Avrupa Bölgesel Gizlilik Politikası

Transkript

1 Avrupa Bölgesel Gizlilik Politikası Bu Avrupa Bölgesel Gizlilik Politikası ( Avrupa Bölgesel Politikası ) Gates Corporation Şirket Gizlilik Prensiplerine ( Şirket Prensipleri ) ek olarak sunulmakta ve Gates şirketinin Avrupa bölgesindeki ( Bölge ) operasyonları için ek politika ve prosedürleri belirlemektedir. A. Genel Bakış Bu Avrupa Bölgesel Politikası, Şirket Prensiplerini referans almaktadır. Bu belgede, Erembodegem, Belçika'da yer alan Gates Avrupa genel merkezi ("Avrupa Genel Merkezi") ve Bölgede faaliyet gösteren diğer Gates kurumları tarafından, Kişisel Bilgilerin toplanması, saklanması ve işlenmesi için geçerli ek politika ve prosedürler yer almaktadır. Bu Avrupa Bölgesel Gizlilik Politikası belgesinde kullanıldığı şekilde Kişisel Bilgiler terimi özel olarak AB'de ikamet eden kişilerin Kişisel Bilgileri anlamına gelmektedir. Bu Avrupa Bölgesel Politikasına ek olarak, Gates'in Avrupa'da faaliyet gösterdiği belli lokasyonlar için ( Lokasyon ) ilgili ülkeye has yerel gereksinimleri ortaya koyan Yerel Gizlilik Politikası Prosedürleri Eki olacaktır. Her bir Lokasyonda toplanan, saklanan veya işlenen Kişisel Bilgiler ilgili Lokasyon için Şirket Prensipleri, bu Avrupa Bölgesel Politikası ve Yerel Ekler ile idare edilecektir. B. Bölgesel ve Yerel Veri Gizliliği Yöneticileri 1. Bölgesel Veri Gizlilik Yöneticisi (VGY). Avrupa İK Yöneticisi bu bölge için Veri Gizlilik Yöneticisidir ( Bölgesel VGY ) ve bu Bölgedeki veri gizliliği konularında öncelikli irtibat kişisidir. Kendisi şirketin müşteri ilişkileri yönetimi, satın alma, pazarlama, satış ve BT gibi farklı alanlarında çalışan konunun uzmanı kişilerden yardım alarak Avrupa Bölgesel Politikasında belirtilen bölgesel prosedürlerin uygulanmasından ve yönetilmesinden sorumlu olacaktır. Bölgesel VGY ayrıca Yerel VGY'lerinin Yerel Ekleri uygulayıp uyumlu hareket etmesi ile ilgili yönlendirme ve destek sunmasından sorumlu olacaktır. 2. Yerel Veri Gizlilik Yöneticileri. Her bir Lokasyonda, Yerel Ekte yer alan gereksinimlerin uygulanıp yönetilmesinden sorumlu olan bir veri gizliliği yöneticisi ( Yerel VGY ) olacaktır. Yerel VGY'nin kim olduğu her durumda Yerel Ekte belirtilecektir. C. Kapsam Bu Avrupa Bölgesel Politikası, aşağıdaki kategorilere ayrılmıştır: 1. Çalışan Kişisel Bilgileri Politika ve Prosedürleri 2. Müşteri ve Pazarlama Kişisel Bilgileri Politika ve Prosedürleri 3. Tedarikçi Kişisel Bilgileri Politika ve Prosedürleri 4. Web Sitesi Politika ve Prosedürleri 5. CCTV Politika ve Prosedürleri 1

