Veri Koruma Aydınlatma Metni İhbar
1. Genel Bilgiler
a) GirişVerilerin korunmasına ilişkin aşağıda yer alan aydınlatma metinleri; ihbar (whistleblowing) kanallarımızın kullanımı ile bağlantılı olarak kişisel verilerinizin işlenmesi süreci ve söz konusu veri işleme bakımından Genel Veri Koruma Tüzüğü (General Data Protection Regulation, "GDPR") ve yürürlükte bulunan benzer veri koruma yasaları kapsamında sahip olduğunuz haklar konusunda sizleri bilgilendirmek amacıyla hazırlanmıştır.
b) Veri Sorumlusuİhbar kanallarımız dahilinde yürütülen veri işleme süreçlerine yönelik veri koruma sorumluluğu açısından aşağıdaki şekilde bir ayrımın yapılması gerekmektedir:
Bir grup şirketine ait olan ve o şirketin kendi çalışanlarından birinin sorumlu olduğu yerel bir ihbar kanalı (iletişim bilgileri) bakımından, ilgili grup şirketi GDPR Madde 26 kapsamında METRO AG ile müşterek sorumluluk taşır.
Bir grup şirketine ait olan ve başka bir şirketin ("Yardımcı Şirket") bir çalışanının sorumlu olduğu yerel bir ihbar kanalı (iletişim bilgileri) söz konusu olduğunda ise, ilgili grup şirketi GDPR Madde 26 kapsamında METRO AG ve Yardımcı Şirket ile birlikte müştereken sorumlu olur.
Merkezi çevrimiçi ihbar sistemi ("İhbar Sistemi") bakımından, yapılan ihbarın ilgili olduğu etkilenen grup şirketi, GDPR Madde 26 kapsamında METRO AG ile müştereken sorumludur.
METRO AG, İhbar Sisteminin işleyişinden ve bu sistem aracılığıyla alınan ihbarların ilgili grup şirketlerine yöneltilmesinden sorumludur. METRO AG'de bulunan Kurumsal Uyum Departmanı, genel olarak grup bünyesindeki tüm ihbarcı ihbarlarının yönetiminden ve takibinden sorumludur. METRO AG'nin sorumluluğu, ilgili ihbardan başka bir işlevi dahilinde etkilenmediği sürece, yerel ihbar kanalları üzerinden alınan ihbarlar bakımından bununla sınırlıdır.
Yardımcı Şirket, ilgili grup şirketi bakımından kurum içi ihbar kanalının işlevlerini yerine getirir ve bu bağlamda yürütülen veri işleme faaliyetlerinden sorumludur. Kural olarak, Yardımcı Şirket METRO AG'dir.
İlgili ihbardan etkilenen grup şirketi, bu tür ihbarların idaresi ve işleme alınmasından sorumludur. Bu sorumluluk bilhassa, bir ihlalin giderilmesine yönelik tedbirleri ve ihbarda bulunan kişiye geri bildirimde bulunma yükümlülüğünü kapsar.
METRO AG'nin iletişim adresi Metro-Straße 1, 40235 Düsseldorf'tur. İlgili grup şirketlerinin iletişim adreslerine, ilgili yerel ihbar kanalının yayınlandığı internet sitelerinde yer alan veri koruma aydınlatma metinlerinden erişilebilir.
METRO kuruluşları arasındaki müşterek sorumluluğa ilişkin ilişkin genel hususlara, şu bağlantıdan ulaşılabilir:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Veri Koruma Sorumlusu Aşağıda bulunan iletişim bilgileri üzerinden dilediğiniz zaman ilgili veri koruma sorumlularıyla iletişime geçebilirsiniz:
METRO AG, Veri Koruma Sorumlusu, Metro-Straße 1, 40235 Düsseldorf, E-posta: datenschutz@metro.de
İlgili grup şirketlerinin veri koruma sorumlularının iletişim adreslerine, ilgili yerel ihbar kanalının yayınlandığı internet sitelerinde yer alan veri koruma aydınlatma metinlerinden erişilebilir.
2. Kişisel Verilerin İşlenmesine İlişkin Bilgiler
a) Amaç ve Hukuki Dayanakİhbar kanalları; METRO Şirketler Grubu'nun (METRO) uyum kurallarının ihlaline ilişkin ihbarların güvenli ve gizli bir şekilde ele alınması, işleme alınması ve idare edilmesi amacına hizmet etmektedir.
Bir grup şirketinin yasal olarak bir ihbar kanalı bulundurmakla yükümlü olması halinde, ihbarın alınmasıyla elde edilen kişisel verilerin işlenmesinin hukuki dayanağı, GDPR Madde 6(1)(1)(c) hükmüdür. Özel nitelikli kişisel verilerin işlendiği hallerde ise ilave olarak, GDPR Madde 9(2)(g) veya özel nitelikli kişisel verilere yönelik yürürlükte bulunan ulusal hukuki dayanaklar da hukuki dayanak teşkil eder. Diğer durumlar bakımından veri işleme faaliyetinin dayanağı, uygunsuz davranışları tespit edilmesi ve önlenmesi ve böylelikle METRO, çalışanları ve müşterilerinin zarar görmesinin önüne geçilmesi bakımından grup şirketlerinin meşru menfaatidir. Bu işleme faaliyetinin yasal dayanağı, GDPR Madde 6(1)(1)(f) hükmüdür. Veri işlemenin rızaya dayalı olduğu durumlarda, bilhassa kimlik bilgilerinin aktarılması söz konusu olduğunda, hukuki dayanak GDPR Madde (6)(1)(1)(a) hükmü; özel nitelikli kişisel veriler bakımından ise GDPR Madde (9)(2)(a) ve (g) hükmüdür.
