SAP CLOUD HİZMETLERİ İÇİN KİŞİSEL VERİ İŞLEME ANLAŞMASI
SAP CLOUD HİZMETLERİ İÇİN KİŞİSEL VERİ İŞLEME ANLAŞMASI
1. ARKA PLAN
1.1 Amaç ve Uygulama. Bu belge ("DPA") Anlaşmaya dahil edilmiş olup SAP ile Müşteri arasındaki yazılı (elektronik biçim dahil) bir sözleşmenin bir bölümünü teşkil eder. Bu DPA, Bulut Hizmetini sağlaması ile ilgili olarak SAP ve Alt İşleyicileri tarafından işlenen Kişisel Veriler için geçerlidir. Bu DPA, Bulut Hizmeti ile ilgili olarak SAP tarafından kullanıma sunulmuş olabilecek herhangi bir canlı kullanım harici ortam için geçerli değildir ve Müşteri, Kişisel Verilerini bu tür ortamlarda depolamayacaktır.
1.2 Yapı. Ek 1 ve 2 bu belgeye dahil edilmiş olup DPA'nın bir bölümünü oluşturur. Bu ekler; üzerinde anlaşmaya varılan konuyu, işlemenin niteliğini ve amacını, Kişisel Verilerin türünü, veri kullanıcısı kategorilerini, geçerli teknik ve organizasyonel önlemleri belirler.
1.3 GDPR. SAP ve Müşteri, her iki tarafın da 2016/679 sayılı Genel Veri Koruma Yönetmeliği'nin ("GDPR"), Müşterilerin/Denetleyicilerin DPA kapsamında işlenen Kişisel Verileri için geçerli olduğu sürece özellikle 28. ve 32 ila 36. Xxxxxxxxx ile Denetleyiciler ve İşleyicilere yüklediği gereksinimleri gözden geçirmekten ve uygulamaktan sorumlu olduğunu kabul eder. Gösterim amacıyla, ilgili GDPR gereksinimleri ve bunlara karşılık gelen DPA bölümleri Ek 3 kapsamında verilmiştir.
1.4 Yönetişim. DPA kapsamında SAP bir İşleyici olarak, Müşteri ve Bulut Hizmetini kullanmasına izin verdiği kuruluşlar ise Denetleyiciler olarak görev yapar. Müşteri tek ilgili kişidir ve geçerli olması durumunda SAP'nin bir İşleyici olarak kullanılmasına ilişkin Denetleyici onayları da dahil olmak üzere Kişisel Verilerin bu DPA'ya uygun şekilde işlenmesi için ilgili yetkilerin, izinlerin ve onayların alınmasından sorumludur. Müşteri tarafından sağlandığı durumlarda yetkiler, onaylar, talimatlar veya izinler yalnızca Müşteri adına değil, aynı zamanda Bulut Hizmetini kullanan tüm diğer Denetleyiciler adına da sağlanmış olur. SAP'nin Müşteriyi bilgilendirmesi veya Müşteriye bildirimde bulunması durumunda söz konusu bilgi veya bildirimin, Bulut Hizmetini kullanmasına Müşteri tarafından izin verilen Denetleyiciler tarafından alındığı kabul edilir ve bu bilgileri/bildirimleri ilgili Denetleyicilere iletmek Müşterinin sorumluluğudur.
2. İŞLEME GÜVENLİĞİ
2.1 Uygun Teknik ve Organizasyonel Önlemler. SAP, Ek 2 kapsamında belirtilen teknik ve organizasyonel önlemleri yürürlüğe almıştır ve uygulayacaktır. Müşteri bu önlemleri gözden geçirmiş ve Kişisel Verilerin işlenmesi ile ilgili gelişme durumu, uygulama maliyetleri, nitelik, kapsam, bağlam ve amaçları dikkate alarak, Sipariş Formunda seçtiği Bulut Hizmeti ile ilgili bu önlemlerin uygunluğunu kabul etmiştir.
2.2 Değişiklikler. SAP, Ek 2 kapsamında belirtilen teknik ve organizasyonel önlemleri, söz konusu Veri Merkezinin dışında barındırılan ve aynı Bulut Hizmetini alan tüm müşteri tabanına uygulamaktadır. SAP, karşılaştırılabilir veya daha yüksek bir güvenlik düzeyi sunmak kaydıyla Ek 2 kapsamında belirtilen önlemleri, bildirimde bulunmaksızın dilediği zaman değiştirebilir. Münferit önlemler, Kişisel Verileri korumaya yönelik güvenlik düzeyini ihlal etmeden aynı amaca hizmet eden yeni önlemlerle değiştirilebilir.
3. SAP'NİN YÜKÜMLÜLÜKLERİ
3.1 Müşterinin Talimatları. SAP, Kişisel Verileri yalnızca Müşteriden alınan belgelenmiş talimatlara uygun şekilde işleyecektir. Anlaşma (bu DPA dahil), söz konusu belgelenmiş başlangıç talimatlarını içermektedir ve Bulut Hizmetinin daha sonraki her bir kullanımı, başka talimatlar oluşturur. SAP, Veri Koruma Kanunu tarafından gerekli kılındığı, teknik olarak uygun olduğu ve Bulut Hizmetinde değişiklik yapılmasını gerektirmediği sürece tüm diğer Müşteri talimatlarına uymak için makul çabayı gösterecektir. Yukarıda belirtilen istisnalardan birinin geçerli olması veya başka bir şekilde SAP'nin bir talimata uyamaması ya da bir talimatın Veri Koruma Kanununu ihlal ettiğini düşünmesi durumunda SAP, Müşteriyi derhal bilgilendirecektir (e-postaya izin verilir).
3.2 Yasal Gereksinim uyarınca işleme. SAP, yürürlükteki yasanın gerektirdiği durumlarda Kişisel Verileri işleyebilir. Böyle bir durumda SAP, söz konusu yasa önemli ölçüde kamu yararı açısından
bu bilgilere yasak getirmediği sürece Kişisel Verileri işlemeden önce Müşteriyi bu yasal gereksinim konusunda bilgilendirecektir.
3.3 Personel. SAP ve Alt İşleyicileri, Kişisel Verileri işlemesi için yalnızca, gizlilik taahhüdünde bulunan yetkili personele erişim hakkı sunacaktır. SAP ve Alt İşleyicileri, Kişisel Verilere erişimi olan personele veri güvenliği ve veri gizliliği hakkında düzenli olarak eğitim verecektir.
3.4 İşbirliği. Müşterinin talebi doğrultusunda SAP, SAP'nin Kişisel Verileri işlemesiyle veya herhangi bir Kişisel Veri İhlaliyle ilgili olarak Veri Kullanıcılarından veya düzenleme kurullarından gelen talepleri yönetme konusunda Müşteriyle ve Denetleyicilerle makul ölçüde işbirliği yapacaktır. SAP, Kişisel Verilerin işlenmesiyle ilgili olarak Veri Kullanıcılarından aldığı talepler konusunda, bu talepleri, ek Müşteri talimatı (varsa) olmaksızın kendisi yanıtlamadan makul olan en kısa sürede Müşteriyi bilgilendirecektir. SAP, Müşterinin Kişisel Verileri düzeltme ve Bulut Hizmetinden kaldırma veya Veri Koruma Kanunu doğrultusunda işlenmesini sınırlama yetkisini destekleyen bir işlevsellik sağlayacaktır. Bu işlevselliğin sağlanmadığı durumlarda SAP, Kişisel Verileri Müşteri talimatları ve Veri Koruma Kanunu uyarınca düzenleyecek veya kaldıracak ya da bunların işlenmesine sınırlama getirecektir.
3.5 Kişisel Veri İhlali Bildirimi. SAP, Müşterinin, Veri Koruma Kanunu uyarınca gereken şekilde Kişisel Veri İhlalini bildirme yükümlülüğünü yerine getirmesine yardımcı olmak için, herhangi bir Kişisel Veri İhlali durumundan haberdar olduğunda bu durumu fazla gecikmeden Müşteriye bildirecek ve mülkiyetindeki bilgileri Müşteriye sağlayacaktır. SAP, bu bilgileri edindikçe aşamalar halinde sunabilir. Söz konusu bildirim, SAP'nin bir hatayı veya yükümlülüğü kabul ettiği şeklinde yorumlanmayacaktır.
3.6 Veri Koruma Etki Değerlendirmesi. Veri Koruma Kanunu uyarınca Müşterinin (veya Denetleyicilerinin) bir veri koruma etki değerlendirmesi yapması ya da bir düzenleyiciyle ön konsültasyon gerçekleştirmesi gerekirse Müşterinin talebi doğrultusunda SAP, bu belgeleri Bulut Hizmeti için genel olarak kullanıldığı şekliyle sağlayacaktır (örneğin; bu DPA, Anlaşma, denetim raporları veya sertifikalar). İlave yardımlar konusunda Taraflarca karşılıklı olarak anlaşmaya varılacaktır.
