Політика конфіденційності
Ваша конфіденційність важлива для нас. Ця політика описує, як ми збираємо, використовуємо і захищаємо вашу особисту інформацію.
ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ ГРУПИ КОМПАНІЙ LANSARIN ЩОДО ЗАХИСТУ ТА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
РОЗДІЛ 1: ВСТУП, ІДЕНТИФІКАЦІЙНІ ДАНІ ОПЕРАТОРА ПЕРСОНАЛЬНИХ ДАНИХ ТА ВИЗНАЧЕННЯ
1.1. Вступ
Компанії LANSARİN ULUSLARARASI İDARİ DANIŞMANLIK VE TERCÜMANLIK TİCARET LİMİTED ŞİRKETİ та LANSARIN INTERNATIONAL LTD. (надалі разом іменовані «Група Lansarin», «Компанія», «Ми») надають першочергового значення забезпеченню безпеки та конфіденційності ваших персональних даних. Відповідно до цього ми обробляємо всі персональні дані, що належать нашим клієнтам, потенційним клієнтам, співробітникам, кандидатам на працевлаштування, стажистам, відвідувачам, діловим партнерам, постачальникам та всім іншим відповідним третім особам, з максимальною ретельністю та у суворій відповідності до всього застосовного національного та міжнародного законодавства, включно з, але не обмежуючись, Законом Турецької Республіки № 6698 «Про захист персональних даних» («KVKK»), Загальним регламентом про захист даних Європейського Союзу 2016/679 («GDPR») та Законом Великої Британії «Про захист даних» 2018 року («UK GDPR»).
Ця Політика конфіденційності («Політика») підготовлена з метою прозорого роз'яснення того, які персональні дані ми збираємо; які цілі та правові підстави для обробки таких даних; кому і з яких причин вони передаються; які терміни зберігання даних; які технічні та адміністративні заходи вживаються для забезпечення безпеки даних; а також які ваші права як суб'єкта персональних даних щодо даних, що обробляються Групою Lansarin.
1.2. Оператор персональних даних
У рамках нашої діяльності з обробки персональних даних, перелічені нижче компанії можуть виступати як окремі або, залежно від обставин, спільні оператори персональних даних, виходячи з цілей та засобів обробки.
Оператор даних у Туреччині:
- Торговельне найменування: LANSARİN ULUSLARARASI İDARІ DANIŞMANLIK VE TERCÜMANLIK TİCARET LİMİTED ŞİRKETİ
- Юридична адреса: Öğretmenevleri Mah. 922. Sok. No: 3/15 Konyaaltı/ANTALYA 07070, Туреччина
- Номер телефону: +90 242 606 0004
- Адреса електронної пошти: kvkk@lansarin.com
- Адреса зареєстрованої електронної пошти (KEP): lansarin@hs01.kep.tr
- Національна адреса електронних повідомлень (UETS): 25828-19390-67798
Оператор даних у Сполученому Королівстві:
- Торговельне найменування: LANSARIN INTERNATIONAL LTD
- Реєстраційний номер компанії: 16332928 (Англія та Уельс)
- Юридична адреса: 86-90 Paul Street EC2A 4NE London, Сполучене Королівство
- Номер телефону: +44 20 4577 0145
Контактна особа оператора даних:
- Ім'я: Джан Олександр ДАНІЛОВ (Can Aleksander DANİLOV)
- Адреса електронної пошти: can@lansarin.com
1.3. Визначення
Для цілей цієї Політики наведені нижче терміни мають такі значення:
- Персональні дані: Будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи.
- Спеціальні категорії персональних даних: Персональні дані, що розкривають расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання, членство у профспілках; генетичні дані, біометричні дані з метою унікальної ідентифікації фізичної особи; дані про стан здоров'я, статеве життя чи сексуальну орієнтацію фізичної особи; а також дані про кримінальні судимості та заходи безпеки.
- Суб'єкт персональних даних: Ідентифікована або ідентифікована фізична особа, чиї персональні дані обробляються (наприклад, клієнт, співробітник, відвідувач).
- Обробка персональних даних: Будь-яка операція або сукупність операцій, що здійснюються з персональними даними, з використанням засобів автоматизації або без них, включаючи збір, запис, організацію, структурування, зберігання, адаптацію або зміну, вилучення, консультування, використання, розкриття шляхом передачі, розповсюдження чи надання доступу іншим чином, зіставлення чи комбінування, обмеження, видалення чи знищення.
- Оператор персональних даних: Фізична або юридична особа, яка самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних.
- Обробник персональних даних: Фізична або юридична особа, яка обробляє персональні дані від імені оператора.
- KVKK: Закон Турецької Республіки № 6698 «Про захист персональних даних», опублікований в Офіційному віснику 7 квітня 2016 року, № 29677.
- GDPR: Регламент (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних та про вільний рух таких даних.
- Рада (Kurul): Рада із захисту персональних даних Турецької Республіки.
- ICO (Information Commissioner's Office): Управління Уповноваженого з питань інформації, незалежний орган із захисту даних у Сполученому Королівстві.
РОЗДІЛ 2: ПРИНЦИПИ ТА ПРАВОВІ ПІДСТАВИ ДЛЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
2.1. Наші принципи обробки персональних даних
Група Lansarin зобов'язується обробляти ваші персональні дані у повній відповідності до наступних основоположних принципів, викладених у статті 4 KVKK та статті 5 GDPR:
- a) Законність, справедливість та прозорість: Ми обробляємо ваші персональні дані законно, справедливо та прозоро, відповідно до чинних правових норм та загальних принципів права. Ми сумлінно виконуємо наше зобов'язання щодо інформування суб'єктів персональних даних.
