Veri işleme eki

 

Bu Ek, Sözleşmenin ayrılmaz bir parçasını oluşturur ve taraflarca akdedilmiştir:

 

1. (i) Müşteri ("Veri İhracatçısı")
2. (ii) IQUALIF ("Veri İthalatçısı")

 

Her biri "Taraf" ve birlikte "Taraflar" olarak anılır.

 

Önsöz

Veri İthalatçısı profesyonel yazılım hizmetleri, bilgisayar ve ilgili hizmetler (gelişmiş arama fonksiyonlarına sahip tarayıcılar gibi) sağlar;

Sözleşme uyarınca, Veri İthalatçısı, Veri İhracatçısına Sözleşmede belirtilen hizmetleri ("Hizmetler") sağlamayı kabul etmiştir;

Hizmetlerin sağlanmasıyla, Veri İthalatçısı, Veri İhracatçısının veya Veri İhracatçısıyla (potansiyel) ilişkisi olan diğer kişilerin bilgilerine erişim sağlar veya bundan faydalanır; bu bilgiler, 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi'nin kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı ile ilgili bireylerin korunmasına dair 2016/679 sayılı Yönetmeliği ("GDPR") ve diğer geçerli veri koruma yasaları anlamında kişisel veri olarak nitelendirilebilir.

Bu Ek, Veri İhracatçısının yetkili veri işleme temsilcisi sıfatıyla Veri İthalatçısı tarafından bu tür kişisel verilerin toplanması, işlenmesi ve kullanımı ile ilgili şartları içerir ve Tarafların geçerli veri koruma yasalarına uymasını sağlar.

 

BU NEDENLE, Tarafların ilişkilerini yasal olarak sürdürmelerini sağlamak amacıyla, Taraflar bu Ek'i aşağıdaki şekilde akdetmiştir:

Bölüm 1

 

1. Belgenin yapısı ve tanımlar

1.1 Yapı

Bu Ek aşağıdaki bölümlerden oluşur:

 

Bölüm 1:	bu Ek'te kullanılan tanımlar, yerel yasalara uyum, zamanlama ve fesih gibi genel hükümleri içerir
Bölüm 2:	değiştirilmemiş Standart Sözleşme Maddeleri belgesinin esasını içerir
Bölüm 2'nin Ek 1.1'i:	Veri İthalatçısının, bu Ek kapsamında Veri İhracatçısına yetkili veri işleme temsilcisi olarak sağladığı işleme faaliyetlerinin detaylarını (işlemenin türü, amacı, kişisel veri türü ve veri sahipleri kategorileri dahil) içerir
Bölüm 2'nin Ek 2'si:	Veri İthalatçısının, Bölüm 2'nin Ek 1.1'inde tanımlanan tüm işleme faaliyetleriyle bağlantılı olarak uyguladığı teknik ve organizasyonel güvenlik önlemlerinin açıklamasını içerir
Bölüm 3:	Bu Eke bağlı kalacak Tarafların imzalarını içerir ve her Veri İthalatçısını tanımlar

 

1.2 Terminoloji ve tanımlar

Bu Ek için, GDPR tarafından kullanılan terminoloji ve tanımlar geçerlidir (Bölüm 2'deki Standart Sözleşme Maddeleri belgesinde tanımlı terimler büyük harfle yazılmamıştır). 

 

"Üye Devlet"	Avrupa Birliği veya Avrupa Ekonomik Alanı'na ait bir ülke anlamına gelir
"Özel (kişisel) veri kategorileri"	ırksal veya etnik köken, siyasi görüşler, dini veya felsefi inançlar, sendika üyeliği, genetik veriler, benzersiz bir kişiyi tanımlamak amacıyla işlenen biyometrik veriler, sağlık verileri, kişinin cinsel hayatı veya cinsel yönelimi ile ilgili veriler gibi kişisel verileri ifade eder
"Standart Sözleşme Maddeleri"	5 Şubat 2010 tarihli Komisyon Kararı 2010/87/AB uyarınca üçüncü ülkelerde kurulu veri işleme temsilcilerine kişisel veri aktarımı için Standart Sözleşme Maddeleri anlamına gelir; bu karar, 16 Aralık 2016 tarihli Komisyon Uygulama Kararı (AB) 2016/2297 ile değiştirilmiştir
“Veri işleyici”	Veri İthalatçısından veya Veri İthalatçısının diğer bir işleyicisinden, Veri İhracatçısının talimatları, bu Ek ve Veri İthalatçısı ile yapılan Sözleşme hükümleri doğrultusunda, aktarım sonrası Veri İhracatçısı adına gerçekleştirilecek işleme faaliyetleri için kişisel veri almayı kabul eden, AB/AEA içinde veya dışında bulunan herhangi bir işleyici anlamına gelir

 

 

2. Veri İhracatçısının Yükümlülükleri

2.1 Veri İhracatçısı, GDPR ve kendisine uygulanan diğer veri koruma yasaları kapsamındaki tüm yükümlülüklere uyumu sağlamak ve GDPR Madde 5 (2) uyarınca bu uyumu göstermekle yükümlüdür. Veri İhracatçısı, Veri İthalatçısının GDPR Madde 6 (a) uyarınca veri sahiplerinin önceden onayını aldığını ve GDPR Madde 13 ve 14 uyarınca veri sahiplerini bilgilendirme yükümlülüğünü yerine getirdiğini garanti eder.

2.2 Veri İhracatçısı, bu Ek kapsamındaki Hizmetlerle ilgili olarak, Veri İthalatçısının GDPR Madde 30 (2) uyarınca yükümlülüğünü yerine getirmesi için gerekli ölçüde, GDPR Madde 30 (1) uyarınca işleme faaliyetlerine ilişkin ilgili dosyaları Veri İthalatçısına sağlamalıdır.

2.3 Veri İhracatçısı, geçerli veri koruma yasaları gerektirdiği ölçüde bir veri koruma görevlisi veya temsilcisi atamalıdır. Veri İhracatçısı, varsa veri koruma görevlisi veya temsilcisinin iletişim bilgilerini Veri İthalatçısına sağlamalıdır.

2.4 Veri İhracatçısı, bu Ekin kabulüyle, Bölüm 2'nin Ek 2'sinde belirtilen Veri İthalatçısının teknik ve organizasyonel güvenlik önlemlerinin veri sahibinin haklarını korumak için uygun ve yeterli olduğunu ve Veri İthalatçısının bu konuda yeterli güvenceler sağladığını önceden teyit eder.

