Richtlinie zur Speicherung und Vernichtung personenbezogener Daten
Veröffentlichungsdatum: 01.11.2025
1. Einleitung
1.1. Zweck
Diese Richtlinie zur Speicherung und Vernichtung personenbezogener Daten ("Richtlinie") wurde erstellt, um die Verfahren und Grundsätze für die Speicherung und Vernichtung personenbezogener Daten festzulegen, die im Rahmen der von Fayra Media LLC ("Unternehmen") betriebenen mobilen Dating-Anwendung namens "Amore" ("Anwendung") verarbeitet werden, in Übereinstimmung mit dem Gesetz zum Schutz personenbezogener Daten Nr. 6698 ("Gesetz" oder "KVKK") und der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten ("Verordnung").
1.2. Geltungsbereich
Diese Richtlinie umfasst alle natürlichen Personen, deren personenbezogene Daten vom Unternehmen verarbeitet werden, einschließlich, aber nicht beschränkt auf Mitarbeiter des Unternehmens, Bewerber, Anwendungsnutzer (Mitglieder), Besucher und Dritte, sowie alle Aufzeichnungsmedien, in denen solche Daten verarbeitet werden. Insbesondere fallen besondere Kategorien personenbezogener Daten, die über die Anwendung erfasst werden (Sexualleben, Standortdaten usw.), in den vorrangigen Schutzbereich dieser Richtlinie.
2. Definitionen
Empfängergruppe: Die Kategorie natürlicher oder juristischer Personen, an die Daten übermittelt werden.
Vernichtung: Die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten.
Aufzeichnungsmedium: Jedes elektronische oder physische Medium, in dem personenbezogene Daten gespeichert werden.
Periodische Vernichtung: Der Vernichtungsprozess, der von Amts wegen in festgelegten Abständen durchgeführt wird, wenn alle im Gesetz festgelegten Verarbeitungsbedingungen entfallen.
Besondere Kategorien personenbezogener Daten: Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession, Kleidung, Vereins-/Stiftungs-/Gewerkschaftsmitgliedschaft, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
3. Verantwortlichkeit und Aufgabenverteilung
Das im Unternehmen eingerichtete Komitee zum Schutz personenbezogener Daten ist für die Erstellung, Aktualisierung, Durchführung und Veröffentlichung dieser Richtlinie verantwortlich. Die IT-Abteilung ist für die Verwaltung der Datenerfassungssysteme, die Durchführung von Penetrationstests und die Umsetzung technischer Maßnahmen verantwortlich; die Rechts- und Personalabteilungen sind gemeinsam für die Umsetzung administrativer Maßnahmen verantwortlich.
4. Aufzeichnungsumgebungen
Personenbezogene Daten werden vom Unternehmen in den folgenden Umgebungen sicher gespeichert:
Elektronische Umgebungen
Server (Datenbank, Anwendungsserver), Cloud-Systeme, Unternehmens-E-Mail-Konten, Dokumentenmanagementsysteme, Informationssicherheitsgeräte (Firewalls, Intrusion-Detection- und Prevention-Systeme, DLP usw.).
Physische Umgebungen
Papierbasierte Formulare, Archivräume (verschlossene Schränke).
5. Gründe für Speicherung und Vernichtung
5.1. Rechtliche und technische Gründe für die Speicherung
Das Unternehmen speichert personenbezogene Daten aus folgenden Gründen und Rechtsgrundlagen: Erfüllung von Verpflichtungen aus gesetzlichen Vorschriften, insbesondere Gesetz Nr. 6698, Gesetz Nr. 5651 über die Regulierung von Veröffentlichungen im Internet, Gesetz Nr. 6563 über die Regulierung des elektronischen Handels und das türkische Strafgesetzbuch. Erfüllung des Mitgliedschaftsvertrags der Amore-Anwendung und ununterbrochene Bereitstellung von Diensten. Als Beweismittel bei möglichen zukünftigen Rechtsstreitigkeiten. Gewährleistung der Informationssicherheit und Verhinderung böswilliger Nutzung.
