Aşağıda, Wiesbaden Eyalet Başkenti’nin Nextcloud tabanlı işbirliği platformunda kişisel verilerinizin işlenmesi hakkında bilgi veriyoruz; ayrıca veri koruma mevzuatı uyarınca sahip olduğunuz haklar ve talepler hakkında da bilgi sunuyoruz. 

Genel Veri Koruma Yönetmeliği (GDPR) ve üye devletlerin diğer ulusal veri koruma kanunları ile diğer veri koruma mevzuatı kapsamında sorumlu kişi şudur:  

Wiesbaden Eyalet Başkenti tarafından Nextcloud'un kaydı ve işletilmesi ile ilgili veri işleme faaliyetleri açısından: 

Wiesbaden
Eyalet Başkenti, Belediye Meclisi tarafından temsil edilmektedir

İnovasyon, Organizasyon ve Dijitalleşme
Dairesi Organizasyon birimi: 150230
Hasengartenstraße 21
65189 Wiesbaden
Telefon: 0611 314163
E-posta: appservicewiesbadende 

Paylaşılan dosyalarda bulunan kişisel verilerin saklanması ve Wiesbaden Eyalet Başkenti tarafından aktarılması ile ilgili olarak:

Wiesbaden Eyalet Başkenti'nin ilgili daireleri ve bölümleri Schlossplatz 6
65183 Wiesbaden
Telefon: 0611 310
E-posta: buergerreferatwiesbadende 

Harici kişiler Nextcloud üzerinden veri yükledikleri takdirde, Wiesbaden Eyalet Başkenti'ne yapılan aktarımla ilgili veri koruma sorumluluğu bu kişilere aittir. Aynısı, Nextcloud üzerinden alınan verilerin yeniden kullanımı için de geçerlidir. 

Wiesbaden
Eyalet Başkenti Veri Koruma Görevlisi Wiesbaden
Eyalet Başkenti Veri Koruma Görevlisi Wilhelmstraße 32
65183 Wiesbaden
Telefon: 0611 313083
E-posta: datenschutzwiesbadende

Wiesbaden
Eyalet Başkenti Bilgi Güvenliği Sorumlusu Hasengartenstraße 21
65189 Wiesbaden
Telefon: 0611 31780
E-posta: it-sicherheitwiesbadende

Açık kaynaklı Nextcloud uygulaması (bundan sonra "Nextcloud" olarak anılacaktır) temelinde kurulan bu platform, belgelerin depolanması ve paylaşılmasına yönelik entegre ek işlevlere sahip merkezi bir bulut depolama hizmetidir. Wiesbaden Eyalet Başkenti'nin tüm çalışanları tarafından kullanılabilen bu platform, idare içinde ve dış ortaklarla dijital işbirliği için hizmet vermektedir. Seçilmiş harici kişiler, projeye ilişkin dosyaları paylaşmak ve işbirliği yapmak amacıyla Nextcloud tabanlı Wiesbaden Eyalet Başkenti işbirliği platformuna erişim hakkı alırlar.

"Nextcloud Files" modülüne sahip "Nextcloud" sistemi, dosyaların depolanması ve paylaşılmasına hizmet eder ve Wiesbaden Eyalet Başkenti'nin tüm çalışanları tarafından kullanılabilir. Teknolojik temeli, Alman şirketi Nextcloud GmbH'nin açık kaynaklı "Nextcloud" yazılımıdır.

Nextcloud'un sağlanması ve teknik işletimi, belediye veri merkezinde WIVERTIS GmbH tarafından gerçekleştirilmektedir. Sistemin teknik desteği, Wiesbaden Eyalet Başkenti İnovasyon, Organizasyon ve Dijitalleşme Dairesi, BT Yönetimi Bölümü çalışanları tarafından sağlanmaktadır.

"Keycloak" uygulaması, kullanıcıların kimlik doğrulama ve yetkilendirme işlemlerinden sorumludur ve Nextcloud ile birlikte kullanılır. Bu uygulama, özellikle harici kullanıcı hesaplarının kimlik doğrulama ve yetkilendirme işlemlerinin yanı sıra kimlik yönetimi için kullanılır.  

