Veri Koruma Hakkında Bilgiler
Veri koruma hakkındaki bu bilgiler, ihbar sisteminin işleyişi ve bildirimlerin işlenmesi kapsamında BAUHAUS'un kişisel verileri nasıl işlediğini açıklar ve ayrıca hangi veri koruma haklarına sahip olduğunuzun yanı sıra bu konuda ve veri korumaya ilişkin sorularınız için tarafımızla nasıl iletişime geçebileceğinizi düzenler.
I. Denetleyici ve Veri Koruma Görevlisi
Hangi BAUHAUS şirketinin GDPR Madde 4 (7) uyarınca veri işleme sürecinin denetleyicisi olduğu, ihbar edici tarafından hangi şirketin seçildiğine bağlıdır. İhbar edici tarafından seçilen şirket, bildirimin muhatabı ve aynı zamanda verilerin denetleyicisi rolündedir.
Bu şirket, veri işleme sürecinden sorumlu denetleyicinin bakış açısı kapsamında aşağıda "biz" veya "bize" yahut "BAUHAUS" olarak anılacaktır.
İhbar sistemi, BAUHAUS adına EQS Group GmbH, Karlstraße 47, 80333 Münih tarafından yürütülür. Veriler şifrelenmiş biçimde saklanır. EQS’nin şifrelenmemiş hiçbir veriye erişimi yoktur. Bildirimler sistem tarafından ilgili BAUHAUS şirketinin sorumlu uygunluk departmanına otomatik olarak iletilir.
Almanya ile ilgili özel sorularınız için, datenschutzbeauftragter@bauhaus.info adresine e-posta göndererek Veri Koruma Görevlisi ile doğrudan irtibata geçebilirsiniz. Bu şekilde tartışılan konular ve içerikler gizli tutulacaktır. Veri korumayla ve veri sahibi olarak haklarınızı kullanma ile ilgili genel sorularınız için, lütfen BAUHAUS'un kurum içi Veri Koruma Ofisi ile ve ayrıca sorunuzla ilgili ayrıntılı bilgileri de dahil ederek datenschutz@bauhaus.info adresi ile irtibata geçin.
II. Çerezler
Bilgisayarınız ve ihbar sistemi arasındaki iletişim, SSL şifreli bir bağlantı üzerinden gerçekleşir. İhbar sisteminin kullanımı sırasında IP adresi kaydedilmez. Bilgisayarınız ile sistem arasındaki bağlantıyı sürdürmek için, bilgisayarınıza yalnızca oturum kimliğini içeren bir çerez kaydedilir. Bu çerez yalnızca oturumunuzun sonuna kadar geçerlidir ve tarayıcınızı kapattığınızda silinir. Çerez, web tabanlı bildirim formunun işlev gösterebilmesi için gereklidir; bu yüzden tarafımızca otomatik olarak devreye alınır.
III. Veri işleme ve bunun amaçları
Gerçekleştirilen spesifik veri işleme süreci, esas olarak BAUHAUS'un gelecekte bildirimler biçiminde hangi türde bilgileri alacağına bağlıdır. İhbar sisteminin yardımıyla gerçekleştirilen veri işleme, yasaların (şüphelenilen) ihlallerine veya uyum düzenlemelerinin önemli ihlallerine ilişkin bildirimleri güvenli ve gizli bir şekilde alma, işleme ve yönetme görevi görür. İhbar sistemine tarafınızca sağlanan kişisel veriler ve diğer bilgiler, yüksek güvenlikli bir veri merkezinde EQS Group GmbH tarafından işletilen bir veri tabanında saklanır. Veriler, yalnızca ihbar edici tarafından seçilen şirketin kurum içi bildirim ofisi tarafından görüntülenebilir. Bu, onaylı çözüm dahilinde, kapsamlı teknik ve organizasyonel önlemler aracılığıyla sağlanır.
İhbar sisteminin yardımıyla hangi verileri işleyeceğimiz, büyük ölçüde her bir vaka için tarafımıza gönderilen bildirimlere bağlıdır. İhbar ediciler daima ihbarın hangi ülkeye yapıldığını ve bildirim kapsamında ne tür bir ihlalden şüphelenildiğini (yolsuzluk gibi) belirtmelidir. Bildirim gönderme formunda ihbar edicilerden ayrıca, şüphelenilen ihlali açıklamaları ve soruşturma kapsamında faydalı olabilecek bilgileri paylaşmaları istenir. Münferit vakada ihbar edicinin paylaşması durumunda, ihbar edicinin adını ve ilave iletişim bilgilerini, bildirimlerde adı geçen kişilerin adlarını ve şüphelilen bir ihlale katılımlarının yanı sıra bir BAUHAUS şirketi ile olan bağlantıları hakkındaki bilgileri de toplarız. Ayrıca gönderilen her bir bildirimle ilişkilendirilmiş olan bir referans numarası da toplarız. İhbar sistemi içerisinden bir posta kutusu oluşturduğunuzda, seçilen takma ad ve karma formda seçilen şifrenin yanı sıra posta kutusuyla ilişkilendirilmiş bir ID de işlenir.
