Hakkımızda

1. EINLEITUNG

Mit dem im Jahr 2010 verabschiedeten Gesetz Nr. 5982 wurde durch einen Zusatz zu Artikel 20 der Verfassung das Recht jeder Person auf den Schutz ihrer personenbezogenen Daten als ein verfassungsmäßig garantiertes Grundrecht anerkannt. Das Datenschutzgesetz („KVKK“), das im Einklang mit den Kriterien der Europäischen Union über viele Jahre hinweg vorbereitet wurde, wurde am 07.04.2016 im Amtsblatt veröffentlicht und ist in Kraft getreten. Das KVKK enthält weitgehend Regelungen, die mit der EU-Richtlinie 95/46/EG übereinstimmen, und mit seinem Inkrafttreten wurde der Schutz personenbezogener Daten innerhalb eines umfassenden Regelwerks gesetzlich festgelegt.

Da die Daten juristischer Personen bereits durch geltende gesetzliche Vorschriften geschützt sind, ist der Begriff der personenbezogenen Daten – wie auch in den Regelungen der Europäischen Union – ausschließlich auf natürliche Personen beschränkt. Das KVKK zielt auf den Schutz des Persönlichkeitsrechts und der Informationssicherheit ab und regelt unter anderem die Definition und Kategorisierung personenbezogener Daten, deren Verarbeitung, die Pflichten von natürlichen und juristischen Personen, die Daten verarbeiten, die Einrichtung der Datenschutzbehörde sowie die Beschwerdeverfahren.

Die GİMAS GİRGİN MAKİNE İMALAT MONTAJ VE MÜHENDİSLİK SAN. TİC. A.Ş., ein Unternehmen, das im Bereich Stahlkonstruktionen tätig ist, zeigt auch im Hinblick auf den Schutz personenbezogener Daten dieselbe Sensibilität wie in ihrer industriellen Arbeit. Im Rahmen des hohen Qualitätsanspruchs, des Respekts gegenüber den Rechten des Einzelnen sowie der Grundsätze von Transparenz und Integrität, die bei GİMAS GİRGİN MAKİNE İMALAT MONTAJ VE MÜHENDİSLİK SAN. TİC. A.Ş. verankert sind, zählt es zu den vorrangigen Anliegen unseres Unternehmens, die internen Abläufe gemäß dem KVKK, den sekundären Rechtsvorschriften, den Entscheidungen und Regelungen der Datenschutzbehörde sowie sonstigen relevanten Vorschriften zu organisieren. Aus diesem Grund wurde die vorliegende Datenschutzrichtlinie erstellt und in Kraft gesetzt, um unsere Kunden über die durch das KVKK gewährten Rechte zu informieren und die Einhaltung des Gesetzes zu gewährleisten.

2. ZWECK UND GELTUNGSBEREICH

2.1. Ziel dieser Richtlinie ist es, sicherzustellen, dass die im Rahmen der oben genannten Grundprinzipien von GİMAS zur Einhaltung des KVKK (Gesetz zum Schutz personenbezogener Daten) getroffenen Regelungen innerhalb von GİMAS sowie durch GİMAS-Mitarbeiter und Geschäftspartner wirksam umgesetzt werden.

2.2. Im Einklang mit den in dieser Richtlinie vorgesehenen grundlegenden Regelungen wird GİMAS alle erforderlichen administrativen und technischen Maßnahmen zum Schutz und zur Verarbeitung personenbezogener Daten im Rahmen des Unternehmens ergreifen. Interne Verfahren werden erstellt, sämtliche Schulungen zur Sensibilisierung durchgeführt und geeignete sowie wirksame Kontrollmechanismen eingerichtet, um sicherzustellen, dass Mitarbeiter und Geschäftspartner die KVKK-Prozesse einhalten.

2.3. Diese Richtlinie legt die grundlegenden Prinzipien fest, die in allen relevanten Prozessen beachtet werden müssen, sowie die Verpflichtungen von GİMAS zur Ausrichtung interner Abläufe gemäß den Bestimmungen des KVKK. Die durch das KVKK und die einschlägige Gesetzgebung festgelegten internen Verfahren regeln die von GİMAS durchzuführenden Compliance-Maßnahmen zum Schutz personenbezogener Daten. Alle GİMAS-Mitarbeiter sind verpflichtet, bei der Erfüllung ihrer Aufgaben im Einklang mit dieser Richtlinie, dem KVKK und allen weiteren einschlägigen gesetzlichen Bestimmungen zu handeln.

2.4. Bei Nichteinhaltung dieser Richtlinie und der einschlägigen gesetzlichen Bestimmungen werden neben den gesetzlich vorgesehenen straf- und zivilrechtlichen Konsequenzen auch innerbetriebliche Sanktionen gemäß arbeitsrechtlicher Vorschriften verhängt, die je nach Schwere des Verstoßes bis zur fristlosen Kündigung führen können.

