Veri İşleme Anlaşması
Veri İşleme Anlaşması
taraflar
Müşteri
(Bundan sonra "Denetleyici" olarak adlandırılacaktır)
ve
Synology
(Bundan sonra "İşleyici" olarak belirtilecektir).
Bu çeviri sadece bilgilendirme amaçlıdır. Farklılık durumunda, İngilizce versiyonu geçerlidir.
1. Tanımlar
Anlaşma ile kastedilen işbu Veri İşleme Anlaşmasıdır.
Veri sahibinin İzni ile kastedilen, veri sahibinin kendisiyle ilgili olan Kişisel Verilerin işlenmesi konusunda onay verdiğini belirten isteklerini; ifadeli olarak ya da açık doğrulayıcı eylemlerle sunduğu, serbestçe verilmiş, spesifik, bilgili ve açık işarettir.
Denetleyici, tek başına ya da başkalarıyla birlikte Kişisel Verilerin işlenmesinin amaçlarını ve yollarını belirleyen gerçek ya da tüzel kişiyi, resmi yetkiliyi, aracıyı ya da diğer bir kişiyi belirtir. İşlemenin amaçları ve yolları, Birliğin ya da Üye Devletin yasaları tarafından belirlenir.
Denetleyici ya da aday gösterilmesi için gerekli olan belirli kriterler, Birliğin veya Üye Devletin yasası tarafından belirlenebilir.
Sınır ötesi işleme şu iki durumdan birini belirtir:
1. Denetleyicinin ve işleyicinin birden fazla Üye Devlette kuruluş sahibi olduğu durumda,
Birlikteki bir denetleyicinin veya işleyicinin birden fazla Üye Devlette bulunan tesislerinde gerçekleştirilen faaliyetler dahilinde yapılan Kişisel Veri işlemesini ya da
2. birlikteki bir denetleyicinin veya işleyicinin tek bir tesisinde gerçekleştirilen faaliyetler dahilinde yapılan ancak birden fazla Üye Devlette bulunan veri sahiplerini büyük ölçüde etkileyen ya da büyük ölçüde etkilemesi muhtemel olan Kişisel Veri işlemesini belirtir.
Veri Koruma Görevlisi, bir kişiliğin GDPR'de belirtilen politikalara ve prosedürlere uymasını sağlamaya yönelik bağımsız çalışmalar yapan bir veri güvenliği uzmanıdır.
Veri Sahibi, Kişisel Verileri bir denetleyici ya da işleyici tarafından işlenen gerçek kişidir.
Şifrelenmiş Veriler, yalnızca özel erişimi olan kişilerin erişebilmesi/okuyabilmesi için teknolojik önlemlerle korunan Kişisel Verilerdir.
GDPR, Kişisel Verilerin işlenmesine ve bu tür verilerin serbest dolaşımına ilişkin olarak gerçek kişilerin korunmasına yönelik Avrupa Parlamentosu ve Konseyine ait 27 Nisan 2016 tarihli (AB) 2016/679 Yönetmeliğini ve feshedici Yönetmelik 95/46/EC'yi belirtir.
Kişisel Veriler, kimliği belli olan ya da tespit edilebilir olan gerçek bir kişiye ("veri sahibi")
ilişkin tüm bilgileri belirtir. Kimliği tespit edilebilir gerçek bir kişi; ad, kimlik numarası, konum verileri, çevrimiçi kimlik tanımlayıcı veya bu gerçek kişinin fiziksel, psikolojik, genetik, akli,
ekonomik, kültürel ya da sosyal kimliğine özel olan bir ya da daha fazla faktör gibi kimlik
tanımlayıcılara başvurularak doğrudan ya da dolaylı şekilde kimliği tespit edilebilecek olan kişidir.
Kişisel verilerin ihlali, iletilen, depolanan ya da başka şekilde işlenen Kişisel Veriler için yanlışlıkla ya da yaşa dışı şekilde imha, kayıp, değişiklik, yetkisiz ifşa ya da erişim ile sonuçlanan bir güvenlik ihlali anlamına gelir.
Tasarımdan İtibaren Gizlilik, veri korumanın sürece sonradan dahil edilmesi yerine, sistemlerin tasarımının başlangıcından itibaren dahil edilmesini talep eden bir ilkedir.
Gizlilik Etki Değerlendirmesi, işlenen Kişisel Veriler ve verileri korumak için yürürlükte olan politikalar analiz edilerek tüzel kişiliklerin gizlilik risklerini belirlemek ve azaltmak üzere
kullanılan bir araç anlamına gelir.
İşleme, Kişisel Veriler ya da Kişisel Veri grupları üzerinde otomatik ya da manuel yöntemlerle yapılan, toplama, kayıt, düzenleme, yapılandırma, depolama, uyarlama veya değişiklik, alım, danışma, kullanım, iletim, dağıtım ya da başka şekilde kullanılabilir hale getirerek ifşa,
sıralama veya kombinasyon, kısıtlama, silme ya da imha gibi bir işlem ya da işlemler grubu anlamına gelir.
İşleyici, denetleyici yararına Kişisel Verileri işleyen gerçek ya da tüzel bir kişiyi, resmi bir yetkiliyi, aracıyı ya da başka bir kişiyi belirtir.
Profil oluşturma, veri öznesinin davranışını değerlendirmek, analiz ya da tahmin etmek üzere Kişisel Veriler üzerinde yapılan herhangi bir otomatik işleme anlamına gelir.
