Lassa Reifen

ZURÜCK

Datenschutzrichtlinie

1. Einleitung

Diese Politik legt die Verpflichtungen von Brisa Bridgestone Sabanci Tyre Manufacturing and Trading Inc. fest. ("das Unternehmen"), die Eigentümerin der Marke Lassa ist, in Bezug auf den Datenschutz und die Rechte von Kunden und Mitarbeitern ("betroffene Personen") in Bezug auf ihre persönlichen Daten gemäß der Allgemeinen Datenschutzverordnung ("die Verordnung").

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Diese Richtlinie legt die Verfahren fest, die beim Umgang mit personenbezogenen Daten zu befolgen sind. Die hier dargelegten Verfahren und Prinzipien müssen jederzeit vom Unternehmen, seinen Mitarbeitern, Vertretern, Auftragnehmern oder anderen Parteien, die im Auftrag des Unternehmens arbeiten, befolgt werden.

Das Unternehmen ist nicht nur dem Buchstaben des Gesetzes, sondern auch dem Geist des Gesetzes verpflichtet und legt großen Wert auf den korrekten, rechtmäßigen und fairen Umgang mit allen persönlichen Daten, wobei die gesetzlichen Rechte, die Privatsphäre und das Vertrauen aller Personen, mit denen es Geschäfte macht, respektiert werden.

2. Datenschutzgrundsätze

Diese Richtlinie zielt darauf ab, die Einhaltung der Verordnung zu gewährleisten. Die Verordnung legt die folgenden Grundsätze fest, an die sich jede Partei, die mit personenbezogenen Daten umgeht, halten muss. Alle Personenbezogene Daten müssen:

a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;

b) für bestimmte, ausdrückliche und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist; die Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt nicht als mit den ursprünglichen Zwecken unvereinbar;

c) Angemessen, relevant und darauf begrenzt, was in Bezug auf die Zwecke, für die sie verarbeitet werden, notwendig ist;

d) Genau sein und, wenn nötig, auf dem neuesten Stand gehalten werden; es müssen alle angemessenen Schritte unternommen werden, um sicherzustellen, dass personenbezogene Daten, die unter Berücksichtigung der Zwecke, für die sie verarbeitet werden, ungenau sind, unverzüglich gelöscht oder berichtigt werden;

e) in einer Form aufbewahrt werden, die eine Identifizierung der betroffenen Personen nicht länger als für die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, erforderlich ist; personenbezogene Daten können für längere Zeiträume gespeichert werden, sofern die personenbezogenen Daten ausschließlich zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, sofern die in dieser Verordnung vorgesehenen geeigneten technischen und organisatorischen Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person getroffen werden;

f) auf eine Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung, durch geeignete technische oder organisatorische Maßnahmen.

3. Rechtmäßige, faire und transparente Datenverarbeitung

Die Verordnung soll gewährleisten, dass personenbezogene Daten rechtmäßig, nach Treu und Glauben und in transparenter Weise verarbeitet werden, ohne dass die Rechte der betroffenen Person beeinträchtigt werden. Die Verordnung besagt, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn mindestens einer der folgenden Punkte zutrifft:

a) Die betroffene Person hat der Verarbeitung ihrer persönlichen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;

c) Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt und die dem für die Verarbeitung Verantwortlichen übertragen wurde;

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

4. Für festgelegte, eindeutige und legitime verarbeitet

4.1 Das Unternehmen sammelt und verarbeitet die in Teil 21 dieser Richtlinie dargelegten personenbezogenen Daten. Dies kann personenbezogene Daten umfassen, die direkt von betroffenen Personen erhalten wurden (z.B. Kontaktdaten, die verwendet werden, wenn eine betroffene Person mit uns kommuniziert), sowie Daten, die von Dritten erhalten wurden.

4.2 Das Unternehmen verarbeitet personenbezogene Daten nur für die spezifischen Zwecke, die in Teil 21 dieser Richtlinie aufgeführt sind (oder für andere durch die Verordnung ausdrücklich erlaubte Zwecke). Die Zwecke, für die wir personenbezogene Daten verarbeiten, werden den betroffenen Personen zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten mitgeteilt, wenn diese direkt bei ihnen erhoben werden, oder so bald wie möglich (nicht länger als einen Kalendermonat) nach der Erhebung, wenn diese von einem Dritten bezogen werden.

5. Angemessene, relevante und begrenzte Datenverarbeitung

Das Unternehmen sammelt und verarbeitet personenbezogene Daten nur für den/die spezifischen Zweck(e), der/die den betroffenen Personen gemäß Teil 4 oben mitgeteilt wurde(n), und nur in dem Umfang, in dem dies erforderlich ist.

