Gizlilik - GDPR

MAL TAŞIMA SÖZLEŞMESİNE EK - 2

1. Giriş

Kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı konusunda gerçek kişilerin korunmasına ilişkin ve 95/46/EC sayılı Direktifi yürürlükten kaldıran 2016/679 sayılı Tüzük (“Genel Veri Koruma Tüzüğü” veya “GDPR”), 1995 tarihli AB Veri Koruma Direktifini ve aynı zamanda 95/46/EC sayılı Veri Koruma Direktifi uyarınca hazırlanan her üye devletin mevzuatını da değiştirir. Amacı, gerçek kişilerin (yaşayan gerçek kişiler) hak ve özgürlüklerini korumak ve kişisel verilerin onların bilgisi dışında işlenmemesini ve gerekli olduğu durumlarda, onların bilgilendirilmiş ve özel rızaları ile işlenmelerini sağlamaktır.

YSN34 Transport S.R.L. tarafından kullanılan tanımlar (GDPR'den alınmıştır)

Maddi kapsam (Madde 2) – GDPR, tamamen veya kısmen otomatik araçlarla (bilgisayar, dizüstü bilgisayar) ile gerçekleştirilen kişisel verilerin işlenmesine ve ayrıca otomatik olmayan araçlarla (kağıt kayıtlar) bir veri kayıt sisteminin parçası olan veya bir veri kayıt sisteminin parçası olması amaçlanan kişisel verilerin işlenmesine uygulanır.

Coğrafi kapsam (Madde 3) – GDPR, işleme AB (Avrupa Birliği) topraklarında gerçekleşip gerçekleşmediğine bakılmaksızın, AB'de yerleşik olan ve veri sahiplerinin kişisel verilerini işleyen tüm operatörlere uygulanacaktır. Ayrıca, AB dışındaki veri sorumluları da, AB'de ikamet eden kişilerin davranışlarını izlemek veya mal ve hizmet sunmak amacıyla kişisel verileri işleyenler için de geçerli olacaktır.

Madde 4 Tanımlar

Kişisel Verilerin Korunması Ulusal Otoritesi – Romanya'da bulunan kamu otoritesidir ve merkezi B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, posta kodu 010336, Bükreş, Romanya adresinde bulunmaktadır. Web sitesi http://www.dataprotection. ro, kişilerin temel hak ve özgürlüklerini, özellikle kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı ile ilgili olarak özel hayat, aile ve özel hayat haklarını korumayı amaçlayan kamu kurumu (“ANSPDCP”)

Özel kişisel veri kategorileri – ırk veya etnik köken, siyasi görüşler, dini inançları veya felsefi görüşleri veya sendika üyeliğini ortaya koyan kişisel veriler ve bir fiziksel kişinin benzersiz kimliğini belirlemek için genetik veriler, biyometrik veriler, sağlık verileri veya bir fiziksel kişinin cinsel yaşamı veya cinsel yönelimi ile ilgili verilerin işlenmesi.

İlgili kişinin rızası – ilgili kişinin, kişisel verilerin işlenmesini kabul ettiği, açık ve kesin bir beyan veya eylemle ifade ettiği, özgür, spesifik, bilgilendirilmiş ve belirsiz olmayan irade beyanı anlamına gelir.

Çocuk – GDPR, çocuğu 16 yaşın altındaki herhangi bir kişi olarak tanımlamaktadır, ancak bu yaş, Üye Devletin iç mevzuatı ile 13 yaşa indirilebilir. Bir çocuğun kişisel verilerinin işlenmesi, ebeveynlerinin veya velilerinin rızası alınmışsa yasaldır. Operatör, bu tür durumlarda ebeveynlik yetkisine sahip kişinin onay verdiğini doğrulamak için makul tüm çabayı gösterir.

Profil oluşturma – bir gerçek kişiye ilişkin belirli kişisel özellikleri değerlendirmek veya iş performansı, ekonomik durumu, konumu, sağlığı, kişisel tercihleri, güvenilirliği veya davranışını analiz etmek veya tahmin etmek amacıyla kişisel verilerin otomatik olarak işlenmesi. Bu tanım, veri sahibinin profil oluşturulmasına itiraz etme hakkı ve profil oluşturulması, profil oluşturmaya dayalı önlemler ve profil oluşturmanın birey üzerinde beklenen etkileri hakkında bilgilendirilme hakkı ile ilgilidir.

