PERSONENBEZOGENE DATEN AUFBEWAHRUNGS- UND ENTSORGUNGSRICHTLINIE (KONFORM MIT KVKK & DSGVO)
1. EINFÜHRUNG UND ZWECK DER RICHTLINIE
Die Richtlinie zur Aufbewahrung und Vernichtung von personenbezogenen Daten („Richtlinie“) wurde von Kalif Mimarlık Mühendislik Proje Yapı Taahhüt Üretim İthalat İhracat ve San. Ltd. Şti. („KALİF DESIGN“ oder das „UNTERNEHMEN“) erstellt, um die Verfahren und Grundsätze bezüglich der durchgeführten Aufbewahrungs- und Vernichtungsaktivitäten festzulegen.
Das Unternehmen zielt darauf ab, sicherzustellen, dass die personenbezogenen Daten aller relevanten Personen – einschließlich der Mitarbeiter des Unternehmens, Kunden, Lieferanten, Bewerber, Mitglieder und Besucher – in Übereinstimmung mit dem Gesetz Nr. 6698 über den Schutz personenbezogener Daten („Gesetz/KVKK“) und den einschlägigen Rechtsvorschriften verarbeitet werden und dass die betroffenen Personen ihre Rechte wirksam ausüben können.
Alle Prozesse bezüglich der Aufbewahrung und Vernichtung von personenbezogenen Daten werden vom Unternehmen in Übereinstimmung mit dieser Richtlinie durchgeführt.
2. GELTUNGSBEREICH
Diese Richtlinie deckt die personenbezogenen Daten von ab:
- Mitarbeitern des Unternehmens
- Bewerbern
- Kunden
- Lieferanten
- Mitgliedern
- Besuchern
- In Rechtsstreitigkeiten verwickelten Personen
- Anderen Dritten
Diese Richtlinie gilt für alle Aufnahmeumgebungen, die im Besitz des Unternehmens sind oder von diesem verwaltet werden, in denen personenbezogene Daten verarbeitet werden, sowie für alle Verarbeitungstätigkeiten personenbezogener Daten.
3. DEFINITIONEN
Abkürzung — Definition
Ausdrückliche Einwilligung: Einwilligung, die freiwillig, auf der Grundlage von Informationen und bezogen auf einen bestimmten Gegenstand erteilt wird.
Relevanter Benutzer: Personen, die personenbezogene Daten innerhalb der Organisation des Datenverantwortlichen (oder unter der vom Datenverantwortlichen erhaltenen Autorität/Anweisung) verarbeiten, mit Ausnahme der Person/Einheit, die für die technische Speicherung, den Schutz und die Sicherung der Daten verantwortlich ist.
Entsorgung (Disposal): Löschung, Vernichtung oder Anonymisierung von personenbezogenen Daten.
Gesetz / KVKK / DSGVO: Gesetz Nr. 6698 über den Schutz personenbezogener Daten und die EU-Datenschutz-Grundverordnung.
Aufnahmeumgebung: Jede Umgebung, in der personenbezogene Daten vollständig oder teilweise durch automatisierte Mittel oder durch nicht-automatisierte Mittel verarbeitet werden, sofern sie Teil eines Datenerfassungssystems sind.
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verarbeitung personenbezogener Daten: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie das Erheben, Erfassen, Speichern, Aufbewahren, Ändern, Umstrukturieren, Offenlegen, Übertragen, Übernehmen, Bereitstellen, Klassifizieren oder das Verhindern der Nutzung, durch vollständig oder teilweise automatisierte Mittel oder nicht-automatisierte Mittel als Teil eines Datenerfassungssystems.
Anonymisierung personenbezogener Daten: Das Unmöglichmachen der Zuordnung personenbezogener Daten zu einer identifizierten oder identifizierbaren natürlichen Person, selbst wenn diese mit anderen Daten abgeglichen werden.
Löschung personenbezogener Daten: Das Unzugänglichmachen und Unbrauchbarmachen personenbezogener Daten für relevante Benutzer in jeglicher Weise.
