RICHTLINIE DER KUZEY BORU AG ZUM SCHUTZ UND ZUR VERARBEITUNG PERSONENBEZOGENER DATEN
| RICHTLINIE DER KUZEY BORU AG ZUM SCHUTZ UND ZUR VERARBEITUNG PERSONENBEZOGENER DATEN
Der Schutz personenbezogener Daten gehört zu den höchsten Prioritäten der Kuzey Boru Aktiengesellschaft („Kuzeyboru“). Ein zentraler Aspekt hierbei ist der durch die vorliegende „Richtlinie“ geregelte Schutz und die Verarbeitung der personenbezogenen Daten unserer Stellenbewerber, Unternehmensaktionäre, Unternehmensvertreter, Besucher, der Mitarbeiter, Aktionäre und Vertreter von Institutionen, mit denen wir zusammenarbeiten, sowie Dritter. Gemäß der Verfassung der Republik Türkei hat jede Person das Recht, den Schutz ihrer personenbezogenen Daten zu verlangen. Als ein verfassungsrechtlich garantiertes Recht legt Kuzeyboru größten Wert auf den Schutz personenbezogener Daten. Dementsprechend widmet Kuzeyboru dem Schutz der personenbezogenen Daten von Stellenbewerbern, Unternehmensaktionären, Unternehmensvertretern, Besuchern, der Mitarbeiter, Aktionäre und Vertreter von Institutionen, mit denen wir zusammenarbeiten, sowie Dritter, wie in dieser Richtlinie dargelegt, die gebührende Sorgfalt und macht dies zu einer zentralen Unternehmenspolitik. In diesem Zusammenhang werden von unserem Unternehmen die erforderlichen administrativen und technischen Maßnahmen zum Schutz der im Rahmen der gesetzlichen Bestimmungen verarbeiteten personenbezogenen Daten ergriffen. Die von Kuzeyboru bei der Verarbeitung personenbezogener Daten in dieser Richtlinie verfolgten Grundprinzipien sind: • Verarbeitung personenbezogener Daten nach Recht und Treu und Glauben, • Sicherstellung der Richtigkeit und, wo erforderlich, der Aktualität personenbezogener Daten, • Verarbeitung personenbezogener Daten für festgelegte, eindeutige und rechtmäßige Zwecke, • Verarbeitung personenbezogener Daten in einer Weise, die dem Zweck angemessen, sachlich relevant und auf das notwendige Maß beschränkt ist, • Speicherung personenbezogener Daten nur so lange, wie es die einschlägigen Rechtsvorschriften vorsehen oder für den Zweck der Verarbeitung erforderlich ist, • Aufklärung und Information der betroffenen Personen, • Einrichtung des notwendigen Systems, damit betroffene Personen ihre Rechte ausüben können, • Ergreifung der erforderlichen Maßnahmen zur Aufbewahrung personenbezogener Daten, • Einhaltung der einschlägigen Rechtsvorschriften und der Regelungen der Datenschutz-Aufsichtsbehörde bei der Übermittlung personenbezogener Daten an Dritte gemäß den Erfordernissen des Verarbeitungszwecks, • Besondere Sorgfalt bei der Verarbeitung und dem Schutz besonderer Kategorien personenbezogener Daten. ARTIKEL 1: ZWECK DER RICHTLINIE Der Hauptzweck dieser Richtlinie ist es, durch die Information von Personen, deren personenbezogene Daten von Kuzeyboru verarbeitet werden – insbesondere unserer Kunden, Mitarbeiter, Stellenbewerber, Unternehmensaktionäre, Unternehmensvertreter, Besucher, der Mitarbeiter, Aktionäre und Vertreter von Institutionen, mit denen wir zusammenarbeiten, sowie Dritter – Transparenz und Vertrauen im Rahmen der von Kuzeyboru rechtmäßig durchgeführten Datenverarbeitungsaktivitäten zu gewährleisten. |
ARTIKEL 2: UMFANG UND BEGRIFFSBESTIMMUNGEN Diese Richtlinie bezieht sich auf alle personenbezogenen Daten unserer Mitarbeiter, Stellenbewerber, Unternehmensaktionäre, Unternehmensvertreter, Besucher, der Mitarbeiter, Aktionäre und Vertreter von Institutionen, mit denen wir zusammenarbeiten, sowie Dritter, die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden. Der Anwendungsbereich dieser Richtlinie für die oben genannten Kategorien von betroffenen Personen kann die gesamte Richtlinie oder nur einen Teil davon umfassen. Die in diesem Richtlinientext verwendeten Begriffe sind wie folgt definiert: Empfängerkategorie: Eine Kategorie von natürlichen oder juristischen Personen, an die der Verantwortliche personenbezogene Daten übermittelt. Einwilligung: Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Anonymisierung: Das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Mitarbeiter: Personal von Kuzeyboru. Elektronisches Medium: Umgebungen, in denen personenbezogene Daten mit elektronischen Geräten erstellt, gelesen, geändert und geschrieben werden können. Nicht-elektronisches Medium: Alle schriftlichen, gedruckten, visuellen und sonstigen Medien, die außerhalb elektronischer Umgebungen liegen. Dienstleister: Eine natürliche oder juristische Person, die im Rahmen eines bestimmten Vertrages Dienstleistungen für das Unternehmen erbringt. Betroffene Person: Jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden. Befugter Nutzer: Personen, die innerhalb der Organisation des Verantwortlichen oder auf dessen Weisung und Anweisung personenbezogene Daten verarbeiten, mit Ausnahme der Person oder Einheit, die für die technische Speicherung, den Schutz und die Sicherung der Daten verantwortlich ist. Vernichtung: Das Löschen, Zerstören oder Anonymisieren von personenbezogenen Daten. DSGVO/Gesetz: Die Datenschutz-Grundverordnung (EU) 2016/679. Speichermedium: Jede Umgebung, in der personenbezogene Daten, die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden, gespeichert sind. |
| Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Verzeichnis von Verarbeitungstätigkeiten: Ein Verzeichnis, das Verantwortliche gemäß ihren Geschäftsprozessen führen und in dem die Verarbeitungstätigkeiten detailliert beschrieben werden, indem sie mit den Verarbeitungszwecken und Rechtsgrundlagen, den Datenkategorien, den Empfängerkategorien und den betroffenen Personengruppen verknüpft werden, und das Angaben zur maximalen Speicherdauer, zu geplanten Übermittlungen in Drittländer und zu den getroffenen Datensicherheitsmaßnahmen enthält. Verarbeitung personenbezogener Daten: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Aufsichtsbehörde: Die zuständige Datenschutz-Aufsichtsbehörde. Besondere Kategorien personenbezogener Daten: Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Periodische Vernichtung: Ein routinemäßiger Prozess des Löschens, Zerstörens oder Anonymisierens, der in wiederkehrenden Abständen, wie in der Richtlinie zur Aufbewahrung und Vernichtung von Daten festgelegt, durchgeführt wird, wenn alle gesetzlichen Bedingungen für die Verarbeitung personenbezogener Daten entfallen sind. Richtlinie: Die Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten. Kuzeyboru/Unternehmen: Kuzey Boru Aktiengesellschaft. Auftragsverarbeiter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dateisystem: Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Verantwortlicher: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verzeichnis von Verarbeitungstätigkeiten (Informationssystem): Ein online zugängliches Informationssystem, das von der Aufsichtsbehörde eingerichtet und verwaltet wird und das Verantwortliche für die Anmeldung zum Verzeichnis und andere damit verbundene Vorgänge nutzen. (Anm.: Dies ist die sinngemäße deutsche Entsprechung für das türkische VERBİS-System). VERBİS: Das Informationssystem für das Verzeichnis der Verantwortlichen. Verordnung: Die am 28. Oktober 2017 im Amtsblatt veröffentlichte Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten. (Anm.: In Deutschland durch die Bestimmungen der DSGVO und des BDSG geregelt). |
ARTIKEL 3: ANWENDUNG DER RICHTLINIE UND DER EINSCHLÄGIGEN GESETZGEBUNG Für die Verarbeitung und den Schutz personenbezogener Daten gelten vorrangig die jeweils geltenden gesetzlichen Bestimmungen. Bei Widersprüchen zwischen der geltenden Gesetzgebung und dieser Richtlinie erkennt Kuzeyboru an, dass die geltende Gesetzgebung Vorrang hat. Die Richtlinie wurde erstellt, um die durch die einschlägige Gesetzgebung aufgestellten Regeln im Rahmen der Praktiken von Kuzeyboru zu konkretisieren und zu regeln. |
ARTIKEL 4: INKRAFTTRETEN DER RICHTLINIE Diese von Kuzeyboru erstellte Richtlinie tritt am Tag ihrer Veröffentlichung auf unserer Website in Kraft. Bei Erneuerungen oder Änderungen der Richtlinie wird das Datum des Inkrafttretens aktualisiert. Die Richtlinie wird auf der Website von Kuzeyboru veröffentlicht und auf Anfrage der betroffenen Personen zugänglich gemacht. ARTIKEL 5: ASPEKTE DES SCHUTZES PERSONENBEZOGENER DATEN Gemäß Artikel 12 des KVKK (sinngemäß Art. 32 DSGVO) ergreift Kuzeyboru alle erforderlichen administrativen, technischen und rechtlichen Maßnahmen, um eine angemessene Sicherheit zu gewährleisten, die unrechtmäßige Verarbeitung der von ihr verarbeiteten personenbezogenen Daten zu verhindern, den unrechtmäßigen Zugriff auf die Daten zu unterbinden und deren Aufbewahrung sicherzustellen. In diesem Zusammenhang werden alle notwendigen Kontrollen durchgeführt. |
