Veri işleme eki

 

İşbu Ek, Sözleşmenin ayrılmaz bir parçasını oluşturur ve aşağıdaki tanımlar geçerlidir:

 

  1. (i) Müşteri ("Veri Aktaran Veri Sorumlusu")
  2. (ii) IQUALIF ("Veri Alıcısı Veri Sorumlusu")

 

Her biri "Taraf" ve genellikle "Taraflar" olarak anılacaktır.

 

Giriş

Veri Alıcısı Veri Sorumlusunun (kısaca “Veri Alıcısı” olarak anılacaktır) profesyonel yazılım hizmetleri, bilgisayar ve ilgili hizmetleri (gelişmiş arama işlevlerine sahip tarayıcılar gibi) sağladığı DURUMLARDA;

Sözleşme uyarınca, Veri Alıcısının, sözleşmede belirtilen hizmetleri  ("Hizmetler") Veri Aktaran Veri Sorumlusu'na (kısaca “Veri Aktaran” olarak anılacaktır) sağlamayı kabul ettiği DURUMLARDA;

Veri Alıcısı, Hizmetleri sağlamak suretiyle Veri Aktaran'ın bilgilerine veya Veri Aktaran ile (potansiyel) bir ilişkisi olan diğer kişilerin bilgilerine erişimden yararlandığı DURUMLARDA, bu tür bilgiler,  Avrupa Parlamentosu'nun 2016/679 sayılı Tüzüğü (AB) ve 27 Nisan 2016 tarihli Konsey'in kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı ("GVKY") ve diğer geçerli veri koruma yasaları çerçevesinde kişisel veri olarak nitelendirilebilir.

İşbu Ek, Tarafların yürürlükteki veri koruma yasasına uymasını sağlamak amacıyla, ve Veri Alıcısı tarafından Veri Aktaran’ın yetkili veri işleme temsilcisi sıfatıyla bu tür kişisel verilerin toplanması, işlenmesi ve kullanılmasına ilişkin geçerli hüküm ve koşulları içerdiği DURUMLARDA.

 

BU NEDENLE ve Tarafların ilişkilerini hukuka uygun bir şekilde sürdürmelerini sağlamak amacı ile, Taraflar işbu Ek'i aşağıda belirtildiği şekilde sonuçlandırmışlardır:

Bölüm 1

 

1. Belgenin yapısı ve tanımlar

1.1 Yapı

İşbu Ek aşağıda belirtilen farklı bölümlerden oluşmaktadır:

 

Bölüm 1: 

İşbu Ek’te kullanılan tanımlar, yerel yasalara uygunluk, zamanlama ve fesih gibi genel hükümler içerir

 

Bölüm 2:

değiştirilmemiş Standart Sözleşme Maddesi'nin mevzuatını içerir

 

Bölüm 2 Ek 1.1:

İşbu Ek’in kapsamı, Veri Alıcısı tarafından Veri Aktara’na yetkili veri işleme aracısı olarak sağlanan işleme faaliyetlerinin ayrıntılarını (işlemenin niteliği ve amacı, kişisel verilerin türü ve veri sahipleri kategorileri dahil) içerir.

 

Bölüm 2 Ek 2:

Veri Alıcısının, Bölüm 2 Madde 1.1'de açıklanan tüm işleme faaliyetleriyle bağlantılı olarak uygulanan teknik ve kurumsal güvenlik önlemlerinin bir açıklamasını içerir.

 

Bölüm 3:

İşbu Ek ile bağlanacak olan Tarafların imzalarını içerir ve her bir Veri Alıcısı’nı tanımlar

 

 

1.2 Terimce ve tanımlar

İşbu Ek'in amaçları doğrultusunda, GVKY (Genel Veri Koruma Yönetmeliği) tarafından kullanılan terimce ve tanımlar geçerlidir (Tanımlanan terimlerin büyük harfle yazılmadığı Bölüm 2'deki Standart Sözleşme Maddesi belgesinin ana metninde). 

 

"Üye Devlet"

Avrupa Birliğine ya da Avpura Ekonomik Alanına dahil olan bir ülke anlamına gelir

 

"Özel (kişisel) veri kategorileri"

ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya sendika üyeliğini ortaya koyan kişisel verileri ve bir kişiyi benzersiz şekilde tanımlamak amacıyla işlenmişse genetik verileri, biyometrik verileri, sağlıkla ilgili verileri, bir kişinin cinsel hayatı veya cinsel yönelimiyle ilgili verileri ifade eder

 

"Standart Sözleşme Maddeleri"

Komisyon Uygulama Kararı (AB) tarafından 16 Aralık 2016 tarihinde değiştirilen 5 Şubat 2010 tarihli 2010/87/AB Komisyon Kararı uyarınca, üçüncü ülkelerde kurulan işleme aracılarının kişisel verilerinin aktarılmasına ilişkin Standart Sözleşme Hükümleri anlamına gelir 

 

“Veri İşlemcisi”

Veri Aktaranın talimatları, işbu Ek'in hükümleri ve Veri Alıcısı ile yapılan Sözleşme uyarınca aktarım AB / AEA (Avrupa Ekonomik Alanı) ‘nın içinde veya dışında bulunan, Veri Alıcısı veya Veri Alıcısının başka herhangi bir işlemcisinden, münhasıran Veri Aktaran tarafından gerçekleştirilecek işleme faaliyetlerinin münhasır amacı namına kişisel verileri almayı kabul eden herhangi bir işleme aracı anlamına gelmektedir.

 

 

 

2. Veri Aktaranın Yükümlülükleri

2.1 Veri Aktaran, GVKY ve Veri Aktaran için geçerli olan diğer geçerli veri koruma yasaları kapsamındaki tüm geçerli yükümlülüklere uygunluğu sağlamak ve GVKY'nin 5. Maddesinin 2. Fıkrası gereğince bu uygunluğu göstermekle yükümlüdür. Veri Aktaran, Veri Alıcısı’nın GVKY'nin 6. maddesinin (a) bendi uyarınca veri sahiplerinin ön onayını aldığını ve GVKY'nin  13. ve 14. maddeleri uyarınca veri sahiplerini bilgilendirme yükümlülüğüne uyduğunu taahhüt eder.

2.2 Veri Aktaran, Veri Alıcısı’nın, işbu Ek kapsamındaki hizmetlerle ilgili GVKY'nin 30. maddesinin 1. fıkrası uyarınca, Veri Alıcısı’nın GVKY'nin 30. maddesinin 2. fıkrası kapsamındaki yükümlülüğe uyması için, gerekli olduğu takdirde, işleme faaliyetlerinin ilgili dosyalarını ibraz etmelidir.

2.3 Veri Aktaran, yürürlükteki veri koruma yasasının gerektirdiği ölçüde bir veri koruma görevlisi veya temsilcisi atamalıdır. Veri Aktaran, varsa veri koruma aracısının veya temsilcisinin iletişim bilgilerini Veri Alıcısı'na vermekle yükümlüdür.

2.4. Veri Aktaran, işbu Ek’in kabulü ile, Veri Alıcısının Ek 2 ila Bölüm 2'de belirtilen teknik ve kurumsal güvenlik önlemlerinin, veri sahibinin haklarını korumak için uygun ve yeterli olduğunu ve Veri Alıcısının bu konuda yeterli güvenlik sağladığını onaylamaktadır.

 

3. Yerel kanunlara uygunluk

GVKY'nin 28. Maddesi uyarınca, işleme aracılarının uygulanmasına ilişkin gereklilikleri karşılamak için aşağıdaki değişiklikler geçerlidir:

 

