I. Finalidad y Alcance de la Política

Gürok Turizm ve Madencilik A.Ş. (en adelante, “Gürok”), sociedad anónima sujeta al Código de Comercio Turco n.º 6102, tiene como objetivo el pleno cumplimiento de todas las normativas legales relativas a la protección y el tratamiento lícito de datos personales como responsable del tratamiento.

El objetivo de esta Política de Almacenamiento y Destrucción de Datos Personales (la “Política”), elaborada en virtud del artículo 16 de la Ley de Protección de Datos Personales n.º 6698 y del artículo 5 del Reglamento sobre la Supresión, Destrucción o Anonimización de Datos Personales, es determinar los plazos de almacenamiento requeridos y los estándares mínimos que deben aplicarse en la destrucción de datos personales de personas, empleados, candidatos a empleados y otros terceros que reciben productos o servicios procesados ​​por Gürok.

Esta Política constituye la base para determinar el plazo máximo requerido para el tratamiento de los datos personales procesados ​​por Gürok, responsable del tratamiento, así como para el proceso de supresión, destrucción y anonimización. Esta Política se aplica a todas las unidades, procesos y relaciones comerciales con terceros de Gürok. Esta Política se aplica a todos los directivos, empleados, consultores y proveedores de servicios de la Compañía que puedan recopilar, procesar o acceder a datos (incluidos datos personales y/o datos personales especiales).

Esta Política se aplica a todos los datos personales e información recopilada por la Compañía. Los medios de registro y/o documentos electrónicos y no electrónicos regulados por esta Política y que contienen datos personales son los siguientes:

o Servidores (dominio, copia de seguridad, correo electrónico, base de datos, web, intercambio de archivos, etc.)

o Software (software de oficina, portal, etc.)

o Dispositivos de seguridad de la información (cortafuegos, detección y prevención de intrusiones, archivo de registro, antivirus, etc.)

o Ordenadores personales (de escritorio, portátiles)

o Dispositivos móviles (teléfono, tableta, etc.)

o Discos ópticos (CD, DVD, Blu-ray, etc.)

o Memorias extraíbles (USB, tarjeta de memoria, memoria portátil, etc.)

o Impresora, escáner, fotocopiadora.

o Información y documentos en medios impresos,

o Grabaciones de vídeo y audio,

o Datos generados por sistemas de control de acceso físico.

II. Legislación y otros documentos relevantes

o Ley n.° 6698 sobre la Protección de Datos Personales

o Reglamento sobre la Supresión, Destrucción o Anonimización de Datos Personales, de 28 de octubre de 2017

o Reglamento sobre el Registro de Responsables del Tratamiento, de 30 de diciembre de 2017

o Comunicado sobre los Procedimientos y Principios que Deben Cumplirse en el Cumplimiento de la Obligación de Divulgación, de 10 de marzo de 2018

o Código Turco de Obligaciones, n.° 6098

o Ley Laboral, n.° 4857

o Ley de Seguridad Social y Seguro General de Salud, n.° 5510

o Ley de Seguridad y Salud en el Trabajo, n.° 6098 6361

Ley n.° 5651 sobre la Regulación de las Publicaciones en Internet y la Lucha contra los Delitos Cometidos a través de Dichas Publicaciones

Política de Gürok sobre la Protección y el Tratamiento de Datos Personales

Política de Gürok sobre el Tratamiento de Datos Personales Especiales

Política de Gürok para Escritorio y Pantalla Limpias

Procedimiento de Solicitud de Personas Relacionadas con Gürok KVKK

Procedimiento de Auditoría y Uso de Herramientas de Comunicación y TI para Empleados de Gürok

III. Definiciones

Los términos utilizados en esta Política tienen los siguientes significados:

Definición	Explicación
Grupo de Destinatarios	La categoría de personas físicas o jurídicas a las que el responsable del tratamiento transfiere los datos personales
Consentimiento Explícito	Consentimiento dado libremente, específico, informado e inequívoco en relación con un tema determinado
Anonimización	El proceso mediante el cual los datos personales no pueden asociarse con una persona física identificada o identificable, incluso mediante su vinculación con otros datos
Persona Interesada	La persona física cuyos datos personales son tratados
Usuario Relevante	Las personas que procesan datos personales dentro de la organización del responsable del tratamiento, excluyendo a quienes solo almacenan, mantienen o respaldan técnicamente los datos, o aquellas autorizadas por el responsable
Eliminación	La eliminación, destrucción o anonimización de los datos personales
Ley o KVKK	La Ley N.º 6698 sobre la Protección de Datos Personales
Medio de Registro	Cualquier medio en el que se procesen datos personales total o parcialmente por medios automatizados, o no automatizados siempre que formen parte de un sistema de archivo
Datos Personales	Cualquier información relacionada con una persona física identificada o identificable
Inventario de Procesamiento de Datos Personales	Inventario detallado que relaciona los procesos de tratamiento de datos personales del responsable con las finalidades del tratamiento, la categoría de datos, el grupo de destinatarios, el grupo de personas afectadas, el período de conservación, las transferencias internacionales y las medidas de seguridad
Tratamiento de Datos Personales	Cualquier operación realizada sobre los datos personales, como la recopilación, registro, almacenamiento, modificación, transferencia, uso o supresión, por medios automatizados o no automatizados como parte de un sistema de archivo
Consejo	Consejo de Protección de Datos Personales
Institución	Autoridad de Protección de Datos Personales
Datos Personales de Categoría Especial	Datos relativos a origen racial o étnico, opiniones políticas, creencias filosóficas o religiosas, afiliación sindical, salud, vida sexual, antecedentes penales, medidas de seguridad y datos biométricos/genéticos
Eliminación Periódica	El proceso periódico de eliminación, destrucción o anonimización realizado de oficio cuando dejan de existir las condiciones legales para el tratamiento de datos personales, según lo estipulado en la política de conservación y destrucción
Empresa o Gürok	Gürok Turizm ve Madencilik Anonim Şirketi
Encargado del Tratamiento	Persona física o jurídica que trata datos personales en nombre del responsable del tratamiento, con base en su autorización
Sistema de Registro de Datos	Sistema donde los datos personales se procesan organizadamente según ciertos criterios
Responsable del Tratamiento	La persona física o jurídica que determina los fines y medios del tratamiento de los datos personales y es responsable del establecimiento y gestión del sistema de registro
Sistema de Información del Registro de Responsables (VERBIS)	Sistema informático administrado por la Autoridad, accesible por internet, utilizado por los responsables para registrar y realizar otras acciones relacionadas con el Registro
Reglamento	Reglamento sobre la Eliminación, Destrucción o Anonimización de Datos Personales del 28 de octubre de 2017

 

IV. Principios Generales de Almacenamiento

Periodo de Almacenamiento

La Compañía define y actualiza el plazo de conservación de los documentos y registros electrónicos durante el período de almacenamiento de datos personales en la Tabla de Periodos de Almacenamiento y Destrucción del Anexo 1.

Salvo que se indique lo contrario en esta Política y sus anexos, los datos personales de las categorías del Inventario de Tratamiento de Datos Personales de la Compañía se conservan durante los periodos especificados en el Anexo 1 a partir de la fecha de obtención de los datos personales.

Excepcionalmente, los periodos de conservación de datos podrán extenderse en los siguientes casos:

o En caso de solicitud en investigaciones realizadas por autoridades oficiales o en casos en que las obligaciones o derechos legales de la Compañía así lo exijan;

o En casos en que sea necesario ejercer los derechos previstos en la legislación aplicable en litigios u otros procesos legales.

Al determinar el plazo máximo de conservación requerido para la finalidad del tratamiento de datos personales;

o El plazo aceptado por la costumbre general en el sector en el que opera la Empresa, en el marco de la finalidad del tratamiento de la categoría de datos pertinente.

o El plazo que requiere el tratamiento de los datos personales de la categoría de datos pertinente y la continuidad de la relación jurídica establecida con la persona en cuestión.

o El plazo durante el cual el interés legítimo que la Empresa obtenga, en función de la finalidad del tratamiento de la categoría de datos pertinente, será válido de conformidad con la ley y las normas de honestidad.

o El plazo durante el cual los riesgos, costes y responsabilidades derivados del almacenamiento de la categoría de datos pertinente, en función de la finalidad del tratamiento, continuarán legalmente.

o Si el plazo máximo que se determine es adecuado para mantener la exactitud y actualización de la categoría de datos pertinente cuando sea necesario.

o El plazo durante el cual la Empresa está obligada a conservar los datos personales de la categoría de datos pertinente debido a su obligación legal.

o Se tiene en cuenta el plazo de prescripción determinado por la Empresa para ejercer un derecho relacionado con los datos personales de la categoría de datos pertinente.

