и в соответствующем архиве.

Период обновления политики

Политика пересматривается по мере необходимости, и необходимые разделы обновляются.

Принудительное исполнение и отмена полиса

Считается, что Политика вступила в силу с момента ее публикации. В случае принятия решения об ее отмене, старые экземпляры Политики с собственноручной подписью аннулируются (проставлением штампа «аннулировано» или надписью «аннулировано») и подписываются отделом кадров, после чего хранятся в отделе кадров в течение как минимум 5 лет. Политика помечается как «аннулированная» в используемой системе управления отелем.