1. Genel Bakış

1.1 AMAÇ
Albaugh (bundan sonra "Şirket" olarak anılacaktır) DSR ("Veri Sahibi Talebi") & Çerezler ve Onay Yönetimi Politikası, Albaugh'un DSR'leri ile ilgili alım, değerlendirme, yanıt verme ve kayıt tutma süreçlerini düzenler. DSR'ler, Albaugh'a bir dizi Geçerli Yasa kapsamında yapılabilir ve bu politika, bu tür taleplerin alınması ve yanıtlanması sürecini Geçerli Yasa'ya uygun olarak düzenlemek için oluşturulmuştur. Ayrıca, bu politika, onay alınması gereken durumlar, kullanılacak dil ve belgelerin nasıl saklanması gerektiği hakkında yönergeler sunar.

1.2 KAPSAM
Bu politika, Albaugh’un iş gücündeki tüm üyelerine uygulanır; bu, sözleşmeli çalışanlar ve danışmanları içerir. Albaugh, Albaugh'a ait ve yönetilen donanım, yazılım, ağlar, uygulamalar, veriler, fikri mülkiyet ve bunlarla ilgili her türlü kaynağı kullanan tüm üçüncü şahısların geçerli yasal standartlara uymalarını talep edecektir. Bu politika, Albaugh ve onun İştiraklerine uygulanır.

2. Tanımlar
Geçerli Yasa(lar) - Kişisel Bilgilerin İşlenmesi ile ilgili olan her türlü eyalet, federal veya yabancı yasa, kural veya düzenleme.

Kontrolör - Kişisel Bilgilerin işlenmesinin amaçlarını ve araçlarını belirleyen varlık. Kontrolör, Geçerli Yasa'lar kapsamında "İş" olarak anılabilir.

Veri Sahibi - Kişisel Bilgilerin ilişkili olduğu tanımlanmış veya tanımlanabilir kişi.

Veri Sahibi Talebi ("DSR") - Veri sahiplerinin organizasyondan kendileri hakkında hangi Kişisel Bilgilerin tutulduğunu ve organizasyonun bunu nasıl kullandığını veya kullanmayı düşündüğünü talep etme aracıdır.

Kişisel Bilgi ("PI") - Doğal bir kişi veya "Veri Sahibi" ile ilgili olan, kişiyi doğrudan veya dolaylı olarak tanımlamak için kullanılabilecek her türlü bilgidir. Kişisel Bilgiler, bazı yargı alanlarında "Kişisel Veri" veya "Kişisel Olarak Tanımlanabilir Bilgi" (PII) olarak anılan bilgileri içerebilir.

İşleme - Kişisel Bilgiler üzerinde otomatik yöntemlerle veya otomatik olmayan yöntemlerle gerçekleştirilen her türlü işlem veya işlem setidir; bu, toplama, kayıt, düzenleme, saklama, uyarlama veya değişiklik, geri alma, danışma, iletim yoluyla açıklama, yayma veya başka bir şekilde erişilebilir kılma, hizalama veya birleştirme, engelleme, silme veya yok etme gibi işlemleri içerir.

İşlemci - Kontrolör adına Kişisel Bilgileri işleyen varlık. İşlemci, Geçerli Yasa'lar kapsamında "Hizmet Sağlayıcı" olarak anılabilir.

3. Veri Sahibi Talepleri

3.1 KAPSAMDAKİ TALEPLER
Veri sahiplerinin (örn. müşteriler, tüketiciler, çalışanlar vb.) ikamet ettikleri yerlerde geçerli olan yasalara bağlı olarak, veri sahipleri, Kişisel Bilgilerle (PI) ilgili olarak aşağıdaki hakları talep edebilir:

Erişim ve Taşınabilirlik: Albaugh'dan, şirket tarafından tutulan Kişisel Bilgilerle ilgili bir rapor talep etme hakkı. Rapor, aşağıdakileri içerebilir:

• Albaugh'ın o tüketici hakkında topladığı Kişisel Bilgi kategorileri;
• Kişisel Bilgilerin toplandığı kaynakların kategorileri;
• Kişisel Bilgileri toplama veya satma amacı;
• Albaugh'ın Kişisel Bilgileri paylaştığı üçüncü tarafların kategorileri;
• Albaugh'ın o tüketici hakkında topladığı belirli Kişisel Bilgiler.

Düzeltme: Albaugh'dan hatalı veya eksik Kişisel Bilgilerin düzeltilmesini talep etme hakkı.

Silme: Albaugh'dan Kişisel Bilgilerin silinmesini veya yok edilmesini talep etme hakkı.