Verilerinizin Nextcloud'da işlenmesi aşağıdaki hizmet amaçları doğrultusunda gerçekleştirilir:

• Wiesbaden Eyalet Başkenti idaresi içinde hizmet amaçlı işbirliği için dosyaların depolanması.
• Bölümler ve daireler arası dosya paylaşımı.
• Wiesbaden Eyalet Başkenti'nin harici hizmet veya işbirliği ortaklarına dosyaların sınırlı süreli olarak paylaşılması.
• Harici kullanıcılara açılan dosyalar veya belediye yönetimi içindeki paylaşımlar için erişim haklarının yönetimi.
• Sürecin işleyişi için gerekli tüm hizmetlerin güvenliği ve işlevselliğinin sağlanması.

"Nextcloud" uygulamalarının kullanımı sırasında aşağıdaki veri türleri gereklidir veya uygulama ile çalışırken bu veriler oluşur.

a. Kayıt ve kimlik doğrulama verileri:

• Kullanıcı adı: dosyalarda değişiklik yapmak için kullanılan kimlik (dahili) ve e-posta adresi (harici);
• Kullanıcı grubu sadece LHW çalışanları için;
• İletişim bilgileri (iş amaçlı) (örneğin e-posta adresi, telefon) veya (özel/harici) (örneğin e-posta adresi);
• Kişisel veriler: Ad ve soyad:
• Rol ve ekip üyeliği: LHW çalışanları için organizasyon birimi;
• Nextcloud kişisel bilgilerinde gönüllü olarak girilen veriler (telefon numarası, konum, doğum tarihi, dil, bölge ayarı, çalışma haftasının ilk günü, web sitesi, X-Handle, Fediverse'deki çevrimiçi ad, profil resmi).

b. İdari veriler:

"Nextcloud" uygulamasının herhangi bir sayfasına her erişim ve depolanan herhangi bir dosyanın her çağrılması, bir web sunucusu tarafından günlük dosyalarına kaydedilir. Bu verilerin saklanması, dahili ve sistemle ilgili amaçlara hizmet eder. Kaydedilen bilgiler:

• hangi dosyanın talep edildiği;
• dosyanın adı;
• isteğin tarihi ve saati;
• aktarılan veri miktarı;
• erişim durumu (dosya bulunamadı, dosya aktarıldı vb.).

c. Teknik veriler:

• web sunucusu/web proxy'sinde erişim sağlayan son cihazın IP adresi (harici ve dahili);
• kullanılan web tarayıcısının türü;
• Oturum açma tarihi;
• oturumun başlangıcı;
• Teknik kullanım verileri (örneğin önbellek içeriği, oluşturulan dizin verileri, sürümler, hata mesajları, günlük dosyaları);
• Veritabanındaki teknik veriler (örneğin, kayıt tarihi, oturum başlangıcı), bunlar doğrudan belediye AD'sinden (Active Directory) veya diğer AD benzeri sistemlerden (örneğin Keycloak) okunur. İşlem sırasında ve ilgili sistemlerde herhangi bir kayıt yapılmaz.
• Çerezler: Dahili sayfa https://cloud.wiesbaden.de (Yeni bir sekmede açılır) ve harici sayfa https://ext.cloud.wiesbaden.de/login (Yeni bir sekmede açılır) üzerinde, yalnızca Nextcloud'un kullanımı için kesinlikle gerekli olan çerezler kullanılır. Aşağıdaki bağlantıda çerezler hakkında daha fazla bilgi bulabilirsiniz: https://docs.nextcloud.com/server/latest/admin_manual/gdpr/cookies.html (Yeni bir sekmede açılır)

d. İçerik verileri ve özel kategorilerdeki kişisel veriler:

• Dahili ve harici kullanıcılar tarafından oluşturulan içerik ve iletişim verileri (örneğin belgeler, grafikler, resimler, ses ve video dosyaları, notlar ve yorumlar).
• Nextcloud'da depolanan belgelerin içeriği dolaylı olarak etkilenir. Depolanan belgelerin kişisel veriler içermesi teknik olarak göz ardı edilemez. Ayrıca, bu belgelerin veya diğer içerik dosyalarının GDPR Madde 4, Paragraf 1 anlamında hassas, gizli veya kişisel bilgiler içermesi mümkündür. Bunlar arasında özellikle GDPR Madde 9, Paragraf 1 uyarınca özel korumaya tabi olan veriler ile korunmaya muhtaç gerçek kişiler, özellikle çocuklar hakkındaki bilgiler yer alır. Bu tür içeriklerin otomatik olarak tanınması veya işlenmesi söz konusu değildir.

Belediye çalışanlarının kişisel verilerinin işlenmesi, iş sözleşmesi temelinde veya günlük işlerin bir parçası olarak görevlerin yerine getirilmesi amacıyla gerçekleştirilir.

Belediye tarafından yüklenen belgelerde yer alan kişisel verilerin işlenmesi (özellikle saklanması ve aktarılması) ile ilgili veri koruma sorumluluğu, ilgili departmanlara ve dairelere aittir. Bunlar, özellikle Nextcloud aracılığıyla gerçekleştirilen veri aktarımının yasal dayanağının mevcut olmasını sağlamalıdır. Aynısı, harici kişiler tarafından yüklenen verilerin saklanması ve işlenmesi için de geçerlidir.

Veri işleme için yasal dayanaklar şunlardır:

• GDPR Madde 6, Paragraf 1, Bent a, işleme, ilgili kişinin rızası temelinde gerçekleştiriliyorsa.
• GDPR Madde 6, Paragraf 1, Bent b, işleme, ilgili kişinin taraf olduğu bir sözleşmenin yerine getirilmesi için veya ilgili kişinin talebi üzerine gerçekleştirilen sözleşme öncesi tedbirlerin uygulanması için gerekliyse.
• GDPR Madde 6, Paragraf 1, Bent c, işleme bir yasal yükümlülüğün yerine getirilmesi için gerekliyse, Topluluk hukuku veya ulusal hukuktan bir hükümle bağlantılı olarak;
• GDPR Madde 6, Paragraf 1, Bent e, Topluluk hukuku veya ulusal hukuktan bir yasal dayanakla bağlantılı olarak, işleme kamu yararına olan bir görevin yerine getirilmesi için veya sorumlu kişiye devredilen kamu yetkisi kapsamında gerçekleştirilmesi için gerekli olduğu sürece.

Yukarıda belirtilen amaçlar için, söz konusu kişisel verilerin toplanması ve işlenmesi zorunludur, çünkü süreç adımları birbirini takip etmektedir. Yalnızca bir profil oluşturmak ve yazılımın sorunsuz teknik çalışması için gerekli olan veriler işlenir. 

Prensip olarak, kişisel verilerinizi yalnızca işleme amacının yerine getirilmesi için gerekli olduğu sürece işler ve saklarız.

Aşağıda açıkça bir saklama süresi belirtilmediği sürece, verileriniz saklama amacı ortadan kalkar kalkmaz silinir veya engellenir. 

Belediye çalışanlarının kişisel verileri, görev süresince ve belediye idaresine bağlı oldukları süre boyunca saklanır. Bu durum özellikle şu hallerde geçerlidir:

• Nextcloud'un aktif kullanımı sırasında,
• Wiesbaden Eyalet Başkenti (LHW) bünyesindeki bir daire, bölüm veya birime bağlı olunduğu süre boyunca,

İşten ayrılma durumunda, Nextcloud'daki kişisel veriler otomatik olarak silinir.

Kullanıcı hesabı olmayan harici kullanıcıların verileri, aşağıdaki koşullardan en az biri karşılanana kadar saklanır:

• Belediye çalışanları tarafından klasör veya dosyalara aktif paylaşımlar yapılmışsa.
• Yasal bir saklama yükümlülüğü bulunmaktadır.
• Paylaşım kapsamında tanımlanan son kullanma tarihi henüz gelmemiştir.