Kişisel veriler – tanımlanmış veya tanımlanabilir bir gerçek kişiye (“ilgili kişi”) ilişkin her türlü bilgi; tanımlanabilir bir gerçek kişi, özellikle bir isim, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı gibi bir tanımlayıcıya veya fiziksel, fizyolojik, genetik, psikolojik, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla belirleyici unsura atıfta bulunarak doğrudan veya dolaylı olarak tanımlanabilen kişidir. fizyolojik, genetik, psikolojik, ekonomik, kültürel veya sosyal.

Kişisel verilerin güvenliğinin ihlali – İletilen, depolanan veya başka bir şekilde işlenen kişisel verilerin kazara veya yasadışı olarak imha edilmesi, kaybolması, değiştirilmesi veya yetkisiz olarak ifşa edilmesi veya bunlara yetkisiz erişim sağlanmasıyla sonuçlanan bir güvenlik ihlali. İşleyici, kişisel verilerin güvenliğinin ihlallerini ve ihlalin kişisel verileri veya ilgili kişinin özel hayatını olumsuz etkileyebileceği durumları denetim makamlarına bildirmekle yükümlüdür.

İşleyici – tek başına veya başkalarıyla birlikte, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişi, kamu kurumu, kurum veya başka bir kuruluş kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişi, kamu kurumu, ajans veya başka bir kuruluş; işleme amaçları ve araçları Birlik hukuku veya ulusal hukuk tarafından belirlenmişse, işletici veya işleticinin atanmasına ilişkin özel kriterler Birlik hukuku veya ulusal hukukta belirtilebilir.

Üçüncü taraf – veri sahibi, operatör, operatörün yetkilendirdiği kişi ve operatörün veya operatörün yetkilendirdiği kişinin doğrudan yetkisi altında kişisel verileri işlemekle yetkilendirilmiş kişiler dışındaki gerçek veya tüzel kişi, kamu kurumu, kurum veya kuruluş.

Veri sahibi – bir kuruluşun elinde bulunan kişisel verilerin konusu olan, hayatta olan herhangi bir gerçek kişi.

İşleme – kişisel veriler veya kişisel veri kümeleri üzerinde, otomatik araçların kullanılmasıyla veya kullanılmadan gerçekleştirilen her türlü işlem veya işlemler dizisi; örneğin toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, çıkarma, danışma, kullanma, aktarma yoluyla ifşa etme, yayma veya başka bir şekilde sunma, hizalama veya birleştirme, kısıtlama, silme veya imha etme.

Merkez – Operatörün AB'deki ana merkezi, operatörün veri işleme faaliyetlerinin amacı ve araçları ile ilgili temel kararları aldığı yer olacaktır. Operatörün AB'deki ana merkezi, merkezi idarenin bulunduğu yer olacaktır. Bir operatörün merkezi AB dışında ise, operatörün faaliyet gösterdiği yargı alanında, operatör adına hareket etmek ve denetim makamlarıyla ilişkileri yürütmek üzere bir temsilci ataması gerekecektir. Veri kayıt sistemi – belirli kriterlere göre erişilebilen, merkezi, merkezi olmayan veya işlevsel veya coğrafi kriterlere göre dağıtılmış herhangi bir yapılandırılmış kişisel veri kümesi.

