Ana Sayfaya Geri Dön / Genel şartlar ve koşullar/ Veri işleme eki

Veri işleme eki

 

Bu Ek, Sözleşmenin ayrılmaz bir parçasını oluşturur ve aşağıdakiler tarafından imzalanır:

 

  1. (i) Müşteri (" Veri Dışa Aktarıcı ")
  2. (ii) POSTCODEZIP (" Veri İçe Aktarıcı ")

 

Her biri birer " Taraf " ve genel olarak " Taraflar "dır.

 

önsöz

Veri Aktarıcının profesyonel yazılım hizmetleri, bilgisayar ve ilgili hizmetleri sağladığı NEREDE;

Sözleşme uyarınca, Veri İçe Aktarıcının, Sözleşmede belirtilen hizmetleri (" Hizmetler ") Veri Dışa Aktarıcıya sağlamayı kabul ettiği YERLERDE ;

NEREDE, Veri İçe Aktarıcı, Veri Aktarıcının bilgilerine veya Veri Aktarıcı ile (potansiyel) bir ilişkisi olan diğer kişilerin bilgilerine erişim sağladığında veya bundan yararlandığında, bu tür bilgiler Yönetmelik anlamında kişisel veri olarak nitelendirilebilir. (AB) 27 Nisan 2016 tarihli ve 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi'nin (EU) 2016/679'u, kişisel verilerin işlenmesine ve bu tür verilerin serbest dolaşımına ilişkin olarak bireylerin korunmasına (" GDPR ") ve diğer geçerli veri koruma yasalarına ilişkindir.

Bu Ek'in, Tarafların geçerli veri koruma yasasına uymasını sağlamak için Veri Aktarıcısının yetkili veri işleme aracısı sıfatıyla Veri İthalatçısı tarafından bu tür kişisel verilerin toplanması, işlenmesi ve kullanılması için geçerli hüküm ve koşulları içerdiği YERLERDE .

 

DOLAYISIYLA ve Tarafların ilişkilerini hukuka uygun olarak sürdürmelerini sağlamak için, Taraflar bu Ek'i aşağıdaki şekilde sonuçlandırmışlardır:

Bölüm 1

 

1. Belgenin yapısı ve tanımlar

1.1 Yapı

Bu Ek, aşağıdaki gibi farklı bölümlerden oluşmaktadır:

 

Bölüm 1:

örneğin bu Ek'te kullanılan tanımlar, yerel yasalara uygunluk, zamanlama ve fesih ile ilgili genel hükümler içerir.

Bölüm 2:

değiştirilmemiş Standart Sözleşme Maddeleri belgesinin gövdesini içerir

Bölüm 2'nin Ek 1.1'i:

Veri İçe Aktarıcı tarafından yetkili veri işleme aracısı olarak Veri Dışa Aktarıcıya sağlanan işleme işlemlerinin ayrıntılarını içerir (işleme, işlemenin niteliği ve amacı, kişisel verilerin türü ve veri öznelerinin kategorileri dahil olmak üzere) bu kapsamda ek

Bölüm 2'nin Ek 2'si:

Bölüm 2, Ek 1.1'de açıklanan tüm işleme faaliyetleriyle bağlantılı olarak uygulanan Veri İçe Aktarıcının teknik ve kurumsal güvenlik önlemlerinin bir tanımını içerir.

Bölüm 3:

bu Ek'e tabi olacak Tarafların imzalarını içerir ve her Veri İçe Aktarıcıyı tanımlar.

 

1.2 Terminoloji ve tanımlar

Bu Ek'in amaçları doğrultusunda, GDPR tarafından kullanılan terminoloji ve tanımlar geçerlidir (Tanımlanmış terimlerin büyük harfle yazılmadığı Bölüm 2'deki Standart Sözleşme Maddesi belgesinin gövdesinde). 

 

"Üye Devlet"

Avrupa Birliği veya Avrupa Ekonomik Alanına ait bir ülke anlamına gelir

"(kişisel) verilerin özel kategorileri"

Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya sendika üyeliği gibi bilgileri ortaya koyan kişisel verileri ve bir kişinin kimliğinin benzersiz bir şekilde belirlenmesi amacıyla işlenmişse genetik verileri, biyometrik verileri, sağlıkla ilgili verileri, kişinin cinsiyetine ilişkin verileri ifade eder. hayat veya cinsel yönelim

"Standart Sözleşme Maddeleri"

16 Şubat 2010 tarihli Komisyon Uygulama Kararı (AB) 2016/2297 ile değiştirilen, 5 Şubat 2010 tarihli 2010/87/EU sayılı Komisyon Kararı uyarınca üçüncü ülkelerde yerleşik işleme acentelerinin kişisel verilerinin aktarılmasına ilişkin Standart Sözleşme Maddeleri anlamına gelir. Aralık 2016

"Veri işlemci"

AB/AEA içinde veya dışında bulunan, Veri İçe Aktarıcıdan veya Veri İçe Aktarıcının diğer herhangi bir işlemcisinden, münhasıran Veri Dışa Aktarıcı tarafından gerçekleştirilecek işleme faaliyetleri amacıyla kişisel verileri almayı kabul eden herhangi bir işleme aracısı anlamına gelir. Veri Aktarıcısının talimatlarına, bu Ek'in şartlarına ve Veri Aktarıcısı ile yapılan Sözleşmeye uygun olarak aktarım

 

 

2. Veri Aktarıcısının Yükümlülükleri

2.1 Veri Dışa Aktarıcı, GDPR kapsamındaki tüm geçerli yükümlülüklere ve Veri Dışa Aktarıcı için geçerli olan diğer tüm geçerli veri koruma yasalarına uygunluğu sağlama ve GDPR'nin 5 (2) Maddesi uyarınca gerekli uyumu gösterme yükümlülüğüne sahiptir. Veri Dışa Aktaran, Veri İçe Aktarıcı'nın GDPR Madde 6 (a) uyarınca veri sahiplerinin önceden onayını aldığını ve GDPR'nin 13 ve 14. Maddeleri uyarınca veri sahiplerini bilgilendirme yükümlülüğünü yerine getirdiğini garanti eder.

2.2 Veri Dışa Aktarıcı, Veri İçe Aktarıcının bu Ek kapsamındaki Hizmetlerle ilgili olarak GDPR Madde 30 (1) uyarınca işleme faaliyetlerinin ilgili dosyalarını, Veri İçe Aktarıcının aşağıdaki yükümlülüklere uyması için gerekli olduğu ölçüde, Veri İçe Aktarıcıya sağlamalıdır. GDPR Madde 30 (2).

2.3 Veri Aktarıcı, geçerli veri koruma yasasının gerektirdiği ölçüde bir veri koruma görevlisi veya temsilcisi atamalıdır. Veri Dışa Aktarıcı, varsa veri koruma aracısının veya temsilcisinin iletişim bilgilerini Veri İçe Aktarıcıya vermekle yükümlüdür.

2.4. Veri Aktarıcı, bu Ek'i kabul ederek işlemenin tamamlanmasından önce, Veri İçe Aktarıcı'nın Ek 2 - Bölüm 2'de belirtilen teknik ve kurumsal güvenlik önlemlerinin veri sahibinin haklarını korumak için uygun ve yeterli olduğunu onaylar. ve Veri İçe Aktarıcı'nın bu açıdan yeterli koruma sağladığını onaylar.

 

3. Yerel yasalara uygunluk

GDPR'nin 28. Maddesi uyarınca işleme aracılarının uygulanmasının gerekliliklerini karşılamak için aşağıdaki değişiklikler geçerlidir:

 