ARTIKEL 6: GEWÄHRLEISTUNG DER SICHERHEIT PERSONENBEZOGENER DATEN 6.1 Technische und administrative Maßnahmen zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten Kuzeyboru ergreift technische und administrative Maßnahmen entsprechend den technologischen Möglichkeiten und den Implementierungskosten, um die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen. • Technische Maßnahmen zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten Die wichtigsten technischen Maßnahmen, die von Kuzeyboru zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten ergriffen werden, sind nachstehend aufgeführt: • Die innerhalb von Kuzeyboru durchgeführten Datenverarbeitungsaktivitäten werden durch installierte technische Systeme überwacht. • Die ergriffenen technischen Maßnahmen werden im Rahmen des internen Kontrollmechanismus regelmäßig an die zuständige Stelle berichtet. • Es wird Personal mit Fachkenntnissen in technischen Angelegenheiten beschäftigt. • Administrative Maßnahmen zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten Die wichtigsten administrativen Maßnahmen, die von Kuzeyboru zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten ergriffen werden, sind nachstehend aufgeführt: • Die Mitarbeiter werden über das Datenschutzrecht und die rechtmäßige Verarbeitung personenbezogener Daten informiert und geschult. • Alle von Kuzeyboru durchgeführten Aktivitäten werden detailliert für alle Geschäftsbereiche analysiert. Als Ergebnis dieser Analyse werden die spezifischen Datenverarbeitungsaktivitäten im Rahmen der kommerziellen Tätigkeiten der jeweiligen Geschäftsbereiche identifiziert. • Die von den Geschäftsbereichen von Kuzeyboru durchgeführten Datenverarbeitungsaktivitäten werden so gestaltet, dass die Anforderungen des Gesetzes Nr. 6698 (sinngemäß DSGVO) an die Rechtmäßigkeit der Datenverarbeitung für jeden Geschäftsbereich und jede durchgeführte Detailaktivität erfüllt werden. • In unseren Geschäftsbereichen wird ein Bewusstsein geschaffen und es werden Anwendungsregeln festgelegt; die notwendigen administrativen Maßnahmen zur Überwachung und Sicherstellung der Kontinuität der Umsetzung werden durch interne Richtlinien und Schulungen umgesetzt. • In die Verträge und Dokumente, die die Rechtsbeziehung zwischen Kuzeyboru und den Mitarbeitern regeln, werden Bestimmungen aufgenommen, die eine Verpflichtung zur Nichtverarbeitung, Nichtoffenlegung und Nichtverwendung personenbezogener Daten außerhalb der Anweisungen von Kuzeyboru und der gesetzlichen Ausnahmen vorsehen. Das Bewusstsein der Mitarbeiter hierfür wird geschärft und es werden Kontrollen durchgeführt. |
| 6.2 Technische und administrative Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten Kuzeyboru ergreift technische und administrative Maßnahmen entsprechend der Art der zu schützenden Daten, den technologischen Möglichkeiten und den Implementierungskosten, um die unbefugte oder fahrlässige Offenlegung, den Zugriff, die Übermittlung oder jede andere Form des unrechtmäßigen Zugriffs auf personenbezogene Daten zu verhindern. • Technische Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten Die wichtigsten technischen Maßnahmen, die von Kuzeyboru zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten ergriffen werden, sind nachstehend aufgeführt: • Es werden technische Maßnahmen ergriffen, die den technologischen Entwicklungen entsprechen; die ergriffenen Maßnahmen werden regelmäßig aktualisiert und erneuert. • Es werden technische Lösungen für den geschäftsbereichsbasierten Zugriff und die Autorisierung implementiert. • Die ergriffenen technischen Maßnahmen werden im Rahmen des internen Kontrollmechanismus regelmäßig an die zuständige Stelle berichtet, risikobehaftete Aspekte werden neu bewertet und es werden entsprechende technologische Lösungen entwickelt. • Es werden Software und Hardware installiert, die Virenschutzsysteme und Firewalls umfassen. • Es wird Personal mit Fachkenntnissen in technischen Angelegenheiten beschäftigt. • Administrative Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten Die wichtigsten administrativen Maßnahmen, die von Kuzeyboru zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten ergriffen werden, sind nachstehend aufgeführt: • Die Mitarbeiter werden über die technischen Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten geschult. • Innerhalb von Kuzeyboru werden geschäftsbereichsbasierte Zugriffs- und Autorisierungsprozesse für personenbezogene Daten konzipiert und umgesetzt. • Die Mitarbeiter werden darüber informiert, dass sie die ihnen zur Kenntnis gelangten personenbezogenen Daten nicht entgegen den Bestimmungen des KVKK (sinngemäß DSGVO) an Dritte weitergeben oder für andere Zwecke als den der Verarbeitung verwenden dürfen und dass diese Verpflichtung auch nach Beendigung ihres Arbeitsverhältnisses fortbesteht. Entsprechende Verpflichtungserklärungen werden von ihnen eingeholt. • In die Verträge mit Personen, an die Kuzeyboru personenbezogene Daten rechtmäßig übermittelt, werden Bestimmungen aufgenommen, wonach diese Personen die erforderlichen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen und deren Einhaltung in ihrer eigenen Organisation sicherstellen müssen. |
| 6.3 Speicherung personenbezogener Daten in sicheren Umgebungen Kuzeyboru ergreift die notwendigen technischen und administrativen Maßnahmen entsprechend den technologischen Möglichkeiten und den Implementierungskosten, um personenbezogene Daten in sicheren Umgebungen zu speichern und ihre Zerstörung, ihren Verlust oder ihre Veränderung zu unrechtmäßigen Zwecken zu verhindern. • Technische Maßnahmen zur Speicherung personenbezogener Daten in sicheren Umgebungen Die wichtigsten technischen Maßnahmen, die von Kuzeyboru zur Speicherung personenbezogener Daten in sicheren Umgebungen ergriffen werden, sind nachstehend aufgeführt: • Es werden Systeme verwendet, die den technologischen Entwicklungen entsprechen, um personenbezogene Daten in sicheren Umgebungen zu speichern. • Es wird Fachpersonal für technische Angelegenheiten beschäftigt. • Es werden technische Sicherheitssysteme für die Speicherbereiche eingerichtet. Die ergriffenen technischen Maßnahmen werden im Rahmen des internen Kontrollmechanismus regelmäßig an die zuständige Stelle berichtet, risikobehaftete Aspekte werden neu bewertet und es werden entsprechende technologische Lösungen entwickelt. • Es werden rechtmäßige Backup-Programme verwendet, um eine sichere Speicherung personenbezogener Daten zu gewährleisten. • Administrative Maßnahmen zur Speicherung personenbezogener Daten in sicheren Umgebungen Die wichtigsten administrativen Maßnahmen, die von Kuzeyboru zur Speicherung personenbezogener Daten in sicheren Umgebungen ergriffen werden, sind nachstehend aufgeführt: • Die Mitarbeiter werden darin geschult, die sichere Speicherung personenbezogener Daten zu gewährleisten. • Falls Kuzeyboru aus technischen Gründen externe Dienstleistungen für die Speicherung personenbezogener Daten in Anspruch nimmt, werden in die Verträge mit den entsprechenden Unternehmen, an die personenbezogene Daten rechtmäßig übermittelt werden, Bestimmungen aufgenommen, wonach diese Personen die erforderlichen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen und deren Einhaltung in ihrer eigenen Organisation sicherstellen müssen. |
| 6.4 Überprüfung der Maßnahmen zum Schutz personenbezogener Daten
Gemäß Artikel 12 des KVKK (sinngemäß Art. 32 DSGVO) führt Kuzeyboru intern die erforderlichen Überprüfungen durch oder lässt diese durchführen. Die Ergebnisse dieser Überprüfungen werden im Rahmen der internen Abläufe von Kuzeyboru an die zuständige Abteilung gemeldet, und es werden die notwendigen Maßnahmen zur Verbesserung der ergriffenen Vorkehrungen ergriffen.
6.5 Maßnahmen im Falle einer unbefugten Offenlegung personenbezogener Daten
Gemäß Artikel 12 des KVKK (sinngemäß Art. 34 DSGVO) wird Kuzeyboru sicherstellen, dass im Falle einer unrechtmäßigen Erlangung von verarbeiteten personenbezogenen Daten durch Dritte, dieser Umstand unverzüglich der betroffenen Person und der Datenschutz-Aufsichtsbehörde (KVK Kurulu) gemeldet wird.
Sofern die Aufsichtsbehörde dies für erforderlich hält, kann dieser Umstand auf der Website der Aufsichtsbehörde oder auf andere Weise bekannt gegeben werden.
ARTIKEL 7: WAHRUNG DER RECHTE DER BETROFFENEN PERSON; EINRICHTUNG VON KANÄLEN ZUR ÜBERMITTLUNG DIESER RECHTE AN KUZEYBORU UND BEWERTUNG DER ANFRAGEN VON BETROFFENEN PERSONEN Gemäß Artikel 13 des KVKK (sinngemäß Art. 12 ff. DSGVO) unterhält Kuzeyboru die erforderlichen Kanäle, internen Abläufe sowie administrativen und technischen Regelungen, um die Rechte der betroffenen Personen zu bewerten und ihnen die erforderlichen Informationen zukommen zu lassen. Wenn betroffene Personen ihre Anfragen bezüglich der unten aufgeführten Rechte schriftlich an Kuzeyboru richten, wird Kuzeyboru die Anfrage je nach Art unverzüglich und spätestens innerhalb von dreißig Tagen kostenlos bearbeiten. Erfordert die Bearbeitung jedoch zusätzliche Kosten, wird Kuzeyboru die von der Aufsichtsbehörde festgelegte Gebühr erheben. Betroffene Personen haben folgende Rechte: • Auskunft darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, • Falls personenbezogene Daten verarbeitet wurden, Informationen darüber zu verlangen, • Den Zweck der Verarbeitung personenbezogener Daten und ob sie diesem Zweck entsprechend verwendet werden, zu erfahren, • Die Dritten im In- oder Ausland zu kennen, an die personenbezogene Daten übermittelt werden, • Die Berichtigung unvollständiger oder unrichtiger personenbezogener Daten zu verlangen und zu verlangen, dass der in diesem Rahmen durchgeführte Vorgang den Dritten, an die die Daten übermittelt wurden, mitgeteilt wird, • Die Löschung oder Vernichtung personenbezogener Daten zu verlangen, wenn die Gründe für ihre Verarbeitung entfallen sind, obwohl sie gemäß den Bestimmungen des KVKK und anderer relevanter Gesetze verarbeitet wurden, und zu verlangen, dass der in diesem Rahmen durchgeführte Vorgang den Dritten, an die die Daten übermittelt wurden, mitgeteilt wird, • Widerspruch gegen ein Ergebnis einzulegen, das durch die ausschließliche Analyse verarbeiteter Daten durch automatisierte Systeme zu ihren Lasten entsteht, • Schadensersatz zu verlangen, wenn durch die unrechtmäßige Verarbeitung personenbezogener Daten ein Schaden entsteht. Weitere detaillierte Informationen zu den Rechten der betroffenen Personen sind in dieser Richtlinie enthalten. |