Bahsedilen tüm koşullar ortadan kalktıktan sonra, silinmeye engel olacak başka yasal nedenler olmadığı sürece kullanıcı verileri silinir.

Kullanıcı hesabı olan harici kullanıcıların verileri, kullanıcı hesabı olmayan harici kullanıcıların verileriyle aynı şekilde saklanır. Ayrıca, harici kullanıcı hesaplarında aşağıdaki kullanıcı verileri toplanır:

• Harici kullanıcıların kişisel verileri, harici Nextcloud örneğine tam erişim sağlayan bir kullanıcı hesabı oluşturmak için gerekli olduğu ölçüde toplanır ve saklanır.
• Yetki yönetimi ve tahsisi, uzman birimdeki destek ekibi tarafından ayrı bir harici kullanıcı arayüzü üzerinden gerçekleştirilir.
• Harici kullanıcı hesapları, üç ay boyunca etkin olmayan durumda kaldıklarında devre dışı bırakılır ve belirlenen bir bekleme süresinin ardından silinir.
• Devre dışı bırakılmış harici kullanıcı hesaplarının yeniden etkinleştirilmesi, harici kullanıcı yönetiminin idaresinden sorumlu olan uzman birimdeki destek ekibi tarafından gerçekleştirilebilir.

Yukarıda belirtilen tüm koşullar ortadan kalktıktan sonra, silinmeye engel olacak başka yasal nedenler bulunmadıkça kullanıcı verileri silinir.

• Nextcloud arayüzünde kullanıcılar, isteğe bağlı olarak kişisel bilgilerini (örneğin profil bilgileri) girebilirler.
• Bu bilgiler her zaman kullanıcı tarafından silinebilir.
• Manuel olarak silinmedikleri takdirde, gönüllü olarak sağlanan veriler ilgili kullanıcı hesabının silinmesiyle birlikte otomatik olarak kaldırılır.

Kişisel verilerin silinmesi, veri koruma mevzuatının gerekliliklerine uygun olarak gerçekleştirilir. Bu işlem, ilgili kullanım amacı, organizasyonel sorumluluklar ve sistemin teknik koşullarına göre belirlenir.

Belgelerin silinmesi

• Yöneticiler tarafından sistem düzeyinde belge silme işlemi temel olarak yapılmaz.
• İçerik ve iletişim verilerinin (ör. grup veya proje klasörlerindeki dosyalar) silinmesinden ilgili kullanıcılar sorumludur. Kullanıcılar, oluşturdukları içerikleri istedikleri zaman kendi başlarına silebilirler.
• Belediye çalışanlarının kişisel klasörlerinde saklanan belgeler, çalışanların hizmetten ayrılmasının ardından kullanıcı yönetimi sürecinin kurallarına uygun olarak silinir.

Kullanıcı yetkilerinin silinmesi ve değiştirilmesi

• Kullanıcı izinlerinin değiştirilmesi veya silinmesi ile grup üyeliklerinin ayarlanması, belediye kullanıcı yönetimi standart süreci kapsamında gerçekleştirilir. Kişisel içeriklerin silinmesi, belediye hizmetinden ayrılma durumunda kullanıcı hesabının kaldırılmasıyla otomatik olarak gerçekleşir.
• Bu süreç, organizasyonel ve teknik olarak yerleşmiştir ve sorumlu birimler tarafından sürekli olarak izlenmektedir.
• Harici kullanıcı hesaplarının silinmesine ilişkin süreçler ve süreler, "Keycloak" uygulamasının veri koruma bilgilerine dahil edilmiştir.

Protokol ve Günlük Verileri

• Sistem kullanımı kapsamında oluşan günlük dosyaları, WIVERTIS GmbH'nin ilgili tüm sistemlerinde yaklaşık 30 gün boyunca güvenli bir şekilde saklanır.
• Bu günlük verilerinin silinmesi, döngüsel bir prosedürle gerçekleştirilir: Eski veriler otomatik olarak yenileriyle üzerine yazılır.
• Protokol bilgilerinin değerlendirilmesi veya birleştirilmesi, teknik olarak gerekli olduğu ölçüde, yalnızca hata analizi kapsamında gerçekleştirilir.
• Genellikle verilerle doğrudan bir kişi arasında bağlantı kurulması mümkün değildir; diğer veri tabanlarıyla sistematik bir bağlantı kurulmaz.
• Günlüklerin bunun ötesinde bir şekilde saklanması veya değerlendirilmesi söz konusu değildir.

