Veri gizliliği yönetmeliği.

2

Önsöz

Sayın Bayanlar ve Baylar,

Dijital çağ ın bir gereksinimi olarak müşterilerimize araç içinde de sunduğumuz “always on” olma olanağnın bir koşulu da verilerin toplanması ve işlenmesidir. Ancak servis hizmeti veya yeni bir araç satın alımı olmasına bakılmaksızın bizim için geçerli olan esas şudur: Verilerin kaydedildiği ve gönderildiği her yerde, yüksek ölçüde veri gizliliği ve veri güvenliği sağlanmalıdır. Bu hem müşterilerin, hem iş ortaklarının hem de çalışanların verileri için geçerlidir. Çünkü veri gizliliği, kişinin korunması demektir.

Hedefimiz, Daimler’in sadece güvenli araçları değil, aynı zamanda veri gizliliği ile ilgili yüksek standartları da temsil etmesidir. Bu nedenle küresel olarak faaliyet gösteren bir kuruluş olarak, dünya çapındaki kişisel bilgilerin toplanması ve işlenmesi ile ilgili farklı yasal gereksinimlere uymak bizim görevimizdir. Kişisel bilgilerin kullanımına ilişkin tek tip ve dünya çapında geçerli bir standart oluşturmak, bizim için başlıca önceliktir. Çünkü her kişinin özlük haklarını ve mahremiyetini korumak, bizim için güvene dayalı bir iş ilişkisinin kurulması adına temel teşkil eder.

Veri gizliliğine ilişkin grup yönetmeliğimizde müşteri, iş ortakları ve çalışanların kişisel bilgilerinin işlenmesi ile ilgili koşulları düzenledik. Avrupa veri gizliliği yönetmeliğine bu düzenlemeler, dünya çapında geçerli olan ulusal ve uluslararası veri gizliliği kanunlarına riayet edilmesini sağlıyoruz. Bununla birlikte şirketimizde dünya çapında geçerli olan bir veri gizliliği ve veri güvenliği standardı belirlemiş ve grup şirketlerimiz arasındaki veri alışverişini düzenlemiş oluyoruz. Ölçüt olarak yedi adet veri güvenliği esası belirledik, bunların arasında şeffaflık, veri tasarrufu ve veri güvenliği de bulunmaktadır.

Yöneticilerimiz ve çalışanlarımız, veri gizliliğine ilişkin grup yönetmeliğine ve ilgili veri gizliliği yasalarına uymakla yükümlüdürler. Veri gizliliği için şirketler grubu yetkilisi olarak ben de, Daimler bünyesinde veri gizliliği ile ilgili dünya çapındaki yasal düzenlemelere ve prensiplere uyulmasını sağlamakla sorumluyum.

Çalışanlarım ve ben sizlere Daimler bünyesindeki veri gizliliği ve veri güvenliği konularında her zaman yardımcı olmaya hazırız.

Dr. Joachim RießVeri gizliliği için şirketler grubu yetkilisi

VERI GIZLILIĞI YÖNETMELIĞI | ÖNSÖZ

3

Içindekiler

I. Veri koruma yönetmeliğinin amacı 4

II. Veri koruma yönetmeliğinin kapsamı ve değiştirilmesi 4

III. Ulusal kanunların uygulanması 5

IV. Kişisel bilgilerin işlenmesi ile ilgili temel kurallar 5 1. Adalet ve hukuka uygunluk 5 2. Amaca özel kısıtlama 5 3. Şeffaflık 5 4. Veri azaltma ve veri ekonomisi 6 5. Silme 6 6. Olgusal doğruluk ve veri güncelliği 6 7. Gizlilik ve veri güvenliği 6

V. Veri işlemlerine izin verilmesi 6

1. Müşteri ve ortakların verisi 7 1.1 Sözleşmesel ilişki için veri işleme 7 1.2 Reklam amaçlı veri işleme 7 1.3 Veri işleme için onay verilmesi 7 1.4 Yasal izinler sebebiyle yapılan veri işlemleri 7 1.5 Meşru menfaate uygun olarak veri işlenmesi 8 1.6 Çok hassas verilerin işlenmesi 8 1.7 Otomatikleştirilmiş münferit kararlar 8 1.8 Kullanıcı bilgileri ve internet 8

2. Personel bilgileri 9 2.1 Iş ilişkisi için verilerin işlenmesi 9 2.2 Yasal yetkilendirmeler sebebiyle yapılan veri işlemleri 9 2.3 Veri işleme ile ilgili toplu sözleşme düzenlemeleri 9 2.4 Veri işleme için onay verilmesi 9 2.5 Meşru menfaate uygun olarak verilerin işlenmesi 10 2.6 Çok hassas verilerin işlenmesi 10 2.7 Otomatikleştirilmiş veri işleme 10 2.8 Telekomünikasyon ve internet 11

VI. Kişisel bilgilerin aktarımı 11

VII. Taraflarca veri işleme 12

VIII. İlgili kişinin hakları 13

IX. İşlemlerin gizliliği 13

X. İşlem güvenliği 14

XI. Veri koruma kontrolü 14

XII. Veri korumasına ilişkin olaylar 14

XIII. Sorumluluklar ve yaptırımlar 15

XIV. Şirket Veri Koruma Yetkilisi 15

XV. Tanımlar 16

VERI GIZLILIĞI YÖNETMELIĞI | IÇINDEKILER

4

I. Veri koruma yönetmeliğinin amacı

Sosyal sorumluluğunun bir parçası olarak Daimler Grubu, veri koruma kanunlarıyla uluslararası uyumu taahhüt eder. Bu veri koruma yönetmeliği dünya çapında Daimler Grubu için geçerlidir ve veri koruma ile ilgili dünya çapında kabul edilmiş temel prensiplere dayanır. Veri korumanın sağlanması, güven içeren bir iş ilişkisinin temeli ve Daimler Grubu’nun talep edilen bir işveren olarak itibarıdır.

Bu veri koruma yönetmeliği, grup şirketleri arasındaki sınır ötesi veri iletimi1 için gerekli çerçeve şartlarından birini sağlamaktadır. Bu yönetmelik Avrupa Birliği Veri Koruma Direktifi2 ve yeterli veri koruma kanunları3 olmayan ülkeleri de içeren sınır ötesi veri iletimi için ulusal kanunlar tara ­fından yeterli seviyede veri korumasını garanti eder.