- b) Точність: Ми вживаємо розумних заходів для забезпечення точності персональних даних, що обробляються, та, за необхідності, їх оновлення. Ми ретельно розглядаємо запити суб'єктів персональних даних про виправлення або оновлення їхніх даних.
- c) Обмеження мети: Ми обробляємо ваші персональні дані лише для визначених, чітких та законних цілей, викладених у цій Політиці та відповідних повідомленнях про конфіденційність. Ми не здійснюємо обробку даних у цілях, що виходять за межі заявлених.
- d) Мінімізація даних: Ми обмежуємо збір персональних даних обсягом, який є адекватним, релевантним та необхідним для досягнення заявлених цілей. Ми утримуємося від обробки персональних даних, що не стосуються справи або не є необхідними для зазначеної мети.
- e) Обмеження зберігання: Ми зберігаємо ваші персональні дані протягом періоду, встановленого відповідним законодавством, або доти, доки це необхідно для мети, з якою вони оброблялися. Після закінчення цього періоду ми видаляємо, знищуємо або анонімізуємо дані відповідно до KVKK, GDPR та інших застосовних законів.
- f) Цілісність та конфіденційність: Ми забезпечуємо цілісність та конфіденційність ваших даних шляхом застосування належних технічних та адміністративних заходів безпеки для їх захисту від несанкціонованої або незаконної обробки, а також від випадкової втрати, знищення чи пошкодження.
2.2. Правові підстави для обробки персональних даних
Обробка ваших персональних даних здійснюється на одній або декількох з наступних правових підстав відповідно до статті 5 KVKK та статті 6 GDPR:
- a) Згода суб'єкта персональних даних: У випадках, коли інші правові підстави відсутні, ваші персональні дані можуть оброблятися на основі вашої вільно наданої, конкретної, поінформованої та однозначної згоди на певну мету.
- b) Випадки, прямо передбачені законом: Коли обробка даних прямо вимагається чинним законодавством (наприклад, Податково-процесуальним кодексом Туреччини, Торговим кодексом Туреччини, Трудовим кодексом).
- c) Необхідність для виконання договору: Коли обробка ваших персональних даних необхідна для укладення або виконання договору, стороною якого ви є (наприклад, обробка контактної та ідентифікаційної інформації для виставлення рахунку в рамках договору про надання послуг).
- d) Необхідність для дотримання юридичного зобов'язання: Коли обробка необхідна нашій Компанії для виконання її юридичних зобов'язань (наприклад, для відповіді на законні запити компетентних державних органів та установ).
- e) Необхідність для встановлення, здійснення або захисту юридичних вимог: Коли обробка необхідна для встановлення, здійснення або захисту законних прав нашої Компанії або суб'єктів персональних даних (наприклад, у разі правового спору).
- f) Дані, зроблені загальнодоступними суб'єктом персональних даних: Коли ви самі явним чином зробили свої персональні дані загальнодоступними.
- g) Необхідність для захисту життєво важливих інтересів: Коли обробка необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи, особливо в екстрених ситуаціях, коли особа фізично чи юридично нездатна надати згоду.
- h) Необхідність для дотримання законних інтересів: Коли обробка необхідна для цілей дотримання законних інтересів, що переслідуються нашою Компанією, таких як ведення нашої діяльності, підвищення якості послуг або захист наших адміністративних чи комерційних інтересів, за умови, що такі інтереси не переважають над основними правами та свободами суб'єкта персональних даних. У таких випадках проводиться оцінка збалансованості інтересів (наприклад, використання камер відеоспостереження для забезпечення безпеки на робочому місці).
2.3. Правові підстави для обробки спеціальних категорій персональних даних
Спеціальні категорії персональних даних підлягають більш суворим заходам захисту з огляду на їх чутливий характер. Такі дані обробляються відповідно до статті 6 KVKK та статті 9 GDPR лише за наявності однієї з наступних умов:
- a) Пряма згода суб'єкта персональних даних: Основною правовою підставою для обробки ваших спеціальних категорій персональних даних є ваша пряма згода.
- b) Випадки, передбачені законом: Спеціальні категорії персональних даних, за винятком даних про здоров'я та статеве життя (наприклад, расове, етнічне походження, політичні погляди), можуть оброблятися без прямої згоди у випадках, передбачених законом.
- c) Обробка даних, що стосуються здоров'я та статевого життя: Ваші персональні дані, що стосуються здоров'я та статевого життя, можуть оброблятися без вашої прямої згоди лише особами, зобов'язаними дотримуватися професійної таємниці, або уповноваженими установами та організаціями з метою охорони громадського здоров'я, профілактичної медицини, медичної діагностики, надання лікувальних та медико-соціальних послуг, а також планування та управління послугами та фінансуванням у сфері охорони здоров'я (наприклад, обробка даних про здоров'я співробітників у рамках зобов'язань з охорони праці та техніки безпеки).
- d) Інші умови відповідно до GDPR та UK GDPR: Крім того, спеціальні категорії персональних даних можуть оброблятися за інших виняткових обставин, зазначених у GDPR та UK GDPR, наприклад, коли обробка необхідна для виконання зобов'язань у галузі трудового права та соціального забезпечення, або для встановлення, здійснення чи захисту юридичних вимог.