3. BEGRIFFSBESTIMMUNGEN

3.1. Einwilligung :
Einwilligung bezeichnet die freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten.

Da die Nachweispflicht darüber, dass die betroffene Person ordnungsgemäß informiert wurde, beim Verantwortlichen liegt, werden sowohl die Einwilligungserklärungen als auch die entsprechenden Informationsunterlagen gemäß den unternehmensinternen Verfahren gespeichert und geschützt.

3.2. Anonymisierung:
Dabei handelt es sich um die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten selbst – auch durch den Abgleich mit anderen Informationen – keiner identifizierten oder identifizierbaren natürlichen Person mehr zugeordnet werden können.

Es ist möglich, personenbezogene Daten im Einklang mit dem KVKK und ohne Verletzung der Einwilligungspflicht für bestimmte Zwecke auf Wunsch und/oder mit Zustimmung der betroffenen Person zu anonymisieren. GİMAS wird innerhalb des Unternehmens alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass anonymisierte personenbezogene Daten nicht durch verschiedene Methoden erneut einer identifizierbaren Person zugeordnet werden können.

3.3. Betroffene Person :
Bezeichnet die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Dies umfasst personenbezogene Daten von Einzelkunden, potenziellen Kunden, Mitarbeitenden (aktiv, ausgeschieden, im Ruhestand), Bewerbern, Vertretern von Lieferanten und Kundenunternehmen, Praktikanten und Praktikumsbewerbern, Geschäftspartnern, Anteilseignern, Besuchern, Website-Besuchern, Bewerbern sowie natürlichen Vertretern von verbundenen juristischen Personen, Dritten und sonstigen natürlichen Stakeholdern – deren Verarbeitung und Schutz erfolgt im Rahmen des KVKK und dieser Richtlinie durch GİMAS.

3.4. Personenbezogene Daten :
Bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Beispiele für personenbezogene Daten sind: türkische Identitätsnummer, Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Anschrift, Geburtsdatum, Bankkontonummer etc. Innerhalb von GİMAS werden diese Daten kategorisiert und es wird geregelt, auf welche Weise, durch wen, zu welchem Zweck und für welchen Zeitraum diese verarbeitet werden dürfen.

3.5. Verarbeitung personenbezogener Daten:
Bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten – ganz oder teilweise automatisiert oder in einem Datenerfassungssystem auch manuell –, insbesondere das Erheben, Speichern, Aufbewahren, Ändern, Ordnen, Offenlegen, Übermitteln, Übernehmen, Zugänglichmachen, Klassifizieren oder das Verhindern ihrer Nutzung.

3.6. Besondere Kategorien personenbezogener Daten :
Bezieht sich auf Daten zu: ethnischer Herkunft, politischer Meinung, philosophischer Überzeugung, Religion, Konfession oder sonstiger Weltanschauung, Kleidung, Gewerkschafts-, Vereins- oder Stiftungzugehörigkeit, Gesundheit, Sexualleben, strafrechtlicher Verurteilung, sicherheitsrelevanten Maßnahmen sowie biometrische und genetische Daten.

3.7. Auftragsverarbeiter :
Bezeichnet die natürliche oder juristische Person, die auf Grundlage der Ermächtigung des Verantwortlichen personenbezogene Daten in dessen Auftrag verarbeitet.

Das interne Verfahren legt auf Abteilungsebene fest, welche Mitarbeiter Zugang zu personenbezogenen Daten haben und diese im Sinne des KVKK verarbeiten, in welchem Umfang, zu welchem Zweck und für welchen Zeitraum sie Zugriff auf die Daten haben sowie welche Vorgänge sie mit den Daten durchführen dürfen.

3.8. Verantwortlicher :
Bezeichnet die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und für die Einrichtung und Verwaltung des Datenerfassungssystems verantwortlich ist.

GİMAS gilt im Sinne des KVKK als Verantwortlicher und wird im VERBİS-System registriert. Für die Ausführung der Tätigkeiten im Namen des Verantwortlichen wird innerhalb von GİMAS ein KVKS-Managementbeauftragter ernannt. Dieser ist für die Überwachung und Koordination aller Vorgänge im Rahmen des KVKK und der Anordnungen der Datenschutzbehörde verantwortlich. Bei entscheidungspflichtigen Fällen holt der KVKS-Managementbeauftragte eine Stellungnahme der Rechtsabteilung ein und unterbreitet der Geschäftsleitung einen Handlungsvorschlag, der nach Genehmigung umgesetzt wird.

4. UMSETZUNG DER RICHTLINIE UND VERANTWORTLICHKEITEN

4.1.
GİMAS ist in seiner Funktion als Datenverantwortlicher für die Umsetzung und Organisation sämtlicher interner Abläufe und Prozesse im Rahmen dieser Richtlinie verantwortlich.