2 6. Genel Politika ve Prosedürler D. Veri Gizliliği Politika ve Prosedürleri 1. Çalışan Kişisel Bilgileri Politika ve Prosedürleri i. Kişisel Bilgilerin Toplanıp Kullanılması İle İlgili Sınırlamalar. Gates potansiyel, mevcut ve eski çalışanlara ait Kişisel Bilgilerin (Şirket Prensiplerinde tanımlandığı şekilde) toplanması ve kullanımını yasalara uygun şirket amaçları ile sınırlayacaktır. a. Çoğu durumda, potansiyel, mevcut ve eski çalışanlara ait Kişisel Bilgiler bu kişilere ait kişisel bilgiler (örn. ad, adres), kişiye ait özellikler (örn. doğum tarihi, medeni durum, dil, tabiiyet, üniforma veya koruyucu giysi bedeni ve işle ilgili diğer fiziksel veya kişisel özellikler), finansal veriler (örn. maaş ve banka hesap numarası) ve çalışma ile ilgili veriler (örn. iş geçmişi, eğitim, nitelik ve sertifikalar, ehliyet ve performans inceleme bilgileri) ile sınırlı olmalıdır. b. Yasalara uygun şirket amaçları işe alma ve İK yönetimi ve idaresi (örn. bordro, öğrenme yönetimi, performans yönetimi ve yan ödeme yönetimi) olarak sıralanabilir. Bilgi uyarısı. Gates, mevcut çalışanlar ve intranet üzerinden mevcut olan bağımsız yükleniciler ile ilgili işleme faaliyetleri hakkında ayrıntılı açıklamalarda bulunacaktır. Yeni çalışanlara bu bilgi Gates'te ilk işe başladıklarında verilecektir. Gates'in işe alım sürecinde kullanılan işleme faaliyetleri hakkında adaylara bilgi vermek için gerekli önlemler alınacaktır. i İzin. Gates, iznin gerekli olduğu ülkelerde yeni çalışanların iznini işe alım başlangıcında alacaktır. Bölgesel VGY, Yerel VGY'leri ile görüşerek her bir Lokasyonda yer alan Yerel Ekte beyan edilen gereksinimleri dikkate alarak uygun izin mekanizmalarını uygulayacaktır. iv. BT izleme. Gates, Gates personelinin BT telekom kullanımını (telefon, İnternet ve e- posta dahil) yasalara uygun şirket amaçları ile sınırlayacaktır. Gates, tüm çalışanlara BT izleme faaliyetlerinin amaçları ve nasıl yapıldığı hakkında bilgi verecektir. Bölgesel VGY, Yerel VGY'leri ile görüşerek her bir Lokasyonda yer alan Yerel Ekte beyan edilen gereksinimleri dikkate alarak uygun prosedürleri uygulayacaktır. 2. Müşteri ve Pazarlama ve Kişisel Bilgiler Politika ve Prosedürleri i. Kişisel Bilgilerin Toplanıp Kullanılması İle İlgili Sınırlamalar. Gates müşteriler ve potansiyel müşteriler ve diğer bireylere ait Kişisel Bilgilerin (Şirket Prensiplerinde tanımlandığı şekilde) toplanması ve kullanımını yasalara uygun şirket amaçları ile sınırlayacaktır. 2

3 a. Çoğu durumda, Gates çalışanı veya yüklenicisi olmayan bir kişi hakkında toplanan Kişisel Bilgiler bu kişinin adı ile unvanı (veya uzmanlığı), şirketi, dili, e- posta adresi, telefon numarası ve posta adresi gibi şirket iletişim ayrıntıları ile sınırlı olmalıdır. b. Yasalara uygun şirket amaçları, ticari fırsatlar için müşterilerin mevcut, eski ve potansiyel müşterileri ile iletişim kurmayı içerir. i Bilgi uyarısı. Gates, kendi standart Satış Kayıt ve Şartlarına ve web sitesi gizlilik politikasına uygun maddeleri dahil ederek müşterilerine ve potansiyel müşterilere Kişisel Bilgileri işleme faaliyetlerini bildirecektir. Doğrudan Pazarlama. a. Gates, pazarlama amacıyla veri sahiplerine ait Kişisel Bilgilerin toplanmasını ve kullanımını bu kişilerin adı ve iş iletişim bilgileri ve unvanı (veya uzmanlığı), şirket, dil, e-posta adresi, telefon numarası ve posta adresi ile sınırlamak için makul çaba ortaya koyacaktır. b. Üçüncü taraflardan satın alınan Kişisel Bilgilerin Gates'in pazarlama faaliyetlerinde kullanılması halinde, bu Kişisel Bilgiler bu verilerin kullanım amacına göre yasal olarak toplanmış olmalıdır. Bölgesel VGY, üçüncü taraflarca bu hususta uygun garantilerin verilip verilmediğini belirlemek için, Gates'in iş ekiplerine danışacaktır. c. Gates'in politikası şöyle olacaktır: - Doğrudan pazarlama amacı için Kişisel Bilgileri kullanmak için önceden izin almak; - Pazarlama amacıyla iletişim kurulan kişilere Gates'in Kişisel Bilgileri doğrudan pazarlama amacıyla kullandığı bilgisini vermek; - Alıcılara iletişim kurulduğunda bundan vazgeçme seçeneği sunmak; ve - Almak istemeyen kişilere pazarlama yazıları göndermemek. 3