ARTIKEL 8: SCHUTZ BESONDERER KATEGORIEN PERSONENBEZOGENER DATEN Das KVKK (sinngemäß Art. 9 DSGVO) misst bestimmten personenbezogenen Daten aufgrund des Risikos von Benachteiligung oder Diskriminierung, das bei ihrer unrechtmäßigen Verarbeitung entstehen kann, besondere Bedeutung bei. Diese Daten umfassen Informationen über die rassische und ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Konfession oder andere Glaubensrichtungen, äußeres Erscheinungsbild, die Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten. Kuzeyboru behandelt den Schutz besonderer Kategorien personenbezogener Daten, die gemäß dem KVKK als „besonders schutzwürdig“ eingestuft und rechtmäßig verarbeitet werden, mit größter Sorgfalt. In diesem Zusammenhang werden die von Kuzeyboru zum Schutz personenbezogener Daten ergriffenen technischen und administrativen Maßnahmen für besondere Kategorien personenbezogener Daten gewissenhaft angewendet, und innerhalb von Kuzeyboru werden die erforderlichen Kontrollen sichergestellt. Weitere detaillierte Informationen zur Verarbeitung besonderer Kategorien personenbezogener Daten sind in dieser Richtlinie enthalten. ARTIKEL 9: SCHÄRFUNG DES BEWUSSTSEINS UND KONTROLLE DER GESCHÄFTSBEREICHE HINSICHTLICH DES SCHUTZES UND DER VERARBEITUNG PERSONENBEZOGENER DATEN Kuzeyboru stellt sicher, dass für die Geschäftsbereiche die erforderlichen Schulungen organisiert werden, um das Bewusstsein für die Verhinderung der unrechtmäßigen Verarbeitung personenbezogener Daten, des unrechtmäßigen Zugriffs auf Daten und zur Gewährleistung ihrer Aufbewahrung zu schärfen. Es werden die notwendigen Systeme eingerichtet, um das Bewusstsein für den Schutz personenbezogener Daten bei den bestehenden Mitarbeitern der Geschäftsbereiche von Kuzeyboru und bei neu eingestellten Mitarbeitern zu schaffen. Bei Bedarf wird hierfür mit Fachleuten zusammengearbeitet. ARTIKEL 10: SCHÄRFUNG DES BEWUSSTSEINS UND KONTROLLE VON GESCHÄFTSPARTNERN UND LIEFERANTEN HINSICHTLICH DES SCHUTZES UND DER VERARBEITUNG PERSONENBEZOGENER DATEN Kuzeyboru stellt sicher, dass Schulungen und Seminare für Geschäftspartner organisiert werden, um das Bewusstsein für die Verhinderung der unrechtmäßigen Verarbeitung personenbezogener Daten, des unrechtmäßigen Zugriffs auf Daten und zur Gewährleistung ihrer Aufbewahrung zu schärfen. Die für die Geschäftspartner von Kuzeyboru durchgeführten Schulungen werden regelmäßig wiederholt. Es werden die notwendigen Systeme eingerichtet, um das Bewusstsein für den Schutz personenbezogener Daten bei den bestehenden Mitarbeitern der Geschäftspartner und bei neu eingestellten Mitarbeitern zu schaffen. Bei Bedarf wird hierfür mit Fachleuten zusammengearbeitet. Die Ergebnisse der Schulungen zur Schärfung des Bewusstseins von Geschäftspartnern für den Schutz und die Verarbeitung personenbezogener Daten werden der Holding gemeldet. Kuzeyboru bewertet in diesem Zusammenhang die Teilnahme an entsprechenden Schulungen, Seminaren und Informationsveranstaltungen und führt die erforderlichen Kontrollen durch oder lässt sie durchführen. Kuzeyboru aktualisiert und erneuert seine Schulungen parallel zur Aktualisierung der einschlägigen Gesetzgebung. |
| ARTIKEL 11: ASPEKTE DER VERARBEITUNG PERSONENBEZOGENER DATEN
Gemäß Artikel 20 der Verfassung und Artikel 4 des KVKK (sinngemäß Art. 5 DSGVO) führt Kuzeyboru seine Datenverarbeitungsaktivitäten nach den Grundsätzen von Rechtmäßigkeit, Treu und Glauben; Richtigkeit und, wo erforderlich, Aktualität; für festgelegte, eindeutige und rechtmäßige Zwecke; sowie in einer dem Zweck angemessenen, sachlich relevanten und auf das notwendige Maß beschränkten Weise durch. Kuzeyboru bewahrt personenbezogene Daten nur so lange auf, wie es gesetzlich vorgeschrieben ist oder der Zweck der Datenverarbeitung es erfordert. Gemäß den Artikeln 20 der Verfassung und 5 des KVKK (sinngemäß Art. 6 DSGVO) verarbeitet Kuzeyboru personenbezogene Daten auf der Grundlage einer oder mehrerer der in Artikel 5 des KVKK genannten Bedingungen für die Verarbeitung personenbezogener Daten. Gemäß den Artikeln 20 der Verfassung und 10 des KVKK (sinngemäß Art. 13-14 DSGVO) klärt Kuzeyboru die betroffenen Personen auf und erteilt die erforderlichen Informationen, wenn die betroffenen Personen Auskunft verlangen. Gemäß Artikel 6 des KVKK (sinngemäß Art. 9 DSGVO) handelt Kuzeyboru in Übereinstimmung mit den Vorschriften für die Verarbeitung besonderer Kategorien personenbezogener Daten. Gemäß den Artikeln 8 und 9 des KVKK (sinngemäß Art. 44 ff. DSGVO) handelt Kuzeyboru bei der Übermittlung personenbezogener Daten in Übereinstimmung mit den gesetzlichen Vorschriften und den von der Datenschutz-Aufsichtsbehörde festgelegten Regelungen. |
ARTIKEL 12: VERARBEITUNG PERSONENBEZOGENER DATEN GEMÄSS DEN GESETZLICHEN GRUNDSÄTZEN 12.1 Verarbeitung nach Recht und Treu und Glauben Kuzeyboru handelt bei der Verarbeitung personenbezogener Daten in Übereinstimmung mit den gesetzlichen Grundsätzen sowie den allgemeinen Regeln des Vertrauens und von Treu und Glauben. In diesem Zusammenhang beachtet Kuzeyboru die Erfordernisse der Verhältnismäßigkeit und verwendet personenbezogene Daten nicht über den erforderlichen Zweck hinaus. 12.2 Gewährleistung der Richtigkeit und, wo erforderlich, Aktualität der personenbezogenen Daten Kuzeyboru stellt sicher, dass die verarbeiteten personenbezogenen Daten unter Berücksichtigung der Grundrechte der betroffenen Personen und ihrer eigenen berechtigten Interessen richtig und aktuell sind. Hierfür werden die erforderlichen Maßnahmen ergriffen. 12.3 Verarbeitung für festgelegte, eindeutige und rechtmäßige Zwecke Kuzeyboru legt den Zweck der rechtmäßigen und gesetzeskonformen Datenverarbeitung klar und eindeutig fest. Kuzeyboru verarbeitet personenbezogene Daten nur, soweit dies im Zusammenhang mit den erbrachten Dienstleistungen steht und dafür erforderlich ist. 12.4 Zweckbindung, Datenminimierung und Speicherbegrenzung Kuzeyboru verarbeitet personenbezogene Daten in einer Weise, die zur Erreichung der festgelegten Zwecke geeignet ist, und vermeidet die Verarbeitung von Daten, die für die Zweckerreichung nicht relevant oder nicht erforderlich sind. Beispielsweise wird keine Datenverarbeitung zur Deckung möglicher zukünftiger Bedürfnisse durchgeführt. 12.5 Aufbewahrung für die gesetzlich vorgeschriebene oder für den Verarbeitungszweck erforderliche Dauer Kuzeyboru bewahrt personenbezogene Daten nur so lange auf, wie es in der einschlägigen Gesetzgebung festgelegt ist oder für den Zweck der Verarbeitung erforderlich ist. In diesem Zusammenhang prüft Kuzeyboru zunächst, ob in der einschlägigen Gesetzgebung eine Aufbewahrungsfrist für personenbezogene Daten vorgesehen ist. Ist eine Frist festgelegt, hält sich Kuzeyboru daran. Ist keine Frist festgelegt, werden die Daten so lange aufbewahrt, wie es für den Zweck ihrer Verarbeitung erforderlich ist. Nach Ablauf der Frist oder bei Wegfall der Verarbeitungsgründe werden die personenbezogenen Daten von Kuzeyboru gelöscht, vernichtet oder anonymisiert. Kuzeyboru speichert keine personenbezogenen Daten für eine mögliche zukünftige Verwendung. Weitere Einzelheiten zu diesem Thema sind in dieser Richtlinie enthalten. |
| ARTIKEL 13: VERARBEITUNG PERSONENBEZOGENER DATEN AUF DER GRUNDLAGE EINER ODER MEHRERER DER IN ARTIKEL 5 DES KVKK GENANNTEN BEDINGUNGEN UND BESCHRÄNKT AUF DIESE BEDINGUNGEN
Der Schutz personenbezogener Daten ist ein verfassungsmäßiges Recht. Grundrechte und -freiheiten können nur aus den in den einschlägigen Artikeln der Verfassung genannten Gründen und nur durch Gesetz eingeschränkt werden, ohne ihren Wesensgehalt anzutasten. Gemäß Artikel 20 Absatz 3 der Verfassung dürfen personenbezogene Daten nur in den gesetzlich vorgesehenen Fällen oder mit ausdrücklicher Einwilligung der Person verarbeitet werden. In diesem Sinne und in Übereinstimmung mit der Verfassung verarbeitet Kuzeyboru personenbezogene Daten nur in den gesetzlich vorgesehenen Fällen oder mit ausdrücklicher Einwilligung der Person. Weitere Einzelheiten zu diesem Thema sind in dieser Richtlinie enthalten. ARTIKEL 14: AUFKLÄRUNG UND INFORMATION DER BETROFFENEN PERSON Gemäß Artikel 10 des KVKK (sinngemäß Art. 13 und 14 DSGVO) klärt Kuzeyboru die betroffenen Personen zum Zeitpunkt der Erhebung personenbezogener Daten auf. In diesem Rahmen informiert Kuzeyboru darüber, zu welchem Zweck die personenbezogenen Daten verarbeitet werden, an wen und zu welchem Zweck die verarbeiteten Daten übermittelt werden können, über die Methode und den Rechtsgrund der Datenerhebung sowie über die Rechte der betroffenen Person. Weitere Einzelheiten zu diesem Thema sind in dieser Richtlinie enthalten. Artikel 20 der Verfassung legt fest, dass jeder das Recht hat, über die ihn betreffenden personenbezogenen Daten informiert zu werden. In diesem Sinne zählt Artikel 11 des KVKK (sinngemäß Art. 15 DSGVO) das „Recht auf Auskunft“ zu den Rechten der betroffenen Person. Kuzeyboru erteilt in diesem Rahmen gemäß Artikel 20 der Verfassung und Artikel 11 des KVKK die erforderlichen Informationen, wenn die betroffene Person Auskunft verlangt. Weitere Einzelheiten zu diesem Thema sind in dieser Richtlinie enthalten. ARTIKEL 15: VERARBEITUNG BESONDERER KATEGORIEN PERSONENBEZOGENER DATEN Bei der Verarbeitung von personenbezogenen Daten, die gemäß dem KVKK als „besondere Kategorien“ (sinngemäß Art. 9 DSGVO) eingestuft sind, hält sich Kuzeyboru gewissenhaft an die im KVKK vorgesehenen Regelungen. In Artikel 6 des KVKK werden bestimmte personenbezogene Daten als „besondere Kategorien“ definiert, die bei unrechtmäßiger Verarbeitung ein Risiko für die Betroffenen oder ein Diskriminierungsrisiko bergen. Diese Daten sind: rassische und ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Konfession oder andere Glaubensrichtungen, äußeres Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten. In Übereinstimmung mit dem KVKK verarbeitet Kuzeyboru besondere Kategorien personenbezogener Daten unter der Bedingung, dass angemessene, von der Datenschutz-Aufsichtsbehörde festzulegende Maßnahmen ergriffen werden, in folgenden Fällen: • Wenn die ausdrückliche Einwilligung der betroffenen Person vorliegt oder • Wenn keine ausdrückliche Einwilligung der betroffenen Person vorliegt: o Besondere Kategorien personenbezogener Daten, die nicht die Gesundheit und das Sexualleben der betroffenen Person betreffen, in gesetzlich vorgesehenen Fällen, o Besondere Kategorien personenbezogener Daten, die die Gesundheit und das Sexualleben der betroffenen Person betreffen, nur zum Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder von zuständigen Institutionen und Organisationen verarbeitet werden. |