3.1 Talimatlar

  1. (i) Veri Dışa Aktarıcı, Veri İçe Aktarıcıya kişisel verileri yalnızca Veri Dışa Aktarıcı adına işlemesi talimatını verir. Veri Aktarıcısının talimatları bu Ekte ve Sözleşmede verilmiştir. Veri Aktarıcı, Veri Aktarıcıya verilen tüm talimatların geçerli veri koruma yasalarına uygun olmasını sağlamakla yükümlüdür. Veri İçe Aktarıcı, kişisel verileri Avrupa Birliği veya Üye Devletin kanunları aksini gerektirmedikçe, yalnızca Veri Dışa Aktarıcı tarafından sağlanan talimatlara uygun olarak işlemelidir (ikinci durumda, Kısım 1 Madde 3.2 (iv) (c) geçerlidir) .
  2. (ii) Bu Ekte veya Sözleşmede yer alan talimatların ötesine geçen diğer tüm talimatlar, bu Ek ve Sözleşmenin konusuna dahil edilmelidir. Bu ek talimatın uygulanması, Veri İçe Aktarıcı için maliyet içeriyorsa, Veri İçe Aktarıcı, bu tür maliyetler hakkında Veri Dışa Aktarıcıyı bilgilendirecek ve talimatı uygulamadan önce bir açıklama sunacaktır. Yalnızca Veri Aktarıcı, talimatın uygulanması için bu maliyetlerin kabul edildiğini onayladıktan sonra, Veri Aktarıcı bu ek talimatı uygulayacaktır. Aciliyet veya diğer özel durumlar başka bir form (örneğin sözlü, elektronik) gerektirmedikçe, Veri Aktarıcısı yazılı olarak ek talimatlar vermelidir. Yazılı olmayan bir biçimdeki talimatlar, Veri Aktarıcı tarafından yazılı olarak ve gecikmeksizin onaylanmalıdır.
  3. 1. Veri Aktarıcı, kişisel verilerin düzeltilmesini, silinmesini veya kısıtlanmasını kendi başına gerçekleştiremezse, talimatlar ayrıca Kısım 1 Madde 3.3'te belirtilen kişisel verilerin düzeltilmesi, silinmesi ve/veya kısıtlanması ile ilgili olabilir.
  4. 2. Veri Aktarıcı, kendi görüşüne göre, bir Talimatın GDPR'yi veya Avrupa Birliği'nin veya bir Üye Devletin diğer geçerli veri koruma hükümlerini (" İtiraz Edilen Talimat ") ihlal etmesi durumunda Veri Aktarıcıyı derhal bilgilendirmelidir.") Veri İçe Aktarıcı, bir Talimatın GDPR'yi veya Avrupa Birliği'nin veya bir Üye Devletin diğer geçerli veri koruma hükümlerini ihlal ettiğine inanırsa, Veri İçe Aktarıcı, İhtilaflı Talimatı izlemek zorunda değildir. Veri İçe Aktarıcıdan bilgi alır ve İtiraz Edilen Talimat için sorumluluğunu kabul ederse, İtiraz Edilen Talimat (i) teknik ve organizasyonel önlemlerin uygulanması, (ii) Verilerin hakları ile ilgili olmadığı sürece, Veri İçe Aktarıcı İtiraz Edilen Talimatı uygulayacaktır. Konular veya (iii) Veri işleyicilerin katılımı (i) ila (iii) arasındaki durumlarda, Veri İçe Aktarıcı, itiraz edilen Talimatın bu makam tarafından yasal olarak değerlendirilmesini sağlamak için yetkili bir denetim makamıyla iletişime geçebilir.Denetim makamı, itiraz edilen Talimatın yasal olduğunu beyan ederse, Veri İçe Aktarıcı, itiraz edilen Talimatı uygulayacaktır. Bölüm 1 Madde 3.1 (ii) geçerli kalacaktır.

 

3.2 Veri İçe Aktaranın Yükümlülükleri

  1. (i) Veri İçe Aktarıcı, Veri İçe Aktarıcı tarafından Veri Dışa Aktarıcı adına kişisel verileri işlemeye yetkili kişilerin, özellikle de Veri İçe Aktarıcının çalışanları ve herhangi bir Alt Yüklenicinin çalışanlarının, gizliliği gözetmeyi taahhüt etmelerini veya bunlara tabi olmalarını sağlamalıdır. uygun bir yasal gizlilik yükümlülüğü ve kişisel verilere erişimi olan bu tür kişilerin bunları Veri İhracatçısının talimatlarına uygun olarak işlemesi.
  2. (ii) Veri İçe Aktarıcı, kişisel verileri Veri Dışa Aktarıcı adına işlemeden önce, Bölüm 2 Ek 2'de belirtilen teknik ve kurumsal güvenlik önlemlerini uygulamalıdır. Veri İçe Aktarıcı, Ek 2 Kısım 2'de belirtilenlerden daha az koruma sağlamıyorsa, teknik ve kurumsal güvenlik önlemlerini zaman zaman değiştirebilir.
  3. (iii) Veri İçe Aktarıcı, Veri Dışa Aktarıcı'nın talebi üzerine, Veri İçe Aktarıcı'nın bu Ek kapsamındaki yükümlülüklerine uygunluğu gösteren bilgileri Veri Dışa Aktarıcıya sağlayacaktır. Taraflar, bu bilgi yükümlülüğünün Veri İhracatçısına bir denetim raporu (ilkelerin güvenliğini, sistem kullanılabilirliğini ve gizliliğini kapsayan) ("Denetim Raporu") sağlanmasıyla yerine getirildiğini kabul eder. Ek denetim faaliyetlerinin yasal olarak gerekli olması halinde, Veri Dışa Aktarıcı, Denetimlerin Veri Dışa Aktarıcı veya Veri Dışa Aktarıcı tarafından atanan başka bir denetçi tarafından, bu tür bir denetçi tarafından Veri İçe Aktarıcı ile Veri İçe Aktarıcı'ya bir gizlilik sözleşmesi akdedilmesine tabi olarak gerçekleştirilmesini talep edebilir. makul memnuniyet ("Denetim"). Bu Denetim aşağıdaki koşullara tabidir:(i) Veri İçe Aktarıcının önceden resmi yazılı kabulü; ve (ii) Veri Dışa Aktarıcı, Veri Dışa Aktarıcı ve Veri İçe Aktarıcı için Yerinde Denetim ile ilgili tüm masrafları karşılayacaktır. Veri Aktarıcı, Yerinde Denetimin sonuçlarını ve gözlemlerini özetleyen bir denetim raporu ("Yerinde Denetim Raporu") oluşturmalıdır. Yerinde Denetim Raporları ve Denetim Raporları, Veri İçe Aktaranın gizli bilgileridir ve geçerli veri koruma kanunu gerektirmedikçe veya Veri İçe Aktarıcı'nın rızasına uygun olarak üçüncü taraflara ifşa edilmemelidir.Yerinde Denetim Raporları ve Denetim Raporları, Veri İçe Aktaranın gizli bilgileridir ve geçerli veri koruma kanunu gerektirmedikçe veya Veri İçe Aktarıcı'nın rızasına uygun olarak üçüncü taraflara ifşa edilmemelidir.Yerinde Denetim Raporları ve Denetim Raporları, Veri İçe Aktaranın gizli bilgileridir ve geçerli veri koruma kanunu gerektirmedikçe veya Veri İçe Aktarıcı'nın rızasına uygun olarak üçüncü taraflara ifşa edilmemelidir.
  4. (iv) Veri İçe Aktaranın, aşağıdakileri gecikmeden Veri Dışa Aktarıcıya bildirme yükümlülüğü vardır:
    1. a. Bir kanun uygulama soruşturmasının gizliliğini korumak için ceza kanunu tarafından yasaklanmış bir yasak gibi, aksi yasaklanmadıkça, bir kanun uygulayıcı makam tarafından kişisel verilerin ifşasına ilişkin yasal olarak bağlayıcı herhangi bir taleple ilgili olarak
    2. B. doğrudan bir veri sahibinden alınan herhangi bir şikayet ve taleple ilgili olarak (örn. erişim, düzeltme, silme, işlemenin kısıtlanması, veri taşınabilirliği, veri işlemeye itiraz, otomatik karar verme ile ilgili), Veri İçe Aktarıcı yetkili olmadığı sürece, bu talebe yanıt vermeksizin böyle yap
    3. C. Veri İthalatçısı veya Veri işleyici, Avrupa Birliği veya Veri İthalatçısının veya Veri işleyicinin tabi olduğu Üye Devletin kanunları uyarınca, bu tür bir işlemi gerçekleştirmeden önce, Kişisel verileri Veri Dışa Aktaranın talimatları dışında işlemekle yükümlüyse, Avrupa Birliği veya Üye Devletin yasaları hayati kamu yararı gerekçesiyle bu tür işlemeyi yasaklamadığı sürece talimatlar; bu durumda Veri İhracatçısına yapılan bildirim, Avrupa Birliği veya Üye Devletin bu kanunu kapsamındaki yasal gerekliliği belirtecektir; veya
    4. D. Veri İçe Aktarıcı, yalnızca kendisi veya alt yüklenicisi nedeniyle, işbu sözleşme kapsamındaki Veri Dışa Aktarıcının kişisel verilerini etkileyecek bir kişisel veri ihlali gerçekleştirirse, bu durumda Veri İçe Aktarıcı, Veri Dışa Aktarıcıya yükümlülüğünde yardımcı olacaktır, yürürlükteki veri koruma kanunu karşısında, GDPR'nin 33 (3).
    5. (v) Veri Dışa Aktaranın talebi üzerine, Veri İçe Aktarıcı, Veri Dışa Aktarıcıya GDPR'nin 35. Veri İçe Aktarıcı tarafından bu Ek kapsamında Veri Dışa Aktarıcıya sağlanan hizmetlere ilişkin GDPR'nin 36. Veri İçe Aktarıcı, yalnızca Veri Dışa Aktarıcı yükümlülüğünü başka yollarla yerine getiremezse, bu tür yardımı sağlamakla yükümlü olacaktır. Veri İçe Aktarıcı, bu tür bir yardımın maliyetini Veri Dışa Aktarıcıya bildirecektir. Veri Dışa Aktarıcı bu maliyeti karşılayabileceğini onayladığı anda, Veri İçe Aktarıcı, Veri Dışa Aktarıcıya bu yardımı sağlayacaktır.
    6. (vi) Hizmetlerin sağlanmasının sonunda, Veri İhracatçısı, bu Ek kapsamında Veri İthalatçısı tarafından işlenen kişisel verilerin hizmetlerden sonraki bir ay içinde iade edilmesini talep edebilir. Üye Devlet veya Avrupa Birliği mevzuatı, Veri İthalatçısının bu tür kişisel verileri saklamasını veya muhafaza etmesini gerektirmediği sürece, Veri İçe Aktarıcı, bu tür kişisel veya kişisel olmayan tüm verileri, kendilerine iade edilmiş olsun veya olmasın bir aylık sürenin sonunda silecektir. Veri Aktarıcının isteği üzerine veya isteği üzerine.

