Veri gizliliği politikası

Bu doküman Tubitex tarafından veri işlemeye ilişkin bilgileri ve veri işlemede uygulanan genel politikayı içermektedir.

1. 2016/679 sayılı Avrupa Tüzüğü’nün (GDPR) 13. Maddesi uyarınca bilgilendirme ve onay talebi

GDPR’nin 13. Maddesi uyarınca, arşivlerimizdeki verilerin Veri Kontrolörü Tubitex S.p.A. tarafından işleneceğini size bildiririz.
Veri işleyenlerin güncel listesi Veri Kontrolöründen temin edilebilir. Veriler, iş ilişkisinin ve vergi düzenlemelerinden kaynaklanan yükümlülüklerin yönetilmesi amacıyla elektronik ve/veya otomatik araçlar kullanılarak işlenecektir. Yukarıdaki amaçlar için yetkilendirmeler zorunludur, bu tür bir işleme olmadan talep edilen faaliyetlerin gerçekleştirilmesi mümkün değildir. Verileriniz, yukarıda açıklanan amaçların gerçekleştirilmesi için işlevsel olan konulara iletilebilir. İşlemenin yasal dayanağı, yasal yükümlülüklerin yönetimi ve iş ilişkisinin yürütülmesi ile bağlantılıdır. Verilerinizin iptali veya kullanımına itiraz da dahil olmak üzere GDPR’nin 15 – 22. maddeleri kapsamındaki haklarınızı istediğiniz zaman iletişime geçerek kullanabilirsiniz: Viale del Lavoro 31, 36048 Barbarano Mossano (VI) adresinde kayıtlı ofisi bulunan Tubitex S.p.A. ile privacy@tubitex.com posta kutusu aracılığıyla. Veriler, yasal yükümlülükler tarafından öngörülen süreler boyunca veya meşru bir iptal talebine kadar arşivlerimizde saklanacaktır. İşleme ile ilgili şikayetler yetkili Makama yapılabilir: Garante sulla Protezione dei Dati personali, Piazza di Monte Citorio n. 121 00186 ROMA, Faks: (+39) 06.69677.3785, Telefon santrali: (+39) 06.696771, E-posta: garante@gpdp.it.

2. Politikanın amacı

Tubitex S.p.A., bundan böyle “Şirket” olarak anılacaktır, faaliyet gösterdiği ülkelerde kişisel verilerin korunmasına ilişkin yürürlükteki yasa ve yönetmeliklere uymayı taahhüt eder. Bu prosedür, Şirketin müşterilerin, tedarikçilerin, iş ortaklarının, çalışanların ve diğer bireylerin kişisel verilerini hangi temel ilkelere göre işlediğini tanımlar ve kişisel verilerin işlenmesinde departmanlarının ve çalışanlarının sorumluluklarını belirtir.

3. Normatif referanslar

GDPR 2016/679 (Kişisel verilerin işlenmesine ilişkin olarak bireylerin korunması ve bu tür verilerin serbest dolaşımına ilişkin ve 95/46/EC sayılı Direktifi yürürlükten kaldıran 27 Nisan 2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü) Tüzüğün uygulanmasıyla ilgili ulusal yasa veya yönetmelikler