Örneğin, belirli durumlarda Kişisel Bilgilerin saklanması gerektiğinde talepler reddedilebilir; bunlar arasında, ancak bunlarla sınırlı olmamak üzere:

• Yasal bir yükümlülüğe uyma;
• Yasal talepleri kurma, kullanma veya savunma;
• Kamu yararına bir görevi yerine getirme veya resmi yetkiyi kullanma;

Rızanın Geri Alınması: Albaugh'ın Kişisel Bilgileri işleme rızasını geri alma hakkı (aşağıdaki "Çerezler ve Rıza Yönetimi" bölümüne bakınız).

Pazarlama İletişimleri: Albaugh'dan pazarlama iletişimlerini almaktan vazgeçme hakkı.

İtiraz: Veri sahiplerinin kendileriyle ilgili Kişisel Bilgilerin işlenmesine itiraz etme hakkı.

İşlemenin Kısıtlanması: Belirli durumlarda Albaugh'ın Kişisel Bilgileri işleme veya aktarmasına itiraz etme veya kısıtlama hakkı.

Otomatik Bireysel Karar Verme: Sadece otomatik işleme, profil oluşturma dahil olmak üzere Kişisel Bilgiler temelinde bir karara tabi olmama hakkı.

Ayrımcılık Yapmama: Yukarıda belirtilen hakları kullanmaktan dolayı ayrımcılığa maruz kalmama hakkı. Albaugh, bu hakları kullanmayı tercih eden herhangi bir tüketiciye karşı misilleme veya ayrımcı işlemlerde bulunmayacaktır. Dolayısıyla, Albaugh bireylere hizmetlerini ve ürünlerini reddedemez. Geçerli yasalar, bu konudaki faizci, zorlayıcı veya adaletsiz uygulamaları yasaklayabilir.

3.2 DSR GEREKSİNİMLERİ
Bir DSR'nin yapıldığı düzenlemeden bağımsız olarak, Albaugh’ın DSR yanıt programının ortak unsurları bulunmaktadır; yasal olarak uygulanabilir olduğunda, bunlar Albaugh tarafından aşağıdaki şekilde yerine getirilecektir:

Giriş
Bireylerin DSR’lerini Albaugh’a nasıl iletebileceği, Albaugh’ın kamuya açık Gizlilik Bildirimleri aracılığıyla belirlenmiş ve bireylere sağlanmıştır.

Alınan Taleplerin Belgelenmesi ve İzlenmesi
Albaugh, alınan tüm DSR’lerin, alınmalarını içsel olarak kabul etmek amacıyla belgelenmesini sağlayacaktır. Albaugh, her talep için tamamlanma durumunun (yani, alınmadan reddedilme veya yerine getirilme sürecine kadar) izlenmesini sağlayarak, düzenleyici gereklere ve son tarihlere uygun tatmin edici bir yanıt verilmesini temin edecektir.

Eğitim ve Farkındalık
Albaugh, gelen DSR’leri ve dış sorguları (yani üçüncü taraf iş birliğinin gerektiği talepler) işlemekten sorumlu olan tüm bireylerin, tüm uygulanabilir düzenleyici gereksinimler ve Albaugh iç prosedürleri hakkında bilgilendirilmesini sağlar.

Yanıt ve Onay Süreleri
Albaugh, taleplere ilgili düzenleyici süreler çerçevesinde yanıt verecektir. Bu, talep kabul edilmeden veya reddedilmeden önce taleplerin alındığının onayını içerebilir ve talep yerine getirilmeden önce gerçekleşebilir.

Hukuki Dayanağın Değerlendirilmesi
DSR yanıt sürecinin bir parçası olarak, Albaugh, DSR’leri Uygulanabilir Yasalara göre talebin hukuki dayanağına dayanarak kabul veya reddedecektir. Bir DSR’nin reddedilmesi durumunda, Albaugh, veri sahibine talebin tamamlanması için herhangi bir hukuki yükümlülüğün neden yerine getirilmediğini iletecektir.

Kimlik Doğrulama
Talebin hukuki dayanağının belirlenmesi ve talep sahibine yapılacak her türlü yanıt, bilgilerin ifşa edilmesinden önce gerekli görüldüğü şekilde bir kimlik doğrulama prosedürü içerecektir.

Üçüncü Taraf Talepleri Hukuki Değerlendirme ve Kimlik Doğrulama
Bir veri sahibi bir temsilci kullanarak bir DSR sunduğunda, Albaugh, veri sahibinin uyumu sağlamak için ek adımlar atmasını isteyebilir.

Taleplerin Reddedilmesi
Albaugh, talebin reddine ilişkin tüm bilgilerin, Uygulanabilir Yasalar uyarınca sağlanması gereken bilgilerin talep eden tarafa verildiğinden emin olur ve bu bilgilerin düzenleyici gereklere uygun olarak saklanmasını sağlar. Albaugh’ın talebi reddedebileceği durumlar arasında, Veri Sahibinin kimliğini doğrulama zorluğu ve diğer Uygulanabilir Yasalara uyum ile ilgili diğer kısıtlamalar (örneğin, AB Birliği veya Üye Devlet yasaları, ABD Federal Yasaları vb.) bulunmaktadır.