4.2.
Für die Umsetzung der im Rahmen dieser Richtlinie zu erstellenden Vorschriften, Verfahren, Leitfäden, Standards und Schulungsmaßnahmen innerhalb von GİMAS ist der KVKS-Managementbeauftragte verantwortlich und befugt – mit Unterstützung der Rechtsabteilung und der internen Revisionsstelle.

4.3.
Alle Mitarbeiter, Geschäftspartner, Besucher sowie sonstige Dritte innerhalb von GİMAS sind verpflichtet, mit dem KVKS-Managementbeauftragten zusammenzuarbeiten, um die Einhaltung dieser Richtlinie sowie die Vermeidung von rechtlichen Verpflichtungen, Risiken und Gefahren gemäß den gesetzlichen Bestimmungen sicherzustellen.

4.4.
Alle Abteilungen und Gremien von GİMAS – einschließlich sämtlicher Mitarbeiter – sind verpflichtet, im Einklang mit dieser Richtlinie zu handeln und deren Bestimmungen umzusetzen.

4.5.
Diese Richtlinie wird in die gemeinsamen IT-Systeme von GİMAS hochgeladen und steht allen Mitarbeitern jederzeit zur Verfügung. Darüber hinaus wird sie auf der offiziellen Website von GİMAS veröffentlicht. Änderungen an der Richtlinie werden zeitnah sowohl in die IT-Systeme als auch auf die Website eingepflegt, sodass betroffene Personen Zugang zu den in der Richtlinie festgelegten Grundsätzen erhalten. Die Veröffentlichung der Richtlinie sowie etwaiger Änderungen obliegt dem KVKS-Managementbeauftragten.

4.6.
Im Falle eines Widerspruchs zwischen dieser Richtlinie und den geltenden gesetzlichen Bestimmungen erkennt GİMAS in seiner Funktion als Datenverantwortlicher an, dass die gesetzlichen Bestimmungen Vorrang haben. Der KVKS-Managementbeauftragte ist verpflichtet, in einem solchen Fall das Verfahren zur Aktualisierung der Richtlinie gemäß den gesetzlichen Anforderungen zu steuern.

5. GRUNDPRINZIPIEN DER VERARBEITUNG PERSONENBEZOGENER DATEN

5.1. Allgemeine Grundsätze bei der Verarbeitung personenbezogener Daten

GİMAS verpflichtet sich, die im Rahmen dieser Richtlinie verarbeiteten personenbezogenen Daten gemäß Artikel 4 des KVKK unter Beachtung der folgenden Grundsätze zu verarbeiten:

5.1.1. Rechtmäßigkeit und Treu und Glauben
GİMAS verpflichtet sich als Datenverantwortlicher und als sorgfältiger Kaufmann, die Verarbeitung personenbezogener Daten in Übereinstimmung mit der Verfassung, dem KVKK sowie allen geltenden und künftigen gesetzlichen Regelungen durchzuführen – unter Beachtung des Grundsatzes von Treu und Glauben im Sinne von Artikel 2 des türkischen Zivilgesetzbuches.

5.1.2. Richtigkeit und Aktualität der Daten
GİMAS ergreift alle erforderlichen Maßnahmen, um im Rahmen der technischen Möglichkeiten die Richtigkeit und Aktualität personenbezogener Daten sicherzustellen. Die von der betroffenen Person im Rahmen ihrer Rechte gegenüber dem Datenverantwortlichen gemeldeten Korrekturwünsche sowie von GİMAS selbst identifizierte Notwendigkeiten werden durch entsprechend eingerichtete administrative und technische Mechanismen umgesetzt und überprüft.

5.1.3. Verarbeitung zu bestimmten, eindeutigen und rechtmäßigen Zwecken
Personenbezogene Daten werden von GİMAS rechtmäßig, zweckgebunden und im Einklang mit den einschlägigen gesetzlichen Vorschriften verarbeitet. Der Verarbeitungszweck wird eindeutig und im Vorfeld der Datenverarbeitung festgelegt.

5.1.4. Zweckgebundene, maßvolle und auf das Notwendige beschränkte Verarbeitung
Die Verarbeitung erfolgt nur im Zusammenhang mit dem festgelegten Zweck, in angemessenem Umfang und soweit dies für die Zielerreichung erforderlich ist. Eine Verarbeitung von Daten, die nicht im Zusammenhang mit dem Verarbeitungszweck stehen oder nicht benötigt werden, wird vermieden.

5.1.5. Speicherung nur für die gesetzlich vorgeschriebene oder zweckgebundene Dauer
Personenbezogene Daten werden für den gesetzlich vorgeschriebenen Zeitraum oder so lange gespeichert, wie es für den Verarbeitungszweck erforderlich ist. Nach Ablauf dieser Fristen werden die Daten von GİMAS gelöscht, vernichtet oder anonymisiert. Hierzu werden die notwendigen administrativen und technischen Maßnahmen getroffen.

6. BEDINGUNGEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

Artikel 5 des KVKK regelt die Voraussetzungen für die Verarbeitung personenbezogener Daten. Die Verarbeitungsvorgänge personenbezogener Daten durch GİMAS erfolgen unter Einhaltung der nachstehenden Bedingungen gemäß dem KVKK:

6.1. Vorliegen der ausdrücklichen Einwilligung der betroffenen Person
Die grundsätzliche Voraussetzung für die Verarbeitung personenbezogener Daten ist das Vorliegen der ausdrücklichen Einwilligung der betroffenen Person. GİMAS verarbeitet personenbezogene Daten nur im Rahmen der eindeutig und unmissverständlich erteilten Einwilligung, nachdem die betroffene Person gemäß KVKK über die Zwecke der Verarbeitung informiert wurde.

6.2. Verarbeitung aufgrund gesetzlicher Verpflichtung
Auch ohne Einwilligung der betroffenen Person ist die Verarbeitung personenbezogener Daten zulässig, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. In solchen Fällen wird die Datenverarbeitung als rechtmäßig angesehen, sofern die übrigen Bedingungen erfüllt sind.

6.3. Zwingende Notwendigkeit der Verarbeitung personenbezogener Daten einer Person, die aufgrund faktischer Unmöglichkeit keine Einwilligung erteilen kann oder deren Einwilligung rechtlich nicht als gültig angesehen werden kann, zum Schutz ihres eigenen Lebens oder ihrer körperlichen Unversehrtheit oder des Lebens bzw. der körperlichen Unversehrtheit einer anderen Person
Ist es der betroffenen Person faktisch nicht möglich, ihre Einwilligung zu erteilen, oder fehlt es an einer rechtlich gültigen Einwilligungsfähigkeit, so dürfen personenbezogene Daten verarbeitet werden, wenn dies zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person zwingend erforderlich ist. GİMAS wird in diesen gesetzlich vorgesehenen Ausnahmefällen personenbezogene Daten verarbeiten.

6.4. Verarbeitung im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags
Personenbezogene Daten der Vertragsparteien dürfen verarbeitet werden, sofern dies unmittelbar für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist.

6.5. Erforderlichkeit zur Erfüllung rechtlicher Verpflichtungen des Verantwortlichen
Als Datenverantwortlicher im Sinne des KVKK verarbeitet GİMAS personenbezogene Daten, wenn dies zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist – im Rahmen der durch die entsprechenden Gesetze festgelegten Grenzen.

6.6. Verarbeitung öffentlich gemachter personenbezogener Daten
Sofern personenbezogene Daten von der betroffenen Person selbst öffentlich gemacht wurden, dürfen diese Daten von GİMAS im Einklang mit dem Zweck ihrer Veröffentlichung verarbeitet werden.

6.7. Erforderlichkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechten
Personenbezogene Daten werden von GİMAS verarbeitet, soweit dies zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

6.8. Verarbeitung im berechtigten Interesse des Verantwortlichen
Personenbezogene Daten dürfen im berechtigten Interesse von GİMAS als Datenverantwortlichem verarbeitet werden, sofern die Grundrechte und -freiheiten der betroffenen Person nicht verletzt werden. Dabei dürfen die berechtigten Interessen von GİMAS keinesfalls gegen die Grundsätze des KVKK oder gegen den Verarbeitungszweck verstoßen, noch dürfen sie den verfassungsmäßig geschützten Kernbereich der Rechte beeinträchtigen.

7. BEDINGUNGEN FÜR DIE VERARBEITUNG VON BESONDERER KATEGORIEN PERSONENBEZOGENER DATEN

Artikel 6 des KVKK regelt die Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten. Dementsprechend gelten Daten zu ethnischer Herkunft, politischer Meinung, philosophischer Überzeugung, Religion, Konfession oder anderen Glaubensrichtungen, Kleidung, Vereins-, Stiftungs- oder Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafrechtlicher Verurteilung, sicherheitsrelevanten Maßnahmen sowie biometrische und genetische Daten als besondere Kategorien personenbezogener Daten. GİMAS hat alle internen Geschäftsprozesse und Dokumente geprüft, um diese Datenkategorien zu identifizieren und zu klassifizieren. Die Verarbeitung dieser Daten erfolgt bei GİMAS im Einklang mit den nachstehenden Bedingungen des KVKK.