4. VERİ DIŞA AKTARMA VE SİLME
4.1 Müşteri tarafından Veri Dışa Aktarma ve Alma. Abonelik Süresi boyunca ve Anlaşmaya tabi olacak şekilde Müşteri, Kişisel Verilerine dilediği zaman erişebilir. Müşteri, Kişisel Verilerini standart bir biçimde dışa aktarabilir ve alabilir. SAP ve Müşterinin, Kişisel Verilere Müşteri erişimine izin vermeye yönelik makul bir yöntem bulması durumunda dışa aktarma ve alma işlemi teknik sınırlamalara tabi olabilir.
4.2 Silme. Abonelik Süresi dolmadan önce Müşteri, SAP'nin self servis dışa aktarma araçlarını (kullanılabilir oldukça) kullanarak Bulut Hizmetinden Kişisel Verilerin son dışa aktarımını gerçekleştirebilir (Kişisel Verilerin "iadesi"). Abonelik Süresi sonunda Müşteri SAP'ye, işbu belgeyle, Bulut Hizmetini barındıran sunucularda kalan Kişisel Verileri, yürürlükteki yasa verilerin saklanmasını gerektirmediği sürece Veri Koruma Kanununa uygun makul bir süre içinde (en fazla altı ay) silmesi için talimat verir.
5. SERTİFİKALAR VE DENETİMLER
5.1 Müşteri Denetimi. Müşterinin SAP için kabul edilebilir bir bağımsız üçüncü taraf denetçisi (SAP'nin rakibi olan veya uygun niteliğe sahip olmayan ya da bağımsız olmayan üçüncü taraf denetçiler hariç) veya Müşteri, SAP'nin SAP tarafından işlenen Kişisel Verilerle ilgili kontrol ortamını veya güvenlik uygulamalarını, şu şartlar altında denetleyebilir:
(a) SAP'nin (i) ISO 27001 veya diğer standartlarla (kapsam, sertifikada belirtildiği şekildedir) uyumluluğunu gösteren bir sertifika ya da (ii) geçerli bir ISAE3402 ve/veya ISAE3000 ya da diğer SOC1-3 tasdik raporu sağlayarak Bulut Hizmetinin canlı kullanım sistemlerini korumaya yönelik teknik ve organizasyonel önlemleri uyguladığına ilişkin yeterli kanıt sağlamaması. Müşterinin talebi üzerine, denetim raporları veya ISO sertifikaları üçüncü taraf denetçi veya SAP aracılığıyla sunulabilir;
(b) Bir Kişisel Veri İhlali meydana gelmesi;
(c) Müşterinin veri koruma yetkilisi tarafından resmi olarak denetim talebinde bulunulması veya
(d) Zorunlu Veri Koruma Kanununun Müşteriye doğrudan bir denetim hakkı sağlaması. Zorunlu Veri Koruma Kanunu daha sık denetim yapılmasını gerektirmediği sürece Müşteri, herhangi bir on iki aylık dönemde yalnızca bir kez denetim gerçekleştirecektir.
5.2 Diğer Denetleyici Denetimi. Tüm diğer Denetleyiciler, Bölüm 5.1 uyarınca SAP'nin SAP tarafından işlenen Kişisel Verilerle ilgili kontrol ortamını ve güvenlik uygulamalarını yalnızca, Bölüm 5.1 altında belirtilen durumlardan birinin söz konusu diğer Denetleyici için geçerli olması durumunda denetleyebilir. Bu tür bir denetim, Veri Konuma Kanunu uyarınca diğer Denetleyici tarafından üstlenilmesi gerekmediği sürece Bölüm 5.1 altında belirtilen şekilde Müşteri aracılığıyla ve Müşteri tarafından yapılmalıdır. Anlaşma temelinde SAP tarafından Kişisel Verileri işlenen birden çok Denetleyici bir denetim talep ederse Müşteri, denetimleri birleştirmek ve çoklu denetimden kaçınmak için tüm makul yöntemleri kullanacaktır.
5.3 Denetim Kapsamı. Zorunlu Veri Koruma Kanunu veya veri korumayla ilgili sorumlu bir yetkili merci daha kısa süre öncesinden bildirimi gerekli kılmadıkça Müşteri, denetimlerle ilgili olarak en az altmış gün önceden bildirimde bulunacaktır. Denetimlerin sıklığı ve kapsamı, makul şekilde ve iyi niyetle hareket eden taraflarca karşılıklı olarak belirlenecektir. Müşteri denetimleri, en fazla üç iş günüyle sınırlı olacaktır. Bu sınırlamaların haricinde taraflar, yinelenen denetimlerden kaçınmak veya bunları en aza indirmek üzere güncel sertifikaları veya diğer denetim raporlarını kullanacaktır. Müşteri, tüm denetim sonuçlarını SAP'ye sunacaktır.
5.4 Denetimlerin Maliyeti. Denetimlerde bu DPA'ya yönelik olarak SAP'nin neden olduğu esaslı bir ihlal ortaya çıkmadığı sürece denetim maliyetleri Müşteri tarafından karşılanacaktır. İhlal olması durumunda ise denetim masrafları SAP'ye aittir. Denetim sonunda SAP'nin DPA kapsamındaki yükümlülüklerinden birini ihlal ettiğinin belirlenmesi durumunda SAP, masrafları kendisine ait olmak üzere, söz konusu ihlali derhal telafi edecektir.
6. ALT İŞLEYİCİLER
6.1 İzin Verilen Kullanım. SAP'ye, aşağıda verilen şartlara tabi olacak şekilde Kişisel Verilerin işlenmesi işini Alt İşleyicilere devretmeye yönelik genel bir yetki verilir:
(a) SAP veya SAP SE kendi adına, Alt İşleyicilerin Kişisel Verileri işlemesi için Alt İşleyicilerle işbu DPA'nın şartlarıyla uyumlu yazılı (elektronik biçimde olabilir) bir sözleşme imzalayacaktır. Bu Anlaşma şartları uyarınca Alt İşleyiciler tarafından gerçekleştirilen tüm ihlallerin sorumluluğu SAP'ye ait olacaktır;
(b) SAP, işbu DPA'nın gerektirdiği Kişisel Veri koruma düzeyini sağlayıp sağlamadığına karar vermeden önce ilgili Alt İşleyicinin güvenlik ve gizlilik uygulamalarını değerlendirmeye alacaktır ve
(c) SAP'nin Anlaşma geçerlilik tarihindeki Alt İşleyici listesi SAP tarafından yayınlanır veya SAP, bu listeyi talep üzerine Müşterinin kullanımına sunacaktır. Liste, SAP'nin Bulut Hizmetini sağlamak için kullandığı her bir Alt İşleyicinin adını, adresini ve rolünü içerecektir.
6.2 Yeni Alt İşleyiciler. SAP'nin Alt İşleyiciler ile birlikte çalışıp çalışmayacağı, aşağıdaki koşullara uygun olmak kaydıyla kendi takdirine bağlıdır:
(a) SAP, yeni Alt İşleyicinin adı, adresi ve rolü dahil olmak üzere Alt İşleyici listesinde yapılması planlanan tüm eklemeler veya değişiklikler konusunda Müşteriyi önceden (e-posta yoluyla veya SAP Support üzerinden kullanılabilen destek portalında yayınlayarak) bilgilendirecektir.
(b) Müşteri, Bölüm 6.3 kapsamında belirtilen şekilde bu değişikliklere itiraz edebilir.
6.3 Yeni Alt İşleyicilere ilişkin İtirazlar.
(a) Kişisel Verilerin yeni Alt İşleyiciler tarafından işlenmesi ile ilgili olarak Veri Koruma Kanunu kapsamında geçerli bir itirazı varsa Müşteri, SAP'ye yazılı bildirimde bulunarak Anlaşmayı (yeni Alt İşleyici kullanımının planlandığı Bulut Hizmetiyle sınırlı şekilde) feshedebilir. Bu feshin geçerlilik tarihi Müşteri tarafından belirlenecek olup SAP'nin yeni Alt İşleyiciyi Müşteriye bildirmesinden sonraki otuz günlük süreyi geçmeyecektir. Fesih işlemini bu otuz gün içinde gerçekleştirmezse Müşterinin, yeni Alt İşleyiciyi kabul ettiği varsayılır.