РОЗДІЛ 3: КАТЕГОРІЇ ОБРОБЛЮВАНИХ ПЕРСОНАЛЬНИХ ДАНИХ, ЦІЛІ ОБРОБКИ ТА ГРУПИ СУБ'ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИХ
3.1. Загальний огляд
Для здійснення своєї комерційної діяльності Група Lansarin збирає та обробляє персональні дані від груп суб'єктів, визначених нижче, у зазначених цілях та в рамках категорій даних, також викладених нижче. У цьому розділі докладно пояснюється, які категорії даних, для яких цілей та у кого збираються.
3.2. Групи суб'єктів персональних даних
Групи суб'єктів, чиї персональні дані обробляються в рамках цієї Політики, включають:
- Клієнт (Отримувач продуктів або послуг): Фізичні особи, які користуються або користувалися продуктами та послугами, що пропонуються нашою Компанією.
- Потенційний клієнт: Фізичні особи, які виявили інтерес до наших продуктів та послуг або зробили запит, але ще не є клієнтами.
- Співробітник: Персонал, що надає послуги в нашій Компанії в рамках трудового договору.
- Кандидат на працевлаштування: Фізичні особи, які подали заяву про прийом на роботу, надали своє резюме та супутню інформацію нашій Компанії або пройшли співбесіду.
- Стажист: Студенти або недавні випускники, які беруть участь у програмах стажувань у нашій Компанії.
- Відвідувач: Фізичні особи, які відвідують фізичні об'єкти нашої Компанії (наприклад, офіси) або веб-сайти.
- Акціонер/Партнер: Фізичні особи, які є акціонерами або партнерами нашої Компанії.
- Співробітник/представник постачальника: Співробітники або посадові особи організацій, у яких наша Компанія закуповує товари чи послуги або з якими має ділові відносини.
- Батько/Опікун/Законний представник: Фізичні особи, що діють на законних підставах від імені неповнолітніх або суб'єктів даних, які не володіють повною дієздатністю.
- Особа, що фігурує в інформаційних матеріалах: Фізичні особи, які є об'єктом новин, бюлетенів або рекламних матеріалів у рамках нашої діяльності.
- Кандидат на складання іспиту: Фізичні особи, які беруть участь в іспитах, організованих або проведених за сприяння нашої Компанії.
3.3. Детальна інформація про категорії даних, цілі обробки та групи суб'єктів персональних даних
3.3.1. Ідентифікаційна інформація
- Зміст: Інформація, що ідентифікує особу, така як повне ім'я, імена батьків, дівоче прізвище матері, дата і місце народження, сімейний стан, ідентифікаційний номер Т.Р. та серійний номер/номер посвідчення особи.
- Групи суб'єктів: Співробітник, Кандидат на працевлаштування, Акціонер/Партнер, Потенційний клієнт, Стажист, Клієнт, Батько/Опікун/Законний представник, Відвідувач, Особа, що фігурує в інформаційних матеріалах.
- Цілі обробки: Здійснення процесів, пов'язаних з: управлінням надзвичайними ситуаціями, інформаційною безпекою, відбором та працевлаштуванням кандидатів/стажистів, розглядом заяв кандидатів, виконанням зобов'язань за трудовими договорами та законодавством, веденням фінансів та бухгалтерії, забезпеченням фізичної безпеки, веденням юридичних справ, комунікаційною діяльністю, кадровим плануванням, виконанням/аудитом комерційної діяльності, охороною праці та технікою безпеки, управлінням взаємовідносинами з клієнтами, рекламою/кампаніями/акціями, управлінням ризиками, зберіганням та архівуванням, веденням договорів, обробкою запитів/скарг, реалізацією політики винагород, маркетингом продуктів/послуг, оформленням дозволів на роботу/проживання для іноземних співробітників, інвестиціями, наданням інформації уповноваженим органам, управлінською діяльністю та реєстрацією відвідувачів.
3.3.2. Контактна інформація
- Зміст: Інформація, що дозволяє зв'язатися із суб'єктом даних, така як адреса, адреса електронної пошти, адреса зареєстрованої електронної пошти (KEP) та номер телефону.
- Групи суб'єктів: Співробітник, Кандидат на працевлаштування, Акціонер/Партнер, Потенційний клієнт, Стажист, Співробітник/представник постачальника, Клієнт, Батько/Опікун/Законний представник, Відвідувач, Особа, що фігурує в інформаційних матеріалах.
- Цілі обробки: На додаток до цілей, перелічених у попередньому пункті, ці дані використовуються для: управління правами доступу, програм лояльності, організації службових завдань, проведення внутрішніх аудитів/розслідувань, вдосконалення бізнес-процесів, забезпечення безперервності діяльності, оцінки результатів діяльності, реалізації соціальної відповідальності, стратегічного планування, забезпечення безпеки операцій оператора даних та розвитку талантів/кар'єри.
3.3.3. Дані про місцезнаходження
- Зміст: Дані про місцезнаходження суб'єкта в реальному часі або за минулі періоди.
- Групи суб'єктів: Співробітник, Кандидат на працевлаштування, Акціонер/Партнер, Потенційний клієнт, Стажист, Клієнт, Батько/Опікун/Законний представник, Відвідувач, Особа, що фігурує в інформаційних матеріалах.
- Цілі обробки: Здійснення процесів, пов'язаних з: управлінням надзвичайними ситуаціями, інформаційною безпекою, організацією службових завдань, юридичними справами, комунікаціями, кадровими ресурсами, відносинами з клієнтами та їхньою задоволеністю, рекламою/кампаніями/акціями, управлінням ризиками, веденням договорів, обробкою запитів/скарг, політикою винагород, маркетингом продуктів/послуг, забезпеченням безпеки операцій оператора даних, оформленням дозволів на роботу/проживання для іноземних співробітників, наданням інформації уповноваженим органам, управлінською діяльністю та реєстрацією відвідувачів.