VERI GIZLILIĞI YÖNETMELIĞI | I. VERI KORUMA YÖNETMELIĞININ AMACI | II. VERI KORUMA YÖNETMELIĞININ KAPSAMI VE DEĞIŞTIRILMESI

II. Veri koruma yönetmeliğinin kapsamı ve değiştirilmesi

Bu veri koruma yönetmeliği Daimler Grubu’na ait tüm şirketler için geçerlidir, diğer bir deyişle Daimler AG ve Daimler AG’ye bağlı grup şirketleri ve bunlara bağlı şirketler ve çalışanları bu kapsamdadır. Bağlılık bu bağlamda, Daimler AG’nin doğrudan ya da dolaylı olarak oy çoğunluğu, yönetim temsilinin çoğunluğu veya bir anlaşmayı temel alarak bu veri koruma yönetmeliğinin kabul edilmesini talep edebilir. Veri koruma yönetmeliği, tüm kişisel bilgilerin işlenmesini kapsar4. Bu veri koruma yönetmeliği, tüzel kişilerin bilgilerinin de kişisel veri olarak aynı kapsamda korunduğu ülkelerde tüzel kişilerin verileri için de aynı şekilde geçerlidir. Istatistik5 değerlendirmeler veya incelemeler gibi amaçlarla anonimleştirilen bilgiler bu veri koruma yönetmeliğine tabi değildir.

Bireysel grup şirketleri, bu veri koruma yönetmeliğinin dışında düzenleme kabul etmeye yetkili değillerdir. Veri koruma ile ilgili ilave yönetmelikler, sadece ulusal kanunun bunu gerektirmesi durumunda veri koruma için Şirket Veri Koruma Yetkilisi ile mutabakat halinde oluşturulabilir. Bu veri koruma yönetmeliği, yönetmeliğin değiştirilmesi için tanımlanmış prosedür dâhilinde ve Şirket Veri Koruma Yetkilisiyle koordinasyon halinde değiştirilebilir. Değişiklikler Daimler Grubu şirketlerine, yönetmeliklerin değiştirilmesi sürecini kullanarak derhal raporlandırılacaktır. Veri koruma yönetmeliği ile uyum üzerinde büyük etkisi olan değişiklikler, bu veri koruma yönetmeliğinin onayı için bağlayıcı şirket içi veri koruma düzenlemeleri düzenleyen veri koruma makamlarına yıllık olarak bildirilir.

Veri koruma yönetmeliğinin en güncel sürümü Daimler AG’nin www.daimler.com adresindeki web sitesinde veri gizliliği bilgileri ile ulaşılabilir.

1 Bkz. XV.2 Avrupa parlamentosunun ve komisyonunun kişisel bilgilerin işlenmesinde ve serbest veri trafiğinde bireylerin

korunmasına ilişkin 95/46/AT sayılı direktifi; bkz. http://ec.europa.eu/justice_home/fsj/privacy/law/index_de.htm#richtlinie

3 Bkz. XV.4 Bkz. XV.5 Bkz. XV.

5

III. Ulusal kanunların uygulanması

Bu veri koruma yönetmeliği, varolan ulusal kanunları değiştirmeden, uluslararası kabul edilmiş veri gizliliği prensiplerini içermektedir. Bu yönetmelik ulusal veri koruma kanunlarını tamamlar. Ilgili ulusal kanunun veri koruma yönetmeliğiyle bağdaşmaması veya bu yönetmelikten daha sıkı gereksinimleri olması durumunda ilgili ulusal kanun önceliklidir. Bu veri koruma yönetmeliğinin içeriği, uygun bir ulusal mevzuat bulunmaması halinde de gözlemlenmelidir. Ulusal kanunlar kap­samında veri işlemeleri için olan bildirim gereksinimleri dikkate alınmalıdır.

Daimler Grubu’nun her şirketi, bu veri koruma yönetmeliğine ve yasal yükümlülüklere uyulma­sından sorumludur. Yasal yükümlülüklerin bu veri koruma yönetmeliğindeki yükümlülükler ile çelişkili olduğuna dair bir çekince varsa ilgili grup şirketi, veri koruma için Şirket Veri Koruma Yetki­lisini bilgilendirmelidir. Ulusal mevzuat ile veri koruma yönetmeliği arasında bir çelişme olması durumunda Daimler AG, ilgili grup şirketi ile birlikte veri koruma yönetmeliğinin amacına uygun pratik bir çözüm bulmak için çalışacaktır.

VERI GIZLILIĞI YÖNETMELIĞI | III. ULUSAL KANUNLARIN UYGULANMASI | IV. KIŞISEL BILGILERIN IŞLENMESI ILE ILGILI TEMEL KURALLAR

IV. Kişisel bilgilerin işlenmesi ile ilgili temel kurallar

1. Adalet ve hukuka uygunluk Kişisel bilgilerin işlenmesinde söz konusu bireylerin kişi hakları korunmalıdır6. Kişisel veri hukuka uygun ve adil bir şekilde toplanmalı ve işlenmelidir.

2. Amaca özel kısıtlamaKişisel veri yalnızca verilerin toplanmasından önce tanımlanmış amaç için işlenebilir. Amaca ilave değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür.

3. ŞeffaflıkIlgili birey, kendi bilgilerinin kullanımı hakkında bilgilendirilmelidir. Kişisel veri genelde ilgili bireyden doğrudan alınır. Veri toplandığında ilgili birey aşağıdaki maddelerin farkında olmalı ya da bilgilendirilmelidir:

» Veri kontrolörünün kimliği7 » Veri işlemenin amacı » Verinin aktarılabileceği üçüncü şahıs8 ya da üçüncü şahıs kategorileri

6 Bkz. XV.7 Bkz. XV.8 Bkz. XV.

6

4. Veri azaltma ve veri ekonomisiKişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmelidir. Amacın kabul edilebilir ve orantılı olduğu durumda anonim ya da istatistik veri kullanılmalıdır.Kişisel veri ulusal kanunun gerektirmesi veya izni olmadan gelecekteki potansiyel amaçlar için önceden toplanamaz ve depolanamaz.

5. SilmeYasal veya iş süreci ile ilgili sürelerin sona ermesinden sonra artık gerekli olmayan kişisel veri9 silinmelidir. Münferit hallerde bu verinin korunmasını gerektiren veya tarihi öneminin olduğunu gösteren durumların belirtisi olabilir. Eğer öyleyse, koruma gerektiren durumlar yasal olarak açıklığa kavuşturulana kadar veya şirket arşivlerin tarihsel amaçlar için verilerin saklanmasına karar verilmesi değerlendirilene kadar veri dosyada kalmalıdır.

6. Olgusal doğruluk ve veri güncelliğiDosyadaki kişisel veri doğru, tam ve ­gerekli olması halinde­ güncel tutulmalıdır. Doğru olmayan veya eksik olan verilerin silinmesini, düzeltilmesini, tamamlanmasını veya güncellenmesini sağlamak için uygun adımlar atılmalıdır.

