Daimler Data Protection Policy (Turkish) / Veri gizliligi yönetmeligi
Transkript
Daimler Data Protection Policy (Turkish) / Veri gizliligi yönetmeligi
Veri gizliliği yönetmeliği. VERI GIZLILIĞI YÖNETMELIĞI | ÖNSÖZ 2 Önsöz Sayın Bayanlar ve Baylar, Dijital çağ ın bir gereksinimi olarak müşterilerimize araç içinde de sunduğumuz “always on” olma olanağnın bir koşulu da verilerin toplanması ve işlenmesidir. Ancak servis hizmeti veya yeni bir araç satın alımı olmasına bakılmaksızın bizim için geçerli olan esas şudur: Verilerin kaydedildiği ve gönderildiği her yerde, yüksek ölçüde veri gizliliği ve veri güvenliği sağlanmalıdır. Bu hem müşterilerin, hem iş ortaklarının hem de çalışanların verileri için geçerlidir. Çünkü veri gizliliği, kişinin korunması demektir. Hedefimiz, Daimler’in sadece güvenli araçları değil, aynı zamanda veri gizliliği ile ilgili yüksek standartları da temsil etmesidir. Bu nedenle küresel olarak faaliyet gösteren bir kuruluş olarak, dünya çapındaki kişisel bilgilerin toplanması ve işlenmesi ile ilgili farklı yasal gereksinimlere uymak bizim görevimizdir. Kişisel bilgilerin kullanımına ilişkin tek tip ve dünya çapında geçerli bir standart oluşturmak, bizim için başlıca önceliktir. Çünkü her kişinin özlük haklarını ve mahremiyetini korumak, bizim için güvene dayalı bir iş ilişkisinin kurulması adına temel teşkil eder. Veri gizliliğine ilişkin grup yönetmeliğimizde müşteri, iş ortakları ve çalışanların kişisel bilgilerinin işlenmesi ile ilgili koşulları düzenledik. Avrupa veri gizliliği yönetmeliğine bu düzenlemeler, dünya çapında geçerli olan ulusal ve uluslararası veri gizliliği kanunlarına riayet edilmesini sağlıyoruz. Bununla birlikte şirketimizde dünya çapında geçerli olan bir veri gizliliği ve veri güvenliği standardı belirlemiş ve grup şirketlerimiz arasındaki veri alışverişini düzenlemiş oluyoruz. Ölçüt olarak yedi adet veri güvenliği esası belirledik, bunların arasında şeffaflık, veri tasarrufu ve veri güvenliği de bulunmaktadır. Yöneticilerimiz ve çalışanlarımız, veri gizliliğine ilişkin grup yönetmeliğine ve ilgili veri gizliliği yasalarına uymakla yükümlüdürler. Veri gizliliği için şirketler grubu yetkilisi olarak ben de, Daimler bünyesinde veri gizliliği ile ilgili dünya çapındaki yasal düzenlemelere ve prensiplere uyulmasını sağlamakla sorumluyum. Çalışanlarım ve ben sizlere Daimler bünyesindeki veri gizliliği ve veri güvenliği konularında her zaman yardımcı olmaya hazırız. Dr. Joachim Rieß Veri gizliliği için şirketler grubu yetkilisi VERI GIZLILIĞI YÖNETMELIĞI | İÇINDEKILER 3 İçindekiler I. Veri koruma yönetmeliğinin amacı 4 II. Veri koruma yönetmeliğinin kapsamı ve değiştirilmesi 4 III. Ulusal kanunların uygulanması 5 IV. 5 5 5 5 6 6 6 6 Kişisel bilgilerin işlenmesi ile ilgili temel kurallar 1. Adalet ve hukuka uygunluk 2. Amaca özel kısıtlama 3.Şeffaflık 4. Veri azaltma ve veri ekonomisi 5.Silme 6. Olgusal doğruluk ve veri güncelliği 7. Gizlilik ve veri güvenliği V. Veri işlemlerine izin verilmesi 1. Müşteri ve ortakların verisi 1.1 Sözleşmesel ilişki için veri işleme 1.2 Reklam amaçlı veri işleme 1.3 Veri işleme için onay verilmesi 1.4 Yasal izinler sebebiyle yapılan veri işlemleri 1.5 Meşru menfaate uygun olarak veri işlenmesi 1.6 Çok hassas verilerin işlenmesi 1.7 Otomatikleştirilmiş münferit kararlar 1.8 Kullanıcı bilgileri ve internet 2. Personel bilgileri 2.1 İş ilişkisi için verilerin işlenmesi 2.2 Yasal yetkilendirmeler sebebiyle yapılan veri işlemleri 2.3 Veri işleme ile ilgili toplu sözleşme düzenlemeleri 2.4 Veri işleme için onay verilmesi 2.5 Meşru menfaate uygun olarak verilerin işlenmesi 2.6 Çok hassas verilerin işlenmesi 2.7 Otomatikleştirilmiş veri işleme 2.8 Telekomünikasyon ve internet 6 7 7 7 7 7 8 8 8 8 9 9 9 9 9 10 10 10 11 VI. Kişisel bilgilerin aktarımı 11 VII. Taraflarca veri işleme 12 VIII. İlgili kişinin hakları 13 IX. İşlemlerin gizliliği 13 X. İşlem güvenliği 14 XI. Veri koruma kontrolü 14 XII. Veri korumasına ilişkin olaylar 14 XIII. Sorumluluklar ve yaptırımlar 15 XIV. Şirket Veri Koruma Yetkilisi 15 XV. Tanımlar 16 VERI GIZLILIĞI YÖNETMELIĞI | I. VERI KORUMA YÖNETMELIĞININ AMACI | II. VERI KORUMA YÖNETMELIĞININ KAPSAMI VE DEĞIŞTIRILMESI I. 4 Veri koruma yönetmeliğinin amacı Sosyal sorumluluğunun bir parçası olarak Daimler Grubu, veri koruma kanunlarıyla uluslararası uyumu taahhüt eder. Bu veri koruma yönetmeliği dünya çapında Daimler Grubu için geçerlidir ve veri koruma ile ilgili dünya çapında kabul edilmiş temel prensiplere dayanır. Veri korumanın sağlanması, güven içeren bir iş ilişkisinin temeli ve Daimler Grubu’nun talep edilen bir işveren olarak itibarıdır. Bu veri koruma yönetmeliği, grup şirketleri arasındaki sınır ötesi veri iletimi1 için gerekli çerçeve şartlarından birini sağlamaktadır. Bu yönetmelik Avrupa Birliği Veri Koruma Direktifi2 ve yeterli veri koruma kanunları3 olmayan ülkeleri de içeren sınır ötesi veri iletimi için ulusal kanunlar tara fından yeterli seviyede veri korumasını garanti eder. II.Veri koruma yönetmeliğinin kapsamı ve değiştirilmesi Bu veri koruma yönetmeliği Daimler Grubu’na ait tüm şirketler için geçerlidir, diğer bir deyişle Daimler AG ve Daimler AG’ye bağlı grup şirketleri ve