Farklı grup şirketleri için hizmet veya işçi-işveren ilişkilerinin yürütülmesi veya sona erdirilmesi bakımından müteakip tedbirlerin alınması gerekebilir ve bu tedbirlerin hukuki dayanağı GDPR Madde (6)(1)(1)(b) hükmü veya ilgili ulusal hukuki dayanaklardır.
b) Toplanan Kişisel Verilerin Niteliğiİhbar kanalları, gönüllülük esasıyla kullanılır. İhbar kanalları üzerinden bir ihbarda bulunmanız halinde tarafımızca, aşağıdaki kişisel veri ve bilgiler toplanır:
- kimliğinizi açıklamayı tercih etmeniz halinde isminiz,
- METRO çalışanı olup olmadığınız, ve
- ihbarınızda ismini verdiğiniz kişilerin isimleri ve diğer kişisel verileri.
c) İhbarların ve İhbarları Alanların Gizli TutulmasıGelen ihbarlar, METRO Uyum Departmanının açıkça yetkilendirilmiş ve özel olarak eğitilmiş az sayıda çalışanına iletilir ve bu ihbarlar daima gizlilik içerisinde ele alınır. METRO'nun Uyum Departmanının çalışanları ilgili meseleyi değerlendirir ve duruma özel gerekli olan her türlü ilave incelemeyi gerçekleştirir. Bir ihbarın işleme alınması veya özel bir incelemenin yürütülmesi esnasında, örneğin ihbarlarda başka grup şirketlerinde gerçekleşen olaylara atıfta bulunulması halinde, ihbarların METRO'nun diğer çalışanlarıyla veya diğer grup şirketlerinin çalışanlarıyla paylaşılması gerekebilir. Söz konusu diğer grup şirketleri, Avrupa Birliği veya Avrupa Ekonomik Alanı dışında olan ve kişisel verilerin korunmasına ilişkin farklı düzenlemeler uygulayan ülkelerde yerleşik olabilir. İhbarların paylaşılmasında daima geçerli veri koruma düzenlemelerine uygun hareket edilmesi tarafımızca temin edilir. Verilere erişimi olan tüm kişiler, gizliliği muhafaza etmekle yükümlüdür.
Temel bir ilke olarak, ihbarlarla ilgili incelemelerin sürdürülmesi bakımından bir tehlike teşkil etmediği müddetçe, itham edilen kişileri, haklarında bir ihbarın alındığı konusunda bilgilendirme yükümlülüğü taşımaktayız. Bu süreçte ihbarcı olarak kim olduğunuz, yasaların izin verdiği ölçüde ifşa edilmeyecektir.
Rızanızın varlığı halinde, ihbarlardan elde edilen bilgiler kurum dışı taraflara aktarılacaktır; rızanızın bulunmaması halinde ise söz konusu bilgiler yalnızca, yasaların izin verdiği ölçüde, ilgili soruşturma ve kovuşturma makamlarına veya bu bağlamda mahkemelere ve mesleki yasalar kapsamında gizlilik yükümlülüğü taşıyan danışmanlara aktarılacaktır.
d) Saklama Kişisel veriler, durumun açıklığa kavuşturulması ve ihbarı değerlendirilmesi bakımından gerekli olduğu veya şirketin meşru menfaatinin bulunduğu veya yasaların gerektirdiği süre boyunca saklanır. Kural olarak veriler, durum üzerinde yapılan nihai değerlendirmeden sonra üç yıla kadar bir süreyle saklanır. Özel ihtiyaçların söz konusu olması halinde ise münferit durumlarda bu süre yedi yıla kadar uzayabilir.
e) İhbar Sisteminde Veri Güvenliği Bilgisayarınız ile İhbar Sistemi arasındaki iletişim, şifreli bir bağlantı (SSL) üzerinden gerçekleşir. İhbar Sistemini kullandığınız esnada IP adresiniz saklanmaz. Bilgisayarınız ve İhbar Sistemi arasındaki bağlantıyı sürdürmek için, bilgisayarınızda yalnızca oturum kimliğinin bulunduğu (boş çerez olarak adlandırılan) bir çerez saklanır. Bu çerez yalnızca oturumunuz sona erinceye kadar geçerlidir ve tarayıcınızı kapattığınızda sona erer. İhbar Sistemi dahilinde, bireysel olarak seçilen bir takma ad / kullanıcı adı ve şifre ile güvenliği sağlanan bir posta kutusu oluşturulabilir. Bu şekilde ihbarları, METRO'daki sorumlu çalışana isminizle veya anonim olarak, güvenli bir şekilde gönderebilirsiniz. Bu sistem, verileri yalnızca İhbar Sistemi içerisinde depolar. Sistemi güvenli hale getiren de bilhassa bu özelliktir. Bu sistem, düzenli e-posta iletişimi biçiminde değildir.