Vernichtung von personenbezogenen Daten: Das Unmöglichmachen für jedermann, auf personenbezogene Daten zuzugreifen, diese wiederherzustellen oder in jeglicher Weise wiederzuverwenden. Dies entspricht im Allgemeinen dem „Recht auf Löschung“ gemäß DSGVO.
Gremium / Aufsichtsbehörde: Der Datenschutzausschuss (Türkei) und die zuständigen Datenschutzbehörden (EU).
Besondere Kategorien personenbezogener Daten: Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion/Sekte/andere Überzeugungen, Kleidung, Mitgliedschaft in Vereinigungen/Stiftungen/Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen, biometrische und genetische Daten.
Periodische Entsorgung: Wiederkehrende Löschung, Vernichtung oder Anonymisierung, die von Amts wegen in den in der Aufbewahrungs- und Vernichtungsrichtlinie festgelegten Intervallen durchgeführt wird, wenn alle Bedingungen für die Verarbeitung personenbezogener Daten entfallen.
VERBIS: Das Datenerfassungssystem, in dem personenbezogene Daten strukturiert nach bestimmten Kriterien verarbeitet werden.
Betroffene Person / Relevante Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.
Datenverantwortlicher: Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenerfassungssystems verantwortlich ist.
Verordnung: Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, veröffentlicht im Amtsblatt am 28. Oktober 2017.
4. AUFNAHMEUMGEBUNGEN
Die personenbezogenen Daten relevanter Personen werden vom Unternehmen sicher in den unten aufgeführten Umgebungen gespeichert, primär in Übereinstimmung mit dem KVKK und den einschlägigen Rechtsvorschriften, im Rahmen internationaler Datensicherheitsgrundsätze.
Elektronische Umgebungen:
Unternehmenscomputer
E-Mail-Server
Tragbare Speichergeräte
Buchhaltungssoftware
Social-Media-Konten
Telefongeräte
Nicht-elektronische Umgebungen:
Papierdokumente und Akten
Schriftliche, gedruckte und visuelle Medien
Verschlossene Schränke
5. GRUNDSÄTZE
Das Unternehmen handelt bei der Aufbewahrung und Entsorgung personenbezogener Daten nach folgenden Grundsätzen:
Bei der Löschung, Vernichtung und Anonymisierung personenbezogener Daten handelt das Unternehmen in voller Übereinstimmung mit dem Gesetz, den einschlägigen Rechtsvorschriften, den Entscheidungen des Gremiums und dieser Richtlinie.
Bei der Verarbeitung personenbezogener Daten schützt das Unternehmen die Rechte der betroffenen Personen. Die Erhebung und Verarbeitung personenbezogener Daten erfolgt im Einklang mit den allgemeinen Grundsätzen gemäß Artikel 4 der KVKK und Artikel 5 der DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten).
Alle Entsorgungsvorgänge werden vom Unternehmen aufgezeichnet, und diese Aufzeichnungen werden 10 (zehn) Jahre lang aufbewahrt, vorbehaltlich anderer gesetzlicher Verpflichtungen.
Sofern vom Unternehmen nicht anders beschlossen, wählt das Unternehmen die geeignete Entsorgungsmethode aus. Auf Anfrage der betroffenen Person wird die gewählte Methode jedoch mit Begründung erläutert.
Wenn alle Bedingungen für die Verarbeitung personenbezogener Daten gemäß den Artikeln 5 und 6 des Gesetzes entfallen, werden personenbezogene Daten von Amts wegen durch das Unternehmen oder auf Antrag der betroffenen Person entsorgt. Im Falle eines Antrags der betroffenen Person:
Anträge werden spätestens innerhalb von 30 (dreißig) Tagen abgeschlossen und die betroffene Person wird informiert.
Wurden die betreffenden Daten an Dritte übermittelt, wird der Dritte benachrichtigt und es wird sichergestellt, dass die erforderlichen Maßnahmen aufseiten des Dritten ergriffen werden.