Al determinar e implementar los plazos máximos requeridos para la finalidad del tratamiento de datos personales, la Empresa supervisa el cumplimiento de dichos plazos con la información del Inventario de Tratamiento de Datos Personales de la Empresa y si se superan. En relación con los datos personales tratados por la Empresa en el ámbito de sus actividades:

o Los plazos de conservación de todos los datos personales en el ámbito de las actividades realizadas en función de los procesos se incluyen en el Inventario de Tratamiento de Datos Personales;

o Los plazos de conservación según las categorías de datos se incluyen en el registro VERBIS;

o Los plazos de conservación según el proceso se incluyen en la Política de Almacenamiento y Destrucción de Datos Personales.

Se actualizan dichos plazos de conservación si es necesario. Los datos personales cuyos plazos de conservación hayan expirado están sujetos a supresión, destrucción o anonimización de oficio.

Normas y precauciones de almacenamiento

Durante el proceso de almacenamiento de datos personales, se tiene en cuenta la posibilidad de deterioro del soporte de datos (escrito, digital, etc.) utilizado para el almacenamiento o archivo de los datos personales relevantes. Si se opta por el método de almacenamiento de datos personales en un entorno electrónico, el acceso es limitado y solo las personas autorizadas pueden acceder a los componentes de la red durante el periodo de almacenamiento.

Los datos personales almacenados en dispositivos o soportes impresos en la Empresa están protegidos mediante medidas de seguridad física contra amenazas como el robo o la pérdida de estos dispositivos y soportes. Asimismo, los entornos físicos donde se almacenan los datos personales también están protegidos contra riesgos externos (incendios, inundaciones, etc.) con métodos adecuados. Las entradas y salidas a estos entornos están controladas.

Se toman las mismas precauciones para los soportes impresos, electrónicos y dispositivos ubicados fuera de la Empresa que contienen datos personales pertenecientes a la misma.

Las medidas adoptadas por la Compañía para la seguridad de los datos personales procesados ​​se detallan a continuación:

o La Compañía detecta los riesgos, amenazas, vulnerabilidades y brechas, si las hubiera, en los sistemas de información mediante pruebas de penetración y toma las medidas necesarias.

o La Compañía monitorea constantemente los riesgos y amenazas que afectan la continuidad de los sistemas de información.

o El acceso a los sistemas de información y la autorización de usuarios se realizan mediante matrices de acceso y autorización y definiciones de seguridad.

o Se toman las medidas necesarias para la seguridad física de los equipos, software y datos de los sistemas de información de la Compañía.

o Para garantizar la seguridad de los sistemas de información frente a amenazas ambientales, se implementan medidas de hardware (sistema de control de acceso que permite el acceso exclusivo al personal autorizado a la sala de sistemas, sistema de monitorización 24/7, que garantiza la seguridad física de los conmutadores laterales que conforman la red de área local, sistema de extinción de incendios, sistema de aire acondicionado, etc.) y de software (cortafuegos, sistemas de prevención de ataques, control de acceso a la red, sistemas de bloqueo de malware, etc.).

o Se determinan los riesgos para prevenir el tratamiento ilícito de datos personales, se adoptan las medidas técnicas adecuadas contra estos riesgos y se llevan a cabo controles técnicos para las medidas adoptadas.

o Se establecen procedimientos de acceso dentro de la Empresa y se realizan informes y análisis sobre el acceso a los datos personales.

o Se registra el acceso a las áreas de almacenamiento donde se almacenan los datos personales y se controla el acceso indebido o los intentos de acceso.

o La Empresa toma las medidas necesarias para garantizar que los datos personales eliminados sean inaccesibles y no reutilizables para los usuarios correspondientes.

