EK 3 - GDPR VERİ KORUMA ZEYİLNAMESİ
EK 3 - GDPR VERİ KORUMA ZEYİLNAMESİ
Bu Veri Koruma Zeyilnamesi ("Zeyilname"), (i) Avetta, LLC (“Avetta”) ile Siz arasında her biri “Taraf” ve birlikte “Taraflar” arasındaki EUSA'nın ("Sözleşme") bir bölümünü oluşturur.
Taraflar, aşağıda belirtilen şart ve koşulların Sözleşmeye ek olarak ekleneceğini kabul eder ve bu Zeyilname'de yer alan Sözleşmeye atıfta bulunulması, bu Zeyilname tarafından değiştirilen veZeyilname'ye dahil olmak üzere Sözleşme'ye eklenir.
1. Tanımlar
1.1 Bu Zeyilname'de, aşağıdaki terimler aşağıda belirtilen anlamlara sahip olacak ve benzer terimler buna göre yorumlanacaktır:
(a) “Zeyilname Yürürlük Tarihi” Bölüm 2'de verilen anlama sahiptir;
(b) "Bağlı Kuruluş," denetimin, doğrudan veya dolaylı olarak, oylama amaçlı menkul kıymetlerin mülkiyeti yoluyla, sözleşmeyle veya başka yollarla, bir işletmenin yönetim ve politikalarını yönlendirme veya buna neden olma yetkisinin mülkiyeti olarak tanımlandığı durumlarda, sahip olan veya denetleyen, sahip olunan veya tarafından denetlenen, ya da Siz veya Avetta (bağlamın izin verdiği şekilde) ile ortak denetim veya mülkiyet altındaki bir işletme anlamına gelir;
(c) "Kişisel Veriler," Avetta'nın (i) Sizin veya İştirakleri adına işlediği veya (ii) aksi takdirde Avetta tarafından İşlenen, her bir durumda, Sizin tarafınızdan belirtilen yazılı talimatlar doğrultusunda veya bunlarla bağlantılı olarak, Anlaşma ile tutarlı, herhangi bir Kişisel Veri anlamına gelir;
(ç) "Veri Koruma Kanunları," gerçek kişilerin Kişisel Verilerinin işlenmesiyle aynı veya başka şekilde ilgili veya bunları uygulayan ilgili mevzuatla birlikte, zaman zaman ilgili denetim otoriteleri tarafından verilen bağlayıcı rehberlik ve uygulama kodları ile birlikte, 95/46/EC sayılı Direktif ve 25 Mayıs 2018'den itibaren (AB) 2016/679 ("GDPR") Tüzüğü anlamına gelir;
(d) “Gizlilik Kalkanı,” AB-ABD Gizlilik Kalkanı Çerçevesi ve/veya İsviçre-ABD Gizlilik Kalkanı Çerçevesi anlamına gelir ve
(e) "Hizmetler", Avetta'nın Size ve/veya Anlaşma uyarınca Bağlı Kuruluşlara sağladığı hizmetleri ifade eder.
1.2 "Denetleyici," "Veri Konusu," "Kişisel Veriler," "Kişisel Verilerin İhlali," "İşlem" ve "İşlemci" terimleri, Veri Koruma Kanunlarında belirtilen aynı anlamlara sahiptir ve benzer terimler buna göre yorumlanacaktır.
1.3 Bu Zeyilname'de aksi tanımlanmayan büyük harfli terimler, Sözleşme'de kendilerine atfedilen anlamları ifade edecektir.
2. Bu Zeyilname'nin Oluşumu
Bu Zeyilname, Taraflarca kararlaştırılmış ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.
3. Tarafların Rolleri
Taraflar, Kişisel Verilerin İşlenmesi ile ilgili olarak ve Ek 1'de daha ayrıntılı olarak açıklandığı üzere, bir Denetleyici olarak davrandığınızı ve Xxxxxx'xxx bir İşlemci olarak davrandığını kabul eder.
4. Kişisel Veri İşleme'nin Açıklaması
Bu Zeyilname'nin Ek 1'inde, Taraflar, GDPR’nın 28(3) Maddesinde öngörüldüğü üzere, bu Zeyilname uyarınca Avetta’nın İşleyeceği Kişisel Verilerin İşlenmesi ile ilgili detaylarını karşılıklı olarak belirlemiştir. Her iki taraf da Ek 1'de diğer tarafa yazılı bildirimde bulunarak ve bu gereklilikleri yerine getirmek için makul olarak gerekli değişiklikleri yapabilir. Ek 1, herhangi bir Taraf için herhangi bir yükümlülük veya hak yaratmamaktadır.
