Veri İşleme Ekleri

Veri İşleme Ekleri

 

Bu Ek, Sözleşmenin ayrılmaz bir parçasını oluşturur ve şu kişiler tarafından akdedilmiştir:

 

  1. (i) Müşteri ("Veri İhracatçısı")
  2. (ii) IQUALIF ("Veri İthalatçısı")

 

Her biri "Taraf" ve ortak "Taraflar" olarak anılır.

 

Ön Söz

VERİ İTHALATÇISI, profesyonel yazılım hizmetleri, bilgisayar ve ilgili hizmetler (örneğin gelişmiş arama fonksiyonlarına sahip tarayıcılar gibi) sağlar;

SÖZLEŞME uyarınca, Veri İthalatçısı, Sözleşmede belirtilen hizmetleri Veri İhracatçısına sağlamayı kabul etmiştir ("Hizmetler");

Hizmetleri sağlayarak, Veri İthalatçısı, Veri İhracatçısının bilgilerine veya diğer kişilerle (potansiyel) ilişkisi olan kişilerin bilgilerine erişimden fayda sağlar veya erişim sağlar; bu bilgiler, Avrupa Parlamentosu ve Konseyi'nin 27 Nisan 2016 tarihli ve 2016/679 sayılı Regülasyonu ("GDPR") ve diğer geçerli veri koruma yasaları kapsamında kişisel veri olarak nitelendirilebilir.

Bu Ek, Veri İthalatçısı'nın, Veri İhracatçısının yetkili veri işleme temsilcisi olarak, bu kişisel verilerin toplanması, işlenmesi ve kullanımıyla ilgili şartları ve koşulları içermekte olup, Tarafların geçerli veri koruma yasalarına uymasını sağlamayı amaçlamaktadır.

 

BU NEDENLE, ve Tarafların yasal olarak ilişkilerini sürdürmelerini sağlamak amacıyla, Taraflar aşağıdaki şekilde bu Ek'i sonuçlandırmışlardır:

Bölüm 1

 

1. Belgenin yapısı ve tanımlar

1.1 Yapı

Bu Ek, aşağıdaki bölümlerden oluşur:

 

1. Bölüm: 

Genel hükümleri içerir, örneğin bu Ek'te kullanılan tanımlar, yerel yasalara uyum, zamanlama ve fesih ile ilgili hükümler

 
2. Bölüm:

Değiştirilmemiş Standart Sözleşme Maddeleri belgesinin içeriğini içerir

 
Ek 1.1. Bölüm 2:

Veri İthalatçısı tarafından Veri İhracatçısına sağlanan işleme faaliyetlerinin detaylarını içerir (işlemenin doğası, amacı, kişisel veri türü ve veri konusu kategorileri dahil)

 
Ek 2. Bölüm 2:

Veri İthalatçısının teknik ve organizasyonel güvenlik önlemlerinin tanımını içerir, bu önlemler Ek 1.1. Bölüm 2'de tanımlanan tüm işleme faaliyetleriyle bağlantılıdır

 
3. Bölüm:

Tarafların bu Ek'e bağlı imzalarını içerir ve her Veri İthalatçısını tanımlar

 

 

1.2 Terimler ve tanımlar

Bu Ek kapsamında, GDPR tarafından kullanılan terimler ve tanımlar geçerlidir (Standart Sözleşme Maddeleri belgesinin 2. Bölümünde, tanımlı terimler büyük harfle yazılmamışsa). 

 

"Üye Devlet"

Avrupa Birliği veya Avrupa Ekonomik Alanı'na ait bir ülkeyi ifade eder

 
"Özel kategori (kişisel) veriler"

Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya sendika üyeliği gibi kişisel verileri, genetik veriler, biyometrik veriler, eğer bir kişiyi benzersiz şekilde tanımlama amacıyla işleniyorsa, sağlık verileri, bir kişinin cinsel yaşamı veya cinsel yönelimiyle ilgili verileri ifade eder

 
"Standart Sözleşme Maddeleri"

Üçüncü ülkelerde kurulu işleme temsilcilerinin kişisel verilerin aktarımı için kullanılan Standart Sözleşme Maddeleri anlamına gelir; Avrupa Komisyonu'nun 2010/87/EU sayılı Kararıyla 5 Şubat 2010 tarihinde kabul edilmiştir ve 2016/2297 sayılı Komisyon Uygulama Kararı ile 16 Aralık 2016 tarihinde değiştirilmiştir

 
"Veri işleyici"

Veri İthalatçısı veya başka bir Veri İşleyicisi tarafından kabul edilen, kişisel verileri, Veri İhracatçısı'nın talimatları ve bu Maddelerin şartları uyarınca, aktarım sonrası, Veri İhracatçısı adına yürütülecek işlemler için kabul eden herhangi bir işleme temsilcisidir.

 

 

 

2. Veri İhracatçısının Yükümlülükleri

2.1 Veri İhracatçısı, GDPR ve diğer geçerli veri koruma yasaları kapsamında tüm ilgili yükümlülüklere uyumu sağlamalı ve 5. Madde (2) uyarınca bu uyumu göstermelidir. Veri İhracatçısı, Veri İthalatçısının, GDPR'nin 6. maddesine uygun olarak veri konusu kişilerin önceden onayını aldığını ve GDPR'nin 13 ve 14. maddelerine uygun olarak veri sahiplerini bilgilendirme yükümlülüğünü yerine getirdiğini garanti eder.

2.2 Veri İhracatçısı, bu Ek kapsamında Hizmetler ile ilgili işleme faaliyetlerinin ilgili dosyalarını GDPR'nin 30. maddesinin 1. fıkrasına uygun olarak, Veri İthalatçısına sağlamalıdır; bu, Veri İthalatçısının GDPR'nin 30. maddesinin 2. fıkrasına uygun olarak yükümlülüklerini yerine getirmesi için gereklidir.

2.3 Veri İhracatçısı, geçerli veri koruma yasaları gereği, bir veri koruma görevlisi veya temsilci atamalıdır. Veri İhracatçısı, iletişim bilgilerini, varsa, Veri İthalatçısına sağlamalıdır.

