Daimler Data Protection Policy (Turkish) / Veri gizliligi yönetmeligi

Veri gizliliği
yönetmeliği.
VERI GIZLILIĞI YÖNETMELIĞI | ÖNSÖZ
2
Önsöz
Sayın Bayanlar ve Baylar,
Dijital çağ ın bir gereksinimi olarak müşterilerimize araç içinde de sunduğumuz “always on”
olma olanağnın bir koşulu da verilerin toplanması ve işlenmesidir. Ancak servis hizmeti veya
yeni bir araç satın alımı olmasına bakılmaksızın bizim için geçerli olan esas şudur: Verilerin
kaydedildiği ve gönderildiği her yerde, yüksek ölçüde veri gizliliği ve veri güvenliği sağlanmalıdır.
Bu hem müşterilerin, hem iş ortaklarının hem de çalışanların verileri için geçerlidir. Çünkü veri
gizliliği, kişinin korunması demektir.
Hedefimiz, Daimler’in sadece güvenli araçları değil, aynı zamanda veri gizliliği ile ilgili yüksek
standartları da temsil etmesidir. Bu nedenle küresel olarak faaliyet gösteren bir kuruluş olarak,
dünya çapındaki kişisel bilgilerin toplanması ve işlenmesi ile ilgili farklı yasal gereksinimlere
uymak bizim görevimizdir. Kişisel bilgilerin kullanımına ilişkin tek tip ve dünya çapında geçerli
bir standart oluşturmak, bizim için başlıca önceliktir. Çünkü her kişinin özlük haklarını ve
mahremiyetini korumak, bizim için güvene dayalı bir iş ilişkisinin kurulması adına temel teşkil
eder.
Veri gizliliğine ilişkin grup yönetmeliğimizde müşteri, iş ortakları ve çalışanların kişisel bilgilerinin
işlenmesi ile ilgili koşulları düzenledik. Avrupa veri gizliliği yönetmeliğine bu düzenlemeler,
dünya çapında geçerli olan ulusal ve uluslararası veri gizliliği kanunlarına riayet edilmesini
sağlıyoruz. Bununla birlikte şirketimizde dünya çapında geçerli olan bir veri gizliliği ve veri
güvenliği standardı belirlemiş ve grup şirketlerimiz arasındaki veri alışverişini düzenlemiş
oluyoruz. Ölçüt olarak yedi adet veri güvenliği esası belirledik, bunların arasında şeffaflık, veri
tasarrufu ve veri güvenliği de bulunmaktadır.
Yöneticilerimiz ve çalışanlarımız, veri gizliliğine ilişkin grup yönetmeliğine ve ilgili veri gizliliği
yasalarına uymakla yükümlüdürler. Veri gizliliği için şirketler grubu yetkilisi olarak ben de,
Daimler bünyesinde veri gizliliği ile ilgili dünya çapındaki yasal düzenlemelere ve prensiplere
uyulmasını sağlamakla sorumluyum.
Çalışanlarım ve ben sizlere Daimler bünyesindeki veri gizliliği ve veri güvenliği konularında her
zaman yardımcı olmaya hazırız.
Dr. Joachim Rieß
Veri gizliliği için şirketler grubu yetkilisi
VERI GIZLILIĞI YÖNETMELIĞI | İÇINDEKILER
3
İçindekiler
I.
Veri koruma yönetmeliğinin amacı
4
II.
Veri koruma yönetmeliğinin kapsamı ve değiştirilmesi
4
III. Ulusal kanunların uygulanması
5
IV.
5
5
5
5
6
6
6
6
Kişisel bilgilerin işlenmesi ile ilgili temel kurallar
1. Adalet ve hukuka uygunluk
2. Amaca özel kısıtlama
3.Şeffaflık
4. Veri azaltma ve veri ekonomisi
5.Silme
6. Olgusal doğruluk ve veri güncelliği
7. Gizlilik ve veri güvenliği
V. Veri işlemlerine izin verilmesi
1.
Müşteri ve ortakların verisi
1.1 Sözleşmesel ilişki için veri işleme
1.2 Reklam amaçlı veri işleme
1.3 Veri işleme için onay verilmesi
1.4 Yasal izinler sebebiyle yapılan veri işlemleri
1.5 Meşru menfaate uygun olarak veri işlenmesi
1.6 Çok hassas verilerin işlenmesi
1.7 Otomatikleştirilmiş münferit kararlar
1.8 Kullanıcı bilgileri ve internet
2.
Personel bilgileri
2.1 İş ilişkisi için verilerin işlenmesi
2.2 Yasal yetkilendirmeler sebebiyle yapılan veri işlemleri
2.3 Veri işleme ile ilgili toplu sözleşme düzenlemeleri
2.4 Veri işleme için onay verilmesi
2.5 Meşru menfaate uygun olarak verilerin işlenmesi
2.6 Çok hassas verilerin işlenmesi
2.7 Otomatikleştirilmiş veri işleme
2.8 Telekomünikasyon ve internet
6
7
7
7
7
7
8
8
8
8
9
9
9
9
9
10
10
10
11
VI. Kişisel bilgilerin aktarımı
11
VII. Taraflarca veri işleme
12
VIII. İlgili kişinin hakları
13
IX. İşlemlerin gizliliği
13
X. İşlem güvenliği
14
XI. Veri koruma kontrolü
14
XII. Veri korumasına ilişkin olaylar
14
XIII. Sorumluluklar ve yaptırımlar
15
XIV. Şirket Veri Koruma Yetkilisi
15
XV. Tanımlar
16
VERI GIZLILIĞI YÖNETMELIĞI | I. VERI KORUMA YÖNETMELIĞININ AMACI | II. VERI KORUMA YÖNETMELIĞININ KAPSAMI VE DEĞIŞTIRILMESI
I.
4
Veri koruma yönetmeliğinin amacı
Sosyal sorumluluğunun bir parçası olarak Daimler Grubu, veri koruma kanunlarıyla uluslararası
uyumu taahhüt eder. Bu veri koruma yönetmeliği dünya çapında Daimler Grubu için geçerlidir ve
veri koruma ile ilgili dünya çapında kabul edilmiş temel prensiplere dayanır. Veri korumanın
sağlanması, güven içeren bir iş ilişkisinin temeli ve Daimler Grubu’nun talep edilen bir işveren
olarak itibarıdır.
Bu veri koruma yönetmeliği, grup şirketleri arasındaki sınır ötesi veri iletimi1 için gerekli çerçeve
şartlarından birini sağlamaktadır. Bu yönetmelik Avrupa Birliği Veri Koruma Direktifi2 ve yeterli
veri koruma kanunları3 olmayan ülkeleri de içeren sınır ötesi veri iletimi için ulusal kanunlar tara­­
fından yeterli seviyede veri korumasını garanti eder.