7.1. Verarbeitung besonderer Kategorien personenbezogener Daten mit ausdrücklicher Einwilligung der betroffenen Person
Nach dem KVKK ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich ohne die ausdrückliche Einwilligung der betroffenen Person untersagt. In diesem Zusammenhang wird GİMAS als vorrangiges Prinzip anstreben, die ausdrückliche Einwilligung der betroffenen Personen einzuholen, bevor besondere personenbezogene Daten verarbeitet werden. Die Verarbeitung erfolgt im Rahmen der Einwilligung und entsprechend dem angegebenen Zweck. Die gesetzlich vorgesehenen Ausnahmen zur Verarbeitung ohne Einwilligung bleiben hiervon unberührt. Vor jeder Verarbeitung wird GİMAS prüfen, ob die gesetzlichen Voraussetzungen für die Verarbeitung vorliegen.

7.2. Verarbeitung ohne Einwilligung bei gesetzlicher Grundlage
Sofern gesetzliche Bestimmungen die Verarbeitung besonderer Kategorien personenbezogener Daten erlauben, dürfen Daten – mit Ausnahme der Daten zu Gesundheit und Sexualleben – auch ohne ausdrückliche Einwilligung verarbeitet werden. In diesem Fall beschränkt sich die Verarbeitung auf den durch die gesetzliche Regelung vorgegebenen Umfang.

7.3. Verarbeitung von Gesundheits- und Sexualleben durch befugte Personen im Rahmen medizinischer Dienstleistungen
Gemäß KVKK dürfen besondere personenbezogene Daten zur Gesundheit und zum Sexualleben nur mit ausdrücklicher Einwilligung verarbeitet werden. Falls eine Einwilligung nicht vorliegt, ist die Verarbeitung nur zulässig, wenn sie durch medizinisches Fachpersonal oder befugte Stellen, die einer gesetzlichen Schweigepflicht unterliegen, zur Durchführung von Prävention, Diagnostik, Behandlung, Pflege oder zur Planung und Verwaltung von Gesundheitsdienstleistungen und deren Finanzierung erfolgt. In solchen Fällen wird GİMAS die Daten im Rahmen der gesetzlichen Vorschriften und unter Beachtung der Schweigepflicht verarbeiten.

7.4. Zu treffende Maßnahmen bei der Verarbeitung besonderer Kategorien personenbezogener Daten
Für die Verarbeitung besonderer Kategorien personenbezogener Daten müssen gemäß KVKK zusätzliche Sicherheitsmaßnahmen getroffen werden, die vom Datenschutzausschuss festgelegt werden. GİMAS verpflichtet sich, diese vom Ausschuss vorgeschriebenen Maßnahmen umzusetzen. Das Team des Datenverantwortlichen ist dafür zuständig, diese Maßnahmen zu verfolgen und in die internen Geschäftsprozesse von GİMAS zu integrieren.

8. ÜBERMITTLUNG PERSONENBEZOGENER DATEN

Gemäß Artikel 8 des KVKK ist die Übermittlung personenbezogener Daten an Dritte im Inland geregelt. Grundsätzlich dürfen personenbezogene Daten ohne ausdrückliche Einwilligung der betroffenen Person nicht an Dritte übermittelt werden. Die folgenden Kriterien sind bei der Durchführung von Übermittlungsvorgängen zu beachten. GİMAS ist dafür verantwortlich, dass alle Übermittlungsvorgänge im Einklang mit geltenden oder künftig in Kraft tretenden gesetzlichen Vorschriften stehen, wobei die Koordination durch den KVKS-Managementbeauftragten erfolgt.

8.1. Übermittlung personenbezogener Daten innerhalb der Türkei

8.1.1. Vorliegen der ausdrücklichen Einwilligung der betroffenen Person zur Datenübermittlung
Gemäß Artikel 8 des KVKK ist die ausdrückliche Einwilligung der betroffenen Person Voraussetzung für die Übermittlung personenbezogener Daten an Dritte. GİMAS wird sorgfältig feststellen, für welche personenbezogenen Daten eine Einwilligung zur Inlandsübermittlung erteilt wurde, und die Daten nur entsprechend dieser Einwilligung übermitteln.

8.1.2. Übermittlung ohne Einwilligung bei Vorliegen gesetzlicher Verarbeitungsvoraussetzungen
Liegt keine ausdrückliche Einwilligung der betroffenen Person vor, so können personenbezogene Daten dennoch übermittelt werden, sofern die in den Artikeln 6.2 bis 6.8 dieser Richtlinie sowie in Artikel 5 Absatz 2 des KVKK festgelegten Voraussetzungen für die rechtmäßige Verarbeitung erfüllt sind.