4. Tanımlar

Bu belgede kullanılan tanımlar Avrupa Tüzüğü’nün 4. Maddesinden alınmıştır: “kişisel veri” tanımlanmış veya tanımlanabilir bir gerçek kişiye (“veri sahibi”) ilişkin her türlü bilgi anlamına gelir; tanımlanabilir kişi, özellikle bir isim, kimlik numarası, konum verileri, çevrimiçi bir tanımlayıcı gibi bir tanımlayıcıya veya fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen kişidir; Hassas veri Doğası gereği temel hak ve özgürlükler bakımından özellikle hassas olan ve işlenmeleri bağlamında temel hak ve özgürlükler bakımından önemli riskler yaratabilecek olmaları nedeniyle özel olarak korunmayı hak eden kişisel veriler. Bu kişisel veriler ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar, sendika üyeliği, genetik veriler, gerçek bir kişiyi benzersiz bir şekilde tanımlayan biyometrik veriler, sağlıkla ilgili veriler veya bir kişinin cinsel yönelimiyle ilgili verileri ortaya koyan kişisel verileri içerir. Veri kontrolörü: kişisel verilerin işlenme amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, hizmet veya diğer organ; Veri işleyen: veri kontrolörü adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu otoritesi, hizmet veya diğer organ; İşleme Toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanma, iletim yoluyla ifşa etme, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya imha gibi otomatik yollarla olsun veya olmasın kişisel veriler veya kişisel veri kümeleri üzerinde gerçekleştirilen her türlü işlem veya işlemler dizisi; Anonim hale getirme: Kişisel verilerin, kişinin teknoloji ile tespit edilemeyeceği şekilde ve makul bir süre ve maliyet içerisinde veri sorumlusu veya başka bir kişi tarafından geri döndürülemeyecek şekilde kimliksizleştirilmesi. Kişisel veri işleme ilkeleri anonim veriler için geçerli değildir çünkü bunlar kişisel veri olarak kabul edilmez. Takma ad verme: kişisel verilerin, söz konusu ek bilgilerin ayrı olarak saklanması ve söz konusu kişisel verilerin tanımlanmış veya tanımlanabilir bir gerçek kişiye atfedilmemesini sağlamak için teknik ve kurumsal tedbirlere tabi olması koşuluyla, ek bilgiler kullanılmadan belirli bir veri sahibiyle ilişkilendirilemeyecek şekilde işlenmesi; takma ad verme, kişisel verilerin bir veri sahibiyle ilişkilendirilmesi olasılığını azaltır, ancak tamamen ortadan kaldırmaz. Takma adlandırma sürecinden geçen verilerin hala kişisel veri olduğu göz önünde bulundurulduğunda, bu süreç kişisel veri işleme ilkelerine uygun olmalıdır.

Sınır ötesi işleme: kontrolör veya işleyicinin birden fazla üye devlette yerleşik olduğu Birlik içerisindeki bir kontrolör veya işleyicinin birden fazla üye devletteki kuruluşlarının faaliyetleri bağlamında gerçekleşen kişisel verilerin işlenmesi; veya Birlik içerisindeki bir kontrolör veya işleyicinin tek bir kuruluşunun faaliyetleri bağlamında gerçekleşen ancak birden fazla üye devletteki veri sahiplerini önemli ölçüde etkileyen veya etkilemesi muhtemel olan kişisel verilerin işlenmesi; Denetim makamı bir üye devlet tarafından 51. madde uyarınca kurulan bağımsız kamu makamı; Birincil denetim makamı: bir veri sahibinin kişisel verilerinin işlenmesine ilişkin şikayette bulunması gibi sınır ötesi bir veri işleme faaliyeti ile ilgilenmekten birincil derecede sorumlu olan denetim makamı; diğerlerinin yanı sıra, veri ihlali bildirimlerini almaktan, riskli veri işleme faaliyetleri hakkında bilgilendirilmekten sorumludur ve GDPR hükümlerine uygunluğun sağlanmasına yönelik yükümlülükleri konusunda tam yetkiye sahip olacaktır; Her bir ‘yerel denetim makamı’ kendi bölgesinde faaliyetlerini sürdürmeye devam edecek ve veri sahiplerini etkileyen ya da AB veya AB dışı bir veri kontrolörü veya işleyicisi tarafından gerçekleştirilen ve kendi bölgesinde ikamet eden veri sahiplerini hedef alan her türlü yerel veri işleme faaliyetini izleyecektir. Görev ve yetkileri arasında soruşturmaların yürütülmesi ve idari tedbir ve yaptırımların uygulanması, kişisel verilerin işlenmesine ilişkin riskler, kurallar, güvenlik ve haklar konusunda genel düzeyde farkındalığın teşvik edilmesi ve veri işleme araç ve gereçleri de dahil olmak üzere kontrolör ve işleyicinin tüm tesislerine erişim yer alır. Asıl kuruluş: birden fazla üye devlette kuruluşları bulunan bir kontrolör ile ilgili olarak, kişisel verilerin işlenme amaçları ve araçlarına ilişkin kararların kontrolörün Birlik içerisindeki başka bir kuruluşunda alınması ve söz konusu kuruluşun bu kararların uygulanmasını emretme yetkisine sahip olması haricinde, Birlik içerisindeki merkezi idare yeri; bu durumda, söz konusu kararları alan kuruluş asıl kuruluş olarak kabul edilir; Asıl kuruluş Birden fazla üye devlette işletmesi bulunan bir kontrolöre atıfta bulunulması halinde, Birlik içerisindeki merkezi idaresinin bulunduğu yer veya kontrolörün Birlik içerisinde bir merkezi idaresinin bulunmadığı hallerde, kontrolörün bu Tüzük kapsamındaki belirli yükümlülüklere tabi olduğu ölçüde, kontrolörün bir işletmesinin faaliyetleri bağlamında ana işleme faaliyetlerinin gerçekleştirildiği Birlik içerisindeki işletmesi; İşletme grubu: bir ana teşebbüs ve onun tarafından kontrol edilen teşebbüslerden oluşan bir grup;