II.Veri koruma yönetmeliğinin kapsamı
ve değiştirilmesi
Bu veri koruma yönetmeliği Daimler Grubu’na ait tüm şirketler için geçerlidir, diğer bir deyişle
Daimler AG ve Daimler AG’ye bağlı grup şirketleri ve bunlara bağlı şirketler ve çalışanları bu
kapsamdadır. Bağlılık bu bağlamda, Daimler AG’nin doğrudan ya da dolaylı olarak oy çoğunluğu,
yönetim temsilinin çoğunluğu veya bir anlaşmayı temel alarak bu veri koruma yönetmeliğinin
kabul edilmesini talep edebilir. Veri koruma yönetmeliği, tüm kişisel bilgilerin işlenmesini kapsar4.
Bu veri koruma yönetmeliği, tüzel kişilerin bilgilerinin de kişisel veri olarak aynı kapsamda
korunduğu ülkelerde tüzel kişilerin verileri için de aynı şekilde geçerlidir. İstatistik5 değerlendirmeler
veya incelemeler gibi amaçlarla anonimleştirilen bilgiler bu veri koruma yönetmeliğine tabi
değildir.
Bireysel grup şirketleri, bu veri koruma yönetmeliğinin dışında düzenleme kabul etmeye yetkili
değillerdir. Veri koruma ile ilgili ilave yönetmelikler, sadece ulusal kanunun bunu gerektirmesi
durumunda veri koruma için Şirket Veri Koruma Yetkilisi ile mutabakat halinde oluşturulabilir. Bu
veri koruma yönetmeliği, yönetmeliğin değiştirilmesi için tanımlanmış prosedür dâhilinde ve
Şirket Veri Koruma Yetkilisiyle koordinasyon halinde değiştirilebilir. Değişiklikler Daimler Grubu
şirketlerine, yönetmeliklerin değiştirilmesi sürecini kullanarak derhal raporlandırılacaktır. Veri
koruma yönetmeliği ile uyum üzerinde büyük etkisi olan değişiklikler, bu veri koruma yönetmeliğinin
onayı için bağlayıcı şirket içi veri koruma düzenlemeleri düzenleyen veri koruma makamlarına
yıllık olarak bildirilir.
Veri koruma yönetmeliğinin en güncel sürümü Daimler AG’nin www.daimler.com adresindeki web
sitesinde veri gizliliği bilgileri ile ulaşılabilir.
1
Bkz. XV.
2
Avrupa parlamentosunun ve komisyonunun kişisel bilgilerin işlenmesinde ve serbest veri trafiğinde bireylerin
korunmasına ilişkin 95/46/AT sayılı direktifi; bkz.
http://ec.europa.eu/justice_home/fsj/privacy/law/index_de.htm#richtlinie
3
Bkz. XV.
4
Bkz. XV.
5
Bkz. XV.
VERI GIZLILIĞI YÖNETMELIĞI | III. ULUSAL KANUNLARIN UYGULANMASI | IV. KIŞISEL BILGILERIN IŞLENMESI ILE ILGILI TEMEL KURALLAR
5
III. Ulusal kanunların uygulanması
Bu veri koruma yönetmeliği, varolan ulusal kanunları değiştirmeden, uluslararası kabul edilmiş
veri gizliliği prensiplerini içermektedir. Bu yönetmelik ulusal veri koruma kanunlarını tamamlar.
İlgili ulusal kanunun veri koruma yönetmeliğiyle bağdaşmaması veya bu yönetmelikten daha sıkı
gereksinimleri olması durumunda ilgili ulusal kanun önceliklidir. Bu veri koruma yönetmeliğinin
içeriği, uygun bir ulusal mevzuat bulunmaması halinde de gözlemlenmelidir. Ulusal kanunlar kap­
samında veri işlemeleri için olan bildirim gereksinimleri dikkate alınmalıdır.
Daimler Grubu’nun her şirketi, bu veri koruma yönetmeliğine ve yasal yükümlülüklere uyulma­
sından sorumludur. Yasal yükümlülüklerin bu veri koruma yönetmeliğindeki yükümlülükler ile
çelişkili olduğuna dair bir çekince varsa ilgili grup şirketi, veri koruma için Şirket Veri Koruma Yetki­
lisini bilgilendirmelidir. Ulusal mevzuat ile veri koruma yönetmeliği arasında bir çelişme olması
durumunda Daimler AG, ilgili grup şirketi ile birlikte veri koruma yönetmeliğinin amacına uygun
pratik bir çözüm bulmak için çalışacaktır.
IV.Kişisel bilgilerin işlenmesi ile ilgili
temel kurallar
1.Adalet ve hukuka uygunluk
Kişisel bilgilerin işlenmesinde söz konusu bireylerin kişi hakları korunmalıdır6. Kişisel veri hukuka
uygun ve adil bir şekilde toplanmalı ve işlenmelidir.
2.Amaca özel kısıtlama
Kişisel veri yalnızca verilerin toplanmasından önce tanımlanmış amaç için işlenebilir. Amaca ilave
değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür.
3.Şeffaflık
İlgili birey, kendi bilgilerinin kullanımı hakkında bilgilendirilmelidir. Kişisel veri genelde ilgili
bireyden doğrudan alınır. Veri toplandığında ilgili birey aşağıdaki maddelerin farkında olmalı ya
da bilgilendirilmelidir:
»Veri kontrolörünün kimliği7
»Veri işlemenin amacı
»Verinin aktarılabileceği üçüncü şahıs8 ya da üçüncü şahıs kategorileri
6
Bkz. XV.
7
Bkz. XV.
8
Bkz. XV.
VERI GIZLILIĞI YÖNETMELIĞI | IV. KIŞISEL BILGILERIN IŞLENMESI ILE ILGILI TEMEL KURALLAR | V. VERI IŞLEMLERINE IZIN VERILMESI
6
4.Veri azaltma ve veri ekonomisi
Kişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi
kapsamda gerekli olduğu belirlenmelidir. Amacın kabul edilebilir ve orantılı olduğu durumda
anonim ya da istatistik veri kullanılmalıdır.
Kişisel veri ulusal kanunun gerektirmesi veya izni olmadan gelecekteki potansiyel amaçlar için
önceden toplanamaz ve depolanamaz.
5.Silme
Yasal veya iş süreci ile ilgili sürelerin sona ermesinden sonra artık gerekli olmayan kişisel veri9
silinmelidir. Münferit hallerde bu verinin korunmasını gerektiren veya tarihi öneminin olduğunu
gösteren durumların belirtisi olabilir. Eğer öyleyse, koruma gerektiren durumlar yasal olarak
açıklığa kavuşturulana kadar veya şirket arşivlerin tarihsel amaçlar için verilerin saklanmasına
karar verilmesi değerlendirilene kadar veri dosyada kalmalıdır.