o En caso de que terceros obtengan datos personales de forma ilícita, la Empresa ha preparado el procedimiento del ANEXO 2 para notificar a la persona afectada y al Consejo de Administración, y se ha establecido un sistema e infraestructura en consecuencia.

o Se monitorizan las vulnerabilidades de seguridad, se instalan los parches de seguridad adecuados y los sistemas de información se mantienen actualizados.

o Se utilizan contraseñas seguras en los entornos electrónicos donde se procesan datos personales.

o Se utilizan sistemas seguros de registro en los entornos electrónicos donde se procesan datos personales.

Se utilizan programas de copia de seguridad para garantizar el almacenamiento seguro de los datos personales.

El acceso a los datos personales almacenados en medios electrónicos o no electrónicos está restringido según los principios de acceso.

Se ha establecido una política independiente para la seguridad de los datos personales especiales, denominada «Política de Tratamiento de Datos Personales Especiales».

V. Medidas de Seguridad de la Información

Las siguientes políticas y procedimientos sobre medidas, precauciones y medidas de seguridad de la información se han elaborado dentro de la Compañía y han sido aprobados y puestos en vigor por el Consejo de Administración de la Compañía:

Políticas:

1- Política de Seguridad de la Información

2- Política de Control de Acceso

3- Política de Red

4- Política de Controles Criptográficos y Gestión de Claves

5- Política de Desarrollo de Sistemas Seguros

6- Política de Teletrabajo

7- Política de Seguridad de Equipos y Medios

8- Política de Uso Aceptable

9- Política de Intercambio de Información

10- Política de Gestión de Contraseñas

11- Política de Seguridad Física y Ambiental

12- Política de Gestión de Derechos de Privilegio

Procedimientos

1- Procedimiento de Gestión de Activos

2- Procedimiento de Gestión de Incidentes de Infracción

3- Procedimiento de Gestión de Proyectos de TI

4- Procedimiento de Uso de Redes Sociales

Formularios y otros documentos

1- Formulario de Destrucción de Datos

2- Matriz de Autorización de Acceso

3- Instrucciones de Asignación y Uso de Computadoras de la Empresa

4- Instrucciones de Asignación y Uso de Líneas y Teléfonos de la Empresa

VI. Destrucción de Datos Personales

Condiciones Generales para la Destrucción de Datos Personales

Si se eliminan los motivos que justifican el tratamiento de datos personales, la Empresa los eliminará, destruirá o anonimizará, ya sea de oficio o a petición del interesado. En consecuencia: o Modificación o derogación de las disposiciones legislativas pertinentes que fundamentan el tratamiento de datos personales.

o El contrato entre la Empresa y la persona interesada no se ha formalizado, el contrato no es válido, el contrato se rescinde automáticamente, se rescinde o se desiste.

o Ha desaparecido la finalidad que requería el tratamiento de datos personales.

o El tratamiento de datos personales es contrario a la ley o al principio de honestidad.

o En los casos en que el tratamiento de datos personales se realice únicamente con base en la condición de consentimiento explícito, la persona interesada retira dicho consentimiento.

o La Empresa acepta la solicitud presentada por la persona interesada respecto al tratamiento de datos personales en el marco de sus derechos en los apartados (e) y (f) del artículo 11 de la Ley.

o En los casos en que la Empresa rechaza la solicitud presentada por la persona interesada solicitando la supresión o destrucción de sus datos personales, la respuesta dada se considera insuficiente o la persona interesada no responde dentro del plazo estipulado en la Ley. En caso de que se presente una reclamación ante la Junta y esta apruebe la solicitud,

o Aunque haya transcurrido el plazo máximo de conservación de los datos personales, no existan circunstancias que justifiquen su conservación durante un periodo mayor.

o Ya no se cumplen las condiciones que exigen el tratamiento de datos personales en los artículos 5 y 6 de la Ley.

Los datos personales deberán eliminarse, destruirse o anonimizarse.

Técnicas de destrucción de datos personales

La eliminación de datos personales consiste en hacer que los datos personales en cuestión sean inaccesibles y reutilizables por los usuarios correspondientes. La Empresa garantiza que los datos personales eliminados sean inaccesibles y reutilizables por los usuarios correspondientes.