5. Kişisel veri işlemenin temel ilkeleri

Veri koruma ilkeleri, kişisel verileri işleyen kuruluşlar için temel sorumlulukların ana hatlarını çizmektedir. Tüzüğün 5(2) maddesi ‘kontrolörün bu ilkelerden sorumlu olduğunu ve bu ilkelere uygunluğu göstermesi gerektiğini’ belirtmektedir.

5.1. Legalità, correttezza e trasparenza

Kişisel veriler, ilgili kişiye ilişkin olarak hukuka uygun, adil ve şeffaf bir şekilde işlenmelidir.

5.2. Limitazione dello scopo

Kişisel veriler belirli, açık ve meşru amaçlar için toplanmalı ve bu amaçlarla bağdaşmayacak şekilde işlenmemelidir.

5.3. Minimizzazione dei dati

Kişisel veriler yeterli, ilgili ve işlendikleri amaç için gerekli olanla sınırlı olmalıdır. Şirket, veri sahiplerine yönelik riskleri azaltmak için mümkünse kişisel verilere anonimleştirme veya takma adlandırma uygulamalıdır.

5.4. Precisione

Kişisel veriler doğru olmalı ve gerektiğinde güncel tutulmalıdır; işlendikleri amaçlarla ilgili olarak yanlış olan kişisel verilerin silinmesini veya zamanında düzeltilmesini sağlamak için makul adımlar atılmalıdır.

5.5. Limitazione del periodo di conservazione

Kişisel veriler, verilerin işlenme amaçları için gerekli olandan daha uzun süre saklanmamalıdır.

5.6. Integrità e confidenzialità

Teknolojinin ve diğer mevcut güvenlik önlemlerinin durumunu, uygulama maliyetlerini ve kişisel verilere yönelik risklerin olasılığını ve ciddiyetini dikkate alarak, Şirket, kişisel verileri, kazara veya yasadışı imha, kayıp, değiştirme veya ifşa veya yetkisiz erişime karşı koruma dahil olmak üzere kişisel verilerin yeterli güvenliğini sağlayacak şekilde işlemek için uygun teknik veya organizasyonel önlemleri kullanacaktır.

5.7. Responsabilità

Veri sorumluları yukarıda açıklanan ilkelere uygunluğun gösterilmesinden sorumludur.

6. Veri korumanın iş faaliyetlerine entegre edilmesi

Veri koruma ilkelerine uyulduğunu göstermek için kuruluşun veri korumayı iş faaliyetlerine entegre etmesi gerekir.

6.1. Informativa agli interessati

(Doğru Kullanım Kılavuzları bölümüne bakınız)

6.2. Scelta e consenso dell’interessato

(Doğru Kullanım Kılavuzları bölümüne bakınız)

6.3. Raccolta

Şirket mümkün olduğunca az kişisel veri toplamak için çaba göstermelidir. Kişisel verilerin üçüncü bir tarafça toplanması halinde, Kontrolör kişisel verilerin yasalara uygun olarak toplanmasını sağlamalıdır.