6.Olgusal doğruluk ve veri güncelliği
Dosyadaki kişisel veri doğru, tam ve -gerekli olması halinde- güncel tutulmalıdır. Doğru olmayan
veya eksik olan verilerin silinmesini, düzeltilmesini, tamamlanmasını veya güncellenmesini
sağlamak için uygun adımlar atılmalıdır.
7. Gizlilik ve veri güvenliği
Kişisel veri gizliliğe tabidir. Yetkisiz erişimi, yasal olmayan işlemleri, paylaşımı, yanlışlıkla
kaybolmayı, değiştirilmeyi veya tahrip edilmeyi engellemek için uygun organizasyonel ve teknik
tedbirlerle korunmalı ve kişisel seviyede gizli tutulmalıdır.
V. Veri işlemlerine izin verilmesi
Kişisel verilerin toplanması, işlenmesi ve kullanılması sadece aşağıdaki yasal temeller dâhilinde
izinlidir. Kişisel verinin toplanma, işlenme ve kullanma amacı esas amacında değişiklik olması
durumunda da bu yasal temellerden biri gereklidir.
9
Bkz. XV.
VERI GIZLILIĞI YÖNETMELIĞI | 1. MÜŞTERI VE ORTAKLARIN VERISI
7
1. Müşteri ve ortakların verisi
1.1 Sözleşmesel ilişki için veri işleme
İlgili kişiye, müşteriye veya ortağa ait kişisel veri bir sözleşmenin kurulması, uygulanması ve
sonlandırılması için işlenebilir. Sözleşme amacıyla ilgili ise, bu ayrıca sözleşmedeki ortak için
danışma hizmeti vermeyi de içerir. Sözleşme öncesinde – sözleşmeye başlama aşamasında- kişi­
sel bilgiler teklif hazırlamak, satın alma formu hazırlamak ya da ilgili kişinin sözleşme sonucuyla
bağlantılı taleplerini karşılamak amacıyla işlenebilir. Sözleşme hazırlanma sürecinde ilgili kişilerle
sağladıkları bilgiler ışığında iletişime geçilebilir. İlgili kişilerce talep edilen sınırlandırmalara
uyulmalıdır. Bunun dışında kalan reklam önlemleri için V.1.2. altındaki gereklilikler dikkate
alınmalıdır.
1.2 Reklam amaçlı veri işleme
Eğer ilgili kişi bir Daimler Grubu şirketiyle bilgi talebi ile ilgili iletişime geçerse (örn. bir ürün ile
ilgili bilgi materyali alma talebi), bu talebi karşılama amaçlı veri işlemesine izin verilir.
Müşteri bağlılığı ve reklam tedbirleri için başka yasal gereklilikler söz konusudur. Kişisel bilgiler
reklam ya da pazar ve kamuoyu araştırmaları için ancak bu bilgilerin toplanma amacının bu
amaca uygun olması durumunda işlenebilir. İlgili kişi bilgilerinin reklam amaçlı kullanılacağı ile
ilgili bilgilendirilmelidir. Bilgilerin sadece reklam amaçlı toplanması durumunda ilgili kişiler bu
bilgileri açıklamakta serbesttir. İlgili kişi bilgilerini bu amaçla verme konusundaki özgürlüğü hakkında
bilgilendirilmelidir. İlgili kişi10 ile, iletişimde bilgilerinin reklam amaçlı işlenmesi için bu kişinin
rızası alınmalıdır. İlgili kişi bu rıza verme kapsamında posta, elektronik posta veya telefon gibi uygun
iletişim kanalları arasında seçim yapabilmelidir (rıza beyanı bkz. V.1.3).
İlgili kişi, bilgilerinin reklam amaçlı kullanımına izin vermediğinde, veriler artık bu amaçlar için
kullanılamaz ve bu amaçlarla kullanılması engellenmelidir. Ayrıca bazı ülkelerdeki verilerin reklam
amaçlı kullanımı konusundaki mevcut sınırlamaları dikkate alınmalıdır.
1.3 Veri işleme için onay verilmesi
Veri işlemleri ilgili kişinin rızası sonucunda gerçekleşebilir. Rıza vermeden önce ilgili kişinin bu veri
koruma yönetmeliğinin IV.3 maddesine uygun olarak bilgilendirilmesi gerekir. Rıza beyanı belgeleme
amacıyla yazılı veya elektronik yoldan alınmalıdır. Telefonla konuşmaları gibi bazı durumlarda rıza
verme sözlü olabilir. Bu durumda rıza beyanı belgelenmelidir.
1.4 Yasal izinler sebebiyle yapılan veri işlemleri
Kişisel bilgilerin, yerel hukukun talep etmesi, gerektirmesi ya da bu işlemlere izin vermesi du­
rumunda da işlenmesi serbesttir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri
işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
1.5 Meşru menfaate uygun olarak veri işlenmesi
Kişisel bilgiler, Daimler Grubu’nun meşru bir menfaati için gerekli olduğunda da işlenebilir.
Meşru menfaatler genellikle yasal (örn. alacakların tahsil edilmesi) ya da ekonomik (örn. sözleşme
ihlallerinden kaçınma) menfaatlerdir. İlgili kişilerin menfaatlerinin korunması gerektiği ve bunun
öncelikli olması gibi kişisel durumlarda kişisel bilgiler meşru menfaat amaçları için işleme alına­
mayabilirler. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmelidir.
10
Bkz. XV.
VERI GIZLILIĞI YÖNETMELIĞI | 1. MÜŞTERI VE ORTAKLARIN VERISI
8
1.6 Çok hassas verilerin işlenmesi
Çok hassas11 kişisel bilgiler yalnızca yasaların gerektirmesi veya ilgili kişinin açık bir şekilde onay
vermesi halinde işlenebilir.
İlgili kişiyi ilgilendiren yasal taleplerin ileri sürülmesi, uygulanması veya korunması için zorunlu
olması halinde de bu verilerin işlenmesine izin verilir. Eğer çok hassas verilerin işlenmesi planla­
nıyor ise Şirket Veri Koruma Yetkilisi önceden bilgilendirilmelidir.
1.7 Otomatikleştirilmiş veri işleme
Bir takım unsurları (örn. kredi derecesi) belirlemek amacıyla kullanılan kişisel verilerin
otomatikleştirilmiş işlenmesi, olumsuz yasal sonuçları olan ve ilgili kişiyi olumsuz anlamda
etkileyen karaların tek başına temeli olamaz. İlgili kişi otomatikleştirilmiş veri işleme sonucundaki
kararların gerçekliği ve sonuçları ve cevap verebilme olasılığı hakkında bilgilendirilmedir. Hatalı
kararları önlemek amacıyla bir çalışan tarafından test ve güvenilirlik kontrolü yapılmalıdır.