3.1 Talimatlar

  1. (i) Veri Aktaran, Veri Alıcısı'na kişisel verileri yalnızca veri aktaran adına işlemesinin talimatını verir. Veri Aktaran'ın talimatları işbu Ek’te ve Sözleşme'de verilmiştir. Veri Aktaran, Veri Alıcısına verilen tüm talimatların geçerli veri koruma yasalarına uygun olmasını sağlama yükümlülüğüne sahiptir. Veri Alıcısı, Avrupa Birliği veya Üye Devlet yasaları tarafından aksi belirtilmedikçe (ikinci durumda, Bölüm 1 Madde 3.2 (iv) (c)) geçerli olmadıkça, kişisel verileri yalnızca veri aktaran tarafından sağlanan talimatlara uygun olarak işlemelidir.
  2. (ii) İşbu Ek’te veya Sözleşmede yer alan talimatların ötesine geçen diğer tüm talimatlar, bu Ek'in ve Sözleşmenin konusuna dahil edilmelidir. Bu ek talimatın uygulanması Veri Alıcısı için maliyetler içeriyorsa, Veri Alıcısı bu tür maliyetler hakkında Veri Aktaran'ı bilgilendirecek ve talimatı uygulamadan önce bir açıklama sunacaktır. Yalnızca Veri Aktaran, talimatı uygulamak için bu maliyetleri kabul ettiğini onayladıktan sonra, Veri Alıcısı bu ek talimatı uygulayacaktır. Veri Aktaran aciliyet veya diğer özel koşullar başka bir form gerektirmediği sürece (örn. sözlü, elektronik) yazılı olarak ek talimatlar vermelidir. Yazılı biçimde olmayan tüm talimatlar, Veri Aktaran tarafından yazılı olarak ve gecikmeksizin teyit edilmelidir 
  3. 1. Veri Aktaran kişisel verilerin düzeltilmesini, silinmesini veya kısıtlanmasını tek başına gerçekleştiremediği sürece, talimatlar ayrıca Bölüm 1 Madde 3.3'te belirtilen kişisel verilerin düzeltilmesi, silinmesi ve/veya kısıtlanmasıyla da ilgili olabilir.
  4. 2. Veri Alıcısı, kendi görüşüne göre bir Talimatın GVKY'yi, Avrupa Birliği'nin veya bir Üye Devletin diğer uygulanabilir veri koruma hükümlerini ihlal etmesi durumunda ("İhtilaflı Talimat") derhal Veri Aktaran’ı bilgilendirmelidir. Veri Aktaran, bir Talimatın GVKY'yi, Avrupa Birliği'nin veya bir Üye Devletin diğer uygulanabilir veri koruma hükümlerini ihlal ettiğine inanıyorsa, İhtilaflı Talimatı takip etmek zorunda değildir. Veri Aktaran, Veri Alıcısı'ndan bilgi aldıktan sonra İhtilaflı Talimatı onaylarsa ve İhtilaflı Talimat'tan sorumlu olduğunu kabul ederse, (i) İhtilaflı Talimat teknik ve örgütsel önlemlerin uygulanması, (ii) Veri Sahiplerinin hakları veya (iii) Veri işlemcilerinin katılımıyla ilgili olmadıkça, Veri Aktaran İhtilaflı Talimat’ı uygular. (i) , (ii) ve (iii) olarak belirtilen durumlarda, Veri Alıcısı, İhtilaflı Talimatın bu makam tarafından yasal olarak değerlendirilmesi için yetkili bir denetim merciine başvurabilir. Denetim makamı itiraz edilen Talimatın yasal olduğunu beyan ederse, Veri Alıcısı itiraz edilen Talimatı uygulayacaktır. Bölüm 1 Madde 3.1 (ii) geçerli kalacaktır.

 

3.2 Veri Alıcısının Yükümlülükleri

  1. (i) Veri Alıcısı, Veri Alıcısı tarafından kişisel verileri Veri Aktaran adına işleme yetkisi verilen kişilerin, özellikle Veri Alıcısı çalışanlarının ve herhangi bir Alt Yüklenicinin çalışanlarının, gizliliği gözetmeyi taahhüt etmelerini veya tabi olmalarını ve uygun bir yasal gizlilik yükümlülüğü ve kişisel verilere erişimi olan bu tür kişilerin bunu Veri Aktaran'ın talimatlarına uygun olarak işlemesini sağlamalıdır.
  2. (ii) Veri Alıcısı, kişisel verileri Veri Aktaran adına işlemeden önce Ek 2 ila Bölüm 2'de belirtilen teknik ve kurumsal güvenlik önlemlerini uygulamalıdır. Veri İçe Aktaran, Ek 2 ila Bölüm 2'de belirtilenlerden daha az koruma sağlamazlarsa, teknik ve kurumsal güvenlik önlemlerini zaman zaman değiştirebilir.
  3. (iii) Veri Alıcısı, Veri Aktaran'ın talebi üzerine, Veri Aktaran’ın işbu Ek kapsamındaki yükümlülüklerine uygunluğunu göstermek üzere bilgi aktaracaktır. Taraflar, bu bilgi yükümlülüğünün Veri Aktaran'a bir denetim raporu (ilkelerin güvenliği, sistem kullanılabilirliği ve gizliliği kapsayan) ("Denetim Raporu") sunarak yerine getirildiğini kabul eder.  Ek denetim faaliyetlerinin yasal olarak gerekli olması halinde, Veri Aktaran, Veri Alıcısı’nın makul memnuniyeti ("Denetim") adına, denetimlerin Veri Aktaran aracılığıyla veya Veri Aktaran tarafından atanan başka bir denetçi aracılığıyla, Veri Alıcısı ile bir gizlilik anlaşmasının bu tür bir denetçi tarafından yürütülmesine tabi olarak, gerçekleştirilmesini talep edebilir. Bu Denetim aşağıdaki koşullara tabidir: (i) Veri Alıcı'nın önceden resmi olarak kabul edilmesi şartı ile; (ii) Veri Aktaran, Veri Aktaran ve Veri Alıcısı için Yerinde Denetime ilişkin tüm masrafları üstlenecektir. Veri aktaran, Yerinde Denetimin ("Yerinde Denetim Raporu") sonuçlarını ve gözlemlerini özetleyen bir denetim raporu oluşturmalıdır. Yerinde Denetim Raporları ve Denetim Raporları, Veri Alıcısının gizli bilgileridir ve geçerli veri koruma yasası gerektirmedikçe veya Veri İçe Aktaranın rızası uyarınca üçüncü taraflara ifşa edilmemelidir.
  4. (iv) Veri Alıcısının, Veri Aktaran'a gecikmeksizin bildirimde bulunma yükümlülüğü vardır:
    1. a. Bir kolluk kuvveti soruşturmasının gizliliğini korumak için, ceza hukuku kapsamındaki bir yasak gibi, aksi yasak olmadıkça, bir kolluk kuvveti tarafından kişisel verilerin ifşa edilmesine yönelik yasal olarak bağlayıcı herhangi bir talebe ilişkin
    2. b. Veri Alıcısı'na yetki verilmediği sürece, doğrudan bir veri sahibinden alınan şikayet ve istekle ilgili olarak (erişim, düzeltme, silme, işleme kısıtlaması, veri taşınabilirliği, veri işlemeye itiraz, otomatik karar verme gibi durumlara ilişkin)
    3. c. Veri Aktaran veya Veri işlemcisi, “Avrupa Birliği” veya “Veri İçe Aktaranın veya Veri işlemcisinin tabi olduğu Üye Devletin” yasaları uyarınca, bu tür bir işlemeyi gerçekleştirmeden önce kişisel verileri Veri Aktaran'ın talimatlarının ötesinde işlemekle yükümlü ise talimatlar, Avrupa Birliği veya Üye Devlet kanunları bu tür bir işlemeyi hayati kamu yararı gerekçesiyle yasaklamadıkça, bu durumda Veri Dışa Aktarıcıya yapılacak bildirim, Avrupa Birliği veya Üye Devletin kanunları kapsamındaki yasal gerekliliği belirtecektir; veya
    4. d.Veri Alıcısı kişisel verilerin ihlalini, yalnızca kendisi veya alt yüklenicisi nedeniyle, Veri Aktaran'ın mevcut sözleşme kapsamındaki kişisel verilerini etkileyecek bir kişisel veri ihlalini fark ederse, bu durumda Veri Alıcısı, GVKY 33. maddesinin 3. fıkrası uyarınca, geçerli veri koruma kanunu ile ilgili olarak, veri sahiplerini ve uygun olduğu durumlarda denetim makamlarını emrindeki bilgileri sağlayarak bilgilendirmek yükümlülüğü ile Veri Aktaran’a yardımcı olacaktır.
    5. (v) Veri Aktaran’ın talebi üzerine, Veri Alıcısı, Veri Aktaran'a, GVKY'nin 35. Maddesi uyarınca gerekli olabilecek bir veri koruma etki değerlendirmesi yapma yükümlülüğü ile yardımcı olmak ve Veri Alıcısı tarafından Veri Aktaran'a işbu Ek kapsamında sağlanan hizmetlere ilişkin, GVKY'nin 36. Maddesi uyarınca gerekli olabilecek bir ön danışma halinde gerekli bilgileri sağlamak ile yükümlü olacaktır. Veri Alıcısı, yalnızca Veri Aktaran yükümlülüğünü başka yollarla yerine getiremezse bu tür bir yardımı sağlamakla yükümlü olacaktır. Veri Alıcısı, Veri Aktaran'ı bu tür bir yardımın maliyeti hakkında bilgilendirecektir. Veri Aktaran bu maliyeti üstlenebileceğine dair onay vermesinin akabinde, Veri Alıcısı, Veri Aktaran’a bu yardımı sağlayacaktır.
    6. (vi) Veri Aktaran, hizmetlerin sunulmasının sonunda, Veri Alıcısı tarafından işbu Ek kapsamında işlenen kişisel verilerin hizmetlerden sonra bir ay içinde iade edilmesini talep edebilir. Üye Devlet veya Avrupa Birliği mevzuatı Veri Alıcısının bu tür kişisel verileri saklamasını veya saklamasını gerektirmediği sürece, Veri Alıcı, talebi üzerine Veri Aktaran'a iade edilip edilmediğine bakılmaksızın, bir aylık süre sonunda bu tür kişisel veya kişisel olmayan tüm verileri siler.