6.4. Utilizzo, conservazione e smaltimento

Kişisel verilerin işlenme amaçları, yöntemleri, saklama sınırları ve saklama süreleri Genel Veri Koruma Bildirimi’nde yer alan bilgilerle tutarlı olmalıdır. Şirket, kişisel verilerin doğruluğunu, bütünlüğünü, gizliliğini ve işleme amacına uygunluğunu korumalıdır. Kişisel verileri hırsızlığa veya kötüye kullanıma karşı korumak ve kişisel veri ihlallerini önlemek için yeterli güvenlik mekanizmaları kullanılmalıdır. Kontrolör, bu bölümde listelenen gerekliliklere uymaktan sorumludur.

6.5. Divulgazione a terzi

Şirket, kendi adına kişisel verileri işlemek için üçüncü taraf bir satıcı veya iş ortağı kullandığında, gizlilik sorumlusu bu işleyicinin ilgili risklere uygun kişisel verileri korumak için güvenlik önlemleri sağladığından emin olmalıdır. Bu amaçla, bir uyum anketi kullanılmalıdır. Şirket, tedarikçi veya iş ortağının da aynı düzeyde veri koruması sağlamasını sözleşmeyle şart koşmalıdır. Tedarikçi veya iş ortağı kişisel verileri yalnızca Şirkete karşı sözleşmeden doğan yükümlülüklerini yerine getirmek için veya Şirketin talimatları doğrultusunda işlemeli ve başka herhangi bir amaç için işlememelidir. Şirket kişisel verileri bağımsız bir üçüncü tarafla ortaklaşa işlediğinde, Şirket ilgili sorumlulukları ve üçüncü tarafı ilgili sözleşmede veya Tedarikçi Veri İşleme Sözleşmesi gibi yasal olarak bağlayıcı başka bir belgede açıkça belirtmelidir.

6.6. Trasferimento transfrontaliero dei dati personali

Kişisel verilerin Avrupa Ekonomik Alanı’ndan (EEA) aktarılmasından önce, Avrupa Birliği’nin gerektirdiği şekilde bir veri aktarım anlaşmasının imzalanması da dahil olmak üzere uygun önlemler kullanılmalı ve gerekirse veri koruma makamından izin alınmalıdır. Kişisel verileri alan kuruluş, Sınır Ötesi Veri Transferi Prosedüründe belirtilen kişisel veri işleme ilkelerine uymalıdır.

6.7. Diritti di accesso degli interessati

Bir veri kontrolörü olarak hareket ederken, şirketin veri sahiplerine kişisel verilerine erişmelerine olanak tanıyan makul bir erişim mekanizması sağlaması ve uygunsa veya yasalar gerektiriyorsa kişisel verilerini güncellemelerine, düzeltmelerine, silmelerine veya iletmelerine izin vermesi gerekir. Erişim mekanizması Veri Sahibi Erişim Talebi Prosedüründe daha ayrıntılı olarak açıklanacaktır.

6.8. Portabilità dei dati

Veri sahipleri, talep üzerine, sağladıkları verilerin bir kopyasını yapılandırılmış bir formatta alma ve bu verileri başka bir veri kontrolörüne ücretsiz olarak iletme hakkına sahiptir. veri kontrolörü, bu tür taleplerin bir ay içinde işlenmesini, aşırı olmamasını ve diğer kişilerin kişisel veri haklarını etkilememesini sağlamaktan sorumludur.

6.9. Diritto all’oblio

Talep üzerine, ilgili kişi şirketten kişisel verilerinin silinmesini talep etme hakkına sahiptir. Şirket veri kontrolörü olarak hareket ettiğinde, gizlilik sorumlusu, bu verileri kullanan veya işleyen üçüncü tarafları talebe uymaları konusunda bilgilendirmek için gerekli adımları (teknik önlemler dahil) atmalıdır.

7. Uygun tedaviye ilişkin kılavuzlar

Kişisel veriler yalnızca veri sorumlusu tarafından açıkça yetkilendirilmişse işlenebilir. Şirket, Veri Koruma Etki Değerlendirmesi Kılavuzunda tanımlandığı şekilde her bir veri işleme faaliyeti için bir veri koruma etki değerlendirmesi gerçekleştirip gerçekleştirmeyeceğine karar vermelidir.