6. ERLÄUTERUNGEN ZUR AUFBEWAHRUNG UND ENTSORGUNG
Personenbezogene Daten, die vom Unternehmen verarbeitet werden, werden sicher in elektronischen und/oder nicht-elektronischen Umgebungen innerhalb der durch das KVKK und andere einschlägige Rechtsvorschriften festgelegten Grenzen gespeichert, basierend auf Rechtsgrundlagen wie: ausdrückliche Bestimmung in Gesetzen, Notwendigkeit zur Begründung/Erfüllung eines Vertrags, Erfüllung rechtlicher Verpflichtungen des Datenverantwortlichen, Notwendigkeit zur Begründung/Ausübung/zum Schutz eines Rechts, Notwendigkeit für berechtigte Interessen ohne Beeinträchtigung der Grundrechte und Grundfreiheiten sowie ausdrückliche Einwilligung.
6.1 ERLÄUTERUNGEN ZUR AUFBEWAHRUNG
Die Aufbewahrungsfristen für personenbezogene Daten, die vom Unternehmen verarbeitet werden, werden unter Berücksichtigung des Grundsatzes in Artikel 4/2(d) KVKK bestimmt: „Aufbewahrung für den in den einschlägigen Rechtsvorschriften vorgesehenen Zeitraum oder so lange, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist.“
Detaillierte Erläuterungen zur Aufbewahrung und Entsorgung finden Sie unten.
6.1.1 RECHTSGRUNDLAGEN, DIE EINE AUFBEWAHRUNG ERFORDERN
Personenbezogene Daten, die im Rahmen der Tätigkeit des Unternehmens verarbeitet werden, werden für die in den einschlägigen Rechtsvorschriften vorgesehenen Zeiträume aufbewahrt. Dementsprechend werden personenbezogene Daten im Rahmen der erforderlichen Aufbewahrungsfristen aufbewahrt, einschließlich, aber nicht beschränkt auf:
EU-Datenschutz-Grundverordnung (DSGVO/GDPR)
Gesetz Nr. 6698 über den Schutz personenbezogener Daten
Türkisches Obligationenrecht Nr. 6098
Gesetz Nr. 6563 zur Regelung des elektronischen Geschäftsverkehrs
Verbraucherschutzgesetz Nr. 6502
Steuerverfahrensgesetz Nr. 213
Türkisches Handelsgesetzbuch Nr. 6102
Einkommensteuergesetz Nr. 193
Arbeitsgesetz Nr. 4857
Strafprozessordnung Nr. 5271
Anwaltsgesetz Nr. 1136
Gesetz über Sozialversicherungen und allgemeine Krankenversicherung Nr. 5510
Gesetz über Arbeitsschutz und Arbeitssicherheit Nr. 6331
Zivilprozessordnung Nr. 6100
Türkisches Zivilgesetzbuch Nr. 4721
Gesetz Nr. 5651 zur Regelung von Veröffentlichungen im Internet und zur Bekämpfung von durch solche Veröffentlichungen begangenen Straftaten
Verordnung über kommerzielle Kommunikation und kommerzielle elektronische Nachrichten
Sonstige derzeit geltende Sekundärgesetzgebung
6.1.2 VERARBEITUNGSZWECKE, DIE EINE AUFBEWAHRUNG ERFORDERN
Das Unternehmen bewahrt personenbezogene Daten für die folgenden Zwecke auf (einschließlich, aber nicht beschränkt auf):
Erfüllung rechtlicher Verpflichtungen aus einschlägigen Rechtsvorschriften (z. B. E-Commerce, Verbraucherrecht, Steuerrecht, Arbeitsrecht, Arbeitsschutzrecht, Sozialversicherung usw.)