Anonimleştirme, ek bilgilerin ayrı olarak tutulması ve Kişisel Verilerin tanımlanmış ya da tanımlanabilir gerçek kişiye atfedilmemesini sağlamak üzere teknik ve organizasyonel
önlemlere tabi olması kaydıyla, Kişisel Verilerin böyle ek bilgiler kullanılmadan spesifik bir veri öznesine daha fazla atfedilemeyeceği bir şekilde işlenmesi anlamına gelir.
Alıcı, Kişisel Verilerin açıklandığı; üçüncü taraf olan ya da olmayan gerçek veya tüzel bir kişiyi, resmi bir yetkiliyi, ajansı ya da diğer bir kişiyi belirtir. Ancak Kişisel Verileri, Birliğin veya Üye Devletin yasalarına uygun şekilde belirli bir tahkikat çerçevesinde alabilecek olan resmi
yetkililer alıcı olarak değerlendirilmemelidir; bu verilerin söz konusu resmi yetkililer
tarafından işlenmesi, işlemenin amaçlarına bağlı olarak geçerli veri koruma kurallarına uygun şekilde yapılmalıdır.
Temsilci, Madde 27 uyarınca denetleyici ya da işleyici tarafından yazılı olarak belirlenmiş olan ve denetleyiciyi ya da işleyiciyi GDPR'de tanımlanan ilgili yükümlülüklerine ilişkin olarak temsil eden, Birlik kadrosunda bulunan gerçek ya da tüzel bir kişidir.
Satıcı, Synology C2 hizmetine abone olan ve bu hizmetin bedelini Denetleyici adına doğrudan İşleyiciye ödeyen üçüncü taraf bir hizmet sağlayıcıyı belirtir.
Yönetmelikler, GDPR'yi ve Kişisel Veri koruma alanına ilişkin diğer genel bağlayıcı yasal yönetmelikleri belirtir.
Üçüncü taraf, veri öznesi, denetleyici, işleyici ve denetleyici ya da işleyicinin doğrudan yetkisi altında Kişisel Verileri işlemeye yetkili olan kişi dışındaki bir gerçek ya da tüzel kişi, kamu
yetkilisi, idaresi ya da kuruluşu anlamına gelir
Denetim kurulu, Madde 51 GDPR uyarınca bir Üye Devlet tarafından kurulan bağımsız bir resmi yetkilidir.
2. Anlaşmanın Konusu ve Süresi
(1) Konu
Bu anlaşmanın konusu xxxxx://x0.xxxxxxxx.xxx/xx-xxxxxx/xxxxx/xxxxx_xxxxxxxxxx adresinde bulunan Synology C2 Hizmeti Anlaşmasından (bundan sonra "Hizmet Anlaşması" olarak adlandırılacaktır) sağlanmıştır.
(2) Süre
İşbu Anlaşmanın süresi Hizmet Anlaşmasının süresiyle aynıdır.
3. Anlaşmanın Doğası ve Amacı
(1) Amaçlanan Veri İşlemesinin Doğası ve Amacı
Kişisel verilerin İşleyici tarafından Denetleyici adına işlenmesinin doğası ve amacı Hizmet Anlaşmasında kesin olarak tanımlanmıştır.
(2) Veri Türleri
Kişisel Verilerin işlenmesinin Konusu aşağıdaki veri türlerini/kategorilerini içerir:
o Kişisel Temel Veriler: Denetleyici, kiralanan sunucu üzerinde kendi takdirine bağlı olarak her türdeki veriyi depolayabilir. Synology'nin bunlara herhangi bir etkisi ve erişimi yoktur.
o Sözleşme Faturası ve Ödeme Verileri: Synology, Synology C2 Hizmeti Anlaşmasının uygulanması çerçevesinde; iletişim adresi, ödeme yöntemi ve ilgili kişi hakkında bilgi de dahil olmak üzere kişisel sözleşme verilerini toplar.
(3) Veri Sahibi Kategorileri
Veri Sahibi kategorileri, Satıcıların Müşterileri ve İlgili Kişilerinden oluşur.
4. İşleyicinin yükümlülükleri
(1) İşleyici, Kişisel Verileri yalnızca Denetleyicinin Yönetmelikleri ve talimatları doğrultusunda ve bunlarla tam bir uygunluk içinde veya işbu Anlaşmanın gerektirdiği şekilde işler. İşleyicinin tabi olduğu Yönetmeliklerin ya da yasaların İşleyiciyi bunu yapmaya zorunlu tutmaması kaydıyla, bu yükümlülük, İşleyicinin Kişisel Verileri üçüncü bir ülkeye ya da uluslararası bir kuruma aktarması için de geçerlidir. Yasal zorunluluklar olması durumunda ise İşleyici devam etmeden önce Denetleyiciyi bunlar hakkında bilgilendirmelidir (söz konusu yasanın önemli bir kamu yararı gerekçesine dayanarak bu bilginin paylaşılmasını yasaklamaması kaydıyla).
(2) İşleyici ve Denetleyici, işbu Anlaşmanın ve Synology C2 Hizmeti Anlaşmasının Denetleyicinin İşleyici için sunduğu eksiksiz ve son talimatları temsil ettiğini kabul eder. İşbu Anlaşmanın kapsamı dışında işleme (varsa) yapılabilmesi için iki taraf arasında, işlemeyle ilgili ek talimatlara yönelik yazılı bir ön anlaşma yapılması gerekir. İşleyici Denetleyicinin işbu Anlaşmanın kapsamı dışında talep ettiği talimatları uygulamayı reddederse Denetleyici işbu Anlaşmayı sonlandırabilir.