4 3. Tedarikçi Kişisel Bilgileri Politika ve Prosedürleri i. Kişisel Bilgilerin Toplanıp Kullanılması İle İlgili Sınırlamalar. Gates, tedarikçiler ve diğer bireylere ait Kişisel Bilgilerin (Şirket Prensiplerinde tanımlandığı şekilde) toplanması ve kullanımını yasalara uygun şirket amaçları ile sınırlayacaktır. a. Çoğu durumda, Gates çalışanı veya yüklenicisi olmayan bir kişi hakkında toplanan Kişisel Bilgiler bu kişinin adı ile unvanı (veya uzmanlığı), şirketi, dili, e- posta adresi, telefon numarası ve posta adresi gibi şirket iletişim ayrıntıları ile sınırlı olmalıdır. b. Yasalara uygun şirket amaçları, Gates ile ticari fırsatlar için mevcut, eski ve potansiyel tedarikçi ve hizmet sağlayıcılar ile iletişim kurmayı içerir. Bilgi uyarısı. Gates, kendi standart Hizmet Sözleşmelerine ve Satın Alma Emri Kayıt ve Şartlarına uygun maddeleri dahil ederek mevcut, eski ve potansiyel tedarikçi ve hizmet sağlayıcılarına Kişisel Bilgileri işleme faaliyetlerini bildirmek için makul çabayı ortaya koyacaktır. 4. Web Sitesi Politika ve Prosedürleri i. Kişisel Bilgilerin Toplanıp Kullanılması İle İlgili Sınırlamalar. Gates, Kişisel Bilgilerin (Şirket Prensiplerinde tanımlandığı şekilde) toplanmasını yasalara uygun şirket amaçları ile sınırlayacaktır. a. Çoğu durumda, web sitesi ziyaretçileri hakkında toplanan Kişisel Bilgiler ziyaretçi tarafından sunulan iletişim bilgileri ve ziyaretçinin web sitesini kullanımı ve gezinmesi ile ilgili bilgiler ile sınırlı olmalıdır. b. Yasalara uygun şirket amaçları, web sitesi ziyaretçileri ile talep etmeleri ya da iş fırsatları hakkında izin vermeleri üzerine iletişim kurmayı ve web sitesinin çalışması ile kullanımını geliştirmek amacıyla bilgileri kullanmayı içerir. Web Sitesi Gizlilik Politikaları. Gates, AB'de yerleşik kullanıcılara yönelik olarak web sitesi ziyaretçilerine Kişisel Bilgilerinin Gates web sitelerinde toplanması, kullanımı ve işlenmesi hakkında bu web sitelerinde yayınlanacak yazılı web sitesi veri gizlilik politikaları yoluyla bildirimde bulunacaktır. i Çerezler. AB yasalarına göre belli çerez türlerinin kullanılması için izin alınması gerekmektedir. AB'de ikamet eden kullanıcılara hitap eden Gates web siteleri Belçika'nın Brüksel bölgesinden hizmet sunmaktadır. Gates, kullanıcıları çerez kullanımı hakkında bilgilendirmek için açılır pencereler, web sitesi gizlilik politikaları ve diğer standart bildirim yöntemlerini kullanacaktır. Gates Genel Merkezi dışında 4