 

3.3 İlgili kişilerin hakları

  1.  
    1. (i) Veri Dışa Aktarıcı, veri sahipleri tarafından yapılan talepleri yönetir ve bunlara yanıt verir. Veri Aktarıcı, veri sahiplerine doğrudan yanıt vermek zorunda değildir.
    2. (ii) Veri Dışa Aktarıcı, Veri Sahibinin taleplerini işlemek ve bunlara yanıt vermek için Veri İçe Aktarıcı'nın yardımına ihtiyaç duyarsa, Veri Dışa Aktarıcı, Bölüm 1 Madde 3.1 (ii) uyarınca ek bir talimat yayınlayacaktır. Veri İçe Aktarıcı, Veri Dışa Aktarıcıya yardımcı olacaktır. GDPR'nin III. Bölümünde belirtilen veri sahiplerinin haklarının kullanımına yönelik taleplere yanıt vermek için aşağıdaki uygun ve teknik organizasyonel önlemlerle:
    3. a. Bilgi talepleri ile ilgili olarak, Veri İçe Aktarıcı, Veri Dışa Aktarıcı'nın kendi başına bulamaması durumunda, PGRD'nin 13 ve 14. Maddeleri tarafından gerekli görülen bilgileri yalnızca emrinde bulunabilecek bilgileri sağlayacaktır.
    4. B. Erişim talepleri ile ilgili olarak (GDPR'nin 15. Maddesi), Veri İçe Aktarıcı, yalnızca söz konusu erişim talebi için bir veri konusuna sağlanması gereken bilgileri Veri Aktarıcıya sağlayacaktır. ikincisi onu tek başına bulamaz.
    5. C. Düzeltme talepleri (GDPR Madde 16), silme talepleri (GDPR Madde 17), işleme taleplerinin kısıtlanması (GDPR Madde 18) veya taşınabilirlik talepleri (GDPR Madde 20) ve yalnızca Veri Dışa Aktarıcı, kişisel verileri kendisi düzeltemez veya silemez, sınırlandıramaz veya başka bir üçüncü tarafa iletemezse, Veri İçe Aktarıcı, Veri Dışa Aktarıcıya ilgili kişisel verileri düzeltme veya silme, sınırlama veya diğer üçüncü tarafa iletme imkanı sunacaktır, veya bu mümkün değilse, ilgili kişisel verilerin düzeltilmesi veya silinmesi, sınırlandırılması veya diğer üçüncü tarafa iletilmesi için yardım sağlayacaktır.
    6. D. Düzeltme, silme veya işlemenin kısıtlanması ile ilgili bildirimle ilgili olarak (GDPR'nin 19. Maddesi), Veri İçe Aktarıcı, Veri Dışa Aktarıcı'nın talep etmesi halinde Veri İçe Aktarıcı tarafından işlemci olarak görevlendirilen tüm kişisel verilerin alıcılarını bilgilendirerek Veri Dışa Aktarıcıya yardımcı olacaktır ve Veri Aktarıcı durumu kendi başına çözemezse.
    7. e. Bir veri öznesi tarafından kullanılan itiraz hakkına (GDPR'nin 21 ve 22. Maddeleri) ilişkin olarak, Veri Aktarıcı, itirazın meşru olup olmadığını ve bununla nasıl başa çıkılacağını belirleyecektir.
    8. (iii) Veri İçe Aktarıcı'nın yardım yükümlülükleri, altyapısında işlenen kişisel verilerle sınırlıdır (örneğin, Veri İçe Aktarıcının sahip olduğu veya sağladığı veritabanları, sistemler, uygulamalar).
    9. (iv) Veri Dışa Aktaran, bir Veri Sahibinin bu Bölüm 1'in 3.1. Maddesinde belirtilen Veri Sahiplerinin haklarını kullanıp kullanamayacağını belirleyecek ve Veri İçe Aktaran'a Madde 3.3 (ii)'de belirtilen yardımın kapsamını bildirecektir, ( iii) Bölüm 1 gereklidir.
    10. (v) Veri Dışa Aktarıcı, Bölüm 1'in 3.3 (ii), (iii) Alt Maddesi kapsamında Veri İçe Aktarıcı tarafından sağlanan yardımın ötesine geçen veri konularının haklarını karşılamak için ek veya değiştirilmiş teknik ve organizasyonel önlemler talep ederse, Veriler İthalatçı, bu tür ek veya değiştirilmiş teknik ve organizasyonel önlemlerin uygulanmasının maliyetlerini Veri Dışa Aktarıcıya bildirecektir. Veri Aktarıcı, bu maliyetleri karşılayabileceğini teyit eder etmez, Veri Aktarıcı, Veri Aktarıcının Veri Sahiplerinin taleplerine yanıt vermesine yardımcı olmak için bu tür ek veya değiştirilmiş teknik ve organizasyonel önlemleri uygulayacaktır.
    11. (vi) Bölüm 1'in 3.3 (v) Maddesinin kapsamını sınırlamadan, Veri Dışa Aktarıcı, Veri Sahiplerinin taleplerine yanıt verirken yaptığı makul harcamaları Veri İçe Aktarıcıya geri ödemekle yükümlü olacaktır.

 

3.4 Alt-işleme

  1.  
    1. (i) Veri Dışa Aktarıcı, Veri İçe Aktarıcının bu Ek kapsamındaki hizmetlerin sağlanması için alt yükleniciler kullanmasına izin verir. Veri İçe Aktarıcı, bu tür Veri işlemcisini/işlemcilerini dikkatli bir şekilde seçecektir. Veri Aktarıcı, Bölüm 2'nin sonunda Ek 1.1'de listelenen Veri işlemcisini/işlemcilerini onaylar.
    2. (ii) Veri İçe Aktarıcı, bu Ek kapsamındaki yükümlülüklerini, alt sözleşmeli hizmetler için geçerli olduğu ölçüde Veri işlemcisine/işlemcilerine devredecektir.
    3. (iii) Veri İçe Aktarıcı, kendi takdirine bağlı olarak başka bir uygun ve güvenilir Veri işlemcisini görevden alabilir, değiştirebilir veya atayabilir. Veri Dışa Aktarıcı tarafından yazılı olarak talep edilmesi halinde, Veri İçe Aktarıcı aşağıda belirtilen prosedürü izlemelidir:
  1.  
    1. a. Veri İçe Aktarıcı, Bölüm 1 Madde 3.4 (i) kapsamında atıfta bulunulan Veri işlemcileri listesinde herhangi bir değişiklik yapmadan önce Veri Dışa Aktarıcıyı bilgilendirecektir. Veri Dışa Aktarıcı Madde 3.4 uyarınca itiraz etmezse. (b) Bölüm 1'in Veri İçe Aktarıcısından bildirim alınmasından otuz gün sonra, ek Veri işleyenler kabul edilmiş sayılacaktır.
    2. B. Veri Dışa Aktarıcı'nın ek bir Veri işlemcisine itiraz etmek için meşru bir nedeni varsa, Veri İçe Aktarıcı'nın bildirimini aldıktan sonraki otuz gün içinde ve Veri İçe Aktarıcı'nın hizmeti devreye alınmadan önce Veri İçe Aktarıcıya önceden yazılı bildirimde bulunacaktır. Veri Dışa Aktarıcı, ek bir Veri işlemcisinin kullanımına itiraz ederse, Veri İçe Aktarıcı, aşağıdaki seçeneklerden (kendi takdirine bağlı olarak seçilir) itirazı ortadan kaldırabilir: (A) Veri İçe Aktarıcı, aşağıdakilerle ilgili olarak ek bir işlemci kullanma planlarını iptal edecektir. Veri Aktarıcısının kişisel verileri; (B) Veri İçe Aktarıcı, itirazında (itirazı iptal ederek) Veri Dışa Aktarıcı tarafından talep edilen düzeltici önlemleri alacak ve Veri Dışa Aktarıcı'nın kişisel verileriyle ilgili olarak ek işlemciyi kullanacaktır;(C) Veri İçe Aktarıcı, Veri Dışa Aktarıcı'nın kişisel verilerinin Veri Dışa Aktarıcı'nın sonraki işlemcisinin kullanımını içerecek olan hizmetin belirli bir yönünü (geçici veya kalıcı olarak) sağlamayı durdurabilir veya Veri Dışa Aktarıcı kullanmamayı kabul edebilir.
  2.  
    1. (iv) Veri işleyenin, Avrupa Komisyonu kararının ardından yeterli düzeyde veri koruması sunduğu kabul edilmeyen bir ülkede AB-AEA dışında yerleşik olması durumunda, Veri İçe Aktarıcı, yeterli bir düzeye uymak için gerekli önlemleri alacaktır. GDPR uyarınca veri koruma (bu tür önlemler arasında - diğerlerinin yanı sıra ve - AB Modeli maddelerine dayalı veri işleme sözleşmelerinin kullanımı, AB-ABD Koruma Kalkanı çerçevesinde kendi kendini onaylayan Veri işlemcilerine aktarım yer alabilir) veya benzer bir program).