2.4. Veri İhracatçısı, bu Ek'in tamamlanmasından önce, Veri İthalatçısının teknik ve organizasyonel güvenlik önlemlerinin, Ek 2'de belirtilenlerin, kişisel veri konusu haklarını korumak için uygun ve yeterli olduğunu onaylar ve Veri İthalatçısının bu konuda yeterli güvenceler sağladığını teyit eder.

 

3. Yerel yasa uyumu

GDPR'nin 28. maddesine uygun olarak, uygulama sürecinde aşağıdaki değişiklikler geçerlidir:

 

3.1 Talimatlar

  1. (i) Veri İhracatçısı, Veri İthalatçısına kişisel verileri yalnızca Veri İhracatçısı adına işlemeleri için talimat verir. Bu Ek ve Sözleşmedeki talimatlar bu amaçla sağlanır. Veri İhracatçısı, tüm talimatların geçerli veri koruma yasalarına uygun olmasını sağlamakla yükümlüdür. Veri İthalatçısı, kişisel verileri yalnızca Veri İhracatçısının talimatlarına uygun şekilde işler, aksi takdirde Avrupa Birliği veya üye devlet yasaları gerektirmediği sürece, aksi takdirde, Bölüm 1, Madde 3.2 (iv) (c) uygulanır.
  2. (ii) Bu Ek veya Sözleşmedeki talimatların ötesine geçen tüm diğer talimatlar, bu Ek ve Sözleşmenin konusu olmalı ve eklenmelidir. Bu ek talimatların uygulanması maliyet getirirse, Veri İthalatçısı bu maliyetleri önceden bildirip, açıklama yapmalıdır. Veri İhracatçısı, bu maliyetleri kabul ettiğini onayladıktan sonra, Veri İthalatçısı bu ek talimatı uygular. Yazılı olmayan talimatlar, aciliyet veya başka özel durumlar hariç, yazılı olarak verilmelidir ve Veri İhracatçısı tarafından yazılı olarak onaylanmalıdır.
  3. 1. Veri İhracatçısı, kişisel verilerin düzeltilmesi, silinmesi veya kısıtlanması talimatlarını, kendi düzeltemiyorsa veya silemiyorsa, Bölüm 1, Madde 3.3'te belirtilen şekilde, talimatlara ilişkin olabilir.
  4. 2. Veri İthalatçısı, GDPR veya Avrupa Birliği veya üye devlet yasaları uyarınca, Veri İhracatçısının talimatlarının ötesinde kişisel verileri işlemekle yükümlü ise, bu durumu derhal Veri İhracatçısına bildirmeli ve bu talimatın GDPR veya üye devlet yasaları kapsamında yasal gerekliliğini belirtmelidir. Veri İthalatçısı, bu durumda, GDPR veya üye devlet yasaları uyarınca, Veri İhracatçısının talimatlarını yerine getirmeyebilir.

 

3.2 Veri İthalatçısının Yükümlülükleri

  1. (i) Veri İthalatçısı, kişisel verileri, Veri İhracatçısı adına ve onun talimatlarıyla işler. Aksi takdirde, durumu en kısa sürede Veri İhracatçısına bildirmeyi kabul eder; aksi takdirde, Veri İhracatçısı, veri aktarımını askıya alabilir veya sözleşmeyi feshedebilir.
  2. (ii) GDPR ve diğer ilgili yasalara uygun olarak, teknik ve organizasyonel güvenlik önlemlerini Ek 2'de belirtilen şekilde uygular. Bu önlemler, zaman içinde, Ek 2'deki önlemlerden daha az koruma sağlamayacak şekilde değiştirilebilir.
  3. (iii) Veri İthalatçısı, bu Ek kapsamında, uyumluluğu göstermek için, Veri İhracatçısına uygunluk bilgisi sağlayabilir. Bu bilgi, denetim raporu (güvenlik ilkeleri, sistem erişilebilirliği ve gizlilik) ("Denetim Raporu") ile sağlanabilir. Ek olarak, yasal olarak gerekli ise, Veri İhracatçısı, denetimlerin yapılmasını talep edebilir; bu denetimler, gizlilik sözleşmesi imzalanması koşuluyla, bağımsız denetçiler tarafından yapılabilir ("Denetim"). Bu denetim, önceden yazılı onay ve maliyetlerin karşılanması şartıyla yapılır. Denetim sonuçlarını özetleyen rapor ("Yerinde Denetim Raporu") hazırlanır. Bu raporlar ve denetim sonuçları gizli bilgiler olup, yasal zorunluluklar veya Veri İhracatçısının onayı olmadan üçüncü taraflara açıklanamaz.
  4. (iv) Veri İthalatçısı, aşağıdaki durumlarda Veri İhracatçısını derhal bilgilendirmeli ve bildirilmelidir:
    1. a. yasal yetkililerden kişisel verilerin ifşasıyla ilgili yasal talep;
    2. b. doğrudan veri sahibinden alınan şikayet veya talep (erişim, düzeltme, silme, işleme kısıtlaması, veri taşınabilirliği, itiraz);
    3. c. Avrupa Birliği veya üye devlet yasaları kapsamında, Veri İhracatçısının talimatları dışında kişisel verileri işlemesi gerekiyorsa, bu durumu önceden bildirmeli;
    4. d. kişisel verilerin ihlal edilmesi durumunda, kendi veya alt yüklenicileri nedeniyle, Veri İhracatçısının kişisel verilerini etkileyebilecek ihlal durumunda, ilgili yasa ve GDPR'ye uygun olarak, Veri İhracatçısına yardım eder ve durumu bildirir.
  5. (v) Veri İhracatçısının talebi üzerine, Veri İthalatçısı, GDPR'nin 35. ve 36. maddelerine uygun olarak, veri koruma etki değerlendirmesi ve ön danışma hizmetleri sağlar; bu hizmetler, maliyetleri konusunda bilgilendirilir ve onay alınır.
  6. (vi) Hizmetlerin sona ermesinde, Veri İhracatçısı, bu Ek kapsamında işlenen kişisel verilerin iadesini veya imhasını talep edebilir; bu işlem, hizmetlerin tamamlanmasından sonra bir ay içinde yapılır. Yasal zorunluluklar veya düzenleyici gereklilikler, verilerin iadesini veya imhasını engellerse, Veri İthalatçısı, verilerin gizliliğini sağlar ve aktif işlemeyi durdurur.