Bununla birlikte, sizinle (tehlike altındaki) bir hukuki ihtilaf veya başka bir hukuki işlem olması durumunda ya da sorumlu taraf olarak tabi olduğumuz yasal düzenlemeler tarafından öngörülmesi halinde, veriler daha uzun süre saklanabilir. Verilerin bloke edilmesi veya silinmesi, söz konusu normlar tarafından öngörülen saklama süresi dolduğunda da gerçekleşir; ancak, tarafımızca daha fazla saklama gerekli olması ve bunun için yasal bir dayanak bulunması durumu hariçtir.

Belediye çalışanlarının kişisel verileri, yalnızca belediye Active Directory aracılığıyla Nextcloud'a entegre edilir. Harici bir kullanıcı hesabına sahip harici kullanıcıların kişisel verileri, yalnızca "Keycloak" uygulamasında saklanır. Bunun dışında, şu anda Nextcloud'da başka hiçbir kişisel veri toplanmamakta ve saklanmamaktadır.

Oluşturulan günlük dosyaları, teknik olarak gerekli olan asgari düzeye indirgenmiştir ve WIVERTIS GmbH’nin işleme sürecine dahil olan tüm sistemlerinde yaklaşık 30 gün boyunca güvenli bir şekilde saklanır. Ardından, otomatik ve döngüsel bir işlemle üzerine yazılırlar. Belediye kullanıcılarının oturum açma ve kapatma saatleri kaydedilmez. Bu dosyalarda yer alan bilgilerin değerlendirilmesi veya birleştirilmesi, yalnızca gerekli hata analizi kapsamında gerçekleştirilir. Bireyler hakkında bir sonuca varılması mümkün değildir ve bunun ötesinde bir saklama veya diğer verilerle birleştirme işlemi yapılmaz.

Grup veya proje klasörlerindeki belgelerin silinmesi, idari düzeyde gerçekleştirilmez. Kullanıcılar, oluşturdukları içerik ve iletişim verilerini istedikleri zaman kendi başlarına silme olanağına sahiptir. Kişisel klasörde saklanan belgeler, belediye çalışanının işten ayrılması veya harici kullanıcı hesabının silinmesi durumunda buna uygun olarak silinir.

Wiesbaden Eyalet Başkenti tarafından Nextcloud üzerinden paylaşılan veriler, paylaşımların alıcılarına iletilir. Bunun dışında, tarafımızca saklanan veriler genellikle üçüncü şahıslara aktarılmaz.

Ancak görev ve yükümlülüklerimizi yerine getirmek için, sizinle ilgili olarak saklanan kişisel verileri gerçek ve tüzel kişilere, resmi makamlara, kurumlara veya diğer kuruluşlara ifşa etmemiz gerekebilir. 

Bu durumda özellikle aşağıdaki alıcı kategorileri söz konusu olabilir:

Belediyeye bağlı BT hizmet sağlayıcısı WIVERTIS GmbH bünyesinde, Nextcloud'un tüm yöneticileri tüm kişilerin tüm verilerine erişebilir. WIVERTIS GmbH, GDPR Madde 28 uyarınca Wiesbaden Eyalet Başkenti'nin işleme sorumlusudur.

WIVERTIS GmbH, Nextcloud'un işletimi için alt işleyiciler kullanmamaktadır ve dolayısıyla teknik işletim kapsamında hiçbir veriyi üçüncü taraflara aktarmamaktadır.

Belediye daireleri, bölümleri, departmanları ve uzmanlık alanları içinde, Nextcloud kullanımıyla ilgili verilere erişim, haklar ve roller konsepti ile düzenlenmektedir.