8.1.3. Übermittlung besonderer Kategorien personenbezogener Daten ohne Einwilligung unter gesetzlicher Voraussetzung
Besondere personenbezogene Daten, mit Ausnahme von Gesundheits- und Sexualdaten, können auch ohne Einwilligung übermittelt werden, sofern deren Verarbeitung gesetzlich vorgeschrieben ist. In solchen Fällen stellt GİMAS sicher, dass die in Artikel 7 dieser Richtlinie beschriebenen Bedingungen erfüllt sind. Die Verpflichtung zur Umsetzung der erforderlichen Schutzmaßnahmen gilt auch für die Übermittlung dieser Daten. Diese Maßnahmen werden vom KVKS-Managementbeauftragten überwacht und in die internen Abläufe von GİMAS integriert. Auch die empfangenden Dritten müssen diese Schutzmaßnahmen umsetzen. Die Überwachung und Koordination der Maßnahmen erfolgen gemeinsam mit dem zuständigen Fachbereich unter Aufsicht des KVKS-Managementbeauftragten.

8.2. Übermittlung personenbezogener Daten ins Ausland

8.2.1. Vorliegen der ausdrücklichen Einwilligung der betroffenen Person zur Auslandsübermittlung
Nach Artikel 9 des KVKK dürfen personenbezogene Daten grundsätzlich nicht ohne ausdrückliche Einwilligung der betroffenen Person ins Ausland übermittelt werden. Daher gilt die Einholung der Einwilligung als grundsätzliche Voraussetzung. GİMAS wird sorgfältig prüfen, welche personenbezogenen Daten auf Wunsch der betroffenen Person ins Ausland übermittelt werden dürfen, und dabei die vom Datenschutzrat veröffentlichte Liste sicherer Länder berücksichtigen.

8.2.2. Übermittlung ins Ausland ohne Einwilligung bei Vorliegen gesetzlicher Voraussetzungen
Wenn keine ausdrückliche Einwilligung der betroffenen Person vorliegt, können personenbezogene Daten dennoch ins Ausland übermittelt werden, sofern die in den Artikeln 6.2 bis 6.8 dieser Richtlinie sowie in Artikel 5 Absatz 2 des KVKK genannten Bedingungen erfüllt sind – vorausgesetzt, das betreffende Land steht auf der vom Datenschutzrat veröffentlichten Liste sicherer Länder.

Zusätzlich ist gemäß Artikel 9 des KVKK erforderlich, dass im Zielland ein angemessenes Schutzniveau gewährleistet ist. Der KVKS-Managementbeauftragte ist dafür zuständig, die Liste der sicheren Länder zu verfolgen und diese Informationen in die internen Prozesse von GİMAS zu integrieren.

Falls im Zielland kein angemessenes Schutzniveau besteht, ist die Auslandsübermittlung nur zulässig, wenn der empfangende Dritte im Zielland ausreichenden Datenschutz schriftlich zusichert und die Übermittlung vom Datenschutzrat genehmigt wird.

9. LÖSCHUNG, VERNICHTUNG UND ANONYMISIERUNG PERSONENBEZOGENER DATEN
Auch wenn personenbezogene Daten gemäß dem KVKK, anderen gesetzlichen Vorschriften und dieser Richtlinie verarbeitet wurden, müssen sie von GİMAS gelöscht, vernichtet oder anonymisiert werden, sobald die Gründe für ihre Verarbeitung entfallen oder auf Antrag der betroffenen Person.

GİMAS verpflichtet sich, die erforderlichen administrativen und technischen Strukturen zu schaffen, um sämtliche geltenden sowie künftig in Kraft tretenden gesetzlichen Vorschriften im Zusammenhang mit der Löschung, Vernichtung oder Anonymisierung personenbezogener Daten ordnungsgemäß umsetzen zu können.

10. VERPFLICHTUNGEN DES UNTERNEHMENS IN SEINER EIGENSCHAFT ALS DATENVERANTWORTLICHER

10.1. Informationspflicht

GİMAS ist verpflichtet, betroffene Personen bei der Erhebung personenbezogener Daten gemäß Artikel 10 des KVKK über folgende Punkte zu informieren:

  • Die Identität des Datenverantwortlichen und gegebenenfalls seines Vertreters,

  • Den Zweck der Verarbeitung personenbezogener Daten,

  • Die Empfänger und Zwecke, für die personenbezogene Daten übermittelt werden können,

  • Die Methode und die rechtliche Grundlage der Datenerhebung,

  • Die Rechte der betroffenen Person.

Um dieser Verpflichtung rechtskonform nachzukommen, wurden die Geschäftsprozesse und Datenerhebungskanäle von GİMAS überprüft, relevante Punkte klassifiziert und in das Verzeichnis aufgenommen. Darüber hinaus wurden geeignete Kommunikationskanäle eingerichtet, um betroffenen Personen die Wahrnehmung ihrer Rechte zu ermöglichen.

10.2. Verpflichtung zur Gewährleistung der Datensicherheit

10.2.1. Verpflichtung zur Verhinderung einer unrechtmäßigen Verarbeitung personenbezogener Daten

Zusätzlich zur Verarbeitung personenbezogener Daten in Übereinstimmung mit dem KVKK, anderen gesetzlichen Regelungen und dieser Richtlinie ist GİMAS verpflichtet, alle notwendigen technischen und organisatorischen Maßnahmen zu ergreifen, um eine rechtswidrige Verarbeitung personenbezogener Daten zu verhindern.