7. Gizlilik ve veri güvenliğiKişisel veri gizliliğe tabidir. Yetkisiz erişimi, yasal olmayan işlemleri, paylaşımı, yanlışlıkla kaybolmayı, değiştirilmeyi veya tahrip edilmeyi engellemek için uygun organizasyonel ve teknik tedbirlerle korunmalı ve kişisel seviyede gizli tutulmalıdır.

V. Veri işlemlerine izin verilmesi

Kişisel verilerin toplanması, işlenmesi ve kullanılması sadece aşağıdaki yasal temeller dâhilinde izinlidir. Kişisel verinin toplanma, işlenme ve kullanma amacı esas amacında değişiklik olması durumunda da bu yasal temellerden biri gereklidir.

VERI GIZLILIĞI YÖNETMELIĞI | IV. KIŞISEL BILGILERIN IŞLENMESI ILE ILGILI TEMEL KURALLAR | V. VERI IŞLEMLERINE IZIN VERILMESI

9 Bkz. XV.

7VERI GIZLILIĞI YÖNETMELIĞI | 1. MÜŞTERI VE ORTAKLARIN VERISI

1. Müşteri ve ortakların verisi

1.1 Sözleşmesel ilişki için veri işlemeIlgili kişiye, müşteriye veya ortağa ait kişisel veri bir sözleşmenin kurulması, uygulanması ve sonlandırılması için işlenebilir. Sözleşme amacıyla ilgili ise, bu ayrıca sözleşmedeki ortak için danışma hizmeti vermeyi de içerir. Sözleşme öncesinde – sözleşmeye başlama aşamasında­ kişi­sel bilgiler teklif hazırlamak, satın alma formu hazırlamak ya da ilgili kişinin sözleşme sonucuyla bağlantılı taleplerini karşılamak amacıyla işlenebilir. Sözleşme hazırlanma sürecinde ilgili kişilerle sağladıkları bilgiler ışığında iletişime geçilebilir. Ilgili kişilerce talep edilen sınırlandırmalara uyulmalıdır. Bunun dışında kalan reklam önlemleri için V.1.2. altındaki gereklilikler dikkate alınmalıdır.

1.2 Reklam amaçlı veri işlemeEğer ilgili kişi bir Daimler Grubu şirketiyle bilgi talebi ile ilgili iletişime geçerse (örn. bir ürün ile ilgili bilgi materyali alma talebi), bu talebi karşılama amaçlı veri işlemesine izin verilir.

Müşteri bağlılığı ve reklam tedbirleri için başka yasal gereklilikler söz konusudur. Kişisel bilgiler reklam ya da pazar ve kamuoyu araştırmaları için ancak bu bilgilerin toplanma amacının bu amaca uygun olması durumunda işlenebilir. Ilgili kişi bilgilerinin reklam amaçlı kullanılacağı ile ilgili bilgilendirilmelidir. Bilgilerin sadece reklam amaçlı toplanması durumunda ilgili kişiler bu bilgileri açıklamakta serbesttir. Ilgili kişi bilgilerini bu amaçla verme konusundaki özgürlüğü hakkında bilgilendirilmelidir. Ilgili kişi10 ile, iletişimde bilgilerinin reklam amaçlı işlenmesi için bu kişinin rızası alınmalıdır. Ilgili kişi bu rıza verme kapsamında posta, elektronik posta veya telefon gibi uygun iletişim kanalları arasında seçim yapabilmelidir (rıza beyanı bkz. V.1.3).

Ilgili kişi, bilgilerinin reklam amaçlı kullanımına izin vermediğinde, veriler artık bu amaçlar için kullanılamaz ve bu amaçlarla kullanılması engellenmelidir. Ayrıca bazı ülkelerdeki verilerin reklam amaçlı kullanımı konusundaki mevcut sınırlamaları dikkate alınmalıdır.

1.3 Veri işleme için onay verilmesiVeri işlemleri ilgili kişinin rızası sonucunda gerçekleşebilir. Rıza vermeden önce ilgili kişinin bu veri koruma yönetmeliğinin IV.3 maddesine uygun olarak bilgilendirilmesi gerekir. Rıza beyanı belgeleme amacıyla yazılı veya elektronik yoldan alınmalıdır. Telefonla konuşmaları gibi bazı durumlarda rıza verme sözlü olabilir. Bu durumda rıza beyanı belgelenmelidir.

1.4 Yasal izinler sebebiyle yapılan veri işlemleriKişisel bilgilerin, yerel hukukun talep etmesi, gerektirmesi ya da bu işlemlere izin vermesi du­rumunda da işlenmesi serbesttir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.

1.5 Meşru menfaate uygun olarak veri işlenmesiKişisel bilgiler, Daimler Grubu’nun meşru bir menfaati için gerekli olduğunda da işlenebilir. Meşru menfaatler genellikle yasal (örn. alacakların tahsil edilmesi) ya da ekonomik (örn. sözleşme ihlallerinden kaçınma) menfaatlerdir. Ilgili kişilerin menfaatlerinin korunması gerektiği ve bunun öncelikli olması gibi kişisel durumlarda kişisel bilgiler meşru menfaat amaçları için işleme alına­mayabilirler. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmelidir.

10 Bkz. XV.

8VERI GIZLILIĞI YÖNETMELIĞI | 1. MÜŞTERI VE ORTAKLARIN VERISI

1.6 Çok hassas verilerin işlenmesiÇok hassas11 kişisel bilgiler yalnızca yasaların gerektirmesi veya ilgili kişinin açık bir şekilde onay vermesi halinde işlenebilir. Ilgili kişiyi ilgilendiren yasal taleplerin ileri sürülmesi, uygulanması veya korunması için zorunlu olması halinde de bu verilerin işlenmesine izin verilir. Eğer çok hassas verilerin işlenmesi planla­nıyor ise Şirket Veri Koruma Yetkilisi önceden bilgilendirilmelidir.

1.7 Otomatikleştirilmiş veri işlemeBir takım unsurları (örn. kredi derecesi) belirlemek amacıyla kullanılan kişisel verilerin otomatikleştirilmiş işlenmesi, olumsuz yasal sonuçları olan ve ilgili kişiyi olumsuz anlamda etkileyen karaların tek başına temeli olamaz. Ilgili kişi otomatikleştirilmiş veri işleme sonucundaki kararların gerçekliği ve sonuçları ve cevap verebilme olasılığı hakkında bilgilendirilmedir. Hatalı kararları önlemek amacıyla bir çalışan tarafından test ve güvenilirlik kontrolü yapılmalıdır.

1.8 Kullanıcı bilgileri ve internetWeb sitelerinde veya uygulamalarda kişisel bilgilerin toplanması, işlenmesi ve kullanılması duru­munda ilgili kişiler gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilmelidir. Gizlilik bildirimi ve çerez bilgileri, ilgili kişi için kolay tanımlanabilecek, doğrudan erişilebilecek ve sürekli uygun olacak şekilde entegre edilmelidir.