2. Politika beyanı

YSN34 Transport S.R.L., yönetim kurulu üyeleri aracılığıyla, ILFOV Belediyesi, Str. Florilor 8, Ap301, Ilfov İlçesi'nde bulunan ve Ticaret Sicili'nde 51149148 numarasıyla kayıtlı olan şirket, tüm ilgili AB ve üye devletlerin veri koruma yasalarına uymayı taahhüt eder. J2025003173007 CUI RO 51149148, GDPR uyarınca topladığı ve işlediği bilgilere sahip kişilerin hak ve özgürlüklerinin korunmasıyla ilgili tüm AB ve üye devletlerin ilgili yasalarını uymayı taahhüt eder. GDPR'ye uyum, bu politika ve ilgili prosedürler, örneğin Veri Sahiplerinin Talepleri Prosedürü, Veri Güvenliği İhlali Prosedürü ve ilgili süreçler ve prosedürler ile açıklanmaktadır. GDPR ve bu politika, YSN34'ün tüm kişisel veri işleme faaliyetlerine uygulanır; buna müşterilerin, çalışanların ve ortakların kişisel verileri ile kuruluşun herhangi bir kaynaktan işlediği diğer tüm kişisel veriler dahildir. Bu politika, YSN34'ün tüm çalışanları ve YSN34'ün yetkilisi olarak kişisel verileri işleyen tedarikçileri için geçerlidir. GDPR veya bu politikanın herhangi bir ihlali, YSN34'ün iç politikasına göre ele alınacak ve GDPR'de öngörülen koşullar altında, YSN34 söz konusu ihlali ANSPDCP'ye bildirecektir. İhlale neden olan fiil aynı zamanda bir suç teşkil ediyorsa, bu durum mümkün olan en kısa sürede yetkili makamlara bildirilecektir. YSN34'ün, kişisel verileri vekil olarak işleyen ve bilgi alma hakkına sahip olan veya sahip olabilecek ortakları, bu politikayı okumış, anlamış ve uymakla yükümlüdür. YSN34, bu politikayı tüm bu tür ortaklarına iletecektir. Hiçbir üçüncü taraf, YSN34'ün sahip olduğu kişisel verileri, tarafların veri gizliliği ile ilgili yükümlülüklerini düzenleyen bir sözleşme imzalamadan işleyemez. YSN34, üçüncü tarafa en az YSN34'ün üstlendiği yükümlülükler kadar ağır yükümlülükler yükleyecektir.

3. Genel Veri Koruma Yönetmeliği kapsamındaki sorumluluklar ve roller

YSN34, GDPR kapsamında kişisel veri işleyicisidir. YSN34 yönetim organlarının üyeleri, YSN34 bünyesinde kişisel verilerin yönetimi konusunda iyi uygulamaların geliştirilmesinden ve teşvik edilmesinden sorumludur. YSN34 yönetim organlarının üyeleri, kişisel verilerin korunmasına ilişkin etki analizinin yeniden değerlendirilmesinden sorumludur. YSN34'ün özel veri işlemeyi başlatmayı planladığı veya kişilerin hak ve özgürlükleri açısından yüksek risk oluşturabilecek durumlarda. Ayrıca, ulusal mevzuatta GDPR'da öngörülenlere ek olarak kişisel verilerin korunmasına ilişkin ek yükümlülükler getirilmesi durumunda yeni bir analiz yapılacaktır. Veri koruma mevzuatına uymak, kişisel verileri işleyen tüm YSN34 çalışanlarının sorumluluğundadır. YSN34 çalışanları, kendileriyle ilgili ve YSN34'e sağladıkları tüm kişisel verilerin doğru ve güncel olmasını sağlamakla sorumludur.