 

3.3 İlgili kişilerin hakları

  1.  
    1. (i) Veri İhracatçısı, veri sahiplerinin taleplerini yönetir ve yanıtlar. Veri İthalatçısı, doğrudan yanıt verme yükümlülüğü taşımaz.
    2. (ii) Veri İhracatçısı, Veri Sahiplerinin haklarını kullanmasıyla ilgili taleplerde, Madde 3.1 (ii) uyarınca ek talimat verir. Veri İthalatçısı, GDPR'nin III. Bölümünde belirtilen hakların kullanılmasına uygun ve teknik-organizasyonel önlemlerle yanıt verir:
    3. a. Bilgi taleplerinde, GDPR'nin 13 ve 14. maddelerine uygun olarak, elinde bulunan bilgileri sağlar; kendi başına bulamazsa, sağlar.
    4. b. Erişim taleplerinde, GDPR'nin 15. maddesine uygun olarak, talep edilen bilgileri sağlar; kendi başına bulamazsa, sağlar.
    5. c. Düzeltme (GDPR 16), silme (GDPR 17), işleme kısıtlaması (GDPR 18) veya veri taşınabilirliği (GDPR 20) taleplerinde, Veri İhracatçısı, kendi başına düzeltemiyorsa veya silemiyorsa, bu işlemleri yapma veya ilgili verileri başka üçüncü taraflara iletme imkanını sağlar; veya bu mümkün değilse, yardım eder.
    6. d. Düzeltme, silme veya işleme kısıtlamasıyla ilgili bildirimlerde, GDPR 19'a uygun olarak, Veri İhracatçısı, talep edilirse, tüm alıcıları bilgilendirir.
    7. e. Veri konusu itiraz hakkını kullanıyorsa, Veri İhracatçısı, itirazın meşru olup olmadığını belirler ve nasıl işlem yapılacağını kararlaştırır.
    8. (iii) Veri İthalatçısının yardım yükümlülükleri, yalnızca kendi altyapısında işlenen kişisel verilerle sınırlıdır (örneğin, veri tabanları, sistemler, uygulamalar).
    9. (iv) Veri İhracatçısı, hangi hakların kullanılabileceğine karar verir ve, gerekirse, bu yardımın kapsamını bildirir.
    10. (v) Veri İhracatçısı, ek veya değişmiş teknik-organizasyonel önlemler talep ederse, maliyetleri bildirir ve onay alınırsa, uygular.
    11. (vi) Veri İhracatçısı, bu yardım taleplerine ilişkin makul giderleri karşılar.

 

3.4 Alt İşleme

  1.  
    1. (i) Veri İhracatçısı, bu Ek kapsamında hizmetlerin sağlanması için alt yüklenicilerin kullanılmasına izin verir. Veri İthalatçısı, bu alt yüklenicileri dikkatli seçmelidir. Ek 1.1. Bölüm 2'de listelenen Veri İşleyicileri onaylanmıştır.
    2. (ii) Veri İthalatçısı, bu Ek kapsamındaki yükümlülüklerini, alt yüklenicilere devredebilir (uygunsa).
    3. (iii) Veri İthalatçısı, yazılı talep halinde, alt yükleniciyi değiştirebilir veya yeni uygun bir Veri İşleyicisi atayabilir. Bu durumda, Veri İthalatçısı, aşağıdaki prosedürü izlemelidir:
  2.  
    1. a. Veri İthalatçısı, herhangi bir değişiklikten önce, Veri İhracatçısına bildirmeli; 30 gün içinde itiraz edilmezse, yeni Veri İşleyicileri kabul edilir.
    2. b. Veri İhracatçısı, yeni Veri İşleyicisine itiraz ederse, önceden yazılı bildirimde bulunur ve 30 gün içinde itirazını bildirir. İtiraz edilirse, Veri İthalatçısı, aşağıdaki seçeneklerden birini kullanabilir: (A) yeni Veri İşleyicisini kullanmayı iptal eder; (B) Veri İhracatçısının itirazında belirtilen düzeltmeleri yapar ve kullanmaya devam eder; (C) hizmetin belirli bölümlerini durdurur veya kullanımı geçici/kalıcı olarak engeller.
  3.  
    1. (iv) Veri İşleyicisi, Avrupa Birliği veya EEA dışında, yeterli veri koruma seviyesine sahip olmayan bir ülkede bulunuyorsa, GDPR'ye uygun önlemler alır (örneğin, AB Model Sözleşmeleri, self-certified Data Processors, EU-US Privacy Shield veya benzeri programlar).

 

3.5 Süre Sonu

Bu Ek'in süresi, ilgili Sözleşmenin süresiyle aynıdır. Aksi belirtilmedikçe, fesih ile ilgili hak ve yükümlülükler, Sözleşmedeki hükümlere uygun olacaktır.

 

4. Sorumluluk Sınırı

4.1 Her taraf, bu Ek ve geçerli veri koruma mevzuatı kapsamındaki yükümlülüklerini yerine getirir.

4.2 Bu Ek veya ilgili mevzuat ihlaliyle ilgili herhangi bir sorumluluk, Sözleşmedeki veya Sözleşmeye uygun sorumluluk hükümlerine tabidir; aksi belirtilmedikçe, bu Ek kapsamındaki sorumluluk, Sözleşme kapsamında kabul edilir.

 

5. Genel Hükümler

5.1 Bu Ek'in Bölüm 1 ve 2 arasında tutarsızlık veya uyumsuzluk varsa, Bölüm 2 geçerlidir. Ayrıca, Bölüm 1, sadece Bölüm 2'yi aşan (yani Standart maddelerin hükümleri) hükümler, çelişki olmadan geçerliliğini korur.

5.2 Bu Ek ile diğer sözleşmeler arasındaki uyuşmazlıklarda, veri koruma yükümlülükleri açısından bu Ek önceliklidir. Diğer sözleşmelerdeki maddelerin veri koruma ile ilgili olup olmadığı konusunda şüphe varsa, bu Ek geçerlidir.