 

3.5 Süre sonu

Bu Ek'in sona erme tarihi, ilgili Sözleşmenin sona erme tarihi ile aynıdır. Bu Ek'te aksi belirtilmedikçe, fesih ile ilgili hak ve yükümlülükler Sözleşmede yer alanlarla aynı olacaktır.

 

4. Sorumluluğun Sınırlandırılması

4.1 Taraflardan her biri, bu Ek ve geçerli veri koruma mevzuatı kapsamındaki yükümlülüklerini yerine getirir.

4.2 Bu Ek veya geçerli veri koruma mevzuatı kapsamındaki yükümlülüklerin ihlaliyle ilgili herhangi bir sorumluluk, bu Ek'te aksi belirtilmedikçe, Sözleşmede belirtilen veya Sözleşmeye uygulanabilir yükümlülük hükümlerine tabi olacak ve bu hükümlere tabi olacaktır. Sorumluluk, sorumluluk sınırlarının hesaplanması veya diğer sorumluluk sınırlamalarının uygulanmasının belirlenmesi için Sözleşmede belirtilen veya Sözleşme için geçerli olan yükümlülük hükümlerine tabiyse, bu Ek'ten doğan herhangi bir sorumluluk Sözleşme'den doğmuş kabul edilecektir.

 

5. Genel hükümler

5.1 Bu Ek'in 1. ve 2. Bölümleri arasında herhangi bir tutarsızlık veya tutarsızlık varsa, 2. Bölüm geçerli olacaktır. Spesifik olarak, böyle bir durumda bile, Bölüm 2'yi (yani, Standart maddelerin hükümlerini) çelişmeden basitçe aşan Bölüm 1 geçerli kalacaktır.

5.2 Bu Ek'in hükümleri ile tarafları bağlayan diğer sözleşmelerin hükümleri arasında herhangi bir uyuşmazlık olması durumunda, tarafların veri koruma yükümlülükleri açısından bu Ek geçerli olacaktır. Diğer sözleşmelerdeki maddelerin tarafların veri koruma yükümlülükleriyle ilgili olup olmadığı konusunda şüphe olması durumunda, bu Ek geçerli olacaktır.

5.3 Bu Ek'in herhangi bir hükmü geçersiz veya uygulanamaz ise, bu Ek'in geri kalanı tam olarak yürürlükte ve yürürlükte kalacaktır. Geçersiz veya uygulanamaz hüküm, (i) tarafların niyetleri mümkün olduğunca korunarak geçerliliğini ve uygulanabilirliğini sağlamak için değiştirilecek veya - bu mümkün değilse - (ii) geçersiz veya uygulanamaz kısmın hüküm sürdüğü gibi yorumlanacaktır. hiçbir zaman sözleşmenin bir parçası olmadı. Bu Ek'te bir eksiklik olması durumunda da yukarıdakiler geçerli olacaktır.

5.5 Taraflar, gerekli olduğu ölçüde, Birlik veya AB yetkili makamları tarafından verilen yorumlara, direktiflere veya emirlere uymak için Bölüm 1, Madde 3 (Yerel hukuka uygunluk) veya Ek'in diğer bölümlerinde değişiklik talep edebilirler. Üye Devletler, ulusal uygulama hükümleri veya GDPR ile ilgili diğer yasal gelişmeler veya veri işlemeye dahil olan herhangi bir kuruluşa ve özellikle GDPR'deki Standart Sözleşme Maddelerinin kullanımına ilişkin diğer yetkilendirme koşulları. Standart Sözleşme Maddelerinin koşulları, Avrupa Komisyonu tarafından açıkça onaylanmadıkça (örneğin, yeni yeterli maddeler ve veri koruma standartları ile) değiştirilemez veya değiştirilemez.

5.6 Bu Ek'te " Maddelere " yapılan herhangi bir atıf, aksi belirtilmedikçe bu Ek'in tüm hükümlerine atıfta bulunulacak şekilde anlaşılacaktır.

5.7 Bölüm 2, Madde 9'daki hukuk seçimi, Sözleşmenin tamamı için geçerlidir.

 

6.  Taraflarca kişisel amaçlarla iletilen ve işlenen kişisel veriler (veri sorumlusundan veri sorumlusuna aktarım)

6.1 Taraflar, belirli kişisel verilerin Veri Dışa Aktarıcıdan Veri İçe Aktarıcı'ya aktarılacağını ve bunun tersinin yapılacağını ve bu tür verilerin her bir Taraf tarafından kendi amaçları için işlendiğini tam olarak bilirler. Bu tür kişisel veriler ile ilgili olarak, bu Ek'in diğer hükümlerini etkilemez (bu madde 6 hariç).

6.2 Veri Dışa Aktarıcı, Veri İçe Aktarıcının personeliyle ilgili kişisel verileri, güvenlik olayları hakkındaki bilgiler veya Veri Dışa Aktarıcı tarafından Veri Dışa Aktarıcı tarafından oluşturulan veya oluşturulan diğer belgeler veya dosyalar da dahil olmak üzere, Veri İçe Aktarıcıya aktarabilir. Veri Aktarıcı. Veri İçe Aktaran, bu tür kişisel verileri kendi amaçları, özellikle Veri İçe Aktaranın personeli ile olan profesyonel ilişkileri, kalite kontrol ve eğitim için veya iş amaçları için işleyebilir.

6.3. Veri İçe Aktarıcı, Kişisel Verileri İçe Aktarıcı'nın personelinin adı ve iletişim bilgileri dahil olmak üzere Veri Dışa Aktarıcıya aktarabilir. Veri İhracatçısı, bu tür kişisel verileri kendi amaçları için işleyebilir.

6.4 Her iki taraf, Bölüm 1'in 1. maddesi uyarınca diğer taraftan alınan bu tür kişisel verilerin toplanmasında, işlenmesinde ve kullanılmasında GDPR dahil olmak üzere geçerli tüm veri koruma yasalarına uyacaktır. 2. Kısım Ek 2'de belirtilen güvenlik önlemlerine benzer bir koruma düzeyi. Bu tür kişisel verilere herhangi bir erişim, bunları bilme ihtiyacıyla sınırlı olacaktır.

6.5 Taraflar, hedeflere ulaşıldıktan sonra bu tür kişisel verileri mümkün olan en kısa sürede silmelidir.

Bölüm 2

 

KOMİSYON KARARI

5 Şubat 2010'da

Avrupa Parlamentosu ve Konseyi'nin 95/46/EC Direktifi kapsamında üçüncü taraf ülkelerde kurulan veri işlemcilerine kişisel verilerin aktarılmasına ilişkin standart sözleşme maddeleri hakkında

 

 

 

1. madde

Tanımlar

Cümlelerin anlamı dahilinde:

a) 'kişisel veriler', 'özel veri kategorileri', 'işleme/işleme', 'denetleyici', 'işleyen', 'veri sahibi' ve 'denetleyici makam' 95/46/EC'deki ile aynı anlama gelecektir. Avrupa Parlamentosu ve Konseyi'nin 24 Ekim 1995 tarihli, kişisel verilerin işlenmesine ve bu tür verilerin serbest dolaşımına ilişkin olarak bireylerin korunmasına ilişkin Direktifi (1);

b) 'Veri Aktarıcı', kişisel verileri aktaran Veri denetleyicisidir;

c) 'Veri İçe Aktarıcı', aktarımdan sonra Veri Dışa Aktarıcı adına işlenmesi amaçlanan kişisel verileri, kendi talimatlarına uygun olarak ve bu maddelerin hükümleri uyarınca Veri Dışa Aktarıcı'dan almayı kabul eden ve Veri İşleyen Veri İşleyicisidir. 95/46/EC sayılı Direktifin 25(1) Maddesi anlamında yeterli koruma sağlayan üçüncü bir ülkenin mekanizmasına tabi olarak; (d) 'Veri işleyici', Veri İçe Aktarıcı tarafından veya Veri İçe Aktarıcı'nın herhangi bir diğer Veri işleyicisi tarafından görevlendirilen ve Veri İçe Aktarıcı'nın veya Veri İçe Aktarıcı'nın diğer herhangi bir Veri işleyicisinden kişisel verileri yalnızca şu amaçlarla işleme faaliyetleri için almayı kabul eden Veri işleyici anlamına gelir. Veri Aktarıcının talimatlarına uygun olarak aktarımdan sonra Veri Aktarıcı adına gerçekleştirileceğini,bu Maddelerde belirtilen koşullar altında ve yazılı alt yüklenicilik veri işleme sözleşmesinin şartları altında;

e) "geçerli veri koruma kanunu", kişisel verilerin işlenmesine ilişkin mahremiyet hakkı da dahil olmak üzere, bireylerin temel hak ve özgürlüklerini koruyan ve Veri İhracatçısının yerleşik olduğu Üye Devletteki bir kontrolöre uygulanan mevzuat anlamına gelir;

f) “güvenliğe ilişkin teknik ve organizasyonel önlemler”? Kişisel verileri, özellikle işlemenin ağlar üzerinden veri iletimini içerdiği durumlarda, kazara veya yasa dışı imha veya kazara kayıp, değişiklik, yetkisiz ifşa veya erişime ve diğer tüm yasa dışı işleme biçimlerine karşı korumaya yönelik önlemler anlamına gelir.