4. Veri koruma ilkeleri

Kişisel verilerin işlenmesi, GDPR'nin 5. maddesinde belirtilen veri koruma ilkelerine uygun olarak gerçekleştirilmelidir. YSN34'ün politikaları ve prosedürleri, bu ilkelere uygunluğu sağlamak için tasarlanmıştır. Kişisel veriler yasal, adil ve şeffaf bir şekilde işlenmelidir Yasal – kişisel verileri işleyebilmeden önce yasal bir dayanak belirleyin. Bunlar genellikle “işleme dayanakları” olarak adlandırılır: yasal yükümlülük, sözleşme, rıza, YSN34'ün meşru menfaati, kamu yararı veya ilgili kişinin hayati menfaatleri. Adil – İşlemenin adil olması için, veri sorumlusu, işlemeye başlamadan önce veya mümkün olan en kısa sürede veri sahiplerini bilgilendirmelidir. Kişisel veriler veri sahiplerinden doğrudan veya başka kaynaklardan elde edilmiş olsun, bilgilendirme zorunludur. Şeffaflık – GDPR'nin 12, 13 ve 14. maddeleri, ilgili kişilere bilgi verilmesi ile ilgili kuralları belirler. Hükümler ayrıntılı ve spesifiktir ve gizlilik bildirimlerinin kolay anlaşılır ve erişilebilir olması gerektiğine vurgu yapar. Bilgiler, ilgili kişiye anlaşılır bir biçimde, açık ve basit bir dil kullanılarak iletilmelidir. İlgili kişiye sağlanması gereken özel bilgiler en azından şunları içermelidir: YSN34'ün kimliği ve iletişim bilgileri; veri koruma sorumlusu/sorumlularının iletişim bilgileri; kişisel verilerin işlenme amacı ve işleme için yasal dayanak; kişisel verilerin saklanma süresi; işleme erişim, düzeltme, silme veya itiraz haklarının varlığı ve bu hakların kullanılmasına ilişkin koşullar (veya bunların yokluğu), örneğin önceki işlemenin yasallığına etkisi; ilgili kişisel veri kategorileri; kişisel verilerin alıcıları veya alıcı kategorileri, uygun olduğu hallerde; varsa, YSN34'ün kişisel verileri üçüncü bir ülkedeki bir alıcıya aktarmayı planladığı ve verilere sağlanan koruma düzeyi; doğru işlemeyi garanti altına almak için gerekli olan her türlü ek bilgi. Kişisel veriler yalnızca belirli, açık ve meşru amaçlar için toplanabilir. Belirli amaçlar için elde edilen veriler, YSN34'ün işleme kayıt defterinde belirtilen ilk amaçtan farklı bir amaçla kullanılmamalıdır. Kişisel veriler, işleme için gerekli olanla sınırlı, uygun ve ilgili olmalıdır. Veri koruma sorumlusu/sorumluları, YSN34'ün elde edildiği amaca ulaşmak için kesinlikle gerekli olmayan bilgileri toplamadığından emin olmalıdır. Tüm veri toplama biçimleri (elektronik veya kağıt üzerinde), yeni bilgi sistemlerinde veri toplama gereklilikleri de dahil olmak üzere, doğru işleme beyanı veya Gizlilik Politikasına bağlantı içermeli ve YSN34 tarafından onaylanmalıdır. YSN34, yıllık iç denetim kapsamında, toplanan verilerin amaçla uygun, ilgili ve orantılı olmaya devam ettiğini garanti edecektir. Kişisel veriler doğru olmalı ve gerektiğinde gecikmeden silinerek veya düzeltilerek güncellenmelidir. Veri sorumlusu tarafından saklanan veriler, gerektiğinde gözden geçirilmeli ve güncellenmelidir. Veriler, doğru olduğu makul olarak varsayılmadıkça saklanmamalıdır. YSN34, tüm personelin doğru verilerin toplanması ve saklanmasının önemi konusunda eğitilmesini sağlamakla sorumludur. Ayrıca, YSN34'ün elinde bulunan verilerin doğru ve güncel olduğundan emin olmak da veri sahibinin sorumluluğundadır. Bir veri sahibinin kayıt formu veya başvuru formu doldurması, formda yer alan verilerin başvuru tarihinde doğru olduğuna dair bir beyanı da içerecektir. Çalışanlar, ortakların temsilcileri ve müşteriler, kişisel verilerdeki herhangi bir değişikliği YSN34'e bildirmelidir, böylece kişisel verilerin kaydı uygun şekilde güncellenebilir. YSN34, durum değişikliği ile ilgili her türlü bildirimin kaydedildiğinden ve dikkate alındığından emin olmakla sorumludur. YSN34, toplanan verilerin hacmi, değişme hızı ve diğer ilgili faktörleri dikkate alarak, kişisel verilerin doğru ve güncel tutulması için uygun prosedürler ve politikalar olmasını sağlamakla sorumludur. En az yılda bir kez, kişisel verilerin işlenmesinden sorumlu kişi, YSN34 tarafından gerçekleştirilen ve Veri İşleme Kaydı'nda kaydedilen tüm kişisel veri işleme işlemlerinin silinme sürelerini kontrol edecektir.

