Kişisel verilerin işlenmesine ilişkin bilgilendirme
Aşağıda, özellikle DSGVO kapsamında şeffaflık yükümlülüklerine uygun kısa ve anlaşılır bilgiler yer almaktadır. Bildungsinstitut Garbsen e.V. portalının kullanımına dair ek açıklamalar aynı metinde özetlenmiştir. Kişisel verilerden hukuken sorumlu olan taraf, aşağıda adresi bulunan eğitim kurumunuz / derneğinizdir; yazılım sağlayıcısı başlı başına veri sorumlusu sayılmaz.
§ 1 Kişisel verilerden sorumlu olan veri sorumlusu
Bildungsinstitut Garbsen e.V
Adres:
§ 2 Veri işlemenin amacı, işlenen veri türleri ve saklanması
Amaç: Eğitim/kurs süreçlerine katılımınızın kaydı, düzenlenmesi ve özellikle pedagoji ile kurum içi dokümantasyon; velilerle sözleşmesel iletişim; çevrimiçi olarak Bildungsinstitut Garbsen e.V. üzerinden sınıfların yürütülmesi, yoklama, ödevler, duyurular ve gerekliyse başvuru/ödemelere ilişkin kayıtlar.
Başvuru şeklinize ve portala göre işlenebilecek veriler arasında başlıca şunlar sayılabilir:
- Çocuk ve veli adı-soyadı ve iletişim/adres bilgileri;
- Çocuğun doğum tarihi; kayıt formunda talep edilen diğer kimlik ve örgütsel alanlar;
- Telefon ve e-posta (iletişim, veli portalı, bildirimler);
- Kurumun ilgili modülleri açıksa: yoklama durumları, ödevler, duyurular, öğrenme ilerlemesi gibi katılıma bağlı kayıtlar;
- Teknik olarak zorunlu günlükler (ör. portala erişim, zaman damgası, IP adresi).
Hukuki dayanaklar (özet; somut işleme ile birlikte değerlendirilir):
- DSGVO m. 6(1)(b): eğitim/hizmet sözleşmesinin ifası veya sözleşme öncesi adımlar ve üyelik/katılım ilişkisi kapsamındaki örgütsel işlemler;
- Posta, elektronik ileti veya anlık mesajla diğer eğitim/katılım teklifleri hakkında bilgilendirme yapılacaksa: buna ek olarak DSGVO m. 6(1)(f) (tüzük ve üyelik/katılım düzeninizde tanımlanan çerçevede, bağlı teklifler hakkında meşru menfaat) — bu işlemeye DSGVO m. 21 uyarınca itiraz edebilirsiniz;
- DSGVO m. 6(1)(c): ticari veya vergi mevzuatından kaynaklanan zorunlu saklama süreleri saklıdır.
Saklanma ve silinme: Kişisel veriler çoğu hâlde hizmet ve sözleşme ilişkisinin sona ermesinden itibaren üç takvim yılı sonra silinir veya anonimleştirilir; bununla birlikte kurumunuzun belgelediği farklı (daha kısa veya daha uzun) saklama politikası önceliklidir ve yasal zorunlu arşiv süreleri bunun dışında tutulur. Portalda bazı kayıtlar dahili politikaya uygun olarak arşivlenmiş (geri getirilebilir "yumuşak silme") şekilde tutulabilir.
§ 3 İlgili kişinin hakları
Üyelik veya iç kurallar uyarınca başvuru usulleri saklı kalmak üzere, veri sorumlusuna karşı hukukun öngördüğü koşullarda özellikle şunları kullanabilirsiniz:
- Saklanan veriler hakkında bilgi (DSGVO m. 15),
- Yanlış verilerin düzeltilmesi (m. 16),
- Öncelikli sebep olmaması şartıyla silinme («unutulma») (m. 17),
- İşlemenin kısıtlanması (m. 18),
- Uygulanabilir ise yapısal ve makine tarafından okunabilir biçimde veri taşınabilirliği (m. 20).
Portalda veliler — etkinleştirilmişse — özet kişisel veri dışa aktarımı (JSON) ile hesaplarını kapatma veya kimlik bilgilerini anonimleştirme işlevlerini kullanabilir; bazı şahsi ve öğretim belgeleri için nihai arşiv kararı ayrıca iç inceleme gerektirebilir.