Web sitelerinin ve uygulamaların kullanımının değerlendirilmesi için kullanım profillerinin (tracking) oluşturulması durumunda gizlilik sözleşmesinde ilgili kişi bu konu hakkında kesinlikle uygun bir şekilde bilgilendirilmelidir. Kişiye özgü izleme, ancak yerel hukukun izin vermesi veya ilgili kişinin rızası ile etkilenebilir. Izlemenin bir rumuz altında yapılması durumunda gizlilik sözleşmesinde ilgili kişiye bir vazgeçme şansı sunulmalıdır (Opt­out).

Web siteleri veya uygulamalar kayıtlı kullanıcılarla sınırlandırılmış bir alanda kişisel bilgilere ula­şabiliyorsa ilgili kişinin tanımlanması ve kimliğinin doğrulanması erişim boyunca yeterli koruma sağlamalıdır.

11 Bkz. XV.

9VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI

2. Personel bilgileri

2.1 İş ilişkisi için verilerin işlenmesiIş ilişkilerinde kişisel bilgiler, iş sözleşmesinin kurulması, uygulanması ve sonlandırılması için gerekli olması halinde işlenebilir. Iş ilişkisi başlatılırken adayların kişisel bilgileri işlenebilir. Eğer aday reddedilirse, adaya ait bilgiler aday daha sonraki bir seçim aşaması için verilerin kayıtlı tutulmasını kabul ettiği sürece muhafaza edilmeli, sonrasında yasal veri saklama süresi gözetilerek silinmelidir. Verilerin daha sonraki başvuru işlemlerinde ya da başvurunun diğer grup şirketleriyle paylaşılmasından önce de onay gereklidir.

Mevcut iş ilişkisinde aşağıdaki veri işleme durumlarından hiçbiri sağlanmıyorsa veri işleme iş sözleşmesinin amacıyla ilişkilendirilmelidir.Bir iş başvuru sürecinde veya aday hakkında üçüncü kişilerden bilgi edinilmesi gerekli olduğunda ilgili yerel hukukun gerekleri dikkate alınmalıdır. Şüphe durumunda ilgili kişinin rızası alınmalıdır.Iş ilişkisi bağlamında bulunan, ancak iş sözleşmesinin uygulanması ile ilişkili olmayan kişisel bilgilerin işlenmesi için ilgili yasal yetkinin olması gerekir. Bunlar yasal gereklilikleri, işçi temsil­cileriyle toplu iş sözleşmesi düzenlemelerini, çalışanın rızası veya şirketin meşru menfaatlerini içerir.

2.2 Yasal yetkilendirmeler sebebiyle yapılan veri işlemleriÇalışana ait kişisel bilgilerin işlenmesine, yerel hukukun talep etmesi, gerektirmesi ya da yetkilendirmesi durumlarında da izin verilir. Veri işlemenin tür ve kapsamı, yasal olarak yetki verilen veri işleme faaliyetleri için gerekli ve ilgili yasa hükümlerine uygun olmalıdır. Yasal bir esneklik olması durumunda çalışanın korunması gereken menfaatleri göz önünde bulundu­rulmalıdır.

2.3 Veri işleme ile ilgili toplu sözleşme düzenlemeleriBir veri işleme faaliyeti sözleşme uygulamasının amacının kapsamı dışına çıkması toplu sözleşme tarafından yetki verilmesi durumunda izinli olabilir. Toplu sözleşmeler maaşlı kadro sözleşmeleri veya ilgili iş hukuku kapsamında işveren ile işçi temsilcilikleri arasında yapılan anlaşmalardır. Bu anlaşmalar istenilen veri işleme faaliyetinin amacı kapsamında bulunmalı ve ulusal veri koruma yönetmelikleri uyarınca hazırlanmalıdır.

2.4 Veri işleme için onay verilmesiÇalışan bilgileri ilgili kişinin rızası sonucunda işlenebilir. Rıza beyanları gönüllü olarak verilmelidir. Gönülsüz verilen rıza beyanları geçersizdir. Rıza beyanı belgeleme amacıyla yazılı veya elektronik yoldan alınmalıdır. Bazı durumlarda rıza verme sözlü olabilir, bu durumda rıza uygun bir şekilde belgelenmelidir. Ulusal hukukun açık bir onay öngörmemesi durumunda ilgili kişiden gönüllü olarak bir onay alınabilir. Rıza vermeden önce ilgili kişinin bu veri koruma yönetmeliğinin IV.3 maddesi uyarınca bilgilendirilmesi gerekir.

10VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI

2.5 Meşru menfaate uygun olarak verilerin işlenmesiÇalışana ait kişisel bilgiler, Daimler Grubu’nun meşru bir menfaatinin gerektiğinde de işlenebilir. Meşru menfaatler genellikle yasal (örn. yasal hakların dosyalanması, uygulanması ya da savunul­ması) ya da ekonomik (örn. şirketin değerlendirilmesi) menfaatlerdir.

Çalışanların menfaatlerinin korunması gerektiği kişisel durumlarda kişisel bilgiler meşru menfaat amaçları için işleme alınamayabilirler. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmelidir.

Çalışanlara ait verilerin işlenmesini gerektiren kontrol önlemleri yalnızca yasal bir zorunluluk bulunduğunda ya da meşru bir sebep bulunduğunda alınabilir. Gerekçeli bir sebep var olsa dahi bu kontrol önleminin ölçülü olup olmadığı incelenmelidir. Şirketin bu kontrol önlemini almasındaki haklı menfaatinin (örn. yasal hükümlere ve şirket içindeki kurallara uygunluk) ilgili çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilmeli ve sadece ölçülü olması halinde uygu­lanmalıdır. Şirketin bu meşru menfaatleri ve çalışanın korunması gereken menfaatleri alınacak her önlemden önce belirlenmeli ve belgelenmelidir. Ayrıca yerel hukukun ilave gereklilikleri (örn. çalışan tarafının temsilcisinin ortak karar alma hakkı ve ilgili kişinin bilgi alma hakkı) göz önünde bulundurulmalıdır.