5.3 Bu Ek'in herhangi bir hükmü geçersiz veya uygulanamazsa, kalan hükümler tam geçerliliğini korur. Geçersiz veya uygulanamaz hüküm, (i) geçerli ve uygulanabilir hale getirilmek üzere değiştirilir veya - mümkün değilse - (ii) sözleşmeden hiç var olmamış gibi yorumlanır. Bu madde, herhangi bir eksiklik veya boşluk durumunda da uygulanır.

5.5 Taraflar, AB veya üye devlet yetkili makamlarının kararları, yönergeleri veya emirleri doğrultusunda, GDPR veya diğer düzenlemelerle ilgili olarak, Bölüm 1, Madde 3 veya diğer bölümlerde değişiklik talep edebilir. Standart Sözleşme Maddeleri'nin hükümleri, Avrupa Komisyonu'nun açık onayı olmadan değiştirilemez veya değiştirilemez.

5.6 Bu Ek'teki "Madde" referansı, aksi belirtilmedikçe, tüm hükümleri kapsar.

5.7 Bölüm 2, Madde 9'daki hukuk seçimi, tüm Sözleşme'yi kapsar.

 

6. Taraflarca kişisel amaçlar için iletilen ve işlenen kişisel veriler (veri denetleyicisinden veri denetleyicisine transfer)

6.1 Taraflar, belirli kişisel verilerin Veri İhracatçısından Veri İthalatçısına ve tersi yönde aktarılacağını ve bu verilerin her Taraf tarafından kendi amaçları doğrultusunda işlendiğini bilir. Bu kişisel verilerle ilgili diğer hükümleri etkilemez (sadece bu madde 6).

6.2 Veri İhracatçısı, Veri İthalatçısına, personel bilgileri veya güvenlik olaylarıyla ilgili bilgiler veya hizmetlerle bağlantılı diğer belgeleri aktarabilir. Veri İthalatçısı, bu kişisel verileri kendi amaçları doğrultusunda, özellikle personel ilişkilerinde, kalite kontrolü ve eğitimde veya iş amaçlarında kullanabilir.

6.3 Veri İthalatçısı, kişisel verileri, Veri İhracatçısına, personel isimleri ve iletişim bilgileri dahil olmak üzere aktarabilir. Veri İhracatçısı, bu verileri kendi amaçları doğrultusunda işleyebilir.

6.4 Her iki taraf da, bu Ek'in Madde 1 kapsamında alınan kişisel verilerin toplanması, işlenmesi ve kullanımı sırasında GDPR ve diğer ilgili yasalara uymalıdır. Özellikle, her iki taraf da, bu verilerin korunması için uygun güvenlik önlemleri almalı ve erişimi sınırlandırmalıdır.

6.5 Her iki taraf da, amaçlar tamamlandıktan sonra, bu kişisel verileri derhal silmelidir.

Bölüm 2

 

KOMİSYON KARARI

5 Şubat 2010

Üçüncü ülkelerde kurulu veri işleyicilere kişisel verilerin aktarımı için standart sözleşme maddeleri

 

 

 

Madde 1

Tanımlar

Madde kapsamındaki anlamda:

a) 'kişisel veri', 'özel kategori veriler', 'işleme', 'denetleyici', 'işleyici', 'veri konusu' ve 'denetim otoritesi' terimleri, 95/46/EC Direktifi ile aynı anlamdadır;

b) 'Veri İhracatçısı', kişisel verileri aktaran veri denetleyicisidir;

c) 'Veri İthalatçısı', kişisel verileri, aktarım sonrası, Veri İhracatçısı adına işlemeyi kabul eden Veri İşleyicisidir; bu, 95/46/EC Direktifi'nin 25. maddesine uygun olarak yeterli koruma sağlayan üçüncü ülke mekanizması dışında kalır; (d) 'Veri İşleyici', Veri İthalatçısı veya başka bir Veri İşleyicisi tarafından kabul edilen ve, aktarım sonrası, Veri İhracatçısı adına, bu maddelerin hükümleri ve yazılı alt sözleşme şartlarıyla, kişisel verileri sadece, Veri İhracatçısı'nın talimatlarıyla ve bu maddelerin şartlarına uygun olarak, işleyecek olan Veri İşleyicisidir.

e) "uygulanan veri koruma yasası", kişilerin temel hak ve özgürlüklerini, özellikle kişisel verilerin işlenmesine ilişkin gizlilik hakkını koruyan mevzuatı ifade eder ve Veri İhracatçısının kurulduğu üye devletin mevzuatına uygundur;

f) “güvenliğe ilişkin teknik ve organizasyonel önlemler”, kişisel verileri kazara veya hukuka aykırı yok etme, kazara kayıp, değiştirme, yetkisiz açıklama veya erişim gibi korumaya yönelik önlemleri ifade eder; özellikle, işleme, verilerin ağlar üzerinden iletimini içeriyorsa, ve diğer tüm hukuka aykırı işleme biçimlerine karşı koruma sağlar.

Madde 2

Aktarımın detayları

Aktarımın detayları, uygun yerlerde, kişisel verilerin özel kategorileri de dahil olmak üzere, Ek 1'de belirtilmiştir ve bu maddelerin ayrılmaz bir parçasını oluşturur.

Madde 3

Üçüncü taraf faydalanıcı maddesi

1. Veri konusu, bu Maddeyi, Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6 (1) ve (2), Madde 7, Madde 8(2) ve Madde 9-12'yi üçüncü taraf faydalanıcı olarak, Veri İhracatçısına karşı uygulayabilir.

2. Veri konusu, bu Maddeyi, Madde 5 (a) ila (e) ve (g), Madde 6, Madde 7, Madde 8 (2) ve Madde 9-12'yi, Veri İhracatçısının fiilen ortadan kalkması veya hukuken var olmaması durumunda, tüm yasal yükümlülükleri devredilmediyse, devralan kuruma devredilmiş sayılır ve bu kuruma karşı bu maddeler uygulanabilir.