(b) SAP'nin yeni Alt İşleyiciyi Müşteriye bildirmesinden sonraki otuz günlük süre içinde Müşteri, itirazı bir çözüme kavuşturmak için tarafların iyi niyet çerçevesinde bir araya gelmelerini talep edebilir. Bu görüşmeler, süre bakımından fesih süresini aşmayacak ve SAP'nin otuz günlük sürenin ardından yeni Alt İşleyiciyi/Alt İşleyicileri kullanma hakkını etkilemeyecektir.
(c) Bu Bölüm 6.3 uyarınca gerçekleştirilen fesihler için herhangi bir taraf hatalı kabul edilmeyecek ve bu fesihler, Anlaşmanın şartlarına tabi olacaktır.
6.4 Acil Durum Değişikliği. Değişikliğin nedeni SAP'nin makul kontrolü dışındaysa ve güvenlik veya aciliyet teşkil eden diğer nedenlere bağlı olarak acil bir değişiklik yapılması gerekirse SAP, bildirimde bulunmaksızın bir Alt İşleyiciyi değiştirebilir. Bu durumda SAP, yeni Alt İşleyici atamasından sonra Müşteriyi Alt İşleyici değişikliğiyle ilgili olarak mümkün olan en kısa sürede bilgilendirecektir. Bu doğrultuda Bölüm 6.3 geçerlidir.
7. ULUSLARARASI İŞLEME
7.1 Uluslararası İşleme Koşulları. SAP, Kişisel Verileri, Veri Koruma Kanununda izin verilen şekilde, bu DPA uyarınca Alt İşleyici kullanarak işlemek de dahil olmak üzere, Müşterinin bulunduğu ülke dışında da işleme yetkisine sahip olacaktır.
7.2 Standart Sözleşme Maddeleri. (i) EEA veya İsviçre merkezli bir Denetleyiciye ait Kişisel Verilerin EEA veya İsviçre dışında ve Avrupa Birliği tarafından GDPR Madde 45 kapsamında yeterli veri koruma düzeyine sahip ve güvenli kabul edilen herhangi bir ülke, organizasyon ya da bölge dışında işlenmesi veya (ii) başka bir Denetleyiciye ait Kişisel Verilerin uluslararası olarak işlenmesi ya da bu uluslararası işlemenin, Denetleyicinin bulunduğu ülkede geçerli olan yasalar uyarınca bir yeterlilik yöntemi gerektirmesi ve gereken yeterlilik yönteminin Standart Sözleşme Maddeleri imzalanarak karşılanabiliyor olması durumunda:
(a) SAP ve Müşteri Standart Sözleşme Xxxxxxxxxxx imzalar;
(b) Müşteri şu yöntemlerden birini kullanarak her bir ilgili Alt İşleyiciyle Standart Sözleşme Maddelerini imzalar: (i) Müşteri, SAP veya SAP SE ile Alt İşleyici arasında imzalanmış Standart Sözleşme Maddelerine, bağımsız bir hak ve yükümlülük sahibi olarak katılır ("Katılım Modeli") veya (ii) Alt İşleyici (SAP tarafından temsil edilen) Standart Sözleşme Maddelerini Müşteriyle imzalar ("Karar Yetkisi Modeli"). SAP, 6.1(c) altında sağlanan Alt İşleyici listesi veya Müşteriye yönelik bir bildirim yoluyla bir Alt İşleyicinin uygunluğunu açık bir şekilde onaylarsa Karar Yetkisi Modeli geçerli olacaktır ve/veya
(c) Bulut Hizmetleri kullanımı konusunda Anlaşma uyarınca Müşteri tarafından yetkilendirilen diğer Denetleyiciler de yukarıdaki Bölüm 7.2 (a) ve (b) doğrultusunda Müşteriyle aynı şekilde SAP ve/veya ilgili Alt İşleyiciler ile Standart Sözleşme Maddelerini imzalayabilir. Böyle bir durumda Standart Sözleşme Xxxxxxxxxxx diğer Denetleyiciler adına Müşteri imzalayacaktır.
7.3 Standart Sözleşme Maddelerinin Anlaşmayla İlişkisi. Anlaşmadaki hiçbir madde, Standart Sözleşme Maddelerinin çelişkili maddesinden üstün olacağı şeklinde yorumlanamaz. Şüpheye mahal vermemek adına, DPA'nın bölüm 5 ve 6 kapsamında başka denetim ve alt işleyici kuralları belirttiği durumlarda bu belirtimler Standart Sözleşme Maddeleri için de geçerli olur.
7.4 Standart Sözleşme Maddeleri için Geçerli Yasalar. Standart Sözleşme Maddeleri için ilgili Denetleyicinin kurulu olduğu ülkenin yasaları geçerli olacaktır.
8. DOKÜMANTASYON; İŞLEME KAYITLARI
Taraflar dokümantasyon gereksinimlerine uymaktan ve özellikle Veri Koruma Kanunu uyarınca gerekli olduğu durumlarda işleme kayıtlarının bakımını yapmaktan sorumludur. Taraflardan her biri diğer tarafı işleme kayıtlarının bakımıyla ilgili yükümlülüklere uymasını sağlamak için, söz konusu tarafın ihtiyaç duyduğu bilgileri, yine söz konusu tarafın makul biçimde talep ettiği şekilde (elektronik sistem kullanmak gibi) sağlamak da dahil olmak üzere dokümantasyon gereksinimleri konusunda makul ölçüde destekleyecektir.
9. AB ERİŞİMİ
9.1 İsteğe Bağlı Hizmet. AB Erişimi, SAP tarafından sunulabilecek olan isteğe bağlı bir hizmettir. AB Erişimine tabi tutulacağı, Sipariş Formunda açıkça belirtilen uygun Bulut Hizmetleri için Sipariş Formunda kabul edilmesi durumunda SAP, bu Bölüm 9 uyarınca Bulut Hizmetlerini yalnızca canlı kullanım örnekleri için sağlayacaktır. AB Erişimi Sipariş Formunda kabul edilmemişse bu Bölüm 9 geçerli olmayacaktır.
9.2 AB Erişimi. SAP, Bulut Hizmeti kapsamındaki Kişisel Verilere erişim gerektiren desteği sağlamak için yalnızca Avrupa Alt İşleyicilerini kullanacaktır ve SAP, olay bazında veya Bölüm 9.4 kapsamında hariç tutulduğu şekilde Müşteri tarafından yazılı olarak (e-postaya izin verilir) yetkilendirilmedikçe Kişisel Verileri EEA veya İsviçre dışına ihraç etmeyecektir.
9.3 Veri Merkezinin Konumu. Anlaşmanın geçerlilik tarihinden itibaren, Bulut Hizmetindeki Kişisel Verilerin barındırılması için kullanılan Veri Merkezleri, EEA veya İsviçre'de bulunacaktır. SAP, Müşterinin önceden yazılı izni (e-postaya izin verilir) olmaksızın Müşteri örneğini, EEA veya İsviçre dışında bulunan bir Veri Merkezine taşımayacaktır. SAP, Müşteri örneğini EEA veya İsviçre'deki bir Veri Merkezine taşımayı planlıyorsa planlanan geçişten önceki otuz gün içinde Müşteriyi yazılı olarak (e-postaya izin verilir) bilgilendirecektir.
9.4 Hariç Tutulanlar. Aşağıdaki Kişisel Veriler 9.2 ve 9.3 kapsamında belirtilenlere tabi değildir:
(a) Destek çağrısı gönderen kişilerin iletişim bilgileri ve
(b) Destek çağrısı açılırxxx Xxxxxxx tarafından gönderilen diğer tüm Kişisel Veriler. Müşteri, destek çağrısı açarken Kişisel Veri aktarmamayı tercih edebilir. Olay yönetim süreci için bu veriler gerekliyse Müşteri, olay iletisini SAP'ye iletmeden önce bu Kişisel Verileri anonimleştirmeyi tercih edebilir.
10. TANIMLAR
Burada tanımları verilmemiş büyük harfle başlayan terimler, Anlaşmada belirtilen anlamları taşıyacaktır.
10.1 "Denetleyici (“Veri Sorumlusu”)" tek başına veya başkalarıyla birlikte Kişisel Verilerin işlenme amaçlarını ve araçlarını belirleyen kişi veya tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir; bu DPA'nın amaçları doğrultusunda, Müşterinin başka bir denetleyici için işleyici olarak görev yaptığı durumlarda SAP tarafından işbu DPA kapsamındaki ilgili denetleyici hak ve yükümlülüklerine sahip ilave ve bağımsız denetleyici olarak değerlendirilecektir.