 

3.3 İlgili kişilerin hakları

  1.  
    1. (i) Veri Aktaran, veri sahipleri tarafından yapılan talepleri yönetir ve bunlara yanıt verir. Veri Aktaran, veri sahiplerine doğrudan yanıt vermek zorunda değildir.
    2. (ii) Veri Aktaran, Veri Alıcısı’nın Veri Sahibi'nin taleplerini işleme ve bunlara yanıt verme yardımına ihtiyaç duyması halinde, Veri Aktaran, Bölüm 1 Madde 3.1 (ii) uyarınca ek bir talimat yayınlayacaktır. Veri Aktaran, GVKY'nin Bölüm III'te belirtilen veri sahiplerinin haklarının kullanılmasına yönelik taleplere aşağıdaki uygun ve teknik kurumsal önlemlerle yardımcı olacaktır:
    3. a. Bilgi talepleri ile ilgili olarak, Veri Alıcısı, Veri Aktaran'ın kendi başına bulamaması durumunda, veri Aktaran’a yalnızca GVKY'nin 13 ve 14 üncü maddesi gereğince gerekli olan bilgileri sağlayacaktır.
    4. b. Erişim talepleri ile ilgili olarak (GVKY Madde 15), Veri Alıcısı, Veri Aktaran'a yalnızca söz konusu erişim talebi için bir veri sahibine ibraz etmesi gereken bilgileri, kendi başına bulamadığı ikinci seferde sağlayacaktır.
    5. c. Düzeltme talepleri (GVKY Madde 16), silme talepleri (GVKY Madde 17), işleme taleplerinin kısıtlanması (GVKY Madde 18) veya taşınabilirlik talepleri (GVKY Madde 20) ve yalnızca Veri Aktaran, kişisel verileri düzeltemez veya silemez, sınırlayamaz veya diğer bir üçüncü tarafa aktaramaz ise; Veri Alıcısı, ilgili kişisel verileri düzeltme veya silme, sınırlama veya diğer bir üçüncü tarafa aktarma imkanı sunacaktır. Bunun mümkün olmadığı durumlarda, ilgili kişisel verilerin düzeltilmesi veya silinmesi, sınırlandırılması veya diğer bir üçüncü tarafa iletilmesi için yardım sağlayacaktır.
    6. d. Veri Alıcısı, düzeltme, silme veya işlemenin kısıtlanmasına ilişkin bildirimle ilgili olarak (GVKY'nin 19. maddesi), Veri Aktaran'ın talep etmesi ve Veri Aktaran'ın durumu kendi başına düzeltememesi durumunda, Veri Alıcısı tarafından işlem gören tüm alıcıları işlemci olarak bilgilendirerek Veri Aktaran'a yardımcı olacaktır.
    7. e. Bir veri sahibi (GVKY Madde 21 ve 22) tarafından icra edilen muhalefet hakkı ile ilgili olarak, Veri Aktaran muhalefetin meşru olup olmadığını ve bununla nasıl başa çıkılacağını belirleyecektir.
    8. (iii) Veri Alıcısının yardım yükümlülükleri, altyapısı içinde işlenen kişisel verilerle sınırlıdır (örn. Veri Aktaran tarafından sahip olunan veya sağlanan veritabanları, sistemler, uygulamalar).
    9. (iv) Veri Aktaran, bir Veri Sahibi’nin bu Bölüm 1 Madde 3.1’de belirtilen Veri Sahiplerinin haklarını kullanıp kullanamayacağını belirleyecek ve Bölüm 1 Madde 3.3’ün  (ii) ve (iii). bendinde belirtilen yardımın ne ölçüde gerekli olduğunu Veri Alıcısına bildirecektir.
    10. (v) Veri Aktaran, Bölüm 1'in 3.3 (ii), (iii) alt bendi uyarınca Veri Alıcısı tarafından sağlanan yardımın ötesine geçen veri sahiplerinin haklarını karşılamak için ek veya değiştirilmiş teknik ve kurumsal önlemler talep ederse, Veri Aktaran bu ek veya değiştirilmiş teknik ve kurumsal önlemlerin uygulanmasının maliyeti hakkında Veri Aktaran'ı bilgilendirecektir. Veri Aktaran, bu maliyetleri üstlenebileceğine dair onay vermesinin akabinde, Veri Aktaran'ın Veri Sahipleri'nin taleplerine yanıt verebilmesi için bu tür ek veya değiştirilmiş teknik ve kurumsal önlemleri uygulayacaktır.
    11. (vi) Bölüm 1 Madde 3.3’ün (v). bendi kapsamını sınırlamaksızın, Veri Aktaran, Veri Sahipleri’nin taleplerine yanıt olarak tahakkuk eden makul giderleri için Veri Alıcısına geri ödeme yapmakla yükümlüdür.

 

3.4 Alt işleme

  1.  
    1. (i) Veri Aktaran, Veri Alıcısının işbu Ek kapsamında hizmet sağlanması için alt yüklenicileri kullanmasına izin vermektedir. Veri Aktaran bu tür Veri işlemci(leri) dikkatle seçecektir. Veri Aktaran, Bölüm 2'nin sonundaki Ek 1.1'de listelenen Veri işlemcisini/işlemcilerini onaylar.
    2. (ii) Veri Aktaran, işbu Ek kapsamındaki yükümlülüklerini alt yüklenici hizmetler için geçerli olduğu ölçüde Veri işlemcisine/işlemcilerine aktaracaktır.
    3. (iii) Veri Aktaran, kendi takdirine bağlı olarak başka bir uygun ve güvenilir Veri şlemcisini/işlemcilerini görevden alabilir, değiştirebilir veya atayabilir. Veri Aktaran tarafından yazılı olarak talep edilmesi halinde, Veri Alıcısı aşağıda belirtilen prosedürü izlemelidir:
  2.  
    1. a. Veri Alıcısı, Bölüm 1 Madde 3.4’ün (i). bendinde belirtilen Veri işlemcileri listesinde herhangi bir değişiklik yapmadan önce Veri Aktaran'ı bilgilendirecektir. Veri Aktaran Madde 3.4 uyarınca itiraz etmez ise. (b) Bölüm 1, otuz (30) gün Veri Alıcısı'ndan bildirim aldıktan sonra, ek Veri işlemcileri kabul edilmiş sayılır.
    2. b.Veri Aktaran'ın ek bir Veri işlemcisine itiraz etmek için geçerli bir nedeni var ise, Veri Alıcısı'nın bildiriminin alınmasından sonraki otuz (30) gün içerisinde ve Veri Alıcısı'nın hizmeti devreye girmeden önce Veri Alıcısı'na önceden yazılı bildirimde bulunacaktır. Veri Aktaran ek bir Veri işlemcisinin kullanımına itiraz ederse, Veri Alıcısı itirazı aşağıdaki seçeneklerden biri ile tasfiye edebilir (kendi takdirine bağlı olarak seçilmiştir): (A) Veri Alıcısı, Veri Aktaran'ın kişisel verileriyle ilgili ek bir işlemci kullanma planlarını iptal edecektir; (B) Veri Alıcısı, itirazında Veri Aktaran tarafından talep edilen düzeltici önlemleri alacak (itirazı iptal ederek) ve Veri Aktaran’ın kişisel verileri ile ilgili ek işlemciyi kullanacaktır;  (C) Veri Alıcısı, Veri Aktaran'ın kişisel verilerinin daha fazla işleyicisinin kullanılmasını içeren hizmetin belirli bir yönünü (geçici veya kalıcı olarak) kullanmamayı (geçici veya kalıcı olarak) kabul edebilir.
  3.  
    1. (iv) Veri işlemcisi Avrupa Komisyonu'nun kararından sonra yeterli düzeyde veri koruması sunan bir ülkede ve AB-AEA dışında bulunuyorsa, Veri Alıcısı GVKY'ye uygun olarak yeterli düzeyde veri korumasına uymak için gerekli önlemleri alacaktır (bu tür önlemler - diğerlerinin yanı sıra - AB Modeli hükümlerine dayalı veri işleme sözleşmelerinin kullanımını, AB-ABD Koruma Kalkanı çerçevesinde kendi kendine onaylı Veri işlemcilerine aktarımı veya benzer bir programı içerebilir).

 

3.5 Zaman Aşımı Süresi

İşbu Ek'in zaman aşımı tarihi, ilgili Sözleşmenin sona erme tarihiyle aynıdır. İşbu Ek’te aksi belirtilmedikçe, fesihle ilgili hak ve görevler Sözleşme'de yer alan hususlar ile aynı olacaktır.