ARTIKEL 16: ÜBERMITTLUNG PERSONENBEZOGENER DATEN Kuzeyboru kann die personenbezogenen Daten und besonderen Kategorien personenbezogener Daten der betroffenen Person unter Ergreifung der erforderlichen Sicherheitsmaßnahmen im Einklang mit rechtmäßigen Verarbeitungszwecken an Dritte (Drittunternehmen, Geschäftspartner, natürliche Dritte) übermitteln. Kuzeyboru handelt hierbei in Übereinstimmung mit den Regelungen des Artikels 8 des KVKK (sinngemäß Art. 6 und 44 ff. DSGVO). Weitere Einzelheiten zu diesem Thema sind in dieser Richtlinie enthalten. 16.1 Übermittlung personenbezogener Daten Kuzeyboru kann personenbezogene Daten im Einklang mit rechtmäßigen Verarbeitungszwecken auf der Grundlage einer oder mehrerer der in Artikel 5 des KVKK (sinngemäß Art. 6 DSGVO) genannten Bedingungen für die Verarbeitung personenbezogener Daten und beschränkt auf diese an Dritte übermitteln: • Wenn die ausdrückliche Einwilligung der betroffenen Person vorliegt; • Wenn in den Gesetzen eine ausdrückliche Regelung zur Übermittlung personenbezogener Daten besteht, • Wenn es zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person erforderlich ist und die betroffene Person aus tatsächlichen Gründen ihre Einwilligung nicht erklären kann oder ihre Einwilligung rechtlich nicht wirksam ist; • Wenn die Übermittlung von personenbezogenen Daten der Vertragsparteien erforderlich ist, sofern dies unmittelbar mit dem Abschluss oder der Erfüllung eines Vertrags zusammenhängt, • Wenn die Übermittlung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung von Kuzeyboru erforderlich ist, • Wenn die personenbezogenen Daten von der betroffenen Person selbst öffentlich gemacht wurden, • Wenn die Übermittlung personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, • Wenn die Übermittlung personenbezogener Daten zur Wahrung der berechtigten Interessen von Kuzeyboru erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. 16.2 Übermittlung besonderer Kategorien personenbezogener Daten Kuzeyboru kann besondere Kategorien personenbezogener Daten der betroffenen Person unter Anwendung der gebotenen Sorgfalt, Ergreifung der erforderlichen Sicherheitsmaßnahmen und der von der Datenschutz-Aufsichtsbehörde vorgesehenen angemessenen Maßnahmen im Einklang mit rechtmäßigen Verarbeitungszwecken in folgenden Fällen an Dritte übermitteln: • Wenn die ausdrückliche Einwilligung der betroffenen Person vorliegt oder • Wenn keine ausdrückliche Einwilligung der betroffenen Person vorliegt: o Besondere Kategorien personenbezogener Daten, die nicht die Gesundheit und das Sexualleben der betroffenen Person betreffen (rassische und ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Konfession oder andere Glaubensrichtungen, äußeres Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten), in gesetzlich vorgesehenen Fällen, o Besondere Kategorien personenbezogener Daten, die die Gesundheit und das Sexualleben der betroffenen Person betreffen, nur zum Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, der medizinischen Diagnostik, der Versorgung oder Behandlung, der Verwaltung von Gesundheitssystemen oder -dienstleistungen oder zur Planung und Verwaltung der Finanzierung von Gesundheitsdienstleistungen, wenn diese von Personen, die einer Geheimhaltungspflicht unterliegen, oder von zuständigen Institutionen und Organisationen verarbeitet werden. |
ARTIKEL 17: ÜBERMITTLUNG PERSONENBEZOGENER DATEN INS AUSLAND Kuzeyboru kann die personenbezogenen Daten und besonderen Kategorien personenbezogener Daten der betroffenen Person unter Ergreifung der erforderlichen Sicherheitsmaßnahmen im Einklang mit rechtmäßigen Verarbeitungszwecken an Dritte übermitteln. Personenbezogene Daten werden von Kuzeyboru in Drittländer übermittelt, für die die Datenschutz-Aufsichtsbehörde (KVK Kurulu) einen Angemessenheitsbeschluss erlassen hat („Drittland mit angemessenem Schutzniveau“), oder, falls kein angemessenes Schutzniveau besteht, in Drittländer, in denen die Verantwortlichen in der Türkei und im betreffenden Drittland schriftlich ein angemessenes Schutzniveau zugesagt haben und die Genehmigung der Datenschutz-Aufsichtsbehörde vorliegt („Drittland mit einem Verantwortlichen, der ein angemessenes Schutzniveau zugesagt hat“), oder mittels Standardvertragsklauseln oder verbindlicher interner Datenschutzvorschriften. Kuzeyboru handelt hierbei in Übereinstimmung mit den Regelungen des Artikels 9 des KVKK (sinngemäß Art. 44 ff. DSGVO) und der Verordnung über die Verfahren und Grundsätze der Übermittlung personenbezogener Daten ins Ausland. Weitere Einzelheiten zu diesem Thema sind in dieser Richtlinie enthalten. 17.1 Übermittlung personenbezogener Daten ins Ausland Kuzeyboru kann personenbezogene Daten im Einklang mit rechtmäßigen Verarbeitungszwecken, wenn die ausdrückliche Einwilligung der betroffenen Person vorliegt oder, wenn keine ausdrückliche Einwilligung vorliegt, bei Vorliegen einer der nachstehenden Bedingungen, in Drittländer mit angemessenem Schutzniveau oder in denen ein Verantwortlicher ein angemessenes Schutzniveau zugesagt hat, oder mittels Standardvertragsklauseln und verbindlicher interner Datenschutzvorschriften gemäß der Verordnung über die Verfahren und Grundsätze der Übermittlung personenbezogener Daten ins Ausland übermitteln: • Wenn in den Gesetzen eine ausdrückliche Regelung zur Übermittlung personenbezogener Daten besteht, • Wenn es zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person erforderlich ist und die betroffene Person aus tatsächlichen Gründen ihre Einwilligung nicht erklären kann oder ihre Einwilligung rechtlich nicht wirksam ist; • Wenn die Übermittlung von personenbezogenen Daten der Vertragsparteien erforderlich ist, sofern dies unmittelbar mit dem Abschluss oder der Erfüllung eines Vertrags zusammenhängt, • Wenn die Übermittlung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung von Kuzeyboru erforderlich ist, • Wenn die personenbezogenen Daten von der betroffenen Person selbst öffentlich gemacht wurden, • Wenn die Übermittlung personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, • Wenn die Übermittlung personenbezogener Daten zur Wahrung der berechtigten Interessen von Kuzeyboru erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. |
| 17.2 Übermittlung besonderer Kategorien personenbezogener Daten ins Ausland Kuzeyboru kann besondere Kategorien personenbezogener Daten der betroffenen Person unter Anwendung der gebotenen Sorgfalt, Ergreifung der erforderlichen Sicherheitsmaßnahmen und der von der Datenschutz-Aufsichtsbehörde vorgesehenen angemessenen Maßnahmen im Einklang mit rechtmäßigen Verarbeitungszwecken in folgenden Fällen in Drittländer mit angemessenem Schutzniveau oder in denen ein Verantwortlicher ein angemessenes Schutzniveau zugesagt hat, oder mittels Standardvertragsklauseln und verbindlicher interner Datenschutzvorschriften gemäß der Verordnung über die Verfahren und Grundsätze der Übermittlung personenbezogener Daten ins Ausland übermitteln: • Wenn die ausdrückliche Einwilligung der betroffenen Person vorliegt oder • Wenn keine ausdrückliche Einwilligung der betroffenen Person vorliegt: o Besondere Kategorien personenbezogener Daten, die nicht die Gesundheit und das Sexualleben der betroffenen Person betreffen (rassische und ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Konfession oder andere Glaubensrichtungen, äußeres Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten), in gesetzlich vorgesehenen Fällen, o Besondere Kategorien personenbezogener Daten, die die Gesundheit und das Sexualleben der betroffenen Person betreffen, nur zum Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, der medizinischen Diagnostik, der Versorgung oder Behandlung, der Verwaltung von Gesundheitssystemen oder -dienstleistungen oder zur Planung und Verwaltung der Finanzierung von Gesundheitsdienstleistungen, wenn diese von Personen, die einer Geheimhaltungspflicht unterliegen, oder von zuständigen Institutionen und Organisationen verarbeitet werden. ARTIKEL 18: KATEGORISIERUNG, VERARBEITUNGSZWECKE UND AUFBEWAHRUNGSFRISTEN DER VON KUZEYBORU VERARBEITETEN PERSONENBEZOGENEN DATEN Im Rahmen seiner Informationspflicht gemäß Artikel 10 des KVKK (sinngemäß Art. 13 und 14 DSGVO) informiert Kuzeyboru die betroffenen Personen darüber, welche Gruppen von betroffenen Personen ihre personenbezogenen Daten verarbeiten, zu welchen Zwecken die Daten verarbeitet werden und wie lange sie aufbewahrt werden. |