5. Veri sahiplerinin hakları

Veri sahipleri, veri işleme konusunda aşağıdaki haklara sahiptir: Erişim hakkı – YSN34'ten kişisel verilerinin işlenip işlenmediğine dair bir onay alabilirler. Düzeltme hakkı – YSN34'ten kendileriyle ilgili yanlış verileri düzeltmesini talep etme olasılığını içerir; Unutulma hakkı – Yönetmelikte öngörülen belirli koşullar altında operatör tarafından verilerinin silinmesini sağlayabilirler; İşlemenin kısıtlanması hakkı – veri sahibinin yanlış, hukuka aykırı işleme veya muhalefet hakkını kullanması durumunda ortaya çıkar; Veri taşınabilirliği hakkı – YSN34'ün kendileriyle ilgili kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir biçimde sağladığı ve bu verileri başka bir operatöre iletme hakkını da içeren hakkı alma hakkı; Muhalefet hakkı – profillerin oluşturulmasına itiraz etme hakkı dahil. Bilgi edinme hakkı – veri sahiplerini işlenen veriler hakkında özlü, şeffaf ve kolay erişilebilir bir şekilde bilgilendirmeyi ifade eder. GDPR’ın ihlalinin fark edilmesi halinde Denetim Otoritesine başvurmak. YSN34, veri sahiplerinin bu hakları kullanabilmesini sağlar: Veri sahipleri, Veri Sahibi Talepleri Prosedürü'nde açıklandığı şekilde veri erişim taleplerinde bulunabilir. Veri sahipleri, kişisel verilerinin işlenmesiyle ilgili olarak YSN34'e şikayette bulunma hakkına sahiptir.

6. Onay

YSN34, "rıza"nın, veri sahibinin kişisel verilerinin işlenmesine ilişkin rızasının özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir göstergesini oluşturan belirsiz olmayan bir eylemle verildiğini anlar. Veri sahibi, rızasını istediği zaman geri çekebilir. Zorla veya yanıltıcı bilgilere dayanarak elde edilen rıza, işleme için geçerli bir temel oluşturmaz. Veri sahipleri tarafından ifade edilen rızayı göstermek için taraflar arasında iletişim olduğuna dair kanıt olmalıdır. Rıza, bir iletişime yanıt verilmemesinden çıkarılamaz. YSN34, işleme işlemi için rızanın alındığını gösterebilmelidir. Hassas verilerin işlenmesi için, işleme için başka bir yasal temel olmadığı sürece, veri sahiplerinin açık yazılı rızası (Rıza Prosedürü) alınmalıdır. İşleme için yasal temel olarak rızanın gerekli olduğu durumlarda, YSN34 tarafından Rıza Alma Prosedürü kullanılarak alınacaktır.

7. Veri güvenliği

Tüm çalışanlar, YSN34'ün elinde bulundurduğu ve sorumlu olduğu tüm kişisel verilerin güvenli bir şekilde saklanmasını ve söz konusu üçüncü taraf YSN34 tarafından bu bilgileri almaya açıkça yetkilendirilmediği sürece hiçbir şekilde üçüncü taraflara ifşa edilmemesini sağlamalıdır. Tüm kişisel verilere yalnızca erişim haklarına uygun şekilde kullanması gereken kişiler erişebilmelidir. Tüm kişisel veriler en üst düzeyde güvenlikle ele alınmalı ve şunlar saklanmalıdır: kontrollü erişime sahip kilitli bir odada; ve/veya kilitli bir çekmece veya dolapta; ve/veya bilgisayarlıysa, YSN34 tarafından belirlenen güvenlik seviyesine uygun şekilde parola korumalı; ve/veya şifreli (çıkarılabilir) ortamda saklanmalıdır. YSN34 çalışanları, kullandıkları cihazların ekranlarının yetkisiz üçüncü taraflarca görülmemesini sağlayacaktır. Fiziksel belgeler ve bunların kopyaları yetkisiz personelin erişebileceği yerlerde bırakılmamalı ve açık yetki olmaksızın saklandıkları iş noktaları veya YSN34 genel merkezi dışında kullanılamaz. Herhangi bir kopya, yapıldığı amaç yerine getirilir getirilmez imha edilmelidir. Belirlenen silme süresi sona eren fiziksel belgeler atılmalı ve "gizli atık" olarak imha edilmelidir. Elektronik cihazlar kullanımdan kaldırılmadan önce, depolama ortamları fabrika ayarlarına sıfırlanmalı veya imha edilmelidir. Kişisel verilerin YSN34 dışında işlenmesi, kişisel verilerin kaybolması, çalınması veya hasar görmesi açısından potansiyel olarak daha yüksek bir risk oluşturur. Çalışanlar, verileri tesis dışında işlemek için özel olarak yetkilendirilmelidir.