1.8 Kullanıcı bilgileri ve internet
Web sitelerinde veya uygulamalarda kişisel bilgilerin toplanması, işlenmesi ve kullanılması duru­
munda ilgili kişiler gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilmelidir. Gizlilik
bildirimi ve çerez bilgileri, ilgili kişi için kolay tanımlanabilecek, doğrudan erişilebilecek ve sürekli
uygun olacak şekilde entegre edilmelidir.
Web sitelerinin ve uygulamaların kullanımının değerlendirilmesi için kullanım profillerinin (tracking)
oluşturulması durumunda gizlilik sözleşmesinde ilgili kişi bu konu hakkında kesinlikle uygun bir
şekilde bilgilendirilmelidir. Kişiye özgü izleme, ancak yerel hukukun izin vermesi veya ilgili kişinin
rızası ile etkilenebilir. İzlemenin bir rumuz altında yapılması durumunda gizlilik sözleşmesinde
ilgili kişiye bir vazgeçme şansı sunulmalıdır (Opt-out).
Web siteleri veya uygulamalar kayıtlı kullanıcılarla sınırlandırılmış bir alanda kişisel bilgilere ula­
şabiliyorsa ilgili kişinin tanımlanması ve kimliğinin doğrulanması erişim boyunca yeterli koruma
sağlamalıdır.
11
Bkz. XV.
VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI
9
2. Personel bilgileri
2.1 İş ilişkisi için verilerin işlenmesi
İş ilişkilerinde kişisel bilgiler, iş sözleşmesinin kurulması, uygulanması ve sonlandırılması için
gerekli olması halinde işlenebilir.
İş ilişkisi başlatılırken adayların kişisel bilgileri işlenebilir. Eğer aday reddedilirse, adaya ait
bilgiler aday daha sonraki bir seçim aşaması için verilerin kayıtlı tutulmasını kabul ettiği sürece
muhafaza edilmeli, sonrasında yasal veri saklama süresi gözetilerek silinmelidir. Verilerin daha
sonraki başvuru işlemlerinde ya da başvurunun diğer grup şirketleriyle paylaşılmasından önce
de onay gereklidir.
Mevcut iş ilişkisinde aşağıdaki veri işleme durumlarından hiçbiri sağlanmıyorsa veri işleme iş
sözleşmesinin amacıyla ilişkilendirilmelidir.
Bir iş başvuru sürecinde veya aday hakkında üçüncü kişilerden bilgi edinilmesi gerekli olduğunda
ilgili yerel hukukun gerekleri dikkate alınmalıdır. Şüphe durumunda ilgili kişinin rızası alınmalıdır.
İş ilişkisi bağlamında bulunan, ancak iş sözleşmesinin uygulanması ile ilişkili olmayan kişisel
bilgilerin işlenmesi için ilgili yasal yetkinin olması gerekir. Bunlar yasal gereklilikleri, işçi temsil­
cileriyle toplu iş sözleşmesi düzenlemelerini, çalışanın rızası veya şirketin meşru menfaatlerini
içerir.
2.2 Yasal yetkilendirmeler sebebiyle yapılan veri işlemleri
Çalışana ait kişisel bilgilerin işlenmesine, yerel hukukun talep etmesi, gerektirmesi ya da
yetkilendirmesi durumlarında da izin verilir. Veri işlemenin tür ve kapsamı, yasal olarak yetki
verilen veri işleme faaliyetleri için gerekli ve ilgili yasa hükümlerine uygun olmalıdır. Yasal bir
esneklik olması durumunda çalışanın korunması gereken menfaatleri göz önünde bulundu­
rulmalıdır.
2.3 Veri işleme ile ilgili toplu sözleşme düzenlemeleri
Bir veri işleme faaliyeti sözleşme uygulamasının amacının kapsamı dışına çıkması toplu sözleşme
tarafından yetki verilmesi durumunda izinli olabilir. Toplu sözleşmeler maaşlı kadro sözleşmeleri
veya ilgili iş hukuku kapsamında işveren ile işçi temsilcilikleri arasında yapılan anlaşmalardır. Bu
anlaşmalar istenilen veri işleme faaliyetinin amacı kapsamında bulunmalı ve ulusal veri koruma
yönetmelikleri uyarınca hazırlanmalıdır.
2.4 Veri işleme için onay verilmesi
Çalışan bilgileri ilgili kişinin rızası sonucunda işlenebilir. Rıza beyanları gönüllü olarak verilmelidir.
Gönülsüz verilen rıza beyanları geçersizdir. Rıza beyanı belgeleme amacıyla yazılı veya elektronik
yoldan alınmalıdır. Bazı durumlarda rıza verme sözlü olabilir, bu durumda rıza uygun bir şekilde
belgelenmelidir. Ulusal hukukun açık bir onay öngörmemesi durumunda ilgili kişiden gönüllü
olarak bir onay alınabilir. Rıza vermeden önce ilgili kişinin bu veri koruma yönetmeliğinin IV.3
maddesi uyarınca bilgilendirilmesi gerekir.
VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI
10
2.5 Meşru menfaate uygun olarak verilerin işlenmesi
Çalışana ait kişisel bilgiler, Daimler Grubu’nun meşru bir menfaatinin gerektiğinde de işlenebilir.
Meşru menfaatler genellikle yasal (örn. yasal hakların dosyalanması, uygulanması ya da savunul­
ması) ya da ekonomik (örn. şirketin değerlendirilmesi) menfaatlerdir.
Çalışanların menfaatlerinin korunması gerektiği kişisel durumlarda kişisel bilgiler meşru menfaat
amaçları için işleme alınamayabilirler. Veriler işlenmeden önce koruma gerektiren menfaatlerin
olup olmadığı belirlenmelidir.
Çalışanlara ait verilerin işlenmesini gerektiren kontrol önlemleri yalnızca yasal bir zorunluluk
bulunduğunda ya da meşru bir sebep bulunduğunda alınabilir. Gerekçeli bir sebep var olsa dahi
bu kontrol önleminin ölçülü olup olmadığı incelenmelidir. Şirketin bu kontrol önlemini almasındaki
haklı menfaatinin (örn. yasal hükümlere ve şirket içindeki kurallara uygunluk) ilgili çalışanın
korunması gereken bir hakkını ihlal etmediği kontrol edilmeli ve sadece ölçülü olması halinde uygu­
lanmalıdır. Şirketin bu meşru menfaatleri ve çalışanın korunması gereken menfaatleri alınacak
her önlemden önce belirlenmeli ve belgelenmelidir. Ayrıca yerel hukukun ilave gereklilikleri (örn.
çalışan tarafının temsilcisinin ortak karar alma hakkı ve ilgili kişinin bilgi alma hakkı) göz önünde
bulundurulmalıdır.