7.1. Informativa agli interessati

Ürünlerin, hizmetlerin veya pazarlama faaliyetlerinin satışı dahil ancak bunlarla sınırlı olmamak üzere her türlü işleme faaliyeti için kişisel veriler toplanırken veya toplanmadan önce, Kontrolör veri sahiplerini aşağıdakiler hakkında yeterince bilgilendirmekten sorumludur: toplanan kişisel verilerin türü, işleme amaçları, işleme yöntemleri, veri sahiplerinin kişisel verileriyle ilgili hakları, saklama süresi, potansiyel uluslararası veri aktarımları, verilerin üçüncü taraflarla paylaşılıp paylaşılmayacağı ve Şirketin kişisel verileri korumaya yönelik güvenlik önlemleri. Bu bilgiler genel bir veri koruma bildirimi aracılığıyla sağlanır. Şirketin birden fazla veri işleme faaliyeti varsa, farklı açıklamaların geliştirilmesi gerekecektir ve bunlar işleme faaliyetine ve toplanan kişisel veri kategorilerine bağlı olarak farklı olacaktır, örneğin, e-posta ile postalama için bir açıklama ve normal posta ile postalama için farklı bir açıklama yazılabilir. Kişisel verilerin üçüncü taraflarla paylaşıldığı durumlarda, Kontrolör veri sahiplerinin genel bir veri koruma bildirimi aracılığıyla bu konuda bilgilendirilmesini sağlamalıdır. Kişisel verilerin sınır ötesi veri aktarım politikası kapsamında üçüncü bir ülkeye aktarıldığı durumlarda, genel veri koruma bildirimi bunu belirtmeli ve kişisel verilerin nereye ve hangi kuruluşa aktarıldığını açıkça belirtmelidir. Hassas kişisel verilerin toplandığı durumlarda, Gizlilik Görevlisi genel veri koruma bildiriminin söz konusu hassas verilerin toplanma amacını açıkça belirtmesini sağlamalıdır.

7.2. Ottenimento dei consensi

Kişisel verilerin işlenmesi veri sahibinin rızasına veya diğer meşru gerekçelere dayandığında, Kontrolör bu rızanın kaydını tutmakla sorumludur. Kontrolör, veri sahiplerine rıza vermeleri için farklı seçenekler sunmaktan sorumludur ve rızalarının (işleme için yasal bir dayanak olarak kullanıldığında) herhangi bir zamanda geri çekilebileceğini bildirmeli ve sağlamalıdır. Kişisel veri kayıtlarının düzeltilmesi, değiştirilmesi veya imha edilmesi talep edildiğinde, Gizlilik İrtibat Kişisi bu tür taleplerin makul bir süre içerisinde ele alınmasını sağlamalıdır. Gizlilik İrtibat Kişisi ayrıca talepleri kaydetmeli ve uygun bir günlük tutmalıdır. Kişisel veriler yalnızca başlangıçta toplandıkları amaç için işlenmelidir. Şirketin başka bir amaç için toplanan kişisel verileri işlemek istemesi durumunda, Şirket veri sahiplerinden açık ve öz bir şekilde yazılı olarak onay talep etmelidir. Bu tür bir talep, verilerin toplandığı orijinal amacı ve ayrıca yeni veya ek amaçları içermelidir. Talep ayrıca amaç(lar)ın değiştirilme nedenini de içermelidir. Gizlilik İrtibat Kişisi bu paragraftaki kurallara uyulmasından sorumludur. Şimdi ve gelecekte, Gizlilik İrtibat Kişisi toplama yöntemlerinin yasalara, iyi uygulamalara ve ilgili endüstri standartlarına uygun olmasını sağlamalıdır. Gizlilik İrtibat Kişisi, genel veri koruma bildirimlerinin bir kaydının oluşturulmasından ve sürdürülmesinden sorumludur.

8. Veri ihlali olaylarına müdahale

Şirket şüpheli veya gerçek bir kişisel veri ihlalinden haberdar olduğunda, Gizlilik Görevlisi bir iç soruşturma yürütmeli ve veri ihlali prosedürüne uygun olarak zamanında uygun önlemleri almalıdır. Veri sahiplerinin hak ve özgürlüklerine yönelik herhangi bir tehdit söz konusuysa, şirket gecikmeksizin ve mümkünse 72 saat içinde veri koruma yetkililerini bilgilendirmelidir.