10.2 "Veri Merkezi" Müşteri için kendi bölgesinde barındırılan Bulut Hizmetinin canlı kullanım örneğinin bulunduğu konum anlamına gelir. Bu konum xxxx://xxx.xxx.xxx/xxxxxxxxx- en/about/our-company/policies/data-privacy-and-security/location-of-data-center.html adresinde yayınlanır, Müşteriye bildirilir ya da Sipariş Formunda belirtilir.
10.3 "Veri Koruma Kanunu" kişilerin Anlaşma kapsamında Kişisel Verilerin işlenmesine ilişkin temel haklarını, özgürlüklerini ve gizlilik haklarını koruyan geçerli yasalar anlamına gelir (ve Müşteri adına SAP tarafından Kişisel Verilerin işlenmesi konusunda taraflar arasındaki ilişkiyle ilgili olduğu kadarıyla, Kişisel Verilerin GDPR'ye tabi olup olmamasından bağımsız şekilde, asgari bir standart olarak GDPR'yi içerir).
10.4 "Veri Kullanıcısı (“İlgili Kişi)" Veri Koruma Kanunu tarafından tanımlanan şekilde kimliği belirlenmiş veya belirlenebilir bir gerçek kişi anlamına gelir.
10.5 "EEA" Avrupa Ekonomik Bölgesi (İzlanda, Lihtenştayn ve Norveç ile birlikte Avrupa Birliği Üyesi Devletler) anlamına gelir.
10.6 "Avrupa Alt İşleyicisi" Kişisel Verileri fiziksel olarak EEA veya İsviçre'de işleyen Alt İşleyici anlamına gelir.
10.7 "Kişisel Veriler" Veri Koruma Kanunu kapsamında korunan bir Veri Kullanıcısı ile ilgili tüm bilgileri ifade eder. DPA'nın amaçları doğrultusunda yalnızca (i) Müşteri veya Yetkili Kullanıcıları tarafından girilen ya da bunların Bulut Hizmeti kullanımından türetilen veya (ii) Anlaşma kapsamında destek sağlamak üzere SAP veya Alt İşleyicileri tarafından sağlanan veya erişilen kişisel verileri içerir. Kişisel Veriler, bir Müşteri Verileri alt kümesidir (Anlaşma kapsamında tanımlandığı şekilde).
10.8 "Kişisel Veri İhlali" (1) Kişisel Verilerin kaza sonucu veya yasa dışı olarak yok edilmesi, kaybolması, değiştirilmesi, yetkisiz ifşası veya verilere yetkisiz üçüncü taraflarca erişilmesi ile ilgili onaylanmış bir durumu ya da (2) Kişisel Verilerin bulunduğu benzer bir onaylanmış olayı ifade eder. Veri Koruma Kanunu uyarınca her iki durum için de Denetleyicinin yetkili veri koruma mercilerine veya Veri Kullanıcılarına bildirimde bulunması gerekmektedir.
10.9 "İşleyici" kişisel verileri denetleyici adına işleyen bir kişi, tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir; doğrudan bir denetleyicinin işleyicisi veya dolaylı olarak kişisel verileri denetleyici adına işleyen bir işleyicinin alt işleyicisi olabilir.
10.10 "Standart Sözleşme Maddeleri" veya zaman zaman adlandırıldığı şekilde "AB Model Maddeleri", (Standart Sözleşme Maddeleri (işleyiciler)) veya Avrupa Komisyonu tarafından yayınlanan daha sonraki herhangi bir versiyonu (otomatik olarak geçerli olur) anlamına gelir.
10.11 "Alt İşleyici" SAP Bağlı Şirketleri, SAP SE, SAP SE Bağlı Şirketleri ve SAP, SAP SE ya da SAP SE'nin Bağlı Şirketleriyle, Bulut Hizmetiyle ilgili olarak ilişki içinde bulunan ve bu DPA uyarınca Kişisel Verileri işleyen üçüncü tarafları ifade eder.
DPA ve geçerliyse Standart Sözleşme Maddeleri için Ek 1
Veri Dışa Aktaran
Veri Dışa Aktaran, Yetkili Kullanıcıların Kişisel Veri girmesine, değiştirmesine, kullanmasına, silmesine veya bu verileri başka şekilde işlemesine olanak sağlayan bir Bulut Hizmetine abone olan Müşteridir. Müşteri, Bulut Hizmetini başka Denetleyicilerin de kullanmasına izin verirse bu Denetleyiciler de Veri Dışa Aktaran olarak adlandırılır.
Veri İçe Aktaran
SAP ve Alt İşleyicileri, aşağıdaki destek hususlarını içeren Bulut Hizmetini sağlar:
SAP SE Bağlı Şirketleri, SAP'nin Operasyonlar/Bulut Dağıtımı kolunda personel çalıştırdığı St. Leon/Rot (Almanya), Hindistan ve diğer konumlardaki SAP tesislerinden Bulut Hizmeti veri merkezlerine uzaktan destek sağlar. Destek kapsamında şunlar yer almaktadır:
• Bulut Hizmetinin izlenmesi
• Bulut Hizmetinde depolanan Müşteri Verilerinin yedeklenmesi ve geri yüklenmesi
• Bulut Hizmetine yönelik düzeltmelerin ve yükseltmelerin kullanıma sunulması ve geliştirilmesi
• Temel Bulut Hizmeti altyapısının ve veri tabanının izlenmesi, sorunlarının giderilmesi ve yönetilmesi
• Güvenliğin izlenmesi, ağ tabanlı saldırı tanıma desteği, sızma testleri
Bir Müşteri, Bulut Hizmetini kullanamadığını veya hizmetin, Yetkili Kullanıcıların bir kısmı ya da tümü için beklendiği gibi çalışmadığını bildiren bir destek çağrısı gönderdiğinde SAP SE Bağlı Şirketleri destek sağlar. SAP telefonları yanıtlar, temel sorun giderme işlemlerini gerçekleştirir ve destek çağrılarını Bulut Hizmetinin canlı kullanım örneğinden ayrı bir izleme sisteminde yönetir.
Veri Kullanıcıları
Veri Dışa Aktaran tarafından aksi belirtilmedikçe, aktarılan Kişisel Veriler şu Veri Kullanıcısı kategorileri ile ilgilidir: çalışanlar, yükleniciler, iş ortakları veya Kişisel Verileri Bulut Hizmetinde depolanmış diğer kişiler.
Veri Kategorileri
Aktarılan Kişisel Veriler, aşağıdaki veri kategorileri ile ilgilidir:
Müşteri, abone olunan her Bulut Hizmeti için veri kategorilerini belirler. Müşteri, veri alanlarını Bulut Hizmetinin uygulanması sırasında veya Bulut Hizmeti kapsamında belirtilen şekilde konfigüre edebilir. Aktarılan Kişisel Veriler genellikle şu veri kategorileri ile ilgilidir: ad, telefon numaraları, e-posta adresi, saat dilimi, adres verileri, sistem erişimi/kullanımı/yetkilendirme verileri, şirket adı, sözleşme verileri ve fatura verilerinin yanı sıra banka hesap verileri, kredi kartı veya banka kartı verileri dahil olmak üzere Yetkili Kullanıcıların Bulut Hizmeti içinde girdiği uygulamaya özel veriler.
Özel Veri Kategorileri (Varsa)
Aktarılan Kişisel Veriler şu özel veri kategorileri ile ilgilidir: Varsa Anlaşmada (Sipariş Formu dahil) belirtildiği şekilde.
İşleme İşlemleri/Amaçları
Aktarılan Kişisel Veriler, aşağıdaki temel işleme aktivitelerine tabidir:
• Bulut Hizmetinin kurulması, çalıştırılması, izlenmesi ve sağlanması için Kişisel Verilerin kullanılması (Operasyonel ve Teknik Destek dahil)
• Danışmanlık Hizmetlerinin sağlanması;
• Yetkili Kullanıcılar ile iletişim kurulması;
• Kişisel Verilerin belirlenen Veri Merkezlerinde depolanması (çok kiracılı mimari)
• Tüm düzeltmelerin veya yükseltmelerin Bulut Hizmetine yüklenmesi
• Kişisel Verilerin yedeklenmesi
• Kişisel Verilerin veri iletimi, veri alımı ve veri erişimi dahil olmak üzere bilgisayarda işlenmesi
• Kişisel Veri aktarımının gerçekleşebilmesi için ağ erişimi
• Müşterinin talimatlarının Anlaşmaya uygun şekilde uygulanması.