 

4. Sorumluluk Sınırları

4.1 Taraflardan her biri, işbu Ek ve ilgili veri koruma mevzuatı kapsamındaki yükümlülüklerini yerine getirmektedir.

4.2 İşbu Ek veya geçerli veri koruma mevzuatı kapsamındaki yükümlülüklerin ihlaline ilişkin her türlü sorumluluk, aksi belirtilmedikçe Sözleşmede belirtilen veya Sözleşme için geçerli olan sorumluluk hükümlerine ve bu hükümlere tabi olacaktır. Sorumluluk, Sözleşme'de belirtilen veya Sözleşme'de geçerli olan sorumluluk hükümlerine tabi ise, sorumluluk limitlerinin hesaplanması veya diğer sorumluluk sınırlamalarının uygulanmasının belirlenmesi için, işbu Ek'te ortaya çıkan her türlü yükümlülük Sözleşme kapsamında ortaya çıkmış sayılır.

 

5. Genel hükümler

5.1 İşbu Ek'in 1. ve 2. Bölümleri arasında herhangi bir tutarsızlık veya farklılık olması durumunda, Bölüm 2 geçerli olacaktır. Özellikle, böyle bir durumda bile, Bölüm 2 (Standart maddelerin şartları)’nin ötesine geçen Bölüm 1, Bölüm 2 ile çelişmediği takdirde geçerliliğini koruyacaktır.

5.2 İşbu Ek hükümleri ile tarafları bağlayan diğer sözleşmeler arasında herhangi bir tutarsızlık ortaya çıkarsa, işbu Ek, tarafların veri koruma yükümlülüklerine ilişkin olarak geçerli olacaktır. Diğer sözleşmelerdeki hükümlerin tarafların veri koruma yükümlülükleriyle ilgili olup olmadığı konusunda şüphe olması durumunda, işbu Ek geçerli olacaktır.

5.3 İşbu Ekin herhangi bir hükmü geçersiz veya uygulanamaz ise, işbu Ek’in geri kalanı tam olarak yürürlükte kalacaktır. Geçersiz veya uygulanamaz hüküm, (i) tarafların niyetini mümkün olduğunca koruyarak geçerliliğini ve uygulanabilirliğini sağlamak için değiştirilecektir veya - bu mümkün değilse - (ii) geçersiz veya uygulanamaz kısım asla sözleşmenin bir parçası olmayacaktır. Yukarıda belirtilenler, işbu Ek'te bir eksiklik olması durumunda da geçerli olacaktır.

5.5 Gerekli olduğu ölçüde, Taraflar, Birlik veya Üye Devletlerin yetkili makamları tarafından yayınlanan yorumlara, direktiflere veya emirlere, ulusal yaptırım hükümlerine, GVKY ile ilgili diğer yasal gelişmeler veya veri işlemeye katılan herhangi bir tüzel kişilikle ilgili diğer yasal gelişmelere uymak için ve özellikle Standart Sözleşme Maddeleri’nin kullanımına ilişkin Bölüm 1, Madde 3 (yerel kanuna uygunluk) veya Ek'in diğer bölümlerinde değişiklik talep edebilirler. Standart Sözleşme Maddelerinin şartları, Avrupa Komisyonu açıkça onaylamadıkça (örn. Yeni uygun maddeler ve veri koruma standartları ile) güncellenemez veya değiştirilemez.

5.6 İşbu Ek’te yer alan "Maddeler" e herhangi bir atıf, aksi belirtilmedikçe, işbu Ek’in tüm hükümlerine atıfta bulunulması anlamına gelecektir.

5.7 Bölüm 2, Madde 9'da belirtilen yasa seçimi sözleşmenin tamamı için geçerlidir.

 

6. Taraflarca kişisel amaçlarla aktarılan ve işlenen kişisel veriler(veri denetleyicisinden veri denetleyicine aktarım)

6.1 Taraflar, belirli kişisel verilerin Veri Aktaran'dan Veri Alıcısına veya bunun tersi yönde aktarılacağını ve bu verilerin her bir Taraf aracılığıyla kendi amaçları doğrultusunda işlendiğini tam olarak bilirler. Bu tür kişisel verilerle ilgili olarak, işbu Ek’in diğer hükümlerini (işbu madde 6 hariç) etkilemez.

6.2 Veri Aktaran, Veri Alıcısı personeli ile ilgili kişisel verileri, güvenlik olayları veya Veri Alıcısı personeli tarafından sağlanan Hizmetlerle bağlantılı olarak, Veri Aktaran tarafından oluşturulan veya belirlenen diğer belge veya dosyalar da dahil olmak üzere Veri Alıcısı’na aktarabilir. Veri Alıcısı, bu tür kişisel verileri kendi amaçları doğrultusunda, özellikle Veri Alıcısı personeliyle olan mesleki ilişkilerinde, kalite kontrol, eğitim, veya iş amacıyla işleyebilir.

6.3. Veri Alıcısı, Veri Alıcısı personelinin adı ve iletişim bilgileri de dahil olmak üzere kişisel verileri Veri Aktaran'a iletebilir. veri aktaran bu tür kişisel verileri kendi amaçları doğrultusunda işleyebilir.

6.4 Her iki taraf, Bölüm 1'in 1. maddesi uyarınca diğer taraftan alınan bu tür kişisel verileri toplarken, işlerken ve kullanırken GVKY dahil olmak üzere geçerli veri koruma yasalarına uyacaktır. Özellikle, her iki Taraf da Bölüm 2'nin Ek 2'sinde belirtilen güvenlik önlemlerine benzer düzeyde koruma sağlayarak yeterli güvenlik önlemlerini alacaktır. Bu tür kişisel verilere erişim, bunları bilme ihtiyacıyla sınırlı olacaktır.

6.5 Her iki Taraf da bu tür kişisel verileri hedeflere ulaşıldıktan sonra mümkün olan en kısa sürede silmelidir.

Bölüm 2

 

KOMİSYON KARARI

5 Şubat 2010 Tarihli 

Avrupa Parlamentosu ve Konsey'in 95/46/EC Direktifi uyarınca üçüncü taraf ülkelerde kurulan veri işlemcilerine kişisel verilerin aktarılmasına ilişkin standart sözleşme hükümleri

 

 

 

Madde 1

Tanımlar

Maddenin tanımları şu şekildedir:

a) 'kişisel veriler', 'özel veri kategorileri', 'işleme/işleme', 'denetleyici', 'işlemci', 'veri sahibi' ve 'denetim yetkisi' Avrupa Parlamentosu'nun 95/46/EC Direktifi ve 24 Ekim 1995 tarihli Konsey'in kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı ile ilgili olarak bireylerin korunması ile aynı anlama gelmektedir (1); 

b) 'Veri Aktaran', kişisel verileri aktaran Veri denetleyicisidir;

c)'Veri Alıcısı', 95/46/EC sayılı Direktifin 25/46/EC maddesi kapsamında yeterli koruma sağlayan üçüncü bir ülkenin mekanizmasına tabi olmayan, aktarımdan sonra Veri Aktaran adına işlenmesi amaçlanan kişisel verileri kendi talimatları ve bu madde hükümleri çerçevesinde almayı kabul eden veri işlemcisidir; (d) 'Veri işleyici', Veri Alıcısı tarafından, Veri Alıcısı'nın herhangi bir veri işleyicisinden, veya Veri Alıcısı’nın talimatlarına uygun olarak aktarımdan sonra Veri Aktaran adına gerçekleştirilecek işleme faaliyetlerine münhasıran Veri Alıcısına ait kişisel verilerin başka herhangi bir Veri işleyicisi tarafından, işbu Maddelerde belirtilen koşullar altında ve veri işleme sözleşmesinin yazılı alt yüklenici hükümleri altında kullanılan Veri işlemcisi anlamına gelmektedir;

e) "geçerli veri koruma yasası", kişisel verilerin işlenmesine ilişkin mahremiyet hakkı dahil olmak üzere bireylerin temel hak ve özgürlüklerini koruyan ve Veri Aktaranın yerleşik olduğu Üye Devletteki bir denetleyiciye uygulanan mevzuat anlamına gelmektedir;

f) "güvenlikle ilgili teknik ve kurumsal önlemler", kişisel verileri kazara veya kanunsuz tahribata veya kazara kayba, değiştirilmesine, yetkisiz ifşaya veya erişime, özellikle de verilerin ağlar üzerinden iletilmesini ve diğer tüm yasa dışı işleme biçimlerine karşı koruma amaçlı önlemler anlamına gelmektedir.

Madde 2

Aktarımın detayları

Uygun olduğu durumlarda özel kişisel veri kategorileri de dahil olmak üzere aktarım ayrıntıları, bu maddelerin ayrılmaz bir parçasını oluşturan Ek 1'de belirtilmiştir.