La Empresa aplica el siguiente proceso para la eliminación de datos personales:

o Determinación de los datos personales que serán objeto del proceso de eliminación;

o Determinación de los usuarios relevantes para cada dato personal mediante una matriz de autorización y control de acceso o un sistema similar;

o Determinación de las autorizaciones y métodos de acceso, recuperación y reutilización de los usuarios relevantes;

o Cierre y eliminación de las autorizaciones y métodos de acceso, recuperación y reutilización de los usuarios relevantes en el ámbito de los datos personales.

Los datos personales están sujetos a eliminación de la siguiente manera, según el medio de almacenamiento:

o Para los datos personales en los servidores cuyo período de almacenamiento ha expirado, el administrador del sistema retira la autorización de acceso de los usuarios relevantes y se lleva a cabo el proceso de eliminación.

o En el caso de los datos personales en el entorno electrónico cuyo periodo de almacenamiento ha expirado, estos se vuelven inaccesibles y reutilizables para todos los empleados (usuarios relevantes), excepto para el administrador de la base de datos.

o Los datos personales almacenados en un entorno físico, cuyo periodo de almacenamiento ha expirado, se vuelven inaccesibles y no reutilizables para todos los empleados, excepto para el gerente de la unidad responsable del archivo de documentos. Además, se aplica un proceso de bloqueo mediante dibujo/pintura/borrado para que no se puedan leer.

o Los datos personales en medios portátiles, cuyo periodo de almacenamiento ha expirado, son cifrados por el administrador del sistema, quien solo puede acceder a ellos y se almacenan en entornos seguros con claves de cifrado.

La destrucción es el proceso de volver irrecuperables e inutilizables todos los soportes físicos de grabación aptos para almacenar información.

Los datos personales están sujetos al siguiente proceso de destrucción, según el soporte de grabación:

o Los datos personales en papel, cuyo plazo de almacenamiento ha expirado, se destruyen en trituradoras de papel de forma que no puedan recuperarse.

o Los datos personales en soportes ópticos y magnéticos, cuyo plazo de almacenamiento ha expirado, se destruyen físicamente mediante fusión, incineración o pulverización. Además, los soportes magnéticos se someten a un campo magnético de alta intensidad al pasar por un dispositivo especial, lo que hace ilegibles los datos que contienen.

La anonimización de datos personales consiste en impedir que los datos personales se asocien a una persona física identificada o identificable, incluso si se comparan con otros datos. En este contexto, si tras su análisis y comparación con otros datos se puede determinar la identidad de los datos, no se puede considerar que se han anonimizado.

Dado que los datos anonimizados ya no tienen las características de datos personales, no estarán sujetos a las disposiciones de la Ley. Dado que los conjuntos de datos tienen las características de datos personales hasta el momento en que se someten a procesos de anonimización, cualquier operación realizada con estos datos se considera tratamiento de datos personales.

Todas las operaciones relacionadas con la eliminación, destrucción y anonimización de datos personales se registran y dichos registros se conservan durante al menos tres años, salvo otras obligaciones legales.

Destrucción periódica

Los datos personales procesados ​​en Gürok se eliminan periódicamente cada 6 (seis) meses a partir del primer día del año natural correspondiente, de conformidad con el Artículo 11 del Reglamento sobre la Supresión, Destrucción o Anonimización de Datos Personales.

En el primer proceso de destrucción periódica posterior a la fecha en que surja la obligación de suprimir, destruir o anonimizar los datos personales en el marco de esta Política, los datos personales se eliminan, destruyen o anonimizan.

En caso de que la persona interesada solicite a la Compañía, de conformidad con el Artículo 13 de la KVKK, la supresión o destrucción de sus datos personales;

o Si han desaparecido todas las condiciones para el tratamiento de datos personales; la Compañía elimina, destruye o anonimiza los datos personales objeto de la solicitud. La Compañía resuelve la solicitud de la persona interesada en un plazo máximo de treinta días y le informa al respecto.