ARTIKEL 19: KATEGORISIERUNG PERSONENBEZOGENER DATEN Bei Kuzeyboru werden, nach Information der betroffenen Personen gemäß Artikel 10 des KVKK, im Einklang mit den rechtmäßigen und gesetzeskonformen Verarbeitungszwecken von Kuzeyboru und auf der Grundlage einer oder mehrerer der in Artikel 5 des KVKK (sinngemäß Art. 6 DSGVO) genannten Bedingungen für die Verarbeitung personenbezogener Daten und beschränkt auf diese, personenbezogene Daten der nachstehend genannten Kategorien verarbeitet. Dies geschieht unter Einhaltung der in Artikel 4 des KVKK (sinngemäß Art. 5 DSGVO) genannten allgemeinen Grundsätze und aller im Rahmen des KVKK festgelegten Verpflichtungen, beschränkt auf die in dieser Richtlinie genannten Subjekte. Welche Dateninhaber mit den in diesen Kategorien verarbeiteten personenbezogenen Daten in Verbindung stehen, ist ebenfalls in dieser Richtlinie dargelegt. IDENTITÄTSINFORMATIONEN; Alle Informationen in Dokumenten wie Führerschein, Personalausweis, Wohnsitzbescheinigung, Reisepass, Anwaltsausweis, Heiratsurkunde, die eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können und die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden. KONTAKTINFORMATIONEN; Informationen wie Telefonnummer, Adresse und E-Mail, die eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können und die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden. KUNDENINFORMATIONEN; Informationen, die im Rahmen unserer kommerziellen Aktivitäten und der von unseren Geschäftsbereichen durchgeführten Operationen über die betroffene Person erlangt und generiert werden und die eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können und die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden. INFORMATIONEN ZUR SICHERHEIT PHYSISCHER RÄUMLICHKEITEN; Personenbezogene Daten, die sich auf Aufzeichnungen und Dokumente beziehen, die beim Betreten und während des Aufenthalts in physischen Räumlichkeiten gemacht werden, die eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können und Teil eines Datenspeichersystems sind. INFORMATIONEN ZUR TRANSAKTIONSSICHERHEIT; Ihre personenbezogenen Daten, die verarbeitet werden, um unsere technische, administrative, rechtliche und kommerzielle Sicherheit bei der Durchführung unserer geschäftlichen Aktivitäten zu gewährleisten, die eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können und Teil eines Datenspeichersystems sind. INFORMATIONEN ZUM RISIKOMANAGEMENT; Daten, die zur Verwaltung unserer kommerziellen, technischen und administrativen Risiken verwendet und verarbeitet werden können, in Übereinstimmung mit allgemein anerkannten rechtlichen und geschäftlichen Gepflogenheiten und dem Grundsatz von Treu und Glauben, die eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können und Teil eines Datenspeichersystems sind. FINANZINFORMATIONEN; Personenbezogene Daten, die sich auf Informationen, Dokumente und Aufzeichnungen beziehen, die jedes finanzielle Ergebnis der von Kuzeyboru mit der betroffenen Person eingegangenen rechtlichen Beziehung darstellen und die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden und eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. PERSONALINFORMATIONEN; Alle personenbezogenen Daten, die zur Erlangung von Informationen verarbeitet werden, die als Grundlage für die Entstehung der Personalrechte unserer Mitarbeiter oder anderer natürlicher Personen in einem Arbeitsverhältnis mit Kuzeyboru dienen und die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden und eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. |
| INFORMATIONEN ZU STELLENBEWERBERN; Personenbezogene Daten, die über Personen verarbeitet werden, die sich um eine Anstellung bei Kuzeyboru beworben haben, oder die gemäß geschäftlicher Gepflogenheiten und dem Grundsatz von Treu und Glauben im Einklang mit den Personalbedürfnissen von Kuzeyboru als potenzielle Kandidaten bewertet wurden, oder die sich in einem Arbeitsverhältnis mit Kuzeyboru befinden und die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden und eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. INFORMATIONEN ZU ARBEITNEHMERTRANSAKTIONEN; Personenbezogene Daten, die sich auf alle geschäftlichen Transaktionen beziehen, die von unseren Mitarbeitern oder anderen natürlichen Personen in einem Arbeitsverhältnis mit Kuzeyboru durchgeführt werden und die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden und eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. INFORMATIONEN ZUR LEISTUNGS- UND KARRIEREENTWICKLUNG; Daten, die zur Messung der Leistung unserer Mitarbeiter oder anderer natürlicher Personen in einem Arbeitsverhältnis mit Kuzeyboru und zur Planung und Durchführung ihrer Karriereentwicklung im Rahmen der Personalpolitik von Kuzeyboru verarbeitet werden. INFORMATIONEN ZU NEBENLEISTUNGEN UND VORTEILEN; Ihre personenbezogenen Daten, die zur Planung der Nebenleistungen und Vorteile, die wir unseren Mitarbeitern oder anderen natürlichen Personen in einem Arbeitsverhältnis mit Kuzeyboru anbieten und anbieten werden, zur Festlegung objektiver Kriterien für den Anspruch darauf und zur Verfolgung dieser Ansprüche verarbeitet werden. INFORMATIONEN ZU RECHTSGESCHÄFTEN; Ihre personenbezogenen Daten, die zur Feststellung, Verfolgung und Erfüllung unserer gesetzlichen Forderungen und Rechte, zur Erfüllung unserer gesetzlichen Verpflichtungen und zur Einhaltung der Richtlinien von Kuzeyboru verarbeitet werden. INFORMATIONEN ZU AUDITS UND INSPEKTIONEN; Ihre personenbezogenen Daten, die zur Erfüllung der gesetzlichen Verpflichtungen von Kuzeyboru und zur Einhaltung der Richtlinien von Kuzeyboru verarbeitet werden. BESONDERE KATEGORIEN PERSONENBEZOGENER DATEN; Daten, wie in Artikel 6 des Gesetzes Nr. 6698 (sinngemäß Art. 9 DSGVO) spezifiziert, die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden und eindeutig einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. INFORMATIONEN ZUM ANFRAGE-/BESCHWERDEMANAGEMENT; Personenbezogene Daten, die sich auf die Entgegennahme und Bewertung von Anfragen oder Beschwerden beziehen, die an Kuzeyboru gerichtet wurden und die ganz oder teilweise automatisiert oder nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden. |
| ARTIKEL 20: ZWECKE DER VERARBEITUNG PERSONENBEZOGENER DATEN Gemäß der von Kuzeyboru erstellten Kategorisierung werden die übergeordneten Zwecke für die Verarbeitung personenbezogener Daten im Folgenden aufgeführt: • Durchführung der notwendigen Arbeiten durch unsere zuständigen Geschäftsbereiche zur Realisierung der von Kuzeyboru durchgeführten kommerziellen Aktivitäten und die damit verbundenen Geschäftsprozesse, • Planung und Ausführung der kommerziellen und/oder geschäftlichen Strategien von Kuzeyboru, • Durchführung der notwendigen Arbeiten durch unsere Geschäftsbereiche, um die betroffenen Personen von den von Kuzeyboru angebotenen Produkten und Dienstleistungen profitieren zu lassen, und die Durchführung der entsprechenden Prozesse, • Planung und Ausführung der Personalpolitik und -prozesse von Kuzeyboru, • Gewährleistung der rechtlichen, technischen und kommerziellen Sicherheit der betroffenen Personen, die in einer Geschäftsbeziehung mit Kuzeyboru stehen. |
| Die Datenverarbeitungszwecke im Rahmen der oben genannten übergeordneten Zwecke sind: • Veranstaltungsmanagement • Planung und Ausführung von Forschungs- und Entwicklungsaktivitäten • Planung und Ausführung von Geschäftsaktivitäten • Planung und Ausführung von Unternehmenskommunikationsaktivitäten • Planung und Ausführung von Informationssicherheitsprozessen • Aufbau und Verwaltung der IT-Infrastruktur • Planung und Ausführung der Zugriffsrechte von Geschäftspartnern und/oder Lieferanten auf Informationen und Einrichtungen • Planung und Ausführung von Nebenleistungen und Vorteilen für Mitarbeiter von Lieferanten und/oder Geschäftspartnern • Verfolgung von Finanz- und/oder Buchhaltungsangelegenheiten • Planung und Ausführung von Logistikaktivitäten • Management der Beziehungen zu Geschäftspartnern und/oder Lieferanten • Durchführung von Aktivitäten zur Ermittlung der finanziellen Risiken von Kunden • Planung und Ausführung von Kundenbeziehungsmanagementprozessen • Verfolgung von Vertragsprozessen und/oder rechtlichen Ansprüchen • Verfolgung von Kundenanfragen und/oder -beschwerden • Planung von Personalprozessen • Durchführung von Personalbeschaffungsprozessen • Verfolgung von Rechtsangelegenheiten |
| • Planung und Ausführung der notwendigen operativen Tätigkeiten, um sicherzustellen, dass die Aktivitäten von Kuzeyboru in Übereinstimmung mit den Verfahren von Kuzeyboru und/oder der einschlägigen Gesetzgebung durchgeführt werden • Erfassung der Ein- und Ausgangsdaten von Mitarbeitern von Geschäftspartnern/Lieferanten • Erstellung und Verfolgung von Besucherregistern • Planung und Ausführung von Audittätigkeiten bei Kuzeyboru • Planung und/oder Ausführung von Arbeitsschutzprozessen • Sicherstellung der Richtigkeit und Aktualität der Daten • Management und/oder Überwachung der Beziehungen zu verbundenen Unternehmen • Gewährleistung der Sicherheit der Standorte und/oder Einrichtungen von Kuzeyboru • Gewährleistung der Sicherheit des Vermögens und/oder der Ressourcen von Kuzeyboru • Planung und/oder Ausführung der Finanzrisikoprozesse von Kuzeyboru Für die Verarbeitung personenbezogener Daten zu Zwecken, die über die oben genannten hinausgehen, holt Kuzeyboru die ausdrückliche Einwilligung der betroffenen Personen ein. Die von den zuständigen Geschäftsbereichen durchgeführten nachstehenden Datenverarbeitungsaktivitäten werden auf der Grundlage der genannten ausdrücklichen Einwilligungen der betroffenen Personen durchgeführt. In diesem Rahmen sind die Verarbeitungszwecke, für die bei Fehlen der oben genannten Bedingungen die ausdrückliche Einwilligung der betroffenen Personen eingeholt wird, wie folgt: • Planung und Ausführung der Zugriffsrechte von Geschäftspartnern und/oder Lieferanten auf Informationen und Einrichtungen • Planung und Ausführung von Logistikaktivitäten • Management der Beziehungen zu Geschäftspartnern und/oder Lieferanten • Verfolgung von Vertragsprozessen und/oder rechtlichen Ansprüchen • Planung von Personalprozessen • Durchführung von Personalbeschaffungsprozessen • Planung und/oder Ausführung von Kundenzufriedenheitsaktivitäten • Planung und Ausführung der notwendigen operativen Tätigkeiten, um sicherzustellen, dass die Aktivitäten von Kuzeyboru in Übereinstimmung mit den Verfahren von Kuzeyboru und/oder der einschlägigen Gesetzgebung durchgeführt werden • Erfassung der Ein- und Ausgangsdaten von Mitarbeitern von Geschäftspartnern/Lieferanten • Planung und Ausführung von Audittätigkeiten bei Kuzeyboru • Planung und/oder Ausführung von Arbeitsschutzprozessen • Gewährleistung der Sicherheit der Standorte und/oder Einrichtungen von Kuzeyboru. |