2. madde

Transferin detayları

Uygun olduğunda özel kişisel veri kategorileri de dahil olmak üzere aktarımın ayrıntıları, bu maddelerin ayrılmaz bir parçasını oluşturan Ek 1'de belirtilmiştir.

3. madde

Üçüncü taraf lehtar maddesi

1. Veri sahibi, bu Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6 (1) ve (2)'yi Veri Aktarıcıya karşı uygulayabilir. ), Madde 7, Madde 8(2) ve Madde 9 ila 12, üçüncü taraf lehtar olarak

2. Veri sahibi, bu Madde 5 (a) ila (e) ve (g), Madde 6, Madde 7, Madde 8 (2) ve Madde 9 ila 12, Veri Aktarıcının fiziksel olarak sahip olduğu durumlarda Veri İçe Aktarıcıya karşı uygulayabilir. Tüm yasal yükümlülükleri, sözleşmeyle veya kanunun işleyişiyle, Veri Aktarıcısının hak ve yükümlülüklerinin geri döndüğü halef kuruluşa devredilmediği ve verilerin aleyhine olduğu, ortadan kaybolduğu veya hukuken varlığını sona erdirdiği takdirde, özne bu nedenle söz konusu maddeleri uygulayabilir.

Veri sahibi, bu Madde 5 (a) ila (e) ve (g), Madde 6, Madde 7, Madde 8 (2) ve Madde 9 ila 12'yi Veri işleyene karşı uygulayabilir, ancak yalnızca Verilerin Veri İhracatçısının tüm yasal yükümlülükleri, sözleşme veya kanun gereği, hakları ve Bu nedenle, Veri Aktarıcısının yükümlülüklerine tabidir ve bu nedenle veri öznesi bu tür hükümleri kime karşı uygulayabilir. Veri işlemcisinin bu sorumluluğu, bu maddeler kapsamında kendi işleme faaliyetleriyle sınırlı olmalıdır.

4. Taraflar, eğer isterse ve ulusal hukuk izin veriyorsa, veri sahibinin bir dernek veya başka bir organ tarafından temsil edilmesine itiraz etmezler.

4. madde

Veri Aktarıcısının Yükümlülükleri

Veri Aktarıcı aşağıdakileri kabul ve garanti eder:

a) kişisel verilerin fiili aktarımı da dahil olmak üzere işleme, geçerli veri koruma yasasının ilgili hükümlerine uygun olarak yürütülmüştür ve yürütülmeye devam edecektir (ve varsa, Üye Devletin yetkili makamlarına bildirilmiştir). Veri Aktarıcının dayandığı) ve bu Devletin ilgili hükümlerini ihlal etmediği;

b) Kişisel veri işleme hizmetlerinin süresi boyunca, Veri İthalatçısına, aktarılan kişisel verileri yalnızca Veri İhracatçısı adına ve yürürlükteki veri koruma kanunu ve bu maddelere uygun olarak işlemesi talimatını vermiş ve vereceklerini;

c) Veri İçe Aktarıcı, işbu sözleşmenin Ek 2'sinde belirtilen teknik ve kurumsal güvenlik önlemleriyle ilgili yeterli güvenceleri sağlayacaktır;

d) geçerli veri koruma yasasının gerekliliklerinin değerlendirilmesinden sonra, güvenlik önlemleri, özellikle işlemenin verilerin iletimini içerdiği durumlarda, kişisel verileri kazara veya yasa dışı imhaya veya kazara kaybolmaya, değiştirmeye, yetkisiz ifşaya veya erişime karşı korumak için yeterlidir. bir ağ üzerinden ve diğer tüm yasa dışı işleme biçimlerine karşı ve teknoloji düzeyi ve uygulama maliyeti dikkate alınarak, işlemenin temsil ettiği risklere ve korunacak verilerin doğasına uygun bir güvenlik düzeyi sağlamak;

e) güvenlik önlemlerine uyulmasını sağlayacaklar;

f) Aktarımın özel veri kategorilerine ilişkin olması halinde, veri sahibi, aktarımdan önce veya aktarımdan sonra mümkün olan en kısa sürede, verilerinin sunulmadığı üçüncü bir ülkeye aktarılabileceği konusunda bilgilendirilmiş veya bilgilendirilecektir. 95/46/EC Direktifinin anlamı dahilinde yeterli bir koruma seviyesi;

g) Veri İçe Aktarıcıdan veya herhangi bir Veri işleyiciden Madde 5 (b) ve 8 (3) uyarınca alınan herhangi bir bildirimi, aktarmaya devam etmeye veya askıya alma işlemini kaldırmaya karar vermesi halinde veri koruma denetim makamına ileteceklerdir;

h) talep etmeleri halinde, Ek 2 hariç olmak üzere bu Maddelerin bir kopyasını ve güvenlik önlemlerinin özet bir tanımını ve bu Maddeler uyarınca akdedilen herhangi bir başka alt yüklenicilik sözleşmesinin bir kopyasını talep etmeleri halinde, veri sahiplerine sunacaklardır. Maddeler veya sözleşme ticari bilgiler içerir, bu durumda bu bilgileri geri çekebilir;

i) veri işleme sürecinin taşerona verilmesi durumunda, işleme faaliyeti, kişisel verilerin ve veri sahibinin haklarının bu Maddeler kapsamında Veri İthalatçısı ile en az aynı düzeyde korunmasını sağlayan bir Veri işleyen tarafından 11. Maddeye uygun olarak gerçekleştirilir. ; ve

j) Madde 4 (a) ila (i)'ye uygunluğu sağlayacaktır.

5. madde

Veri İçe Aktaranın Yükümlülükleri

Veri İçe Aktarıcı aşağıdakileri kabul ve garanti eder:

a) Kişisel verileri yalnızca Veri Dışa Aktarıcı adına ve Veri Dışa Aktarıcı'nın talimatları ve bu maddeler uyarınca işleyeceklerini; herhangi bir nedenle uyum sağlayamazsa, mümkün olan en kısa sürede Veri Dışa Aktarıcı'yı bilgilendirmeyi kabul ederler, bu durumda Veri Dışa Aktarıcı veri aktarımını askıya alabilir ve/veya sözleşmeyi feshedebilir;

b) Kendileri için geçerli olan kanunun, Veri İhracatçısı tarafından verilen talimatları ve sözleşmeden doğan yükümlülüklerini yerine getirmekten alıkoyduğuna inanmak için hiçbir sebeplerinin olmaması ve söz konusu kanunun önemli bir olumsuzluğa yol açabilecek bir değişikliğe tabi olması halinde, Maddeler kapsamındaki garantiler ve yükümlülükler üzerinde etkisi olması durumunda, değişikliğin farkına vardıktan sonra gecikmeden Veri Dışa Aktarıcı'ya bildirimde bulunacaktır, bu durumda Veri Dışa Aktarıcı veri aktarımını askıya alabilir ve/veya sözleşmeyi feshedebilir; (c) aktarılan kişisel verileri işlemeden önce Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uygulamış olmaları;

d) Veri Aktarıcıyı gecikmeden bilgilendireceklerdir:

i) bir polis soruşturmasının gizliliğini korumayı amaçlayan bir cezai yasak gibi, aksi belirtilmedikçe, bir kanun uygulayıcı makamdan kişisel verilerin ifşasına yönelik herhangi bir bağlayıcı talep;

ii) tesadüfi veya yetkisiz erişim; ve

iii) Yetkilendirilmediği sürece, cevap verilmeksizin ilgili kişilerden doğrudan alınan herhangi bir talep; yöneticiler

e) Aktarılan kişisel verilerin işlenmesiyle ilgili olarak Veri İhracatçısından gelen tüm soruları derhal ve düzgün bir şekilde ele alacaklar ve aktarılan verilerin işlenmesiyle ilgili olarak denetim makamının görüşüne göre hareket edecekler;

f) Veri İhracatçının talebi üzerine, bu fıkralar kapsamındaki işleme faaliyetlerinin, Veri İhracatçısı veya gerekli mesleki niteliklere sahip bağımsız üyelerden oluşan bir denetim organı tarafından gerçekleştirilecek denetimine tabi tutulacağını, bir gizlilik yükümlülüğüne tabi olarak ve uygun olduğunda, denetim makamının mutabakatı ile Veri İhracatçısı tarafından seçilir;

g) Veri sahibinin talep etmesi halinde, bu Maddelerin veya veri işleme sözleşmesinin mevcut herhangi bir alt sözleşmesinin bir kopyasını, Maddeler veya sözleşme ticari bilgiler içermedikçe, veri sahibinin kullanımına sunacaklardır, bu durumda bunları kaldırabilecektir. veri sahibinin Veri Dışa Aktarıcıdan bir kopyasını alamadığı durumlarda, güvenlik önlemlerinin özet açıklaması ile değiştirilecek olan Ek 2 haricindeki bilgiler;

h) Gizli veri işlemenin daha fazla alt yükleniciye verilmesi durumunda, Veri Aktarıcıyı önceden bilgilendirmesini ve Veri Aktarıcısının yazılı onayını almasını sağlayacaktır;

i) Veri işlemcisi tarafından sağlanan işleme hizmetleri, 11. Maddeye uygun olacaktır;

j) bu Maddeler uyarınca girdiği veri işleme sözleşmesinin herhangi bir alt sözleşmesinin bir kopyasını derhal Veri İhracatçısına göndereceklerdir.