Talep Yerine Getirme
Albaugh, DSR sürecinin yerine getirilmesini sağlamak için, organizasyonda Kişisel Bilgilerin uygun şekilde raporlanması (veya uygun değişikliklerin) yapılmasını gerektiren politikalar ve prosedürlere sahiptir. Albaugh ayrıca, sistemlerinin ve herhangi bir uygulanabilir üçüncü tarafın, onaylanmış DSR sürecinin yükümlülüklerini doğru bir şekilde yerine getirmesini ve uygulamasını sağlamaktadır.

Ayrımcılık Yapmama
Albaugh, uygulanan düzenlemeler uyarınca kendilerine tanınan herhangi bir hakkı kullanan bireylere karşı her durumda ayrımcılık yapmaz. Bu ayrımcılık yapmama, talep eden kişilere mal veya hizmet sağlamaktan kaçınmamayı; mal veya hizmetler için farklı fiyatlar veya oranlar talep etmemeyi, indirimler veya diğer avantajlar aracılığıyla ceza uygulamamayı, bireysel taleplere yönelik farklı seviyede veya kalitede mal veya hizmet sağlamamayı içerir; ayrıca bireylerin haklarını kullanmaları sonucunda farklı bir fiyat veya oran alacakları veya farklı bir seviyede veya kalitede mal veya hizmet alacakları şeklinde önerilerde bulunmamayı da kapsar.

Ayrıca, bölgesel BT ve Uyumluluk Görevlileri, her bölgede geçerli yerel yasanın özel gereksinimlerini ele almak üzere Grup BT ve Grup Uyumluluk Görevlisi ile çalışacaktır.

4. Çerezler ve Rıza

4.1 DÜZENLEYİCİ KONULAR

“Rıza” terimi, dünya genelinde geçerli olan hemen hemen her veri koruma düzenlemesinde yer almaktadır. ABD dışında kalan çoğu ülke, Albaugh’ın bilgi topladığı veri sahibinden serbestçe verilmiş “opt-in” rızası gerektirmektedir. Uygulanabilir Yasalar, “rıza”yı “veri sahibinin kişisel verilerinin işlenmesine onay verdiğini, açık bir beyan veya olumlu bir eylemle belirttiği, serbestçe verilmiş, belirli, bilgilendirilmiş ve kesin bir ifade” olarak tanımlar.

Uygulanabilir Yasalar, bir organizasyonun kişisel bilgileri toplarken ve işlerken iddia edebileceği hukuki dayanakları belirler; bu, “rıza”yı içerir. Albaugh, belirli bir veri işleme etkinliği için “rıza”yı hukuki dayanak olarak iddia ediyorsa, bu sürecin mantığının tutarlı olmasını sağlamalı ve daha sonra başka bir hukuki dayanak için değiştirilemeyecektir (ancak başlangıçta birden fazla hukuki dayanak belirtilebilir).

Uygulanabilir Yasalar, “rıza” ile ilgili aşağıdaki koşulları sağlar:

Serbestçe Verilmiş:
Bir hükmün veya hizmetin yerine getirilmesi, o belirli hükmü veya hizmeti yerine getirmek için gerekli olmayan kişisel bilgilerin işlenmesi için rıza gerektirmemelidir.

Veri sahibine gerçek bir veya serbest seçim sunulmalıdır.

Belirli:
Eğer rıza, başka konuları kapsayan bir yazılı beyanda alınmışsa, rıza bölümü diğer bölümlerden açıkça ayırt edilebilir olmalıdır.

Veri sahipleri, her veri işleme etkinliği için ayrı ayrı rıza vermelidir.

Bilgilendirilmiş:
Veri sahipleri, açık bir dille, verilerini kimin işlediği, hangi işleme faaliyetlerinin gerçekleşeceği ve veri işlemenin amacının ne olduğu konusunda bilgilendirilmelidir; bu, rızanın ilk olarak alınmasından önce ifade edilmelidir.

Kesin:
Veri sahibinin kişisel bilgilerinin işlenmesine rızası, somut bir şekilde gösterilebilir olmalıdır.

Sessizlik veya hareketsizlik kabul edilemez; bir veri sahibi, açıkça bir kutuyu işaretleyerek, bir teknik ayar seçerek veya açık bir rıza beyanı sağlayarak bilinçli olarak “opt-in” yapmalıdır.

Geri Alınabilir:
Veri sahibine her zaman rızasını kolayca geri çekme (yani, çıkma) hakkı tanınmalıdır; bu hak, rızanın ilk olarak alınmasından önce ifade edilmelidir.