Hizmetin kullanımı, atanan role göre verilere ve işlevlere erişimi düzenleyen farklılaştırılmış bir rol ve yetki konseptine tabidir. Belediye çalışanları, kendileriyle ilgili resmi ve kişisel klasörlere temel erişim hakkına sahiptir.

Proje klasörlerini, grupları yönetmek veya teknik sistem yönetimini gerçekleştirmek için gerekli olan genişletilmiş idari yetkiler, yalnızca proje, kurum veya sistem yöneticileri gibi uzman rollere ayrılmıştır. Harici kullanıcılara, kendileri için açıkça paylaşılmış içeriğe erişim izni verilebilir; bu erişim, kendi hesabı olmayan kullanıcılar için geçici olarak genel bağlantılar aracılığıyla veya web arayüzüne erişimi olan ayrı bir kullanıcı hesabı aracılığıyla kalıcı olarak sağlanabilir.

Her kullanıcı, hizmeti yalnızca kendisine atanan rol ve bununla ilişkili yetkiler kapsamında kullanmakla yükümlüdür.

Belediye ağı dışından Nextcloud'a erişen harici kişiler, verilerin ifşası için yasal bir dayanak varsa veya rıza varsa verilere erişebilir.

Tarafımızca saklanan veriler, ilke olarak üçüncü ülkelerdeki kurumlara veya uluslararası kuruluşlara aktarılmaz. Bu aktarım, yalnızca özel istisnai durumlarda GDPR’nin 44. maddesi ve devamındaki hükümler uyarınca gerçekleştirilebilir.

Kişisel verileriniz işleniyorsa, GDPR anlamında bir veri öznesisiniz ve denetleyiciye karşı aşağıdaki haklara sahipsiniz:

GDPR Madde 15 uyarınca tarafımızca işlenen kişisel verileriniz hakkında bilgi talep edebilirsiniz. Bilgi talebinizde, gerekli verileri derlememizi kolaylaştırmak için talebinizi belirtmelisiniz. Bilgi edinme hakkınızın 24 (2), 25 (2), 26 (2) ve 33. HDSIG Bölümleri hükümleri ile kısıtlandığını lütfen unutmayın.

Sizinle ilgili bilgiler doğru değilse (veya artık değilse), GDPR Madde 16 uyarınca bir düzeltme talep edebilirsiniz. Verileriniz eksikse, tamamlanmasını talep edebilirsiniz.

GDPR Madde 17 ve HDSIG Bölüm 34 koşulları altında kişisel verilerinizin silinmesini talep edebilirsiniz. Silme hakkınız, diğer şeylerin yanı sıra, sizinle ilgili verilerin yasal görevlerimizi yerine getirmemiz için hala gerekli olup olmadığına bağlıdır.

GDPR Madde 18 hükümleri çerçevesinde, sizinle ilgili verilerin işlenmesinin kısıtlanmasını talep etme hakkına sahipsiniz.

GDPR Madde 21 uyarınca, özel durumunuzdan kaynaklanan nedenlerle istediğiniz zaman sizinle ilgili verilerin işlenmesine itiraz etme hakkına sahipsiniz. Ancak, buna her zaman uyamayız, örneğin bir yasal hüküm, resmi görevimizin yerine getirilmesinin bir parçası olarak Bölüm 35 HDSIG anlamında verileri işlememizi zorunlu kılıyorsa.

Veri işleme, rızanıza dayanıyorsa (GDPR Madde 6, Paragraf 1, Alt Paragraf 1(a), GDPR Madde 9, Paragraf 2(a)), bu rızayı gelecekte geçerli olmak üzere istediğiniz zaman geri çekme hakkına sahipsiniz. İptal işleminin, iptal tarihine kadar rıza temelinde gerçekleştirilen veri işlemenin hukuka uygunluğunu etkilemediğini, yani bu işlemlerin iptal nedeniyle sonradan hukuka aykırı hale gelmediğini lütfen unutmayın. 

Bizim için yetkili veri koruma denetim kurumu şudur:
Hessen Veri Koruma ve Bilgi Özgürlüğü
Sorumlusu Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: 0611 14080
E-posta: poststelledatenschutz.hessende