6. Datengenauigkeit und Datenaktualität

Das Unternehmen stellt sicher, dass alle gesammelten und verarbeiteten persönlichen Daten korrekt und aktuell gehalten werden. Die Genauigkeit der Daten ist bei ihrer Erhebung und danach in regelmäßigen Abständen zu überprüfen. Wenn ungenaue oder veraltete Daten gefunden werden, werden unverzüglich alle angemessenen Schritte unternommen, um diese Daten gegebenenfalls zu ändern oder zu löschen.

7. Rechtzeitige Verarbeitung

Das Unternehmen bewahrt personenbezogene Daten nicht länger auf, als es im Hinblick auf die Zwecke, für die diese Daten ursprünglich gesammelt und verarbeitet wurden, erforderlich ist. Wenn die Daten nicht mehr benötigt werden, werden alle angemessenen Schritte unternommen, um sie unverzüglich zu löschen.

8. Sichere Verarbeitung

Das Unternehmen stellt sicher, dass alle erhobenen und verarbeiteten personenbezogenen Daten sicher aufbewahrt und vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung geschützt werden. Weitere Einzelheiten zu den zu treffenden Datenschutz- und Organisationsmaßnahmen sind in Teilen 22 und 23 dieser Richtlinie enthalten.

9. Rechenschaftsbericht

9.1 Der betriebliche Datenschutzbeauftragte des Unternehmens ist Burak Nalcıoğlu +902165443500/2210 oder b.nalcioglu@brisa.com.tr

9.2 Das Unternehmen führt schriftliche interne Aufzeichnungen über das Sammeln, Halten und Verarbeiten aller persönlichen Daten, die die folgenden Informationen enthalten müssen:

a) Name und Einzelheiten des Unternehmens, seines Datenschutzbeauftragten und der für die Datenverarbeitung zuständigen Dritten;

b) Die Zwecke, für die das Unternehmen persönliche Daten verarbeitet;

c) Einzelheiten zu den Kategorien persönlicher Daten, die vom Unternehmen gesammelt, aufbewahrt und verarbeitet werden, sowie zu den Kategorien der betroffenen Personen, auf die sich diese persönlichen Daten beziehen;

d) Details (und Kategorien) aller Dritten, die persönliche Daten vom Unternehmen erhalten werden;

e) Einzelheiten zu jeglichen Transfers persönlicher Daten in Nicht-EWR-Länder einschließlich aller Mechanismen und Sicherheitsvorkehrungen;

f) Einzelheiten darüber, wie lange persönliche Daten vom Unternehmen aufbewahrt werden; und

g) Detaillierte Beschreibungen aller technischen und organisatorischen Maßnahmen, die das Unternehmen zur Gewährleistung der Sicherheit persönlicher Daten ergriffen hat.

10. Datenschutz-Folgenabschätzungen

Das Unternehmen führt Datenschutzfolgenabschätzungen durch, wann und wie in der Verordnung vorgeschrieben. Datenschutz-Folgenabschätzungen werden vom Datenschutzbeauftragten des Unternehmens beaufsichtigt und befassen sich mit den folgenden wichtigen Bereichen:

10.1 Zweck(e), für die personenbezogene(n) Daten verarbeitet werden, und die Verarbeitungsvorgänge, die mit diesen Daten durchgeführt werden sollen;

10.2 Einzelheiten zu den berechtigten Interessen des Unternehmens;

10.3 Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung im Hinblick auf den Zweck/die Zwecke, für den/die sie verarbeitet wird;

10.4 Eine Bewertung der Risiken, die für einzelne betroffene Personen bestehen; und

10.5 Einzelheiten der Maßnahmen zur Minimierung und Handhabung von Risiken, einschließlich Schutzmaßnahmen, Datensicherheit und anderer Maßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten, die ausreichen, um die Einhaltung der Verordnung nachzuweisen.

11. Rechte der betroffenen Personen

Die Verordnung legt die folgenden Rechte der betroffenen Personen fest:

a) Das Recht auf Information;

b) Das Recht auf Zugriff;

c) Das Recht auf Berichtigung;

d) Recht auf Löschung (Recht auf Vergessenwerden);

e) Das Recht auf Einschränkung der Verarbeitung;

f) Das Recht auf Datenübertragbarkeit;

g) Das Recht zu widersprechen;

h) Rechte bezüglich automatisierter Entscheidungsfindung und Profilerstellung.