Veri konusu, bu Maddeyi, Madde 5 (a) ila (e) ve (g), Madde 6, Madde 7, Madde 8 (2) ve Madde 9-12'yi, Veri İşleyicisi aleyhine de uygulayabilir; yalnızca, Veri İhracatçısı ve Veri İthalatçısı'nın fiilen ortadan kalkması veya hukuken var olmaması veya iflas etmesi durumunda, ve tüm yasal yükümlülüklerin devredilmediği durumda. Bu durumda, Veri İşleyicisinin sorumluluğu, bu maddeler kapsamındaki kendi işlemleriyle sınırlıdır.

4. Taraflar, veri konusu kişinin, isterse, bir dernek veya başka bir kuruluş tarafından temsil edilmesine ve bu duruma, ulusal hukukun izin vermesine itiraz etmez.

Madde 4

Veri İhracatçısının yükümlülükleri

Veri İhracatçısı, aşağıdaki hususları kabul eder ve garanti eder:

a) kişisel verilerin işlenmesi ve aktarımı, ilgili veri koruma mevzuatına uygun olarak yapılmış ve yapılmaya devam edecektir (ve gerekirse, ilgili Üye Devlet makamlarına bildirilmiştir) ve bu mevzuatın ilgili hükümlerini ihlal etmez;

b) Veri İthalatçısına, kişisel verilerin aktarımını, yalnızca Veri İhracatçısı adına ve bu maddeler ve ilgili mevzuata uygun şekilde işlemeleri talimatını vermiştir;

c) Veri İthalatçısı, Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerine uygun güvenlik sağlar;

d) GDPR'nin gerekliliklerine uygun olarak, güvenlik önlemleri, kişisel verilerin kazara veya hukuka aykırı yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz ifşasına veya erişimine karşı yeterlidir ve, işleme, riskleri ve verilerin niteliğine uygun bir güvenlik seviyesi sağlar;

e) Güvenlik önlemlerine uyumu sağlar;

f) özel kategori verilerle ilgili ise, veri konusu, aktarım öncesinde veya mümkün olan en kısa sürede bilgilendirilmiştir veya bilgilendirilecektir;

g) Veri İthalatçısından veya Madde 5(b) ve 8(3) uyarınca alınan herhangi bir bildirim, devam eden aktarım veya askıya alma kararını, denetim otoritesine iletir;

h) Veri konusu, talep ederse, bu maddelerin bir kopyasını ve güvenlik önlemlerinin özetini, ayrıca, bu maddeler kapsamında yapılan alt sözleşme veya sözleşmenin herhangi bir ticari bilgiyi içermesi halinde, bu bilgiyi geri çekebilir;

i) alt işleme, bu maddeler kapsamında, en az aynı seviyede kişisel veri ve veri konusu haklarını koruyan bir Veri İşleyicisi tarafından yapılmalıdır; ve

j) Madde 4 (a) ila (i) hükümlerine uyacaktır.

Madde 5

Veri İşleyicisinin yükümlülükleri

Veri İşleyicisi, aşağıdaki hususları kabul eder ve garanti eder:

a) kişisel verileri yalnızca Veri İhracatçısı adına ve onun talimatlarıyla işler; aksi takdirde, durumu en kısa sürede Veri İhracatçısına bildirir; aksi takdirde, Veri İhracatçısı, veri aktarımını durdurabilir veya sözleşmeyi feshedebilir;

b) kendisini, GDPR ve ilgili mevzuatın, talimatları yerine getirmesini engelleyecek bir yasa veya düzenlemenin olmadığını ve bu yasa veya düzenlemenin değişmesi halinde, durumu derhal bildirir; aksi takdirde, Veri İhracatçısı, veri aktarımını durdurabilir veya sözleşmeyi feshedebilir;

c) Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uygular;

d) derhal, aşağıdaki durumları bildirir:

  • i) yasal yetkililerden yasal veri ifşası talebi;
  • ii) yetkisiz erişim veya ihlal;
  • iii) doğrudan veri sahiplerinden alınan talepler, yanıtlamadan önce, yetki dahilinde ise.

e) Veri İhracatçısı'nın, kişisel verilerin işlenmesine ilişkin sorularını zamanında ve uygun şekilde yanıtlar ve denetim otoritesinin görüşüne uygun hareket eder;

f) Veri İhracatçısı'nın talebi üzerine, veri işleme faaliyetlerini denetlemek üzere, bağımsız ve yetkin denetçiler tarafından denetim yapılmasını sağlar;

g) Veri konusu, talep ederse, bu maddelerin veya alt sözleşmenin bir kopyasını sağlar, ticari bilgi içermiyorsa;

h) gizli alt sözleşmelerde, önceden bilgilendirme ve yazılı onay alınmasını sağlar;

i) veri işleme, Madde 11'e uygun olmalı ve, en az, aynı seviyede koruma ve haklar sağlamalıdır;

j) Madde 4 (a) ila (i) hükümlerine uyacaktır.

Madde 6

Sorumluluk

1. Taraflar, Madde 3 veya Madde 11 kapsamındaki yükümlülüklerin ihlali nedeniyle zarar gören veri konusu, zarar gören taraf veya veri işleyiciden tazminat talep edebilir.

2. Veri konusu, Veri İthalatçısı veya Veri İşleyicisinin, Madde 3 veya Madde 11'e uyumsuzluğu nedeniyle, Veri İhracatçısına karşı tazminat talebinde bulunamıyorsa, veya Veri İhracatçısı fiilen ortadan kalkmışsa veya hukuken var olmuyorsa, Veri İthalatçısı, veri konusu kişinin, kendi işlemleriyle ilgili taleplerini, Veri İhracatçısı yerine, doğrudan, ilgili yasal kuruma veya mahkemeye iletebilir. Veri İthalatçısı, kendi işlemlerinden doğan sorumluluğu sınırlandırmaz.

3. Veri konusu, Veri İhracatçısı veya Veri İthalatçısına karşı, Veri İşleyicisinin, Madde 3 veya Madde 11'e aykırı işlemlerinden dolayı, fiilen ortadan kalkmışsa veya iflas etmişse, ve yasal yükümlülükler devredilmemişse, kişi, kendi işlemleriyle ilgili taleplerini, doğrudan, ilgili yasal kuruma veya mahkemeye iletebilir. Veri İşleyicisinin sorumluluğu, bu maddeler kapsamındaki kendi işlemleriyle sınırlıdır.