(3) İşbu Anlaşmanın uygulanması sırasında Denetleyici tüm sözlü talimatları derhal yazılı olarak onaylamalıdır.
(4) Denetleyicinin yararına işlenen verilere ait kopyalar ya da suretler, Denetleyicinin bilgisi olmadan kesinlikle oluşturulmamalıdır. Bunun istisnaları; düzenli veri işleme için gerekli olmaları kaydıyla alınan yedekleme kopyaları ve Yönetmeliklere uygun şekilde veri depolamak üzere, yönetmelik gereksinimlerini karşılamak için saklanan verilerdir.
(5) İşleyici kendi yetkisi dahilinde, Denetleyicinin yararına işlenen verileri düzeltemez, silemez veya işlenmelerini kısıtlayamaz ya da bu gibi verileri üçüncü bir tarafa taşıyamaz/aktaramaz; bu işlemleri yalnızca Denetleyicinin belgeli talimatlarına dayanarak gerçekleştirebilir. Bir Veri Sahibi düzenleme, silme ya da işleme kısıtlamasıyla ya da taşıma hakkını kullanımla ilgili olarak doğrudan İşleyiciye başvurduğunda İşleyici, Veri Sahibinin talebini derhal Denetleyiciye yönlendirmelidir. Hizmetlerin kapsamına dahil olması koşuluyla; silme politikası, "unutulma hakkı", düzeltme, veri taşınabilirliği ve erişimi gibi işlemler Denetleyicinin sunduğu belgeli talimatlara uygun şekilde İşleyici tarafından fazla gecikmeden sağlamalıdır.
(6) İşleyici, Denetleyicinin sunduğu talimatlardan birinin GDPR'yi (28. Madde 3. Fıkranın 3. Bendine ilişkin olarak) ya da Yönetmelikleri ihlal ettiğini düşünüyorsa derhal Denetleyiciye bilgi vermelidir. Bunun ardından İşleyici, Denetleyici bunları onaylayana ya da değiştirene kadar ilgili talimatların uygulanmasını ertelenme yetkisine sahip olur.
(7) İşleyici, işbu Anlaşmada belirlenen kurallara uygunluğun yanı sıra GDPR'nin 28-33. Maddelerinde belirtilen yasal gereksinimlerle de uygunluk sağlamalıdır. İşleyici bu doğrultuda özellikle de aşağıdaki gereksinimlerle uygunluk sağlamalıdır:
a) İşleyici, işbu Anlaşmada özetlenen veri işleme görevini yalnızca gizlilik yükümlülüğü bulunan ve işleriyle ilgili veri koruma hükümlerine daha önce aşina olmuş olan çalışanlara verir. İşleyici ya da yetkisi dahilinde hareket eden ve Kişisel Verilere erişimi olan kişiler, yasal gereklilik olmadığı sürece, Denetleyicinin işbu Anlaşmada kabul edilen yetkilerini de içeren talimatları dışında veri işlememelidir (GDPR'nin 28. Madde 3. Alt Madde 2. Xxxx ve b Alt Bendi, 29. ve 32. Madde 4. Alt Maddesi).
b) İşleyici, kişilerin kendi Kişisel verilerine erişim, düzeltme, taşıma, silme ya da bunların işlenmesine itiraz etme haklarını uygulaması taleplerine uygunluk sağlanmasında Denetleyiciye destek olmalıdır.
c) İşleyici, denetleme kurulunun taleplerine uygunluk sağlamada Denetleyiciye destek olmalıdır. Denetleyici ve İşleyici, kendilerinden talep edilmesi halinde denetleme kuruluyla, kurulun görevlerini uygulanması sürecinde iş birliği yapmalıdır.
d) Veri Koruma Görevlisinin / İlgili Kişisinin / Temsilcisinin Atanması
Synology'nin Veri Koruma Ekibine xxxxx://xxx.xxxxxxxx.xxx/xxxx/xxxxxxx_xxxxx adresinden ulaşılabilir. Denetleyici, tüm Veri Koruma Görevlisi değişiklikleriyle ilgili olarak derhal bilgilendirilmelidir
e) Denetleyici, işbu Anlaşmanın uygulanmasıyla ilgili olmaları halinde ilgili denetim kurulu tarafından gerçekleştirilen tüm denetimler ve önlemler hakkında, işbu Anlaşmanın 9. Alt Bendinde açıklandığı şekilde hemen bilgilendirilmelidir.
f) Denetleyicinin bir denetim kurulunun denetimine veya idari ya da hafif bir suça veya cezai bir işleme, bir Veri Sahibinin veya üçüncü bir tarafın açtığı sorumluluk davasına ya da İşleyici tarafından Anlaşma verilerinin işlenmesine ilişkin herhangi bir diğer davaya tabi olması halinde, İşleyici Denetleyiciye destek olmak için çaba göstermelidir. Ek destek görevleri işbu Anlaşmaya ait 8. Alt Bentte açıklanmıştır.
g) İşleyici, bu Anlaşmanın 9. Alt Bendinde açıklandığı şekilde Madde 32 - 36 uyarınca yükümlülüklere uygunluk sağlanması için Denetleyiciye destek olmalıdır.
h) Ek'te ayrıntılı şekilde verilen 28. Madde 3. Alt Madde 2. Bent ve c Alt Bendi ile GDPR'nin
32. Maddesi uyarınca işbu Anlaşma için gerekli olan tüm Teknik ve Organizasyonel Önlemlerin Uygulanması ve bunlara uygunluk sağlanması.