Durchführung von Einkaufs-/Bestellvorgängen
Durchführung von Mitgliedschaftsprozessen
Bereitstellung eines Dienstes zur Anzeige der Kaufhistorie
Bewertung von Anfragen
Verwaltung von Vertragsprozessen
Versenden von E-Rechnungen/E-Archiv-Rechnungen im Zusammenhang mit Käufen
Ausstellung von Rechnungen und in einigen Fällen Durchführung von Kontokorrent- und Abstimmungstransaktionen
Erfüllung von Verpflichtungen für Produkte mit bestimmten gesetzlichen Schwellenwerten oder Vorschriften
Durchführung operativer Nachverkaufsprozesse
Bereitstellung von After-Sales-Support-Diensten
Lieferung gekaufter Produkte per Fracht/Versand
Verwaltung von Produktrückgabe- und Rückerstattungsprozessen
Wenn die Erlaubnis zur kommerziellen Kommunikation/ausdrückliche Einwilligung erteilt wurde: Durchführung allgemeiner oder personalisierter Kampagnen, Vorteile, Werbeaktionen, Werbung, Informationen, Marketingaktivitäten und kommerzielle Kommunikation (SMS, E-Mail usw.)
Lösung von Problemen/Beschwerden/Anfragen, die über Kommunikationskanäle (Callcenter, E-Mail, Website, mobile App, soziale Medien usw.) eingereicht wurden, und Kontaktaufnahme mit dem Kunden bei Bedarf
Ausübung aller Rechte (Klagen, Antworten, Einsprüche) gegen offizielle Institutionen (Gerichte, Vollstreckungsämter, Schiedsausschüsse usw.) bei Streitigkeiten; Durchführung von Verhandlungs- und Vergleichsprozessen
Verfolgung von Klagen und rechtlichen Verfahren
Dienen als Beweismittel im Rahmen von Sicherheit, Überprüfung, Ermittlung und rechtlichen Verfahren
Durchführung von Aktivitäten in Übereinstimmung mit den Rechtsvorschriften
Erfüllung von Verpflichtungen und Prozessen aus Arbeitsverträgen
Erstellung von Personalakten
Verfolgung der gesetzlichen Rechte der Arbeitnehmer
Feststellung, ob Mitarbeiter medizinisch geeignet sind (soweit anwendbar und rechtmäßig)
Durchführung von Kommunikationsaktivitäten
Ausstellung von Gehaltsabrechnungen und Zahlung von Gehältern
An-/Abmeldungen zur Sozialversicherung
Verwaltung von Urlaubsprozessen
Durchführung von Schulungs- und Informationsaktivitäten für Mitarbeiter
Bereitstellung notwendiger Unterstützung im Falle von Blutspendebedarf
Durchführung periodischer ärztlicher Untersuchungen durch den Betriebsarzt
Erfassung von Arbeitszeiten und Stundennachweisen
Verwaltung und Verfolgung von Projekten
Verwaltung von Zuweisungsprozessen
Verwaltung von Notfallprozessen
Entgegennahme von Bewerbungen für offene Stellen
Überprüfung und Bewertung der beruflichen Qualifikationen von Bewerbern
Verwaltung von Bewertungsprozessen für Kandidaten
Kontaktaufnahme mit Kandidaten
Verwaltung von Beschaffungsprozessen und Nachverfolgung
Buchhalterische Nachverfolgung von Lieferantenzahlungen
Verwaltung von Lieferantenbeziehungen
Durchführung der Kommunikation mit Lieferanten
Aktualisierung von Lieferanteninformationen
Durchführung von Zahlungsprozessen
Bereitstellung von Informationen an autorisierte öffentliche Institutionen und Organisationen
6.2 GRÜNDE, DIE EINE ENTSORGUNG ERFORDERN
Personenbezogene Daten werden vom Unternehmen von Amts wegen oder auf Antrag der betroffenen Person gelöscht, vernichtet oder anonymisiert in Fällen wie:
Änderung oder Aufhebung relevanter gesetzlicher Bestimmungen, die die Grundlage für die Verarbeitung/Aufbewahrung bilden
Der Zweck, der die Verarbeitung/Aufbewahrung erfordert, besteht nicht mehr
Die Bedingungen für die Verarbeitung gemäß den Artikeln 5 und 6 der KVKK sowie den Artikeln 6 und 9 der DSGVO entfallen.