bunlara bağlı şirketler ve çalışanları bu kapsamdadır. Bağlılık bu bağlamda, Daimler AG’nin doğrudan ya da dolaylı olarak oy çoğunluğu, yönetim temsilinin çoğunluğu veya bir anlaşmayı temel alarak bu veri koruma yönetmeliğinin kabul edilmesini talep edebilir. Veri koruma yönetmeliği, tüm kişisel bilgilerin işlenmesini kapsar4. Bu veri koruma yönetmeliği, tüzel kişilerin bilgilerinin de kişisel veri olarak aynı kapsamda korunduğu ülkelerde tüzel kişilerin verileri için de aynı şekilde geçerlidir. İstatistik5 değerlendirmeler veya incelemeler gibi amaçlarla anonimleştirilen bilgiler bu veri koruma yönetmeliğine tabi değildir. Bireysel grup şirketleri, bu veri koruma yönetmeliğinin dışında düzenleme kabul etmeye yetkili değillerdir. Veri koruma ile ilgili ilave yönetmelikler, sadece ulusal kanunun bunu gerektirmesi durumunda veri koruma için Şirket Veri Koruma Yetkilisi ile mutabakat halinde oluşturulabilir. Bu veri koruma yönetmeliği, yönetmeliğin değiştirilmesi için tanımlanmış prosedür dâhilinde ve Şirket Veri Koruma Yetkilisiyle koordinasyon halinde değiştirilebilir. Değişiklikler Daimler Grubu şirketlerine, yönetmeliklerin değiştirilmesi sürecini kullanarak derhal raporlandırılacaktır. Veri koruma yönetmeliği ile uyum üzerinde büyük etkisi olan değişiklikler, bu veri koruma yönetmeliğinin onayı için bağlayıcı şirket içi veri koruma düzenlemeleri düzenleyen veri koruma makamlarına yıllık olarak bildirilir. Veri koruma yönetmeliğinin en güncel sürümü Daimler AG’nin www.daimler.com adresindeki web sitesinde veri gizliliği bilgileri ile ulaşılabilir. 1 Bkz. XV. 2 Avrupa parlamentosunun ve komisyonunun kişisel bilgilerin işlenmesinde ve serbest veri trafiğinde bireylerin korunmasına ilişkin 95/46/AT sayılı direktifi; bkz. http://ec.europa.eu/justice_home/fsj/privacy/law/index_de.htm#richtlinie 3 Bkz. XV. 4 Bkz. XV. 5 Bkz. XV. VERI GIZLILIĞI YÖNETMELIĞI | III. ULUSAL KANUNLARIN UYGULANMASI | IV. KIŞISEL BILGILERIN IŞLENMESI ILE ILGILI TEMEL KURALLAR 5 III. Ulusal kanunların uygulanması Bu veri koruma yönetmeliği, varolan ulusal kanunları değiştirmeden, uluslararası kabul edilmiş veri gizliliği prensiplerini içermektedir. Bu yönetmelik ulusal veri koruma kanunlarını tamamlar. İlgili ulusal kanunun veri koruma yönetmeliğiyle bağdaşmaması veya bu yönetmelikten daha sıkı gereksinimleri olması durumunda ilgili ulusal kanun önceliklidir. Bu veri koruma yönetmeliğinin içeriği, uygun bir ulusal mevzuat bulunmaması halinde de gözlemlenmelidir. Ulusal kanunlar kap samında veri işlemeleri için olan bildirim gereksinimleri dikkate alınmalıdır. Daimler Grubu’nun her şirketi, bu veri koruma yönetmeliğine ve yasal yükümlülüklere uyulma sından sorumludur. Yasal yükümlülüklerin bu veri koruma yönetmeliğindeki yükümlülükler ile çelişkili olduğuna dair bir çekince varsa ilgili grup şirketi, veri koruma için Şirket Veri Koruma Yetki lisini bilgilendirmelidir. Ulusal mevzuat ile veri koruma yönetmeliği arasında bir çelişme olması durumunda Daimler AG, ilgili grup şirketi ile birlikte veri koruma yönetmeliğinin amacına uygun pratik bir çözüm bulmak için çalışacaktır. IV.Kişisel bilgilerin işlenmesi ile ilgili temel kurallar 1.Adalet ve hukuka uygunluk Kişisel bilgilerin işlenmesinde söz konusu bireylerin kişi hakları korunmalıdır6. Kişisel veri hukuka uygun ve adil bir şekilde toplanmalı ve işlenmelidir. 2.Amaca özel kısıtlama Kişisel veri yalnızca verilerin toplanmasından önce tanımlanmış amaç için işlenebilir. Amaca ilave değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür. 3.Şeffaflık İlgili birey, kendi bilgilerinin kullanımı hakkında bilgilendirilmelidir. Kişisel veri genelde ilgili bireyden doğrudan alınır. Veri toplandığında ilgili birey aşağıdaki maddelerin farkında olmalı ya da bilgilendirilmelidir: »Veri kontrolörünün kimliği7 »Veri işlemenin amacı »Verinin aktarılabileceği üçüncü şahıs8 ya da üçüncü şahıs kategorileri 6 Bkz. XV. 7 Bkz. XV. 8 Bkz. XV. VERI GIZLILIĞI YÖNETMELIĞI | IV. KIŞISEL BILGILERIN IŞLENMESI ILE ILGILI TEMEL KURALLAR | V. VERI IŞLEMLERINE IZIN VERILMESI 6 4.Veri azaltma ve veri ekonomisi Kişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmelidir. Amacın kabul edilebilir ve orantılı olduğu durumda anonim ya da istatistik veri kullanılmalıdır. Kişisel veri ulusal kanunun gerektirmesi veya izni olmadan gelecekteki potansiyel amaçlar için önceden toplanamaz ve depolanamaz. 5.Silme Yasal veya iş süreci ile ilgili sürelerin sona ermesinden sonra artık gerekli olmayan kişisel veri9 silinmelidir. Münferit hallerde bu verinin korunmasını gerektiren veya tarihi öneminin olduğunu gösteren durumların belirtisi olabilir. Eğer öyleyse, koruma gerektiren durumlar yasal olarak açıklığa kavuşturulana kadar veya şirket arşivlerin tarihsel amaçlar için verilerin saklanmasına karar verilmesi değerlendirilene kadar veri dosyada kalmalıdır. 6.Olgusal doğruluk ve veri güncelliği Dosyadaki kişisel veri doğru, tam ve -gerekli olması halinde- güncel tutulmalıdır. Doğru olmayan veya eksik olan verilerin silinmesini, düzeltilmesini, tamamlanmasını veya güncellenmesini sağlamak için uygun adımlar atılmalıdır. 