ARTİKEL 21: AUFBEWAHRUNGSFRISTEN FÜR PERSONENBEZOGENE DATEN Kuzeyboru bewahrt personenbezogene Daten für den in den einschlägigen Gesetzen und Vorschriften festgelegten Zeitraum auf, sofern dies vorgesehen ist. Ist in der Gesetzgebung keine Aufbewahrungsfrist für personenbezogene Daten festgelegt, werden die Daten für den Zeitraum verarbeitet, der für die Erbringung der Dienstleistungen von Kuzeyboru im Zusammenhang mit der Datenverarbeitung und gemäß den Praktiken und geschäftlichen Gepflogenheiten von Kuzeyboru erforderlich ist. Danach werden sie gelöscht, vernichtet oder anonymisiert. Weitere Einzelheiten zu diesem Thema sind in dieser Richtlinie enthalten. Ist der Zweck der Datenverarbeitung entfallen und sind auch die von der einschlägigen Gesetzgebung und von Kuzeyboru festgelegten Aufbewahrungsfristen abgelaufen, können personenbezogene Daten nur noch aufbewahrt werden, um in möglichen Rechtsstreitigkeiten als Beweismittel zu dienen oder um ein mit den personenbezogenen Daten verbundenes Recht geltend zu machen oder eine Verteidigung zu begründen. Bei der Festlegung dieser Fristen werden die Verjährungsfristen für die Geltendmachung des betreffenden Rechts sowie Beispiele aus früheren, an Kuzeyboru gerichteten Anfragen in denselben Angelegenheiten trotz abgelaufener Verjährungsfristen als Grundlage herangezogen. In diesem Fall wird auf die gespeicherten personenbezogenen Daten zu keinem anderen Zweck zugegriffen, und der Zugriff erfolgt nur, wenn dies im jeweiligen Rechtsstreit erforderlich ist. Auch hier werden die personenbezogenen Daten nach Ablauf der genannten Frist gelöscht, vernichtet oder anonymisiert. ARTİKEL 22: KATEGORISIERUNG DER VON KUZEYBORU VERARBEITETEN PERSONENBEZOGENEN DATEN NACH BETROFFENEN PERSONEN Obwohl Kuzeyboru die personenbezogenen Daten der nachstehend aufgeführten Kategorien von betroffenen Personen verarbeitet, beschränkt sich der Anwendungsbereich dieser Richtlinie auf unsere Kunden, potenziellen Kunden, Stellenbewerber, Unternehmensaktionäre, Unternehmensvertreter, Besucher, die Mitarbeiter, Aktionäre und Vertreter von Institutionen, mit denen wir zusammenarbeiten, sowie auf Dritte. Obwohl die Kategorien der Personen, deren personenbezogene Daten von Kuzeyboru verarbeitet werden, im oben genannten Umfang liegen, können auch Personen, die nicht in diese Kategorien fallen, ihre Anfragen im Rahmen des KVKK an Kuzeyboru richten; auch die Anfragen dieser Personen werden im Rahmen dieser Richtlinie geprüft. Nachstehend werden die Begriffe Kunde, potenzieller Kunde, Besucher, Stellenbewerber, Aktionär und Vorstandsmitglied, natürliche Personen in Institutionen, mit denen wir zusammenarbeiten, und mit diesen Personen verbundene Dritte, die in den Anwendungsbereich dieser Richtlinie fallen, erläutert. |
ARTİKEL 23: KATEGORIEN UND ERLÄUTERUNGEN Besucher; Natürliche Personen, die die physischen Standorte von Kuzeyboru zu verschiedenen Zwecken betreten haben oder unsere Websites besuchen. Dritte; Dritte natürliche Personen, die mit den Parteien verbunden sind, um die Sicherheit der kommerziellen Transaktionen zwischen Kuzeyboru und den Parteien zu gewährleisten oder um die Rechte der genannten Personen zu schützen und Vorteile zu verschaffen, oder natürliche Personen, die nicht in den Anwendungsbereich dieser Richtlinie und der Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten von Unternehmensmitarbeitern fallen. Stellenbewerber; Natürliche Personen, die sich auf irgendeine Weise bei Kuzeyboru beworben oder ihren Lebenslauf und damit zusammenhängende Informationen Kuzeyboru offengelegt haben. Unternehmensaktionär; Natürliche Personen, die Aktionäre von Kuzeyboru sind. Unternehmensvertreter; Vorstandsmitglieder und andere bevollmächtigte natürliche Personen von Kuzeyboru. Mitarbeiter, Aktionäre und Vertreter von Institutionen, mit denen wir zusammenarbeiten; Natürliche Personen in Institutionen, mit denen Kuzeyboru jegliche Art von Geschäftsbeziehung unterhält (einschließlich, aber nicht beschränkt auf Geschäftspartner, Büros, Lieferanten, deren Mitarbeiter, Aktionäre und Vertreter). |
ARTİKEL 24: DRITTE, AN DIE KUZEYBORU PERSONENBEZOGENE DATEN ÜBERMITTELT, UND DIE ZWECKE DER ÜBERMITTLUNG Gemäß Artikel 10 des KVKK informiert Kuzeyboru die betroffene Person über die Personengruppen, an die personenbezogene Daten übermittelt werden. Gemäß den Artikeln 8 und 9 des KVKK kann Kuzeyboru die personenbezogenen Daten der Dienstleistungsempfänger an die nachstehend aufgeführten Personenkategorien übermitteln: • An Geschäftspartner von Kuzeyboru, • An Lieferanten von Kuzeyboru, • An verbundene Unternehmen von Kuzeyboru, • An Aktionäre von Kuzeyboru, • An rechtlich befugte öffentliche Institutionen und Organisationen, • An rechtlich befugte privatrechtliche Personen. Der Umfang der oben genannten Personen, an die eine Übermittlung erfolgt, und die Zwecke der Datenübermittlung sind wie folgt: • Beschränkt auf den Zweck, die Erfüllung der Gründungszwecke der Geschäftspartnerschaft zu gewährleisten, • Beschränkt auf den Zweck, die Erbringung der von Kuzeyboru von externen Lieferanten bezogenen und zur Durchführung der kommerziellen Aktivitäten von Kuzeyboru erforderlichen Dienstleistungen zu gewährleisten, • Beschränkt auf den Zweck, die Durchführung von kommerziellen Aktivitäten von Kuzeyboru zu gewährleisten, die die Beteiligung von verbundenen Unternehmen erfordern, • Beschränkt auf den Zweck der Gestaltung und Überwachung der Strategien und Audittätigkeiten von Kuzeyboru im Zusammenhang mit seinen kommerziellen Aktivitäten gemäß den gesetzlichen Bestimmungen, • Im Falle einer Anfrage von rechtlich befugten öffentlichen Institutionen und Organisationen nach Informationen und Dokumenten im Rahmen der gesetzlichen Bestimmungen, beschränkt auf den von ihnen im Rahmen unserer rechtlichen Befugnisse geforderten Zweck, • Im Falle einer Anfrage von rechtlich befugten privatrechtlichen Personen nach Informationen und Dokumenten im Rahmen der gesetzlichen Bestimmungen, beschränkt auf den von ihnen im Rahmen unserer rechtlichen Befugnisse geforderten Zweck, Bei den von Kuzeyboru durchgeführten Übermittlungen wird in Übereinstimmung mit den in der Richtlinie geregelten Bestimmungen gehandelt. Gemäß Artikel 10 des KVKK klärt Kuzeyboru die betroffene Person über die von ihr verarbeiteten personenbezogenen Daten auf. Obwohl die rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten durch Kuzeyboru variieren, wird bei jeder Datenverarbeitungsaktivität in Übereinstimmung mit den in Artikel 4 des Gesetzes Nr. 6698 (KVKK) genannten allgemeinen Grundsätzen gehandelt. Für die Verarbeitung personenbezogener Daten, die von der ausdrücklichen Einwilligung der betroffenen Person abhängt, wird die ausdrückliche Einwilligung von Besuchern und Dritten eingeholt. Die personenbezogenen Daten der betroffenen Person können rechtmäßig verarbeitet werden, wenn dies im Gesetz ausdrücklich vorgesehen ist. |
| Ist die Verarbeitung der personenbezogenen Daten einer Person, die ihre Einwilligung aus tatsächlichen Gründen nicht erklären kann oder deren Einwilligung rechtlich nicht wirksam ist, zum Schutz ihres eigenen Lebens oder ihrer körperlichen Unversehrtheit oder des Lebens oder der körperlichen Unversehrtheit einer anderen Person erforderlich, können die personenbezogenen Daten der betroffenen Person verarbeitet werden. Ist die Verarbeitung personenbezogener Daten der Vertragsparteien erforderlich, sofern dies unmittelbar mit dem Abschluss oder der Erfüllung eines Vertrags zusammenhängt, ist die Verarbeitung personenbezogener Daten möglich. Ist die Verarbeitung zur Erfüllung der rechtlichen Verpflichtungen von Kuzeyboru als Verantwortlicher erforderlich, können die personenbezogenen Daten der betroffenen Person verarbeitet werden. Hat die betroffene Person ihre personenbezogenen Daten selbst öffentlich gemacht, können die betreffenden personenbezogenen Daten verarbeitet werden. Ist die Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, können die personenbezogenen Daten der betroffenen Person verarbeitet werden. (z. B. Rechnungen) Ist die Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, können die personenbezogenen Daten der betroffenen Person verarbeitet werden. (z. B. Rechnungen) Ist die Datenverarbeitung zur Wahrung der berechtigten Interessen von Kuzeyboru erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht, können die personenbezogenen Daten der betroffenen Person verarbeitet werden (z. B. für unternehmensinterne Berechnungen usw.). Die von Kuzeyboru an den Ein- und Ausgängen von Gebäuden und innerhalb der Anlagen durchgeführten Datenverarbeitungsaktivitäten werden in Übereinstimmung mit der Verfassung, dem KVKK (sinngemäß der DSGVO) und anderen relevanten Gesetzen durchgeführt. Zur Gewährleistung der Sicherheit führt Kuzeyboru in seinen Gebäuden und Anlagen