2.6 Çok hassas verilerin işlenmesiÇok hassas kişisel bilgiler sadece belli koşullar altında işlenebilir. Irk ve etnik kökene, politik düşüncelere, dini ya da felsefi düşüncelere, üye olunan sendikalara ve kişilerin sağlık ve cinsel hayatlarına dair bilgiler Çok hassas bilgiler arasındadır. Yasalar nedeniyle başka veri kategorileri de çok hassas veri olarak değerlendirilebilir ya da veri kategorilerinin içeriği farklı olarak oluş­turulabilir. Buna ek olarak, suç ile ilgili bilgiler de genellikle ulusal yasanın özel gereklilikleri ile işlenebilir.Işlemler yerel hukuk çerçevesinde açık biçimde izin verilmiş ya da yazılmış olmalıdır. Ayrıca sorumlu makamın haklarını ve görevlerini iş hukuku çerçevesinde uygulayabilmesi için gerekti­ğinde işlemlere izin verilebilir. Çalışan bu işleme açık bir şekilde rıza gösterebilir.

Çok hassas verilerin işlenmesi planlanmışsa veri koruma için Şirket Veri Koruma Yetkilisi önceden bilgilendirilmelidir.

2.7 Otomatikleştirilmiş veri işlemeEğer kişisel veri iş ilişkisinin bir parçası olarak otomatikleştirilmiş bir şekilde işleniyor ve kişisel bazı detaylar süreçteki değerlendirmeleri etkiliyorsa (örn. personel seçiminin bir parçası veya yetenek profillerinin değerlendirilmesi olarak), bu otomatik işleme ilgili kişiyi olumsuz olarak etkileyecek veya ilgili kişi için önemli problemlere yol açacak kararların alınmasında tek temel olamaz. Hatalı kararları önlemek amacıyla otomatik işlem ilgili kişinin durumun içeriğini de­ğerlendirmesini ve bu değerlendirmenin kararın temeli olmasını sağlamalıdır. Ilgili kişi otomatikleş­tirilmiş veri işleme sonucundaki kararların gerçekliği ve sonuçları ve cevap verebilme olasılığı hakkında bilgilendirilmedir.

11VERI GIZLILIĞI YÖNETMELIĞI | 2. PERSONEL BILGILERI | VI. KIŞISEL BILGILERIN AKTARIMI

2.8 Telekomünikasyon ve internetTelefon donanımları, e­posta adresleri, şirket içi ağlar ile birlikte intranet ve internet, şirket tara­fından öncelikli olarak işle ilgili görevler için sağlanır. Bunlar çalışma araçları ve şirket kaynaklarıdır. Bunlar uygun yasal düzenlemelere ve şirketin iç yönetmeliklerine uygun olarak kullanılabilir. Kişisel amaçlar için izin verilmiş kullanım durumunda telekomünikasyon gizliliği yasaları ve eğer uygunsa ilgili ulusal telekomünikasyon yasaları dikkate alınmalıdır.

Telefon ve e­posta iletişimi veya intranet ve internet kullanımı ile ilgili genel denetleme olma­maktadır. BT altyapısına veya bireysel kullanıcılara karşı saldırıları önlemek için Daimler ağına geçişlerde, teknik açıdan zararlı içerikleri bloke eden veya saldırıların modellemesini analiz eden koruyucu önlemler alınabilir. Telefon donanımlarının, e­posta adreslerinin, intranetin/internetin ve/veya şirket içi sosyal ağların kullanımı, güvenlik nedenlerinden dolayı sınırlı bir süre saklana­bilir. Bu verilerin kişiyle ilgili değerlendirmeleri ancak yasalar veya Daimler Grubu yönetmelikle­rinin ihlaline ilişkin somut bir şüphenin var olması halinde yapılabilir. Bu kontroller ilgili depart­manlar tarafından sadece ölçülülük prensibinin korunması şartıyla yerine getirilebilir. Ilgili yerel hukuk ve aynı şekilde bu konuyla ilgili grup yönetmelikleri dikkate alınmalıdır.

VI. Kişisel bilgilerin aktarımı

Kişisel bilgilerin Daimler Grubu dışındaki veya içindeki bir alıcıya aktarılması, bölüm V altında kişisel bilgilerin işlenmesi için gereken yetkiye tabidir. Alıcının, kendisine aktarılan veriyi sadece belirlenen amaç için kullanması gerekmektedir.

Üçüncü bir ülkede12 Daimler Grubu dışında bir alıcıya veri aktarılması durumunda bu ülke veri koruma yönetmeliğine eşit derecede veri koruma sağlayacağını kabul etmelidir. Aktarımın yasal bir yükümlülük dolayısıyla yapılmasında bu husus geçerli değildir. Bu tür yasal zorunluluk, verileri ileten grup şirketinin merkezinin bulunduğu ülkeden kaynaklanabilir. Bundan farklı olarak grup şirketinin merkezinin bulunduğu ülkenin yasaları, üçüncü bir ülkenin veri aktarımı ile ilgili yasal yükümlülüğünün amacını tanıyabilir.

Üçüncü kişiler tarafından Daimler Grubu’nun bir şirketine veri aktarılması durumunda bu verilerin öngörülen amaç için kullanıldığından emin olunmalıdır.

Kişisel bilgiler, merkezi Avrupa Ekonomik Alanı içinde bulunan bir grup şirketinden merkezi Avrupa Ekonomik Alanı13 dışında bir ülkede (üçüncü ülke) bulunan bir grup şirketine aktarılaca­ğında, ilgili denetimsel otorite veri koruma ve veriyi alan şirkete karşı, veriyi sağlayan makamın merkezinin bulunduğu yerdeki devletin ilgili yetkili makamlarının tüm sorularına, bu verilerin kopyalanmasına ve aktarılan verilerin işlenmesi konusunda yetkili makamın saptamalarına dikkat etmelidir. Aynı husus, diğer ülkelerdeki grup şirketlerinin veri aktarımları için de geçerlidir. Bunlar veri koruma ile ilgili bağlayıcı şirket kuralları için uluslararası bir sertifikasyon sistemine katılıyorsa, ilgili denetleme makamları ve ajansları ile ilgili işbirliğini sağlamalıdırlar. Bu tür bir sertifikasyon sistemine katılımda veri koruma için Şirket Veri Koruma Yetkilisi ile anlaşılmalıdır.

Ilgili kişilerden gelebilecek, merkezi üçüncü bir ülkede bulunan ve verileri alan bir grup şirketinden kaynaklanan bir veri koruma yönetmeliği ihlali bildirimi durumunda, merkezi Avrupa Ekonomik Alanı içinde bulunan ve veriyi sağlayan grup şirketi, verileri Avrupa Ekonomik Alanı içinde top­lanmış olan ilgili kişiye karşı durumun açıklığa kavuşturulmasında destek vermekle ve haklarını,

12 Bkz. XV.13 Bkz. XV.

12VERI GIZLILIĞI YÖNETMELIĞI | VI. KIŞISEL BILGILERIN AKTARIMI | VII. TARAFLARCA VERI IŞLEME

bu veri koruma yönetmeliğine göre, veriyi alan grup şirketine karşı savunmakla yükümlüdür. Ayrıca ilgili kişinin veriyi veren grup şirketine karşı haklarını arama hakkı saklıdır. Bir ihlalin iddia edilmesi durumunda veriyi veren şirket ilgili kişiye, üçüncü bir ülkede veriyi alan grup şirketinin alınan bu verileri veri koruma yönetmeliğini ihlal edecek şekilde kullanmasının beklenmediğini belgelemelidir.