5. Bildirim görevleri
(1) İşleyici, tüm Kişisel Veri ihlallerini Denetleyiciye derhal bildirmelidir. Savunulabilir şekilde şüphe edilen olaylar da bildirilmelidir. Bildirimler en azından GDPR'nin 33. Maddesinin 3. bölümünde sağlanan bilgileri içermelidir.
(2) Denetleyici, görevlerin yerine getirilmesi sırasında yaşanan önemli aksaklıklar ve ayrıca İşleyici veya işe aldığı kişiler tarafından gerçekleştirilen, işbu Anlaşmanın yasal veri koruma hükümleri veya şartlarına karşı yapılan ihlaller hakkında da derhal bilgilendirilmelidir.
(3) İşleyici, yetki verilen veri işleme işlemiyle ilgili olmaları halinde, denetim kurulları ya da üçüncü taraflar tarafından gerçekleştirilen denetimler ya da alınan önlemler hakkında Denetleyiciyi derhal bilgilendirmelidir.
(4) İşleyici, bu yükümlülüklerin yerine getirilmesinde Denetleyicinin GDPR'nin 33. ve 34. Maddeleri uyarınca gerekli olan ölçüde desteklendiğinden emin olmalıdır.
6. Teknik ve Organizasyonel Önlemler ve Veri Güvenliği
(1) İşleme başlamadan önce ve Anlaşma sona ermeden önce, İşleyici, özellikle GDPR'nin 5. Maddesi 1. Alt Maddesi ve 2. Alt Maddesi olmak üzere GDPR'nin 28 Maddesi 3. Alt Maddesi c Bendi ile 32. Maddesi uyarınca teknik ve organizasyonel önlemler ("Teknik ve Organizasyonel Önlemler") uygulamalı ve bunlara uymalıdır. Alınacak olan önlemler; veri güvenliği ile ilgili önlemleri ve Teknik
ile Organizasyonel Önlemler yoluyla uygun koruma düzeyinin elde edilmesini sağlayan önlemleri içerir. Önlemler, işleme ortamlarını ve amaçlarıyla birlikte, güvenlik kırılganlıklarının sonucu olarak yasanın olası ihlaline ilişkin öngörülen olasılık ile seviyeyi dikkate alır ve ilgili ihlal olaylarının anında saptanmasını sağlar. Alınacak önlemler; sistemlerin gizliliğine, bütünlüğüne, kullanılabilirliğine ve dayanıklılığına ilişkin riske uygun bir koruma düzeyini garanti etmelidir. İşlemenin teknolojisi, uygulama maliyetleri, doğası, kapsamı ve amaçlarının yanı sıra GDPR'nin 32. Madde 1. Alt Maddesindeki bağlama uygun şekilde gerçek kişilerin hakları ve özgürlükleriyle ilgili risklerin gerçekleşme olasılığı ve şiddeti de dikkate alınmalıdır.
(2) Teknik ve Organizasyonel Önlemler, teknik ilerleme ve ek geliştirmeye tabidir. Dolayısıyla İşleyici, kendi sorumluluk alanındaki işlemenin, Yönetmeliklerin gereksinimleri ve veri sahibinin haklarının korunması açısından uygun olduğundan emin olmak için dahili süreçleri periyodik olarak izlemelidir. Bu kapsamda İşleyici, güncel teknolojileri uygulamaya koymakla ya da bunun yerine uygun önlemler almakla yükümlüdür. Önemli değişikliklerin belgelenmesi gerekir.
(3) Teknik ve Organizasyonel Önlemler, bu Anlaşmanın 1. Ek'inde ayrıntılı şekilde açıklanmıştır
7. Alt Yüklenici Kullanma
(1) Bu Anlaşmanın amacına yönelik olarak alt yüklenici kullanımı, birincil hizmetin hükümleriyle doğrudan ilişkili olan hizmetler anlamına gelir. Buna telekomünikasyon hizmetleri, posta/taşıma hizmetleri, bakım veya kullanıcı desteği hizmetleri ya da veri taşıyıcılarının atılması gibi alt kuruluşların hizmetleri ve ayrıca veri işleme ekipmanı donanımları ve yazılımlarının gizliliğini, kullanılabilirliğini, bütünlüğünü ve dayanıklılığını sağlamaya yönelik diğer önlemler dahil değildir. Ancak İşleyici, alt kuruluş hizmetleri için dış kaynak kullanılması halinde dahi; uygun ve yasal açıdan bağlayıcı olan sözleşmeli anlaşmaları yapmakla ve Denetleyicinin verilerinin korunmasını ve güvenliğini sağlamak üzere gerekli denetleyici önlemleri almakla yükümlüdür.
(2) İşleyici, alt yüklenicilere, yalnızca Denetleyiciden önceden açık yazılı ya da belgeli onay alınması koşuluyla yetki verebilir. Bunlarla beraber, Denetleyici tarafsız şekilde makul sebepler olmaksızın onay vermemekten kaçınmalıdır.