METRO'nun sorumlu çalışanına bir ihbar veya ek bilgi iletirken, eş zamanlı olarak ekler de gönderebilirsiniz. Anonim bir ihbarda bulunmak isterseniz, şu güvenlik tavsiyelerini dikkate almanızda fayda olacaktır: Dosyalar, ihbarınızın anonim niteliğini tehlikeye atabilecek gizli kişisel veriler içerebilir. İhbarı göndermeden önce söz konusu verileri kaldırın. Bu verileri kaldıramıyorsanız veya nasıl kaldıracağınızdan emin değilseniz, göndereceğiniz ekte yer alan metni ihbar metnine kopyalayın veya basılı belgeyi, altbilgide belirtilen adrese, ihbar sürecinin sonunda alınan referans numarasını da belirterek anonim şekilde gönderin.
İhbar Sistemi, METRO adına, alanında uzman bir şirket olan ve Bayreuther Str. 35, 10789 Berlin, Almanya adresinde bulunan Business Keeper AG tarafından işletilmektedir. İhbar Sistemine girilen kişisel veriler ve bilgiler, Business Keeper AG'nin yüksek güvenlikli bir veri merkezinde işletmekte olduğu bir veri tabanında saklanır. Verilere yalnızca METRO'nun erişimi vardır. Business Keeper AG ve başka üçüncü tarafların söz konusu verilere erişimi bulunmamaktadır. Bu erişim kısıtlaması, onaylı bir prosedür dahilinde kapsamlı teknik ve idari tedbirler yoluyla sağlanır. Tüm veriler, erişimin METRO bünyesinde açıkça yetkilendirilmiş çok az sayıda kişiyle sınırlandırılması adına çoklu şifre koruma seviyeleriyle şifrelenmiş şekilde saklanır.
3. Haklarınız
İlgili kişi (veri sahibi) sıfatıyla GDPR kapsamında sahip olduğunuz hakları kullanmak için, yukarıda 1. c) bölümünde belirtilen iletişim bilgileri üzerinden resmi olmayan bir bildirimde bulunmak suretiyle dilediğiniz zaman veri koruma sorumlumuzla iletişime geçebilirsiniz. Söz konusu haklar aşağıdaki şekildedir:
- Veri işleme hakkında bilgi alma ve işlenen verilerin bir kopyasını alma hakkı (Erişim hakkı, GDPR Madde 15),
- Hatalı verilerin düzeltilmesini veya eksik bilgilerin tamamlanmasını talep etme hakkı (Düzelttirme hakkı, GDPR Madde 16),
- Kişisel verilerin silinmesini ve kişisel verilerin alenileştirilmiş olması halinde, silme talebi konusunda diğer sorumluların bilgilendirilmesini talep etme hakkı (Sildirme hakkı, GDPR Madde 17),
- Veri işleme faaliyetinin kısıtlanmasını talep etme hakkı (İşleme faaliyetini kısıtlanması hakkı, GDPR Madde 18),
- İlgili kişiye ilişkin kişisel verileri yapılandırılmış, yaygın kullanılan ve makinece okunabilir bir formatta alma ve bu verilerin başka bir veri sorumlusuna iletilmesini talep etme hakkı (Veri taşınırlığı hakkı, GDPR Madde 20),
- Veri işleme faaliyetini durdurmak amacıyla veri işleme faaliyetine itiraz etme hakkı (İtiraz hakkı, GDPR Madde 21),
- Rızanıza dayalı veri işleme faaliyetini durdurmak için verilmiş rızayı herhangi bir zamanda geri çekme hakkı. Rızanın geri çekilmesi, bu geri çekme işlemi öncesinde rızaya dayalı gerçekleştirilmiş işleme faaliyetinin yasal niteliği üzerinde bir etki oluşturmayacaktır (Rızayı geri çekme hakkı, GDPR Madde 7),
- Veri işleme faaliyetinin GDPR hükümlerini ihlal ettiğini düşünmeniz halinde düzenleyici makama şikayette bulunma hakkı (Düzenleyici makama şikayette bulunma hakkı, GDPR Madde 77).
Kişisel verilerinizin GDPR Madde 6(1)(1)(f) kapsamında meşru menfaatlere dayalı olarak işlenmesi halinde, GDPR Madde 21 uyarınca kişisel verilerinizin işlenmesine itiraz etme hakkınız bulunmaktadır, ancak bu tür bir itirazda bulunabilmeniz için, içinde bulunduğunuz özel durumdan kaynaklanan sebeplerin mevcut olması gerekir. İtiraz hakkınızı kullanmak istemeniz halinde, 1. c) bölümünde belirtilen iletişim bilgileri üzerinden bir e-posta göndermeniz yeterlidir.