2.6 Çok hassas verilerin işlenmesi
Çok hassas kişisel bilgiler sadece belli koşullar altında işlenebilir. Irk ve etnik kökene, politik
düşüncelere, dini ya da felsefi düşüncelere, üye olunan sendikalara ve kişilerin sağlık ve cinsel
hayatlarına dair bilgiler Çok hassas bilgiler arasındadır. Yasalar nedeniyle başka veri kategorileri
de çok hassas veri olarak değerlendirilebilir ya da veri kategorilerinin içeriği farklı olarak oluş­
turulabilir. Buna ek olarak, suç ile ilgili bilgiler de genellikle ulusal yasanın özel gereklilikleri ile
işlenebilir.
İşlemler yerel hukuk çerçevesinde açık biçimde izin verilmiş ya da yazılmış olmalıdır. Ayrıca
sorumlu makamın haklarını ve görevlerini iş hukuku çerçevesinde uygulayabilmesi için gerekti­
ğinde işlemlere izin verilebilir. Çalışan bu işleme açık bir şekilde rıza gösterebilir.
Çok hassas verilerin işlenmesi planlanmışsa veri koruma için Şirket Veri Koruma Yetkilisi önceden
bilgilendirilmelidir.
2.7 Otomatikleştirilmiş veri işleme
Eğer kişisel veri iş ilişkisinin bir parçası olarak otomatikleştirilmiş bir şekilde işleniyor ve kişisel
bazı detaylar süreçteki değerlendirmeleri etkiliyorsa (örn. personel seçiminin bir parçası veya
yetenek profillerinin değerlendirilmesi olarak), bu otomatik işleme ilgili kişiyi olumsuz olarak
etkileyecek veya ilgili kişi için önemli problemlere yol açacak kararların alınmasında tek temel
olamaz. Hatalı kararları önlemek amacıyla otomatik işlem ilgili kişinin durumun içeriğini de­
ğerlendirmesini ve bu değerlendirmenin kararın temeli olmasını sağlamalıdır. İlgili kişi otomatikleş­
tirilmiş veri işleme sonucundaki kararların gerçekliği ve sonuçları ve cevap verebilme olasılığı
hakkında bilgilendirilmedir.
VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI | VI. KIŞISEL BILGILERIN AKTARIMI
11
2.8 Telekomünikasyon ve internet
Telefon donanımları, e-posta adresleri, şirket içi ağlar ile birlikte intranet ve internet, şirket tara­
fından öncelikli olarak işle ilgili görevler için sağlanır. Bunlar çalışma araçları ve şirket kaynaklarıdır.
Bunlar uygun yasal düzenlemelere ve şirketin iç yönetmeliklerine uygun olarak kullanılabilir.
Kişisel amaçlar için izin verilmiş kullanım durumunda telekomünikasyon gizliliği yasaları ve eğer
uygunsa ilgili ulusal telekomünikasyon yasaları dikkate alınmalıdır.
Telefon ve e-posta iletişimi veya intranet ve internet kullanımı ile ilgili genel denetleme olma­
maktadır. BT altyapısına veya bireysel kullanıcılara karşı saldırıları önlemek için Daimler ağına
geçişlerde, teknik açıdan zararlı içerikleri bloke eden veya saldırıların modellemesini analiz eden
koruyucu önlemler alınabilir. Telefon donanımlarının, e-posta adreslerinin, intranetin/internetin
ve/veya şirket içi sosyal ağların kullanımı, güvenlik nedenlerinden dolayı sınırlı bir süre saklana­
bilir. Bu verilerin kişiyle ilgili değerlendirmeleri ancak yasalar veya Daimler Grubu yönetmelikle­
rinin ihlaline ilişkin somut bir şüphenin var olması halinde yapılabilir. Bu kontroller ilgili depart­
manlar tarafından sadece ölçülülük prensibinin korunması şartıyla yerine getirilebilir. İlgili yerel
hukuk ve aynı şekilde bu konuyla ilgili grup yönetmelikleri dikkate alınmalıdır.
VI. Kişisel bilgilerin aktarımı
Kişisel bilgilerin Daimler Grubu dışındaki veya içindeki bir alıcıya aktarılması, bölüm V altında
kişisel bilgilerin işlenmesi için gereken yetkiye tabidir. Alıcının, kendisine aktarılan veriyi sadece
belirlenen amaç için kullanması gerekmektedir.
Üçüncü bir ülkede12 Daimler Grubu dışında bir alıcıya veri aktarılması durumunda bu ülke veri
koruma yönetmeliğine eşit derecede veri koruma sağlayacağını kabul etmelidir. Aktarımın yasal
bir yükümlülük dolayısıyla yapılmasında bu husus geçerli değildir. Bu tür yasal zorunluluk, verileri
ileten grup şirketinin merkezinin bulunduğu ülkeden kaynaklanabilir. Bundan farklı olarak grup
şirketinin merkezinin bulunduğu ülkenin yasaları, üçüncü bir ülkenin veri aktarımı ile ilgili yasal
yükümlülüğünün amacını tanıyabilir.
Üçüncü kişiler tarafından Daimler Grubu’nun bir şirketine veri aktarılması durumunda bu verilerin
öngörülen amaç için kullanıldığından emin olunmalıdır.
Kişisel bilgiler, merkezi Avrupa Ekonomik Alanı içinde bulunan bir grup şirketinden merkezi
Avrupa Ekonomik Alanı13 dışında bir ülkede (üçüncü ülke) bulunan bir grup şirketine aktarılaca­
ğında, ilgili denetimsel otorite veri koruma ve veriyi alan şirkete karşı, veriyi sağlayan makamın
merkezinin bulunduğu yerdeki devletin ilgili yetkili makamlarının tüm sorularına, bu verilerin
kopyalanmasına ve aktarılan verilerin işlenmesi konusunda yetkili makamın saptamalarına dikkat
etmelidir. Aynı husus, diğer ülkelerdeki grup şirketlerinin veri aktarımları için de geçerlidir.
Bunlar veri koruma ile ilgili bağlayıcı şirket kuralları için uluslararası bir sertifikasyon sistemine
katılıyorsa, ilgili denetleme makamları ve ajansları ile ilgili işbirliğini sağlamalıdırlar. Bu tür bir
sertifikasyon sistemine katılımda veri koruma için Şirket Veri Koruma Yetkilisi ile anlaşılmalıdır.
İlgili kişilerden gelebilecek, merkezi üçüncü bir ülkede bulunan ve verileri alan bir grup şirketinden
kaynaklanan bir veri koruma yönetmeliği ihlali bildirimi durumunda, merkezi Avrupa Ekonomik
Alanı içinde bulunan ve veriyi sağlayan grup şirketi, verileri Avrupa Ekonomik Alanı içinde top­
lanmış olan ilgili kişiye karşı durumun açıklığa kavuşturulmasında destek vermekle ve haklarını,
12
Bkz. XV.
13
Bkz. XV.
VERI GIZLILIĞI YÖNETMELIĞI | VI. KIŞISEL BILGILERIN AKTARIMI | VII. TARAFLARCA VERI İŞLEME
12
bu veri koruma yönetmeliğine göre, veriyi alan grup şirketine karşı savunmakla yükümlüdür.