Si han desaparecido todas las condiciones para el tratamiento de datos personales y los datos personales objeto de la solicitud se han transferido a terceros, la Empresa notificará a dichos terceros esta situación y garantizará que se lleven a cabo los procedimientos necesarios con ellos, de conformidad con esta Política y la legislación aplicable.

Si no se han eliminado todas las condiciones para el tratamiento de datos personales, la Empresa podrá rechazar esta solicitud justificando el motivo, de conformidad con el tercer párrafo del Artículo 13 de la Ley, y la respuesta de rechazo se notificará a la persona interesada por escrito o electrónicamente en un plazo máximo de treinta días.

VII. Oficiales de Políticas

İşbu Politika’nın hazırlanması, güncellenmesi ve uygulanmasından Şirket bünyesinde kişisel verilerin tutulduğu, işlendiği ve/veya aktarıldığı sistemleri kullanan/yöneten birimler ve ilgili çalışanlar sorumludur. Bu bağlamda Şirket’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Özel olarak, İnsan Kaynakları Birimi çalışanların politikaya uygun hareket etmesinden; Bilgi Teknolojileri Birimi Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumlu olup, bahse konu her iki birim ayrıca Politika’nın geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi açısından yetkili ve görevlidir.

VIII. Cumplimiento de la Política

Todos los empleados de la Compañía están obligados a cumplir íntegramente y debidamente con las disposiciones de la Política durante el procesamiento y almacenamiento de datos personales, y dicha política forma parte integral de sus contratos laborales.

En caso de indicios concretos de incumplimiento de las disposiciones de esta Política, el órgano de administración de la Compañía investigará las presuntas infracciones y tomará las medidas necesarias. El incumplimiento de esta política puede tener diversas consecuencias negativas, como la pérdida de confianza de los clientes, litigios, pérdida de prestigio, pérdidas financieras, daños a la reputación de la Compañía o daños personales. Por este motivo, cualquier incumplimiento de esta política puede dar lugar a procedimientos disciplinarios contra los empleados de la Compañía u otras personas relevantes, o a la rescisión del contrato. El incumplimiento también puede dar lugar a acciones legales contra las personas implicadas.

IX. Entrada en vigor

Esta Política, elaborada con el objetivo de cumplir plenamente con la legislación vigente en materia de tratamiento de datos personales, ha sido aprobada y entró en vigor mediante decisión del Consejo de Administración de Gürok Turizm ve Madencilik Anonim Şirketi de fecha … / … /2019.

La Política se publica en dos medios diferentes: impreso y electrónico. Se divulga a los empleados a través de los medios electrónicos dedicados a la comunicación interna, y la copia impresa se conserva en el Departamento de Recursos Humanos. La Política se revisa según sea necesario y las secciones pertinentes se actualizan cuando es necesario.