6. madde

Sorumluluk

1. Taraflar, Madde 3 veya Madde 11'de belirtilen yükümlülüklerin bir taraf veya bir Veri işleyen tarafından ihlali nedeniyle zarara uğrayan herhangi bir veri sahibinin maruz kaldığı zarar için Veri Dışa Aktarıcıdan tazminat alabileceğini kabul eder.

2. Bir veri sahibinin, Veri İçe Aktarıcı veya Veri işleyicisi tarafından Madde 3 veya Madde 11 kapsamındaki yükümlülüklerinden herhangi birine uymaması nedeniyle Veri Dışa Aktarıcıya karşı 1. paragrafta atıfta bulunulan tazminat davası açmasının engellenmesi halinde, Veriler Veri Aktarıcının fiziksel olarak ortadan kaybolması, hukuken ortadan kalkması veya iflas etmesi durumunda, Veri Aktarıcının tüm yasal yükümlülükleri sözleşme ile devredilmediği sürece, Veri Aktarıcı, veri sahibinin Veri Aktarıcısıymış gibi kendisine karşı şikayette bulunabileceğini kabul eder. veya kanunun işleyişi ile, veri sahibinin haklarını uygulayabileceği halef varlığına. Veri İçe Aktarıcı, kendi yükümlülüğünden kaçınmak için bir Veri işlemcisinin yükümlülüklerini ihlal etmesine güvenemez.

3. If a data subject is prevented from bringing the action referred to in paragraphs 1 and 2 against the Data Exporter or the Data Importer for breach by the Data processor of its obligations under Clause 3 or Clause 11 because the Data Exporter and the Data Importer have physically disappeared, ceased to exist in law or have become insolvent, the Data processor agrees that the data subject may lodge a complaint against it regarding its own processing activities in accordance with these clauses as if it were the Data Exporter or Data Importer unless all legal obligations of the Data Exporter or Data Importer have been transferred, by contract or by operation of law, to the legal successor, against whom the data subject may then assert his rights. The liability of the Data processor must be limited to its own processing activities in accordance with these clauses.

 

Madde 7

Arabuluculuk ve yargı yetkisi

1. Veri İçe Aktarıcı, maddeler uyarınca, veri sahibinin kendisine karşı üçüncü kişi lehtar hakkını ileri sürmesi ve/veya uğradığı zarar için tazminat talep etmesi halinde, veri sahibinin aşağıdaki kararını kabul edeceğini kabul eder:

a) anlaşmazlığı bağımsız bir kişi veya uygun olduğunda denetim makamı tarafından arabuluculuğa sunmak;

b) Uyuşmazlığı Veri Aktarıcının yerleşik olduğu Üye Devletin mahkemelerine götürmek.

2. Taraflar, veri sahibi tarafından yapılan seçimin, veri sahibinin ulusal veya uluslararası hukukun diğer hükümleri uyarınca tazmin talep etme usul veya esas hakkını etkilemeyeceğini kabul eder.

Madde 8

Denetleyici makamlarla işbirliği

1. Veri Dışa Aktarıcı, bu sözleşmenin bir kopyasını, denetleyici makam gerektiriyorsa veya bu tür bir tevdi geçerli veri koruma kanunu tarafından sağlanmışsa, denetleme makamına tevdi etmeyi kabul eder.

2. Taraflar, denetim makamının, Veri Aktarıcısında ve Veri İşleyicisinde geçerli veri koruma yasasına uygun olarak gerçekleştirilen kontrollerle aynı kapsamda ve aynı koşullar altında kontroller yapabileceğini kabul eder.

3. Veri İçe Aktarıcı, Veri İçe Aktarıcı veya herhangi bir Veri işleyici ile ilgili olarak, Veri İçe Aktarıcıda veya herhangi bir Veri işleyicide 2. paragraf uyarınca doğrulamayı engelleyen bir mevzuatın varlığından en kısa sürede Veri Dışa Aktarıcıyı bilgilendirecektir. Böyle bir durumda, Veri Aktarıcı, Madde 5 (b)'de belirtilen önlemleri alabilir.

9. madde

Uygulanabilir yasa

Maddeler, Veri Dışa Aktarıcının yerleşik olduğu Üye Devletin yasalarına tabidir ve bu yasalara tabidir.

10. madde

Sözleşmenin değiştirilmesi

Taraflar, mevcut maddeleri değiştirmemeyi taahhüt ederler. Taraflar, bu hükümlere aykırı olmamak kaydıyla, gerekli gördükleri diğer ticari maddeleri eklemekte serbesttirler.

11. madde

müteakip taşeronluk

1. Veri İçe Aktarıcı, Veri Dışa Aktarıcının önceden yazılı izni olmaksızın bu maddeler kapsamında Veri Dışa Aktarıcı adına yürütülen işleme faaliyetlerinin hiçbirini alt yükleniciye veremez. Veri İçe Aktarıcı, bu Maddeler kapsamındaki yükümlülüklerini yalnızca Veri Dışa Aktarıcının rızasıyla, Veri işleyici ile bu Maddeler kapsamında Veri İçe Aktarıcıya dayatılan yükümlülüklerin aynısını Veri işleyiciye dayatan yazılı bir anlaşma yoluyla alt yükleniciye verebilir. Veri işleyicinin bu yazılı anlaşma kapsamındaki veri koruma yükümlülüklerini yerine getirememesi durumunda, Veri İçe Aktaran, bu yükümlülüklerin yerine getirilmesinden Veri Dışa Aktarıcıya karşı tamamen sorumlu olmaya devam edecektir.

2. Veri İçe Aktarıcı ile Veri işleyen arasındaki önceden yapılan yazılı anlaşma, aynı zamanda, veri öznesinin Madde 6'da (1. ), Veri Dışa Aktarıcı veya Veri İçe Aktarıcıya karşı, Veri Dışa Aktarıcı veya Veri İçe Aktarıcı'nın fiziksel olarak ortadan kaybolması, kanunen varlığının sona ermesi veya iflas etmesi ve Veri Dışa Aktarıcı veya Veri İçe Aktarıcı'nın tüm yasal yükümlülüklerinin sözleşme veya işlem yoluyla devredilmemesi nedeniyle kanundan, başka bir halef kuruluşa. Veri işleyenin sorumluluğu, bu maddeler uyarınca kendi işleme faaliyetleriyle sınırlı olmalıdır.

3. Paragraf 1'de atıfta bulunulan sözleşmenin veri işlemesinin alt yükleniciye verilmesinin veri koruma yönlerine ilişkin hükümler, Veri İhracatçısının yerleşik olduğu Üye Devletin yasalarına tabi olacaktır.

4. Veri Dışa Aktarıcı, bu Maddeler uyarınca akdedilen ve Veri İçe Aktaran tarafından Madde 5 (j) uyarınca bildirilen alt yüklenici sözleşmelerinin en az yılda bir kez güncellenmesi gereken bir listesini tutacaktır. Bu liste, Veri İhracatçısının veri koruma denetleme makamına sunulacaktır.

12. madde

Kişisel veri işleme hizmetlerinin sona ermesinden sonraki yükümlülük

1. Taraflar, veri işleme hizmetlerinin tamamlanmasının ardından, Veri İthalatçısı ve Veri işleyicinin, Veri Dışa Aktaranın rahatlığıyla, aktarılan tüm kişisel verileri ve bunların kopyalarını Veri Dışa Aktarıcıya iade edeceğini veya bu tür tüm verileri imha edeceğini ve kanıt sağlayacağını kabul eder. Veri Aktarıcıya uygulanan mevzuat, aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya imha etmesini engellemediği sürece, Veri Aktarıcının imha edilmesi. Bu durumda Veri İçe Aktarıcı, aktarılan kişisel verilerin gizliliğini sağlayacağını ve artık verileri aktif olarak işlemeyeceğini garanti eder.

2. Veri İçe Aktarıcı ve Veri işleyici, Veri Dışa Aktarıcı ve/veya denetim makamı tarafından talep edilmesi halinde, veri işleme yöntemlerini 1. paragrafta atıfta bulunulan önlemlerin doğrulanmasına tabi tutmalarını sağlayacaktır.

 

 

 

 

Ek 1.1 Bölüm 2

Transferin detayları

 

 

Veri Aktarıcı

Veri Aktarıcı, Sözleşmeye dayalı sözleşmede tanımlanan Müşteridir.