(3) Dışarıdan alt yüklenici desteği alınmasına ya da mevcut bir alt yüklenicinin değiştirilmesine şu koşullarda izin verilir:
o İşleyici, bir alt yükleniciden aldığı dış desteğin anlaşmasını, Denetleyiciye önceden uygun şekilde bildirerek yazılı olarak ya da metin halinde göndermelidir ve
o Denetleyici, planlanan dış kaynak kullanımına, verilerin İşleyiciye teslim edildiği tarihe kadar yazılı olarak ya da metin halinde itiraz etmemiş olmalıdır ve
o söz konusu diğer işleyici (alt yüklenici), bir sözleşme/anlaşma ile işbu Anlaşmada belirtilen aynı veri koruma yükümlülüklerine tabi olmalı ya da dış kaynak kullanımı, GDPR'nin 28. Madde 2.-4. Bentlerine uygun şekilde sözleşmeli bir anlaşmaya dayanmalıdır.
(4) İşleyici, alt yüklenicinin, koruma seviyesi işbu Anlaşma ya da GDPR tarafından belirtilen yasal gereksinimlerden daha düşük olmayan ve gizlilik, veri koruma, veri güvenliği ve denetim haklarına ilişkin ilgili sözleşmeli yükümlülükleri de içeren sözleşmeye dayalı uygun yükümlülükleri kabul etmesini sağlar.
(5) Kişisel Verilerin Denetleyiciden alt yükleniciye aktarılması ve alt yüklenicilerin veri işlemeye başlaması yalnızca tüm uygunluk gereksinimleri karşılandığında gerçekleşmelidir.
(6) İşleyici, alt yüklenicinin verilere olan erişimini, yalnızca alt yüklenicinin hizmetini sürdürmesi için gerekli olan seviyeyle sınırlar ve alt yüklenicinin başka herhangi bir amaçla verilere erişmesini yasaklar.
(7) İşleyicinin, hem işbu Anlaşmanın yükümlülüklerine uygunluk sağlama konusunda hem de alt yüklenicinin, İşleyicinin işbu Anlaşma dahilindeki yükümlülüklerini ihlal etmesine yol açan eylemleri ya da ihmalleri konusunda sorumlu olmaya devam eder.
(8) Alt yüklenicinin, üzerinde anlaşmaya varılan hizmeti AB/AEA dışında sağlaması halinde, İşleyici uygun önlemleri alarak Yönetmeliklere uygunluğu sağlamalıdır. Aynı koşul, GDPR 1. Alt Madde 2. Bendinde tanımlanan şekilde hizmet sağlayıcıların kullanılacak olması halinde de geçerlidir.
(9) Alt yüklenici tarafından ek dış hizmet kullanımı, İşleyicinin açık onayını (en azından yazılı halde) gerektirir; işbu Anlaşmada bulunan tüm sözleşme hükümleri, her yeni alt yükleniciye iletilmelidir ve bunlar konusunda anlaşma sağlanmalıdır.
8. Denetleyicinin Yükümlülükleri, Hakları ve Denetleyicilik Rolü
(1) Talep edilen işlemenin kabul edilebilirliğinin değerlendirilmesinden ve etkilenen tarafların haklarından yalnızca Denetleyici sorumludur.
(2) Denetleyici, İşleyiciye yönelik denetimler gerçekleştirme hakkına veya denetimlerin, her ayrı olay için atanacak bir müfettiş tarafından gerçekleştirilmesini sağlama hakkına sahiptir. Denetleyici, İşleyicinin işbu Anlaşmayla uygunluk sağladığını, genellikle makul bir süre önce duyurulacak ve iş faaliyetleri saatleri içinde gerçekleştirilecek olan rastgele denetimlerle kontrol etme hakkına sahiptir.
(3) İşleyicinin tesislerinde gerçekleştirilen denetimler, İşleyicinin iş faaliyetlerinde önlenebilir kesintilere yol açmadan yapılmalıdır. Denetleyici tarafından belgelenmesi gereken acil sebeplere bağlı olarak aksi belirtilmediği sürece, denetimler önceden uygun şekilde bildirildikten sonra, İşleyicinin iş saatleri dahilinde ve her 12 aydan daha sık olmaması kaydıyla gerçekleştirilmelidir. İşleyici, işbu Anlaşmanın 8. bölümünde (5) öngörüldüğü şekilde, üzerinde anlaşılan veri koruma yükümlülüklerinin doğru şekilde uygulandığı konusunda kanıt sunarsa denetimler örneklerle sınırlı tutulmalıdır.
(4) İşleyici, GDPR'nin 28. Maddesi uyarınca sahip olduğu yükümlülüklere uygunluk sağladığının, Denetleyici tarafından onaylayabildiğinden emin olmalıdır. İşleyici, Teknik ve Organizasyonel Önlemlerin uygulandığını göstermek için talep edilmesi halinde Denetleyiciye gerekli bilgileri vermeyi taahhüt eder.
(5) Yalnızca bu Anlaşmayı ilgilendirmeyen bu önlemlerin kanıtı, mevcut denetçinin sertifikalarıyla, bağımsız kurumlar (ör. denetçi, Veri Koruma Görevlisi, BT güvenlik departmanı, veri gizliliği denetçisi, kalite denetçisi) tarafından sağlanan raporlar veya rapor alıntılarıyla temin edilebilir.
(6) İşleyici, Denetleyicinin denetimlerine izin vermesi karşılığında ücret talep edebilir.