7. Gizlilik ve veri güvenliği Kişisel veri gizliliğe tabidir. Yetkisiz erişimi, yasal olmayan işlemleri, paylaşımı, yanlışlıkla kaybolmayı, değiştirilmeyi veya tahrip edilmeyi engellemek için uygun organizasyonel ve teknik tedbirlerle korunmalı ve kişisel seviyede gizli tutulmalıdır. V. Veri işlemlerine izin verilmesi Kişisel verilerin toplanması, işlenmesi ve kullanılması sadece aşağıdaki yasal temeller dâhilinde izinlidir. Kişisel verinin toplanma, işlenme ve kullanma amacı esas amacında değişiklik olması durumunda da bu yasal temellerden biri gereklidir. 9 Bkz. XV. VERI GIZLILIĞI YÖNETMELIĞI | 1. MÜŞTERI VE ORTAKLARIN VERISI 7 1. Müşteri ve ortakların verisi 1.1 Sözleşmesel ilişki için veri işleme İlgili kişiye, müşteriye veya ortağa ait kişisel veri bir sözleşmenin kurulması, uygulanması ve sonlandırılması için işlenebilir. Sözleşme amacıyla ilgili ise, bu ayrıca sözleşmedeki ortak için danışma hizmeti vermeyi de içerir. Sözleşme öncesinde – sözleşmeye başlama aşamasında- kişi sel bilgiler teklif hazırlamak, satın alma formu hazırlamak ya da ilgili kişinin sözleşme sonucuyla bağlantılı taleplerini karşılamak amacıyla işlenebilir. Sözleşme hazırlanma sürecinde ilgili kişilerle sağladıkları bilgiler ışığında iletişime geçilebilir. İlgili kişilerce talep edilen sınırlandırmalara uyulmalıdır. Bunun dışında kalan reklam önlemleri için V.1.2. altındaki gereklilikler dikkate alınmalıdır. 1.2 Reklam amaçlı veri işleme Eğer ilgili kişi bir Daimler Grubu şirketiyle bilgi talebi ile ilgili iletişime geçerse (örn. bir ürün ile ilgili bilgi materyali alma talebi), bu talebi karşılama amaçlı veri işlemesine izin verilir. Müşteri bağlılığı ve reklam tedbirleri için başka yasal gereklilikler söz konusudur. Kişisel bilgiler reklam ya da pazar ve kamuoyu araştırmaları için ancak bu bilgilerin toplanma amacının bu amaca uygun olması durumunda işlenebilir. İlgili kişi bilgilerinin reklam amaçlı kullanılacağı ile ilgili bilgilendirilmelidir. Bilgilerin sadece reklam amaçlı toplanması durumunda ilgili kişiler bu bilgileri açıklamakta serbesttir. İlgili kişi bilgilerini bu amaçla verme konusundaki özgürlüğü hakkında bilgilendirilmelidir. İlgili kişi10 ile, iletişimde bilgilerinin reklam amaçlı işlenmesi için bu kişinin rızası alınmalıdır. İlgili kişi bu rıza verme kapsamında posta, elektronik posta veya telefon gibi uygun iletişim kanalları arasında seçim yapabilmelidir (rıza beyanı bkz. V.1.3). İlgili kişi, bilgilerinin reklam amaçlı kullanımına izin vermediğinde, veriler artık bu amaçlar için kullanılamaz ve bu amaçlarla kullanılması engellenmelidir. Ayrıca bazı ülkelerdeki verilerin reklam amaçlı kullanımı konusundaki mevcut sınırlamaları dikkate alınmalıdır. 1.3 Veri işleme için onay verilmesi Veri işlemleri ilgili kişinin rızası sonucunda gerçekleşebilir. Rıza vermeden önce ilgili kişinin bu veri koruma yönetmeliğinin IV.3 maddesine uygun olarak bilgilendirilmesi gerekir. Rıza beyanı belgeleme amacıyla yazılı veya elektronik yoldan alınmalıdır. Telefonla konuşmaları gibi bazı durumlarda rıza verme sözlü olabilir. Bu durumda rıza beyanı belgelenmelidir. 1.4 Yasal izinler sebebiyle yapılan veri işlemleri Kişisel bilgilerin, yerel hukukun talep etmesi, gerektirmesi ya da bu işlemlere izin vermesi du rumunda da işlenmesi serbesttir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır. 1.5 Meşru menfaate uygun olarak veri işlenmesi Kişisel bilgiler, Daimler Grubu’nun meşru bir menfaati için gerekli olduğunda da işlenebilir. Meşru menfaatler genellikle yasal (örn. alacakların tahsil edilmesi) ya da ekonomik (örn. sözleşme ihlallerinden kaçınma) menfaatlerdir. İlgili kişilerin menfaatlerinin korunması gerektiği ve bunun öncelikli olması gibi kişisel durumlarda kişisel bilgiler meşru menfaat amaçları için işleme alına mayabilirler. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmelidir. 10 Bkz. XV. VERI GIZLILIĞI YÖNETMELIĞI | 1. MÜŞTERI VE ORTAKLARIN VERISI 8 1.6 Çok hassas verilerin işlenmesi Çok hassas11 kişisel bilgiler yalnızca yasaların gerektirmesi veya ilgili kişinin açık bir şekilde onay vermesi halinde işlenebilir. İlgili kişiyi ilgilendiren yasal taleplerin ileri sürülmesi, uygulanması veya korunması için zorunlu olması halinde de bu verilerin işlenmesine izin verilir. Eğer çok hassas verilerin işlenmesi planla nıyor ise Şirket Veri Koruma Yetkilisi önceden bilgilendirilmelidir. 1.7 Otomatikleştirilmiş veri işleme Bir takım unsurları (örn. kredi derecesi) belirlemek amacıyla kullanılan kişisel verilerin otomatikleştirilmiş işlenmesi, olumsuz yasal sonuçları olan ve ilgili kişiyi olumsuz anlamda etkileyen karaların tek başına temeli olamaz. İlgili kişi otomatikleştirilmiş veri işleme sonucundaki kararların gerçekliği ve sonuçları ve cevap verebilme olasılığı hakkında bilgilendirilmedir. Hatalı kararları önlemek amacıyla bir çalışan tarafından test ve güvenilirlik kontrolü yapılmalıdır. 