 

Veri İçe Aktarıcı

Veri İçe Aktarıcı, POSTCODEZIP'dir ve verileri işlemek ve Veri Dışa Aktarıcıya hizmet sağlamak üzere atanmıştır.

 

Verilerin konuları

Aktarılan kişisel veriler, aşağıdaki veri sahibi kategorileriyle ilgilidir:

a?? evrensel rehberde listelenen telefon aboneleri

â˜' Diğerleri dahil:

 

veri kategorileri

Aktarılan kişisel veriler aşağıdaki veri kategorileriyle ilgilidir:

 

Özellikle Veri İhracatçısının veri konularının kişisel veri kategorileri,

a?? Ad Soyad

â˜' Posta adresi

a?? İletişim bilgileri (e-posta, telefon, IP adresi vb.)

a?? Telefon abonesi ile ilgili pazarlama faaliyetlerinin detayları

â˜' Şehir tarafından yapılan konut türü, gelir ve ortalama yaşlar dahil olmak üzere diğerleri anonim olarak yapılmıştır.

 

Özel veri kategorileri (varsa)

Aktarılan kişisel veriler, aşağıdaki özel veri kategorileriyle ilgilidir:

â˜' Özel veri kategorilerinin aktarımı öngörülmemiştir.

a?? Irk veya etnik köken

a?? Dini veya felsefi inançlar

a?? sendika üyeliği

a?? Politik Görüşler

a?? Genetik bilgi

a?? biyometrik bilgiler

a?? Cinsel yönelim veya cinsel yaşam hakkında bilgi

a?? Sağlık verileri

 

İşleme faaliyetleri

Aktarılan kişisel veriler aşağıdaki temel işleme faaliyetlerine tabi olacaktır:

 

  •  
    • • İşlemenin  amacı

Veri Aktarıcı adına gerçekleştirilen işleme, özellikle aşağıdaki konulara dayanmaktadır:

â˜' Veri Aktarıcı tarafından sunulan ürün veya hizmetlerden sorumlu olmak

â˜' Aranan kişinin talep edebileceği bir ürün veya hizmetin teklifi

â˜' Aranan kişilerden alınan siparişler ve bu siparişlerin işlenmesi

â˜' Anketleri ve analizleri inceleyin

â˜' Tele pazarlama

a?? Aşağıdakiler dahil diğerleri:

 

  •  
    • • İşlemenin  doğası ve amacı

Veri İçe Aktarıcı, aşağıdaki hizmetleri sağlamak ve en önemlisi:

  • â˜' Otomatik form tamamlama
  • â˜' Adres doğrulama formu

â˜' Satış ve Pazarlama

â˜' Diğerleri, belediye binaları ve siyasi partilerin veri tabanlarının güncellenmesi dahil

 

  •  
    • •  Hizmet sunumu ve hizmet sağlayıcıların istihdamı

 

POSTCODEZIP, esas olarak Veri Dışa Aktarıcı'yı birleştirir, merkezileştirir ve hizmetler sağlar. Belirtilen hizmet sağlayıcı tarafından sağlanan hizmetler (diğerlerinin yanı sıra uygun olduğu şekilde) aşağıdaki yardımcı hizmetler etrafında yapılandırılabilir: (i) aşağıdakileri sağlamak için kullanılan veri işleme merkezleriyle ilgili olarak uygulamaların, araçların, sistemlerin ve BT altyapısının sağlanması. ve yukarıda açıklanan veri sahiplerinin kişisel verilerinin bu tür uygulamalar, araçlar ve sistemler aracılığıyla işlenmesi de dahil olmak üzere hizmetleri desteklemek, (ii) bu tür uygulamalar, araçlar, sistemlerle ilgili BT desteği, bakımı ve diğer hizmetlerin sağlanması ve bu tür uygulamalarda, araçlarda ve sistemlerde depolanan kişisel verilere potansiyel erişim dahil BT altyapısı ve (iii) veri koruma hizmetlerinin sağlanması, koruma izleme ve olay müdahale hizmetlerinin sağlanması,bu tür koruma hizmetleri sağlanırken kişisel verilere potansiyel erişim dahil. POSTCODEZIP, yan hizmetler de dahil olmak üzere hizmetleri sağlamak için aşağıda belirtilen Veri işlemcilerini kullanabilir.

 

  •  
    • • Veri işlemeye atanan alt varlıklar olarak harici üçüncü şahıs hizmet sağlayıcıları

 

POSTCODEZIP, POSTCODEZIP'in yan kuruluşları olmayan harici ve üçüncü taraf hizmet sağlayıcılarla, Veri Aktarıcıya hizmet sağlanmasını desteklemek için çalışır. Veri Aktarıcı, veri işlemeye atanan alt varlıklar olarak bu tür harici üçüncü taraf hizmet sağlayıcılarını onaylar.

 

Veri işlemeye dahil olan bir alt kuruluş AB/AEA dışında, Avrupa Komisyonu kararına göre yeterli düzeyde veri korumasına sahip olmadığı kabul edilen bir ülkede bulunuyorsa, Veri İçe Aktarıcı yeterli düzeyde veri almak için adımlar atacaktır. GDPR ve Bölüm 1, bölüm 3.4 (iv) uyarınca veri koruması.

 

 

Ek 2, Bölüm 2

Teknik ve organizasyonel koruyucu önlemler

 

Veri İçe Aktarıcı, risklere bağlı olarak bireylerin hak ve özgürlükleri için uygun bir güvenlik düzeyini garanti etmek için Veri Dışa Aktarıcı tarafından onaylanan aşağıdaki teknik ve organizasyonel koruma önlemlerini alacaktır. İlgili koruma düzeyini değerlendirirken, Veri Dışa Aktarıcı, özellikle kazara veya yasa dışı imha, değiştirme, yetkisiz ifşa veya iletilen, saklanan veya başka bir şekilde işlenen kişisel verilere erişim dahil olmak üzere işlemeyle ilgili riskleri göz önünde bulundurmuştur. Açıklama ile: Bu teknik ve kurumsal koruma önlemleri, Veri Aktarıcı tarafından sağlanan uygulamalar, araçlar, sistemler ve/veya BT altyapısı için geçerli değildir.

1 Genel teknik ve organizasyonel koruma önlemleri

1.1 Genel bilgiler ve veri koruma stratejileri

Genel veri ve bilgi koruma stratejilerini takip etmek için aşağıdaki adımlar atılmalıdır:

  • a) teknik ve organizasyonel korumaya ilişkin alınanları değerlendirmek için önlemler alır;
  • b) çalışanlar arasında farkındalık yaratmak için eğitim sağlamak;
  • c) ilgili sistemlerin bir tanımına sahip olmak ve çalışanlara erişim izni vermek;
  • d) sistemler uygulandığında veya değiştirildiğinde resmi bir dokümantasyon süreci oluşturmak;
  • e) organizasyon yapısını, süreçleri, sorumlulukları ve ilgili değerlendirmeleri belgelemek;

1.2 Bilgi koruma organizasyonu

Veri ve bilgi koruma faaliyetlerini koordine etmek için aşağıdaki önlemler alınmalıdır:

  • a) bilgi ve verilerin korunması için tanımlanmış sorumluluklar (örneğin, veri koruma yönetimi politikası aracılığıyla);
  • b) mevcut kalan bilgi ve verilerin korunmasına ilişkin gerekli uzmanlık;
  • c) tüm çalışanlar, kişisel verilerin gizli tutulmasını sağlamayı taahhüt eder ve bu taahhüdün ihlalinin olası sonuçları hakkında bilgilendirilir.

1.3 İşleme alanlarına erişim kontrolü

Kişisel veriler işlenirken, saklanırken veya aktarılırken yetkisiz kişilerin veri işleme sistemlerine (özellikle yazılım ve donanım) erişmesini önlemek için aşağıdaki önlemler alınmalıdır:

  • a) güvenli alanlar oluşturmak;
  • b) veri işleme sistemlerine erişimi korumak ve kısıtlamak;
  • c) ilgili belgeler de dahil olmak üzere çalışanlar ve üçüncü şahıslar için erişim yetkileri oluşturmak;
  • d) Kişisel verilerin saklandığı veri işleme merkezlerine her türlü erişim kaydedilecektir.

1.4 Veri işleme sistemlerine erişim kontrolü

Veri işleme sistemlerine yetkisiz erişimi engellemek için aşağıdaki önlemler alınmalıdır:

  • a) kullanıcı doğrulama politikaları ve prosedürleri;
  • b) tüm bilgisayar sistemlerinde parola kullanımı;
  • c) Ağa uzaktan erişim, çok faktörlü kimlik doğrulamayı gerektirir ve ilgili kişiye sorumluluklarına göre ve yetkilendirme ile verilir;
  • d) belirli işlevlere erişim, bir kullanıcının hesabına ayrı ayrı atanan iş işlevlerine ve/veya niteliklere dayalıdır;
  • e) kişisel verilere ilişkin erişim hakları düzenli olarak gözden geçirilir;
  • f) Erişim haklarında yapılan değişikliklerin kayıtları güncel tutulur.