3.3.4. Кадрова інформація
- Зміст: Інформація, що зберігається в особовій справі співробітника в рамках трудового договору, така як дані про заробітну плату, записи про дисциплінарні стягнення, документи про прийом/звільнення, декларації про майно, інформація з резюме та звіти про оцінку результатів діяльності.
- Групи суб'єктів: Співробітник, Кандидат на працевлаштування, Акціонер/Партнер, Стажист (а також опосередковано Батько/Опікун/Законний представник, Клієнт, Особа, що фігурує в інформаційних матеріалах).
- Цілі обробки: Управління процесами: відбору та працевлаштування кандидатів/стажистів, розгляду заяв кандидатів, виконання зобов'язань за трудовими договорами та законодавством, надання додаткових пільг та переваг співробітникам, проведення аудитів/етичної діяльності, управління правами доступу, ведення юридичних справ, надання інформації уповноваженим органам та управлінської діяльності.
3.3.5. Інформація про юридичні операції
- Зміст: Дані, що стосуються юридичних процесів, такі як листування із судовими та адміністративними органами, а також інформація із судових та виконавчих справ.
- Групи суб'єктів: Співробітник, Кандидат на працевлаштування, Акціонер/Партнер, Потенційний клієнт, Стажист, Кандидат на складання іспиту, Співробітник/представник постачальника, Клієнт, Батько/Опікун/Законний представник, Відвідувач, Особа, що фігурує в інформаційних матеріалах.
- Цілі обробки: Насамперед для забезпечення відповідності діяльності законодавству, а також для супроводу та ведення юридичних справ, управління всіма юридичними процесами, стороною яких є Компанія, та виконання юридичних зобов'язань.
3.3.6. Інформація про транзакції з клієнтами
- Зміст: Дані, пов'язані з комерційними операціями з клієнтом, такі як записи кол-центру, рахунки-фактури, векселі, чеки, інформація про замовлення та запити.
- Групи суб'єктів: Клієнт, Потенційний клієнт, Батько/Опікун/Законний представник, Відвідувач, Особа, що фігурує в інформаційних матеріалах.
- Цілі обробки: Управління процесами: продажу та післяпродажного обслуговування товарів/послуг, ведення фінансів та бухгалтерії, управління взаємовідносинами з клієнтами, обробки запитів/скарг, ведення договорів, управління ризиками, проведення рекламних кампаній/акцій та надання інформації уповноваженим органам.
3.3.7. Інформація про фізичну безпеку об'єктів
- Зміст: Журнали входу та виходу на територію Компанії та записи з камер відеоспостереження (CCTV).
- Групи суб'єктів: Усі особи, які перебувають на території Компанії (наприклад, співробітники, відвідувачі, клієнти, співробітники постачальників).
- Цілі обробки: Забезпечення фізичної безпеки об'єктів, управління надзвичайними ситуаціями, інформаційна безпека, реєстрація та облік відвідувачів, проведення внутрішніх аудитів та розслідувань, ведення юридичних справ та надання інформації уповноваженим органам за запитом.
3.3.8. Інформація про безпеку транзакцій
- Зміст: Цифрові сліди, що створюються при використанні IT-систем Компанії, такі як IP-адреси, журнали доступу до веб-сайтів та інформація про паролі.
- Групи суб'єктів: Усі особи, які використовують IT-системи або онлайн-платформи Компанії.
- Цілі обробки: Здійснення процесів інформаційної безпеки, забезпечення безпеки операцій оператора даних, забезпечення відповідності діяльності законодавству, проведення внутрішніх аудитів/розслідувань, аудит комерційної діяльності та використання як доказів у юридичних спорах.
3.3.9. Інформація для управління ризиками
- Зміст: Інформація, що обробляється для управління комерційними, технічними та адміністративними ризиками Компанії.
- Групи суб'єктів: Усі особи, які можуть мати відношення до відповідних процесів.
- Цілі обробки: Здійснення процесів управління ризиками, управління надзвичайними ситуаціями, супровід юридичних справ, фінансові та бухгалтерські операції, а також аудиторська та етична діяльність.
3.3.10. Інформація про професійний досвід
- Зміст: Інформація про освіту та кар'єру людини, така як дипломи, пройдені курси, професійна підготовка, сертифікати та виписки із залікових відомостей.
- Групи суб'єктів: Співробітник, Кандидат на працевлаштування, Стажист, Акціонер/Партнер та консультанти, у яких закуповуються послуги.
- Цілі обробки: Відбір та працевлаштування кандидатів/стажистів, планування кадрових процесів, розвиток талантів/кар'єри, організація службових завдань та оцінка результатів діяльності.
3.3.11. Спеціальні категорії персональних даних Дані цієї категорії підлягають вищому рівню захисту відповідно до KVKK та GDPR і обробляються лише у виняткових випадках, дозволених законом, або за прямою згодою суб'єкта даних.
- Візуальні та аудіовізуальні записи: Включають фотографії, відео- та аудіозаписи. Обробляються з метою забезпечення фізичної безпеки, управління заходами, рекламної діяльності та аудиту бізнес-процесів.
- Інформація про расове та етнічне походження: Обробляється лише на підставі прямої згоди або юридичного зобов'язання, коли це потрібно для дотримання законодавства (наприклад, для дозволів на роботу для іноземних співробітників) або для проектів соціальної відповідальності, таких як боротьба з дискримінацією.