5.2. Gründe für die Vernichtung
In folgenden Fällen werden personenbezogene Daten auf Antrag der betroffenen Person oder von Amts wegen durch das Unternehmen gelöscht, vernichtet oder anonymisiert: Wegfall der rechtlichen oder vertraglichen Gründe für die Verarbeitung. Widerruf der ausdrücklichen Einwilligung durch die betroffene Person. Annahme des Löschantrags gemäß Artikel 11 des Gesetzes durch das Unternehmen oder Löschungsanordnung durch den Vorstand. Ablauf der Speicherfrist und Fehlen eines berechtigten Interesses.
6. Technische und administrative Maßnahmen
Das Unternehmen trifft gemäß Artikel 12 des Gesetzes folgende Maßnahmen zur Gewährleistung der Datensicherheit:
6.1. Technische Maßnahmen
Penetrationstests und Audits
Regelmäßige Penetrationstests und Schwachstellenscans werden an IT-Systemen durchgeführt. Identifizierte Schwachstellen werden umgehend behoben.
Zugriffsprotokolle und DLP
Alle Systemaktivitäten (Zugriffsprotokolle) werden überwacht und manipulationssicher gespeichert. Data Loss Prevention (DLP)-Systeme werden eingesetzt, um die unbefugte Extraktion sensibler Daten außerhalb des Unternehmens zu verhindern.
Kryptographischer Schutz
Passwörter der Amore-Anwendungsnutzer, besondere Kategorien personenbezogener Daten wie sexuelle Präferenzen und Gesundheitsinformationen sowie sensible Standortdaten werden mit kryptographischen Methoden (Verschlüsselung) gespeichert.
Zugriffsberechtigungsmatrix
Der Zugriff der Mitarbeiter auf Daten ist auf ihre Stellenbeschreibungen beschränkt. Das Prinzip der Erforderlichkeit wird angewendet. Zugriffsrechte von Mitarbeitern, deren Berechtigung widerrufen wird, werden sofort entzogen.
Cybersicherheit
Aktuelle Antivirenprogramme, Web Application Firewalls (WAF) und Intrusion-Detection-Systeme sind rund um die Uhr aktiv. IP-Beschränkungen und Kontosperrmechanismen sind gegen Angriffe wie Brute-Force-Passwort-Spraying vorhanden.
6.2. Administrative Maßnahmen
Separate Offenlegung und Einwilligung
Datenschutzrichtlinie, Informationstext und Einwilligungserklärungen werden als separate Dokumente präsentiert. Einwilligungsprozesse sind an aktive Genehmigungsmechanismen (Opt-in) gebunden.
Mitarbeiterschulung
Allen Mitarbeitern werden regelmäßige Schulungen zu KVKK, Datensicherheit und Cyberangriff-Bewusstsein angeboten.
Vertraulichkeitsverpflichtungen
Mit Mitarbeitern und datenverarbeitenden Lieferanten werden Vertraulichkeitsvereinbarungen unterzeichnet.
Notfallplan für Datenschutzverletzungen
Es wurden Verfahren eingerichtet, die sicherstellen, dass der Vorstand und die betroffenen Personen innerhalb von höchstens 72 Stunden nach Feststellung einer möglichen Datenschutzverletzung benachrichtigt werden.
7. Techniken zur Vernichtung personenbezogener Daten
7.1. Löschung
Auf Servern oder in elektronischen Medien gespeicherte Daten werden für die betreffenden Nutzer vollständig unzugänglich und unbrauchbar gemacht. Bei Löschvorgängen mit Datenbankbefehlen (DELETE) wird sichergestellt, dass die Daten unwiderruflich überschrieben werden (Wiping). Das bloße Sperren oder Ausblenden in der Benutzeroberfläche gilt nicht als Vernichtung; die Daten werden vollständig aus dem System entfernt.