DPA ve geçerliyse Standart Sözleşme Maddeleri için Ek 2 - Teknik ve Organizasyonel
Önlemler
1. TEKNİK VE ORGANİZASYONEL ÖNLEMLER
Aşağıdaki bölümlerde SAP'nin geçerli teknik ve organizasyonel önlemleri tanımlanmıştır. SAP, benzer veya daha iyi düzeyde güvenlik sağladığı sürece bu önlemlerde dilediği zaman önceden bildirmeksizin değişiklik yapabilir. Münferit önlemler, Kişisel Verileri korumaya yönelik güvenlik düzeyini ihlal etmeden aynı amaca hizmet eden yeni önlemlerle değiştirilebilir.
1.1 Fiziksel Erişim Denetimi. Yetkisiz kişilerin, Kişisel Verileri işleyen ve/veya kullanan veri işleme sistemlerinin bulunduğu tesislere, binalara veya odalara fiziksel erişimi önlenir.
Önlemler:
• SAP, SAP Güvenlik İlkesine dayalı uygun yöntemleri kullanarak varlıklarını ve tesislerini korur.
• Genelde binalar erişim denetim sistemleri (örneğin, akıllı kart erişim sistemi) aracılığıyla korunur.
• Minimum gereksinim olarak binanın en dışında bulunan giriş noktaları, modern etkin anahtar yönetimini içeren sertifikalı bir anahtar sistemi teçhizatına sahip olmalıdır.
• Güvenlik sınıflandırmasına bağlı olarak, binalar, münferit alanlar ve civardaki tesisler ek önlemler alınarak daha fazla korunabilir. Bunlara özel erişim profilleri, güvenlik kameraları, hırsız alarm sistemleri ve biyometrik erişim denetim sistemleri dahildir.
• Sistem ve Veri Erişim Denetimi önlemleri (aşağıdaki Bölüm 1.2 ve 1.3'e bakın) doğrultusunda bireysel olarak yetkili kişilere erişim hakları verilir. Bu aynı zamanda ziyaretçi erişimi için de geçerlidir. SAP binalarına gelen misafirler ve ziyaretçiler resepsiyona adlarını kaydettirmeli ve yetkili SAP personeli tarafından bu kişilere eşlik edilmelidir.
• SAP çalışanları ve şirket dışı personel, kimlik kartlarını tüm SAP konumlarında takmalıdır. Veri Merkezlerine yönelik ek önlemler:
• Tüm Veri Merkezleri, ekipmanların ve Veri Merkezi tesislerinin zarar görmesini önleme amacıyla korumalar, güvenlik kameraları, hareket algılayıcılar, erişim denetim mekanizmaları ve diğer önlemler ile zorunlu kılınan sıkı güvenlik önlemlerine bağlı kalır. Veri Merkezi tesislerindeki sistemlere ve altyapıya yalnızca yetkili temsilciler erişebilir. Uygun işlevselliğin korunması için fiziksel güvenlik ekipmanlarının (örneğin, hareket algılayıcılar, kameralar vb.) bakımı düzenli olarak yapılır.
• SAP ve tüm üçüncü taraf Veri Merkezi sağlayıcıları, Veri Merkezlerinde SAP'nin gizli alanlarına giren yetkili personelin adlarını ve girdikleri zamanı kaydeder.
1.2 Sistem Erişim Denetimi. Bulut Hizmeti sağlamak için kullanılan veri işleme sistemlerinin yetkisiz kullanımı önlenmelidir.
Önlemler:
• Kişisel Verileri depolayan ve işleyenler dahil olmak üzere hassas sistemlere erişime izni verilirken birden fazla yetkilendirme düzeyi kullanılır. Yetkilendirmeler, SAP Güvenlik İlkesine göre tanımlanan süreçler aracılığıyla yönetilir
• Tüm personel SAP sistemlerine benzersiz tanıtıcı (kullanıcı kimliği) ile erişir.
• SAP, talep edilen yetki değişikliklerinin yalnızca SAP Güvenlik İlkesine uygun şekilde uygulandığından emin olmak için prosedürlerden (örneğin, yetki olmadan herhangi bir hak sağlanmaması) yararlanır. Şirketten ayrılan personelin erişim hakları iptal edilir.
• SAP, parolaların paylaşılmasını yasaklayan, bir parola ifşa edildiğinde ne yapılması gerektiğini belirten, parolaların düzenli olarak değiştirilmesini ve varsayılan parolaların değiştirilmesini gerektiren bir parola ilkesine sahiptir. Kimlik doğrulama için kişisel kullanıcı kimlikleri atanır. Tüm parolalar belirtilen minimum gereksinimleri karşılamalıdır ve şifrelenmiş biçimde depolanırlar. Etki alanı parolaları konusunda sistem, karmaşık parola gereksinimlerine uygun şekilde her altı ayda bir parola değişikliğini zorunlu kılar. Her bilgisayarın parola korumalı bir ekran koruyucusu vardır.
• Şirket ağı, ortak ağdan güvenlik duvarıyla korunur.
• SAP, şirket ağına erişim noktalarında (e-posta hesapları için), tüm dosya sunucularında ve tüm çalışma istasyonlarında güncel bir virüsten koruma yazılımı kullanır.
• İlgili güvenlik güncellemelerinin düzenli ve dönemsel dağıtımını sağlamak üzere bir güvenlik yaması yönetimi uygulanır. SAP'nin kurumsal ağına ve önemli altyapısına tam uzaktan erişim, güçlü kimlik doğrulama ile korunur.
1.3 Veri Erişim Denetimi. Veri işleme sistemlerini kullanma yetkisi olan kişilerin yalnızca erişim hakkına sahip olduğu Kişisel Verilere erişmesi ve Kişisel Verilerin işleme, kullanım ve depolama sırasında yetki verilmeden okunmaması, kopyalanmaması, değiştirilmemesi veya silinmemesi gerekir.
Önlemler:
• SAP Güvenlik İlkesinin bir parçası olarak Kişisel Veriler için, SAP'nin Bilgi Sınıflandırma standardına göre "gizli" bilgiler ile en az aynı koruma düzeyi gereklidir.
• Kişisel Verilere erişim, bilinmesi gereken (need-to-know) temelinde sağlanır. Personelin, görevlerini yerine getirmeleri için gereken bilgilere erişimi vardır. SAP, yetki verme süreçlerini ve hesap başına tayin edilen rolleri açıklayan yetki konseptlerinden yararlanır. Tüm Müşteri Verileri, SAP Güvenlik İlkesi uyarınca korunur.
• Tüm canlı kullanım sunucuları, Veri Merkezlerinde veya sunucu odalarında çalıştırılır. Kişisel Verileri işleyen uygulamaları koruyan güvenlik önlemleri düzenli olarak denetlenir. SAP bu amaçla BT sistemlerinde şirket içi ve şirket dışı denetimlerin yanı sıra sızma testleri gerçekleştirir.
• SAP, SAP tarafından onaylanmayan yazılımların yüklenmesine izin vermez.
• Artık gerekli olmayan veri ve veri taşıyıcıların nasıl silineceği veya imha edileceği, bir SAP güvenlik standardı ile belirlenir.
1.4 Veri Aktarım Denetimi. Anlaşmaya uygun olarak Bulut Hizmetlerinin sağlanması için gerekli olduğu durumlar haricinde, Kişisel Veriler aktarım sırasında yetki verilmeksizin okunamaz, kopyalanamaz, değiştirilemez veya silinemez. Veri taşıyıcılar fiziksel olarak taşınırken, kabul edilen hizmet düzeylerinin sağlanabilmesi için gereken önlemler (örneğin, şifreleme, kurşun kaplamalı muhafaza kutuları) alınmalıdır.
Önlemler:
• Kişisel Verilerin SAP dahili ağları üzerinden aktarımı, SAP Güvenlik İlkesi doğrultusunda korunur.
• Veriler SAP ve müşterileri arasında aktarılırken, aktarılan Kişisel Veriler ile ilgili koruma önlemleri üzerinde karşılıklı olarak anlaşmaya varılır ve bunlar ilgili anlaşmanın bir parçası haline gelir. Bu, hem fiziksel hem de ağ tabanlı veri aktarımı için geçerlidir. Her durumda Müşteri, SAP tarafından denetlenen sistemler dışında gerçekleşen tüm veri aktarımlarının (örneğin, SAP Veri Merkezinin güvenlik duvarı dışında gerçekleşen veri aktarımları) sorumluluğunu kabul eder.
1.5 Veri Giriş Denetimi. Kişisel Verilerin kim tarafından girildiği, değiştirildiği veya SAP veri işleme sistemlerinden silindiği geriye dönük olarak incelenip tespit edilebilir.
Önlemler:
• SAP, görevlerini yerine getirmek amacıyla yalnızca yetkili personelin Kişisel Verilere erişmesine izin verir.