Kişisel bilgilerin merkezi Avrupa Ekonomik Alanı içinde bulunan bir grup şirketinden merkezi üçüncü bir ülkede bulunan bir grup şirketine aktarılması durumunda, verileri kontrol eden makam, verileri Avrupa Ekonomik Alanı içinde toplanmış olan ilgili kişiye karşı, ihlali veriyi kontrol eden taraf yapmış gibi üçüncü ülke içindeki grup şirketinin yaptığı ihlal nedeniyle sorumluluk sahibidir. Mahkeme yeri, veriyi sağlayan makamın bağlı olduğu yerdeki mahkemelerdir.

VII. Taraflarca Veri Işleme

Taraflarca veri işleme, ilgili şirket sürecinin sorumluluğu devredilmeden bir hizmet sağlayıcının veri işlemek için görevlendirilmesidir. Bu durumda hem şirket dışı hizmet sağlayıcılar hem de Daimler Grubu şirketleri ile veri işleme konusunda bir anlaşma yapılmalıdır. Bu anlaşma kapsamın­da, müşteri, veri işlemenin doğru yapılmasında tüm sorumluluğu üstlenir, servis sağlayıcı ise bu kişisel verileri sadece müşterinin talimatları doğrultusunda işleyebilir. Hizmet sağlayıcının veri işleme sırasında aşağıdaki gerekliliklere uyması, hizmeti alan tarafın ise hizmetin aşağıda belirtilen kurallara uygun şekilde verilmesini sağlaması gerekmektedir.

1. Hizmet sağlayıcı, gerekli teknik ve organizasyonel güvenlik önlemlerini sağlayabilme yeteneğine göre seçilmelidir.

2. Görevlendirme yazılı olarak yapılmalıdır. Veri işlemede takip edilmesi gereken talimatlar ve hizmet sağlayıcı ile görevlendirmeyi yapan müşterinin sorumlulukları net bir şekilde dokümante edilmelidir.

3. Veri koruma için Şirket Veri Koruma Yetkilisi tarafından sağlanan sözleşme standartları dikkate alınmalıdır.

4. Hizmeti alan taraf, veri işleme başlamadan önce hizmet sağlayıcının yükümlülüklerini yerine getirebileceğinden emin olmalıdır. Hizmet sağlayıcı, özellikle veri koruma konusundaki yetkinliklerini gerekli hallerde uygun bir sertifikasyon sunarak belgeleyebilir. Veri işlemedeki riske bağlı olarak, sözleşme süresince düzenli aralıklarla hizmet sağlayıcının gerçekleştirdiği işlemler düzenli olarak denetlenmelidir.

5. Taraflarca veri işlemenin ülke dışında yapılması durumunda, yurtdışına veri aktarımı ve verinin yurtdışında işlenmesi ile ilgili ulusal düzenlemeler dikkate alınmalıdır. Özellikle Avrupa Eko­nomik Alanı ülkeleri adına veri işleme yapacak ülkelerin, Veri Koruma Kanunu’nda belirtilen kriterleri sağladığını kanıtlayabilmesi durumunda mümkündür. Bu durumda uygun veri koru­manın belgelenmesi için aşağıdaki yöntemler kullanılabilir:

a. Hizmet sağlayıcı ve olası taşeronun, veri işleme için standart AB veri koruma sözleşmesine uymayı sözleşme ile kabul etmesi.

b. Hizmet sağlayıcının yeterli veri koruma seviyesini, AB tarafından akredite bir sertifikasyon sistemi ile belgelemesi.

c. Hizmet sağlayıcının veri koruması için oluşturduğu bağlayıcı kurallarının yetkili denetleyici kurumlar tarafından kabul edilmiş olması.

13VERI GIZLILIĞI YÖNETMELIĞI | VIII. ILGILI KIŞININ HAKLARI | IX. IŞLEMLERIN GIZLILIĞI

VIII. Ilgili kişinin hakları

Tüm ilgili kişiler aşağıdaki haklara sahiptir. Bunlar, ileri sürülmeleri durumunda sorumlu birim tarafından derhal ele alınmalı ve ilgili kişi için herhangi bir dezavantaj teşkil etmemelidir.

1. Ilgili kişi, hakkındaki hangi bilgilerin kaydedildiği, verilerin nasıl ve hangi amaçla toplandıkları ile ilgili bilgi talep edebilir. Ilgili iş yasaları altında iş ilişkisi amacıyla işveren belgelerinin (örn. personel dosyası) incelenmesi için başka haklar bulunuyorsa, bu haklar bundan etkilenmez.

2. Kişisel bilgiler üçüncü şahıslara iletileceğinde alıcının kimliği ya da alıcının kategorisi ile ilgili bilgi sağlanmalıdır.

3. Kişisel bilgiler yanlış ya da eksik olduğunda ilgili kişi düzeltilmelerini ya da tamamlanmalarını talep edebilir.

4. Ilgili kişi, kişisel verilerinin reklam ya da pazar ve kamuoyu araştırması amacıyla işlenmesine itiraz edebilir. Verilerin bu şekilde kullanımı engellenmelidir.

5. Ilgili kişi, verilerin işlenmesi ile ilgili yasal dayanağın olmaması ya da geçersiz olması durumunda kişisel bilgilerinin silinmesini talep edebilir. Aynı durum, veri işlemlerinin amacı zaman aşımına uğradığında ya da diğer nedenlerden ötürü geçersiz olduğunda da geçerlidir. Mevcut saklama dönemi ve koruma gerektiren çakışmalı menfaatler dikkate alınmalıdır.

6. Ilgili kişi genellikle verilerinin işlenmesine itiraz etme hakkına sahiptir ve eğer kişinin menfaatleri bazı kişisel durumlar sebebiyle veri denetleyicisinin menfaatlerinden önce geliyorsa bu hesaba katılmalıdır. Bu durum, yasal hükümlerin verilerin işlenmesinin gerektiği durumlarda geçerli değildir.

Buna ek olarak ilgili kişi III. md. 2. fıkra, IV., V., VI., IX., X., ve XIV. md. 3. fıkrası uyarınca sahip olduğu hakları üçüncü kişi lehine, veri koruma yönetmeliğine uyma konusunda anlaşmış bir şirket gereklilikleri dikkate almazsa ve üçüncü şahsın haklarını ihlal ederse savunabilir.