8. Veri Açıklaması

YSN34, kişisel verilerin yetkisiz üçüncü kişilere ifşa edilmemesini sağlamalıdır. YSN34 çalışanları, yetkisiz üçüncü kişiler kategorisine aile üyeleri veya arkadaşların da dahil olduğunun bilincindedir.

9. Verilerin saklanması ve silinmesi

YSN34, kişisel verileri, verilerin başlangıçta toplandığı amaç(lar)la ilgili olarak gerekenden daha uzun süre veri sahiplerinin kimliğinin belirlenmesine izin veren bir biçimde saklamayacaktır. YSN34, kişisel verilerin yalnızca kamu yararına arşivleme amaçları, bilimsel veya tarihsel araştırma amaçları veya istatistiksel amaçlar için işleneceği durumlarda, veri sahibinin haklarını ve özgürlüklerini korumak için uygun teknik ve organizasyonel önlemlerin uygulanması koşuluyla, verileri daha uzun süre saklayabilir. Kişisel veriler, GDPR'nin altıncı ilkesine uygun olarak güvenli bir şekilde elden çıkarılmalı - güvenliği sağlamak için uygun bir şekilde işlenmeli ve böylece veri sahiplerinin "hakları ve özgürlükleri" korunmalıdır.

10. Veri transferleri

Kişisel verilerin AEA dışına aktarılması, belirtilen güvenlik önlemlerinden veya istisnalardan biri veya birkaçı geçerli olmadığı sürece yasaktır: Yeterlilik kararı Avrupa Komisyonu, gerçek kişilerin hak ve özgürlüklerinin yeterli düzeyde korunup korunmadığını değerlendirmek için üçüncü ülkeleri, bir bölgeyi ve/veya üçüncü ülkelerdeki belirli sektörleri değerlendirebilir ve değerlendirecektir. Bu durumlarda yetkilendirme gerekmez. Avrupa Ekonomik Alanı'na (AEA) üye olan ancak AB üyesi olmayan ülkeler, yeterlilik kararının koşullarını karşılamış kabul edilir. Komisyonun yeterlilik gereksinimlerini şu anda karşılayan ülkelerin listesi Avrupa Birliği Resmi Gazetesi'nde yayınlanmıştır. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm Gizlilik Kalkanı YSN34, kişisel verileri AB'den Amerika Birleşik Devletleri'ndeki bir kuruluşa aktarmak istiyorsa, kuruluşun ABD Ticaret Bakanlığı'nda Gizlilik Kalkanı kapsamında kayıtlı olup olmadığını kontrol etmelidir. ABD DOC, veri koruma sistemini yönetmek ve idare etmekten ve şirketlerin taahhütlerine uymasını sağlamaktan sorumludur. Sertifika alabilmek için şirketlerin Gizlilik İlkeleri'ne uyan bir gizlilik politikasına sahip olması gerekir, yani kişisel verilerin güçlü bir veri koruma kuralları ve güvenlik önlemleri kümesine uygun olarak kullanımı, depolanması ve aktarılması. Kişisel verilere sağlanan koruma, kişisel verilerin bir AB sakini ile ilgili olup olmadığına bakılmaksızın geçerlidir. Kuruluşlar, Gizlilik Kalkanı'na "üyeliklerini" her yıl yenilemelidir. Bunu yapmazlarsa, bu çerçeve kapsamında artık AB'den kişisel veri alamaz ve kullanamazlar. Veri Denetleyicisi Tarafından Yeterlilik Değerlendirmesi Yeterliliği değerlendirirken, ihracatçı denetleyici aşağıdaki faktörleri dikkate almalıdır: aktarılan bilginin niteliği; bilginin menşe ülkesi veya bölgesi ve nihai varış noktası; bilginin nasıl ve ne kadar süreyle kullanılacağı; ilgili uygulama kodları ve uluslararası yükümlülükler dahil olmak üzere aktarıldığı ülkenin yasaları ve uygulamaları; ve yabancı konumdaki verilerle ilgili olarak alınacak güvenlik önlemleri. Bağlayıcı kurumsal kurallar YSN34, verilerin AB dışına aktarılması için kendi kurallarını benimseyebilir. Bunlar yetkili denetim makamının önceden onayını gerektirir. İstisnalar Bir yeterlilik kararı, Gizlilik Kalkanı üyeliği, bağlayıcı kurumsal kurallar, kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması yalnızca aşağıdaki koşullar altında gerçekleşir: veri sahibi önerilen aktarıma açıkça onay vermiştir,Veri sahibine, yeterliliğe ilişkin bir kararın ve uygun güvencelerin bulunmaması nedeniyle bu tür aktarımların kendisi için olası riskleri bildirildikten sonra; Aktarım, veri sahibi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya veri sahibinin talebi üzerine kabul edilen sözleşme öncesi hükümlerin uygulanması için gerekliyse; Aktarım, veri sorumlusu ile başka bir gerçek veya tüzel kişi arasında veri sahibinin yararına akdedilen bir sözleşmenin akdedilmesi veya ifası için gerekliyse; Aktarım, kamu yararı açısından önemli sebeplerden dolayı gerekliyse; Aktarım, hukuki iddiaların tesisi, kullanılması veya savunulması için gerekliyse; ve/veya Aktarım, veri sahibinin fiziksel veya hukuki olarak rıza verme imkânından yoksun olduğu durumlarda veri sahibinin veya diğer kişilerin hayati çıkarlarını korumak için gerekliyse.