 

3. Yerel yasaya uyum

GDPR Madde 28 uyarınca veri işleyicilerin uygulanması gerekliliklerini karşılamak için aşağıdaki değişiklikler geçerlidir:

 

3.1 Talimatlar

1. (i) Veri İhracatçısı, Veri İthalatçısına kişisel verileri yalnızca Veri İhracatçısı adına işlemeyi talimat verir. Veri İhracatçısının talimatları bu Ek ve Sözleşmede belirtilmiştir. Veri İhracatçısı, tüm talimatların geçerli veri koruma yasalarına uygun olmasını sağlamakla yükümlüdür. Veri İthalatçısı, Avrupa Birliği veya Üye Devlet yasaları aksi gerektirmedikçe, kişisel verileri yalnızca Veri İhracatçısının verdiği talimatlara uygun olarak işlemelidir (son durumda, Bölüm 1 Madde 3.2 (iv) (c) uygulanır).
2. (ii) Bu Ek veya Sözleşmedeki talimatların ötesine geçen tüm diğer talimatlar bu Ek ve Sözleşmenin konusu içine dahil edilmelidir. Bu ek talimatın uygulanması Veri İthalatçısı için maliyet gerektiriyorsa, Veri İthalatçısı bu maliyetleri Veri İhracatçısına bildirmeli ve talimatı uygulamadan önce açıklama yapmalıdır. Veri İhracatçısı bu maliyetleri kabul ettiğini onayladıktan sonra Veri İthalatçısı ek talimatı uygular. Veri İhracatçısı ek talimatları yazılı olarak vermelidir; aciliyet veya özel durumlar başka biçimlerde (örneğin sözlü, elektronik) olabilir. Yazılı olmayan talimatlar derhal Veri İhracatçısı tarafından yazılı olarak teyit edilmelidir.
3. 1. Veri İhracatçısı kişisel verilerin düzeltilmesi, silinmesi veya kısıtlanmasını kendisi gerçekleştiremiyorsa, talimatlar Bölüm 1 Madde 3.3'te belirtildiği şekilde bu işlemleri de kapsayabilir.
4. 2. Veri İthalatçısı, bir talimatın GDPR veya diğer geçerli AB veya Üye Devlet veri koruma hükümlerini ihlal ettiğini düşünüyorsa ("İtiraz Edilen Talimat"), derhal Veri İhracatçısını bilgilendirmelidir. Veri İthalatçısı, İtiraz Edilen Talimatı uygulamak zorunda değildir. Veri İhracatçısı, Veri İthalatçısından bilgi aldıktan sonra İtiraz Edilen Talimatı onaylar ve sorumluluğunu kabul ederse, Veri İthalatçısı talimatı uygular; ancak talimat (i) teknik ve organizasyonel önlemlerin uygulanması, (ii) Veri Sahiplerinin hakları veya (iii) Veri işleyicilerin görevlendirilmesi ile ilgiliyse, Veri İthalatçısı yetkili denetim otoritesine başvurarak talimatın yasal değerlendirmesini isteyebilir. Denetim otoritesi talimatı yasal bulursa, Veri İthalatçısı talimatı uygular. Bölüm 1 Madde 3.1 (ii) geçerliliğini korur.

 

3.2 Veri İthalatçısının Yükümlülükleri

1. (i) Veri İthalatçısı, Veri İhracatçısı adına kişisel verileri işlemekle yetkili kişilerin, özellikle Veri İthalatçısının ve alt yüklenicilerin çalışanlarının gizliliği gözeteceklerine veya uygun yasal gizlilik yükümlülüğüne tabi olduklarına ve kişisel verilere erişen bu kişilerin Veri İhracatçısının talimatlarına uygun işlem yapacaklarına emin olmalıdır.
2. (ii) Veri İthalatçısı, kişisel verileri Veri İhracatçısı adına işlemeye başlamadan önce Bölüm 2'nin Ek 2'sinde belirtilen teknik ve organizasyonel güvenlik önlemlerini uygulamalıdır. Veri İthalatçısı, bu önlemleri zaman zaman değiştirebilir ancak Ek 2'de belirtilenlerden daha az koruma sağlamamalıdır.
3. (iii) Veri İthalatçısı, Veri İhracatçısının talebi üzerine, bu Ek kapsamındaki yükümlülüklerine uyumu göstermek için bilgi sağlamalıdır. Taraflar, bu bilgi yükümlülüğünün Veri İhracatçısına bir denetim raporu (güvenlik ilkeleri, sistem kullanılabilirliği ve gizlilik kapsamlı) ("Denetim Raporu") sunmakla yerine getirildiğini kabul eder. Yasal olarak ek denetim faaliyetleri gerekirse, Veri İhracatçısı, Veri İthalatçısının makul memnuniyetine uygun gizlilik sözleşmesi imzalayan başka bir denetçiyi görevlendirebilir ("Denetim"). Bu Denetim için (i) Veri İthalatçısının önceden yazılı onayı ve (ii) Veri İhracatçısının ve Veri İthalatçısının denetimle ilgili tüm masrafları karşılaması gerekir. Veri İhracatçısı, Denetim sonuçlarını özetleyen bir rapor ("Yerinde Denetim Raporu") oluşturmalıdır. Yerinde Denetim Raporları ve Denetim Raporları, Veri İthalatçısının gizli bilgileri olup, geçerli veri koruma yasaları veya Veri İthalatçısının onayı olmadıkça üçüncü taraflara açıklanamaz.
4. (iv) Veri İthalatçısı, Veri İhracatçısını gecikmeksizin bilgilendirmekle yükümlüdür:
   1. a. bir kolluk kuvveti tarafından kişisel verilerin açıklanması için yapılan yasal bağlayıcı talepler hakkında, aksi yasaklanmadıkça (örneğin, bir kolluk soruşturmasının gizliliğini korumak için ceza hukuku yasağı gibi)
   2. b. veri sahibinden doğrudan alınan şikayet ve talepler hakkında (örneğin erişim, düzeltme, silme, işleme kısıtlaması, veri taşınabilirliği, itiraz, otomatik karar verme) bu taleplere yanıt vermeden, Veri İthalatçısının yetkilendirilmediği durumlar hariç
   3. c. Veri İthalatçısı veya Veri işleyicisinin, AB veya tabi olduğu Üye Devlet yasaları uyarınca, Veri İhracatçısının talimatlarının ötesinde kişisel verileri işlemeye zorunlu olması durumunda, bu işleme başlamadan önce, ancak AB veya Üye Devlet yasalarının kamu yararı gerekçesiyle yasaklamadığı durumlarda, Veri İhracatçısına bildirimde bulunmak; bu durumda bildirimde ilgili yasal gereklilik belirtilmelidir
   4. d. Veri İthalatçısının veya alt yüklenicisinin, bu sözleşme kapsamındaki Veri İhracatçısının kişisel verilerini etkileyen bir kişisel veri ihlali fark etmesi durumunda; Veri İthalatçısı, GDPR Madde 33 (3) uyarınca veri sahiplerini ve denetim otoritelerini bilgilendirme yükümlülüğünde Veri İhracatçısına yardımcı olacaktır.
   5. (v) Veri İhracatçısının talebi üzerine, Veri İthalatçısı, GDPR Madde 35 ve 36 uyarınca gerekebilecek veri koruma etki değerlendirmesi ve ön danışma süreçlerinde Veri İhracatçısına gerekli bilgileri sağlayarak yardımcı olacaktır. Bu yardım, Veri İhracatçısının başka yollarla yükümlülüğünü yerine getirememesi durumunda geçerlidir. Veri İthalatçısı, bu yardımın maliyetini Veri İhracatçısına bildirecek ve Veri İhracatçısı maliyeti karşılayabileceğini onayladıktan sonra yardım sağlayacaktır.
   6. (vi) Hizmetlerin sona ermesinden itibaren bir ay içinde, Veri İhracatçısı, Veri İthalatçısından bu Ek kapsamında işlenen kişisel verilerin iadesini talep edebilir. Üye Devlet veya AB yasaları Veri İthalatçısının bu verileri saklamasını gerektirmedikçe, Veri İthalatçısı, bir ay sonra kişisel veya kişisel olmayan tüm verileri, iade edilmiş olsun veya olmasın, silecektir.