- Інформація про стан здоров'я: Дані, такі як відомості про інвалідність, група крові та інформація про здоров'я, необхідна для надання екстреної допомоги. Обробляються насамперед для виконання зобов'язань з охорони праці та техніки безпеки, надання невідкладної медичної допомоги та розподілу завдань, що відповідають стану здоров'я співробітників, за умови дотримання професійної таємниці.
- Інформація про кримінальні судимості та заходи безпеки: Інформація, така як відомості про судимість. Обробляється лише у випадках, прямо дозволених і вимаганих відповідним законодавством, для таких цілей, як перевірка надійності для певних посад, із застосуванням усіх необхідних адміністративних та технічних заходів.
РОЗДІЛ 4: ПЕРЕДАЧА ПЕРСОНАЛЬНИХ ДАНИХ (ВНУТРІШНЯ ТА МІЖНАРОДНА)
4.1. Загальні принципи
Група Lansarin може передавати ваші персональні дані третім особам у повній відповідності до принципів, викладених у Розділі 2, та для цілей, детально описаних у Розділі 3 цієї Політики. Усі передачі здійснюються відповідно до положень Статті 8 (внутрішня передача) та Статті 9 (міжнародна передача) KVKK, а також Глави V GDPR (передача персональних даних до третіх країн або міжнародних організацій). При всіх передачах даних ми застосовуємо необхідні технічні та адміністративні заходи для забезпечення їхньої безпеки.
4.2. Внутрішня передача персональних даних
Якщо це потрібно для цілей нашої обробки та дозволено чинним законодавством, ваші персональні дані можуть передаватися наступним групам одержувачів, що знаходяться всередині країни:
- a) Уповноважені державні установи та організації: Для виконання наших юридичних зобов'язань ваші персональні дані можуть бути передані, в обсязі, обмеженому запитом, державним установам та організаціям, уповноваженим законом запитувати інформацію, таким як суди, прокуратура, міністерства, Установа соціального забезпечення (SGK) та податкові органи. Такі передачі ґрунтуються на правових підставах «прямо передбачено законом» та «дотримання юридичного зобов'язання оператора даних».
- b) Ділові партнери: Дані можуть передаватися нашим діловим партнерам, з якими ми співпрацюємо для здійснення нашої діяльності, розробки спільних проектів або отримання послуг, в обсязі, необхідному для цілей партнерства. Ці передачі, як правило, ґрунтуються на правових підставах «виконання договору» або «наші законні інтереси» та захищаються угодами про конфіденційність.
- c) Постачальники та надавачі послуг: Ми можемо обмінюватися даними із зовнішніми надавачами послуг для підтримки нашої операційної діяльності, включаючи, але не обмежуючись, бухгалтерські та фінансові консалтингові фірми, юридичні фірми, незалежні аудиторські компанії, постачальників інформаційних технологій та хмарних послуг, серверні та хостингові компанії, банки та фінансові установи, туристичні агентства та охоронні підприємства. Ці сторони, як правило, виступають як «Обробники даних», і безпека та конфіденційність персональних даних забезпечуються укладеними з ними договорами.
- d) Компанії Групи: Дані можуть передаватися між LANSARİN ULUSLARARASI İDARİ DANIŞMANLIK VE TERCÜMANLIK TİCARET LİMİTED ŞİRKETİ та LANSARIN INTERNATIONAL LTD. на підставі наших законних інтересів для таких цілей, як ведення адміністративної діяльності, централізована звітність, внутрішні аудити, ефективне використання ресурсів та експлуатація спільних систем і процесів.
- e) Фізичні або приватні юридичні особи: За обставин, коли це необхідно для встановлення, здійснення або захисту юридичних вимог, дані можуть передаватися в рамках закону іншим фізичним або юридичним особам, які є сторонами юридичного процесу.
4.3. Міжнародна передача персональних даних
У зв'язку з міжнародною структурою Групи Lansarin, її глобальними діловими партнерами та використовуваною IT-інфраструктурою (наприклад, хмарним програмним забезпеченням, поштовими серверами) персональні дані можуть передаватися за кордон. Це включає передачу даних з нашої компанії в Туреччині до нашої компанії у Сполученому Королівстві та навпаки. Міжнародна передача персональних даних здійснюється лише за наявності однієї з наступних правових гарантій:
- a) Пряма згода: У випадках, коли інші умови не можуть бути виконані, на підставі прямої згоди суб'єкта даних, отриманої після інформування про потенційні ризики, пов'язані з передачею.
- b) Передача до країн з рішенням про адекватність захисту: Передача здійснюється до країни, яка входить до списку «країн з адекватним рівнем захисту», оголошеного Турецькою радою із захисту персональних даних («Рада»). У рамках GDPR це включає передачу до країн, щодо яких було винесено «рішення про адекватність» Європейською комісією або Сполученим Королівством.
- c) Передача за умови надання належних гарантій: Якщо країна призначення не забезпечує адекватного рівня захисту, Група Lansarin зобов'язується надати належні гарантії, що вимагаються KVKK та GDPR. Ці гарантії можуть включати:
- Укладення Стандартних договірних умов (SCCs), затверджених Європейською комісією або ICO, або, для передач з Туреччини, підписання Зобов'язань (Taahhütname), затверджених Радою, між сторонами.
- Наявність Обов'язкових корпоративних правил (BCRs), затверджених Радою або відповідним європейським органом із захисту даних для внутрішньогрупової передачі даних.
- Інші винятки, передбачені законом (наприклад, коли передача необхідна для виконання договору або з важливих причин суспільного інтересу).
Нашим головним пріоритетом у всіх процесах міжнародної передачі є забезпечення захисту ваших даних на рівні, щонайменше еквівалентному тому, що забезпечується в Туреччині та Європейському Союзі.