9. İşleyicinin Destek ve Bilgi Sunma Görevleri
(1) İşleyici, Kişisel Verilerin güvenliğine ilişkin yükümlülüklere uygunluk sağlanmasında Denetleyiciye destek olmalı, GDPR'nin 32.-36. Maddelerinde belirtilen veri ihlallerine yönelik gereksinimleri, veri koruma etki değerlendirmelerini ve ön başvuruları bildirmelidir. Bunlar şunları içerir:
a. İşlemenin koşullarını ve amaçlarını ve ayrıca güvenlik açıkları sonucunda oluşan ve ilgili ihlal olaylarının anında tespit edilmesine imkan tanıyan olası bir kanun ihlalinin öngörülen olasılığını ve şiddetini dikkate alan Teknik ve Organizasyonel Önlemler yoluyla uygun bir koruma düzeyi sağlamak.
b. Bir Kişisel Veri ihlalini derhal Denetleyiciye bildirme yükümlülüğü.
c. Denetleyicinin ilgili Veri Sahibine bilgi sağlama yükümlülüğüne ilişkin olarak Denetleyiciye destek sunma ve bu amaca yönelik olarak Denetleyiciye tüm ilgili verileri derhal sağlama görevi.
d. Denetleyicinin denetim kuruluna bilgi sağlama yükümlülüğüne ilişkin olarak Denetleyiciye destek sunma görevi. Denetleyici, kendisinden talep edilmesi halinde denetleme kuruluyla görevlerinin uygulanmasında iş birliği yapmalıdır.
e. Denetleyiciye veri koruma etki değerlendirmesinde destek sunma.
f. Denetleyiciye, denetim kurulunun ön başvurusunda destek sunma.
(2) Denetleyici, işbu Anlaşmanın uygulanmasıyla ilgili olmaları halinde denetim kurulu tarafından gerçekleştirilen tüm denetimler ve önlemler hakkında hemen bilgilendirilmelidir. Bu, İşleyicinin işbu Anlaşmada belirtilen işlemeyle ilgili olarak; veri işlemeye ilişkin herhangi bir yasanın veya idari bir kuralın ya da Yönetmeliklerin ihlaline bağlı nedenlerle, yetkili bir makam tarafından soruşturulduğu veya soruşturulan taraflardan biri olduğu durum için de geçerlidir. Denetleyicinin denetim kurulunun denetimine veya idari ya da hafif bir suça veya cezai bir işleme, bir Veri Sahibinin veya üçüncü bir tarafın açtığı sorumluluk davasına ya da İşleyici tarafından işbu Anlaşma dahilinde verilerin işlenmesine ilişkin herhangi bir diğer davaya tabi olması halinde, İşleyici Denetleyiciye destek olmak ve Denetleyicinin talep ettiği tüm belgeleri, kaynakları ve desteği sunmak için çaba göstermelidir. İşbu Anlaşmaya ilişkin verilerin, İşleyici tarafından işlendikleri sırada, bir iflas veya adli tasfiye sürecinde müsadereye ya da üçüncü tarafların uyguladığı benzer önlemlere tabi olması halinde, İşleyici fazla gecikmeden Denetleyiciye haber verir. İşleyici, bu tür eylemlerde yaşanan gelişmeler ve yenilikler konusunda Denetleyiciyi fazla gecikmeden bilgilendirmeli ve Denetleyicinin gerektirdiği şekilde bu eylemlere yanıt olarak gerekli tüm önlemleri almalıdır.
(3) İşleyici, bu belgede bulunan hizmetlerin açıklamalarına dahil olmayan ve İşleyicinin başarısız olduğu görevlerle ilişkilendirilemeyen destek hizmetleri için önceden Denetleyici tarafından yazılı olarak onaylanması koşuluyla ödeme talep edebilir.
10. Ücret
İşleyiciye, işbu Anlaşma dahilinde sağlanan hizmetler için ödeme yapılması Hizmet Anlaşmasında kesin olarak şarta bağlanmıştır. Bu Anlaşmada ayrı bir karşılık ya da tazmin sunulmamaktadır.
11. Sorumluluk ve Zararın Karşılanması
(1) Hem Denetleyici hem de İşleyici, yetkili olmayan bir tarafın yol açtığı hasarlarla ilgili olarak veya geçerli kanunlara uygun olarak işbu Anlaşma kapsamında yapılan hatalı veri işleme konusunda sorumlu tutulacaktır.
(2) İlgili verilerin işbu Anlaşma kapsamında işlenmiş olması halinde, oluşan hasarların İşleyicinin sorumlu olduğu koşulların bir sonucu olmadığını kanıtlama yükümlülüğü İşleyiciye aittir. Bu kanıt sunulmamışsa İşleyici, kendisinden ilk kez talep edildiğinde, işbu Anlaşma dahilindeki verilerin işlenmesiyle ilgili olarak Denetleyicinin aleyhine yapılan iddiaların yükümlülüğünü Denetleyicinin üzerinden almalıdır.
(3) İşleyici; işbu Anlaşma dahilinde sunduğu hizmetlere ilişkin olarak kendisinin, kendi çalışanlarının veya görevlendirilmiş alt yüklenicilerinin yol açtığı tüm doğrudan hasarlarla ilgili olarak Denetleyiciye karşı sorumluluk taşır, Denetleyicinin maruz kaldığı tüm doğrudan hasarları Denetleyiciye tazmin etmelidir ve Denetleyiciyi güven altına almalıdır.