 

3.3 İlgili kişilerin hakları

1.  
   1. (i) Veri İhracatçısı, veri sahiplerinin taleplerini yönetir ve yanıtlar. Veri İthalatçısı doğrudan veri sahiplerine yanıt vermek zorunda değildir.
   2. (ii) Veri İhracatçısı, Veri İthalatçısının veri sahiplerinin taleplerini işleme ve yanıt verme konusunda yardımını isterse, Bölüm 1 Madde 3.1 (ii) uyarınca ek talimat verir. Veri İthalatçısı, GDPR III. Bölümünde belirtilen veri sahiplerinin haklarının kullanımı taleplerine yanıt vermek için uygun teknik ve organizasyonel önlemlerle Veri İhracatçısına yardımcı olur:
   3. a. Bilgi talepleri için, Veri İthalatçısı yalnızca Veri İhracatçısının kendisi bulamadığı durumlarda, GDPR Madde 13 ve 14 uyarınca sağlanması gereken bilgileri verir.
   4. b. Erişim talepleri (GDPR Madde 15) için, Veri İthalatçısı yalnızca Veri İhracatçısının kendisi bulamadığı durumlarda, erişim talebi için veri sahibine verilmesi gereken bilgileri sağlar.
   5. c. Düzeltme (GDPR Madde 16), silme (Madde 17), işleme kısıtlaması (Madde 18) veya taşınabilirlik (Madde 20) talepleri için, Veri İhracatçısı kendisi düzeltemez, silemez, kısıtlayamaz veya başka bir üçüncü tarafa iletemezse, Veri İthalatçısı bu işlemleri yapma veya yardım sağlama imkanı sunar.
   6. d. Düzeltme, silme veya işleme kısıtlaması bildirimleri (GDPR Madde 19) için, Veri İhracatçısı isterse ve kendisi yapamazsa, Veri İthalatçısı kişisel verileri işleyen tüm alıcıları bilgilendirir.
   7. e. Veri sahibinin itiraz hakkı (GDPR Madde 21 ve 22) için, Veri İhracatçısı itirazın meşruiyetini ve nasıl ele alınacağını belirler.
   8. (iii) Veri İthalatçısının yardım yükümlülükleri, yalnızca kendi altyapısında işlenen kişisel verilerle sınırlıdır (örneğin Veri İthalatçısına ait veya sağlanan veritabanları, sistemler, uygulamalar).
   9. (iv) Veri İhracatçısı, veri sahibinin Bölüm 1 Madde 3.1'de belirtilen hakları kullanıp kullanamayacağını belirler ve Bölüm 1 Madde 3.3 (ii) ve (iii) kapsamındaki yardımın gerekliliğini Veri İthalatçısına bildirir.
   10. (v) Veri İhracatçısı, Veri İthalatçısından, veri sahiplerinin haklarını karşılamak için Bölüm 1 Madde 3.3 (ii) ve (iii) kapsamındaki yardımı aşan ek veya değiştirilmiş teknik ve organizasyonel önlemler talep ederse, Veri İthalatçısı bu önlemlerin maliyetini bildirir. Veri İhracatçısı maliyeti karşılayabileceğini onayladıktan sonra, Veri İthalatçısı bu önlemleri uygular.
   11. (vi) Bölüm 1 Madde 3.3 (v) kapsamını sınırlamaksızın, Veri İhracatçısı, veri sahiplerinin taleplerine yanıt verirken Veri İthalatçısının makul giderlerini karşılamakla yükümlüdür.

 

3.4 Alt işleme

1.  
   1. (i) Veri İhracatçısı, bu Ek kapsamındaki hizmetlerin sağlanması için Veri İthalatçısının alt yükleniciler kullanmasını yetkilendirir. Veri İthalatçısı bu Veri işleyicilerini dikkatle seçmelidir. Veri İhracatçısı, Bölüm 2'nin sonundaki Ek 1.1'de listelenen Veri işleyicilerini onaylar.
   2. (ii) Veri İthalatçısı, bu Ek kapsamındaki yükümlülüklerini alt yüklenicilere devreder.
   3. (iii) Veri İthalatçısı, uygun ve güvenilir başka Veri işleyicileri atayabilir, değiştirebilir veya görevden alabilir. Veri İhracatçısı yazılı talep ederse, Veri İthalatçısı aşağıdaki prosedürü izlemelidir:
2.  
   1. a. Veri İthalatçısı, Bölüm 1 Madde 3.4 (i) uyarınca Veri işleyicilerinin listesindeki değişikliklerden önce Veri İhracatçısını bilgilendirmelidir. Veri İhracatçısı, bildirimi aldıktan sonra otuz gün içinde itiraz etmezse, ek Veri işleyicileri kabul edilmiş sayılır.
   2. b. Veri İhracatçısı, ek Veri işleyicisine itiraz etmek için geçerli bir sebep varsa, itirazını Veri İthalatçısına yazılı olarak bildirir ve Veri İthalatçısının hizmeti devreye almadan önce bildirimi yapar. İtiraz durumunda Veri İthalatçısı, itirazı gidermek için (seçimine bağlı olarak) (A) ek Veri işleyicisini kullanmaktan vazgeçer, (B) itirazı kaldıracak düzeltici önlemleri alır ve ek Veri işleyicisini kullanır veya (C) Veri İhracatçısı ile anlaşarak belirli hizmetin (geçici veya kalıcı) kullanımını durdurur.
3.  
   1. (iv) Veri işleyici, AB-EEA dışında, Avrupa Komisyonu kararıyla yeterli koruma düzeyi tanınmayan bir ülkede bulunuyorsa, Veri İthalatçısı GDPR uyarınca yeterli koruma sağlamak için önlemler alacaktır (bu önlemler arasında AB Model maddelerine dayalı veri işleme sözleşmeleri, AB-ABD Koruma Kalkanı kapsamında kendi kendini sertifikalandıran Veri işleyicilere transfer veya benzeri programlar olabilir).

 

3.5 Süre sonu

Bu Ekin sona erme tarihi, ilgili Sözleşmenin sona erme tarihi ile aynıdır. Bu Ek'te aksi belirtilmedikçe, fesihle ilgili hak ve yükümlülükler Sözleşmedekilerle aynıdır.