Wenn die Verarbeitung ausschließlich auf einer ausdrücklichen Einwilligung beruht und die betroffene Person ihre Einwilligung widerruft
Annahme eines Antrags auf Löschung/Vernichtung gemäß Artikel 11 KVKK durch das Unternehmen
Ablehnung des Antrags der betroffenen Person durch den Datenverantwortlichen, unzureichende Antwort oder Nichtbeantwortung innerhalb der gesetzlichen Frist, gefolgt von einer Beschwerde beim Gremium und der Annahme des Antrags durch das Gremium
Ablauf der maximalen Aufbewahrungsfrist ohne Bedingung, die eine längere Aufbewahrung rechtfertigt
7. ERGRIFFENE ADMINISTRATIVE UND TECHNISCHE MASSNAHMEN
Um die sichere Speicherung personenbezogener Daten zu gewährleisten, unrechtmäßige Verarbeitung/Zugriffe zu verhindern und eine rechtmäßige Entsorgung sicherzustellen, ergreift das Unternehmen technische und administrative Maßnahmen gemäß Artikel 12 KVKK und, für besondere Kategorien von Daten, im Rahmen der angemessenen Maßnahmen, die vom Gremium gemäß Artikel 6/4 KVKK bekannt gegeben wurden.
7.1 ADMINISTRATIVE MASSNAHMEN
Im Rahmen der administrativen Maßnahmen:
Erfüllt das Unternehmen seine Verpflichtung, betroffene Personen zu informieren, bevor es mit der Verarbeitung personenbezogener Daten beginnt
Erstellt Bestandsverzeichnisse personenbezogener Daten und bestimmt bestehende Risiken und Bedrohungen
Beschränkt den internen Zugriff auf gespeicherte personenbezogene Daten auf Personal, das basierend auf der Stellenbeschreibung Zugriff benötigt (unter Berücksichtigung, ob es sich um Daten besonderer Kategorien handelt und deren Wichtigkeitsgrad)
Hat eine „Richtlinie und einen Plan zur Reaktion auf Vorfälle bei Verletzung des Schutzes personenbezogener Daten“ erstellt und benachrichtigt die betroffene Person und das Gremium so schnell wie möglich (innerhalb von 72 Stunden), wenn Daten unrechtmäßig von anderen erlangt werden
Unterzeichnet Verträge mit Dritten (natürliche/juristische Personen), an die personenbezogene Daten übermittelt werden, oder gewährleistet Datensicherheit durch Vertragsklauseln
Beschäftigt Personal, das kenntnisreich und erfahren in der Verarbeitung personenbezogener Daten ist, und bietet notwendige Schulungen zu Datenschutzgesetzen und Datensicherheit an
Wenn Verstöße festgestellt werden, wird die Angelegenheit unverzüglich vom Vorgesetzten des jeweiligen Mitarbeiters gemeldet; die HR-Abteilung führt eine Bewertung durch und es werden notwendige Maßnahmen ergriffen
Legt disziplinarische Regelungen fest, die Datensicherheitsbestimmungen für Mitarbeiter enthalten
Führt in bestimmten Abständen Schulungs- und Sensibilisierungsaktivitäten zu Informations- und Datensicherheit durch
Erstellt und implementiert Unternehmensrichtlinien zu Zugriff, Informationssicherheit, Nutzung, Aufbewahrung und Entsorgung
Holt Vertraulichkeitsverpflichtungen ein
Fügt Klauseln zur Sicherheit personenbezogener Daten in Verträge und Arbeitsverträge ein
Führt regelmäßige und stichprobenartige interne Audits durch
Bestimmt und implementiert Richtlinien und Verfahren für die Sicherheit von Daten besonderer Kategorien
Minimiert personenbezogene Daten so weit wie möglich
Nimmt Klauseln zum Schutz personenbezogener Daten in Arbeitsverträge auf
Erstellt einen KVKK-Warntext zur Verwendung in Unternehmens-E-Mails
7.2 TECHNISCHE MASSNAHMEN
Im Rahmen der technischen Maßnahmen:
Widerruft das Unternehmen Berechtigungen für Mitarbeiter, deren Aufgaben sich ändern oder die das Unternehmen verlassen
Verwendet Firewalls
Ergreift zusätzliche Sicherheitsmaßnahmen für personenbezogene Daten, die über Papier übertragen werden, und versendet Dokumente in vertraulichkeitsgestuftem Format
Ergreift notwendige Sicherheitsmaßnahmen für den Ein-/Ausgang zu physischen Umgebungen, die personenbezogene Daten enthalten
Gewährleistet den Schutz physischer Umgebungen vor externen Risiken (Feuer, Überschwemmung usw.)