(4) İşbu anlaşmaya bağlı olarak ya da işbu anlaşmayla ilgili olarak oluşan doğrudan olmayan, cezai, özel, tesadüfi ya da dolaylı hasarlar (kâr kaybı, kullanım, veri ya da diğer ekonomik avantaj da dahil olmak üzere) için hangi eylemler sonucunda meydana gelmiş olurlarsa olsunlar (garanti ihlali de dahil olmak üzere işbu anlaşmanın ihlaline bağlı olarak ya da haksız fiil sonucunda) ve ilgili taraf bu tür bir hasarın oluşma olasılığı konusunda önceden haberdar edilmiş olsa dahi, taraflardan hiçbiri diğer tarafı hiçbir koşulda sorumlu tutamaz.
(5) Bölüm 11 (2) ve 11 (3), İşleyicinin hizmetlerini, Denetleyici tarafından talep edilen ya da Denetleyicinin talimat verdiği şekilde doğru olarak uygulaması sonucunda oluşan hasarlar için geçerli olmaz.
12. Olağanüstü fesih hakkı
(1) İşleyicinin Yönetmelikleri veya işbu Anlaşmanın hükümlerini ciddi şekilde ihlal etmesi; İşleyicinin, Denetleyicinin yasal talimatlarını uygulayamaması ya da uygulamaması veya İşleyicinin, işbu Anlaşmaya aykırı davranarak Denetleyicinin denetleme haklarını kabul etmeyi reddetmesi halinde, Denetleyici istediği zaman bildirim vermeksizin Hizmet Anlaşmasını ve/veya işbu Anlaşmayı feshedebilir ("olağanüstü fesih").
(2) İşleyici bilhassa işbu Anlaşmada ortaya koyulan yükümlülükleri ve özellikle de teknik ve organizasyonel yükümlülükleri büyük ölçüde yerine getirmemişse ya da yerine getirmede başarısız olmuşsa ciddi bir ihlal meydana geldiği kabul edilir.
(3) Önemsiz ihlaller için Denetleyici, İşleyiciye durumu düzeltmesi için otuz (30) günü geçmemesi kaydıyla makul bir süre verir. Durumun bu süre dahilinde düzeltilememesi halinde, Denetleyici işbu Anlaşmada öngörüldüğü şekilde olağanüstü fesih hakkına sahip olur.
13. Fesih, İade ve Verilerin Silinmesi
(1) İşbu anlaşmanın feshi veya belirleyici Hizmet Anlaşmasının feshi ya da Denetleyici tarafından talep edilmesi durumunda; İşleyici, işbu Anlaşmayla veya Hizmet Anlaşmasıyla ilgili eline geçen tüm verileri, işleme ve kullanma sonuçlarını ve veri setlerini Denetleyiciye teslim etmeli ya da Denetleyicinin önceden onayını almak koşuluyla, Yönetmeliklere uygun şekilde verilerin korunmasıyla uyumlu bir yol kullanarak bunları yok etmelidir. Aynı koşul; tüm ilgili test ve atık materyalleri ve ayrıca yedek ve atılmış materyaller için de geçerlidir. Yok etme veya silme işlemine ait kayıt, yok etme veya silme işlemi tamamlandıktan sonra ya da Denetleyici tarafından talep edilen tarihte Denetleyiciye verilmelidir.
(2) İşbu Anlaşmaya uygun olarak veri işlemenin düzenli şekilde yapıldığının gösterilmesi amacıyla kullanılan belgeler, Yönetmelikler dahilindeki ilgili tutma sürelerine uygun şekilde ve işbu Anlaşmanın süresini de aşacak şekilde İşleyici tarafından saklanmalıdır. İşleyici, bu tür belgeleri işbu Anlaşmanın sonunda ya da Denetleyicinin talep ettiği tarihte Denetleyiciye teslim etmelidir.
(3) İşleyici, alt yüklenicilerdeki verilerin iade edilmesini veya silinmesini derhal sağlamakla yükümlüdür.
(4) İşleyici, verilerin kendisi ya da alt yükleniciler tarafından uygun şekilde yok edildiğine dair kanıt sunmalı ve bu kanıtı derhal Denetleyiciye göndermelidir.
14. Çeşitli
(1) Her iki Taraf da, akdi ilişki kapsamında diğer taraftan edinilmiş ticari sırlara ve veri güvenliği önlemlerine ilişkin tüm bilgileri, bu Anlaşmanın süresi sona erdikten sonra dahi gizlilik içerisinde ele almakla yükümlüdür. Bilgilerin gizli tutulup tutulmayacağı konusunda herhangi bir şüphe olması halinde, bilgiler diğer taraftan yazılı onay alınana kadar gizli tutulmalıdır. İşbu Anlaşma dahilinde, Denetleyiciden İşleyiciye hiçbir fikri mülkiyet hakkı sermaye payı geçmeyecektir.
(2) İşbu Anlaşmada yapılan tüm değişiklikler yazılı olmalıdır ve her iki Taraf da bunların üzerinde anlaşmaya varmalıdır.
(3) İşlenen veriler ve ilgili veri taşıyıcılarla ilgili olarak geçerli yasalar çerçevesinde sağlanan tutma hakkından her türlü muafiyet bu belge ile reddedilir.