12. Information der betroffenen Personen

12.1 Das Unternehmen stellt sicher, dass bei der Erhebung personenbezogener Daten jedem Datensubjekt die folgenden Informationen zur Verfügung gestellt werden:

a) Einzelheiten über das Unternehmen, einschließlich, aber nicht beschränkt auf die Identität von Burak Nalcıoğlu, seinem Datenschutzbeauftragten;

b) Die Zwecke, für die die personenbezogenen Daten erhoben und verarbeitet werden (wie in Teil 21 dieser Richtlinie im Einzelnen dargelegt) und die Rechtsgrundlage, die diese Erhebung und Verarbeitung rechtfertigt;

c) Gegebenenfalls die legitimen Interessen, aufgrund derer das Unternehmen die Erhebung und Verarbeitung der personenbezogenen Daten rechtfertigt;

d) Wenn die personenbezogenen Daten nicht direkt von der betroffenen Person bezogen werden, die Kategorien der erhobenen und verarbeiteten personenbezogenen Daten;

e) Wenn die persönlichen Daten an eine oder mehrere Dritte weitergegeben werden sollen, Angaben zu diesen Parteien;

f) Wenn die personenbezogenen Daten an eine Drittpartei außerhalb des Europäischen Wirtschaftsraums (der "EWR") übermittelt werden sollen, sind Einzelheiten dieser Übermittlung, einschließlich, aber nicht beschränkt auf die bestehenden Garantien, anzugeben (siehe Teil 24 dieser Richtlinie für weitere Einzelheiten zu solchen Datenübermittlungen in Drittländer);

g) Einzelheiten über die Dauer der Aufbewahrung der personenbezogenen Daten durch das Unternehmen (oder, falls es keinen vorher festgelegten Zeitraum gibt, Einzelheiten darüber, wie diese Dauer bestimmt wird);

h) Einzelheiten zu den Rechten der betroffenen Person gemäß der Verordnung;

i) Einzelheiten über das Recht der betroffenen Person, ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen jederzeit zurückzuziehen;

j) Einzelheiten zum Beschwerderecht der betroffenen Person beim Büro des Informationskommissars (der "Aufsichtsbehörde" gemäß der Verordnung);

k) Gegebenenfalls Einzelheiten zu gesetzlichen oder vertraglichen Anforderungen oder Verpflichtungen, die die Erhebung und Verarbeitung der personenbezogenen Daten erforderlich machen, sowie Einzelheiten zu den Folgen einer Nichtbereitstellung dieser Daten;

l) Einzelheiten jeder automatisierten Entscheidungsfindung, die unter Verwendung der personenbezogenen Daten stattfinden wird (einschließlich, aber nicht beschränkt auf die Erstellung von Profilen), einschließlich Informationen darüber, wie Entscheidungen getroffen werden, die Bedeutung dieser Entscheidungen und alle Konsequenzen.

12.2 Die oben in Teil 12.1 dargelegten Informationen werden der betroffenen Person zu dem folgenden anwendbaren Zeitpunkt zur Verfügung gestellt:

12.2.1 Wenn die personenbezogenen Daten zum Zeitpunkt der Erhebung direkt von der betroffenen Person bezogen werden;

12.2.2 Wenn die personenbezogenen Daten nicht direkt von der betroffenen Person (d.h. von einer anderen Partei) bezogen werden:

a) Wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden, zum Zeitpunkt der ersten Kommunikation; oder

b) Wenn die personenbezogenen Daten an eine andere Partei weitergegeben werden sollen, bevor die personenbezogenen Daten weitergegeben werden; oder

c) Auf jeden Fall nicht mehr als einen Monat nach dem Zeitpunkt, zu dem das Unternehmen die personenbezogenen Daten erhalten hat.

13. Zugriff des Betroffenen

13.1 Eine betroffene Person kann jederzeit einen Antrag auf Zugang zu den Daten ("Subject Access Request", SAR) stellen, um mehr über die personenbezogenen Daten zu erfahren, die das Unternehmen über sie besitzt. Das Unternehmen ist in der Regel verpflichtet, auf SARs innerhalb eines Monats nach Erhalt zu antworten (bei komplexen und/oder zahlreichen Anträgen kann diese Frist um bis zu zwei Monate verlängert werden; in solchen Fällen wird die betroffene Person über die Notwendigkeit der Verlängerung informiert).