1.8 Kullanıcı bilgileri ve internet Web sitelerinde veya uygulamalarda kişisel bilgilerin toplanması, işlenmesi ve kullanılması duru munda ilgili kişiler gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilmelidir. Gizlilik bildirimi ve çerez bilgileri, ilgili kişi için kolay tanımlanabilecek, doğrudan erişilebilecek ve sürekli uygun olacak şekilde entegre edilmelidir. Web sitelerinin ve uygulamaların kullanımının değerlendirilmesi için kullanım profillerinin (tracking) oluşturulması durumunda gizlilik sözleşmesinde ilgili kişi bu konu hakkında kesinlikle uygun bir şekilde bilgilendirilmelidir. Kişiye özgü izleme, ancak yerel hukukun izin vermesi veya ilgili kişinin rızası ile etkilenebilir. İzlemenin bir rumuz altında yapılması durumunda gizlilik sözleşmesinde ilgili kişiye bir vazgeçme şansı sunulmalıdır (Opt-out). Web siteleri veya uygulamalar kayıtlı kullanıcılarla sınırlandırılmış bir alanda kişisel bilgilere ula şabiliyorsa ilgili kişinin tanımlanması ve kimliğinin doğrulanması erişim boyunca yeterli koruma sağlamalıdır. 11 Bkz. XV. VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI 9 2. Personel bilgileri 2.1 İş ilişkisi için verilerin işlenmesi İş ilişkilerinde kişisel bilgiler, iş sözleşmesinin kurulması, uygulanması ve sonlandırılması için gerekli olması halinde işlenebilir. İş ilişkisi başlatılırken adayların kişisel bilgileri işlenebilir. Eğer aday reddedilirse, adaya ait bilgiler aday daha sonraki bir seçim aşaması için verilerin kayıtlı tutulmasını kabul ettiği sürece muhafaza edilmeli, sonrasında yasal veri saklama süresi gözetilerek silinmelidir. Verilerin daha sonraki başvuru işlemlerinde ya da başvurunun diğer grup şirketleriyle paylaşılmasından önce de onay gereklidir. Mevcut iş ilişkisinde aşağıdaki veri işleme durumlarından hiçbiri sağlanmıyorsa veri işleme iş sözleşmesinin amacıyla ilişkilendirilmelidir. Bir iş başvuru sürecinde veya aday hakkında üçüncü kişilerden bilgi edinilmesi gerekli olduğunda ilgili yerel hukukun gerekleri dikkate alınmalıdır. Şüphe durumunda ilgili kişinin rızası alınmalıdır. İş ilişkisi bağlamında bulunan, ancak iş sözleşmesinin uygulanması ile ilişkili olmayan kişisel bilgilerin işlenmesi için ilgili yasal yetkinin olması gerekir. Bunlar yasal gereklilikleri, işçi temsil cileriyle toplu iş sözleşmesi düzenlemelerini, çalışanın rızası veya şirketin meşru menfaatlerini içerir. 2.2 Yasal yetkilendirmeler sebebiyle yapılan veri işlemleri Çalışana ait kişisel bilgilerin işlenmesine, yerel hukukun talep etmesi, gerektirmesi ya da yetkilendirmesi durumlarında da izin verilir. Veri işlemenin tür ve kapsamı, yasal olarak yetki verilen veri işleme faaliyetleri için gerekli ve ilgili yasa hükümlerine uygun olmalıdır. Yasal bir esneklik olması durumunda çalışanın korunması gereken menfaatleri göz önünde bulundu rulmalıdır. 2.3 Veri işleme ile ilgili toplu sözleşme düzenlemeleri Bir veri işleme faaliyeti sözleşme uygulamasının amacının kapsamı dışına çıkması toplu sözleşme tarafından yetki verilmesi durumunda izinli olabilir. Toplu sözleşmeler maaşlı kadro sözleşmeleri veya ilgili iş hukuku kapsamında işveren ile işçi temsilcilikleri arasında yapılan anlaşmalardır. Bu anlaşmalar istenilen veri işleme faaliyetinin amacı kapsamında bulunmalı ve ulusal veri koruma yönetmelikleri uyarınca hazırlanmalıdır. 2.4 Veri işleme için onay verilmesi Çalışan bilgileri ilgili kişinin rızası sonucunda işlenebilir. Rıza beyanları gönüllü olarak verilmelidir. Gönülsüz verilen rıza beyanları geçersizdir. Rıza beyanı belgeleme amacıyla yazılı veya elektronik yoldan alınmalıdır. Bazı durumlarda rıza verme sözlü olabilir, bu durumda rıza uygun bir şekilde belgelenmelidir. Ulusal hukukun açık bir onay öngörmemesi durumunda ilgili kişiden gönüllü olarak bir onay alınabilir. Rıza vermeden önce ilgili kişinin bu veri koruma yönetmeliğinin IV.3 maddesi uyarınca bilgilendirilmesi gerekir. VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI 10 2.5 Meşru menfaate uygun olarak verilerin işlenmesi Çalışana ait kişisel bilgiler, Daimler Grubu’nun meşru bir menfaatinin gerektiğinde de işlenebilir. Meşru menfaatler genellikle yasal (örn. yasal hakların dosyalanması, uygulanması ya da savunul ması) ya da ekonomik (örn. şirketin değerlendirilmesi) menfaatlerdir. Çalışanların menfaatlerinin korunması gerektiği kişisel durumlarda kişisel bilgiler meşru menfaat amaçları için işleme alınamayabilirler. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmelidir. Çalışanlara ait verilerin işlenmesini gerektiren kontrol önlemleri yalnızca yasal bir zorunluluk bulunduğunda ya da meşru bir sebep bulunduğunda alınabilir. Gerekçeli bir sebep var olsa dahi bu kontrol önleminin ölçülü olup olmadığı incelenmelidir. Şirketin bu kontrol önlemini almasındaki haklı menfaatinin (örn. yasal hükümlere ve şirket içindeki kurallara uygunluk) ilgili çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilmeli ve sadece ölçülü olması halinde uygu lanmalıdır. Şirketin bu meşru menfaatleri ve çalışanın korunması gereken menfaatleri alınacak her önlemden önce belirlenmeli ve belgelenmelidir. Ayrıca yerel hukukun ilave gereklilikleri (örn. çalışan tarafının temsilcisinin ortak karar alma hakkı ve ilgili kişinin bilgi alma hakkı) göz önünde bulundurulmalıdır. 