IX. Işlemlerin gizliliği

Kişisel veriler gizliliğe tabidir. Çalışanların verileri yetkisiz olarak toplaması, işlemesi ya da kullanması yasaktır. Yetkisiz kullanım, çalışanların meşru görevleri dışında gerçekleştirdikleri yetkisiz veri işlemesidir. Need­to­know prensibi geçerlidir: Çalışanlar kişisel bilgilere sadece söz konusu görevin kapsamı ve cinsi için uygun olması halinde erişebilirler. Bu da rollerin ve sorum­lulukların dikkatli bir şekilde dağıtılmasını, ayrılmasını ve de uygulanmasını gerektirir.

Çalışanların kişisel bilgileri özel ya da ticari amaçlar için kullanması, yetkisiz kişilere dağıtması ya da başka bir şekilde erişilebilir kılması yasaklanmıştır. Yöneticiler çalışanlarını iş ilişkisinin başladığı sırada veri koruma ile ilgili yükümlülükler hakkında bilgilendirmelidir. Bu yükümlülük, iş ilişkisinin sonlandırılmasından sonra da devam eder.

14VERI GIZLILIĞI YÖNETMELIĞI | X. IŞLEM GÜVENLIĞI | XI. VERI KORUMA KONTROLÜ | XII. VERI KORUMASINA ILIŞKIN OLAYLAR

X. Işlem güvenliği

Kişisel veri yetkisiz erişimden, yasa dışı kullanımdan veya aktarımdan ve bunun yanı sıra yanlışlıkla kaybedilmesinden, değişiklik ya da zarar görmesinden korunmalıdır. Bu husus, veri işlemenin elektronik yolla veya basılı halde yapılmasından bağımsız olarak geçerlidir. Özellikle yeni BT sistemlerine geçişte veri işlemenin yeni metotlarına başlamadan önce, kişisel bilgilerin korunmasına yönelik teknik ve organizasyonel önlemler tanımlanmalı ve uygulanmalıdır. Bu önlemler son gelişmelere, işlemin risklerine ve verinin koruma ihtiyacına (bilgi sınıflandırması prosesi ile belirlenir) dayandırılmalıdır. Özellikle sorumlu birim kendi bilgi güvenliği yetkilisi (ISO) ve veri koruma koordinatörüne danışabilir. Kişisel bilgilerin korunmasına ilişkin teknik ve organizasyonel önlemler, şirket bilgi güvenliği yönetiminin bir parçasıdır ve teknik gelişmelere ve organizasyonel değişikliklere sürekli olarak uyarlanmalıdırlar.

XI. Veri koruma kontrolü

Veri koruma yönetmeliğine ve uygulanabilir veri koruma yasalarına uygunluk, düzenli veri koruma denetimleri ve diğer kontrollerle sağlanır. Bu kontrollerin performansı şirket veri koruma yetkili ­ si, veri koruma koordinatörü, denetim yetkisine sahip şirket birimleri veya görevlendirilmiş şirket dışı denetimcilerin sorumluluğudur. Veri koruma denetimlerinin sonuçları veri koruma için şirket veri koruma yetkilisine raporlanmalıdır. Daimler AG denetim kurulu da ilgili raporlama görevlerinin bir parçası olarak öncelikli sonuçları hakkında bilgilendirilmelidir. Veri koruma kontrollerinin sonuçları başvuru halinde sorumlu veri koruma yetkililerine sunulur. Sorumlu veri koruma yetkilisi, yerel hukuk tarafından izinli olarak bu yönetmeliğin düzenlemeleri ile uyumunun kontrolünü kendisi yapabilir.

XII. Veri korumasına ilişkin olaylar

Her çalışan, bu veri koruma yönetmeliğine veya kişisel bilgilerin korunmasına ilişkin diğer düzen­lemelere (veri koruma olayları)14 karşı ihlal durumlarında ilgili yöneticilerine, veri koruma koor­dinatörüne ve şirket veri koruma yetkilisine bildirmelidir. Ilgili pozisyon veya birimden sorumlu yönetici, sorumlu veri koruma koordinatörünü veya şirket veri koruma yetkilisini veri korumaya ilişkin olaylar hakkında derhal bilgilendirmekle yükümlüdür.

» Kişisel bilgilerin uygunsuz olarak üçüncü kişilere iletilmesi,» Üçüncü kişilerin kişisel bilgilere uygunsuz olarak erişmesi veya» kişisel bilgilerin kaybedilmesi durumlarında, ulusal yasa altında tüm raporlama görevleriyle uyumlu olması amacıyla gerekli şirket raporları (Bilgi Güvenliği Olay Yönetimi) derhal hazırlanmalıdır.

14 Bkz. XV.

15

XIII. Sorumluluklar ve yaptırımlar

Grup şirketlerinin yürütme organları, kendi sorumluluk alanlarındaki veri işlemlerinden sorumlu­durlar. Veri koruma yönetmeliğinde bulunan yasal gereksinimlerin veri koruma için sağlandığından emin olunmalıdır (örn. ulusal raporlama yükümlülükleri). Organizasyonel, personel ve teknik önlemler alınarak sorumluluk alanlarındaki veri işlemlerinin uygun biçimde yürütülmesinden, yönetim ekibi sorumludur. Bu gereksinimlerle uyumu ilgili çalışanın sorumluluğudur. Eğer yetkili makamlar veri koruma kontrollerini gerçekleştiriyorsa şirket veri koruma yetkilisi derhal bilgi­lendirilmelidir. Ilgili yürütme organı şirket veri koruma yetkilisini, veri koruma koordinatörü adına bilgilendirmelidir. Organizasyonel olarak bu görev, şirket veri koruma yetkilisi ile mutabakat halinde birden fazla şirket veya tesis için bir veri koruma koordinatörü tarafından yerine getirilebilir. Veri koruma koordinatörleri veri koruma konusunda sahadaki muhatap kişidir. Bunlar kontroller yapabilir ve çalışanları veri koruma yönetmeliği içerikleri hakkında bilgilendirirler. Ilgili yönetim, şirket veri koruma yetkilisinin ve veri koruma koordinatörlerinin faaliyetlerini desteklemekle yükümlüdür.Iş süreçleri ve projeler için sorumlu birimler, veri koruma koordinatörlerini kişisel bilgilerin yeni işlemleri hakkında zamanında bilgilendirmelidir. Ilgili kişilerin özlük hakları ile ilgili özel riskler içeren veri işleme hedeflerinde şirket veri koruma yetkilisi, işleme başlanmadan önce bilgilen­dirilmelidir. Bu husus özellikle çok hassas kişisel bilgiler için de geçerlidir.Yönetim elemanları, çalışanlarının veri koruma konusunda gerekli eğitimleri almalarını sağlamalıdır. Kişisel bilgilerin uygun olmayan şekilde işlenmesi ya da veri koruma yasasının diğer ihlalleri birçok ülkede cezai yaptırıma tabidir ve tazminat hakkı doğurabilmektedir. Tek bir çalışanın sorumlulu­ğundaki ihlaller, iş hukuku kapsamında yaptırımlara yol açabilir.