Belirli bir bildirimin işlenmesiyle ilgili olmadığı açıkça belli olan kişisel veriler hemen silinir. Ayrıca, ihbar edicilerin kimliğini ve bildirimlerde adı geçen kişileri korumak amacıyla (ör. bir bildirimin işlenmesi için kurum içi olarak iletilmeden önce) gerektiği ölçüde kişisel verileri karartırız.
IV. Suçlanan kişiye bildirim
GDPR Madde 14 uyarınca, bu bilginin ifşası soruşturmayı tehlikeye atmadığı sürece suçlanan tarafları, haklarındaki bildirimlere yönelik bilgilendirmekle yasal olarak yükümlüyüz. Yasal olarak bağlayıcı olmadığımız sürece ihbar edici olarak kimliğiniz açıklanmayacaktır.
V. Bildirimlerin gizlilikle ele alınması ve iletilmesi
Gelen bildirimler az sayıdaki özellikle yetkilendirilmiş çalışanlara ulaşır ve her zaman gizlilik içinde ele alınır. Bir bildirim alındıktan sonra, bildirimi ve bahsedilen durumu değerlendiririz ve somut vaka için gerekebilecek başka soruşturmaları gerçekleştiririz. Bir bildirimi işlerken veya özel bir soruşturma yürütürken, bildirimlerin bağlı şirketlerin çalışanları, hukuk firmaları, danışmanlık firmaları veya özel vakalarda ceza adaleti makamları da dahil olmak üzere BAUHAUS çalışanları ile paylaşılması gerekebilir. Bir bildirimin işlenmesi veya konunun soruşturulması için gerek duyulması durumunda, çeşitli metinleri tercüme ettirebiliriz. Bu bilgilere erişim hakkı verilen herkes, sözleşmeye bağlı olarak veya yasal olarak gizliliği korumakla yükümlüdür.
VI. Anonim bildirimler gönderme imkanı hakkında bilgiler
Eğer bir bildirim gönderiyorken anonimliğinizi korumak isterseniz, ihbar sistemi sizi teknik düzeyde koruyacaktır. Lütfen bildirim formuna girdiğiniz hiçbir bilginin ve yüklediğiniz hiçbir belgenin kimliğinize yönelik herhangi bir referans içermediğinden emin olun. Posta kutusu işlevini kullanmanız durumunda, tarafınızla ilgili bilgiler genelde artık anonim değil, takma ad temelli olacaktır.
VII. Gönderilen ekli dosyalara yönelik bilgiler
Bir bildirim gönderiyorken veya önceki bir bildirim için ek bilgi gönderiyorken, sisteme ekli dosyalar ekleyebilirsiniz. Anonim olarak bir bildirim göndermek isterseniz, lütfen ilgili güvenlik uyarısına dikkat edin.
VIII. Bir posta kutusu oluşturma seçeneğine yönelik bilgiler
Bir bildirim gönderdikten sonra, ihbar sistemi içinde kişisel olarak seçilen bir takma ad ve şifre aracılığıyla elektronik bir posta kutusu oluşturma seçeneğine sahipsiniz. Şifre hash biçiminde kaydedilir; posta kutusu şifrelenir ve bununla ilişkilendirilmiş bir ID’ye sahiptir. Eğer oturum açma bilgileri kaybedilirse, bunların tekrar edinilmesi mümkün değildir. İhbar ediciler posta kutusunu kullanarak, işleme durumu hakkında bilgiler görüntüleyebilir, ek bilgiler sağlayabilir, dosyalar yükleyebilir veya bildirimleri okuyabilir veya yazdırabilir. Eğer isminizi bizimle paylaşmak istemiyorsanız, lütfen takma adınızın ve bizimle paylaştığınız herhangi bir bilginin kimliğinizin tespit edilmesine yol açmayacağından ve bizimle kurduğunuz iletişim süreci boyunca isminizi paylaşmadığınızdan emin olun.
IX. Yasal dayanak
Kişisel verileri bu Veri Koruma Bilgileri altında açıklandığı gibi işlememizi, hatalı uygulamaları belirleyip önleme ve böylece BAUHAUS’a yönelik maddi ve manevi zararlar ile sorumluluk risklerini önleme ile ilgili meşru menfaatimize dayandırmaktayız (GDPR Madde 6 (1) (f) ve bir Alman BAUHAUS şirketi söz konusu olduğunda da İdari Suçlar Kanunu (OWiG) Bölümler 30, 130 ile bağlantılı olarak). Bu amaca yönelik özel kategorilerde bulunan kişisel verilerin işlenmesi gerekiyorsa, GDPR Madde 9 (2) (f)'ye ek olarak bu türde bir veri işleme gerçekleştiririz. Eğer alınan bir bildirim bir BAUHAUS çalışanıyla ilgiliyse, işlem aynı zamanda istihdam ilişkisiyle bağlantılı olarak ve Almanya'da ilave olarak Alman Federal Veri Koruma Yasası (BDSG) Madde 26 (1) (2) temelli cezai eylemlerin veya diğer yasal ihlallerin önlenmesine hizmet eder.