13.2 Alle erhaltene Datenzugriffsanfrage eines Betroffenen müssen an Burak Nalcıoğlu, den Datenschutzbeauftragten des Unternehmens +902165443500/2210 oder b.nalcioglu@brisa.com.tr weitergeleitet werden;

13.3 Das Unternehmen erhebt keine Gebühr für die Bearbeitung von normalen SARs. Das Unternehmen behält sich das Recht vor, angemessene Gebühren für zusätzliche Kopien von Informationen zu erheben, die einer betroffenen Person bereits zur Verfügung gestellt wurden, sowie für offensichtlich unbegründete oder übertriebene Anfragen, insbesondere wenn es sich um wiederholte Anfragen handelt.

14. Berichtigung personenbezogener Daten

14.1 Wenn eine betroffene Person dem Unternehmen mitteilt, dass personenbezogene Daten im Besitz des Unternehmens unrichtig oder unvollständig sind, und um deren Berichtigung ersucht, werden die betreffenden personenbezogenen Daten innerhalb eines Monats nach Erhalt der Mitteilung der betroffenen Person berichtigt und die betroffene Person über diese Berichtigung informiert (Bei komplexen Anträgen kann diese Frist um bis zu zwei Monate verlängert werden; in solchen Fällen ist die betroffene Person über die Notwendigkeit der Verlängerung zu informieren).

14.2 Für den Fall, dass betroffene personenbezogene Daten an Dritte weitergegeben wurden, sind diese Parteien über jede Berichtigung dieser personenbezogenen Daten zu informieren.

15. Löschung personenbezogener Daten

15.1 Betroffene Personen können unter folgenden Umständen verlangen, dass das Unternehmen die personenbezogenen Daten, die es über sie besitzt, löscht:

a) Es ist nicht mehr notwendig, dass das Unternehmen diese personenbezogenen Daten im Hinblick auf den Zweck, für den sie ursprünglich erfasst oder verarbeitet wurden, aufbewahrt;

b) Die betroffene Person möchte ihre Zustimmung zur Speicherung und Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen zurückziehen;

c) Die betroffene Person widerspricht der Speicherung und Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen (und es besteht kein überwiegendes berechtigtes Interesse, dem Unternehmen die weitere Verarbeitung zu gestatten) (siehe Teil 18 dieser Richtlinie für weitere Einzelheiten zu den Widerspruchsrechten der betroffenen Person);

d) Die personenbezogenen Daten unrechtmäßig verarbeitet wurden;

e) Die personenbezogenen Daten müssen gelöscht werden, damit das Unternehmen einer besonderen rechtlichen Verpflichtung zur Regulierung nachkommen kann.

15.2 Sofern das Unternehmen keine berechtigten Gründe hat, die Löschung personenbezogener Daten abzulehnen, ist allen Löschungsanträgen innerhalb eines Monats nach Eingang des Antrags des Betroffenen nachzukommen und der Betroffene über die Löschung zu informieren (Bei komplexen Anträgen kann diese Frist um bis zu zwei Monate verlängert werden; in solchen Fällen ist die betroffene Person über die Notwendigkeit der Verlängerung zu informieren).

15.3 Für den Fall, dass personenbezogene Daten, die auf Antrag einer betroffenen Person zu löschen sind, an Dritte weitergegeben wurden, sind diese Parteien über die Löschung zu informieren (es sei denn, dies ist unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern).

16. Beschränkung der Verarbeitung personenbezogener Daten

16.1 Die betroffenen Personen können verlangen, dass das Unternehmen die Verarbeitung der personenbezogenen Daten, die es über sie besitzt, einstellt. Wenn eine betroffene Person einen solchen Antrag stellt, bewahrt das Unternehmen nur die Menge an personenbezogenen Daten dieser Person auf, die notwendig ist, um sicherzustellen, dass keine weitere Verarbeitung ihrer personenbezogenen Daten stattfindet.

16.2 Sollten betroffene personenbezogene Daten an Dritte weitergegeben worden sein, sind diese über die geltenden Einschränkungen für deren Verarbeitung zu informieren (es sei denn, dies ist unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern).

17. Datenübertragbarkeit

17.1 Wenn betroffene Personen dem Unternehmen ihre Einwilligung gegeben haben, ihre personenbezogenen Daten auf diese Weise zu verarbeiten, oder wenn die Verarbeitung anderweitig für die Erfüllung eines Vertrags zwischen dem Unternehmen und der betroffenen Person erforderlich ist, haben betroffene Personen gemäß der Verordnung das Recht, eine Kopie ihrer personenbezogenen Daten zu erhalten und diese für andere Zwecke zu verwenden (d.h. sie an andere für die Datenverarbeitung Verantwortliche zu übermitteln, z.B. sonstige Organisationen).