Datenverarbeitungsaktivitäten durch, die auf die Überwachung durch Sicherheitskameras und die Verfolgung von Besucher-Ein- und Ausgängen abzielen. Durch den Einsatz von Sicherheitskameras und die Erfassung von Besucher-Ein- und Ausgängen führt Kuzeyboru eine Datenverarbeitungsaktivität durch. In diesem Zusammenhang handelt Kuzeyboru in Übereinstimmung mit der Verfassung, dem KVKK (DSGVO) und anderen relevanten Gesetzen. Kuzeyboru verfolgt mit der Videoüberwachung Ziele wie die Verbesserung der Servicequalität, die Gewährleistung der Zuverlässigkeit, die Sicherheit von Kuzeyboru, seinen Mitarbeitern und anderen Personen sowie den Schutz der Interessen Dritter im Zusammenhang mit den erhaltenen Dienstleistungen. Die von Kuzeyboru durchgeführte Videoüberwachung erfolgt in Übereinstimmung mit dem Gesetz über private Sicherheitsdienste und den einschlägigen Vorschriften. Bei der Durchführung von Videoüberwachungsaktivitäten zu Sicherheitszwecken handelt Kuzeyboru in Übereinstimmung mit den Bestimmungen des KVKK (DSGVO). Zur Gewährleistung der Sicherheit in seinen Gebäuden und Anlagen führt Kuzeyboru Videoüberwachungsaktivitäten zu den gesetzlich vorgesehenen Zwecken und in Übereinstimmung mit den im KVKK (DSGVO) genannten Bedingungen für die Verarbeitung personenbezogener Daten durch. Die Ankündigung der Überwachungsaktivität durch Kuzeyboru erfolgt gemäß Artikel 10 des KVKK (sinngemäß Art. 13 DSGVO). Zusätzlich zu seiner allgemeinen Aufklärung informiert Kuzeyboru über die Videoüberwachungstätigkeit mittels mehrerer Methoden, die den maßgeblichen EU-Vorschriften entsprechen. Ziel ist es, eine Verletzung der Grundrechte und -freiheiten der betroffenen Person zu verhindern, Transparenz zu gewährleisten und die betroffene Person aufzuklären. Gemäß Artikel 4 des KVKK (sinngemäß Art. 5 DSGVO) verarbeitet Kuzeyboru personenbezogene Daten zweckgebunden, begrenzt und verhältnismäßig. |
| Der Zweck der von Kuzeyboru durchgeführten Videoüberwachung ist auf die in dieser Richtlinie genannten Zwecke beschränkt. Dementsprechend werden die Überwachungsbereiche, die Anzahl der Sicherheitskameras und die Überwachungszeiten so implementiert, dass sie zur Erreichung des Sicherheitszwecks ausreichen und darauf beschränkt sind. Bereiche, die die Privatsphäre der Person in einer Weise beeinträchtigen könnten, die über die Sicherheitszwecke hinausgeht (z. B. Toiletten), werden nicht überwacht. Gemäß Artikel 12 des KVKK (sinngemäß Art. 32 DSGVO) ergreift Kuzeyboru die erforderlichen technischen und administrativen Maßnahmen, um die Sicherheit der durch die Videoüberwachung gewonnenen personenbezogenen Daten zu gewährleisten. Nur eine begrenzte Anzahl von Kuzeyboru-Mitarbeitern hat Zugriff auf die digital aufgezeichneten und gespeicherten Aufnahmen. Die Live-Kamerabilder können von externen Sicherheitskräften eingesehen werden. Die begrenzte Anzahl von Personen mit Zugriff auf die Aufzeichnungen erklärt durch eine Vertraulichkeitsvereinbarung, dass sie die Vertraulichkeit der Daten, auf die sie zugreifen, wahren wird. Zur Gewährleistung der Sicherheit und für die in dieser Richtlinie genannten Zwecke führt Kuzeyboru in seinen Gebäuden und Anlagen Datenverarbeitungsaktivitäten zur Verfolgung von Besucher-Ein- und Ausgängen durch. Die Namen und Nachnamen von Personen, die als Besucher die Unternehmensgebäude betreten, werden erfasst, und die betreffenden betroffenen Personen werden in diesem Zusammenhang durch Aushänge oder andere den Besuchern zugängliche Texte aufgeklärt. Die zur Verfolgung der Besucher-Ein- und Ausgänge erfassten Daten werden nur zu diesem Zweck verarbeitet und die entsprechenden personenbezogenen Daten werden in physischer Form in einem Datenspeichersystem erfasst. Zur Videoüberwachung veröffentlicht Kuzeyboru diese Richtlinie auf seiner Website (Online-Richtlinie) und hängt an den Eingängen der überwachten Bereiche Hinweisschilder aus, die auf die Überwachung hinweisen (Vor-Ort-Aufklärung). Auf den von Kuzeyboru betriebenen Websites werden die Internetaktivitäten der Besucher innerhalb der Website mit technischen Mitteln aufgezeichnet, um sicherzustellen, dass ihre Besuche den Besuchs-Zwecken entsprechen und um ihnen personalisierte Inhalte anzuzeigen. Detaillierte Erläuterungen zum Schutz und zur Verarbeitung personenbezogener Daten im Zusammenhang mit diesen Aktivitäten von Kuzeyboru finden sich in den „Datenschutzrichtlinien der Unternehmenswebsite“ der jeweiligen Internetseiten. Gemäß Artikel 138 des türkischen Strafgesetzbuches und Artikel 7 des KVKK (sinngemäß Art. 17 DSGVO) werden personenbezogene Daten, obwohl sie gemäß den einschlägigen Gesetzesbestimmungen verarbeitet wurden, nach eigenem Ermessen von Kuzeyboru oder auf Antrag der betroffenen Person gelöscht, vernichtet oder anonymisiert, wenn die Gründe für ihre Verarbeitung entfallen sind. Kuzeyboru erfüllt diese gesetzliche Verpflichtung mit legalen Methoden. |
ARTIKEL 25: TECHNIKEN ZUR LÖSCHUNG, VERNICHTUNG UND ANONYMISIERUNG PERSONENBEZOGENER DATEN 25.1 Techniken zur Löschung und Vernichtung personenbezogener Daten Obwohl die Daten in Übereinstimmung mit den einschlägigen Gesetzesbestimmungen verarbeitet wurden, kann Kuzeyboru nach eigenem Ermessen oder auf Antrag der betroffenen Person personenbezogene Daten löschen oder vernichten, wenn die Gründe für ihre Verarbeitung entfallen sind. Die von Kuzeyboru am häufigsten verwendeten Lösch- oder Vernichtungstechniken sind nachstehend aufgeführt: • Physische Vernichtung Personenbezogene Daten können auch nichtautomatisiert als Teil eines Datenspeichersystems verarbeitet werden. Bei der Löschung/Vernichtung solcher Daten wird ein System angewendet, bei dem die personenbezogenen Daten physisch so vernichtet werden, dass sie später nicht mehr verwendet werden können. • Sicheres Löschen aus der Software Bei der Löschung/Vernichtung von Daten, die ganz oder teilweise automatisiert verarbeitet und in digitalen Umgebungen gespeichert werden, werden Methoden angewendet, die sicherstellen, dass die Daten unwiederbringlich aus der entsprechenden Software gelöscht werden. • Sicheres Löschen durch einen Experten In einigen Fällen kann Kuzeyboru einen Experten damit beauftragen, personenbezogene Daten in seinem Namen zu löschen. In diesem Fall werden die personenbezogenen Daten von dieser Fachperson sicher und unwiederbringlich gelöscht/vernichtet. 25.2 Techniken zur Anonymisierung personenbezogener Daten Die Anonymisierung personenbezogener Daten bedeutet, dass personenbezogene Daten so verändert werden, dass sie auch durch Abgleich mit anderen Daten in keiner Weise mehr einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Kuzeyboru kann personenbezogene Daten anonymisieren, wenn die Gründe für ihre rechtmäßige Verarbeitung entfallen sind. Gemäß Artikel 28 des KVKK (sinngemäß Erwägungsgrund 26 DSGVO) können anonymisierte personenbezogene Daten zu Zwecken wie Forschung, Planung und Statistik verarbeitet werden. Solche Verarbeitungen fallen nicht in den Anwendungsbereich des KVKK (DSGVO), und die ausdrückliche Einwilligung der betroffenen Person ist nicht erforderlich. Da die durch Anonymisierung verarbeiteten personenbezogenen Daten außerhalb des Anwendungsbereichs des KVKK (DSGVO) liegen, gelten die in der Politik geregelten Rechte für diese Daten nicht. Die von Kuzeyboru am häufigsten verwendeten Anonymisierungstechniken sind: • Maskierung Die Datenmaskierung ist eine Methode, bei der personenbezogene Daten anonymisiert werden, indem die grundlegenden identifizierenden Informationen aus dem Datensatz entfernt werden. • Aggregation Mit der Datenaggregationsmethode werden viele Daten zusammengefasst und personenbezogene Daten so gestaltet, dass sie keiner bestimmten Person zugeordnet werden können. • Datenableitung Mit der Datenableitungsmethode wird aus dem Inhalt der personenbezogenen Daten ein allgemeinerer Inhalt erstellt, und es wird sichergestellt, dass die personenbezogenen Daten keiner bestimmten Person zugeordnet werden können. • Datenvermischung Mit der Datenvermischungsmethode werden die Werte innerhalb des personenbezogenen Datensatzes gemischt, um die Verbindung zwischen den Werten und den Personen zu trennen. Kuzeyboru informiert die betroffene Person gemäß Artikel 10 des KVKK (sinngemäß Art. 13-14 DSGVO) über ihre Rechte, gibt Anleitungen zur Ausübung dieser Rechte und unterhält gemäß Artikel 13 des KVKK (sinngemäß Art. 12 DSGVO) die erforderlichen Kanäle, internen Abläufe sowie administrativen und technischen Regelungen zur Bewertung der Rechte der betroffenen Personen und zur Erteilung der erforderlichen Informationen. |