In diesem Zusammenhang hat GİMAS Systeme eingerichtet, um eine unrechtmäßige Datenverarbeitung zu verhindern, zuständiges Personal zugewiesen und interne Verfahren entwickelt. Die Systeme werden sowohl technisch als auch rechtlich aktualisiert und kontinuierlich überwacht.

10.2.1.2. Technische Maßnahmen zur rechtmäßigen Verarbeitung personenbezogener Daten

Es wurde ein „Verzeichnis der Verarbeitungstätigkeiten“ erstellt, das alle Verarbeitungsvorgänge von GİMAS abdeckt – von der Erhebung bis zur Löschung der Daten. Die notwendige administrative, technische und infrastrukturelle Umgebung wurde geschaffen. Für die Ausführung ist das KVKS-Team verantwortlich, die Koordination und Überwachung liegt beim KVKS-Vertreter.

10.2.2.2. Organisatorische Maßnahmen zur rechtmäßigen Verarbeitung personenbezogener Daten

GİMAS stellt sicher, dass alle Mitarbeitenden über das KVKK und die rechtmäßige Verarbeitung personenbezogener Daten informiert werden. Zu diesem Zweck werden diese Richtlinie und weitere Dokumente bereitgestellt. Schulungsmaßnahmen werden durchgeführt und deren Teilnahme dokumentiert.

In allen Verträgen mit Mitarbeitenden wird auf die Verpflichtung zur rechtskonformen Datenverarbeitung, die Geheimhaltungspflicht und das Verbot der unrechtmäßigen Nutzung personenbezogener Daten hingewiesen – auch über das Ende des Arbeitsverhältnisses hinaus. Verstöße können arbeitsrechtliche Konsequenzen bis hin zur Kündigung haben.

Zugriffe auf personenbezogene Daten werden gemäß dem Verzeichnis zweckgebunden eingeschränkt. Nicht alle Mitarbeitenden haben Zugriff auf alle Daten – Der Zugriff ist auf zuständige Mitarbeiter und Verarbeitungszweck beschränkt.

GİMAS hat die personenbezogene Datenverarbeitung in den Abteilungen analysiert, interne Regelwerke erstellt und wird diese regelmäßig aktualisieren. Änderungen treten mit Veröffentlichung automatisch in Kraft. Die Koordination liegt beim KVKS-Vertreter gemeinsam mit den Abteilungsleitern.

10.2.2. Verpflichtung zur Verhinderung eines unrechtmäßigen Zugriffs auf personenbezogene Daten

10.2.2.1. Technische Maßnahmen für rechtmäßigen Zugang und sichere Speicherung

a. GİMAS wird Sicherheitsmaßnahmen gemäß dem Stand der Technik umsetzen und regelmäßig aktualisieren. Penetrationstests und andere Prüfverfahren werden durchgeführt. Bei neuen technischen Anforderungen seitens der Datenschutzbehörde wird GİMAS entsprechende Anpassungen vornehmen.

b. Technische Zugriffskontrollen werden umgesetzt. Der Zugriff wird abteilungsbezogen beschränkt. Bei Einführung neuer Standards durch die Behörde wird GİMAS seine Infrastruktur entsprechend anpassen.

c. Getroffene Maßnahmen werden vom KVKS-Team regelmäßig überprüft und an den KVKS-Vertreter berichtet. Risiken werden neu bewertet und technische Lösungen angepasst.

d. GİMAS wird Antivirensoftware, Firewalls und sonstige Sicherheitsmechanismen einsetzen, um Systeme, auf denen personenbezogene Daten gespeichert sind, zu schützen.

e. IT-Personal mit technischem Know-how wird eingestellt. Zugriffsrechte auf Systeme werden kontrolliert, Accounts und Gerätezugänge eingeschränkt.

f. Auch für Backups und Notfallwiederherstellung werden Sicherheitsmaßnahmen getroffen. Mit externen Dienstleistern werden Datenschutzvereinbarungen abgeschlossen.

10.2.2.2. Organisatorische Maßnahmen für rechtmäßigen Zugang und sichere Speicherung

a. Schulungen für alle Mitarbeitenden zu technischen Schutzmaßnahmen werden durchgeführt.

b. Der Zugriff auf personenbezogene Daten wird zweckgebunden auf notwendige Mitarbeitende beschränkt.

c. In Verträgen wird die Verpflichtung zur rechtskonformen Verarbeitung und zur Vertraulichkeit personenbezogener Daten geregelt – auch nach Beendigung des Arbeitsverhältnisses.

d. Zugriffskontrollverfahren werden dokumentiert und allen Mitarbeitenden zur Verfügung gestellt.

e. Leistungsindikatoren und Zielvorgaben zur Vermeidung unrechtmäßiger Datenverarbeitung werden definiert.