17.2 Um das Recht auf Datenübertragbarkeit zu erleichtern, stellt das Unternehmen den betroffenen Personen alle anwendbaren personenbezogenen Daten in den folgenden Formaten zur Verfügung: Comma Separate Value (CSV) und / oder Portable Document Format (PDF)

17.3 Soweit technisch durchführbar, werden personenbezogene Daten auf Antrag einer betroffenen Person direkt an einen anderen für die Datenverarbeitung Verantwortlichen übermittelt.

17.4 Alle Anträge auf Kopien personenbezogener Daten sind innerhalb eines Monats nach dem Antrag der betroffenen Person zu erfüllen (Bei komplexen oder zahlreichen Anträgen kann diese Frist um bis zu zwei Monate verlängert werden; in solchen Fällen ist die betroffene Person über die Notwendigkeit der Verlängerung zu informieren).

18. Widerspruch gegen die Verarbeitung personenbezogener Daten

18.1 Die betroffenen Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen aufgrund legitimer Interessen (einschließlich Profiling), Direktmarketing (einschließlich Profiling) zu widersprechen.

18.2 Widerspricht eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen aufgrund ihrer berechtigten Interessen, stellt das Unternehmen die Verarbeitung unverzüglich ein, es sei denn, es kann nachgewiesen werden, dass die berechtigten Gründe des Unternehmens für eine solche Verarbeitung die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung ist für die Durchführung von Rechtsansprüchen erforderlich.

18.3 Wenn eine betroffene Person Einwände dagegen erhebt, dass das Unternehmen ihre personenbezogenen Daten für Direktmarketingzwecke verarbeitet, stellt das Unternehmen diese Verarbeitung unverzüglich ein.

18.4 Wenn eine betroffene Person Einwände dagegen erhebt, dass das Unternehmen ihre personenbezogenen Daten für wissenschaftliche und/oder historische Forschung und statistische Zwecke verarbeitet, muss die betroffene Person gemäß der Verordnung "Gründe nachweisen, die sich auf ihre besondere Situation beziehen". Das Unternehmen ist nicht zur Einhaltung verpflichtet, wenn die Forschung für die Erfüllung einer Aufgabe erforderlich ist, die aus Gründen des öffentlichen Interesses durchgeführt wird.

19. Automatisierte Entscheidungsfindung

19.1 Für den Fall, dass das Unternehmen personenbezogene Daten zum Zwecke der automatisierten Entscheidungsfindung verwendet und diese Entscheidungen eine rechtliche (oder ähnlich bedeutende) Auswirkung auf

die betroffenen Personen haben, haben die betroffenen Personen das Recht, solche Entscheidungen gemäß der Verordnung anzufechten, indem sie ein menschliches Eingreifen beantragen, ihren eigenen Standpunkt darlegen und eine Erklärung der Entscheidung vom Unternehmen erhalten.

19.2 Das in Teil 19.1 beschriebene Recht findet unter den folgenden Umständen keine Anwendung:

a) Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen dem Unternehmen und der betroffenen Person erforderlich;

b) Die Entscheidung ist gesetzlich zugelassen; oder

c) Die betroffene Person hat ihre ausdrückliche Zustimmung gegeben.

20. Profilierung

Wenn das Unternehmen personenbezogene Daten für Profiling-Zwecke verwenden darf, gilt Folgendes:

a) Es werden klare Informationen zur Verfügung gestellt, die das Profiling erklären, einschließlich seiner Bedeutung und der wahrscheinlichen Folgen;

b) Es werden geeignete mathematische oder statistische Verfahren verwendet;

c) Technische und organisatorische Maßnahmen, die erforderlich sind, um das Risiko von Fehlern auf ein Mindestmaß zu beschränken und eine leichte Korrektur solcher Fehler zu ermöglichen, sind durchzuführen; und

d) Alle personenbezogenen Daten, die für Profiling-Zwecke verarbeitet werden, sind zu sichern, um diskriminierende Auswirkungen zu verhindern, die sich aus der Profilerstellung ergeben (siehe Teile 22 und 23 dieser Richtlinie für weitere Einzelheiten zur Datensicherheit).

21. Personenbezogene Daten

Folgende personenbezogene Daten können durch das Unternehmen erfasst, gespeichert und verarbeitet werden:

a) Ihr Name

b) Alter

c) Geburtsdatum

d) Postanschrift

e) Lieferadresse

f) Telefonnummern (einschließlich Mobiltelefon)

g) E-Mail-Adressen

h) Von Ihnen getätigte Einkäufe und Bestellungen

i) Ihre Kommunikations- und Marketingpräferenzen

j) Ihr Standort

k) Ihre Korrespondenz und Kommunikation mit Brisa.