5 başka bir Lokasyonda hizmet veren herhangi bir Gates web sitesindeki değişiklikler veya belli gereksinimler bu Lokasyon için Yerel Ek'te belirtilecektir. 5. CCTV Politika ve Prosedürleri i. Kişisel Bilgilerin Toplanıp Kullanılması İle İlgili Sınırlamalar. Gözetleme kameraları veya kapalı devre televizyondan (CCTV) alınan videolar çalışanların, ziyaretçilerin ve şirket malının güvenliği gibi yasalara uygun şirket amaçları için kullanılmalıdır. Video izleme kullanımı, veri sahiplerinin menfaatine göre makul düzeyde dengelenecektir. Bildirim. Video gözetlemenin faal olduğu yerlerdeki kişileri uyarmak ve izleme işlemini gerçekleştiren kişinin adını bildirmek için tabelalar asılmalıdır. i Yerel gereksinimler. Bölgesel VGY, Yerel VGY'ler ile görüşerek CCTV ve video gözetimi kullanımı için yerel yasaların gerektirdiği yerel veri koruma makamlarına bildirimde bulunma gereksinimi gibi diğer prosedürleri uygulayacaktır. Bu ek prosedürler eğer varsa her Lokasyon için Yerel Ek'te daha da belirtilebilir. 6. Tüm Kişisel Bilgiler İçin Geçerli Genel Politika ve Prosedürler. i. Bilgi Güvenliği. Gates gerekli teknik ve organizasyonel önlemleri alarak Kişisel Bilgilere fiziksel ve teknik erişimi Gates çalışanları ve erişim için yasalara uygun olarak gereksinim duyan diğer yetkili kişiler ile sınırlayacaktır. Bu önlemler, verilerin yetkisiz veya yasalara aykırı bir şekilde işlenmesi veya yanlışlıkla kaybolması, bunların zarar veya hasar görmesi nedeniyle ortaya çıkabilecek ve verilerin yapısı ile bağlantılı olarak, zarara göre uygun güvenlik düzeyini değerlendirdikten sonra uygulanacaktır. a. Bilgisayar, cep telefonları veya diğer aygıt ve bilgisayar sistemlerinde saklanan Kişisel Bilgilere (üçüncü taraf yazılım sistemleri tarafından sunulan Kişisel Bilgiler dahil) erişim parola korumalı olmalı ve sadece yetkili şahıslar tarafından erişilmelidir. Parolalar kimse ile paylaşılmamalıdır. b. Kişisel Bilgileri içeren basılı dosyalar, erişimin sadece haklı sebeplerle erişen yetkili kişilerle sınırlı olduğu güvenli bir yerde saklanmalıdır. c. Bölgesel VGY, Gates BT ekipleri ile görüşerek Kişisel Bilgilerin yanlışlıkla veya yasalara aykırı bir şekilde imha edilmesine veya yanlışlıkla kaybedilmesine, değiştirilmesine, yetkisiz bir şekilde ifşa edilip erişilmesine karşı uygun koruma düzeyi sağlayacak uygun teknik önlemleri uygulayacaktır. Kişisel Bilgileri Güncelleme veya Silme Talebi. Yerel VGY, veri sahipleri tarafından kişisel bilgileri gözden geçirmek, güncellemek veya silmek amacıyla Kişisel Bilgilere erişim taleplerine makul bir sürede yanıt verecek ve bu talepleri Gates Hukuk 5

6 Departmanı tarafından sunulan yönergelere tabi olarak gözden geçirip izin verecektir. i iv. Kişisel Bilgileri Saklama ve Silme. Kişisel Bilgileri içeren kayıtlar, Gates'in belge saklama politikalarına uygun olarak çeşitli zamanlarda saklanıp silinecektir. Belli saklama koşulları Yerel Ek'te belirtilebilecektir. Üçüncü Taraf Hizmet Sağlayıcılarını Kullanma. Gates'in, kendi adına Kişisel Bilgileri işlemek üzere üçüncü taraflarla sözleşme akdetmesi halinde, Gates makul çaba ortaya koyarak bu üçüncü taraf hizmet sağlayıcılarının Kişisel Bilgileri sadece Gates'e hizmet sağlamak amacıyla işleyeceğini ve Kişisel Bilgilerin yetkisiz bir şekilde ifşa edilmesini önlemek amacıyla sektör standardı güvenlik önlemlerini kullanacağını bu sözleşmede şart koşacaktır. Gates, ayrıca hizmet sağlayıcılarından yürürlükteki veri gizlilik yasalarına uymasını sözleşmede şart koşacaktır. Hizmet sağlayıcılarının AB dışında ikamet etmesi veya AB'de ikamet eden kullanıcıların Kişisel Bilgilerini AB dışında işlemesi halinde, bu durumda Gates ABD'de yaşayan hizmet sağlayıcılarının Safe Harbor sertifikasına sahip olduklarını ve/veya bu Kişisel Bilgilerin AB dışına aktarımını Model Clauses aktarım sözleşmeleri ile devreye sokmak için uygun sözleşmesel ve operasyonel önlemler aldıklarını teyit edecektir. AB'de ikamet eden çalışanların bilgilerinin AB dışında işlenmesi gibi durumlarda, Gates çalışanlardan bu aktarıma yasal dayanak tesis etmesi için onay isteyebilir. v. Kişisel Bilgilerin grup içinde aktarımı. Bölgede Gates iştirakleri arasında Kişisel Bilgilerin aktarımı, bu Kişisel Bilgilerin işlenmesini idare eden şirket içi sözleşmelere tabidir. Gates, AB dışında yer alan iştirakleri ile Model Clauses anlaşması akdetmiştir. Bu anlaşmada AB dışında yer alan ve ortak veri kontrolörleri olarak hareket eden Gates kurumları tarafından AB'de ikamet eden kişilerin Kişisel Bilgilerinin işlenmesi ele alınmaktadır. Bölgesel VGY, Gates Hukuk Departmanı ile birlikte çalışarak, AB'de ikamet eden kişilerin Kişisel Bilgilerinin AET dışına çıkarıldığı her durumda uygun sözleşmesel ve operasyonel önlemler belirleyecektir. 6