РОЗДІЛ 5: ТЕРМІНИ ЗБЕРІГАННЯ ТА ЗНИЩЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ
5.1. Загальні принципи зберігання даних
Група Lansarin зберігає персональні дані відповідно до принципів «мінімізації даних» та «обмеження зберігання».
У зв'язку з цим ваші персональні дані зберігаються:
- Протягом будь-якого встановленого законом терміну зберігання, що застосовується до відповідної категорії даних (наприклад, відповідно до Торгового кодексу, Податково-процесуального кодексу або Трудового кодексу Туреччини), або;
- Якщо встановлений законом термін не передбачений, протягом періоду, необхідного для виконання мети, для якої дані були оброблені.
При визначенні термінів зберігання враховуються юридичні зобов'язання, строки позовної давності для потенційних юридичних спорів та мета обробки даних. Щойно мета обробки перестає існувати та/або закінчуються встановлені законом терміни зберігання, ваші персональні дані знищуються з використанням методів, описаних нижче.
5.2. Терміни зберігання за категоріями даних
Зазначені нижче терміни зберігання встановлені як загальне правило і можуть змінюватися у разі наявності юридичного зобов'язання або поточного юридичного процесу.
- Ідентифікаційна інформація: Як правило, протягом 10 років з моменту припинення комерційних відносин, для виконання юридичних зобов'язань та захисту прав, що випливають із цих відносин.
- Контактна інформація: Для маркетингових комунікацій — до моменту відкликання згоди; для інших цілей — протягом 10 років з моменту припинення відносин.
- Дані про місцезнаходження: Протягом періоду, необхідного для мети обробки, але не більше 10 років.
- Кадрова інформація: Для співробітників — протягом 10 років з моменту припинення трудового договору, відповідно до вимог юридичних зобов'язань.
- Інформація про юридичні операції: Протягом 10 років з моменту остаточного завершення юридичного процесу або спору, з урахуванням встановлених законом строків позовної давності.
- Інформація про транзакції з клієнтами: Протягом 10 років з дати останньої транзакції, відповідно до вимог Торгового кодексу та Податково-процесуального кодексу Туреччини.
- Інформація про фізичну безпеку об'єктів: Не більше 1 року, якщо довший термін не вимагається через юридичне зобов'язання або законний інтерес.
- Інформація про безпеку транзакцій: Протягом 10 років, з урахуванням юридичних зобов'язань (наприклад, Закону № 5651 Туреччини).
- Інформація для управління ризиками: Протягом 10 років з моменту завершення процесу управління ризиками.
- Інформація про професійний досвід: Для співробітників — протягом 10 років разом з їхньою особовою справою. Для кандидатів, які не пройшли відбір, — протягом розумного періоду за наявності згоди на розгляд для майбутніх посад; в іншому випадку дані знищуються негайно після завершення процесу найму.
- Візуальні та аудіовізуальні записи: Як правило, протягом 10 років, хоча термін може варіюватися залежно від мети обробки.
- Інформація про расове та етнічне походження: Знищується негайно після припинення мети обробки; однак, за наявності юридичного зобов'язання (наприклад, для особової справи іноземного співробітника з дозволом на роботу), зберігається протягом цього періоду, але не більше 10 років.
- Інформація про стан здоров'я: Для співробітників — протягом 10 років у складі їхньої особової справи, відповідно до юридичних зобов'язань.
- Інформація про кримінальні судимості та заходи безпеки: Знищується не пізніше ніж через 1 рік після припинення мети обробки або закінчення терміну юридичного зобов'язання.
5.3. Знищення персональних даних (видалення, знищення або анонімізація)
Персональні дані, термін зберігання яких закінчився, знищуються в ініціативному порядку відповідно до періодичного графіка знищення нашої Компанії (кожні 6 місяців) або на запит Суб'єкта даних, відповідно до Турецького положення про видалення, знищення або анонімізацію персональних даних. Це знищення може бути здійснене одним із трьох методів:
- Видалення (Deletion): Процес, що робить персональні дані недоступними та неможливими для повторного використання для відповідних користувачів (наприклад, співробітників, крім системних адміністраторів). Це досягається такими методами, як виконання команди видалення для цифрових даних або відкликання прав доступу.
- Знищення (Destruction): Процес, що робить персональні дані недоступними, невідновними та непридатними для використання будь-ким. Це досягається шляхом незворотного знищення паперових документів за допомогою шредерів або фізичного знищення носіїв, на яких зберігаються цифрові дані (наприклад, шляхом плавлення, спалювання або подрібнення).
- Анонімізація (Anonymisation): Процес зміни персональних даних таким чином, що вони більше не можуть бути співвіднесені з ідентифікованою або ідентифікованою фізичною особою, навіть при зіставленні з іншими даними.
Метод знищення визначається нашою Компанією на основі характеру даних, середовища, в якому вони зберігаються, та їхньої ступені важливості.
РОЗДІЛ 6: ЗАХОДИ ІЗ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ДАНИХ
6.1. Наші зобов'язання щодо забезпечення безпеки даних
Як Оператор даних, Група Lansarin зобов'язується, відповідно до Статті 12 KVKK та Статті 32 GDPR, виявляти максимальну обачність для забезпечення безпеки персональних даних, що обробляються. У цьому контексті ми вживаємо всіх необхідних технічних та адміністративних заходів для забезпечення рівня безпеки, що відповідає ризику, з урахуванням сучасного рівня техніки, витрат на реалізацію та характеру обробки, з метою:
- Запобігання незаконній обробці персональних даних,
- Запобігання незаконному доступу до персональних даних,
- Та забезпечення збереження персональних даних.