22. Datenschutzmaßnahmen

Das Unternehmen stellt sicher, dass alle seine Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die in seinem Auftrag arbeiten, bei der Arbeit mit personenbezogenen Daten die folgenden Bestimmungen einhalten:

a) Alle E-Mails, die personenbezogene Daten enthalten, müssen passwortgeschützt sein und dienen dem Zweck einer legitimen Geschäftstätigkeit;

b) Wenn personenbezogene Daten aus irgendeinem Grund gelöscht oder anderweitig vernichtet werden sollen

c) Personenbezogene Daten dürfen nur über sichere Netzwerke übertragen werden; eine Übertragung über ungesicherte Netzwerke ist unter keinen Umständen zulässig;

d) Personenbezogene Daten dürfen nicht über ein drahtloses Netzwerk übertragen werden, wenn es eine drahtgebundene Alternative gibt, die vernünftigerweise praktikabel ist;

e) Personenbezogene Daten, die im Hauptteil einer E-Mail enthalten sind, sollten unabhängig davon, ob sie gesendet oder empfangen wurden, aus dem Hauptteil dieser E-Mail kopiert und sicher gespeichert werden. Die E-Mail selbst sollte gelöscht werden. Alle damit verbundenen temporären Dateien sollten ebenfalls gelöscht werden;

f) Wenn personenbezogene Daten per Telefax übermittelt werden sollen, sollte der Empfänger im Voraus über die Übermittlung informiert werden und am Faxgerät auf den Empfang der Daten warten;

g) Es dürfen keine personenbezogenen Daten informell weitergegeben werden, und wenn ein Vertreter, Unterauftragnehmer oder eine andere Partei, die im Auftrag des Unternehmens arbeitet, Zugang zu personenbezogenen Daten benötigt, zu denen sie nicht bereits Zugang haben, sollte dieser Zugang formell bei Burak Nalcıoğlu b.nalcioglu@brisa.com.tr beantragt werden;

h) Alle Papierkopien personenbezogener Daten sowie alle elektronischen Kopien, die auf physischen, austauschbaren Medien gespeichert sind, sollten sicher in einem verschlossenen Kasten, einer Schublade, einem Schrank oder ähnlichem aufbewahrt werden;

i) Ohne die Genehmigung von Burak Nalcıoğlu b.nalcioglu@brisa.com.tr dürfen keine personenbezogenen Daten an Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien übertragen werden, unabhängig davon, ob diese Parteien im Auftrag des Unternehmens arbeiten oder nicht;

j) Personenbezogene Daten müssen stets mit Sorgfalt behandelt werden und sollten zu keiner Zeit unbeaufsichtigt oder für unbefugte Mitarbeiter, Vertreter, Subunternehmer oder andere Parteien sichtbar sein;

k) Wenn personenbezogene Daten auf einem Computerbildschirm angezeigt werden und der betreffende Computer für einen beliebigen Zeitraum unbeaufsichtigt bleiben soll, muss der Benutzer den Computer und den Bildschirm sperren, bevor er ihn verlässt;

l) Ohne die formelle schriftliche Genehmigung des Unternehmens dürfen keine personenbezogenen Daten auf einem mobilen Gerät (einschließlich, aber nicht beschränkt auf Laptops, Tablets und Smartphones) gespeichert werden, unabhängig davon, ob dieses Gerät dem Unternehmen gehört oder nicht, im Falle einer solchen Genehmigung unter strikter Einhaltung aller zum Zeitpunkt der Genehmigung beschriebenen Anweisungen und Einschränkungen, und zwar nicht länger als unbedingt notwendig.

m) Es dürfen keine personenbezogenen Daten auf Geräte übertragen werden, die einem Mitarbeiter persönlich gehören, und personenbezogene Daten dürfen nur dann auf Geräte von Vertretern, Auftragnehmern oder anderen im Auftrag des Unternehmens arbeitenden Parteien übertragen werden, wenn sich die betreffende Partei bereit erklärt hat, diese Richtlinie und die Verordnung nach Buchstaben und Geist vollständig einzuhalten (was den Nachweis gegenüber dem Unternehmen einschließen kann, dass alle geeigneten technischen und organisatorischen Maßnahmen ergriffen wurden);

n) Alle personenbezogenen Daten, die elektronisch gespeichert werden, sollten mindestens einmal pro Monat mit vor Ort gespeicherten Backups gesichert werden.