2.6 Çok hassas verilerin işlenmesi Çok hassas kişisel bilgiler sadece belli koşullar altında işlenebilir. Irk ve etnik kökene, politik düşüncelere, dini ya da felsefi düşüncelere, üye olunan sendikalara ve kişilerin sağlık ve cinsel hayatlarına dair bilgiler Çok hassas bilgiler arasındadır. Yasalar nedeniyle başka veri kategorileri de çok hassas veri olarak değerlendirilebilir ya da veri kategorilerinin içeriği farklı olarak oluş turulabilir. Buna ek olarak, suç ile ilgili bilgiler de genellikle ulusal yasanın özel gereklilikleri ile işlenebilir. İşlemler yerel hukuk çerçevesinde açık biçimde izin verilmiş ya da yazılmış olmalıdır. Ayrıca sorumlu makamın haklarını ve görevlerini iş hukuku çerçevesinde uygulayabilmesi için gerekti ğinde işlemlere izin verilebilir. Çalışan bu işleme açık bir şekilde rıza gösterebilir. Çok hassas verilerin işlenmesi planlanmışsa veri koruma için Şirket Veri Koruma Yetkilisi önceden bilgilendirilmelidir. 2.7 Otomatikleştirilmiş veri işleme Eğer kişisel veri iş ilişkisinin bir parçası olarak otomatikleştirilmiş bir şekilde işleniyor ve kişisel bazı detaylar süreçteki değerlendirmeleri etkiliyorsa (örn. personel seçiminin bir parçası veya yetenek profillerinin değerlendirilmesi olarak), bu otomatik işleme ilgili kişiyi olumsuz olarak etkileyecek veya ilgili kişi için önemli problemlere yol açacak kararların alınmasında tek temel olamaz. Hatalı kararları önlemek amacıyla otomatik işlem ilgili kişinin durumun içeriğini de ğerlendirmesini ve bu değerlendirmenin kararın temeli olmasını sağlamalıdır. İlgili kişi otomatikleş tirilmiş veri işleme sonucundaki kararların gerçekliği ve sonuçları ve cevap verebilme olasılığı hakkında bilgilendirilmedir. VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI | VI. KIŞISEL BILGILERIN AKTARIMI 11 2.8 Telekomünikasyon ve internet Telefon donanımları, e-posta adresleri, şirket içi ağlar ile birlikte intranet ve internet, şirket tara fından öncelikli olarak işle ilgili görevler için sağlanır. Bunlar çalışma araçları ve şirket kaynaklarıdır. Bunlar uygun yasal düzenlemelere ve şirketin iç yönetmeliklerine uygun olarak kullanılabilir. Kişisel amaçlar için izin verilmiş kullanım durumunda telekomünikasyon gizliliği yasaları ve eğer uygunsa ilgili ulusal telekomünikasyon yasaları dikkate alınmalıdır. Telefon ve e-posta iletişimi veya intranet ve internet kullanımı ile ilgili genel denetleme olma maktadır. BT altyapısına veya bireysel kullanıcılara karşı saldırıları önlemek için Daimler ağına geçişlerde, teknik açıdan zararlı içerikleri bloke eden veya saldırıların modellemesini analiz eden koruyucu önlemler alınabilir. Telefon donanımlarının, e-posta adreslerinin, intranetin/internetin ve/veya şirket içi sosyal ağların kullanımı, güvenlik nedenlerinden dolayı sınırlı bir süre saklana bilir. Bu verilerin kişiyle ilgili değerlendirmeleri ancak yasalar veya Daimler Grubu yönetmelikle rinin ihlaline ilişkin somut bir şüphenin var olması halinde yapılabilir. Bu kontroller ilgili depart manlar tarafından sadece ölçülülük prensibinin korunması şartıyla yerine getirilebilir. İlgili yerel hukuk ve aynı şekilde bu konuyla ilgili grup yönetmelikleri dikkate alınmalıdır. VI. Kişisel bilgilerin aktarımı Kişisel bilgilerin Daimler Grubu dışındaki veya içindeki bir alıcıya aktarılması, bölüm V altında kişisel bilgilerin işlenmesi için gereken yetkiye tabidir. Alıcının, kendisine aktarılan veriyi sadece belirlenen amaç için kullanması gerekmektedir. Üçüncü bir ülkede12 Daimler Grubu dışında bir alıcıya veri aktarılması durumunda bu ülke veri koruma yönetmeliğine eşit derecede veri koruma sağlayacağını kabul etmelidir. Aktarımın yasal bir yükümlülük dolayısıyla yapılmasında bu husus geçerli değildir. Bu tür yasal zorunluluk, verileri ileten grup şirketinin merkezinin bulunduğu ülkeden kaynaklanabilir. Bundan farklı olarak grup şirketinin merkezinin bulunduğu ülkenin yasaları, üçüncü bir ülkenin veri aktarımı ile ilgili yasal yükümlülüğünün amacını tanıyabilir. Üçüncü kişiler tarafından Daimler Grubu’nun bir şirketine veri aktarılması durumunda bu verilerin öngörülen amaç için kullanıldığından emin olunmalıdır. Kişisel bilgiler, merkezi Avrupa Ekonomik Alanı içinde bulunan bir grup şirketinden merkezi Avrupa Ekonomik Alanı13 dışında bir ülkede (üçüncü ülke) bulunan bir grup şirketine aktarılaca ğında, ilgili denetimsel otorite veri koruma ve veriyi alan şirkete karşı, veriyi sağlayan makamın merkezinin bulunduğu yerdeki devletin ilgili yetkili makamlarının tüm sorularına, bu verilerin kopyalanmasına ve aktarılan verilerin işlenmesi konusunda yetkili makamın saptamalarına dikkat etmelidir. Aynı husus, diğer ülkelerdeki grup şirketlerinin veri aktarımları için de geçerlidir. Bunlar veri koruma ile ilgili bağlayıcı şirket kuralları için uluslararası bir sertifikasyon sistemine katılıyorsa, ilgili denetleme makamları ve ajansları ile ilgili işbirliğini sağlamalıdırlar. Bu tür bir sertifikasyon sistemine katılımda veri koruma için Şirket Veri Koruma Yetkilisi ile anlaşılmalıdır. İlgili kişilerden gelebilecek, merkezi üçüncü bir ülkede bulunan ve verileri alan bir grup şirketinden kaynaklanan bir veri koruma yönetmeliği ihlali bildirimi durumunda, merkezi Avrupa Ekonomik Alanı içinde bulunan ve veriyi sağlayan grup şirketi, verileri Avrupa Ekonomik Alanı içinde top lanmış olan ilgili kişiye karşı durumun açıklığa kavuşturulmasında destek vermekle ve haklarını, 12 Bkz. XV. 13 Bkz. XV. VERI GIZLILIĞI YÖNETMELIĞI | VI. KIŞISEL BILGILERIN AKTARIMI | VII. TARAFLARCA VERI İŞLEME 12 bu veri koruma yönetmeliğine göre, veriyi alan grup şirketine karşı savunmakla yükümlüdür. Ayrıca ilgili kişinin veriyi veren grup şirketine karşı haklarını arama hakkı saklıdır. Bir ihlalin iddia edilmesi durumunda veriyi veren şirket ilgili kişiye, üçüncü bir ülkede veriyi alan grup şirketinin alınan bu verileri veri koruma yönetmeliğini ihlal edecek şekilde kullanmasının beklenmediğini belgelemelidir. Kişisel bilgilerin merkezi Avrupa Ekonomik Alanı içinde bulunan bir grup şirketinden merkezi üçüncü bir ülkede bulunan bir grup şirketine aktarılması durumunda, verileri kontrol eden makam, verileri Avrupa Ekonomik Alanı içinde toplanmış olan ilgili kişiye karşı, ihlali veriyi kontrol eden taraf yapmış gibi üçüncü ülke içindeki grup şirketinin yaptığı ihlal nedeniyle sorumluluk sahibidir. Mahkeme yeri, veriyi sağlayan makamın bağlı olduğu yerdeki mahkemelerdir. VII. Taraflarca Veri İşleme Taraflarca veri işleme, ilgili şirket sürecinin sorumluluğu devredilmeden bir hizmet sağlayıcının veri işlemek için görevlendirilmesidir. Bu durumda hem şirket dışı hizmet sağlayıcılar hem de Daimler Grubu şirketleri ile veri işleme konusunda bir anlaşma yapılmalıdır. Bu anlaşma kapsamın da, müşteri, veri işlemenin doğru yapılmasında tüm sorumluluğu üstlenir, servis sağlayıcı ise bu kişisel verileri sadece müşterinin talimatları doğrultusunda işleyebilir. Hizmet sağlayıcının veri işleme sırasında aşağıdaki gerekliliklere uyması, hizmeti alan tarafın ise hizmetin aşağıda belirtilen kurallara uygun şekilde verilmesini sağlaması gerekmektedir. 1.Hizmet sağlayıcı, gerekli teknik ve organizasyonel güvenlik önlemlerini sağlayabilme yeteneğine göre seçilmelidir. 2.Görevlendirme yazılı olarak yapılmalıdır. Veri işlemede takip edilmesi gereken talimatlar ve hizmet sağlayıcı ile görevlendirmeyi yapan müşterinin sorumlulukları net bir şekilde dokümante edilmelidir. 3.Veri koruma için Şirket Veri Koruma Yetkilisi tarafından sağlanan sözleşme standartları dikkate alınmalıdır. 4.Hizmeti alan taraf, veri işleme başlamadan önce hizmet sağlayıcının yükümlülüklerini yerine getirebileceğinden emin olmalıdır. Hizmet sağlayıcı, özellikle veri koruma konusundaki yetkinliklerini gerekli hallerde uygun bir sertifikasyon sunarak belgeleyebilir. Veri işlemedeki riske bağlı olarak, sözleşme süresince düzenli aralıklarla hizmet sağlayıcının gerçekleştirdiği işlemler düzenli olarak denetlenmelidir. 5.Taraflarca veri işlemenin ülke dışında yapılması durumunda, yurtdışına veri aktarımı ve verinin yurtdışında işlenmesi ile ilgili ulusal düzenlemeler dikkate alınmalıdır. Özellikle Avrupa Eko nomik Alanı ülkeleri adına veri işleme yapacak ülkelerin, Veri Koruma Kanunu’nda belirtilen kriterleri sağladığını kanıtlayabilmesi durumunda mümkündür. Bu durumda uygun veri koru manın belgelenmesi için aşağıdaki yöntemler kullanılabilir: a.Hizmet sağlayıcı ve olası taşeronun, veri işleme için standart AB veri koruma sözleşmesine uymayı sözleşme ile kabul etmesi. b.Hizmet sağlayıcının yeterli veri koruma seviyesini, AB tarafından akredite bir sertifikasyon sistemi ile belgelemesi. c.Hizmet sağlayıcının veri koruması için oluşturduğu bağlayıcı kurallarının yetkili denetleyici kurumlar tarafından kabul edilmiş olması. VERI GIZLILIĞI YÖNETMELIĞI | VIII. İLGILI KIŞININ HAKLARI | IX. İŞLEMLERIN GIZLILIĞI 13 VIII.İlgili kişinin hakları Tüm ilgili kişiler aşağıdaki haklara sahiptir. Bunlar, ileri sürülmeleri durumunda sorumlu birim tarafından derhal ele alınmalı ve ilgili kişi için herhangi bir dezavantaj teşkil etmemelidir. 1.İlgili kişi, hakkındaki hangi bilgilerin kaydedildiği, verilerin nasıl ve hangi amaçla toplandıkları ile ilgili bilgi talep edebilir. İlgili iş yasaları altında iş ilişkisi amacıyla işveren belgelerinin (örn. personel dosyası) incelenmesi için başka haklar bulunuyorsa, bu haklar bundan etkilenmez. 2.Kişisel bilgiler üçüncü şahıslara iletileceğinde alıcının kimliği ya da alıcının kategorisi ile ilgili bilgi sağlanmalıdır. 3.Kişisel bilgiler yanlış ya da eksik olduğunda ilgili kişi düzeltilmelerini ya da tamamlanmalarını talep edebilir. 4.İlgili kişi, kişisel verilerinin reklam ya da pazar ve kamuoyu araştırması amacıyla işlenmesine itiraz edebilir. Verilerin bu şekilde kullanımı engellenmelidir. 5.İlgili kişi, verilerin işlenmesi ile ilgili yasal dayanağın olmaması ya da geçersiz olması durumunda kişisel bilgilerinin silinmesini talep edebilir. Aynı durum, veri işlemlerinin amacı zaman aşımına uğradığında ya da diğer nedenlerden ötürü geçersiz olduğunda da geçerlidir. Mevcut saklama dönemi ve koruma gerektiren çakışmalı menfaatler dikkate alınmalıdır. 6.İlgili kişi genellikle verilerinin işlenmesine itiraz etme hakkına sahiptir ve eğer kişinin menfaatleri bazı kişisel durumlar sebebiyle veri denetleyicisinin menfaatlerinden önce geliyorsa bu hesaba katılmalıdır. Bu durum, yasal hükümlerin verilerin işlenmesinin gerektiği durumlarda geçerli değildir. Buna ek olarak ilgili kişi III. md. 2. fıkra, IV., V., VI., IX., X., ve XIV. md. 3. fıkrası uyarınca sahip olduğu hakları üçüncü kişi lehine, veri koruma yönetmeliğine uyma konusunda anlaşmış bir şirket gereklilikleri dikkate almazsa ve üçüncü şahsın haklarını ihlal ederse savunabilir. IX.