 

4. Sorumluluğun Sınırlandırılması

4.1 Her taraf, bu Ek ve geçerli veri koruma mevzuatı kapsamındaki yükümlülüklerini yerine getirir.

4.2 Bu Ek veya geçerli veri koruma mevzuatı kapsamındaki yükümlülüklerin ihlalinden doğan sorumluluk, aksi belirtilmedikçe, Sözleşmede belirtilen veya uygulanan sorumluluk hükümlerine tabidir ve bu hükümlerle yönetilir. Sorumluluk sınırlarının hesaplanması veya diğer sorumluluk sınırlamalarının uygulanması için, bu Ek kapsamındaki sorumluluk Sözleşme kapsamındaki sorumluluk olarak kabul edilir.

 

5. Genel hükümler

5.1 Bu Ek'in Bölüm 1 ve 2'si arasında tutarsızlık veya çelişki varsa, Bölüm 2 geçerlidir. Özellikle, Bölüm 2'yi çelişkiye düşürmeden aşan Bölüm 1 geçerliliğini korur.

5.2 Bu Ek ile Tarafları bağlayan diğer sözleşmelerin hükümleri arasında çelişki varsa, Tarafların veri koruma yükümlülükleri açısından bu Ek geçerlidir. Diğer sözleşmelerdeki maddelerin veri koruma yükümlülükleriyle ilgili olup olmadığı konusunda şüphe varsa, bu Ek geçerlidir.

5.3 Bu Ek'in herhangi bir hükmü geçersiz veya uygulanamazsa, Ek'in geri kalanı tam olarak yürürlükte kalır. Geçersiz veya uygulanamaz hüküm (i) tarafların niyetini mümkün olduğunca koruyarak geçerlilik ve uygulanabilirlik için değiştirilir veya - mümkün değilse - (ii) hiç var olmamış gibi yorumlanır. Bu durum, Ek'te eksiklik olması halinde de geçerlidir.

5.5 Gerekli ölçüde, Taraflar, GDPR veya veri işleme ile ilgili diğer koşullarla ilgili olarak Birlik veya Üye Devletlerin yetkili makamlarının yorumları, direktifleri veya emirlerine uyum için Bölüm 1 Madde 3 (Yerel yasaya uyum) veya Ek'in diğer bölümlerinde değişiklik talep edebilir. Standart Sözleşme Maddeleri, Avrupa Komisyonu açıkça onaylamadıkça (örneğin yeni uygun maddeler ve veri koruma standartlarıyla) değiştirilemez veya yerine konamaz.

5.6 Bu Ek'te "Maddeler" ifadesi, aksi belirtilmedikçe, bu Ek'in tüm hükümlerini ifade eder.

5.7 Bölüm 2 Madde 9'daki hukuk seçimi tüm Sözleşmeye uygulanır.

 

6. Taraflarca kişisel amaçlarla iletilen ve işlenen kişisel veriler (veri sorumlusundan veri sorumlusuna transfer)

6.1 Taraflar, belirli kişisel verilerin Veri İhracatçısından Veri İthalatçısına ve tersi yönde aktarılacağını ve bu verilerin her Tarafça kendi amaçları için işleneceğini tam olarak bilir. Bu tür kişisel veriler, bu Ek'in diğer hükümlerini etkilemez (6. madde hariç).

6.2 Veri İhracatçısı, Veri İthalatçısının personeline ilişkin kişisel verileri, güvenlik olayları bilgileri dahil olmak üzere, Veri İthalatçısına aktarabilir veya Veri İhracatçısının personeli tarafından sağlanan Hizmetlerle ilgili oluşturulan belgeleri veya dosyaları verebilir. Veri İthalatçısı, bu kişisel verileri kendi amaçları için, özellikle personeliyle profesyonel ilişkilerinde, kalite kontrolü ve eğitim veya ticari amaçlarla işleyebilir.

6.3 Veri İthalatçısı, Veri İhracatçısına, Veri İthalatçısının personelinin isim ve iletişim bilgileri dahil olmak üzere kişisel verileri aktarabilir. Veri İhracatçısı, bu kişisel verileri kendi amaçları için işleyebilir.

6.4 Her iki Taraf da, Bölüm 1 Madde 1 uyarınca diğer Taraf'tan alınan bu kişisel verilerin toplanması, işlenmesi ve kullanımı sırasında GDPR dahil geçerli veri koruma yasalarına uyacaktır. Özellikle, her iki Taraf da Ek 2'de belirtilen güvenlik önlemleriyle benzer düzeyde uygun güvenlik önlemleri alacaktır. Bu kişisel verilere erişim, yalnızca bilme gerekliliğiyle sınırlı olacaktır.

6.5 Her iki Taraf da, amaçlar gerçekleştirildikten sonra bu kişisel verileri mümkün olan en kısa sürede silecektir.

Bölüm 2

 

KOMİSYON KARARI

5 Şubat 2010 tarihli

95/46/EC Direktifi uyarınca üçüncü ülkelerde kurulu veri işleyicilere kişisel veri aktarımı için standart sözleşme maddeleri hakkında

 

 

 

Madde 1

Tanımlar

Bu maddelerde:

a) 'kişisel veri', 'özel veri kategorileri', 'işleme', 'veri sorumlusu', 'veri işleyici', 'veri sahibi' ve 'denetim otoritesi', 24 Ekim 1995 tarihli Avrupa Parlamentosu ve Konseyi'nin kişisel verilerin işlenmesi ve serbest dolaşımı ile ilgili bireylerin korunmasına dair 95/46/EC Direktifi'nde aynı anlamlara sahiptir (1);

b) 'Veri İhracatçısı', kişisel verileri aktaran veri sorumlusudur;

c) 'Veri İthalatçısı', Veri İhracatçısından, bu maddeler ve talimatları uyarınca, aktarım sonrası Veri İhracatçısı adına işlenecek kişisel verileri almaya razı olan ve 95/46/EC Direktifi Madde 25(1) anlamında yeterli koruma sağlayan üçüncü ülke mekanizmasına tabi olmayan veri işleyicidir; (d) 'Veri işleyici', Veri İthalatçısı veya Veri İthalatçısının diğer veri işleyicisi tarafından, aktarım sonrası Veri İhracatçısı adına işlenecek kişisel verileri yalnızca işleme faaliyetleri için almaya razı olan ve bu maddeler ve yazılı alt işleme sözleşmesi hükümleri uyarınca yükümlülükleri üstlenen veri işleyicidir;

e) "geçerli veri koruma yasası", kişisel verilerin işlenmesiyle ilgili temel hak ve özgürlükleri, özellikle gizlilik hakkını koruyan ve Veri İhracatçısının kurulu olduğu Üye Devlette veri sorumlusuna uygulanan mevzuattır;

f) “güvenlikle ilgili teknik ve organizasyonel önlemler”, kişisel verilerin kazara veya hukuka aykırı yok edilmesi, kaybı, değiştirilmesi, yetkisiz açıklanması veya erişimine karşı korumak için alınan önlemler olup, özellikle verilerin ağlar üzerinden iletimi söz konusu olduğunda ve diğer tüm hukuka aykırı işleme biçimlerine karşıdır.