o) Alle elektronischen Kopien personenbezogener Daten sollten sicher unter Verwendung von Passwörtern gespeichert werden.

p) Alle Passwörter, die zum Schutz personenbezogener Daten verwendet werden, sollten regelmäßig geändert werden und keine Wörter oder Ausdrücke verwenden, die leicht erraten oder anderweitig kompromittiert werden können. Alle Passwörter müssen eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten. Alle von dem Unternehmen verwendete Software ist so konzipiert, dass solche Passwörter erforderlich sind;

q) Unter keinen Umständen sollten Passwörter aufgeschrieben oder zwischen Mitarbeitern, Vertretern, Auftragnehmern oder anderen Parteien, die im Auftrag des Unternehmens arbeiten, unabhängig von Dienstalter oder Abteilung, ausgetauscht werden. Wenn ein Passwort vergessen wird, muss es mit der entsprechenden Methode zurückgesetzt werden. IT-Mitarbeiter haben keinen Zugang zu Passwörtern;

r) Wenn personenbezogene Daten im Besitz des Unternehmens zu Marketingzwecken verwendet werden, liegt es in der Verantwortung von Burak Nalcıoğlu, Rechtsanwalt b.nalcioglu@brisa.com.tr, sicherzustellen, dass keine betroffenen Personen ihre Daten in Marketing-Präferenzdatenbanken, einschließlich, aber nicht beschränkt auf den Telefon-Präferenzdienst, den Post-Präferenzdienst, den E-Mail-Präferenzdienst und den Fax-Präferenzdienst, eingegeben haben. Solche Angaben sollten mindestens alle 12 Monate überprüft werden.

23. Organisatorische Maßnahmen

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf die Sammlung, Speicherung und Verarbeitung personenbezogener Daten ergriffen werden:

a) Alle Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens arbeiten, werden sowohl über ihre individuellen Verantwortlichkeiten als auch über die Verantwortlichkeiten des Unternehmens im Rahmen der Verordnung und dieser Richtlinie vollständig informiert und erhalten eine Kopie dieser Richtlinie;

b) Nur Mitarbeiter, Bevollmächtigte, Subunternehmer oder andere im Auftrag des Unternehmens arbeitende Parteien, die Zugang zu personenbezogenen Daten und deren Verwendung benötigen, um die ihnen zugewiesenen Aufgaben korrekt ausführen zu können, haben Zugang zu personenbezogenen Daten im Besitz des Unternehmens;

c) Alle Mitarbeiter, Vertreter, Subunternehmer oder andere Parteien, die im Auftrag des Unternehmens arbeiten und personenbezogene Daten bearbeiten, werden entsprechend geschult, um dies zu tun;

d) Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens arbeiten und personenbezogene Daten bearbeiten, werden entsprechend beaufsichtigt;

e) Die Methoden zur Erfassung, Speicherung und Verarbeitung personenbezogener Daten werden regelmäßig bewertet und überprüft;

f) Die Leistung der Mitarbeiter, Vertreter, Auftragnehmer oder anderer Parteien, die im Auftrag des Unternehmens arbeiten und personenbezogene Daten verarbeiten, muss regelmäßig bewertet und überprüft werden;

g) Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens arbeiten und personenbezogene Daten verarbeiten, sind vertraglich verpflichtet, dies in Übereinstimmung mit den Prinzipien der Verordnung und dieser Richtlinie zu tun;

h) Alle Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens arbeiten und personenbezogene Daten verarbeiten, müssen sicherstellen, dass alle ihre Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, zu den gleichen Bedingungen gehalten werden wie die relevanten Mitarbeiter des Unternehmens, die sich aus dieser Richtlinie und der Verordnung ergeben;

i) Wenn ein Vertreter, Auftragnehmer oder eine andere Partei, die im Namen des Unternehmens arbeitet und personenbezogene Daten bearbeitet, ihren Verpflichtungen gemäß dieser Richtlinie nicht nachkommt, hat diese Partei das Unternehmen von allen Kosten, Haftungsansprüchen, Schäden, Verlusten, Ansprüchen oder Verfahren, die sich aus diesem Versäumnis ergeben können, zu entschädigen und schadlos zu halten.

24.Übertragen personenbezogener Daten in ein Land außerhalb des EWR

24.1 Das Unternehmen kann von Zeit zu Zeit personenbezogene Daten in Länder außerhalb des EWR übertragen ("Übertragung" schließt die Bereitstellung aus der Ferne ein).