Gewährleistet die Sicherheit von Umgebungen, die personenbezogene Daten enthalten
Führt Backups durch und gewährleistet die Sicherheit der gesicherten personenbezogenen Daten
Wendet Benutzerkontenverwaltungs- und Berechtigungskontrollsysteme an und überwacht diese
Setzt eine Passwortrichtlinie durch, die starke/komplexe Passwörter von mindestens 8 Zeichen, einschließlich Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen, erfordert
9. ENTSORGUNG PERSONENBEZOGENER DATEN
Das Unternehmen bewahrt personenbezogene Daten für den in den einschlägigen Rechtsvorschriften vorgesehenen Zeitraum oder so lange auf, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. In diesem Zusammenhang wird zunächst festgestellt, ob in den einschlägigen Rechtsvorschriften eine Aufbewahrungsfrist vorgeschrieben ist. Wenn eine Frist angegeben ist, wird diese eingehalten. Wenn nicht angegeben, werden die Daten so lange aufbewahrt, wie es für den Verarbeitungszweck erforderlich ist.
Wenn der Zeitraum endet oder die Gründe, die eine Verarbeitung erfordern, entfallen – und wenn es keine Rechtsgrundlage gibt, die eine längere Verarbeitung erlaubt – werden personenbezogene Daten vom Unternehmen gemäß dieser Richtlinie gelöscht, vernichtet oder anonymisiert.
Wo eine vertragliche Beziehung besteht, beginnen die Aufbewahrungsfristen, nachdem die vertraglichen Verpflichtungen der Parteien enden; bei anderen Aktivitäten, nachdem die Transaktion abgeschlossen ist und ein endgültiges Ergebnis erzielt wurde.
Wenn ein Rechtsstreit oder ein Klageprozess vorliegt, werden personenbezogene Daten aufbewahrt, bis der rechtliche Prozess abgeschlossen ist.
Hinweis zum DSGVO-Kontext: Während die türkische Gesetzgebung die Entsorgung spezifisch in „Löschen, Vernichten veya Anonymisieren“ kategorisiert, gewährleisten diese Maßnahmen im Sinne der DSGVO gemeinsam die Erfüllung der Verpflichtung zur „Löschung“ personenbezogener Daten (Recht auf Löschung / Recht auf Vergessenwerden), wenn eine Aufbewahrung nicht mehr erforderlich ist.
10. ENTSORGUNGSTECHNIKEN FÜR PERSONENBEZOGENE DATEN
Am Ende der Aufbewahrungsfrist werden personenbezogene Daten vom Unternehmen von Amts wegen oder auf Antrag der betroffenen Person in Übereinstimmung mit den einschlägigen Rechtsvorschriften unter Verwendung der untenstehenden Techniken entsorgt.
Sofern vom Gremium nicht anders entschieden, wählt das Unternehmen die geeignete Methode der Löschung, Vernichtung oder Anonymisierung von Amts wegen aus. Wenn von der betroffenen Person gewünscht, wählt das Unternehmen die geeignete Methode aus, indem es seine Begründung erläutert.