Madde 3

Üçüncü taraf lehtar maddesi

1. Veri sahibi, Veri Aktaran'a karşı işbu Madde 4’ün (b) bendi, Madde 5’in (a) bendi ila (e) bendi ve (g) bendi ila (j) bendi, Madde 6’nın (1) ve (2) nci fıkrası, Madde 7, Madde 8’in (2)nci fıkrası ve 9 ila 12nci maddeleri üçüncü taraf lehtar olarak uygulayabilir

2. Veri sahibi, Veri Aktaran'ın fiziksel olarak ortadan kaybolması veya hukuki varlığının sona ermesi durumunda, Veri Aktaran'ın hak ve yükümlülüklerinin bu nedenle geri döndüğü halef kuruluşa tüm yasal yükümlülükleri sözleşmeyle veya kanun gereği devredilmedikçe, Veri Alıcısı’na karşı işbu Madde, Madde 5’in (a) ila (e) bendi ve (g) bendi, Madde 6, Madde 7, Madde 8’in (2)’nci fıkrası ve Madde 9 ila 12'yi uygulayabilecektir.

Veri sahibi, Veri Aktaran ve Veri Alıcısı’nın fiziksel olarak ortadan kaybolması durumunda Veri  Aktaran'ın tüm yasal yükümlülüklerinin sözleşme yoluyla veya kanun gereği hakların yasal halefine devredilmediği sürece, hukuki varlığının sona ermesi veya ödeme aczine düşmesi durumunda Veri İşleyicisi’ne karşı işbu Madde, Madde 5’in (a) ila (e) bendi ve (g) bendi, Madde 6, Madde 7, Madde 8’in (2)’nci fıkrası ve Madde 9 ila 12'yi uygulayabilecektir. Veri işleyicisinin bu tür sorumluluğu, bu maddeler uyarınca kendi işleme faaliyetleriyle sınırlı olmalıdır .

4. Taraflar, isterse ve ulusal yasaların izin verdiği takdirde, bir dernek veya başka bir kuruluş tarafından temsil edilen veri sahibine itiraz etmez.

Madde 4

Veri Aktaranın Yükümlülükleri

Veri Aktaran aşağıdakileri kabul ve taahhüt eder:

a) kişisel verilerin gerçek aktarımı da dahil olmak üzere işleme, yürürlükteki veri koruma yasasının ilgili hükümlerine uygun olarak yürütülmüştür ve yürütülmektedir (ve varsa, Veri Aktaran'ın bulunduğu Üye Devletin yetkili makamlarına bildirilmiştir), söz konusu Devletin ilgili hükümlerini ihlal etmemektedir;

b) Kişisel veri işleme hizmetlerinin süresi boyunca, Veri Alıcısına, yalnızca Veri Aktaran adına ve geçerli veri koruma yasasına ve işbu maddeler uyarınca aktarılan kişisel verileri işleme talimatı vermiş olmalıdır;

c) Veri Alıcısı, Ek-2'de belirtilen teknik ve kurumsal güvenlik önlemleri ile ilgili olarak bu sözleşmeye yeterli önlemleri sağlayacaktır;

d) yürürlükteki veri koruma yasasının gerekliliklerinin değerlendirilmesinden sonra, güvenlik önlemleri kişisel verileri kazara veya kanunsuz tahribata veya kazara kayba, değiştirilmesine, yetkisiz ifşaya veya erişime, özellikle de verilerin ağlar üzerinden iletilmesine ve diğer tüm yasa dışı işleme biçimlerine karşı korumak ve korunan verilerin niteliği ile temsil edilen risklere uygun bir güvenlik düzeyi sağlamak için teknoloji düzeyi ve uygulama maliyetleri bakımından yeterlidir;

e) güvenlik önlemlerine uyulmasını sağlayacaklardır;

f) Aktarım özel veri kategorileri ile ilgili ise, veri sahibi, aktarımdan önce veya aktarımdan sonra mümkün olan en kısa sürede, verilerinin Direktif 95/46/EC kapsamında yeterli düzeyde koruma sunmayan üçüncü bir ülkeye aktarılabileceği konusunda bilgilendirilmiş olacak veya bilgilendirilecektir;

g) Veri Alıcısı'ndan veya herhangi bir Veri işleyiciden Madde 5 ‘in (b) bendi ve Madde 8’in (3)’üncü fıkrası uyarınca alınan her türlü bildirimi, aktarımını sürdürmeye veya askıya alınmasına karar vermesi halinde veri koruma denetleme kurumuna iletilecektir;

h) Talep etmeleri halinde, Ek 2 hariç, işbu Maddelerin bir kopyasını ve güvenlik tedbirlerinin özet açıklaması ile işbu Maddeler veya sözleşme ticari bilgiler içermediği sürece işbu Maddeler kapsamında imzalanan diğer taşeron sözleşmelerinin bir kopyasını veri sahiplerine sunacaklardır. Maddeler veya anlaşma ticari bilgiler içerir ve bu durumda bu tür bilgileri geri çekebilir;

i) Veri işleme faaliyetinin alt yükleniciye verilmesi durumunda, işleme faaliyeti kişisel verilerin ve veri sahibinin işbu Maddeler kapsamında Veri Alıcısı ile en az aynı düzeyde koruma sağlayan bir Veri işleyicisi tarafından Madde 11 uyarınca yürütülür; ve

j) Madde 4’ün (a) ila (i) fıkrası uyarınca uyulması sağlanacaktır

Madde 5

Veri Alıcısının Yükümlülükleri

Veri Alıcısı aşağıdakileri kabul ve taahhüt eder:

a)kişisel verileri sadece Veri Aktaran adına ve Veri Aktaran'ın talimatları ve bu maddeler uyarınca işleyecekleri herhangi bir nedenle uymaması halinde, Veri Aktaran'a mümkün olan en kısa sürede veri aktarımı hakkında bilgi vermeyi kabul ederler, bu durumda Veri Aktaran veri aktarımını askıya alabilir ve/veya sözleşmeyi feshedebilir;

b) Bunlar için geçerli olan yasanın, Veri Aktaran tarafından verilen talimatları ve sözleşme kapsamındaki yükümlülüklerini yerine getirmesini engellediğine inanmak için hiçbir neden yoktur ve bu yasa, Madde kapsamındaki garanti ve yükümlülükler üzerinde maddi olumsuz etki yaratabilecek bir değişikliğe tabi ise, veri aktarımını askıya alabilir ve/veya sözleşmeyi feshedebilir;

(c) aktarılan kişisel verileri işlemeden önce Ek 2'de belirtilen teknik ve kurumsal güvenlik önlemlerinin uygulanmış olması gerekmektedir;

d) Veri Aktaran'ı gecikmeksizin bilgilendireceklerdir:

i) bir polis soruşturmasının gizliliğini korumayı amaçlayan bir cezai yasak gibi, aksi belirtilmedikçe, bir kolluk kuvvetinden kişisel verilerin ifşa edilmesine yönelik bağlayıcı herhangi bir talep;

ii) herhangi bir tesadüfi veya yetkisiz erişim; ve

iii) kendisine yetki verilmedikçe ilgili kişilerden yanıt vermeden doğrudan alınan herhangi bir talep; yöneticiler

e) Aktarılan kişisel verilerin işlenmesine ilişkin olarak Veri Aktaran'dan gelen tüm soruşturmaları derhal ve doğru bir şekilde ele alacak ve aktarılan verilerin işlenmesine ilişkin olarak denetim makamının görüşü doğrultusunda hareket edeceklerdir;

f) Veri Aktaran'ın talebi üzerine, veri işleme tesislerini, bu maddeler kapsamındaki işleme faaliyetlerinin, Veri Aktaran veya gerekli mesleki niteliklere sahip bağımsız üyelerden oluşan bir denetim organı tarafından, gizlilik yükümlülüğüne tabi olarak ve denetim makamının mutabakatıyla uygun olduğu durumlarda Veri Aktaran tarafından seçilen bir denetim organı tarafından denetlenmesi;

g) Eğer talep edilirse, bu Maddelerin bir kopyasını veya veri işleme sözleşmesinin mevcut alt yüklenicilerinin bir kopyasını, Maddeler veya sözleşme ticari bilgiler içermediği sürece, veri sahibinin Veri Aktaran'dan bir kopyasını alamadığı güvenlik önlemlerinin özet açıklamasıyla değiştirilecek Ek 2 hariç, bu tür bilgileri kaldırabilir;

h)Veri işlemenin gizli bir şekilde daha fazla sözleşmeye dahil edilmesi durumunda, Veri Aktaran'ı önceden bilgilendirmesini ve Veri Aktaran'ın yazılı onayını almasını sağlayacaktır;

i) Veri işleyicisi tarafından sağlanan işleme hizmetleri Madde 11'e uygun olacaktır;

j) Bu Maddeler kapsamında bu Maddelerle yapılan veri işleme anlaşmasının herhangi bir alt sözleşmesinin bir kopyasını derhal Veri Aktaran'a göndermektedirler.