ARTİKEL 26: RECHTE DER BETROFFENEN PERSON UND AUSÜBUNG DIESER RECHTE 26.1 Rechte der betroffenen Person Betroffene Personen haben folgende Rechte: • Auskunft darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, • Falls personenbezogene Daten verarbeitet wurden, Informationen darüber zu verlangen, • Den Zweck der Verarbeitung zu erfahren und ob sie zweckgemäß verwendet werden, • Die Dritten im In- oder Ausland zu kennen, an die die Daten übermittelt werden, • Die Berichtigung unvollständiger oder unrichtiger Daten zu verlangen und die Mitteilung dieses Vorgangs an Dritte zu fordern, • Die Löschung oder Vernichtung von Daten zu verlangen, wenn die Verarbeitungsgründe entfallen sind, und die Mitteilung dieses Vorgangs an Dritte zu fordern, • Widerspruch gegen ein zu ihren Lasten entstehendes Ergebnis einzulegen, das durch ausschließliche Analyse durch automatisierte Systeme entsteht, • Schadensersatz bei Schäden durch unrechtmäßige Verarbeitung zu verlangen. 26.2 Fälle, in denen die betroffene Person ihre Rechte nicht geltend machen kann Gemäß Artikel 28 des KVKK (sinngemäß Art. 23 DSGVO und nationale Gesetze wie das BDSG) können betroffene Personen in folgenden Fällen ihre Rechte nicht geltend machen, da diese vom Anwendungsbereich des Gesetzes ausgenommen sind: • Verarbeitung zu Zwecken der Forschung, Planung und Statistik durch Anonymisierung, • Verarbeitung zu künstlerischen, historischen, literarischen oder wissenschaftlichen Zwecken oder im Rahmen der freien Meinungsäußerung, sofern dies nicht die nationale Verteidigung, Sicherheit, öffentliche Ordnung, wirtschaftliche Sicherheit, die Privatsphäre oder Persönlichkeitsrechte verletzt oder eine Straftat darstellt, • Verarbeitung im Rahmen präventiver, schützender und nachrichtendienstlicher Tätigkeiten durch gesetzlich beauftragte öffentliche Einrichtungen zur Gewährleistung der nationalen Verteidigung, Sicherheit, öffentlichen Ordnung oder wirtschaftlichen Sicherheit, • Verarbeitung durch Justiz- oder Vollstreckungsbehörden im Zusammenhang mit Ermittlungs-, Strafverfolgungs-, Gerichts- oder Vollstreckungsverfahren. Gemäß Artikel 28/2 des KVKK können betroffene Personen in folgenden Fällen ihre Rechte (mit Ausnahme des Rechts auf Schadensersatz) nicht geltend machen: • Wenn die Verarbeitung zur Verhinderung von Straftaten oder für strafrechtliche Ermittlungen erforderlich ist, • Verarbeitung von Daten, die von der betroffenen Person selbst öffentlich gemacht wurden, • Wenn die Verarbeitung für die Wahrnehmung von Aufsichts- oder Regulierungsaufgaben sowie für Disziplinaruntersuchungen oder -verfahren durch gesetzlich beauftragte öffentliche Einrichtungen und öffentlich-rechtliche Berufsverbände erforderlich ist, • Verarbeitung durch Justiz- oder Vollstreckungsbehörden im Zusammenhang mit Ermittlungs-, Strafverfolgungs-, Gerichts- oder Vollstreckungsverfahren. |
| 26.3 Ausübung der Rechte durch die betroffene Person Betroffene Personen können ihre Anfragen bezüglich der oben genannten Rechte kostenlos auf folgende Weise an Kuzeyboru richten: • Durch persönliche Einreichung des ausgefüllten und handschriftlich unterzeichneten Formulars von kuzeyboru.com.tr an die Adresse Kırımlı OSB Mah. Mehmetçik Bul. No:2 İç Kapı No:1 Merkez/Aksaray, • Durch Zusendung des ausgefüllten und handschriftlich unterzeichneten Formulars von kuzeyboru.com.tr per Kurier oder Post an die oben genannte Adresse, • Durch Ausfüllen des Formulars auf kuzeyboru.com.tr, Unterzeichnung mit Ihrer „sicheren elektronischen Signatur“ gemäß dem Gesetz Nr. 5070 und Zusendung des signierten Formulars an die KEP-Adresse [email protected] oder per E-Mail an [email protected]. Anfragen durch Dritte im Namen von betroffenen Personen sind nicht möglich, es sei denn, es liegt eine spezielle, von der betroffenen Person ausgestellte Vollmacht vor. Für die Ausübung ihrer Rechte füllen die betroffenen Personen das „Antragsformular für Anfragen von betroffenen Personen an den Verantwortlichen gemäß dem Gesetz Nr. 6698 zum Schutz personenbezogener Daten“ aus. 26.4 Recht der betroffenen Person auf Beschwerde bei der Aufsichtsbehörde Gemäß Artikel 14 des KVKK (sinngemäß Art. 77 DSGVO) kann die betroffene Person bei Ablehnung des Antrags, unzureichender Antwort oder nicht fristgerechter Beantwortung innerhalb von dreißig Tagen nach Kenntnisnahme der Antwort von Kuzeyboru und in jedem Fall innerhalb von sechzig Tagen nach dem Antragsdatum Beschwerde bei der Aufsichtsbehörde (KVK Kurulu) einlegen. |
ARTİKEL 27: BEANTWORTUNG VON ANFRAGEN DURCH KUZEYBORU 27.1 Verfahren und Frist für die Beantwortung von Anfragen durch Kuzeyboru Wenn die betroffene Person ihre Anfrage gemäß dem oben beschriebenen Verfahren an Kuzeyboru richtet, wird Kuzeyboru die Anfrage je nach Art so schnell wie möglich und spätestens innerhalb von dreißig Tagen kostenlos bearbeiten. Erfordert die Bearbeitung jedoch zusätzliche Kosten, wird Kuzeyboru die von der Aufsichtsbehörde festgelegte Gebühr erheben. 27.2 Informationen, die Kuzeyboru vom Antragsteller anfordern kann Kuzeyboru kann von der antragstellenden Person Informationen anfordern, um festzustellen, ob sie die betroffene Person ist. Kuzeyboru kann der betroffenen Person Fragen zu ihrer Anfrage stellen, um die in der Anfrage enthaltenen Punkte zu klären. 27.3 Das Recht von Kuzeyboru, den Antrag der betroffenen Person abzulehnen Kuzeyboru kann den Antrag der antragstellenden Person in den folgenden Fällen unter Angabe von Gründen ablehnen: • Verarbeitung zu Zwecken der Forschung, Planung und Statistik durch Anonymisierung, • Verarbeitung zu künstlerischen, historischen, literarischen oder wissenschaftlichen Zwecken oder im Rahmen der freien Meinungsäußerung, sofern dies nicht die nationale Verteidigung, Sicherheit, öffentliche Ordnung, wirtschaftliche Sicherheit, die Privatsphäre oder Persönlichkeitsrechte verletzt oder eine Straftat darstellt, • Verarbeitung im Rahmen präventiver, schützender und nachrichtendienstlicher Tätigkeiten durch gesetzlich beauftragte öffentliche Einrichtungen zur Gewährleistung der nationalen Verteidigung, Sicherheit, öffentlichen Ordnung oder wirtschaftlichen Sicherheit, • Verarbeitung durch Justiz- oder Vollstreckungsbehörden im Zusammenhang mit Ermittlungs-, Strafverfolgungs-, Gerichts- oder Vollstreckungsverfahren, • Wenn die Verarbeitung zur Verhinderung von Straftaten oder für strafrechtliche Ermittlungen erforderlich ist, • Verarbeitung von Daten, die von der betroffenen Person selbst öffentlich gemacht wurden, • Wenn die Verarbeitung für die Wahrnehmung von Aufsichts- oder Regulierungsaufgaben sowie für Disziplinaruntersuchungen oder -verfahren durch gesetzlich beauftragte öffentliche Einrichtungen und öffentlich-rechtliche Berufsverbände erforderlich ist, • Wenn die Verarbeitung zur Wahrung der wirtschaftlichen und finanziellen Interessen des Staates in Bezug auf Haushalt, Steuern und Finanzen erforderlich ist, • Wenn die Anfrage der betroffenen Person die Rechte und Freiheiten anderer Personen beeinträchtigen könnte, • Wenn Anfragen gestellt wurden, die einen unverhältnismäßigen Aufwand erfordern, • Wenn die angeforderten Informationen öffentlich zugänglich sind. |
ARTIKEL 28: BEZIEHUNG DER KUZEYBORU-RICHTLINIE ZUM SCHUTZ UND ZUR VERARBEITUNG PERSONENBEZOGENER DATEN ZU ANDEREN RICHTLINIEN Die Grundprinzipien, die Kuzeyboru mit dieser Richtlinie festgelegt hat, beziehen sich auf die grundlegenden Richtlinien zum Schutz und zur Verarbeitung personenbezogener Daten. Durch die Verknüpfung dieser Richtlinien mit den grundlegenden Richtlinien, die Kuzeyboru in anderen Bereichen verfolgt, wird auch eine Harmonisierung zwischen den Prozessen, die Kuzeyboru mit unterschiedlichen Richtliniengrundsätzen für ähnliche Zwecke betreibt, sichergestellt. Innerhalb von Kuzeyboru wurde auf Beschluss der obersten Leitung ein „Datenschutzausschuss“ (Kişisel Verilerin Korunması Kurulu) eingerichtet, um diese Richtlinie und die damit verbundenen und zusammenhängenden Richtlinien zu verwalten. Die Aufgaben dieses Ausschusses sind nachstehend aufgeführt: • Vorbereitung der grundlegenden Richtlinien zum Schutz und zur Verarbeitung personenbezogener Daten und Vorlage zur Genehmigung durch die oberste Leitung zur Inkraftsetzung. • Entscheidung darüber, wie die Umsetzung und Überwachung der Richtlinien zum Schutz und zur Verarbeitung personenbezogener Daten erfolgen soll, und in diesem Rahmen Vorlage von Vorschlägen zur internen Aufgabenverteilung und zur Gewährleistung der Koordination zur Genehmigung durch die oberste Leitung. • Ermittlung der notwendigen Maßnahmen zur Gewährleistung der Einhaltung des Datenschutzgesetzes (DSGVO) und der einschlägigen Gesetzgebung und Vorlage der erforderlichen Maßnahmen zur Genehmigung durch die oberste Leitung; Überwachung und Koordination ihrer Umsetzung. • Schärfung des Bewusstseins für den Schutz und die Verarbeitung personenbezogener Daten innerhalb von Kuzeyboru und bei den Institutionen, mit denen Kuzeyboru zusammenarbeitet. • Ermittlung von Risiken, die bei den Datenverarbeitungsaktivitäten von Kuzeyboru entstehen können, Sicherstellung der Ergreifung notwendiger Maßnahmen; Vorlage von Verbesserungsvorschlägen zur Genehmigung durch die oberste Leitung. • Konzeption von Schulungen zum Schutz personenbezogener Daten und zur Umsetzung der Richtlinien und Sicherstellung ihrer Durchführung. • Treffen von endgültigen Entscheidungen über die Anträge von betroffenen Personen auf höchster Ebene. • Koordination der Durchführung von Informations- und Schulungsaktivitäten, um sicherzustellen, dass die betroffenen Personen über ihre Datenverarbeitungsaktivitäten und ihre gesetzlichen Rechte informiert werden. • Vorbereitung von Änderungen an den grundlegenden Richtlinien zum Schutz und zur Verarbeitung personenbezogener Daten und Vorlage zur Genehmigung durch die oberste Leitung zur Inkraftsetzung. • Verfolgung von Entwicklungen und Regelungen im Bereich des Datenschutzes; Abgabe von Empfehlungen an die oberste Leitung zu den Maßnahmen, die innerhalb von Kuzeyboru entsprechend diesen Entwicklungen und Regelungen zu ergreifen sind. • Koordination der Beziehungen zur Datenschutz-Aufsichtsbehörde und anderen relevanten Institutionen. • Ausführung sonstiger Aufgaben, die von der obersten Leitung von Kuzeyboru im Bereich des Datenschutzes zugewiesen werden. Ein Teil der genannten Richtlinien ist für den internen Gebrauch von Kuzeyboru bestimmt. Die Grundsätze der Kuzeyboru-Richtlinien werden, soweit sie relevant sind, in öffentlich zugänglichen Richtlinien widergespiegelt, um die Betroffenen in diesem Rahmen zu informieren und Transparenz und Rechenschaftspflicht über die von Kuzeyboru durchgeführten Datenverarbeitungsaktivitäten zu gewährleisten. |