Alle Transaktionen bezüglich Löschung, Vernichtung oder Anonymisierung werden aufgezeichnet, und diese Aufzeichnungen werden 10 (zehn) Jahre lang aufbewahrt, vorbehaltlich anderer gesetzlicher Verpflichtungen.
10.1 LÖSCHUNG PERSONENBEZOGENER DATEN
Löschung personenbezogener Daten bedeutet, personenbezogene Daten für relevante Benutzer in jeglicher Weise unzugänglich und unbrauchbar zu machen. Der Datenverantwortliche ist verpflichtet, alle notwendigen technischen und administrativen Maßnahmen zu ergreifen, um dies sicherzustellen.
„Relevanter Benutzer“ wird in der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, Artikel 4(b) definiert als: Personen, die personenbezogene Daten innerhalb der Organisation des Datenverantwortlichen oder unter der vom Datenverantwortlichen erhaltenen Autorität/Anweisung verarbeiten, mit Ausnahme der Person/Einheit, die für die technische Speicherung, den Schutz und die Sicherung verantwortlich ist.
Methoden der Löschung (Zusammenfassung):
Personenbezogene Daten auf Servern: Für Daten, deren Aufbewahrungsfrist abgelaufen ist, erfolgt die Löschung durch Entfernen der Zugriffsberechtigungen relevanter Benutzer durch den Systemadministrator.
Daten in elektronischer Umgebung: Für Daten, deren Aufbewahrungsfrist abgelaufen ist, werden diese für alle Mitarbeiter außer dem Datenbankadministrator unzugänglich und unbrauchbar gemacht.
Daten in physischer Umgebung: Für papierbasierte Daten, deren Aufbewahrungsfrist abgelaufen ist, werden diese für Mitarbeiter außer dem für Archive verantwortlichen Abteilungsleiter unzugänglich und unbrauchbar gemacht.
Personenbezogene Daten auf tragbaren Medien: Auf Flash-basierten Medien gespeicherte Daten, deren Aufbewahrungsfrist abgelaufen ist, werden vom Systemadministrator verschlüsselt, der Zugriff wird nur auf den Systemadministrator beschränkt, und Verschlüsselungsschlüssel werden sicher aufbewahrt.
10.2 VERNICHTUNG PERSONENBEZOGENER DATEN
Vernichtung personenbezogener Daten bedeutet, es für jedermann unmöglich zu machen, auf personenbezogene Daten zuzugreifen, diese wiederherzustellen oder in jeglicher Weise wiederzuverwenden. Der Datenverantwortliche ist verpflichtet, alle notwendigen technischen und administrativen Maßnahmen zu ergreifen.
Methoden der Vernichtung (Zusammenfassung):
Daten in physischer Umgebung: Papierbasierte personenbezogene Daten, deren Aufbewahrungsfrist abgelaufen ist, werden irreversibel unter Verwendung von Aktenvernichtern vernichtet.
Daten auf optischen/magnetischen Medien: Daten auf optischen und magnetischen Medien, deren Aufbewahrungsfrist abgelaufen ist, werden physisch vernichtet (z. B. Schmelzen, Verbrennen, Pulverisieren). Zusätzlich werden magnetische Medien einem hohen Magnetfeld unter Verwendung spezieller Geräte ausgesetzt, um die Daten unlesbar zu machen.
10.3 ANONYMISIERUNG PERSONENBEZOGENER DATEN
Anonymisierung bedeutet, das Unmöglichmachen der Zuordnung personenbezogener Daten zu einer identifizierten oder identifizierbaren natürlichen Person, selbst wenn diese mit anderen Daten abgeglichen werden.
Damit Daten als anonymisiert gelten, darf es nicht möglich sein, eine Person erneut zu identifizieren, selbst unter Verwendung von Techniken, die für die Aufnahmeumgebung und den Tätigkeitsbereich geeignet sind, wie z. B. Rückgängigmachen durch den Datenverantwortlichen oder Dritte und/oder Abgleich mit anderen Daten.