24.2 Die Übermittlung personenbezogener Daten in ein Land außerhalb des EWR erfolgt nur, wenn einer oder mehrere der folgenden Punkte zutreffen:

a) Die Übermittlung erfolgt an ein Land, ein Gebiet oder einen oder mehrere spezifische Sektoren in diesem Land (oder an eine internationale Organisation), die nach Feststellung der Europäischen Kommission ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten;

b) Die Überstellung erfolgt in ein Land (oder eine internationale Organisation), das entsprechende Garantien in Form einer rechtsverbindlichen Vereinbarung zwischen öffentlichen Behörden oder Stellen bietet; verbindliche Unternehmensregeln; Standarddatenschutzklauseln, die von der Europäischen Kommission angenommen wurden; die Einhaltung eines von einer Aufsichtsbehörde (z.B. dem Büro des Informationskommissars) genehmigten Verhaltenskodexes; Zertifizierung im Rahmen eines genehmigten Zertifizierungsmechanismus (wie in der Verordnung vorgesehen); von der zuständigen Aufsichtsbehörde vereinbarte und genehmigte Vertragsklauseln; oder Bestimmungen, die in Verwaltungsvereinbarungen zwischen öffentlichen Behörden oder Stellen eingefügt werden, die von der zuständigen Aufsichtsbehörde genehmigt wurden;

c) Die Übermittlung erfolgt mit der informierten Zustimmung der betroffenen Person(en);

d) Die Übermittlung ist notwendig für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Unternehmen (oder für vorvertragliche Schritte, die auf Antrag der betroffenen Person unternommen werden);

e) Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig;

f) Die Übermittlung ist für die Abwicklung von Rechtsansprüchen erforderlich;

g) Die Übermittlung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, ihre Einwilligung zu geben; oder

h) Die Datenübermittlung erfolgen aus einem Register, das nach deutschem oder EU-Recht zur Information der Öffentlichkeit bestimmt ist und das der Öffentlichkeit allgemein zugänglich ist oder anderweitig für diejenigen zugänglich ist, die ein berechtigtes Interesse am Zugang zu dem Register nachweisen können.

25. Meldung bei Datenschutzverletzung

25.1 Alle Verletzungen personenbezogener Daten müssen unverzüglich dem Datenschutzbeauftragten des Unternehmens gemeldet werden.

25.2 Wenn es zu einer Verletzung personenbezogener Daten kommt und diese Verletzung wahrscheinlich zu einer Gefährdung der Rechte und Freiheiten der betroffenen Personen führen wird (z.B. finanzieller Verlust, Verletzung der Vertraulichkeit, Diskriminierung, Rufschädigung oder sonstiger erheblicher sozialer oder wirtschaftlicher Schaden), muss der Datenschutzbeauftragte dafür sorgen, dass das Büro des Informationsbeauftragten unverzüglich, auf jeden Fall aber innerhalb von 72 Stunden, nachdem er davon Kenntnis erhalten hat, über die Verletzung informiert wird.

25.3 Für den Fall, dass eine Verletzung personenbezogener Daten wahrscheinlich ein hohes Risiko (d.h. ein höheres Risiko als das in Teil 25.2 beschriebene) für die Rechte und Freiheiten der betroffenen Personen nach sich zieht, muss der Datenschutzbeauftragte sicherstellen, dass alle betroffenen Personen direkt und ohne unangemessene Verzögerung über die Verletzung informiert werden.

25.4 Benachrichtigungen über Datenverletzungen müssen die folgenden Informationen enthalten:

a) Die Kategorien und die ungefähre Anzahl der betroffenen Personen;

b) Die Kategorien und die ungefähre Anzahl der betroffenen Personendatensätze;

c) Name und Kontaktdaten des Datenschutzbeauftragten des Unternehmens (oder einer anderen Kontaktstelle, bei der weitere Informationen erhältlich sind);

d) Die wahrscheinlichen Folgen des Verstoßes;

e) Einzelheiten zu den Maßnahmen, die das Unternehmen ergriffen hat oder zu ergreifen gedenkt, um gegen den Bruch vorzugehen, einschließlich, wo angemessen, Maßnahmen zur Minderung seiner möglichen nachteiligen Auswirkungen.

26. Durchführung der Richtlinie

Diese Richtlinie gilt ab dem 26 Jan 2021 als wirksam. Kein Teil dieser Richtlinie tritt rückwirkend in Kraft und gilt daher nur für Angelegenheiten, die an oder nach diesem Datum auftreten.

Diese Richtlinie wurde genehmigt und genehmigt von: Name: Evren Güzel

Titel: CCO – Marketing - Internationale Märkte