Madde 6

Sorumluluk

1. Taraflar, Madde 3 veya Madde 11'de belirtilen yükümlülüklerin bir taraf veya bir Veri işleyicisi tarafından ihlali nedeniyle zarar gören herhangi bir veri sahibinin, uğradığı zarar için Veri Aktaran'dan tazminat alabileceğini kabul eder.

2.Bir veri sahibinin, Veri Alıcısı veya Veri işleyicisinin 3. veya 11. Madde kapsamındaki yükümlülüklerinden herhangi birine uymaması nedeniyle 1. paragrafta atıfta bulunulduğu üzere, Veri Aktaran, Veri Aktaran'ın fiziksel olarak ortadan kaybolduğu veya hukuki varlığının sona ermesinden dolayı Veri Aktaran'a karşı tazminat davası açması engellenirse,Veri Alıcısı, Veri Aktaran'ın tüm yasal yükümlülükleri sözleşme yoluyla veya kanun gereği, veri sahibinin haklarını uygulayabileceği halef varlığına devredilmedikçe, veri sahibinin Veri Aktaranmış gibi kendisine karşı şikayette bulunabileceğini kabul eder. Veri Alıcısı, kendi sorumluluğundan kaçınmak için bir Veri işleyicinin yükümlülüklerini ihlal etmesine güvenemez.

3. Veri Aktaran'ın fiziksel olarak ortadan kaybolması, hukuki varlığının sona ermesi veya iflas etmesi nedeniyle, veri sahibinin Veri Aktaran veya Veri Alıcısı'na karşı Madde 3 veya Madde 11 kapsamındaki yükümlülüklerini ihlal ettiği için 1 ve 2 numaralı paragraflarda belirtilen eylemin getirilmesi engellenmesi durumunda, Veri Aktaran, veri sahibinin kendi işleme faaliyetleriyle ilgili olarak kendi aleyhine şikayette bulunabileceğini kabul eder.
 Veri işleyicisinin sorumluluğu, işbu maddeler uyarınca kendi işleme faaliyetleriyle sınırlı olmalıdır.

 

Madde 7

Arabuluculuk ve adli yargı

1. Veri Alıcısı, maddeler uyarınca, veri sahibinin üçüncü taraf lehtarın hakkını kendisine yöneltmesini ve/veya zararın tazminini talep etmesi halinde, veri sahibinin kararını kabul edeceğini taahhüt eder:

a) anlaşmazlığı bağımsız bir kişi veya uygun olduğu durumlarda denetim makamı aracılığıyla arabuluculuğa sunmak;

b) Anlaşmazlıkları Veri Aktaran'ın bulunduğu Üye Devlet mahkemelerine götürmek.

2. Taraflar, veri sahibi tarafından yapılan seçimin, ulusal veya uluslararası hukukun diğer hükümlerine uygun olarak tazminat almak için tabi olan verilerin usul ve esas hakkını etkilemeyeceği konusunda hemfikirdir.

Madde 8

Denetleyici makamlarla işbirliği

1. Veri Aktaran, mevcut sözleşmenin bir nüshasını, denetim makamının gerektirmesi durumunda veya bu tür bir saklama, geçerli veri koruma yasası tarafından sağlanmışsa, denetim makamına vermeyi kabul eder.

2. Taraflar, denetleme makamının Veri Aktaran’da ve herhangi bir Veri işleyicide kontrollerin, geçerli veri koruma yasası uyarınca Veri Aktaran'da yapılan kontrollerle aynı ölçüde ve aynı koşullar altında gerçekleştirebileceğini kabul eder.

3. Veri Alıcısı, Veri Aktaran’a Veri Alıcısı’nda veya herhangi bir Veri işleyicide 2. paragrafa uygun olarak doğrulamayı engelleyen Veri Alıcısı veya herhangi bir Veri işleyici ile ilgili mevzuatın varlığı hakkında mümkün olan en kısa süre içerisinde bilgi verecektir. Böyle bir durumda, Veri Aktaran Madde 5’in (b) bendinde belirtilen önlemleri alabilir.

Madde 9

Yürürlükteki yasa

Hükümler geçerlidir ve Veri Aktaran'ın bulunduğu Üye Devlet yasalarına tabidir.

Madde 10

Sözleşmenin değiştirilmesi

Taraflar, mevcut maddeleri değiştirmemeyi taahhüt eder. Taraflar, mevcut hükümlere aykırı olmamak kaydıyla, gerekli gördükleri diğer ticari maddeleri de eklemekte serbesttirler.

Madde 11

Müteakip alt sözleşme

1. Veri Alıcısı, Veri Aktaran’ın önceden yazılı izni olmaksızın bu maddeler uyarınca Veri Aktaran adına yürüttüğü işleme faaliyetlerinin hiçbirini alt sözleşme olarak sözleşmeye dahil etmez. Veri Aktaran, Veri Aktaran ile yazılı bir anlaşma yoluyla, veri işleyicisi ile yaptığı yazılı bir anlaşma ile işbu Maddeler uyarınca Veri Aktaran'a uygulanan yükümlülüklerle aynı yükümlülükleri yerine getirerek, işbu Maddeler kapsamındaki yükümlülüklerini yalnızca işbu Maddeler kapsamındaki yükümlülüklerini alt yüklenici olarak yüklenici olarak kabul eder. Veri işlemcisi bu yazılı anlaşma kapsamındaki veri koruma yükümlülüklerini yerine getiremiyor ise, Veri Alıcısı bu yükümlülüklerin yerine getirilmesinden veri Aktaran’a karşı tamamen sorumlu olacaktır.

2. Veri Aktaran ile Veri İşlemcisi arasındaki önceden yazılı anlaşma, Veri Aktaran'ın fiziksel olarak ortadan kaybolması veya hukuki varlığının sona ermesi durumunda, hak veyükümlülüklerinin bu nedenle geri döndüğü halef kuruluşa tüm yasal yükümlülükleri sözleşmeyle veya kanun gereği devredilmedikçe, Veri Sahibi’nin Madde 6’nın  (1)’inci fıkrasında belirtilen zararlar için talepte bulunmasının engellendiği durumlar için Madde 3'te belirtilen üçüncü taraf lehtar maddesini de içerecektir.  Veri işleyicisinin sorumluluğu, işbu maddeler uyarınca kendi işleme faaliyetleriyle sınırlı olmalıdır.

3. Birinci fıkrada belirtilen sözleşmenin veri işlemeye ilişkin alt sözleşmeye ilişkin veri koruma yönlerine ilişkin hükümler, Veri Aktaran'ın kurulduğu Üye Devlet yasalarına tabidir.

4. Veri aktaran, işbu Madde kapsamında imzalanan ve Veri Alıcısı tarafından yılda en az bir kez güncellenecek olan Madde 5’in (j) bendi uyarınca bildirilen veri işleme anlaşmalarının alt yüklenici listesini saklar. Bu liste, Veri Aktaran veri koruma denetleme kurumuna sunulacaktır.

Madde 12

Kişisel veri işleme hizmetlerinin sona ermesinden sonraki yükümlülükler

1. Taraflar, veri işleme hizmetlerinin tamamlanmasının ardından, Veri Aktaran ve Veri İşleyicisinin, Veri Aktaran'ın uygunluğunda, aktarılan tüm kişisel verileri ve kopyalarını Veri Aktaran'a iade edeceğini veya bu verilerin tümünü imha edeceğini, Veri Aktaran’a dayatılan mevzuat aktarılan kişisel verilerin tamamının veya bir kısmının geri dönmesini veya yok edilmesini engellemediği sürece, Veri Aktaran’ın ve veri işlemcisinin bu verilerin tümünün veya bir kısmının imha edileceğini kabul eder. Bu durumda, Veri Aktaran aktarılan kişisel verilerin gizliliğini sağlayacağını ve artık verileri aktif olarak işlemeyeceğini taahhüt eder.

2. Veri Aktaran ve Veri işleyicisi, Veri Aktaran ve/veya denetim makamı tarafından talep edilmesi halinde, veri işleme araçlarını paragraf 1'de belirtilen önlemlerin doğrulanmasına tabi olacaklarından emin olacaktır.

 

 

 

 

Ek 1.1- Bölüm 2

Aktarımın ayrıntıları

 

 

Veri Aktaran

Veri Aktaran, anlaşmaya bağlı Sözleşmede tanımlanan Müşteri’dir.

 

Veri Alıcısı

Veri Alıcısı IQUALIF'tir ve verileri işlemek için, Veri Aktaran'a hizmet vermekle yükümlüdür

 

Veri Sahipleri

Aktarılan kişisel veriler aşağıdaki veri sahibi kategorilerini ilgilendirir:

☒ evrensel dizinde listelenen telefon aboneleri

☐ Şunlar dahil diğerleri:

 

Veri kategorileri

Aktarılan kişisel veriler aşağıdaki veri kategorilerini ilgilendirir:

 

Özellikle Veri Aktaran'ın veri sahiplerine ait kişisel veri kategorileri,

☒ Tam ad

☒ Posta adresi

☒ İletişim bilgileri (e-posta, telefon, IP adresi, vb.)