Madde 2

Aktarım detayları

Aktarım detayları, gerektiğinde özel kişisel veri kategorileri dahil, bu maddelerin ayrılmaz parçası olan Ek 1'de belirtilmiştir.

Madde 3

Üçüncü taraf yararlanıcı maddesi

1. Veri sahibi, Veri İhracatçısına karşı bu Madde, Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6 (1) ve (2), Madde 7, Madde 8(2) ve Madde 9 ila 12'yi üçüncü taraf yararlanıcı olarak uygulatabilir.

2. Veri sahibi, Veri İhracatçısının fiilen ortadan kalkması veya hukuken sona ermesi durumunda, tüm yasal yükümlülükleri sözleşme veya kanun yoluyla halef kuruluşa devredilmedikçe, bu Madde, Madde 5 (a) ila (e) ve (g), Madde 6, Madde 7, Madde 8 (2) ve Madde 9 ila 12'yi Veri İthalatçısına karşı uygulatabilir.

Veri sahibi, Veri İhracatçısı ve Veri İthalatçısının fiilen ortadan kalkması, hukuken sona ermesi veya iflas etmesi durumunda, tüm yasal yükümlülükleri halef kuruluşa devredilmedikçe, bu Madde, Madde 5 (a) ila (e) ve (g), Madde 6, Madde 7, Madde 8 (2) ve Madde 9 ila 12'yi Veri işleyicisine karşı uygulatabilir. Veri işleyicinin sorumluluğu, bu maddeler kapsamındaki kendi işleme faaliyetleriyle sınırlıdır.

4. Taraflar, veri sahibinin bir dernek veya başka bir kuruluş tarafından temsil edilmesine, veri sahibinin isteği ve ulusal yasaların izin vermesi halinde itiraz etmez.

Madde 4

Veri İhracatçısının Yükümlülükleri

Veri İhracatçısı aşağıdakileri kabul ve garanti eder:

a) kişisel verilerin işlenmesi ve aktarımı, geçerli veri koruma yasalarına uygun olarak yapılmıştır ve yapılmaya devam edecektir (varsa, Veri İhracatçısının bulunduğu Üye Devletin yetkili makamlarına bildirilmiştir) ve ilgili devletin hükümlerine aykırı değildir;

b) kişisel veri işleme hizmetleri süresince, Veri İthalatçısına kişisel verileri yalnızca Veri İhracatçısı adına ve geçerli veri koruma yasalarına ve bu maddelere uygun olarak işlemesi talimatını vermiştir;

c) Veri İthalatçısı, bu sözleşmenin Ek 2'sinde belirtilen teknik ve organizasyonel güvenlik önlemleri konusunda yeterli güvenceler sağlayacaktır;

d) geçerli veri koruma yasalarının gereklilikleri değerlendirildikten sonra, güvenlik önlemleri, kişisel verilerin kazara veya hukuka aykırı yok edilmesi, kaybı, değiştirilmesi, yetkisiz açıklanması veya erişimine karşı yeterlidir ve işleme ile ilgili risklere ve korunacak verilerin niteliğine uygun güvenlik düzeyini sağlar;

e) güvenlik önlemlerine uyumu sağlar;

f) aktarım özel veri kategorilerini içeriyorsa, veri sahibi aktarım öncesinde veya mümkün olan en kısa sürede, yeterli koruma sağlamayan üçüncü bir ülkeye veri aktarılabileceği konusunda bilgilendirilmiştir;

g) Veri İthalatçısından veya herhangi bir Veri işleyicisinden Madde 5 (b) ve 8 (3) uyarınca alınan bildirimleri, veri koruma denetim otoritesine iletecektir;

h) veri sahipleri talep ederse, bu Maddelerin bir kopyasını (Ek 2 hariç), güvenlik önlemlerinin özet açıklamasını ve varsa alt işleme sözleşmesini sağlayacaktır; ticari bilgi içeren kısımlar hariç;

i) alt işleme durumunda, işleme faaliyetleri, Veri İthalatçısının bu Maddeler kapsamındaki koruma düzeyine eşit veya daha yüksek koruma sağlayan bir Veri işleyici tarafından yapılacaktır;

j) Madde 4 (a) ila (i) hükümlerine uyumu sağlar.

Madde 5

Veri İthalatçısının Yükümlülükleri

Veri İthalatçısı aşağıdakileri kabul ve garanti eder:

a) kişisel verileri yalnızca Veri İhracatçısı adına ve talimatları doğrultusunda ve bu maddelere uygun olarak işleyecektir; uyum sağlayamazsa, Veri İhracatçısını derhal bilgilendirir; Veri İhracatçısı veri aktarımını askıya alabilir veya sözleşmeyi sona erdirebilir;

b) kendisine uygulanan yasanın, Veri İhracatçısının talimatlarını ve bu maddeler kapsamındaki yükümlülüklerini yerine getirmesini engellediğine dair bir sebebi yoktur; yasa değişikliği durumunda, Veri İhracatçısını derhal bilgilendirir; Veri İhracatçısı veri aktarımını askıya alabilir veya sözleşmeyi sona erdirebilir; (c) kişisel verileri işlemeye başlamadan önce Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uygulamıştır;

d) Veri İhracatçısını derhal bilgilendirir:

i) kolluk kuvvetlerinden gelen kişisel verilerin açıklanması için bağlayıcı talepler;

ii) herhangi bir yetkisiz erişim;

iii) veri sahiplerinden doğrudan alınan talepler, yetkilendirilmedikçe yanıtlamaz;

e) Veri İhracatçısından gelen tüm sorguları hızlı ve uygun şekilde yanıtlar ve denetim otoritesinin görüşü doğrultusunda hareket eder;

f) Veri İhracatçısının talebi üzerine, bu maddeler kapsamındaki işleme faaliyetleri için Veri İhracatçısı veya bağımsız denetim organı tarafından denetime tabi tutulur;

g) veri sahibi talep ederse, bu Maddelerin veya alt işleme sözleşmesinin bir kopyasını sağlar; ticari bilgi içeren kısımlar hariç; Ek 2 yerine güvenlik önlemlerinin özet açıklaması verilir;

h) gizli alt işleme durumunda, Veri İhracatçısını önceden bilgilendirir ve yazılı onayını alır;

i) Veri işleyicinin sağladığı işleme hizmetleri Madde 11'e uygundur;

j) bu maddeler kapsamında yaptığı alt işleme sözleşmelerinin kopyalarını Veri İhracatçısına derhal gönderir.

Madde 6

Sorumluluk

1. Taraflar, Madde 3 veya Madde 11 kapsamındaki yükümlülüklerin ihlali nedeniyle zarar gören veri sahibinin, zararın tazmini için Veri İhracatçısından tazminat talep edebileceğini kabul eder.

2. Veri sahibi, Veri İthalatçısının veya Veri işleyicisinin yükümlülüklerini yerine getirmemesi nedeniyle Veri İhracatçısına karşı dava açamıyorsa ve Veri İhracatçısı fiilen ortadan kalkmış, hukuken sona ermiş veya iflas etmişse, Veri İthalatçısı veri sahibinin kendisine karşı dava açmasına izin verir; Veri İhracatçısının yükümlülükleri halef kuruluşa devredilmemişse. Veri İthalatçısı, Veri işleyicinin ihlalini kendi sorumluluğundan kaçmak için kullanamaz.