İşlemlerin gizliliği Kişisel veriler gizliliğe tabidir. Çalışanların verileri yetkisiz olarak toplaması, işlemesi ya da kullanması yasaktır. Yetkisiz kullanım, çalışanların meşru görevleri dışında gerçekleştirdikleri yetkisiz veri işlemesidir. Need-to-know prensibi geçerlidir: Çalışanlar kişisel bilgilere sadece söz konusu görevin kapsamı ve cinsi için uygun olması halinde erişebilirler. Bu da rollerin ve sorum lulukların dikkatli bir şekilde dağıtılmasını, ayrılmasını ve de uygulanmasını gerektirir. Çalışanların kişisel bilgileri özel ya da ticari amaçlar için kullanması, yetkisiz kişilere dağıtması ya da başka bir şekilde erişilebilir kılması yasaklanmıştır. Yöneticiler çalışanlarını iş ilişkisinin başladığı sırada veri koruma ile ilgili yükümlülükler hakkında bilgilendirmelidir. Bu yükümlülük, iş ilişkisinin sonlandırılmasından sonra da devam eder. VERI GIZLILIĞI YÖNETMELIĞI | X. İŞLEM GÜVENLIĞI | XI. VERI KORUMA KONTROLÜ | XII. VERI KORUMASINA ILIŞKIN OLAYLAR 14 X.İşlem güvenliği Kişisel veri yetkisiz erişimden, yasa dışı kullanımdan veya aktarımdan ve bunun yanı sıra yanlışlıkla kaybedilmesinden, değişiklik ya da zarar görmesinden korunmalıdır. Bu husus, veri işlemenin elektronik yolla veya basılı halde yapılmasından bağımsız olarak geçerlidir. Özellikle yeni BT sistemlerine geçişte veri işlemenin yeni metotlarına başlamadan önce, kişisel bilgilerin korunmasına yönelik teknik ve organizasyonel önlemler tanımlanmalı ve uygulanmalıdır. Bu önlemler son gelişmelere, işlemin risklerine ve verinin koruma ihtiyacına (bilgi sınıflandırması prosesi ile belirlenir) dayandırılmalıdır. Özellikle sorumlu birim kendi bilgi güvenliği yetkilisi (ISO) ve veri koruma koordinatörüne danışabilir. Kişisel bilgilerin korunmasına ilişkin teknik ve organizasyonel önlemler, şirket bilgi güvenliği yönetiminin bir parçasıdır ve teknik gelişmelere ve organizasyonel değişikliklere sürekli olarak uyarlanmalıdırlar. XI. Veri koruma kontrolü Veri koruma yönetmeliğine ve uygulanabilir veri koruma yasalarına uygunluk, düzenli veri koruma denetimleri ve diğer kontrollerle sağlanır. Bu kontrollerin performansı şirket veri koruma yetkilisi, veri koruma koordinatörü, denetim yetkisine sahip şirket birimleri veya görevlendirilmiş şirket dışı denetimcilerin sorumluluğudur. Veri koruma denetimlerinin sonuçları veri koruma için şirket veri koruma yetkilisine raporlanmalıdır. Daimler AG denetim kurulu da ilgili raporlama görevlerinin bir parçası olarak öncelikli sonuçları hakkında bilgilendirilmelidir. Veri koruma kontrollerinin sonuçları başvuru halinde sorumlu veri koruma yetkililerine sunulur. Sorumlu veri koruma yetkilisi, yerel hukuk tarafından izinli olarak bu yönetmeliğin düzenlemeleri ile uyumunun kontrolünü kendisi yapabilir. XII. Veri korumasına ilişkin olaylar Her çalışan, bu veri koruma yönetmeliğine veya kişisel bilgilerin korunmasına ilişkin diğer düzen lemelere (veri koruma olayları)14 karşı ihlal durumlarında ilgili yöneticilerine, veri koruma koor dinatörüne ve şirket veri koruma yetkilisine bildirmelidir. İlgili pozisyon veya birimden sorumlu yönetici, sorumlu veri koruma koordinatörünü veya şirket veri koruma yetkilisini veri korumaya ilişkin olaylar hakkında derhal bilgilendirmekle yükümlüdür. »Kişisel bilgilerin uygunsuz olarak üçüncü kişilere iletilmesi, »Üçüncü kişilerin kişisel bilgilere uygunsuz olarak erişmesi veya »kişisel bilgilerin kaybedilmesi durumlarında, ulusal yasa altında tüm raporlama görevleriyle uyumlu olması amacıyla gerekli şirket raporları (Bilgi Güvenliği Olay Yönetimi) derhal hazırlanmalıdır. 14 Bkz. XV. VERI GIZLILIĞI YÖNETMELIĞI | XIII. SORUMLULUKLAR VE YAPTIRIMLAR | XIV. ŞIRKET VERI KORUMA YETKILISI 15 XIII. Sorumluluklar ve yaptırımlar Grup şirketlerinin yürütme organları, kendi sorumluluk alanlarındaki veri işlemlerinden sorumlu durlar. Veri koruma yönetmeliğinde bulunan yasal gereksinimlerin veri koruma için sağlandığından emin olunmalıdır (örn. ulusal raporlama yükümlülükleri). Organizasyonel, personel ve teknik önlemler alınarak sorumluluk alanlarındaki veri işlemlerinin uygun biçimde yürütülmesinden, yönetim ekibi sorumludur. Bu gereksinimlerle uyumu ilgili çalışanın sorumluluğudur. Eğer yetkili makamlar veri koruma kontrollerini gerçekleştiriyorsa şirket veri koruma yetkilisi derhal bilgi lendirilmelidir. İlgili yürütme organı şirket veri koruma yetkilisini, veri koruma koordinatörü adına bilgilendirmelidir. Organizasyonel olarak bu görev, şirket veri koruma yetkilisi ile mutabakat halinde birden fazla şirket veya tesis için bir veri koruma koordinatörü tarafından yerine getirilebilir. Veri koruma koordinatörleri veri koruma konusunda sahadaki muhatap kişidir. Bunlar kontroller yapabilir ve çalışanları veri koruma yönetmeliği içerikleri hakkında bilgilendirirler. İlgili yönetim, şirket veri koruma yetkilisinin ve veri koruma koordinatörlerinin faaliyetlerini desteklemekle yükümlüdür. İş süreçleri ve projeler için sorumlu birimler, veri koruma koordinatörlerini kişisel bilgilerin yeni işlemleri hakkında zamanında bilgilendirmelidir. İlgili kişilerin özlük hakları ile ilgili özel riskler içeren veri işleme hedeflerinde şirket veri koruma yetkilisi, işleme başlanmadan önce bilgilen dirilmelidir. Bu husus özellikle çok hassas kişisel bilgiler için de geçerlidir. Yönetim elemanları, çalışanlarının veri koruma konusunda gerekli eğitimleri almalarını sağlamalıdır. Kişisel bilgilerin uygun olmayan şekilde işlenmesi ya da veri koruma yasasının diğer ihlalleri birçok ülkede cezai yaptırıma tabidir ve tazminat hakkı doğurabilmektedir. Tek bir çalışanın sorumlulu ğundaki ihlaller, iş hukuku kapsamında yaptırımlara yol açabilir. XIV.