1.5 Veri işleme sistemlerinin belirli kullanım alanlarına erişimin kontrol edilmesi

Bilgi işlem sistemini kullanma hakkı bulunan yetkili kişilerin, verilere yalnızca kendi sorumlulukları ve erişim yetkileri dahilinde erişebilmeleri ve kişisel verilerin izinsiz olarak okunamamaları, kopyalanmamaları, değiştirilmemeleri ve silinmemeleri için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) her birinin gizlilik, kişisel verilere erişim hakları ve kişisel verilerin işlenme kapsamı ile ilgili yükümlülüklerine ilişkin politikalar, talimatlar ve çalışanların eğitimi;
  • b) Kişisel verilere yetkisiz olarak erişen kişilere karşı disiplin önlemleri;
  • c) kişisel verilere erişim, bilmesi gereken bazında yalnızca yetkili kişilere verilecektir;
  • d) sistem yöneticilerinin bir listesini tutmak ve sistem yöneticilerini izlemek için uygun önlemleri almak;
  • e) Yetkisiz kişilerin, oluşturanın bilgilerini kaldırmasını sağlamak için herhangi bir depolama sisteminde kişisel verileri kopyalamamak veya çoğaltmamak;
  • f) verilerin kontrollü ve belgeli olarak silinmesi veya yok edilmesi;
  • g) yasal veya düzenleyici nedenlerle (örneğin verileri saklama yükümlülükleri) saklanması gereken tüm kişisel verileri yalnızca yasaların gerektirdiği süre boyunca güvenli bir şekilde saklamak.

1.6 Şanzıman kontrolü

Veri depolama cihazlarının (kişisel verilerin işlenmesine bağlı olarak) iletilmesi veya taşınması sırasında kişisel verilerin yetkisiz üçüncü kişiler tarafından okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini önlemek için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) güvenlik duvarlarının kullanımı;
  • b) Kişisel verilerin ulaşım amacıyla mobil depolama cihazlarında saklanmasından veya cihazları şifrelemekten kaçınmak;
  • c) dizüstü bilgisayarlarda ve diğer mobil cihazlarda yalnızca şifreleme koruması etkinleştirildikten sonra kullanım;
  • d) kişisel veri aktarımlarının günlüğe kaydedilmesi.

1.7 Veri girişi kontrolü

Kişisel verilerin veri işleme sistemlerine ve kim tarafından girildiğini veya silindiğini doğrulamanın ve belirlemenin mümkün olmasını sağlamak için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) saklanan verilerin okunmasına, değiştirilmesine ve silinmesine izin veren bir politika;
  • b) saklanan verilerin okunması, değiştirilmesi ve silinmesine ilişkin koruma önlemleri.

1.8 İş kontrolü

Kişisel verilerin yetkilendirilmiş işlenmesi durumunda, bu tür verilerin Süpervizörün talimatlarına uygun olarak işlenmesini sağlamak için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) özenle seçilmiş, veri işlemeye atanan kuruluşlar veya alt kuruluşlar (kontrolör adına kişisel verileri işleyen hizmet sağlayıcılar);
  • b) veri işlemeye atanan çalışanlara, kuruluşlara veya alt kuruluşlara kişisel verilerin herhangi bir şekilde işlenmesinin kapsamına ilişkin talimatlar;
  • c) veri işlemeye atanan kuruluşlar veya alt kuruluşlar ile kararlaştırılan denetim hakları;
  • d) verileri işlemek için atanan kuruluşlar veya alt kuruluşlarla yapılan anlaşmalar.

1.9 Diğer amaçlar için işlemeden ayrılma

Başka amaçlarla toplanan verilerin ayrı ayrı işlenebilmesi için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) kullanıcıların mevcut haklarına uygun olarak kişisel verilere ayrı erişim;
  • b) arayüzler, toplu işleme ve raporlama, başka amaçlar ve işlevler içindir, böylece başka amaçlarla toplanan veriler ayrı olarak işlenebilir.

1.10 Takma adlaştırma

Kişisel verilerin anonimleştirilmesi ile ilgili olarak aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) Veri İhracatçısının belirli bir işleme faaliyeti sipariş etmesi veya Veri İthalatçısı tarafından belirli işleme faaliyetlerine ilişkin yürürlükteki veri koruma kanunlarına göre uygun görülmesi halinde, kişisel verilerin işlenmesi, veriler artık ek bilgiler kullanılmadan belirli bir kişiye atfedilemez. Bu ek bilgiler ayrı tutulacaktır;
  • b) tahsis listesinin rastgeleleştirilmesi dahil olmak üzere takma isimlendirme tekniklerinin kullanılması; keskinlik şeklinde değerlerin yaratılması.

1.11 Şifreleme

Şifrelemeyi destekleyen uygulama ve aktarımlarda kişisel verilerin şifrelenmesi için aşağıdaki adımlar atılmalıdır:

  1.  
    1. a) şifreleme tekniklerinin kullanımı;
  • b) kullanılmasına izin verilen şifreleme tekniklerini desteklemek için şifreleme yönetiminin oluşturulması;
  • c) Yetkisiz değişiklik ve ifşaya karşı koruma sağlamak için kriptografik anahtarların oluşturulması, değiştirilmesi, iptal edilmesi, yok edilmesi, dağıtılması, onaylanması, saklanması, ele geçirilmesi, kullanılması ve arşivlenmesi için prosedürler ve protokoller aracılığıyla kriptografinin kullanımını desteklemek.

1.12 Veri işleme sistemleri ve hizmetlerinin eksiksizliği

Veri işleme sistemleri ve hizmetlerinin eksiksizliğini sağlamak için aşağıdaki önlemler alınmalıdır:

  1. 1. a) veri işleme sistemlerinin uygun araçlarla manipülasyona veya tahribata karşı korunması (örneğin anti-virüs yazılımı, veri kaybını önleme yazılımı ve kötü amaçlı yazılımlara karşı yazılım, yazılım yamaları, güvenlik duvarları ve yönetilen masaüstü koruması);
  • b) veri işleme sistemlerine, hizmetlere zararlı herhangi bir hizmet veya yazılımın kurulmasını veya kişisel verilerin manipüle edilmesini yasaklamak;
  • c) ağın kendi yapısında bir ağa izinsiz giriş tespit ve önleme sisteminin kullanılması.

1.13 Veri işleme sistemlerinin ve hizmetlerinin mevcudiyeti ve maddi veya teknik bir olay durumunda kişisel verilere erişimin ve kişisel verilerin kullanımının yeniden sağlanması olasılığı

Veri işleme sistemlerinin kullanılabilirliğini sağlamak ve ayrıca maddi veya teknik bir olay durumunda kişisel verilerin kullanılabilirliğini ve erişimini hızlı bir şekilde geri yükleyebilmek için aşağıdaki önlemler alınmalıdır (özellikle kişisel veriler kazara yok edilmeye veya kaybolmaya karşı korunur):

  • a) yedek kopyaları tutmak ve kaybolan veya silinen verileri geri yüklemek için kontrol araçlarına sahip olmak;
  • b) altyapı fazlalığı ve performans testi;
  • c) bilgisayar kaynaklarının fiziksel olarak korunması;
  • d) dahili ağın durumunu ve kullanılabilirliğini izlemek için araçların kullanılması;
  • e) olay yönetimi prosedürünü yöneten olay raporlama ve müdahale politikaları ve düzenli eğitimin bir parçası olarak bu politikalara bağlılığın yinelenmesi;
  • f) işlevlerini tekrar yerine getirebilmesi için sistemi geri yüklemek için yedeklemeler (bazen saha dışında);
  • g) iş sürekliliği/olağanüstü durum kurtarma planları

1.14 Veri işleme sistemleri ve hizmetlerinin esnekliği

Veri işleme sistemleri ve hizmetlerinin dayanıklılığını sağlamak için aşağıdaki önlemler alınmalıdır:

  • a) onaylanmış güvenlik parametreleri kullanılarak uyumlu bir şekilde yapılandırılan sistemler;
  • b) ağ yedekliliği;
  • c) kritik sistemlerin muhafaza koruması.

1.15 Veri işlemenin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve değerlendirme prosedürü

Veri işlemeyi korumaya yönelik teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve değerlendirme prosedürü.

  • a) riskleri ve azaltma stratejilerini değerlendirmek için gerekli adımları atmak;
  • b) güncel sorunları ele almak için BT departmanının hizmet analizi toplantıları;
  • c) iş sürekliliği/afet kurtarma planları düzenli olarak güncellenir.

 

3. Bölüm

Tarafların imzaları ve Veri İçe Aktarıcıların listesi

 

Online sipariş formunu doldurduğunuzda ve genel kullanım şartlarını kabul eden kutucuğu işaretleyerek onayladığınızda, Müşteri ile POSTCODEZIP arasındaki ilişkiyi düzenleyen sözleşme kurulmuş olur.

Ödemenin POSTCODEZIP'e gönderilmesi, üzerinde anlaşılan ve kurulan sözleşmeyi dikkate alacaktır.

Not alın: Bu metin Fransızca'dan çevrilmiştir. Geçerli ve yasal olarak kısıtlayıcı olan orijinal Fransızca versiyonu  burada mevcuttur .