☒ Telefon abonesi ile ilgili pazarlama faaliyetlerinin detayları

☒ Şehirlere göre anonim olarak belirlenen konut türü, gelir ve ortalama yaş da dahil olmak üzere diğerleri

 

Özel veri kategorileri (mevcut ise)

Aktarılan kişisel veriler aşağıdaki özel veri kategorilerini ilgilendirir:

☒ Özel veri kategorilerinin aktarılması öngörülmez

☐ Irk veya etnik köken

☐ Dini veya felsefi inançlar

☐ Sendika üyeliği

☐ Siyasi görüşler

☐ Genetik bilgiler

☐ Biyometrik bilgiler

☐ Cinsel yönelim veya cinsel yaşam hakkındaki bilgiler

☐ Sağlık verileri

 

İşleme faaliyetleri

Aktarılan kişisel veriler aşağıdaki temel işleme faaliyetlerine tabi olacaktır:

 

  •  
    • İşlemenin amacı

Veri Aktaran adına gerçekleştirilen işlemler, özellikle aşağıdaki konulara dayanmaktadır:

☒ Veri Aktaran tarafından sunulan ürün veya hizmetlerin sorumluluğunu almak

☒ Aranan kişinin isteyebileceği bir ürün veya hizmet teklifi

☒ Aranan kişilerden alınan emirler ve bu emirlerin daha fazla işlenmesi

☒ Anket ve Analizler

☒ Tele Pazarlama

☐ Şunlar dahil diğerleri::

 

  •  
    • İşlemenin niteliği ve amacı

Veri Aktaran, aşağıdaki hizmetleri sağlamak için veri sahiplerinin kişisel verilerini Veri Aktaran adına işler:

☒ Satış ve Pazarlama

☒ Belediye binaları ve siyasi partilerin veritabanlarının güncellenmesi de dahil olmak üzere diğerleri

 

  •  
    • Hizmetlerin sağlanması ve hizmet sağlayıcıların istihdamı

 

IQUALIF temel olarak Veri Aktarıcıyı birleştirir, merkezileştirir ve hizmet sağlar. Adı geçen hizmet sağlayıcı tarafından sağlanan hizmetler, aşağıdaki yardımcı hizmetler etrafında yapılandırılabilir (uygun şekilde diğerleri arasında): (i) yukarıda açıklandığı gibi veri sahiplerinin kişisel verilerinin işlenmesi de dahil olmak üzere, hizmetlerin sağlanması ve desteklenmesi amacıyla kullanılan veri işleme merkezleriyle ilgili uygulamalar, araçlar, sistemler ve BT altyapısının sağlanması, (ii) bu tür uygulamalar, araçlar, sistemler ve BT altyapısı ile ilgili BT desteği, bakım ve diğer hizmetlerin sağlanması , bu tür uygulamalarda, araçlarda ve sistemlerde saklanan kişisel verilere potansiyel erişim ve (iii) veri koruma hizmetlerinin sağlanması, koruma izleme ve olay müdahale hizmetlerinin sağlanması da dahil olmak üzere, bu tür koruma hizmetleri sunarken kişisel verilere potansiyel erişim de dahil olmak üzere IQUALIF, yardımcı hizmetler de dahil olmak üzere hizmetleri sağlamak için aşağıda belirlenen veri işlemcileri ile çalışabilir.

 

  •  
    • • Veri işlemeye atanan alt kuruluşlar olarak harici üçüncü taraf hizmet sağlayıcıları

 

IQUALIF, Veri Aktaran’a hizmet sağlanmasını desteklemek için IQUALIF'in yan kuruluşları olmayan harici ve üçüncü taraf hizmet sağlayıcıları görevlendirir. Veri Aktaran, bu tür harici üçüncü taraf hizmet sağlayıcılarını veri işlemeye atanan alt kuruluşlar olarak onaylar.

 

Veri işlemede yer alan bir alt kuruluş AB/AEA dışında bulunuyorsa, Avrupa Komisyonu'nun kararı uyarınca yeterli düzeyde veri korumasına sahip olmadığı kabul edilen bir ülkede, Veri Alıcısı GVKY ve Bölüm 1'in 3.4’üncü fıkrasının (iv) bendine uygun olarak yeterli düzeyde veri koruması elde etmek için adımlar atacaktır.

 

 

Ek 2, Bölüm 2

Teknik ve kurumsal koruyucu önlemler

 

Veri Alıcısı, risklere bağlı olarak bireylerin hak ve özgürlüklerine uygun bir güvenlik düzeyi sağlamak için Veri Aktaran tarafından onaylanan aşağıdaki teknik ve kurumsal koruma önlemlerini alacaktır. İlgili koruma düzeyini değerlendirirken, Veri Aktaran, özellikle kazara veya yasa dışı imha, değiştirme, yetkisiz ifşa etme veya aktarma, depolama suretiyle veya başka şekilde işlenen kişisel verilere erişim dahil olmak üzere işlemeyle ilgili tüm riskleri dikkate almıştır. Açıklama ile: Bu teknik ve kurumsal koruma önlemleri, veri aktaran tarafından sağlanan uygulamalar, araçlar, sistemler ve/veya BT altyapısı için geçerli değildir.

1 Genel teknik ve kurumsal koruma önlemleri
1.1 Genel bilgi ve veri koruma stratejileri
Genel verileri ve bilgi koruma stratejilerini izlemek için aşağıdaki adımlar takip edilmelidir:
  • a) Teknik ve kurumsal koruma ile ilgili alınanları değerlendirmek için önlemler almak;
  • b) Çalışanlar arasında farkındalığı artırmak için eğitim vermek;
  • c) İlgili sistemlerin tanımına sahip olmak ve çalışanlara erişim izni vermek;
  • d) Sistemler uygulandığında veya değiştirildiğinde resmi bir dokümantasyon süreci oluşturmak;
  • e) Kurum yapısını, süreçlerini, sorumluluklarını ve ilgili değerlendirmeleri belgelemek;
 
1.2 Bilgi koruma organizasyonu
Veri ve bilgi koruma faaliyetlerini koordine etmek için aşağıdaki önlemler alınmalıdır:
  • a) bilgi ve verilerin korunması için tanımlanmış sorumluluklar (örn. veri koruma yönetimi politikası yoluyla);
  • b) mevcut bilgi ve verilerin korunması konusunda gerekli uzmanlık;
  • c) tüm çalışanlar, kişisel verilerin gizli tutulmasını sağlamayı taahhüt eder ve bu taahhüdün ihlal edilmesinin olası sonuçları hakkında bilgilendirilmişlerdir.
 
1.3 İşleme alanlarına erişim denetimi
Kişisel veriler işlendiğinde, depolandığında veya iletildiğinde yetkisiz kişilerin veri işleme sistemlerine (özellikle yazılım ve donanım) erişmesini önlemek için aşağıdaki önlemler alınmalıdır:
  • a) güvenli alanlar kurmak;
  • b) veri işleme sistemlerine erişimi korumak ve kısıtlamak;
  • c) İlgili belgeler de dahil olmak üzere çalışanlar ve üçüncü şahıslar için erişim yetkileri oluşturmak;
  • d) Kişisel verilerin depolandığı veri işleme merkezlerine herhangi bir erişim günlüğe kaydedilecektir.
 
1.4 Veri işleme sistemlerine erişim kontrolü
Veri işleme sistemlerine yetkisiz erişimi önlemek için aşağıdaki önlemler alınmalıdır:
  • a) kullanıcı kimlik doğrulama ilkeleri ve prosedürleri;
  • b) tüm bilgisayar sistemlerinde şifre kullanımı;
  • c) ağa uzaktan erişim, çok faktörlü kimlik doğrulama gerektirir ve ilgili kişiye sorumluluklarına göre ve yetkilendirme üzerine verilir;
  • d) belirli işlevlere erişim, bir kullanıcının hesabına ayrı ayrı atanan iş işlevlerine ve/veya özniteliklere dayanır;
  • e) Kişisel verilerle ilgili erişim hakları düzenli olarak gözden geçirilir
  • f)  Erişim haklarındaki değişikliklerin kayıtları güncel tutulur.
 