Şirket veri koruma yetkilisi Şirket veri koruma yetkilisi, dâhili profesyonel organlardan bağımsız olarak ulusal ve uluslararası veri koruma düzenlemelerine uyuma yönelik çalışır. Kendisi veri koruma alanındaki yönetmelik lerden sorumludur ve bunlara uyulup uyulmadığını denetler. Şirket veri koruma yetkilisi Daimler AG yönetim kurulu tarafından atanır. Genelde, yasal olarak veri koruma sorumlusu atama yü kümlülüğü bulunan grup şirketleri şirket veri koruma yetkilisini atar. Belirli istisnalar konusunda şirket veri koruma yetkilisi ile anlaşılmak zorundadır. Veri koruma koordinatörleri şirket veri koruma yetkilisini veri koruma riskleri hakkında zamanında bilgilendirir. Her ilgili kişi öneri, soru, bilgi talebi ya da şikâyetlerini verilerin korunması ya da veri koruma sorularıyla bağlantılı olarak şirket veri koruma yetkilisi veya ilgili veri koruma koordinatörüne iletebilir. Talep edilmesi durumunda soru ve şikâyetler gizli tutulacaktır. Bir şikâyeti veya veri koruma yönetmeliğine karşı bir ihlali çözememesi veya bir eksikliği gidere memesi durumunda yetkili veri koordinatörü hemen şirket veri koruma yetkilisine danışmalıdır. Şirket veri koruma yetkilisi veri koruma eksiklerinin giderilmesiyle ilgili aldığı kararlar şirket yönetimi tarafından dikkate alınır. Denetim makamlarının talepleri her zaman şirket veri koruma yetkilisine bildirilmelidir. Şirket veri koruma yetkilisi ve onun çalışanlarına ait iletişim bilgileri aşağıdaki gibidir: Daimler AG, Şirket veri koruma yetkilisi, HPC 0518, D-70546 Stuttgart E-posta: [email protected] İntranette http://intra.corpintra.net/cdp VERI GIZLILIĞI YÖNETMELIĞI | XV. TANIMLAR 16 XV.Tanımlar »Kişisel kimliğin izi hiç kimse tarafından sürülemiyorsa veya kişisel kimlik makul olmayan bir zaman, gider ve iş gücüyle yeniden yaratılabiliyorsa veri anonimleştirilmiş sayılır. »Onay verme/riza gösterme veri işleme için gönüllü ve yasal olarak bağlayıcı bir anlaşmadır. »Veri koruma olayları, kişisel verinin yasa dışı ele geçirilmesi, toplanması, değiştirilmesi, kop yalanması, dağıtılması veya kullanılmasına dair haklı şüphelerin olduğu olaylardır. Bu üçüncü taraflarla ve kişilerle ilgili olabilir. »Veri koruma yönetmeliği altındaki ilgili kişi verisi işlenen doğal kişilerdir. Bazı ülkeler ve yasal kurumlar da ilgili kişi olarak değerlendirilebilir. »Avrupa Ekonomik Alanı, Avrupa Birliği ile ilgili ekonomik alanlardır. Bu alan Norveç, İzlanda ve Lihtenştayn’ı da kapsar. »Çok hassas bilgi kişinin ırk ve etnik kökene, politik düşüncelerine, dini ya da felsefi düşüncelerine, üye oldukları sendikalara ve sağlık ve cinsel hayatlarına dair bilgilerdir. Yasalar nedeniyle başka veri kategorileri de çok hassas veri olarak değerlendirilebilir ya da veri kategorilerinin içeriği farklı olarak oluşturulabilir. Buna ek olarak, suç ile ilgili bilgiler de genellikle ulusal yasanın özel gereklilikleri ile işlenebilir. »Kişisel veri, belirli ve tanımlanabilir gerçek kişiler hakkındaki bilgilerdir. Bir kişi örneğin kişisel ilişkisi olası ek bilgi ile dahi olsa bilginin kombinasyonu kullanılarak belirlenebilirse tanımla nabilirdir. »Kişisel bilginin işlenmesi otomatikleşmiş sistemler kullanılarak veya kullanılmayarak, verileri toplama, depolama, organize etme, bulundurma, değiştirme, sorgulama, kullanma, iletme, paylaşma, yayma veya birleştirme ve karşılaştırma işlemleridir. Bu ayrıca verinin ve veri de polama ortamlarının elden çıkarılması, silinmesi ve engellenmesi durumlarında da geçerlidir. »Kişisel bilginin işlenmesi, eğer izin verilen amaç veya haklı çıkar kişisel veri olmadan veya sadece son derece yüksek gider ile gerçekleşemiyorsa gereklidir. »Veri kontrolörü, iş aktivitesi alakalı süreç önlemi başlatan, Daimler Grubunun yasal bağımsız şirketidir. »Üçüncü ülkelerde veri korumanın yeterli seviyesi, Avrupa Birliği komisyonu tarafından eğer kişisel gizliğinin temeli Avrupa Birliği üye ülkelerinin oy birliğiyle yeterliliği sağlanmışsa kabul edilir. Karar verirken Avrupa Birliği komisyonu veri transferi veya veri transferi kategorilerinde rol oynayan durumların hepsini hesaba katar. »Veri Koruma Yönetmeliği altındaki üçüncü ülkeler Avrupa Birliği dışındaki tüm ülkelerdir. Bu veri koruma seviyesi Avrupa Birliği Komisyonu tarafından yeterli sayılan ülkeleri kapsamaz. »Üçüncü şahıslar, ilgili kişi ve veri kontrolörü dışındaki kişilerdir. Adına veri işleme durumunda Avrupa Birliği’ndeki veri işleyiciler veri koruma yasalarınca üçüncü şahıs değillerdir, çünkü onlar yasa tarafından sorumlu tarafa karşı sorumludurlar. »İletim, korunan verinin sorumlu taraf tarafından üçüncü şahıslara ifşa edilmesidir. Daimler AG Mercedesstraße 137 70327 Stuttgart Germany www.daimler.com