3. Veri sahibi, Veri İhracatçısı ve Veri İthalatçısına karşı dava açamıyorsa ve Veri işleyicisi yükümlülüklerini ihlal etmişse, Veri işleyicisi veri sahibinin kendi işleme faaliyetleri için dava açmasına izin verir; yükümlülükler halef kuruluşa devredilmemişse. Veri işleyicinin sorumluluğu kendi işleme faaliyetleriyle sınırlıdır.

 

Madde 7

Arabuluculuk ve yetki

1. Veri İthalatçısı, veri sahibinin üçüncü taraf yararlanıcı hakkını kullanması veya zarar talebinde bulunması durumunda, veri sahibinin kararını kabul eder:

a) uyuşmazlığı bağımsız bir kişiye veya denetim otoritesine arabuluculuğa sunmak;

b) uyuşmazlığı Veri İhracatçısının bulunduğu Üye Devlet mahkemelerine götürmek.

2. Taraflar, veri sahibinin seçiminin ulusal veya uluslararası hukuka göre tazminat hakkını etkilemeyeceğini kabul eder.

Madde 8

Denetim otoriteleri ile işbirliği

1. Veri İhracatçısı, denetim otoritesinin talebi veya geçerli veri koruma yasası gereği, bu sözleşmenin bir kopyasını denetim otoritesine sunmayı kabul eder.

2. Taraflar, denetim otoritesinin, Veri İhracatçısına uygulanan denetimlerle aynı kapsam ve koşullarda Veri İthalatçısı ve Veri işleyicilerinde denetim yapabileceğini kabul eder.

3. Veri İthalatçısı, denetim otoritesinin denetimi engelleyen mevzuat varlığını Veri İhracatçısına derhal bildirir. Bu durumda Veri İhracatçısı Madde 5 (b) hükümlerini uygular.

Madde 9

Geçerli hukuk

Bu maddeler, Veri İhracatçısının bulunduğu Üye Devletin hukuku kapsamında uygulanır ve yönetilir.

Madde 10

Sözleşme değişikliği

Taraflar, bu maddeleri değiştirmemeyi taahhüt eder. Taraflar, bu maddelere aykırı olmamak kaydıyla gerekli gördükleri diğer ticari maddeleri ekleyebilir.

Madde 11

Sonraki alt işleme

1. Veri İthalatçısı, Veri İhracatçısının önceden yazılı onayı olmadan, bu maddeler kapsamında Veri İhracatçısı adına yürüttüğü işleme faaliyetlerini alt işleme veremez. Veri İthalatçısı, bu maddeler kapsamındaki yükümlülüklerini, Veri işleyici ile yazılı bir sözleşme yaparak devreder; bu sözleşme Veri işleyiciye Veri İthalatçısına yüklenen aynı yükümlülükleri getirir. Veri işleyici yükümlülüklerini yerine getiremezse, Veri İthalatçısı Veri İhracatçısına karşı tam sorumludur.

2. Veri İthalatçısı ile Veri işleyici arasındaki yazılı sözleşme, Madde 3'te belirtilen üçüncü taraf yararlanıcı maddesini de içerir; Veri İhracatçısı veya Veri İthalatçısı fiilen ortadan kalkmış, hukuken sona ermiş veya iflas etmiş ve yükümlülükler halef kuruluşa devredilmemişse, veri sahibi bu maddelere dayanarak Veri İhracatçısına veya Veri İthalatçısına karşı dava açamaz. Veri işleyicinin sorumluluğu kendi işleme faaliyetleriyle sınırlıdır.

3. Alt işleme veri koruma hükümleri, Veri İhracatçısının kurulu olduğu Üye Devletin hukuku ile yönetilir.

4. Veri İhracatçısı, Veri İthalatçısının Madde 5 (j) uyarınca bildirdiği alt işleme sözleşmelerinin listesini tutar ve yılda en az bir kez günceller. Bu liste, Veri İhracatçısının veri koruma denetim otoritesine sunulur.

Madde 12

Kişisel veri işleme hizmetlerinin sona ermesinden sonra yükümlülük

1. Taraflar, veri işleme hizmetleri tamamlandığında, Veri İthalatçısı ve Veri işleyicisinin, Veri İhracatçısının talebi üzerine, aktarılan tüm kişisel verileri ve kopyalarını Veri İhracatçısına iade edeceğini veya tüm verileri imha edeceğini ve imha kanıtını sunacağını kabul eder. Ancak, Veri İthalatçısına uygulanan mevzuat, verilerin iadesini veya imhasını engelliyorsa, Veri İthalatçısı kişisel verilerin gizliliğini sağlar ve verileri aktif olarak işlemeyi durdurur.

2. Veri İthalatçısı ve Veri işleyicisi, Veri İhracatçısı ve/veya denetim otoritesinin talebi üzerine, veri işleme araçlarını Madde 1 uyarınca denetime tabi tutar.

 

 

 

 

Bölüm 2'nin Ek 1.1'i

Aktarım detayları

 

 

Veri İhracatçısı

Veri İhracatçısı, Sözleşmede tanımlanan Müşteridir.

 

Veri İthalatçısı

Veri İthalatçısı IQUALIF olup, Veri İhracatçısına hizmet sağlayan veri işleme görevlisidir.

 

Veri sahipleri

Aktarılan kişisel veriler aşağıdaki veri sahibi kategorilerini kapsar:

☒ evrensel rehberde listelenen telefon aboneleri

☐ Diğerleri, dahil olmak üzere:

 

Veri kategorileri

Aktarılan kişisel veriler aşağıdaki veri kategorilerini kapsar:

 

Özellikle Veri İhracatçısının veri sahiplerinin kişisel veri kategorileri,

☒ Tam ad

☒ Posta adresi

☒ İletişim bilgileri (e-posta, telefon, IP adresi vb.)