Ayrıca ilgili kişinin veriyi veren grup şirketine karşı haklarını arama hakkı saklıdır. Bir ihlalin iddia
edilmesi durumunda veriyi veren şirket ilgili kişiye, üçüncü bir ülkede veriyi alan grup şirketinin
alınan bu verileri veri koruma yönetmeliğini ihlal edecek şekilde kullanmasının beklenmediğini
belgelemelidir.
Kişisel bilgilerin merkezi Avrupa Ekonomik Alanı içinde bulunan bir grup şirketinden merkezi
üçüncü bir ülkede bulunan bir grup şirketine aktarılması durumunda, verileri kontrol eden makam,
verileri Avrupa Ekonomik Alanı içinde toplanmış olan ilgili kişiye karşı, ihlali veriyi kontrol eden
taraf yapmış gibi üçüncü ülke içindeki grup şirketinin yaptığı ihlal nedeniyle sorumluluk sahibidir.
Mahkeme yeri, veriyi sağlayan makamın bağlı olduğu yerdeki mahkemelerdir.
VII. Taraflarca Veri İşleme
Taraflarca veri işleme, ilgili şirket sürecinin sorumluluğu devredilmeden bir hizmet sağlayıcının
veri işlemek için görevlendirilmesidir. Bu durumda hem şirket dışı hizmet sağlayıcılar hem de
Daimler Grubu şirketleri ile veri işleme konusunda bir anlaşma yapılmalıdır. Bu anlaşma kapsamın­
da, müşteri, veri işlemenin doğru yapılmasında tüm sorumluluğu üstlenir, servis sağlayıcı ise
bu kişisel verileri sadece müşterinin talimatları doğrultusunda işleyebilir. Hizmet sağlayıcının
veri işleme sırasında aşağıdaki gerekliliklere uyması, hizmeti alan tarafın ise hizmetin aşağıda
belirtilen kurallara uygun şekilde verilmesini sağlaması gerekmektedir.
1.Hizmet sağlayıcı, gerekli teknik ve organizasyonel güvenlik önlemlerini sağlayabilme yeteneğine
göre seçilmelidir.
2.Görevlendirme yazılı olarak yapılmalıdır. Veri işlemede takip edilmesi gereken talimatlar ve hizmet
sağlayıcı ile görevlendirmeyi yapan müşterinin sorumlulukları net bir şekilde dokümante
edilmelidir.
3.Veri koruma için Şirket Veri Koruma Yetkilisi tarafından sağlanan sözleşme standartları dikkate
alınmalıdır.
4.Hizmeti alan taraf, veri işleme başlamadan önce hizmet sağlayıcının yükümlülüklerini yerine
getirebileceğinden emin olmalıdır. Hizmet sağlayıcı, özellikle veri koruma konusundaki
yetkinliklerini gerekli hallerde uygun bir sertifikasyon sunarak belgeleyebilir. Veri işlemedeki
riske bağlı olarak, sözleşme süresince düzenli aralıklarla hizmet sağlayıcının gerçekleştirdiği
işlemler düzenli olarak denetlenmelidir.
5.Taraflarca veri işlemenin ülke dışında yapılması durumunda, yurtdışına veri aktarımı ve verinin
yurtdışında işlenmesi ile ilgili ulusal düzenlemeler dikkate alınmalıdır. Özellikle Avrupa Eko­
nomik Alanı ülkeleri adına veri işleme yapacak ülkelerin, Veri Koruma Kanunu’nda belirtilen
kriterleri sağladığını kanıtlayabilmesi durumunda mümkündür. Bu durumda uygun veri koru­
manın belgelenmesi için aşağıdaki yöntemler kullanılabilir:
a.Hizmet sağlayıcı ve olası taşeronun, veri işleme için standart AB veri koruma sözleşmesine
uymayı sözleşme ile kabul etmesi.
b.Hizmet sağlayıcının yeterli veri koruma seviyesini, AB tarafından akredite bir sertifikasyon
sistemi ile belgelemesi.
c.Hizmet sağlayıcının veri koruması için oluşturduğu bağlayıcı kurallarının yetkili denetleyici
kurumlar tarafından kabul edilmiş olması.
VERI GIZLILIĞI YÖNETMELIĞI | VIII. İLGILI KIŞININ HAKLARI | IX. İŞLEMLERIN GIZLILIĞI
13
VIII.İlgili kişinin hakları
Tüm ilgili kişiler aşağıdaki haklara sahiptir. Bunlar, ileri sürülmeleri durumunda sorumlu birim
tarafından derhal ele alınmalı ve ilgili kişi için herhangi bir dezavantaj teşkil etmemelidir.
1.İlgili kişi, hakkındaki hangi bilgilerin kaydedildiği, verilerin nasıl ve hangi amaçla toplandıkları
ile ilgili bilgi talep edebilir. İlgili iş yasaları altında iş ilişkisi amacıyla işveren belgelerinin (örn.
personel dosyası) incelenmesi için başka haklar bulunuyorsa, bu haklar bundan etkilenmez.
2.Kişisel bilgiler üçüncü şahıslara iletileceğinde alıcının kimliği ya da alıcının kategorisi ile ilgili
bilgi sağlanmalıdır.
3.Kişisel bilgiler yanlış ya da eksik olduğunda ilgili kişi düzeltilmelerini ya da tamamlanmalarını
talep edebilir.
4.İlgili kişi, kişisel verilerinin reklam ya da pazar ve kamuoyu araştırması amacıyla işlenmesine
itiraz edebilir. Verilerin bu şekilde kullanımı engellenmelidir.
5.İlgili kişi, verilerin işlenmesi ile ilgili yasal dayanağın olmaması ya da geçersiz olması durumunda
kişisel bilgilerinin silinmesini talep edebilir. Aynı durum, veri işlemlerinin amacı zaman aşımına
uğradığında ya da diğer nedenlerden ötürü geçersiz olduğunda da geçerlidir. Mevcut saklama
dönemi ve koruma gerektiren çakışmalı menfaatler dikkate alınmalıdır.
6.İlgili kişi genellikle verilerinin işlenmesine itiraz etme hakkına sahiptir ve eğer kişinin menfaatleri
bazı kişisel durumlar sebebiyle veri denetleyicisinin menfaatlerinden önce geliyorsa bu hesaba
katılmalıdır. Bu durum, yasal hükümlerin verilerin işlenmesinin gerektiği durumlarda geçerli
değildir.
Buna ek olarak ilgili kişi III. md. 2. fıkra, IV., V., VI., IX., X., ve XIV. md. 3. fıkrası uyarınca sahip
olduğu hakları üçüncü kişi lehine, veri koruma yönetmeliğine uyma konusunda anlaşmış bir şirket
gereklilikleri dikkate almazsa ve üçüncü şahsın haklarını ihlal ederse savunabilir.