Anexo 1: Tabla de períodos de almacenamiento y destrucción

Proceso y Categoría de Datos Relacionados	Periodo de Conservación	Explicación
Datos personales de salud de los empleados	5 años desde la finalización de la relación laboral	Se conservan durante 5 años ante la posibilidad de identificar o notificar una enfermedad profesional o accidente laboral.
Archivos de contratación y datos personales de los empleados	20 años desde la finalización de la relación laboral	Los datos utilizados para la celebración del contrato se conservan durante 20 años por posibles reclamaciones de servicios o remuneraciones y por requerimientos del Instituto de Seguridad Social.
Formularios de solicitud y CV de candidatos	1 año desde la fecha de solicitud	Se conservan durante un máximo de 2 años, considerando el tiempo en que pierden su vigencia.
Datos personales obtenidos en el ámbito de la salud y seguridad en el trabajo	15 años desde la finalización de la relación laboral	Se conservan durante 15 años en caso de posibles reclamaciones de salud relacionadas con responsabilidades derivadas del contrato laboral.
Datos de clientes potenciales	2 años desde la fecha de obtención	Se conservan durante 2 años para posibilitar la celebración de contratos de venta.
Datos obtenidos durante la gestión de solicitudes y quejas de clientes	1 año desde el registro inicial	Se conservan durante 1 año para evaluar las solicitudes del cliente y mejorar la calidad del servicio.
Registros de pagos y transacciones financieras	10 años desde la finalización de la relación laboral	Se conservan durante 10 años para cumplir con las obligaciones contractuales de pago a los empleados.
Datos compartidos con empresas/instituciones colaboradoras	Durante el contrato y 10 años después	Los datos compartidos se conservan durante el periodo contractual y 10 años más conforme al plazo de prescripción legal.
Datos personales de empleados de subcontratistas	10 años desde la finalización del contrato	Se conservan durante 10 años debido a la relación contractual con empresas subcontratadas.
Datos personales contenidos en contratos de venta	10 años desde la finalización de la relación laboral	Se conservan durante el plazo de prescripción legal ante posibles conflictos contractuales.
Datos personales en contratos firmados con terceros	10 años desde la finalización del contrato	Se conservan durante 10 años conforme al plazo de prescripción legal.
Grabaciones de cámaras de seguridad	180 días	Se conservan durante 6 meses para garantizar la seguridad en el lugar de trabajo y considerando el plazo para presentar reclamaciones.
Registros de visitantes y participantes en reuniones	2 años después del evento	Se conservan durante 2 años como medida de seguridad ante posibles incidentes dentro de la empresa.
Datos obtenidos al asignar vehículos a empleados	5 años después de la finalización del contrato	Se conservan durante 5 años para cumplir con las obligaciones derivadas del contrato laboral.
Datos relacionados con el uso de servicios de internet inalámbrico	2 años desde la fecha de registro	Se conservan durante 2 años conforme a la ley para la prestación del servicio de acceso a internet.
Datos mantenidos en sistemas de seguimiento de registros (logs)	2 años desde la fecha de registro	Se conservan durante 2 años para proporcionar acceso a internet de forma segura según lo exige la ley.
Datos recopilados para reservas/hospedaje en Gül Palas y Ali Bey Hotels & Resorts	10 años desde el fin de la relación de servicio	Los datos personales como la identidad y el contacto se conservan durante 10 años conforme al plazo legal de prescripción.
Datos recopilados para eventos organizados en Gül Palas y Ali Bey Hotels & Resorts	10 años desde el fin de la relación de servicio	Se conservan durante 10 años para satisfacer las solicitudes de los clientes en el marco del contrato de servicios.

 

Anexo 2: Procedimiento de notificación de violaciones de datos personales

La expresión "lo antes posible" en la disposición del Artículo 12, párrafo (5) de la Ley, "Si los datos personales tratados son obtenidos por terceros por medios ilícitos, el responsable del tratamiento notificará a la persona afectada y a la Junta Directiva de esta situación lo antes posible..." se interpretará como 72 horas.

En este contexto, Gürok notificará a la Junta Directiva la infracción en cuestión sin demora y en un plazo máximo de 72 horas. Tras la determinación de las personas afectadas por la infracción de datos por parte de Gürok, se notificará a las personas afectadas en el plazo más breve razonable, directamente si se puede contactar con la dirección de contacto de la persona afectada, o mediante métodos adecuados, como la publicación en el sitio web del responsable del tratamiento, si no se puede contactar con ella.

Si Gürok no notifica a la Junta Directiva en un plazo de 72 horas por una causa justificada, se explicarán a la Junta Directiva los motivos de la demora junto con la notificación que debe realizarse.

El “Formulario de Notificación de Violaciones de Datos Personales” disponible en la página web del Consejo se utilizará para la notificación al Consejo. En caso de que no sea posible proporcionar la información del formulario simultáneamente, esta se proporcionará al Consejo gradualmente y sin demora.

La información sobre las violaciones de datos, sus efectos y las medidas adoptadas por Gürok se registrará y se mantendrá disponible para su revisión por parte del Consejo.

En caso de que terceros obtengan datos personales en posesión de encargados del tratamiento en nombre de Gürok por medios ilícitos, se tomarán las medidas necesarias para que el encargado del tratamiento notifique a Gürok sin demora.

En caso de una violación de datos, la unidad de Tecnologías de la Información informará a las unidades de la empresa afectadas y elaborará un informe sobre las posibles consecuencias. Elaborará un plan de intervención con las medidas y los pasos a seguir, y lo pondrá en práctica.