 

Madde 7

Mazbata ve yargı yetkisi

1. Veri İşleyicisi, eğer, veri konusu, üçüncü taraf faydalanıcı hakkını kullanır veya zarar talep ederse, kabul eder:

a) uyuşmazlığı, bağımsız bir arabulucu veya uygun görülürse denetim otoritesi aracılığıyla çözümlemeyi;

b) uyuşmazlığı, Veri İhracatçısının bulunduğu Üye Devlet mahkemelerinde çözmeyi.

2. Taraflar, veri konusu kişinin yaptığı seçimlerin, diğer ulusal veya uluslararası hukuktan doğan haklarını etkilemeyeceğini kabul eder.

Madde 8

Denetim ve işbirliği

1. Veri İhracatçısı, bu sözleşmenin bir kopyasını, gerekirse veya ilgili veri koruma mevzuatı gerektiriyorsa, denetim otoritesine teslim eder.

2. Taraflar, denetim otoritesinin, Veri İhracatçısı ve tüm Veri İşleyicileri üzerinde, aynı şartlar ve ölçüde denetim yapabileceğini kabul eder.

3. Veri İthalatçısı, yasa veya mevzuat gereği, denetim öncesinde veya sırasında, engel teşkil eden mevzuat veya düzenlemeleri derhal bildirir.

Madde 9

Uygulanabilir hukuk

Hükümler, Veri İhracatçısının kurulduğu Üye Devletin hukukuna tabidir ve ona göre yorumlanır.

Madde 10

Sözleşmenin değiştirilmesi

Taraflar, bu maddeleri değiştirmemeyi taahhüt eder. Ancak, başka ticari hükümler ekleyebilirler, bunlar bu maddelerle çelişmemelidir.

Madde 11

Sonraki alt sözleşmeler

1. Veri İthalatçısı, bu maddeler kapsamında, önceden yazılı onay olmadan, işlem faaliyetlerini alt yüklenicilere devretmez. Devretmek istiyorsa, bu maddelere uygun, yazılı sözleşme yapmalıdır.

2. Alt yüklenicilerle yapılan sözleşmelerde, Madde 3'te belirtilen üçüncü taraf faydalanıcı hükmü yer almalı ve, veri konusu, sözleşme veya hukuken devredilmediyse, yasal yükümlülükler devredilmelidir. Veri İşleyicisinin sorumluluğu, kendi işlemleriyle sınırlıdır.

3. Bu maddelerin, veri koruma ile ilgili hükümleri, Veri İhracatçısının kurulduğu Üye Devletin hukukuna tabidir.

4. Veri İhracatçısı, bu maddeler kapsamında yapılan alt sözleşmelerin listesini tutar ve yılda en az bir kez günceller. Bu liste, Veri İhracatçısının veri koruma denetim otoritesine bildirilir.

Madde 12

Veri işleme hizmetlerinin sona erdirilmesi sonrası yükümlülükler

1. Taraflar, veri işleme hizmetleri tamamlandıktan sonra, Veri İthalatçısı ve Veri İşleyicisi, uygun olan şekilde, tüm kişisel verileri iade eder veya imha eder ve imha işleminin kanıtını sağlar; yasal veya düzenleyici engeller varsa, bu yükümlülükler yerine getirilir. Bu durumda, Veri İthalatçısı, verilerin gizliliğini sağlar ve aktif işlemeyi durdurur.

2. Veri İthalatçısı ve Veri İşleyicisi, talep edilirse, veri koruma önlemlerinin uygunluğunu denetler.

 

 

 

 

Ek 1.1. Bölüm 2

Aktarım detayları

 

 

Veri İhracatçısı

Veri İhracatçısı, Sözleşme'de tanımlanan Müşteridir.

 

Veri İthalatçısı

Veri İthalatçısı, IQUALIF'tir ve verileri işlemekle görevlidir, Veri İhracatçısına hizmet sağlar.

 

Veri konusu

Aktarılan kişisel veriler, aşağıdaki veri konusu kategorilerini ilgilendirir:

☒ Telefon abonesi, genel dizinde listelenmiş

☐ Diğerleri, şunlar dahil:

 

Veri kategorileri

Aktarılan kişisel veriler, aşağıdaki veri kategorilerini ilgilendirir:

 

Veri İhracatçısının veri konusu kişilerin özel veri kategorileri, özellikle,

☒ Tam isim

☒ Posta adresi

☒ İletişim bilgileri (e-posta, telefon, IP adresi vb.)

☒ Telefon abonesiyle ilgili pazarlama faaliyetleri detayları

☒ Diğerleri, örneğin, konut tipi, gelir ve şehir bazında ortalama yaşlar anonimleştirilmiş

 

Özel kategori veriler (varsa)

Aktarılan kişisel veriler, aşağıdaki özel kategori verilerini ilgilendirir:

☒ Özel kategori verilerin aktarımı öngörülmemiştir

☐ Irk veya etnik köken

☐ Dini veya felsefi inançlar

☐ Sendika üyeliği

☐ Politik görüşler

☐ Genetik bilgiler

☐ Biyometrik bilgiler

☐ Cinsel yönelim veya cinsel yaşam bilgileri

☐ Sağlık verileri

 

İşleme faaliyetleri

Aktarılan kişisel veriler, aşağıdaki temel işlemlere tabi olacaktır:

 

  •  
    •  İşlemenin amacı

Veri İhracatçısı adına gerçekleştirilen işlemler, özellikle şunlara dayanır:

☒ Ürün veya hizmetlerin yönetimi

☒ Teklif edilen ürün veya hizmetin talep edilmesi

☒ Aramalar ve siparişlerin işlenmesi

☒ Anketler ve analizler

☒ Tele-pazarlama

☐ Diğerleri, şunlar dahil:

 

  •  
    •  İşlemenin doğası ve amacı

Veri İthalatçısı, kişisel verileri, Veri İhracatçısı adına, aşağıdaki hizmetleri sağlamak amacıyla işler:

☒ Satış ve Pazarlama

☒ Diğerleri, örneğin, belediye ve siyasi parti veritabanlarının güncellenmesi

 

  •  
    •  Hizmetlerin sağlanması ve hizmet sağlayıcıların istihdamı

 