IX.İşlemlerin gizliliği
Kişisel veriler gizliliğe tabidir. Çalışanların verileri yetkisiz olarak toplaması, işlemesi ya da
kullanması yasaktır. Yetkisiz kullanım, çalışanların meşru görevleri dışında gerçekleştirdikleri
yetkisiz veri işlemesidir. Need-to-know prensibi geçerlidir: Çalışanlar kişisel bilgilere sadece
söz konusu görevin kapsamı ve cinsi için uygun olması halinde erişebilirler. Bu da rollerin ve sorum­
lulukların dikkatli bir şekilde dağıtılmasını, ayrılmasını ve de uygulanmasını gerektirir.
Çalışanların kişisel bilgileri özel ya da ticari amaçlar için kullanması, yetkisiz kişilere dağıtması
ya da başka bir şekilde erişilebilir kılması yasaklanmıştır. Yöneticiler çalışanlarını iş ilişkisinin
başladığı sırada veri koruma ile ilgili yükümlülükler hakkında bilgilendirmelidir. Bu yükümlülük,
iş ilişkisinin sonlandırılmasından sonra da devam eder.
VERI GIZLILIĞI YÖNETMELIĞI | X. İŞLEM GÜVENLIĞI | XI. VERI KORUMA KONTROLÜ | XII. VERI KORUMASINA ILIŞKIN OLAYLAR
14
X.İşlem güvenliği
Kişisel veri yetkisiz erişimden, yasa dışı kullanımdan veya aktarımdan ve bunun yanı sıra yanlışlıkla
kaybedilmesinden, değişiklik ya da zarar görmesinden korunmalıdır. Bu husus, veri işlemenin
elektronik yolla veya basılı halde yapılmasından bağımsız olarak geçerlidir. Özellikle yeni BT
sistemlerine geçişte veri işlemenin yeni metotlarına başlamadan önce, kişisel bilgilerin
korunmasına yönelik teknik ve organizasyonel önlemler tanımlanmalı ve uygulanmalıdır. Bu
önlemler son gelişmelere, işlemin risklerine ve verinin koruma ihtiyacına (bilgi sınıflandırması
prosesi ile belirlenir) dayandırılmalıdır. Özellikle sorumlu birim kendi bilgi güvenliği yetkilisi
(ISO) ve veri koruma koordinatörüne danışabilir. Kişisel bilgilerin korunmasına ilişkin teknik ve
organizasyonel önlemler, şirket bilgi güvenliği yönetiminin bir parçasıdır ve teknik gelişmelere ve
organizasyonel değişikliklere sürekli olarak uyarlanmalıdırlar.
XI. Veri koruma kontrolü
Veri koruma yönetmeliğine ve uygulanabilir veri koruma yasalarına uygunluk, düzenli veri koruma
denetimleri ve diğer kontrollerle sağlanır. Bu kontrollerin performansı şirket veri koruma yetkili­si, veri koruma koordinatörü, denetim yetkisine sahip şirket birimleri veya görevlendirilmiş şirket
dışı denetimcilerin sorumluluğudur. Veri koruma denetimlerinin sonuçları veri koruma için şirket
veri koruma yetkilisine raporlanmalıdır. Daimler AG denetim kurulu da ilgili raporlama görevlerinin
bir parçası olarak öncelikli sonuçları hakkında bilgilendirilmelidir. Veri koruma kontrollerinin
sonuçları başvuru halinde sorumlu veri koruma yetkililerine sunulur. Sorumlu veri koruma yetkilisi,
yerel hukuk tarafından izinli olarak bu yönetmeliğin düzenlemeleri ile uyumunun kontrolünü
kendisi yapabilir.
XII. Veri korumasına ilişkin olaylar
Her çalışan, bu veri koruma yönetmeliğine veya kişisel bilgilerin korunmasına ilişkin diğer düzen­
lemelere (veri koruma olayları)14 karşı ihlal durumlarında ilgili yöneticilerine, veri koruma koor­
dinatörüne ve şirket veri koruma yetkilisine bildirmelidir. İlgili pozisyon veya birimden sorumlu
yönetici, sorumlu veri koruma koordinatörünü veya şirket veri koruma yetkilisini veri korumaya
ilişkin olaylar hakkında derhal bilgilendirmekle yükümlüdür.
»Kişisel bilgilerin uygunsuz olarak üçüncü kişilere iletilmesi,
»Üçüncü kişilerin kişisel bilgilere uygunsuz olarak erişmesi veya
»kişisel bilgilerin kaybedilmesi
durumlarında, ulusal yasa altında tüm raporlama görevleriyle uyumlu olması amacıyla gerekli
şirket raporları (Bilgi Güvenliği Olay Yönetimi) derhal hazırlanmalıdır.
14
Bkz. XV.
VERI GIZLILIĞI YÖNETMELIĞI | XIII. SORUMLULUKLAR VE YAPTIRIMLAR | XIV. ŞIRKET VERI KORUMA YETKILISI
15
XIII. Sorumluluklar ve yaptırımlar
Grup şirketlerinin yürütme organları, kendi sorumluluk alanlarındaki veri işlemlerinden sorumlu­
durlar. Veri koruma yönetmeliğinde bulunan yasal gereksinimlerin veri koruma için sağlandığından
emin olunmalıdır (örn. ulusal raporlama yükümlülükleri). Organizasyonel, personel ve teknik
önlemler alınarak sorumluluk alanlarındaki veri işlemlerinin uygun biçimde yürütülmesinden,
yönetim ekibi sorumludur. Bu gereksinimlerle uyumu ilgili çalışanın sorumluluğudur. Eğer yetkili
makamlar veri koruma kontrollerini gerçekleştiriyorsa şirket veri koruma yetkilisi derhal bilgi­
lendirilmelidir.
İlgili yürütme organı şirket veri koruma yetkilisini, veri koruma koordinatörü adına bilgilendirmelidir.
Organizasyonel olarak bu görev, şirket veri koruma yetkilisi ile mutabakat halinde birden fazla
şirket veya tesis için bir veri koruma koordinatörü tarafından yerine getirilebilir. Veri koruma
koordinatörleri veri koruma konusunda sahadaki muhatap kişidir. Bunlar kontroller yapabilir ve
çalışanları veri koruma yönetmeliği içerikleri hakkında bilgilendirirler. İlgili yönetim, şirket veri
koruma yetkilisinin ve veri koruma koordinatörlerinin faaliyetlerini desteklemekle yükümlüdür.
İş süreçleri ve projeler için sorumlu birimler, veri koruma koordinatörlerini kişisel bilgilerin yeni
işlemleri hakkında zamanında bilgilendirmelidir. İlgili kişilerin özlük hakları ile ilgili özel riskler
içeren veri işleme hedeflerinde şirket veri koruma yetkilisi, işleme başlanmadan önce bilgilen­
dirilmelidir. Bu husus özellikle çok hassas kişisel bilgiler için de geçerlidir.