Наші заходи із забезпечення безпеки даних регулярно переглядаються та оновлюються відповідно до технологічних досягнень.
6.2. Технічні заходи
Основні технічні заходи, які ми вживаємо для забезпечення безпеки персональних даних у нашій IT-інфраструктурі та технічних процесах, є наступними:
- Кібербезпека: Забезпечується безпека мережі та додатків за рахунок використання актуальних антивірусних систем, міжмережевих екранів, а також систем виявлення та запобігання вторгненням. Впровадження цих заходів кібербезпеки постійно контролюється.
- Шифрування та управління ключами: Конфіденційні дані та передача даних захищені за допомогою надійних методів шифрування, а управління ключами шифрування здійснюється через безпечні протоколи.
- Контроль доступу та авторизації: Доступ до персональних даних обмежений на основі принципу «службової необхідності» (need-to-know) через систему управління обліковими записами користувачів та контролю авторизації. Журнали доступу ведуться регулярно і таким чином, щоб запобігти їх фальсифікації.
- Цілісність даних та запобігання втратам: Ризики витоку та втрати даних мінімізуються за допомогою таких заходів, як маскування даних, програмне забезпечення для запобігання витоку даних (DLP) та використання мереж із замкнутим контуром.
- Резервне копіювання: Персональні дані регулярно резервуються для запобігання потенційній втраті даних, і безпека цих резервних копій забезпечується з такою ж ретельністю.
- Тестування безпеки: Регулярно проводяться тести на проникнення для перевірки безпеки наших систем.
- Безпека хмарних сховищ: Безпека персональних даних, що зберігаються у хмарі, забезпечується за допомогою договорів з постачальниками послуг та впровадження технологічних засобів контролю.
6.3. Адміністративні заходи
Наші адміністративні заходи, що підвищують ефективність технічних засобів контролю та керують людським фактором, є наступними:
- Політики та процедури: Розроблено та впроваджено корпоративні політики та процедури з таких питань, як безпека, зберігання та знищення персональних даних.
- Матриця авторизації та розмежування обов'язків: Для співробітників створено детальну матрицю авторизації. Права доступу персоналу, який залишає свою посаду або змінює роль, негайно відкликаються.
- Навчання та підвищення обізнаності: Для всіх співробітників проводяться регулярні тренінги та програми підвищення обізнаності з питань безпеки та конфіденційності персональних даних.
- Управління договорами: Положення про безпеку та конфіденційність даних включені до всіх договорів з постачальниками, діловими партнерами та іншими обробниками даних. Ми забезпечуємо обізнаність цих постачальників послуг щодо вимог до безпеки даних та періодично перевіряємо їхню практику.
- Угоди про конфіденційність: З усіма співробітниками, які мають доступ до персональних даних, підписуються угоди про конфіденційність (або угоди про нерозголошення).
- Аналіз ризиків та аудит: Поточні ризики та загрози регулярно виявляються, а відповідність наших процесів перевіряється за допомогою періодичних та/або вибіркових внутрішніх аудитів.
- Звітність та управління інцидентами: Створено систему звітності про потенційні проблеми та порушення безпеки персональних даних, що забезпечує швидке реагування на такі інциденти.
- Мінімізація даних: Відповідно до принципу «необхідності», бізнес-процеси регулярно переглядаються з метою мінімізації обсягу оброблюваних персональних даних.
6.4. Додаткові заходи для спеціальних категорій персональних даних
Зважаючи на чутливий характер спеціальних категорій персональних даних, на додаток до перерахованих вище заходів та відповідно до рішень Турецької ради із захисту персональних даних, вживаються такі додаткові заходи:
- Визначено та впроваджено окремі протоколи та процедури, спеціально призначені для забезпечення безпеки спеціальних категорій персональних даних.
- Застосовуються додаткові засоби контролю безпеки до фізичних та електронних середовищ, де ці дані обробляються, зберігаються та/або до яких здійснюється доступ.
- Якщо спеціальні категорії персональних даних надсилаються електронною поштою, вони мають бути зашифровані та надіслані безпечним каналом, таким як зареєстрована електронна пошта (KEP) або корпоративна поштова скринька.
- Для спеціальних категорій даних, що передаються в паперовому форматі, використовується статус «конфіденційного документа» та вживаються додаткові заходи фізичної безпеки.
РОЗДІЛ 7: ПРАВА СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ТА ПРОЦЕДУРИ ПОДАЧІ ЗАЯВ
7.1. Ваші права відповідно до KVKK та GDPR
Щодо обробки ваших персональних даних, ви маєте право звернутися до Групи Lansarin та скористатися наступними правами відповідно до Статті 11 KVKK та відповідних статей GDPR:
- a) Право на інформацію та доступ:
- Дізнатися, чи обробляються ваші персональні дані;
- Якщо так, запросити інформацію про таку обробку;
- Дізнатися мету обробки та чи використовуються ваші дані відповідно до цієї мети;
- Знати третіх осіб, яким передаються ваші персональні дані як всередині країни, так і за кордоном.
- b) Право на виправлення: Вимагати виправлення ваших персональних даних, якщо вони є неповними або були оброблені невірно.
- c) Право на видалення («право на забуття»): Вимагати видалення, знищення або анонімізації ваших персональних даних, коли підстави для їх обробки більше не існують.
- d) Право на обмеження обробки: Вимагати обмеження використання ваших даних (за винятком зберігання), коли ви оскаржуєте їх точність або вважаєте обробку незаконною.