(4) İşbu Anlaşmanın herhangi bir kısmının geçersiz hale gelmesi, işbu Anlaşmanın geri kalan kısımlarının geçerliliğini etkilemez.
(5) İşbu Anlaşma, yasal ihtilafları kontrol eden kanunlar bütününe bakılmaksızın [İşleyicinin bulunduğu ülkenin] yasalarına uygun şekilde yönetilmeli ve yorumlanmalıdır.
(6) Bu Anlaşmadan ya da Anlaşma ile bağlantılı olarak ortaya çıkan tüm uyuşmazlıklar, Uluslararası Mal Satışı Sözleşmelerine İlişkin BM Sözleşmesi hariç olmak üzere, uluslararası özel hukukun yükümlülüklerine tabi olan Federal Almanya Cumhuriyeti'nin yargı alanına girer. Müşteri, Alman Ticaret Kanunu (HGB) § 1 fıkra 1 uyarınca bir tüccar, kamu hukuku uyarınca bir tüzel kişilik ya da özel bir fon ise Düsseldorf mahkemeleri, bu sözleşme ilişkisinden kaynaklanan ya da bu ilişki ile bağlantılı herhangi bir anlaşmazlıkta yargı yetkisine sahiptir.
Ek - Teknik ile Organizasyonel Önlemler
1. Gizlilik (GDPR'nin 32. Madde 1. Alt Madde b Bendi)
• Fiziksel Erişim Denetimi
Manyetik ya da çipli kartlar, anahtarlar, elektronik kapı açıcılar, tesis güvenlik hizmetleri ve/veya giriş güvenlik personeli, alarm sistemleri, video/CCTV Sistemleri gibi Veri İşleme Araçlarına yetkisiz erişim olmamalıdır
• Elektronik Erişim Denetimi
Parolalar (güvenli), otomatik engelleme/kilitleme mekanizmaları, iki faktörlü kimlik doğrulama, veri taşıyıcılarının/depolama medyasının şifrelenmesi gibi Veri İşleme ve Veri Depolama Sistemleri yetkisiz kullanılmamalıdır
• Dahili Erişim Kontrolü (kullanıcıların verilere erişim ve verileri değiştirme haklarıyla ilgili izinler)
Sistem dahilindeki Verilerin Okunmasına, Kopyalanmasına, Değiştirilmesine veya Silinmesine izin verilmez, ör. ihtiyaca dayalı erişim hakları, sistem erişimi olaylarının kaydedilmesi
• İzolasyon Kontrolü
Farklı amaçlar için toplanan Veriler izole edilmiş şekilde işlenmelidir, ör. kum havuzu etkisi;
• Bulanıklaştırma (GDPR 32. Madde 1. Alt Madde a Bendi; GDPR 25. Madde 1. Alt Maddesi)
Kişisel Verileri, ek Bilgilerden yararlanmadan belirli bir Veri Sahibiyle ilişkilendirilmelerine olanak tanımayacak bir yöntemle/yolla işlemeyi belirtir. Söz konusu ek bilgiler ayrı olarak saklanmalı ve uygun teknik ve organizasyonel önlemlere tabi olmalıdır.
2. Bütünlük (GDPR'nin 32. Madde 1. Alt Madde b Bendi)
• Veri Aktarım Denetimi
Veriler elektronik aktarım ya da taşıma yoluyla yetkisiz şekilde Okunmamalı, Kopyalanmamalı, Değiştirilmemeli ya da Silinmemelidir, ör. Şifreleme, Sanal Özel Ağlar (VPN), elektronik imza;
• Veri Girişi Kontrolü
Kişisel Verilerin bir Veri İşleme Sistemine girilip girilmediği, sistemde değiştirilip değiştirilmediği veya silinip silinmediği ve kim tarafından girildiği, değiştirildiği ya da silindiğine dair doğrulama, ör. Günlüğe Kaydetme, Xxxx Yönetimi
3. Kullanılabilirlik ve Dayanıklılık (GDPR'nin 32. Madde 1. Alt Madde b Bendi)
• Kullanılabilirlik Kontrolü
Yanlışlıkla ya da isteyerek imha ya da kayıp durumlarını önleme, ör. Yedekleme Stratejisi (çevrimiçi/çevrimdışı; tesis içi/tesis dışı), Kesintisiz Güç Kaynağı (UPS), virüs koruması, güvenlik duvarı, raporlama prosedürleri ve acil durum planlaması
• Hızlı Kurtarma (GDPR'nin 32. Madde 1. Alt Madde c Bendi);
4. Düzenli test etme, ölçme ve değerlendirmeye yönelik prosedürler (GDPR 32. Madde 1. Alt Madde d Bendi; GDPR 25. Madde 1. Alt Maddesi)
• Veri Koruma Yönetimi;
• Xxxx Xxxxxxxx Yönetimi;
• Tasarımdan İtibaren ve Varsayılan Olarak Veri Koruma (GDPR 25. Madde 2. Alt Maddesi);
• Emir ya da Sözleşme Kontrolü
GDPR'nin 28. Maddesi uyarınca, Denetleyiciden ilgili talimatlar olmadan üçüncü taraf veri işlemesi yapılmamalıdır, ör. açık ve tam akdi düzenlemeler, resmi İstek Yönetimi, Hizmet Sağlayıcı seçimi üzerinde kati denetimler, önceden değerlendirme görevi, gözetim amaçlı takip kontrolleri.