Der Datenverantwortliche ist verpflichtet, alle notwendigen technischen und administrativen Maßnahmen bezüglich der Anonymisierung zu ergreifen.
Das Unternehmen berücksichtigt auch die von der Behörde veröffentlichte „Leitlinie zur Löschung, Vernichtung oder Anonymisierung personenbezogener Daten“ und wählt geeignete Beispiele aus dieser Leitlinie aus.
11. AUFBEWAHRUNGS- UND ENTSORGUNGSFRISTEN
Bezüglich personenbezogener Daten, die im Rahmen der Aktivitäten des Unternehmens verarbeitet werden:
Personenbezogene Daten-basierte Aufbewahrungsfristen für alle personenbezogenen Daten innerhalb von Aktivitäten, die von Prozessen abhängen, sind im Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten enthalten.
Prozessbasierte Aufbewahrungsfristen sind in der Richtlinie zur Aufbewahrung und Vernichtung von personenbezogenen Daten enthalten.
Aufbewahrungsfristen können vom Unternehmen bei Bedarf aktualisiert werden.
Für personenbezogene Daten, deren Aufbewahrungsfristen abgelaufen sind, wird die Löschung, Vernichtung oder Anonymisierung vom Unternehmen von Amts wegen durchgeführt.
Prozessbasierte Aufbewahrungs- & Entsorgungsfristen (Zusammenfassung):
Personalakten der Mitarbeiter / Gehaltszahlungen: 10 Jahre ab Ende des Vertrags/Rechtsgeschäfts → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
Bewerbungen über Kariyer.net: 1 Jahr → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
Kundendaten für eingehende Bestellungen / Rechnungen / Quittungen: 10 Jahre ab Ende der Rechtsbeziehung → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
Daten von Arbeitsschutzspezialisten & Betriebsärzten (Dienstleistungsbeschaffung): 10 Jahre ab Ende der Rechtsbeziehung → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
Periodische Untersuchungen durch den Betriebsarzt / Arbeitsschutzaktivitäten: 15 Jahre nach Beendigung des Arbeitsverhältnisses → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
Individuelle Lieferanten & Einzelunternehmer-Lieferanten / Rechnungen: 10 Jahre → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
Rechtsstreitigkeiten/Vollstreckungs-/Mediationsakten: 10 Jahre nach endgültigem Abschluss des Falls → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
CCTV-Aufzeichnungen (Videoüberwachung): 7 Tage → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
Marketing-E-Mails: 2 Jahre → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung
12. PERIODISCHER ENTSORGUNGSZEITRAUM
Gemäß Artikel 11 der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten und zur Einhaltung des Grundsatzes der „Speicherbegrenzung“ (Storage Limitation) der DSGVO hat das Unternehmen den Zeitraum für die periodische Entsorgung auf 6 Monate festgelegt. Dementsprechend wird die periodische Entsorgung jedes Jahr im Juni und Dezember durchgeführt.
13. VERÖFFENTLICHUNG UND AUFBEWAHRUNG DER RICHTLINIE
Die Richtlinie wird in zwei Formaten veröffentlicht: nass unterzeichnet (gedrucktes Papier) und elektronisch. Sie wird auf der Website des Unternehmens der Öffentlichkeit zugänglich gemacht. Die gedruckte Papierkopie wird ebenfalls vom Unternehmen aufbewahrt.
14. AKTUALISIERUNGSHÄUFIGKEIT DER RICHTLINIE
Die Richtlinie wird vom Unternehmen bei Bedarf überprüft, und notwendige Abschnitte werden aktualisiert.
15. INKRAFTTRETEN UND AUFHEBUNG
Die Richtlinie gilt als in Kraft getreten, nachdem sie auf der Website des Unternehmens veröffentlicht wurde.
Wenn beschlossen wird, die Richtlinie aufzuheben, wird die alte nass unterzeichnete Kopie vom Unternehmen annulliert (durch Stempeln von „annulliert“ oder Schreiben der Annullierung) und unterzeichnet und aufbewahrt.