7.2. Physische Vernichtung
Daten auf physischen Medien (Papierausdrucke) werden mit Aktenvernichtern so zerstört, dass eine Wiederzusammensetzung unmöglich ist. Optische und magnetische Medien werden durch Einschmelzen, Verbrennen oder Pulverisierung physisch vernichtet.
7.3. Anonymisierung
Der Prozess, personenbezogene Daten so zu gestalten, dass sie unter keinen Umständen, auch nicht bei Abgleich mit anderen Daten, einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. Das Unternehmen verwendet Datenmaskierungs- und Aggregationsmethoden für statistische Analysen.
8. Speicher- und Vernichtungsfristen
| Datenkategorie | Speicherdauer | Vernichtungsfrist/-methode | Rechtsgrundlage |
|---|---|---|---|
| Mitgliedschaftsinformationen (Name, Nachname, E-Mail) | Während der Mitgliedschaft + 10 Jahre nach Ende der Mitgliedschaft | Erste periodische Vernichtung nach Ablauf | TBK, TTK (Verjährungsfrist für Handelsstreitigkeiten) |
| Verkehrs- und Protokolldaten | 2 Jahre | Erste periodische Vernichtung nach Ablauf | Gesetz Nr. 5651 |
| Besondere Datenkategorien (Präferenzen, Gesundheit usw.) | Während der Mitgliedschaft | Sofort bei Mitgliedschaftskündigung oder Kontolöschungsantrag | KVKK Art. 6 (Widerruf der Einwilligung) |
| Nachrichteninhalte | Während der Mitgliedschaft | Sofort bei Mitgliedschaftskündigung oder Kontolöschungsantrag | KVKK Art. 4 (Verhältnismäßigkeitsprinzip) |
| Cookie-Aufzeichnungen | Je nach Cookie-Typ (Sitzungsende oder max. 2 Jahre) | Automatische Löschung bei Ablauf | Cookie-Richtlinie |
Hinweis: Im Falle eines Rechtsstreits (Klage, Ermittlung) werden die Speicherfristen bis zum Abschluss des Verfahrens verlängert.
9. Periodische Vernichtungsfrist
Gemäß Artikel 11 der Verordnung führt das Unternehmen alle 6 (sechs) Monate eine periodische Vernichtung personenbezogener Daten durch, deren Speicherfrist abgelaufen ist. Die periodischen Vernichtungen werden im Juni und Dezember jedes Jahres durchgeführt.
10. Löschung und Vernichtung auf Antrag der betroffenen Person
Nutzer können die Löschung oder Vernichtung ihrer Daten durch Antrag an das Unternehmen verlangen. Wenn die Verarbeitungsbedingungen vollständig entfallen sind, schließt das Unternehmen den Antrag innerhalb von höchstens 30 (dreißig) Tagen ab und löscht/vernichtet die Daten. Wenn die Verarbeitungsbedingungen fortbestehen (z.B. gesetzliche Verpflichtung), kann der Antrag mit Begründung abgelehnt werden, und die betroffene Person wird schriftlich/elektronisch benachrichtigt. Bei Ablehnung oder Nichtbeantwortung innerhalb der Frist kann die betroffene Person ihr Beschwerderecht beim Vorstand ausüben.
11. Inkrafttreten und Aktualisierung
Diese Richtlinie tritt mit dem Datum ihrer Veröffentlichung auf der Website des Unternehmens und innerhalb der Anwendung in Kraft. Die Richtlinie wird parallel zu Änderungen der gesetzlichen Vorschriften oder der Unternehmensprozesse aktualisiert. Die aktuelle Version ist für Nutzer jederzeit zugänglich.
Fayra Media LLC
169 Madison Ave Ste 11534 New York, NY 10016-5101 United States
Dein perfektes Match ist hier
Tritt Amore heute bei und beginne echte Verbindungen zu knüpfen. Kostenlos herunterladen, jetzt erkunden.