1.5 Veri işleme sistemlerinin belirli kullanım alanlarına erişim kontrolü
Veri işleme sistemini kullanma hakkına sahip yetkili kişilerin, verilere yalnızca kendi sorumlulukları ve erişim yetkileri dahilindeki erişebilmeleri ve kişisel verilerin izinsiz olarak okunamamasını, kopyalanamaması, değiştirilememesi veya silinememesi için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a)her biri gizlilik, kişisel verilere erişim hakları ve kişisel verilerin işlenmesinin kapsamı hakkındaki yükümlülüklerine ilişkin politikaların, talimatların ve çalışanların eğitimi;
  • b) İzinsiz kişisel verilere erişen kişilere karşı disiplin tedbirleri;
  • c) kişisel verilere erişim sadece yetkili kişilere, bilinmesi gerekenler esasına göre verilir;
  • d) Sistem yöneticilerinin listesini tutmak ve sistem yöneticilerini izlemek için gerekli önlemleri almak;
  • e)yetkisiz kişilerin, gönderenin bilgilerini kullanmamasını sağlamak amacı ile kişisel verileri herhangi bir depolama sistemine kopyalamamak veya çoğaltmamak;
  • f) verilerin kontrol ve belgelenmiş olarak silinmesi veya imha edilmesi;
  • g) Yasal veya düzenleyici nedenlerle (örneğin, verileri saklama yükümlülükleri) ve yalnızca yasaların gerektirdiği sürece saklanmış olması gereken tüm kişisel verileri güvenli bir şekilde saklamak.
 
1.6 Aktarım kontrolü
Veri depolama cihazlarının iletimi veya taşınması sırasında (üstlenilen kişisel verilerin işlenmesine bağlı olarak) yetkisiz üçüncü şahıslar tarafından okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini önlemek için aşağıdaki önlemler alınmalıdır):
  1.  
    1. a) güvenlik duvarlarının kullanımı;
  • b) Kişisel verilerin taşıma amacıyla mobil depolama cihazlarında depolanmasını önlemek veya cihazları şifrelemek;
  • c) şifreleme koruması etkinleştirildikten sonra dizüstü bilgisayarlarda ve diğer mobil cihazlarda kullanım;
  • d) kişisel veri aktarımlarının kaydı.
 
1.7 Veri giriş kontrolü
Kişisel verilerin veri işleme sistemlerine girip girmediğini veya silinip silinmediğini ve kim tarafından silindiğini doğrulamanın ve belirlemenin mümkün olduğundan emin olmak için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a) saklanan verilerin okunması, değiştirilmesi ve silinmesine ilişkin bir politika;
  • b) saklanan verilerin okunması, değiştirilmesi ve silinmesine ilişkin koruma önlemleri.
 
1.8 İş kontrolü
Kişisel verilerin yetkin olarak işlenmesi durumunda, bu verilerin Denetleyicinin talimatlarına uygun olarak işlenmesini sağlamak için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a) özenle seçilen veri işlemeye atanan tüzel kişiler veya alt kuruluşlar (denetleyici adına kişisel verileri işleyen hizmet sağlayıcıları);
  • b) Kişisel verilerin, veri işlemeye atanan çalışanlara, kuruluşlara veya alt kuruluşlara işlenmesinin kapsamına ilişkin talimatlar;
  • c) Veri işlemeye atanan tüzel kişiler veya alt kuruluşlarla kabul edilen denetim hakları:
  • d) verileri işleme ile görevlendirilen tüzel kişiler veya alt kuruluşlarla yapılan anlaşmalar.
 
1.9 Diğer amaçlar için işleme dağılımı
Başka amaçlarla toplanan verilerin ayrı olarak işlenebilmesi için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a) kullanıcıların mevcut haklarına uygun olarak kişisel verilere ayrı erişim;
  • b) arayüzler, toplu işleme  ve raporlama diğer amaçlar ve işlevler içindir, böylece başka amaçlar için toplanan veriler ayrı ayrı işlenebilir.
 
1.10 Takma Ad
Kişisel verilerin takma adlandırılması ile ilgili aşağıdaki önlemler alınmalıdır::
  1.  
    1. a) Veri Aktaran belirli bir işleme faaliyeti emreder ise, veya bunun belirli işleme faaliyetleriyle ilgili yürürlükteki veri koruma yasalarına göre Veri Alıcı tarafından uygun görülmesi halinde, kişisel verilerin işlenmesi, Veriler, ek bilgiler kullanılmadan artık belirli bir kişiye atfedilemez. Bu ek bilgiler ayrı olarak saklanır;
  • b) tahsis listesi randomizasyonu da dahil olmak üzere takma ad tekniklerinin kullanımı; keskin kurallarla değerlerin oluşturulması.
 
1.11 Şifreleme

Şifrelemeyi destekleyen uygulamalarda ve aktarımlarda kişisel verileri şifrelemek için aşağıdaki adımlar atılmalıdır:

  1.  
    1. a) şifreleme tekniklerinin kullanımı;
  • b) kullanılmak üzere yetkilendirilen şifreleme tekniklerini desteklemek için şifreleme yönetiminin kurulması;
  • c) kriptografi kullanımını, yetkisiz modifikasyon ve ifşaya karşı korumak için şifreleme anahtarlarının üretilmesi, değiştirilmesi, iptali, yok edilmesi, dağıtılması, belgelendirilmesi, saklanması, ele geçirilmesi, kullanılması ve arşivlendirilmesine yönelik usul ve protokoller aracılığıyla desteklemek.
 
1.12 Veri işleme sistemlerinin ve hizmetlerinin eksiksizliği
Veri işleme sistemlerinin ve hizmetlerinin eksiksiz olmasını sağlamak için aşağıdaki önlemler alınmalıdır:
  1. a) veri işleme sistemlerinin uygun yollarla manipülasyon adabına veya yok edilmesine karşı korunması (örn. virüsten koruma yazılımı, veri kaybı önleme yazılımı ve yazılımları, yazılım yamaları, güvenlik duvarları ve yönetilen masaüstü koruması;
  • b) veri işleme sistemlerine, hizmetlerine zararlı herhangi bir hizmet veya yazılımın yüklenmesini veya kişisel verilerin değiştirilmesini yasaklamak;
  • c) ağın yapısında bir ağ saldırı algılama ve önleme sisteminin kullanılması.
 
1.13 Veri işleme sistemlerinin ve hizmetlerinin mevcudiyeti ve önemli veya teknik bir olay durumunda kişisel verilere erişimin ve verilerin yeniden kullanılma olasılığı
Bir maddi veya teknik olay durumunda (özellikle kişisel verilerin kazara yok olma veya kayıp durumuna karşı korunmasını sağlayarak) veri işleme sistemlerinin kullanılabilirliğini sağlamak ve kişisel verilerin kullanılabilirliğini ve kişisel verilere erişimi hızlı bir şekilde geri yükleyebilmek için aşağıdaki önlemler alınmalıdır:
  • a) yedek kopyaları saklamak ve kaybolan veya silinen verileri geri yüklemek için kontrol araçlarına sahip olmak;
  • b) altyapı fazlalığı ve performans testi;
  • c) bilgisayar kaynaklarının fiziksel olarak korunması;
  • d) dahili ağın durumunu ve kullanılabilirliğini izlemek için araçların kullanılması;
  • e) Olay yönetimi prosedürünü düzenleyen olay raporlama ve yanıt politikaları ve düzenli eğitimin bir parçası olarak bu politikalara bağlılığın tekrarlanması;
  • f) sistemin işlevlerini yeniden yerine getirmesini sağlamak için sistemi geri yüklemek üzere yedeklemeler yapılması (bazen de kuruluş dışında işleme);
  • g) iş sürekliliği/felaket kurtarma planları
 
1.14 Veri işleme sistemlerinin ve hizmetlerinin dayanıklılığı
Veri işleme sistemlerinin ve hizmetlerinin dayanıklılığını sağlamak için aşağıdaki önlemler alınmalıdır:
  • a)onaylı güvenlik parametreleri kullanılarak, uyumlu bir şekilde yapılandırılan sistemler;
  • b) şebeke artıklığı;
  • c) kritik sistemlerin çevreleme koruması.
 
1.15 Veri işleme güvenliğini sağlamak için teknik ve kurumsal önlemlerin etkinliğini düzenli olarak test etme, ölçme ve değerlendirme prosedürü
Veri işlemeyi korumak için teknik ve kurumsal önlemlerin etkinliğini düzenli olarak test etme, ölçme ve değerlendirme prosedürü.
  • a) Riskleri ve azaltma stratejilerini değerlendirmek için gerekli adımları atmak;
  • b) Güncel sorunları ele almak için BT departmanının hizmet analizi toplantıları
  • c) iş sürekliliği/felaket kurtarma planları düzenli olarak güncellenmektedir.

 

Bölüm 3

Tarafların imzası ve Veri Alıcıların listesi

 

Çevrim içi sipariş formunu doldurup genel kullanım koşullarını kabul eden kutuyu işaretleyerek doğruladığınızda, Müşteri ile IQUALIF arasındaki ilişkiyi düzenleyen sözleşme oluşturulur.

Ödemenin IQUALIF'e gönderilmesi, kabul edilen ve oluşturulan sözleşmeyi başlatmış olacaktır.


Not: Bu metin Fransızcadan çevirilmiştir. Hukuken bağlayıcı ve geçerli olan orjinal Fransızca hâline buradan ulaşabilirsiniz.