BAUHAUS, şüphelenilen bir ihlalin soruşturulması ve sonrasında çözüme kavuşturulması kapsamında, Madde 6 (1) (f) uyarınca meşru menfaatlerimize dayalı olarak menfaatlerimizi, haklarımızı ve iddialarımızı uygulamaya koymak ve savunmak amacıyla verileri münferit durumlarda işler. Yasal taleplerin ileri sürülmesi, uygulamaya koyulması veya savunulması için özel kategorilerde bulunan kişisel verilerin işlenmesi gerekiyorsa, GDPR Madde 9 (2) (f)'ye ek olarak bu türde bir veri işleme gerçekleştiririz.
Kişisel verileri ayrıca yasal yükümlülükleri temel alarak da ihbar sistemi aracılığıyla işleriz. GDPR Madde 6 (1)(c) (2019/ 1937 sayılı Direktif (AB) ve (gelecekteki) ilgili ulusal uygulamalarla ilişkili olarak). Örnek olarak, verilerin saklanması için artık yasal bir dayanağımız bulunmuyorsa, verileri silmekle yükümlüyüz.
Eğer ihbar edici olarak bildirimin gönderimi sırasında AB/ AEB dışında bulunuyorsanız, bildirimi gönderiminiz sırasında kaçınılmaz olarak veri aktarımı gerçekleşecektir. Bu tür bir veri aktarımı bu vakada GDPR Madde 49 (1) (d) temel alınarak gerçekleştirilir.
X. Üçüncü taraf kaynaklar
Genelde bir ihbar ediciden, bir ihlal gerçekleştirdiğinden şüphelenilen kişiler hakkında bilgi ediniriz. Böyle vakalarda, GDPR Madde 14 (2) (f) içeriğinde tanımlandığı üzere verilerin kaynağı ihbar edicidir. Ayrıca, bildirilmiş olan bir ihlali gerçekleştirdiğinden şüphelenilen kişinin çalıştığı BAUHAUS şirketinden veya diğer BAUHAUS şirketlerinden de veri toplamak gerekebilir. Münferit vakayı ilgilendirmesi ve gerekli olması halinde, kamuya açık verilerden de faydalanırız.
XI. Depolama süresi
Verilerin tam olarak hangi süreyle saklanacağı genel olarak belirlenemez; zira bunun belirlenmesi için önce münferit vakanın değerlendirilmesi gerekecektir. Kişisel veriler, durumun açıklığa kavuşturulması ve münferit vakaya ait bir bildirime yönelik nihai bir değerlendirme yapılabilmesi için veya BAUHAUS’un ağır basan meşru bir menfaati olduğu veya yasal olarak gerekli olduğu sürece saklanır. Belirli bir bildirimin işlenmesiyle ilgili olmadığı açıkça belli olan kişisel veriler hemen silinir. Ayrıca, ihbar edicilerin kimliğini ve bildirimlerde adı geçen kişileri korumak amacıyla (ör. bir bildirimin işlenmesi için kurum içi olarak iletilmeden önce, söz konusu veriler işleme için gerekli olmadığı sürece) kişisel verileri karartırız.
XII. Veri sahibinin hakları
Veri sahibi olarak, sırasıyla geçerli olan ön koşulların karşılanmasına bağlı olarak, şu veri koruma haklarına sahipsiniz:
- Erişim hakkı (GDPR Madde 15)
- Düzeltme hakkı (GDPR Madde 16)
- Silme/ unutulma hakkı (GDPR Madde 17)
- İşleme sürecinin kısıtlanması hakkı (GDPR Madde 18)
- Veri taşınabilirliği hakkı (GDPR Madde 20)
- Bir denetleme merciine şikayette bulunma hakkı (GDPR Madde 77)
Ayrıca, GDPR Madde 6 (1) (f) temelli olarak veri işleme gerçekleştirdiğimiz sürece, itiraz etme (GDPR Madde 21) hakkına da sahipsiniz. Doğrudan reklam dışındaki amaçlarla veri işleme vakasında, özel durumunuzdan kaynaklanan somut nedenlerin belirtilmesi gerektiğini lütfen dikkate alın. İtirazınızı bize Almanya'daki Veri Koruma Görevlimize bir e-posta göndererek (datenschutzbeauftragter@bauhaus.info) bildirebilirsiniz. Bu, ilgili ofise iletilecektir.
Aralık 2021’e ait versiyon