§ 4 Şikâyet hakkının kullanılması — yetkili denetim makamı
Veri koruma ihlali iddiasıyla bir denetim makamına başvurabilirsiniz.
Niedersachsen (Aşağı Saksonya) Eyaleti Veri Koruma Yetkilisi (LfD Niedersachsen)
Prinzipenstraße 5, 30159 Hannover, Almanya
Telefon: 0511 / 120 - 4500
E-posta: poststelle@lfd.niedersachsen.de
Kurumunuz Niedersachsen dışında veya farklı hukuki statüde ise başka bir denetim makamı yetkili olabilir; lütfen bunu tespit edip gizlilik sayfası metnindeki adresi yönetici panelinden güncelleyin.
§ 5 Üçüncü kişilere aktarım
Verilerin aktarılması esas olarak kanunda izin veya zorunluluk bulunması, açık rızanızın olması veya tüzük ve üst örgüt görev dağılımına dayalı yetki çerçevesinde yapılır.
Portalın örgütlenmesi ve sunumu için örnek kapsam:
- Veri işleyen (alt işlemci) olarak barındırma, e-posta ve BT hizmetleri — genelde DSGVO m. 28 sözleşmesi ve talimatlara uyum;
- Yapınızda öngörülüyorsa: bağımsız veri sorumlusu olmayan, kurumunuzun görevlerini paylaşan bölgesel veya koordinasyon birimleri (ayrıntıları kayıtlı veri envanterinizde tutun).
Örnek organizasyonlar (yıllık güncellik ve hukuki dayanak uyumunu kontrol edin):
- IGMG Bölgesel Birliği Hannover e. V., Weidendamm 29, 30167 Hannover.
Ek bilgi: Portalındaki işlemler (özet)
Başvurular, veli hesabı ve öğrenci kayıtları
Veli self-kayıt ve öğrenci kayıt akışlarında ad, iletişim, adres, parola özeti, bilgilendirme metinlerinin okunduğuna dair kayıt ve formda sunulan banka/rıza alanları işlenebilir.
Yoklama, ödev, duyurular, öğrenme durumu
Yetkili öğretici rolleri, mevzuat ve kurum düzeni çerçevesinde pedagojik ve örgütsel verileri girer; veliler, yapılandırmaya göre çocuklarına ilişkin yetkili alanları güvenli panelden görür.
Duyurular ve e-posta
Etkinleştirilmişse duyurular veli gruplarına gönderilir; iletim sırasında e-posta ve metin sağlayıcıda teknik işleme yapılabilir. Bir duyurunun portalda okunmuş olarak işaretlenmesi izlenebilir şekilde kaydedilebilir.
Silme talepleri ve kayıt / erişim günlükleri
Veli tarafından başlatılan öğrenci silme talepleri yönetim tarafından sonuçlandırılır; yazılım aktivite ve erişim günlükleri ile hesap verilebilirlik sağlayabilir. Hukuki dayanak ve saklama süreleri m. 6 ve kurum politikanızla uyumlu olmalıdır.
Diğer hukuki dayanaklara kısa gönderme
- m. 6(1)(c): yasal saklama;
- m. 6(1)(a): örneğin zorunlu olmayan çerezle gömülü video (çerez politikasına bakın);
- m. 6(1)(f): sınırlı ölçüde bilgi güvenliği ve kötüye kullanımın önlenmesi (denge testi ile).
Reklam / fotoğraf ve benzeri rızalar
Kayıtta ek eğitim teklifleri veya kamuya yönelik fotoğraf, video ve ses için rıza alınıyorsa bu kısım için dayanak esas olarak DSGVO m. 6(1)(a) ve varsa özel nitelikli veri kurallarıdır.
Bu rızayı geleceğe etkili şekilde geri alabilirsiniz; geri alma, geri almadan önceki işlemenin hukuka uygunluğunu etkilemez (DSGVO m. 7(3)). Başvuru: § 1'deki iletişim.
Üçüncü ülke ve otomatik karar
Sağlayıcılar AB/AEA dışındaysa DSGVO Bölüm V (ör. standart sözleşme maddeleri) uyarınca belgelendirme gerekir. Yazılım, DSGVO m. 22 anlamında yalnızca otomatik ve size karşı hukuki veya benzer ağır sonuç doğuran kararlar üretmez.