IQUALIF, esasen, Veri İhracatçısına hizmetleri birleştirir, merkezileştirir ve sağlar. Sağlanan hizmetler, aşağıdaki yan hizmetler etrafında yapılandırılabilir (diğerleri de dahil olmak üzere uygun olanlar): (i) uygulamalar, araçlar, sistemler ve BT altyapısı sağlama, veri işleme merkezleriyle ilgili, hizmetleri sağlamak ve desteklemek amacıyla, yukarıda tanımlanan kişisel verilerin işlenmesini içeren uygulamalar, araçlar ve sistemler aracılığıyla, (ii) BT destek, bakım ve diğer hizmetler, bu uygulamalar, araçlar, sistemler ve BT altyapısı ile ilgili, ve (iii) veri koruma hizmetleri, koruma izleme ve olay müdahale hizmetleri, ve bu hizmetler sırasında kişisel verilere erişim olasılığı dahil olmak üzere. IQUALIF, aşağıda belirtilen Veri İşleyicilerini, bu hizmetleri ve yan hizmetleri sağlamak üzere devredebilecektir.

 

  •  
    • • Dış üçüncü taraf hizmet sağlayıcılar, veri işleme alt kuruluşları olarak atanmış

 

IQUALIF, bağımsız ve üçüncü taraf hizmet sağlayıcılarını, Veri İhracatçısına hizmetleri desteklemek amacıyla, devreder. Eğer bir alt kuruluş, GDPR kapsamında yeterli veri koruma seviyesine sahip olmayan bir ülkede bulunuyorsa, Veri İthalatçısı, GDPR'ye uygun önlemler alır (bölüm 3.4 (iv)).

 

Ek 2, Bölüm 2

Teknik ve organizasyonel koruma önlemleri

 

Veri İthalatçısı, Veri İhracatçısı tarafından onaylanan aşağıdaki teknik ve organizasyonel koruma önlemlerini alacaktır, böylece bireylerin hak ve özgürlükleri için uygun bir güvenlik seviyesi sağlanacaktır. Güvenlik seviyesinin değerlendirilmesinde, özellikle, işleme sırasında oluşabilecek riskler, kazara veya hukuka aykırı yok etme, değiştirme, yetkisiz açıklama veya erişim gibi riskler dikkate alınır. Bu önlemler, uygulamalar, araçlar, sistemler ve BT altyapısına uygulanmaz.

  1.  
    1. a) şifreleme tekniklerinin kullanımı;
1 Genel teknik ve organizasyonel önlemler
1.1 Genel bilgi ve veri koruma stratejileri
Genel veri ve bilgi koruma stratejilerini takip etmek için aşağıdaki adımlar atılmalıdır:
  • a) teknik ve organizasyonel koruma önlemlerinin değerlendirilmesi;
  • b) çalışanlara farkındalık eğitimi verilmesi;
  • c) ilgili sistemlerin tanımı ve çalışanlara erişim verilmesi;
  • d) sistemler uygulamaya konulduğunda veya değiştirildiğinde resmi dokümantasyon sürecinin kurulması;
  • e) organizasyon yapısı, süreçler, sorumluluklar ve değerlendirmelerin belgelenmesi;
 
1.2 Bilgi koruma organizasyonu
Veri ve bilgi koruma faaliyetlerini koordine etmek için aşağıdaki önlemler alınmalıdır:
  • a) bilgi ve verilerin korunmasıyla ilgili sorumlulukların belirlenmesi (örneğin, veri koruma yönetim politikası aracılığıyla);
  • b) bilgi ve verilerin korunması konusunda gerekli uzmanlığın sağlanması;
  • c) tüm çalışanların, kişisel verilerin gizli tutulması gerektiği konusunda bilgilendirilmiş olması ve bu taahhütlerin yerine getirilmesi;
 
1.3 İşleme alanlarına erişim kontrolü
Yetkisiz kişilerin, kişisel verilerin işlendiği, saklandığı veya iletildiği sistemlere erişimini önlemek için aşağıdaki önlemler alınmalıdır:
  • a) güvenli alanlar oluşturmak;
  • b) veri işleme sistemlerine erişimi korumak ve sınırlamak;
  • c) çalışanlar ve üçüncü taraflar için erişim yetkileri ve ilgili belgeleri belirlemek;
  • d) kişisel verilerin saklandığı veri işleme merkezlerine erişim, loglanmalıdır.
 
1.4 Veri işleme sistemlerine erişim kontrolü
Yetkisiz erişimi önlemek için aşağıdaki önlemler alınmalıdır:
  • a) kullanıcı doğrulama politikaları ve prosedürleri;
  • b) tüm bilgisayar sistemlerinde parola kullanımı;
  • c) uzak erişim, çok faktörlü doğrulama gerektirir ve sorumluluklara göre yetkilendirilir;
  • d) belirli fonksiyonlara erişim, görev ve/veya kullanıcı özelliklerine göre verilir;
  • e) kişisel verilerle ilgili erişim hakları düzenli olarak gözden geçirilir;
  • f) erişim haklarındaki değişiklikler güncel tutulur.
 
1.5 Veri işleme alanlarına erişim kontrolü
Yetkili kişilerin, kendi sorumluluk ve erişim yetkileri dahilinde, veriye erişimini sağlamak ve kişisel verilerin yetkisiz okunması, kopyalanması, değiştirilmesi veya silinmesini önlemek için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a) gizlilik, erişim hakları ve kişisel verilerin işlenmesiyle ilgili politika, talimatlar ve eğitim;
  • b) yetkisiz kişilerin kişisel verilere erişimini engelleyen disiplin önlemleri;
  • c) kişisel verilere erişim, yalnızca yetkili kişilere, ihtiyaç duyulan ölçüde verilir;
  • d) sistem yöneticilerinin listesi tutulmalı ve denetim sağlanmalı;
  • e) kişisel verilerin kopyalanması veya çoğaltılması, yetkisiz kişiler tarafından erişimi engellemek amacıyla yapılmamalıdır;
  • f) verilerin güvenli ve belgelenmiş silinmesi veya imha edilmesi;
  • g) yasal veya düzenleyici nedenlerle saklanması gereken kişisel verilerin güvenli depolanması (örneğin, veri saklama yükümlülükleri) ve yalnızca yasal süre boyunca tutulması.
 