☒ Telefon abonesine ilişkin pazarlama faaliyetleri detayları

☒ Diğerleri, anonim olarak şehir bazında konut türü, gelir ve ortalama yaşlar dahil

 

Özel veri kategorileri (varsa)

Aktarılan kişisel veriler aşağıdaki özel veri kategorilerini kapsar:

☒ Özel veri kategorilerinin aktarımı öngörülmemektedir

☐ Irk veya etnik köken

☐ Dini veya felsefi inançlar

☐ Sendika üyeliği

☐ Siyasi görüşler

☐ Genetik bilgiler

☐ Biyometrik bilgiler

☐ Cinsel yönelim veya cinsel hayat bilgileri

☐ Sağlık verileri

 

İşleme faaliyetleri

Aktarılan kişisel veriler aşağıdaki temel işleme faaliyetlerine tabi olacaktır:

 

•  
  • • İşlemenin amacı

Veri İhracatçısı adına yapılan işleme özellikle aşağıdaki konuları kapsar:

☒ Veri İhracatçısının sunduğu ürün veya hizmetlerin yönetimi

☒ Aranan kişinin talep edebileceği ürün veya hizmet teklifi

☒ Aranan kişilerden alınan siparişler ve bu siparişlerin işlenmesi

☒ Anketler ve analizler

☒ Tele-pazarlama

☐ Diğerleri, dahil olmak üzere:

 

•  
  • • İşlemenin niteliği ve amacı

Veri İthalatçısı, Veri İhracatçısı adına aşağıdaki hizmetleri sağlamak için veri sahiplerinin kişisel verilerini işler:

☒ Satış ve Pazarlama

☒ Diğerleri, belediye ve siyasi parti veritabanlarının güncellenmesi dahil

 

•  
  • • Hizmet sağlama ve hizmet sağlayıcıların kullanımı

 

IQUALIF, Veri İhracatçısına hizmet sağlamak için verileri birleştirir, merkezileştirir ve hizmet sunar. Sağlanan hizmetler, aşağıdaki yardımcı hizmetler etrafında yapılandırılabilir: (i) veri işleme merkezleriyle ilgili uygulamalar, araçlar, sistemler ve BT altyapısının sağlanması ve desteklenmesi, (ii) bu uygulamalar, araçlar, sistemler ve BT altyapısına ilişkin BT destek, bakım ve diğer hizmetlerin sağlanması, (iii) veri koruma hizmetleri, koruma izleme ve olay müdahale hizmetlerinin sağlanması. IQUALIF, bu hizmetleri sağlamak için aşağıda belirtilen Veri işleyicileri görevlendirebilir.

 

•  
  • • Veri işleme için görevlendirilen dış üçüncü taraf hizmet sağlayıcılar

 

IQUALIF, Veri İhracatçısına hizmet sağlamak için IQUALIF'in bağlı kuruluşu olmayan dış ve üçüncü taraf hizmet sağlayıcıları kullanır. Veri İhracatçısı, bu dış üçüncü taraf hizmet sağlayıcıları Veri işleyicileri olarak onaylar.

 

Veri işleme ile ilgili alt kuruluş AB/AEA dışında, Avrupa Komisyonu kararıyla yeterli koruma düzeyi tanınmayan bir ülkede bulunuyorsa, Veri İthalatçısı GDPR ve Bölüm 1 Madde 3.4 (iv) uyarınca yeterli koruma sağlamak için önlemler alacaktır.

 

 

Bölüm 2'nin Ek 2'si

Teknik ve organizasyonel koruyucu önlemler

 

Veri İthalatçısı, bireylerin hak ve özgürlükleri için uygun güvenlik düzeyini garanti etmek amacıyla, Veri İhracatçısı tarafından onaylanan aşağıdaki teknik ve organizasyonel koruyucu önlemleri alacaktır. Koruma düzeyi değerlendirilirken, Veri İhracatçısı özellikle işleme ile ilgili riskleri, kazara veya hukuka aykırı yok edilme, değiştirilme, yetkisiz açıklanma veya erişim risklerini dikkate almıştır. Açıklama: Bu teknik ve organizasyonel önlemler, Veri İhracatçısı tarafından sağlanan uygulamalar, araçlar, sistemler ve/veya BT altyapısına uygulanmaz.

1 Genel teknik ve organizasyonel koruyucu önlemler

1.1 Genel bilgi ve veri koruma stratejileri

Aşağıdaki adımlar genel veri ve bilgi koruma stratejilerinin izlenmesi için alınmalıdır:

a) teknik ve organizasyonel koruma önlemlerinin değerlendirilmesi;

b) çalışanlara farkındalık eğitimi verilmesi;

c) ilgili sistemlerin tanımlanması ve çalışanlara erişim verilmesi;

d) sistemlerin uygulanması veya değiştirilmesi durumunda resmi dokümantasyon süreci oluşturulması;

e) organizasyon yapısı, süreçler, sorumluluklar ve değerlendirmelerin dokümante edilmesi;

1.2 Bilgi koruma organizasyonu

Veri ve bilgi koruma faaliyetlerinin koordinasyonu için aşağıdaki önlemler alınmalıdır:

a) bilgi ve veri koruma sorumluluklarının tanımlanması (örneğin veri koruma yönetim politikası ile);

b) bilgi ve veri koruma konusunda gerekli uzmanlığın sağlanması;

c) tüm çalışanların kişisel verilerin gizliliğini sağlamaya taahhüt etmesi ve bu taahhüdün ihlalinin olası sonuçları hakkında bilgilendirilmesi.

1.3 İşleme alanlarına erişim kontrolü

Kişisel verilerin işlendiği, saklandığı veya iletildiği veri işleme sistemlerine yetkisiz erişimi önlemek için aşağıdaki önlemler alınmalıdır:

a) güvenli alanların oluşturulması;

b) veri işleme sistemlerine erişimin korunması ve sınırlandırılması;

c) çalışanlar ve üçüncü taraflar için erişim yetkilerinin belirlenmesi ve belgelenmesi;

d) kişisel verilerin saklandığı veri işleme merkezlerine erişimlerin kaydedilmesi.

1.4 Veri işleme sistemlerine erişim kontrolü

Veri işleme sistemlerine yetkisiz erişimi önlemek için aşağıdaki önlemler alınmalıdır:

a) kullanıcı kimlik doğrulama politikaları ve prosedürleri;

b) tüm bilgisayar sistemlerinde parola kullanımı;

c) ağa uzaktan erişim çok faktörlü kimlik doğrulama gerektirir ve yetkilendirme ile sorumlu kişiye verilir;

d) belirli işlevlere erişim, iş tanımlarına ve kullanıcı hesabına atanmış özelliklere göre verilir;

e) kişisel verilerle ilgili erişim hakları düzenli olarak gözden geçirilir;

f) erişim haklarındaki değişikliklerin kayıtları güncel tutulur.

1.5 Veri işleme sistemlerinin belirli kullanım alanlarına erişim kontrolü

Yetkili kişilerin yalnızca sorumlulukları ve erişim yetkileri dahilinde verilere erişmesini ve kişisel verilerin yetkisiz okunması, kopyalanması, değiştirilmesi veya silinmesini önlemek için aşağıdaki önlemler alınmalıdır:

a) çalışanlara gizlilik, kişisel verilere erişim hakları ve işleme kapsamı ile ilgili politika, talimat ve eğitim verilmesi;

b) yetkisiz kişisel veri erişimine karşı disiplin önlemleri;

c) kişisel verilere erişim yalnızca yetkili kişilere, bilme gerekliliği kapsamında verilir;

d) sistem yöneticileri listesi tutulur ve uygun önlemlerle izlenir;

e) kişisel verilerin yetkisiz kişilerin erişimi için herhangi bir depolama sistemine kopyalanması veya çoğaltılması engellenir;

f) verilerin kontrollü ve belgelenmiş şekilde silinmesi veya imhası;

g) yasal veya düzenleyici nedenlerle saklanması gereken tüm kişisel verilerin güvenli şekilde saklanması ve yalnızca yasal gereklilik süresi boyunca tutulması.