• SAP, Bulut Hizmetlerinde, Kişisel Verilerin SAP veya alt işleyicileri tarafından girilmesi, değiştirilmesi, silinmesi veya engellenmesi için teknik olarak mümkün olan en kapsamlı ölçüde bir kayıt sistemi uygulamıştır.
1.6 İş Denetimi. Başkası adına işlenen Kişisel Verilerin (örneğin, bir müşterinin adına işlenen Kişisel Veriler) yalnızca Anlaşma ve müşterinin ilgili talimatları doğrultusunda işlenmesi gerekir.
Önlemler:
• SAP; SAP ve müşterileri, alt işleyicileri veya diğer hizmet sağlayıcıları arasındaki sözleşmelere uyumu izlemek için denetimlerden ve süreçlerden yararlanır.
• SAP Güvenlik İlkesinin bir parçası olarak Kişisel Veriler için, SAP'nin Bilgi Sınıflandırma standardına göre "gizli" bilgiler ile en az aynı koruma düzeyi gereklidir.
• Tüm SAP çalışanları ve sözleşmeli alt işleyiciler ya da diğer hizmet sağlayıcıları sözleşme gereğince SAP müşterilerinin ve iş ortaklarının ticari sırları da dahil olmak üzere tüm hassas bilgilere ilişkin gizliliğe uygun şekilde hareket etmek zorundadır.
1.7 Kullanılabilirlik Denetimi. Kişisel Veriler kaza sonucu veya yetkisiz imha veya kayıp durumlarına karşı korunur.
Önlemler:
• SAP, gerekli olduğu durumlarda kritik iş sistemlerinin geri yüklenmesini sağlamak için düzenli yedekleme işlemleri çalıştırır.
• SAP, Veri Merkezlerinde bulunan elektriği korumak üzere kesintisiz güç kaynaklarından (örneğin: UPS, pil, jeneratörler vb.) yararlanır.
• SAP kritik iş süreçleri için acil durum planları tanımlamıştır ve Dokümantasyonda daha kapsamlı olarak açıklanan ya da ilgili Bulut Hizmetine ilişkin Sipariş Formuna dahil edilen şekilde kritik iş Hizmetleri için olağanüstü durum kurtarma stratejileri sunabilir.
• Acil durum süreçleri ve sistemleri düzenli olarak test edilir.
1.8 Veri Ayırma Denetimi. Kişisel Veriler farklı amaçlar için toplanır ve ayrı işlenebilir. Önlemler:
• SAP, dağıtılan yazılımın teknik özelliklerini (örneğin, çoklu kiralama veya ayrı sistem altyapıları) kullanarak birçok müşteriden alınan Kişisel Veriler arasında veri ayrımı yapar.
• Müşteri (Denetleyicileri dahil) yalnızca kendi verilerine erişebilir.
• Müşterinin destek olayının işlenmesi için Kişisel Verilerin gerekli olduğu durumlarda veriler, söz konusu iletiye atanır ve yalnızca bu iletinin işlenmesi için kullanılır; diğer herhangi bir iletinin işlenmesi için bu verilere erişilmez. Bu veriler, özel destek sistemlerinde depolanır.
1.9 Veri Bütünlüğü Denetimi. İşleme aktiviteleri sırasında Kişisel Verilere dokunulmaz; veriler, eksiksiz ve geçerli kalır.
Önlemler:
SAP, yetkisiz değişikliklere karşı koruma olarak çok katmanlı bir savunma stratejisi uygulamıştır. Hususi olarak SAP, yukarıda açıklanan denetim ve önlem bölümlerini uygulamak üzere aşağıdakileri kullanır. Özellikle:
• Güvenlik duvarları;
• Güvenlik İzleme Merkezi;
• Virüsten koruma yazılımı;
• Yedekleme ve kurtarma;
• Harici ve dahili sızma testleri;
• Güvenlik önlemlerini sınayacak düzenli harici denetimler.
DPA ve geçerliyse Standart Sözleşme Maddeleri için Ek 3
Aşağıdaki tabloda ilgili GDPR Maddeleri ve karşılık gelen DPA şartları yalnızca gösterim amaçlı olarak verilmiştir.
GDPR Maddesi | DPA Bölümü | Bölümü görmek için bağlantıya tıklayın |
28(1) | 2 ve Ek 2 | İşleme Güvenliği ve Ek 2, Teknik ve |
28(2), 28(3) (d) ve 28 (4) | ||
28 (3) 1. cümle | ||
28(3) (a) ve 29 | Müşterinin Talimatları. Yasal Gereksinim uyarınca | |
28(3) (b) | Personel. | |
28(3) (c) ve 32 | 2 ve Ek 2 | İşleme Güvenliği ve Ek 2, Teknik ve |
28(3) (e) | ||
28(3) (f) ve 32-36 | 2 ve Ek 2, 3.5, | İşleme Güvenliği ve Ek 2, Teknik ve Organizasyonel Önlemler. Kişisel Veri İhlali Bildirimi. Veri Koruma Etki Değerlendirmesi. |
28(3) (g) | VERİ DIŞA AKTARMA VE SİLME dışa aktarma ve Silme. | |
28(3) (h) | SERTİFİKALAR VE DENETİMLER. | |
28 (4) | ALT İŞLEYİCİLER. | |
30 | DOKÜMANTASYON; İŞLEME KAYITLARI kayıtları | |
46(2) (c) | Standart Sözleşme Maddeleri. |
Ek 4 (ALTERNATİF)
STANDART SÖZLEŞME MADDELERİ (İŞLEYİCİLER)
1
Kişisel verilerin yeterli düzeyde veri korumasına sahip olmayan üçüncü ülkelerdeki işleyicilere aktarılmasıyla ilgili 95/46/EC numaralı Direktifin 26(2) numaralı maddesi (veya 25 Mayıs 2018'den sonra, 2016/79 sayılı Yönetmeliğin 44. Maddesi ve sonraki sayfaları) uyarınca
Xxxxxxx (aynı zamanda diğer Denetleyiciler adına)
(bundan sonraki Maddelerde "veri dışa aktaran" olarak anılacaktır)
ve
SAP
(bundan sonraki Maddelerde "veri içe aktaran" olarak anılacaktır) ikisi tek tek "taraf", birlikte "taraflar",
Ek 1'de belirtilen kişisel verilerin veri dışa aktaran tarafından veri içe aktarana aktarılmasıyla ilgili olarak, bireylerin kişisel ve temel haklarının ve özgürlüklerinin korunması konusundaki yeterli güvenliği sağlamak üzere aşağıdaki Sözleşme Maddeleri (Maddeler) üzerinde ANLAŞMAYA VARMIŞLARDIR.
Madde 1
Tanımlar
Bu Maddelerde:
(a) ‘kişisel veriler’, ‘kişisel veri kategorileri’, ‘xxxxx/xxxxxx’, ‘xxxxxxx’, ‘xxxxxxx’, ‘xxxx xxxxxxxxxxx’ ve ‘düzenleyici otorite’, Avrupa Parlamentosu'nun 95/46/EC sayılı Direktifi ve 24 Ekim 1995 tarihli Konseyinin kişisel verilerin korunması ve bu verilerin serbest hareketiyle ilgili olarak bireylerin korunması belgelerindeki anlamlarına sahip olacaktır;
(b) ‘veri dışa aktaran’, kişisel verileri aktaran denetçi anlamına gelir;
(c) ‘veri içe aktaran’, veri dışa aktarandan kişisel verileri adına işlemek üzere talimatları ve Maddelerin şartları çerçevesinde almayı kabul eden ve 95/46/EC Direktifinin 25(1) Maddesi uyarınca yeterli koruma sağlayan bir üçüncü ülkenin sistemine tabi olmayan işleyiciyi ifade eder;
(d) ‘alt işleyici’, veri içe aktaran tarafından veya veri içe aktaranın herhangi bir alt işleyicisi tarafından iş verilen ve veri içe aktarandan veya veri içe aktaranın herhangi bir alt işleyicisinden kişisel verileri yalnızca veri dışa aktaranın adına ve talimatlarına, Maddelerin şartlarına ve yazılı alt sözleşmenin şartlarına uygun bir şekilde işleme faaliyetleri gerçekleştirmek üzere almayı kabul eden tarafı ifade eder;
(e) ‘ilgili veri koruma kanunları’, bireylerin temel hak ve özgürlüklerini ve özellikle kişisel verilerinin işlenmesiyle ilgili gizliliklerini koruyan ve veri dışa aktaranın kurulu olduğu Üye Ülkedeki veri denetleyici için geçerli olan yasaları ifade eder;
1 5 Şubat 2010 (2010/87/EU) Komisyon Kararı Uyarınca
(f) ‘teknik ve kurumsal güvenlik önlemleri’, kişisel verilerin kaza sonucu veya yasalara aykırı bir şekilde silinmesini veya kaza sonucu kaybedilmesini, değiştirilmesini, yetkisiz ifşa veya erişime maruz kalmasını ve özellikle işlemenin verilerin ağ üzerinden iletilmesinin söz konusu olduğu ve diğer her türlü yasa dışı işleme şekillerine karşı uygulanan tüm önlemleri ifade eder.