Yönetim elemanları, çalışanlarının veri koruma konusunda gerekli eğitimleri almalarını sağlamalıdır.
Kişisel bilgilerin uygun olmayan şekilde işlenmesi ya da veri koruma yasasının diğer ihlalleri birçok
ülkede cezai yaptırıma tabidir ve tazminat hakkı doğurabilmektedir. Tek bir çalışanın sorumlulu­
ğundaki ihlaller, iş hukuku kapsamında yaptırımlara yol açabilir.
XIV.Şirket veri koruma yetkilisi
Şirket veri koruma yetkilisi, dâhili profesyonel organlardan bağımsız olarak ulusal ve uluslararası
veri koruma düzenlemelerine uyuma yönelik çalışır. Kendisi veri koruma alanındaki yönetmelik­
lerden sorumludur ve bunlara uyulup uyulmadığını denetler. Şirket veri koruma yetkilisi Daimler
AG yönetim kurulu tarafından atanır. Genelde, yasal olarak veri koruma sorumlusu atama yü­
kümlülüğü bulunan grup şirketleri şirket veri koruma yetkilisini atar. Belirli istisnalar konusunda
şirket veri koruma yetkilisi ile anlaşılmak zorundadır.
Veri koruma koordinatörleri şirket veri koruma yetkilisini veri koruma riskleri hakkında zamanında
bilgilendirir.
Her ilgili kişi öneri, soru, bilgi talebi ya da şikâyetlerini verilerin korunması ya da veri koruma
sorularıyla bağlantılı olarak şirket veri koruma yetkilisi veya ilgili veri koruma koordinatörüne
iletebilir. Talep edilmesi durumunda soru ve şikâyetler gizli tutulacaktır.
Bir şikâyeti veya veri koruma yönetmeliğine karşı bir ihlali çözememesi veya bir eksikliği gidere­
memesi durumunda yetkili veri koordinatörü hemen şirket veri koruma yetkilisine danışmalıdır.
Şirket veri koruma yetkilisi veri koruma eksiklerinin giderilmesiyle ilgili aldığı kararlar şirket
yönetimi tarafından dikkate alınır. Denetim makamlarının talepleri her zaman şirket veri koruma
yetkilisine bildirilmelidir.
Şirket veri koruma yetkilisi ve onun çalışanlarına ait iletişim bilgileri aşağıdaki gibidir:
Daimler AG, Şirket veri koruma yetkilisi, HPC 0518,
D-70546 Stuttgart
E-posta: [email protected]
İntranette http://intra.corpintra.net/cdp
VERI GIZLILIĞI YÖNETMELIĞI | XV. TANIMLAR
16
XV.Tanımlar
»Kişisel kimliğin izi hiç kimse tarafından sürülemiyorsa veya kişisel kimlik makul olmayan bir
zaman, gider ve iş gücüyle yeniden yaratılabiliyorsa veri anonimleştirilmiş sayılır.
»Onay verme/riza gösterme veri işleme için gönüllü ve yasal olarak bağlayıcı bir anlaşmadır.
»Veri koruma olayları, kişisel verinin yasa dışı ele geçirilmesi, toplanması, değiştirilmesi, kop­
yalanması, dağıtılması veya kullanılmasına dair haklı şüphelerin olduğu olaylardır. Bu üçüncü
taraflarla ve kişilerle ilgili olabilir.
»Veri koruma yönetmeliği altındaki ilgili kişi verisi işlenen doğal kişilerdir. Bazı ülkeler ve yasal
kurumlar da ilgili kişi olarak değerlendirilebilir.
»Avrupa Ekonomik Alanı, Avrupa Birliği ile ilgili ekonomik alanlardır. Bu alan Norveç, İzlanda ve
Lihtenştayn’ı da kapsar.
»Çok hassas bilgi kişinin ırk ve etnik kökene, politik düşüncelerine, dini ya da felsefi düşüncelerine,
üye oldukları sendikalara ve sağlık ve cinsel hayatlarına dair bilgilerdir. Yasalar nedeniyle
başka veri kategorileri de çok hassas veri olarak değerlendirilebilir ya da veri kategorilerinin
içeriği farklı olarak oluşturulabilir. Buna ek olarak, suç ile ilgili bilgiler de genellikle ulusal
yasanın özel gereklilikleri ile işlenebilir.
»Kişisel veri, belirli ve tanımlanabilir gerçek kişiler hakkındaki bilgilerdir. Bir kişi örneğin kişisel
ilişkisi olası ek bilgi ile dahi olsa bilginin kombinasyonu kullanılarak belirlenebilirse tanımla­
nabilirdir.
»Kişisel bilginin işlenmesi otomatikleşmiş sistemler kullanılarak veya kullanılmayarak, verileri
toplama, depolama, organize etme, bulundurma, değiştirme, sorgulama, kullanma, iletme,
paylaşma, yayma veya birleştirme ve karşılaştırma işlemleridir. Bu ayrıca verinin ve veri de­
polama ortamlarının elden çıkarılması, silinmesi ve engellenmesi durumlarında da geçerlidir.
»Kişisel bilginin işlenmesi, eğer izin verilen amaç veya haklı çıkar kişisel veri olmadan veya sadece
son derece yüksek gider ile gerçekleşemiyorsa gereklidir.
»Veri kontrolörü, iş aktivitesi alakalı süreç önlemi başlatan, Daimler Grubunun yasal bağımsız
şirketidir.
»Üçüncü ülkelerde veri korumanın yeterli seviyesi, Avrupa Birliği komisyonu tarafından eğer
kişisel gizliğinin temeli Avrupa Birliği üye ülkelerinin oy birliğiyle yeterliliği sağlanmışsa kabul
edilir. Karar verirken Avrupa Birliği komisyonu veri transferi veya veri transferi kategorilerinde
rol oynayan durumların hepsini hesaba katar.
»Veri Koruma Yönetmeliği altındaki üçüncü ülkeler Avrupa Birliği dışındaki tüm ülkelerdir.
Bu veri koruma seviyesi Avrupa Birliği Komisyonu tarafından yeterli sayılan ülkeleri kapsamaz.
»Üçüncü şahıslar, ilgili kişi ve veri kontrolörü dışındaki kişilerdir. Adına veri işleme durumunda
Avrupa Birliği’ndeki veri işleyiciler veri koruma yasalarınca üçüncü şahıs değillerdir, çünkü
onlar yasa tarafından sorumlu tarafa karşı sorumludurlar.
»İletim, korunan verinin sorumlu taraf tarafından üçüncü şahıslara ifşa edilmesidir.
Daimler AG
Mercedesstraße 137
70327 Stuttgart
Germany
www.daimler.com