VERI GIZLILIĞI YÖNETMELIĞI | XIII. SORUMLULUKLAR VE YAPTIRIMLAR | XIV. ŞIRKET VERI KORUMA YETKILISI

XIV. Şirket veri koruma yetkilisi

Şirket veri koruma yetkilisi, dâhili profesyonel organlardan bağımsız olarak ulusal ve uluslararası veri koruma düzenlemelerine uyuma yönelik çalışır. Kendisi veri koruma alanındaki yönetmelik­lerden sorumludur ve bunlara uyulup uyulmadığını denetler. Şirket veri koruma yetkilisi Daimler AG yönetim kurulu tarafından atanır. Genelde, yasal olarak veri koruma sorumlusu atama yü­kümlülüğü bulunan grup şirketleri şirket veri koruma yetkilisini atar. Belirli istisnalar konusunda şirket veri koruma yetkilisi ile anlaşılmak zorundadır.

Veri koruma koordinatörleri şirket veri koruma yetkilisini veri koruma riskleri hakkında zamanında bilgilendirir.

Her ilgili kişi öneri, soru, bilgi talebi ya da şikâyetlerini verilerin korunması ya da veri koruma sorularıyla bağlantılı olarak şirket veri koruma yetkilisi veya ilgili veri koruma koordinatörüne iletebilir. Talep edilmesi durumunda soru ve şikâyetler gizli tutulacaktır.

Bir şikâyeti veya veri koruma yönetmeliğine karşı bir ihlali çözememesi veya bir eksikliği gidere­memesi durumunda yetkili veri koordinatörü hemen şirket veri koruma yetkilisine danışmalıdır. Şirket veri koruma yetkilisi veri koruma eksiklerinin giderilmesiyle ilgili aldığı kararlar şirket yönetimi tarafından dikkate alınır. Denetim makamlarının talepleri her zaman şirket veri koruma yetkilisine bildirilmelidir.

Şirket veri koruma yetkilisi ve onun çalışanlarına ait iletişim bilgileri aşağıdaki gibidir:Daimler AG, Şirket veri koruma yetkilisi, HPC 0518,D­70546 StuttgartE­posta: mbox_datenschutz@daimler.comIntranette http://intra.corpintra.net/cdp

16VERI GIZLILIĞI YÖNETMELIĞI | XV. TANIMLAR

XV. Tanımlar

» Kişisel kimliğin izi hiç kimse tarafından sürülemiyorsa veya kişisel kimlik makul olmayan bir zaman, gider ve iş gücüyle yeniden yaratılabiliyorsa veri anonimleştirilmiş sayılır.

» Onay verme/riza gösterme veri işleme için gönüllü ve yasal olarak bağlayıcı bir anlaşmadır.» Veri koruma olayları, kişisel verinin yasa dışı ele geçirilmesi, toplanması, değiştirilmesi, kop­

yalanması, dağıtılması veya kullanılmasına dair haklı şüphelerin olduğu olaylardır. Bu üçüncü taraflarla ve kişilerle ilgili olabilir.

» Veri koruma yönetmeliği altındaki ilgili kişi verisi işlenen doğal kişilerdir. Bazı ülkeler ve yasal kurumlar da ilgili kişi olarak değerlendirilebilir.

» Avrupa Ekonomik Alanı, Avrupa Birliği ile ilgili ekonomik alanlardır. Bu alan Norveç, Izlanda ve Lihtenştayn’ı da kapsar.

» Çok hassas bilgi kişinin ırk ve etnik kökene, politik düşüncelerine, dini ya da felsefi düşüncelerine, üye oldukları sendikalara ve sağlık ve cinsel hayatlarına dair bilgilerdir. Yasalar nedeniyle başka veri kategorileri de çok hassas veri olarak değerlendirilebilir ya da veri kategorilerinin içeriği farklı olarak oluşturulabilir. Buna ek olarak, suç ile ilgili bilgiler de genellikle ulusal yasanın özel gereklilikleri ile işlenebilir.

» Kişisel veri, belirli ve tanımlanabilir gerçek kişiler hakkındaki bilgilerdir. Bir kişi örneğin kişisel ilişkisi olası ek bilgi ile dahi olsa bilginin kombinasyonu kullanılarak belirlenebilirse tanımla­nabilirdir.

» Kişisel bilginin işlenmesi otomatikleşmiş sistemler kullanılarak veya kullanılmayarak, verileri toplama, depolama, organize etme, bulundurma, değiştirme, sorgulama, kullanma, iletme, paylaşma, yayma veya birleştirme ve karşılaştırma işlemleridir. Bu ayrıca verinin ve veri de­polama ortamlarının elden çıkarılması, silinmesi ve engellenmesi durumlarında da geçerlidir.

» Kişisel bilginin işlenmesi, eğer izin verilen amaç veya haklı çıkar kişisel veri olmadan veya sadece son derece yüksek gider ile gerçekleşemiyorsa gereklidir.

» Veri kontrolörü, iş aktivitesi alakalı süreç önlemi başlatan, Daimler Grubunun yasal bağımsız şirketidir.

» Üçüncü ülkelerde veri korumanın yeterli seviyesi, Avrupa Birliği komisyonu tarafından eğer kişisel gizliğinin temeli Avrupa Birliği üye ülkelerinin oy birliğiyle yeterliliği sağlanmışsa kabul edilir. Karar verirken Avrupa Birliği komisyonu veri transferi veya veri transferi kategorilerinde rol oynayan durumların hepsini hesaba katar.

» Veri Koruma Yönetmeliği altındaki üçüncü ülkeler Avrupa Birliği dışındaki tüm ülkelerdir. Bu veri koruma seviyesi Avrupa Birliği Komisyonu tarafından yeterli sayılan ülkeleri kapsamaz.

» Üçüncü şahıslar, ilgili kişi ve veri kontrolörü dışındaki kişilerdir. Adına veri işleme durumunda Avrupa Birliği’ndeki veri işleyiciler veri koruma yasalarınca üçüncü şahıs değillerdir, çünkü onlar yasa tarafından sorumlu tarafa karşı sorumludurlar.

» Iletim, korunan verinin sorumlu taraf tarafından üçüncü şahıslara ifşa edilmesidir.

Daimler AGMercedesstraße 13770327 Stuttgart Germanywww.daimler.com