Madde 2
Aktarımın ayrıntıları
Aktarımın ayrıntıları ve özellikle kişisel verilerin özel kategorileri, Maddelerin ayrılmaz bir parçasını oluşturan İlave 1 belgesinde belirtilmiştir.
Madde 3
Üçüncü taraf lehtar maddesi
1. Veri kullanıcısı, veri dışa aktarana bu Madde, Madde 4(b) - (i), Madde 5(a) - (e) ve (g)
- (j), Madde 6(1) ve (2), Madde 7, Madde 8(2) ve Madde 9 - 12 uyarınca üçüncü taraf lehtar olarak işlem yapabilir.
2. Veri kullanıcısı, veri içe aktarana bu Madde, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 - 12 uyarınca, veri dışa aktaranın halefinin veri dışa aktaranın tüm yasal yükümlülüklerini sözleşme veya yasalar aracılığıyla üzerine aldığı ve bunun sonucu olarak veri dışa aktaranın haklarını ve yükümlülüklerini üzerine aldığı ve bu durumda veri kullanıcısının bu kuruluşa karşı işlem yapabileceği durumlar haricinde veri dışa aktaranın yasalar karşısında varlık gösteremediği durumlarda işlem yapabilir.
3. Veri kullanıcısı, alt işleyiciye bu Madde, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 - 12 uyarınca, veri dışa aktaranın halefinin veri dışa aktaranın tüm yasal yükümlülüklerini sözleşme veya yasalar aracılığıyla üzerine aldığı ve bunun sonucu olarak veri dışa aktaranın haklarını ve yükümlülüklerini üzerine aldığı ve bu durumda veri kullanıcısının bu kuruluşa karşı işlem yapabileceği durumlar haricinde veri dışa aktaranın ve veri içe aktaranın yasalar karşısında varlık gösteremediği veya çözüme ulaşamadığı durumlarda işlem yapabilir. Alt işleyicinin bu üçüncü taraf yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır.
4. Taraflar veri kullanıcısının açıkça belirttiği ve ulusal yasaların izin verdiği durumda veri kullanıcısının bir kuruluş veya başka bir kurum tarafından temsil edilmesine karşı çıkmaz.
Madde 4
Veri dışa aktaranın yükümlülükleri
Veri dışa aktaran şu maddeleri kabul ve garanti eder:
(a) kişisel verilerin aktarılması dahil olmak üzere işlenmesi ilgili veri koruma kanunlarının ilgili hükümleri çerçevesinde gerçekleştirilecek (ve uygun olduğu durumlarda veri dışa aktaranın kurulu olduğu Üye Ülkenin yetkilileri bilgilendirilecektir) ve ilgili Devletin ilgili hükümlerini ihlal etmeyecektir;
(b) kişisel veri işleme hizmetlerinin süresi boyunca veri içe aktaranı kişisel verilerin yalnızca veri dışa aktaranın adına ve ilgili veri koruma kanunları ve Maddeler çerçevesinde yapılacağını belirtecektir;
(c) veri içe aktaran, bu sözleşmenin Ek 2 belgesinde belirtilen teknik ve kurumsal güvenlik önlemleriyle ilgili yeterli garantileri verecektir;
(d) ilgili veri koruma kanunlarının gereksinimlerinin değerlendirilmesinin ardından kişisel verileri kaza sonucu veya yasa dışı yok etme veya kaza sonucu kayıp, değiştirme, yetkisiz ifşa veya erişime karşı korumak için alt işleyici tarafından gerekli güvenlik önlemleri alınacaktır, özellikle işlemenin verilerin bir ağ üzerinden aktarıldığı durumlar ve diğer tüm yasa dışı işleme biçimleri buna dahil edilecektir ve bu önlemler, veriler ve işlenmesi sonucunda ortaya çıkan risklere karşı yeterli düzeyde koruma sağlayacaktır ve korunacak veriler için gerekli olan son teknoloji sistemler ve bunların uygulaması makul şekilde yapılacaktır;
(e) güvenlik önlemlerine uyacaktır;
(f) veri aktarımının özel veri kategorilerini içermesi halinde veri kullanıcısının verilerin 95/46/EC Direktifine uygun yeterli koruma sağlamayan bir üçüncü ülkeye iletilebileceği konusunda önceden veya aktarımın hemen ardından bilgilendirilmesini sağlayacaktır;
(g) veri dışa aktaranın aktarımın devam etme veya askıya alınma durumunu kaldırma kararı vermesi halinde veri içe aktarandan veya alt işleyicilerden gelen bildirimleri Madde 5(b) ve Madde 8(3) uyarınca veri koruma düzenleyici otoritesine iletecektir;
(h) veri kullanıcılarına istek üzerine Maddelerin Ek 2 hariç bir kopyasını ve güvenlik önlemlerinin açıklamalarının yanı sıra Maddelere uygun şekilde yapılması gereken alt işleme hizmetleriyle ilgili sözleşmelerin kopyasını sunacaktır, Maddelerin veya sözleşmenin ticari bilgi içerdiği durumda söz konusu ticari bilgiler kaldırılabilir;
(i) alt işleme durumunda, işleme faaliyetlerinin Madde 11 uyarınca kişisel verilerin korunması için en az aynı düzeyde koruma sağlayan bir alt işleyici tarafından yapılmasını ve veri kullanıcısının haklarının veri içe aktaran olarak Maddeler çevresinde gözetilmesini sağlayacaktır ve
(j) Madde 4(a) - (i) hükümlerine uygun hareket edecektir.
Madde 5
Veri içe aktaranın yükümlülükleri
Veri içe aktaran şu maddeleri kabul ve garanti eder:
(a) kişisel verileri yalnızca veri dışa aktaranın adına ve onun talimatlarına ve Maddelere uygun olarak işleyecektir; herhangi bir nedenden dolayı bu uygunluğu sağlayamaması durumunda veri dışa aktaranı bu uyumsuzluk hakkında anında bilgilendirmeyi ve bu durumda veri dışa aktaranın verilerin aktarılmasını askıya alabileceğini ve/veya sözleşmeyi feshedebileceğini kabul eder;
(b) kendisi için geçerli olan yasaların, veri dışa aktarandan aldığı talimatları ve sözleşme çerçevesindeki yükümlülüklerini yerine getirme konusunda herhangi bir engel teşkil oluşturmadığını ve yasalarda Maddeler çerçevesindeki garantilerini ve yükümlülüklerini önemli
ölçüde etkileyecek değişiklikler olması durumunda söz konusu değişikliği veri dışa aktarana anında bildirmeyi ve bu durumda veri dışa aktaranın verilerin aktarılmasını askıya alabileceğini ve/veya sözleşmeyi feshedebileceğini kabul eder;
(c) kişisel verilerin aktarılmasına başlamadan önce Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uygulayacaktır;
(d) veri dışa aktaranı aşağıdaki konularda anında bilgilendirecektir:
(i) ceza kanunları çerçevesinde bir hukuki yaptırımın gizliliğini ihlal etme gibi bir yasağın söz konusu olmadığı durumlarda kanunlar çerçevesinde kişisel verilerin ifşasının talep edildiği durumlar;
(ii) kaza sonucu veya yetkisiz erişim ve
(iii) doğrudan veri kullanıcılarından alınan isteklere, yetki verilmediği sürece söz konusu isteklere yanıt verilmeden önce;
(e) veri dışa aktaranın, aktarılacak kişisel veri kullanıcısını işlemesiyle ilgili tüm talepleriyle anında ve makul şekilde ilgilenecek ve aktarılan verilerin işlenmesiyle ilgili olarak düzenleyici otoritenin tavsiyelerine uyacaktır;
(f) veri dışa aktaranın isteği üzerine veri işleme tesislerini, veri dışa aktaran veya gizlilik şartlarını yerine getiren gerekli uzmanlar tarafından oluşturulan bağımsız üyelerden oluşan ve veri dışa aktaran tarafından seçilen, ilgili durumlarda düzenleyici otoriteyle anlaşma yapılan Maddelerin kapsamındaki işleme faaliyetlerinin denetimi için açacaktır;
(g) veri kullanıcısına istek üzerine Maddelerin Ek 2 hariç bir kopyasını veya alt işleme sözleşmesinin kopyasını sunacaktır, Maddelerin veya sözleşmenin ticari bilgi içerdiği durumda söz konusu ticari bilgiler kaldırılabilir; Ek 2 yerine ise veri kullanıcısının veri dışa aktarandan bir kopya temin edemediği durumlarda güvenlik önlemlerinin bir özeti verilecektir;
(h) alt işleme durumunda veri dışa aktaranı önceden bilgilendirecek ve önceden yazılı iznini alacaktır;
(i) alt işleyici tarafından gerçekleştirilen işleme hizmetleri Madde 11'e uygun şekilde yapılacaktır;
(j) Maddeler çerçevesinde yaptığı alt işleyici anlaşmalarının kopyalarını en kısa sürede veri dışa aktarana gönderecektir.