10.2.3. Überwachung der Maßnahmen zum Schutz personenbezogener Daten

GİMAS hat interne Kontrollmechanismen zur Überprüfung der technischen und organisatorischen Maßnahmen etabliert. Die Ergebnisse werden an den KVKS-Vertreter gemeldet und zur kontinuierlichen Verbesserung genutzt.

Die Sensibilisierung von Mitarbeitenden, Geschäftspartnern und Lieferanten für den Datenschutz wird durch regelmäßige Berichte, Audits und Nachverfolgung der Ergebnisse gewährleistet.

GİMAS ist gemäß Artikel 12 des KVKK verpflichtet, sicherzustellen, dass auch Dritte, an die personenbezogene Daten übermittelt werden, die Datenschutzvorgaben einhalten. Entsprechende vertragliche Verpflichtungen und Kontrollrechte werden vereinbart. Alle Mitarbeitenden werden über diese Verantwortung informiert.

11. RECHTE DER BETROFFENEN PERSON

Gemäß Artikel 11 des türkischen Datenschutzgesetzes (KVKK) hat die betroffene Person gegenüber dem Datenverantwortlichen GİMAS folgende Rechte:

  • Zu erfahren, ob personenbezogene Daten verarbeitet werden, und falls ja, Auskunft darüber zu verlangen,

  • Den Zweck der Verarbeitung zu erfahren und zu prüfen, ob die Daten zweckgemäß verwendet werden,

  • Zu erfahren, an welche Dritten personenbezogene Daten übermittelt wurden,

  • Die Berichtigung unvollständiger oder fehlerhaft verarbeiteter Daten zu verlangen und – sofern die gesetzlichen Voraussetzungen erfüllt sind – die Löschung dieser Daten sowie die Benachrichtigung Dritter über diese Maßnahmen zu verlangen,

  • Der ausschließlichen Analyse der verarbeiteten Daten durch automatisierte Systeme zu widersprechen, sofern daraus ein Ergebnis zu ihrem Nachteil entsteht,

  • Schadensersatz zu verlangen, wenn durch eine unrechtmäßige Verarbeitung ein Schaden entstanden ist.

Wenn die betroffene Person eines oder mehrere dieser Rechte geltend machen möchte, kann sie ihren Antrag schriftlich oder auf andere von der Datenschutzbehörde (Kurul) festgelegte Weise an GİMAS richten. Gemäß Artikel 13 des KVKK wird GİMAS diesen Antrag je nach Art des Anliegens so schnell wie möglich und spätestens innerhalb von 30 Tagen kostenfrei beantworten. Falls durch die Bearbeitung des Antrags zusätzliche Kosten entstehen, kann eine Gebühr erhoben werden, die dem von der Behörde festgelegten Tarif entspricht. Wenn sich herausstellt, dass der Fehler auf Seiten von GİMAS liegt, wird die Gebühr zurückerstattet.

Bei der Bearbeitung eines Antrags wird GİMAS die betroffene Person in verständlicher Sprache und in einem geeigneten Format informieren und ihr die Informationen schriftlich oder elektronisch übermitteln. Je nach Art des Antrags kann GİMAS diesen akzeptieren oder unter Angabe von Gründen ablehnen. Wird der Antrag akzeptiert, wird GİMAS die erforderlichen Maßnahmen unverzüglich umsetzen.

Im Falle einer Ablehnung, einer unzureichenden Antwort oder einer nicht fristgerecht beantworteten Anfrage informiert GİMAS die betroffene Person über ihr Recht, innerhalb von 30 Tagen eine Beschwerde bei der Datenschutzbehörde einzureichen.

12. INKRAFTTRETEN UND AKTUALISIERUNGEN

Diese Richtlinie tritt mit dem Datum der Genehmigung durch die Geschäftsleitung von GİMAS in Kraft. Alle Änderungen an der Richtlinie sowie deren Inkraftsetzung werden vom Beauftragten für das Management des Datenschutzsystems (KVKS-Verantwortlichen) vorbereitet und treten nach Genehmigung durch den Geschäftsführer von GİMAS in Kraft.

Die Richtlinie wird in der Regel einmal jährlich überprüft und aktualisiert. Bei Änderungen der Rechtsvorschriften, Änderungen in den zitierten technischen Normen, Maßnahmen oder Entscheidungen des Ausschusses für den Schutz personenbezogener Daten (KVK-Kurul) oder gerichtlichen Entscheidungen behält sich GİMAS das Recht vor, diese Richtlinie zu überprüfen und sie bei Bedarf zu aktualisieren, zu ändern oder durch eine neue Richtlinie zu ersetzen.

Die Befugnis zur Aufhebung dieser Richtlinie liegt beim Verwaltungsrat von GİMAS.