11. Kişisel verilerin işlenmesi sicili

YSN34, GDPR uyumluluk projesinin bir parçası olarak bir veri envanteri ve bir İşleme Kaydı gerçekleştirmiştir. YSN34, belirli türdeki kişisel verilerin işlenmesiyle ilişkili risklerin farkındadır. YSN34, veri sahipleri için kişisel verilerin işlenmesiyle ilişkili risk düzeyini değerlendirir. Veri koruma etki değerlendirmeleri, YSN34 tarafından kişisel verilerin işlenmesi ve YSN34 adına diğer kuruluşlar tarafından gerçekleştirilen işlemelerle ilgili olarak gerçekleştirilir. YSN34, bu politikada yer alan kişisel verilerin korunmasına ilişkin hükümlerin ihlal edilme olasılığını azaltmak amacıyla, gerçekleştirilen analizler aracılığıyla belirlenen riskleri yönetir. İşlemenin niteliğini, kapsamını, bağlamını ve amaçlarını dikkate alarak, özellikle yeni teknolojilerin kullanımına dayalı bir işleme türünün gerçek kişilerin hakları ve özgürlükleri için yüksek bir risk oluşturması muhtemel olduğunda, YSN34, işlemeden önce, öngörülen işleme operasyonlarının kişisel verilerin korunması üzerindeki etkisinin bir analizini gerçekleştirir. Tek bir analiz, benzer riskler sunan bir dizi benzer işleme operasyonunu ele alabilir. Bir DPIA sonucunda YSN34'ün veri sahiplerine zarar vermesi muhtemel kişisel verileri işlemeye başlayacağı açıksa, YSN34'ün devam edip edemeyeceğine dair karar, kişisel verileri işlemekten sorumlu kişi veya kişilere incelenmek üzere sunulmalıdır. Potansiyel zarar veya söz konusu veri miktarı konusunda önemli endişeler varsa, kişisel verileri işlemekten sorumlu kişi veya kişiler, GDPR'nin 36. maddesinde belirtilen ön danışma prosedürünü izleyerek konuyu denetim makamına sunacaktır.

YSN34 TRANSPORT SRL