- e) Право на повідомлення третіх осіб: Вимагати, щоб будь-які дії з виправлення, видалення або знищення були повідомлені третім особам, яким були передані ваші персональні дані.
- f) Право на заперечення:
- Заперечувати проти рішень, які негативно на вас впливають і є результатом аналізу ваших оброблених даних виключно за допомогою автоматизованих систем (наприклад, автоматичного кредитного скорингу);
- Заперечувати з причин, пов'язаних з вашою конкретною ситуацією, проти обробки даних, яку ми здійснюємо на підставі наших законних інтересів.
- g) Право на перенесення даних: Право отримувати ваші персональні дані, які ви нам надали і які обробляються автоматизованими засобами на підставі вашої згоди або договору, у структурованому, загальноприйнятому та машиночитаному форматі, а також право передавати ці дані іншому оператору даних.
- h) Право на відкликання згоди: Якщо обробка ваших персональних даних ґрунтується на вашій прямій згоді, ви маєте право відкликати свою згоду в будь-який час (відкликання не вплине на законність обробки, що ґрунтувалася на згоді до її відкликання).
- i) Право на відшкодування збитків: Вимагати відшкодування збитків, завданих вам у результаті незаконної обробки ваших персональних даних.
7.2. Способи подачі заяв
Для здійснення вищевказаних прав ви можете надіслати свої запити разом з документами, що підтверджують вашу особу, одним із наступних способів:
- Шляхом письмової заяви: Ви можете подати заяву особисто з власноручним підписом або надіслати її через нотаріуса за нашими адресами нижче:
- Для Туреччини: LANSARİN ULUSLARARASI İDARİ DANIŞMANLIK VE TERCÜMANLIK TİCARET LİMİTED ŞİRKETİ, Öğretmenevleri Mah. 922. Sok. No: 3/15 Konyaaltı/ANTALYA 07070 Turkey
- Для Сполученого Королівства: LANSARIN INTERNATIONAL LTD, 86-90 Paul Street EC2A 4NE London, United Kingdom
- Через зареєстровану електронну пошту (KEP): Для нашої компанії в Туреччині ви можете надіслати електронний лист на нашу адресу KEP: lansarin@hs01.kep.tr
- Електронною поштою:
- Ви можете надіслати електронний лист на адресу can@lansarin.com з адреси електронної пошти, яку ви раніше надали нашій Компанії і яка зареєстрована в наших системах.
- Ви можете надіслати електронний лист, підписаний захищеним електронним підписом або мобільним підписом, на адресу can@lansarin.com.
У вашій заяві мають бути чітко вказані ваше ім'я, прізвище, ідентифікаційний номер Турецької Республіки (для громадян Туреччини) або громадянство та номер паспорта (для іноземних громадян), ваша адреса проживання або місця роботи для цілей повідомлення, ваша адреса електронної пошти та номер телефону (за наявності), а також предмет вашого запиту.
7.3. Відповіді на заяви
Ваш запит буде розглянуто безкоштовно в найкоротші терміни і в будь-якому випадку не пізніше тридцяти (30) днів, залежно від його характеру. Однак, якщо виконання запиту вимагатиме додаткових витрат, може стягуватися плата відповідно до тарифу, встановленого Радою із захисту персональних даних. Ми залишаємо за собою право запитувати додаткову інформацію або документи для підтвердження вашої особи та запобігання несанкціонованим зверненням.
7.4. Право на подання скарги
Якщо ваша заява відхилена, ви вважаєте нашу відповідь незадовільною або ми не відповіли у встановлений термін, ви маєте право подати скаргу до відповідного органу із захисту даних. Це право може бути реалізовано протягом 30 днів з дати отримання нашої відповіді та в будь-якому випадку протягом 60 днів з дати вашої первісної заяви.
- Для Туреччини: Управління із захисту персональних даних (KVKK)
- Для Сполученого Королівства: Управління Уповноваженого з питань інформації (ICO)
РОЗДІЛ 8: ЗМІНИ В ПОЛІТИЦІ ТА НАБРАННЯ ЧИННОСТІ
8.1. Зміни в Політиці
Група Lansarin залишає за собою право вносити зміни до цієї Політики конфіденційності у зв'язку зі змінами в законодавстві, технологічними розробками, новими бізнес-процесами або корпоративними потребами.
Усі зміни до Політики набирають чинності негайно після публікації оновленого тексту на офіційному веб-сайті нашої Компанії. Ми докладемо розумних зусиль для інформування суб'єктів даних про будь-які суттєві зміни електронною поштою, через повідомлення на нашому веб-сайті або іншими ефективними каналами зв'язку.
Тому ми рекомендуємо вам періодично переглядати цю Політику, щоб бути в курсі того, як захищаються ваші персональні дані. «Дата набрання чинності» та номер «Версії» у верхній частині Політики допоможуть вам відстежувати останні оновлення.
8.2. Набрання чинності
Ця Політика конфіденційності набирає чинності з дати її публікації, 26 вересня 2025 року, і буде доступна громадськості на всіх відповідних платформах, включаючи веб-сайт нашої Компанії. З моменту набрання чинності цією Політикою всі раніше опубліковані політики або заяви з того ж питання втрачають чинність.
Обробка форм третьою стороною
Форми, надіслані на цьому сайті, доставляються нам через сервіс Web3Forms (https://web3forms.com), який обробляє передані дані виключно для пересилання нам електронною поштою та не зберігає їх на постійній основі.
Ця політика конфіденційності діє з моменту публікації та може час від часу оновлюватися.