1.6 İletim kontrolü
Veri iletimleri sırasında, kişisel verilerin yetkisiz üçüncü taraflarca okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini önlemek için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a) güvenlik duvarlarının kullanımı;
  • b) mobil depolama cihazlarında kişisel verilerin saklanmaması veya şifrelenmesi;
  • c) dizüstü bilgisayar ve diğer mobil cihazlarda, şifreleme koruması aktif hale getirildikten sonra kullanılması;
  • d) kişisel verilerin iletimlerinin loglanması.
 
1.7 Veri giriş kontrolü
Kişisel verilerin girilmesi veya silinip silinmediğinin, kim tarafından yapıldığının doğrulanabilmesi ve belirlenebilmesi için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a) verilerin okunması, değiştirilmesi ve silinmesine ilişkin yetkilendirme politikası;
  • b) bu işlemlerle ilgili koruma önlemleri;
 
1.8 Çalışma kontrolü
Kişisel verilerin, yetki verilen kişiler veya alt kuruluşlar tarafından, bu maddelere uygun şekilde işlenmesini sağlamak için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a) yetkilendirilmiş kişiler veya alt kuruluşlar, dikkatli seçilmeli (hizmet sağlayıcılar);
  • b) işleme kapsamını belirten talimatlar;
  • c) denetim hakları ve prosedürleri;
  • d) sözleşmeler ve anlaşmalar;
 
1.9 Diğer amaçlar için işleme ayrımı
Veri, başka amaçlar için toplanmışsa, ayrı şekilde işlenmesini sağlamak için aşağıdaki önlemler alınmalıdır:
  1.  
    1. a) kullanıcıların mevcut haklarına uygun ayrı erişim;
  • b) arayüzler, toplu işlem ve raporlama, diğer amaçlar ve fonksiyonlar içindir, böylece farklı amaçlar için toplanan veriler ayrı işlenebilir.
 
1.10 Takma isimlendirme
Kişisel verilerin takma isimlendirilmesine ilişkin önlemler şunlardır:
  1.  
    1. a) Veri İhracatçısı, belirli bir işleme operasyonu talep ediyorsa veya bu, Veri İthalatçısı tarafından uygun görülüyorsa, kişisel veriler, ek bilgiler olmadan, belirli bir kişiye atfedilemeyecek şekilde işlenir; bu ek bilgiler ayrı tutulur;
  • b) takma isimlendirme teknikleri kullanılır, örneğin, rastgele liste ataması, değerlerin oluşturulması.
 
1.11 Şifreleme
Veri şifrelemesi için aşağıdaki adımlar atılmalıdır:
  • b) şifreleme yönetimi kurulması;
  • c) anahtarların oluşturulması, değiştirilmesi, iptal edilmesi, imha edilmesi, dağıtılması, saklanması, kullanımı ve arşivlenmesi için prosedürler ve protokoller.
 
1.12 Veri işleme sistemleri ve hizmetlerinin bütünlüğü
Veri işleme sistemlerinin ve hizmetlerin bütünlüğünü sağlamak için aşağıdaki önlemler alınmalıdır:
  1. a) manipülasyon veya tahribata karşı koruma (örneğin, antivirüs yazılımı, veri kaybı önleme yazılımı, kötü amaçlı yazılım önleme, yamalar, güvenlik duvarları, yönetilen masaüstü koruması);
  • b) zararlı hizmet veya yazılımın kurulumunu engellemek;
  • c) ağ içi saldırı tespit ve önleme sistemleri kullanmak.
 
1.13 Veri işleme sistemleri ve hizmetlerinin kullanılabilirliği ve erişiminin hızlıca yeniden sağlanması
Veri işleme sistemlerinin kullanılabilirliğini sağlamak ve, özellikle, kazara veya teknik bir olay durumunda, kişisel verilere erişimi ve kullanılabilirliği hızla yeniden sağlamak için aşağıdaki önlemler alınmalıdır:
  • a) yedekleme ve geri yükleme araçları;
  • b) altyapı yedekliliği ve performans testleri;
  • c) fiziksel koruma önlemleri;
  • d) iç ağ durumu ve kullanılabilirliği izleme araçları;
  • e) olay bildirim ve müdahale politikaları, düzenli eğitimlerle pekiştirilir;
  • f) sistemin tekrar çalışmasını sağlayacak yedekler (bazı durumlarda off-site);
  • g) iş sürekliliği / felaket kurtarma planları
 
1.14 Veri işleme sistemleri ve hizmetlerinin dayanıklılığı
Veri işleme sistemleri ve hizmetlerinin dayanıklılığını sağlamak için aşağıdaki önlemler alınmalıdır:
  • a) uyumlu ve onaylı güvenlik parametreleri kullanılarak sistemlerin ve yapılandırmaların uyumu;
  • b) ağ yedekliliği;
  • c) kritik sistemlerin korunması.
 
1.15 Güvenlik önlemlerinin düzenli test edilmesi, değerlendirilmesi ve etkinliğinin ölçülmesi prosedürü
Veri işleme güvenliğini sağlamak amacıyla, teknik ve organizasyonel önlemlerin düzenli test edilmesi, değerlendirilmesi ve etkinliğinin ölçülmesi prosedürü:
  • a) risklerin ve azaltma stratejilerinin değerlendirilmesi;
  • b) BT departmanı toplantılarıyla güncel sorunların ele alınması;
  • c) iş sürekliliği / felaket kurtarma planlarının düzenli güncellenmesi.

 

Bölüm 3

Tarafların imzaları ve Veri İşleyicilerinin listesi

 

Çevrimiçi sipariş formunu doldurup, genel kullanım şartlarını kabul eden kutucuğu işaretlediğinizde, Müşteri ile IQUALIF arasındaki ilişkiyi düzenleyen sözleşme kurulmuş olur.

Ödeme IQUALIF'e yapıldığında, sözleşme kabul edilip kurulmuş sayılır.

Not: Bu metin Fransızca'dan çevrilmiştir. Orijinal Fransızca versiyonu, geçerli ve yasal olarak bağlayıcıdır, burada mevcuttur.