1.6 İletim kontrolü

Kişisel verilerin iletimi veya veri depolama cihazlarının taşınması sırasında yetkisiz üçüncü tarafların verileri okumasını, kopyalamasını, değiştirmesini veya silmesini önlemek için aşağıdaki önlemler alınmalıdır:

a) güvenlik duvarı kullanımı;

b) taşımak için kişisel verilerin mobil depolama cihazlarında saklanmasının önlenmesi veya cihazların şifrelenmesi; c) dizüstü bilgisayarlar ve diğer mobil cihazlarda şifreleme koruması etkinleştirilmeden kullanımın engellenmesi;

d) kişisel veri iletimlerinin kaydedilmesi.

1.7 Veri giriş kontrolü

Kişisel verilerin veri işleme sistemlerine girilip girilmediği veya silindiği ve bunu kimin yaptığı doğrulanabilir olmalıdır:

a) saklanan verilerin okunması, değiştirilmesi ve silinmesi için yetkilendirme politikası;

b) saklanan verilerin okunması, değiştirilmesi ve silinmesine ilişkin koruma önlemleri.

1.8 İş kontrolü

Kişisel verilerin yetkili tarafından verilen talimatlara uygun işlenmesini sağlamak için aşağıdaki önlemler alınmalıdır:

a) veri işleme için seçilen ve atanan kuruluşlar veya alt kuruluşlar (veri sorumlusu adına kişisel veri işleyen hizmet sağlayıcılar);

b) veri işleme kapsamına ilişkin talimatların çalışanlara, kuruluşlara veya alt kuruluşlara verilmesi;

c) veri işleme için atanan kuruluşlar veya alt kuruluşlarla denetim haklarının kararlaştırılması;

d) veri işleme için atanan kuruluşlar veya alt kuruluşlarla sözleşmelerin yapılması.

1.9 Diğer amaçlar için işleme faaliyetlerinden ayrım

Diğer amaçlar için toplanan verilerin ayrı işlenmesini sağlamak için aşağıdaki önlemler alınmalıdır:

a) kullanıcıların mevcut haklarına uygun olarak kişisel verilere ayrı erişim;

b) diğer amaçlar ve işlevler için arayüzler, toplu işleme ve raporlama, böylece diğer amaçlar için toplanan veriler ayrı işlenebilir.

1.10 Pseudonimleştirme

Aşağıdaki önlemler kişisel verilerin pseudonimleştirilmesi için alınmalıdır:

a) Veri İhracatçısı belirli bir işleme talimatı verirse veya Veri İthalatçısı veri koruma yasalarına uygun olarak uygun görürse, kişisel veriler, ek bilgiler kullanılmadan belirli bir kişiye atfedilemeyecek şekilde işlenir. Bu ek bilgiler ayrı tutulur;

b) liste rastgeleleştirme dahil pseudonimleştirme tekniklerinin kullanımı.

1.11 Şifreleme

Şifrelemeyi destekleyen uygulamalarda ve iletimlerde kişisel verilerin şifrelenmesi için aşağıdaki adımlar atılmalıdır:   a) şifreleme tekniklerinin kullanımı;

b) kullanılacak şifreleme tekniklerini desteklemek için şifreleme yönetiminin kurulması;

c) yetkisiz değişiklik ve açıklamaya karşı koruma için kriptografik anahtarların oluşturulması, değiştirilmesi, iptali, imhası, dağıtımı, sertifikasyonu, saklanması, yakalanması, kullanımı ve arşivlenmesi için prosedür ve protokollerin desteklenmesi.

1.12 Veri işleme sistemleri ve hizmetlerinin bütünlüğü

Veri işleme sistemleri ve hizmetlerinin bütünlüğünü sağlamak için aşağıdaki önlemler alınmalıdır:

a) veri işleme sistemlerinin manipülasyon veya yok edilmesine karşı uygun araçlarla korunması (örneğin antivirüs yazılımı, veri kaybı önleme yazılımı, kötü amaçlı yazılıma karşı yazılım yamaları, güvenlik duvarları, yönetilen masaüstü koruması);

b) veri işleme sistemlerine veya kişisel verilere zarar verebilecek hizmet veya yazılımların kurulmasının engellenmesi;

c) ağ yapısında ağ saldırı tespit ve önleme sisteminin kullanılması.

1.13 Veri işleme sistemleri ve hizmetlerinin kullanılabilirliği ve önemli veya teknik bir olay durumunda kişisel verilere erişim ve kullanımın hızlıca geri kazanılması

Veri işleme sistemlerinin kullanılabilirliğini sağlamak ve önemli veya teknik bir olay durumunda kişisel verilere erişim ve kullanılabilirliğin hızlıca geri kazanılmasını sağlamak için aşağıdaki önlemler alınmalıdır:

a) yedekleme ve kaybolan/verilen verilerin geri yüklenmesi için kontrol araçları;

b) altyapı yedekliliği ve performans testleri;

c) bilgisayar kaynaklarının fiziksel korunması;

d) iç ağın durumu ve kullanılabilirliğinin izlenmesi için araçlar;

e) olay yönetimi prosedürünü düzenleyen olay bildirim ve müdahale politikaları ve düzenli eğitimlerle bu politikalara bağlılığın tekrarlanması;

f) sistemin işlevlerini yeniden yerine getirebilmesi için yedeklemeler (bazen dışarıda);

g) iş sürekliliği/afet kurtarma planları

1.14 Veri işleme sistemleri ve hizmetlerinin dayanıklılığı

Veri işleme sistemleri ve hizmetlerinin dayanıklılığını sağlamak için aşağıdaki önlemler alınmalıdır:

a) onaylanmış güvenlik parametreleri kullanılarak uyumlu şekilde yapılandırılmış sistemler;

b) ağ yedekliliği;

c) kritik sistemlerin koruma önlemleri.

1.15 Veri işleme güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğinin düzenli test edilmesi, değerlendirilmesi ve gözden geçirilmesi prosedürü

Veri işleme güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğinin düzenli test edilmesi, değerlendirilmesi ve gözden geçirilmesi prosedürü:

a) risklerin ve azaltma stratejilerinin değerlendirilmesi;

b) BT departmanı hizmet analiz toplantıları;

c) iş sürekliliği/afet kurtarma planlarının düzenli güncellenmesi.

 

Bölüm 3

Tarafların imzaları ve Veri İthalatçıları listesi

 

Çevrimiçi sipariş formunu doldurup genel kullanım şartlarını kabul ettiğinizi belirten kutuyu işaretleyerek, Müşteri ile IQUALIF arasındaki ilişkiyi düzenleyen sözleşme kurulmuş olur.

IQUALIF'e ödeme gönderilmesi, sözleşmenin kabul edildiği ve kurulduğu anlamına gelir.

---

Not alın: Bu metin Fransızcadan çevrilmiştir. Geçerli ve yasal olarak bağlayıcı olan orijinal Fransızca versiyonu  burada mevcuttur.