Madde 6
Yükümlülük
1. Taraflar Madde 3 veya Madde 11 ile belirtilen yükümlülüklerin herhangi bir taraf veya alt işleyici tarafından ihlal edilmesi durumunda, bu durumdan zarar gören veri kullanıcısının söz konusu zararı veri dışa aktarandan tazmin etme hakkının bulunduğunu kabul eder.
2. Bir veri kullanıcısı veri içe aktaran veya alt işleyicilerin Madde 3 veya Madde 11 kapsamındaki yükümlülüklerini ihlalden kaynaklanan bir hak talebini veri dışa aktaranın yasalar nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle 1. paragraf
uyarınca tazminat amaçlı olarak veri dışa aktaranın aleyhine gündeme getiremiyorsa veri içe aktaran, veri kullanıcısının veri içe aktarana karşı olarak veri dışa aktaran olarak kabul etmek suretiyle hak talebinde bulunabileceğini, halef kurumların sözleşme veya yasalar ile veri dışa aktaranın tüm yasal yükümlülüklerini devralması durumunun hariç tutulacağını ve bu durumda veri kullanıcısının haklarını bu kuruluştan talep edebileceğini kabul eder.
Veri içe aktaran, bir alt işleyicinin yükümlülüklerini ihlal etmesini kendi yükümlülüklerinden kaçınma amacıyla kullanamaz.
3. Bir veri kullanıcısı veri içe aktaran veya alt işleyicilerin Madde 3 veya Madde 11 kapsamındaki yükümlülüklerini ihlalden kaynaklanan bir hak talebini veri dışa aktaranın yasalar nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle 1. ve 2. paragraflar uyarınca tazminat amaçlı olarak veri dışa aktaranın aleyhine gündeme getiremiyorsa alt işleyici, veri kullanıcısının veri alt işleyicisine karşı olarak veri dışa aktaran veya veri içe aktaran olarak kabul etmek suretiyle hak talebinde bulunabileceğini, halef kurumların sözleşme veya yasalar ile veri dışa aktaranın veya veri içe aktaranın tüm yasal yükümlülüklerini devralması durumunun hariç tutulacağını ve bu durumda veri kullanıcısının haklarını bu kuruluştan talep edebileceğini kabul eder. Alt işleyicinin bu yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır.
Madde 7
Arabuluculuk ve yargı bölgesi
1. Veri içe aktaran, veri kullanıcısının kendisine karşı üçüncü taraf lehtar haklarını kullanması ve/veya Maddeler çerçevesindeki zararları için tazminat talebinde bulunması halinde veri içe aktaranın veri kullanıcısının şu kararlarını kabul edeceğini beyan eder:
(a) anlaşmazlığa, bağımsız bir kişi veya uygun olduğu durumda gözetim yetkilisi tarafından arabuluculuk yapılması;
(b) veri dışa aktaranın kurulu olduğu Üye Ülke mahkemelerinde anlaşmazlığa çözüm aranması.
2. Taraflar, veri kullanıcısı tarafından yapılan seçimin diğer ulusal veya uluslararası hukuk hükümleri çerçevesindeki sabit ve adli haklarına halel getirmeyeceğini kabul eder.
Madde 8
Düzenleyici otoritelerle işbirliği
1. Veri dışa aktaran, talep edilmesi veya ilgili veri koruma kanunlarının gerektirmesi durumunda bu anlaşmanın bir kopyasını düzenleyici otoriteye kabul eder.
2. Taraflar, düzenleyici otoritenin veri içe aktaran ve alt işleyicileri için denetim gerçekleştirebileceğini ve bu denetim kapsamının ilgili veri koruma kanunları çerçevesinde veri dışa aktaran denetimi için geçerli olanla aynı olabileceğini kabul eder.
3. Veri içe aktaran, veri dışa aktaranı 2. paragraf uyarınca veri içe aktarana veya alt işleyicilerine denetim yapılmasını engelleyen ve kendisi ya da alt işleyicilerinden biri için geçerli bir yasa olması halinde bilgilendirecektir. Böyle bir durumda veri dışa aktaran, Madde 5(b) ile belirtilen önlemleri alma hakkına sahip olacaktır.
Madde 9
Geçerli yasalar
Bu Maddeler için veri dışa aktaranın kurulmuş olduğu Üye Ülkenin yasaları geçerli olacaktır.
Madde 10
Anlaşmanın değiştirilmesi
Taraflar, Maddeleri değiştirmemeyi taahhüt eder. Bu, tarafların Maddelerle çelişmemesi koşuluyla işle ilgili sorunlarla bağlantılı maddeler eklemesini engellemez.
Madde 11
Alt işleme
1. Veri içe aktaran, Maddeler çerçevesinde veri dışa aktaran adına gerçekleştirdiği işleme operasyonlarının hiçbirini veri dışa aktaranın önceden yazılı iznini almadan alt yüklenicilere veremez. Veri içe aktaranın Maddeler çerçevesindeki yükümlülüklerini veri dışa aktaranın onayıyla alt yüklenicilere vermesi durumunda bunu yalnızca alt işleyici ile yazılı anlaşma yaparak ve alt işleyicinin Maddeler çerçevesinde veri içe aktaranın tabi olduğu yükümlülüklere tabi olmasını sağlayarak gerçekleştirebilir. Alt işleyicinin ilgili yazılı anlaşmalar çerçevesindeki veri koruma yükümlülüklerini yerine getirmemesi halinde veri içe aktaran alt işleyicinin söz konusu anlaşma çerçevesindeki yükümlülüklerini veri dışa aktarana karşı yerine getirmesi konusunda tek yükümlü olacaktır.
2. Bir veri kullanıcısının, hiçbir halef kurumun sözleşme veya yasalar ile veri dışa aktaranın veya veri içe aktaranın tüm yasal yükümlülüklerini devralmaması ve veri dışa aktaran ile veri içe aktaranın yasalar nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle Madde 6, 1. paragraf uyarınca tazminat amaçlı olarak veri dışa aktaranın veya veri içe aktaranın aleyhine gündeme getirememesi durumunda veri içe aktaran ve alt işleyici arasındaki önceden yazılı sözleşme de Madde 3'te belirtilen üçüncü taraf lehtar durumlarından sayılacaktır. Alt işleyicinin bu üçüncü taraf yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır.
3. 1. paragrafta belirtilen sözleşmenin alt işleme tabi tutulmasının veri korumayla ilgili hükümleri için veri dışa aktaranın kurulmuş olduğu Üye Ülkenin yasaları geçerli olacaktır.
4. Veri dışa aktaran, Maddeler çerçevesinde yapılan alt işleme anlaşmalarının bir listesini tutacak ve veri içe aktaranı Madde 5(j) uyarınca bilgilendirecektir, bu liste yılda en az bir kere güncellenecektir. Liste, veri dışa aktaranın veri koruma düzenleyici otoritesinin kullanımına da sunulacaktır.
Madde 12
Kişisel veri işleme hizmetlerinin feshinden sonraki yükümlülük
1. Taraflar, veri işleme hizmetleri hükümlerinin feshedilmesi durumunda veri içe aktaranın ve veri işleyicisinin veri dışa aktaranın tercihine göre aktarılan tüm kişisel verileri ve kopyalarını veri dışa aktarana iade edecek veya kişisel verilerin tüm kopyalarını imha edecek ve veri dışa aktarana bu durumu belgeleyecektir, veri içe aktaran için geçerli olan yasaların, aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya imha etmesini engellediği durumlar dikkate alınacaktır. Bu durumda veri içe aktaran, aktarılan kişisel verilerin gizliliğinin korunacağını garanti edeceğini ve aktarılan kişisel verileri aktif olarak işlemeyi durduracağını garanti eder.
2. Veri içe aktaran ve alt işleyici, veri dışa aktaranın ve/veya düzenleyici otoritenin isteği üzerine veri işleme tesislerini 1. paragrafta belirtilen önlemlerin denetlenmesi için açacağını garanti eder.