4.2 KİŞİSEL BİLGİLERİN “SATIŞI”

“Satış”, tüketicinin istemeden bir üçüncü tarafla paylaşılması için yönlendirdiği kişisel bilgilerin satılması, kiralanması, açıklanması, yayılması, sağlanması, devredilmesi veya başka bir şekilde sözlü, yazılı veya elektronik ya da diğer yollarla iletilmesi anlamına gelir. Para karşılığı olmaksızın üçüncü taraflara yapılan kişisel bilgi transferleri, Uygulanabilir Yasalar altında “satış” olarak sınıflandırılabilir. Bu nedenle, kişisel bilgilerin “satışı” rıza gerektirir.

4.2.1 Satma Yasağı Kuralı

Belirli Uygulanabilir Yasalar kapsamında, tüketicilerin işletmelere kişisel bilgilerini “satmamalarını” söyleme hakkı bulunmaktadır. Satma Yasağı Kuralı'nın özel gereksinimleri aşağıdakileri içerir:

• Tüm web siteleri, tüketicilerin kişisel bilgilerini “satıştan çıkma” imkanı veren “Kişisel Bilgilerimi Satma” adında bir sayfaya sahip olmalıdır.
• “Kişisel Bilgilerimi Satma” sayfası bağlantısı web sitesi ana sayfasında bulunmalıdır (tüm web sayfalarında görünür kılmak da en iyi uygulamadır).
• Tüketiciler, web sitesinde bir hesap oluşturmadan çıkma işlemi yapabilmelidir.
• Web sitesi gizlilik politikası, tüketici haklarını açıklayan bir dil içermeli ve “Kişisel Bilgilerimi Satma” sayfasına bir bağlantı bulundurmalıdır.
• Bir tüketici çıkış yaptığında, 12 ay boyunca kişisel bilgilerinin “satılması” için talep edilmeyecektir.

Albaugh, kişisel bilgilerinin satışında yer almaz. Eğer herhangi bir Albaugh web sitesi, kişisel bilgileri üçüncü taraflara satmak için topluyorsa, bu web sitesi “Kişisel Bilgilerimi Satma” sayfasını içermelidir.

4.2.2 Küçükler ve Kişisel Bilgilerin Satışı

Albaugh, 16 yaş altındaki tüketicilerin kişisel bilgilerini bilerek “satmamaktadır”. 13 ile 16 yaşları arasındaki tüketiciler veya 13 yaş altındaki tüketicilerin ebeveynleri/vasileri, kendilerinin veya çocuklarının kişisel bilgilerinin “satışına” özel olarak “opt-in” veya “rıza” vermelidir.

Albaugh’ın hizmetleri ve ürünleri, on sekiz (18) yaş altındaki bireyler için tasarlanmamıştır. Albaugh, küçüklerle ilgili kişisel bilgileri bilerek toplamaz ve kullanmaz.

4.3 POLİTİKA GEREKSİNİMLERİ

Albaugh, Uygulanabilir Yasalar uyarınca Veri Sahiplerinden rıza almakla yükümlüdür. Rızanın gerekli olduğu durumlarda, aşağıdakilerin sağlanması gerekmektedir:

• Veri Sahibinin kişisel bilgilerinin işlenmesine açık rıza verdiğinin gösterilebilmesi.
• Veri Sahibinin kişisel bilgilerinin bir veya daha fazla belirli amaç için işlenmesine rıza verdiğinin gösterilebilmesi.
• Rıza, Veri Sahibinin diğer konularından kolayca ayırt edilebilir olmalıdır.
• Rıza, anlaşılır ve kolay erişilebilir bir biçimde, açık ve sade bir dil kullanılarak ifade edilmelidir.
• Veri Sahibinin, rızasını vermeden önce rızasını geri çekme hakkı konusunda bilgilendirilmesi.
• Veri işlemesi, Veri Sahibinin verdiği açık rıza ile bağlanan sözleşme ile sınırlı olmalıdır.
• Rıza kayıtları, uygulandığında, iç veri saklama politikaları ve düzenleyici yükümlülüklere uygun olarak saklanmalıdır.

Ayrıca, bölgesel BT ve bölgesel Uyumluluk Görevlisi, Albaugh’ın rıza prosedürlerini ilgili yerel yasalara ve düzenlemelere göre kontrol edecektir.

4.4 İSTİSNALAR

Politikadaki herhangi bir istisna, Genel Counsel tarafından onaylanmalıdır.

4.5 POLİTİKA UYGULAMASI

Bu politikayı ihlal eden herhangi bir çalışan disiplin cezasına tabi olabilir, işten çıkarma da dahil olmak üzere.

5. Belge Revizyon Tarihçesi ve Onayı