5. Veri İşleme Koşulları
5.1 Xxxxxx, Kişisel Verilerin İşlenmesinde Uygulanan Tüm Veri Koruma Yasalarına uyacak ve Avetta:
5.1.1 Kişisel Verileri yalnızca Hizmetleri belgelendirmek amacıyla, Hizmetleri sağlamak amacıyla ve Kişisel Verilerin Avrupa Birliği dışındaki üçüncü bir ülkeye veya uluslararası bir kuruluşa devretmek de dahil olmak üzere, Sözleşme kapsamında yükümlülüklerini yerine getirmek için gerekli olduğu zaman, Kişisel Verileri yalnızca Sizin belgelenen talimatlarınıza göre işleyecektir (Avetta'nın tabi olduğu Birlik veya Üye Devlet yasaları tarafından zorunlu tutulmadıkça, bu durumda Avetta, bu işlemden önce bu yasal gereklilik hakkında sizi [ya da ilgili Bağlı Kuruluşu] bilgilendirecektir);
5.1.2 Kişisel Verileri işleme yetkisine sahip kişilerin kendilerini gizlilik içinde tutmalarını veya uygun yasal gizlilik yükümlülüğü altında olmalarını sağlayacaktır;
5.1.3 özellikle de yanlışlıkla veya yasa dışı olarak imha edilmesinden, kaybolmasından, değiştirilmesinden, bu tür Kişisel Verilere yetkisiz bir şekilde ifşa edilmesinden veya erişilmesinden veya zarar görmesinden kaynaklanan, Kişisel Veriler için uygun güvenlik seviyesinin değerlendirilmesi ve İşleme ile ortaya konan risklerin değerlendirilmesiyle ilgili olarak, tarafların GDPR’nın 32’inci maddesi uyarınca karşılıklı olarak kabul ettikleri Anlaşma’da belirtilen teknik ve örgütsel önlemleri uygulayacak ve sürdürecektir. İşlenen Kişisel Veri türlerinde veya İşlenme risklerinde meydana gelen değişikliklerin gerektirdiği bu gibi kabul edilmiş önlemlerde yapılacak herhangi bir değişiklik, Avetta ile Siz arasında kararlaştırılmış bir değişiklik denetim süreci ile ele alınacaktır;
5.1.4 Burada, Avetta’ya, Kişisel Verileri ("Alt İşlemci") İşlemek için başka bir İşlemciyi ve özellikle de Ek 2’de listelenen Alt İşlemcileri, Avetta’nın şunlarına tabi olmak üzere, açıkça ve özellikle yetki verdiniz:
a. Ek 2'de listelenen Alt İşlemcilerin kullanımına ilişkin herhangi bir değişiklik yapılması durumunda, size amaçlanan değişikliğin bildirimini e-postayla göndererek bildirmek;
b. bu Zeyilname'de belirtilenlerle aynı olan her bir Alt İşlemci ile olan sözleşmesindeki şartları içermek ve
c. Her bir Alt İşlemcinin Kişisel Verilerin İşlenmesi ile ilgili yükümlülüklerini yerine getirememesi durumunda size karşı sorumlu kalmak.
Bölüm 5.1.4 a. kapsamında alınan her türlü ihbarla ilgili olarak, Avetta'yı bu Alt işlemcinin kullanımına ilişkin herhangi bir makul itirazı yazılı olarak bildirmek
için ihbar tarihinden itibaren 30 (otuz) günlük bir süreniz olacaktır. Taraflar daha sonra, itirazınızın yapıldığı tarihten itibaren 30 (otuz) günden fazla olmayan bir süre boyunca, İtiraz edilen Alt işlemcinin kullanımından kaçınan Sizin için ticari olarak makul bir çözüm bulma girişiminde bulunmak için iyi niyetle birlikte çalışacaktır. Bu tür bir çözüm bulunamazsa, taraflardan herhangi biri (Sözleşmedeki aksine bir şey olmamasına rağmen) ilgili Hizmetleri derhal diğer Tarafa yazılı bir bildirimde bulunmak suretiyle, herhangi bir ceza veya tazminat ödemesiyle sonlandırabilir;
5.1.5 Kişisel Verilerin İşlenmesi ile ilgili bir Veri Konusundaki herhangi bir iletişimi veya Kişisel Verilere İlişkin Veri Koruma Yasası kapsamındaki herhangi bir yükümlülüğe ilişkin herhangi bir iletişimi (bir denetim otoritesi dahil) derhal Sizi [veya ilgili Bağlı Kuruluşu] bilgilendirir ve İşlemin niteliğini göz önünde bulundurarak, faaliyetleri yerine getirme taleplerine cevap verme yükümlülüğünün yerine getirilmesi için, mümkün olduğu sürece, uygun teknik ve organizasyonel önlemlerle Size [veya ilgili Bağlı Kuruluşa] yardımcı olur; veri konusunun GDPR Bölüm III'te belirtilen hakları; Avetta'ya [iki kişi saatini] aşan süre ve bu Bölüm 5.1.5 kapsamındaki yükümlülüklerinin yerine getirilmesiyle ilgili olarak Xxxxxx'xxx harcadığı cepten harcamalar için ödeme yapmayı kabul edersiniz;
5.1.6 Avetta'nın Kişisel Verileri içeren bir Kişisel Veri İhlali olduğunu fark etmesi üzerine, Kişisel Verileri içeren herhangi bir Kişisel Veri İhlali'nde aşırı gecikme olmadan, Sizin [veya herhangi bir Bağlı Kuruluşun] Veri Koruma Yasası kapsamındaki yükümlülüklerine uyması için gerekli tüm bilgileri içermesi gerektiğini Size [veya ilgili Bağlı Kuruluşa] bildirir;
5.1.7 Avetta'ya sunulan İşlemlerin ve bilgilerin niteliğini göz önünde bulundurarak GDPR’nin 32 ila 00’xxx Xxxxxxxxx xxxxxxxx yükümlülüklerini yerine getirmek üzere Size [ve Bağlı Kuruluşlara] yardımcı olur; Avetta'ya [iki kişi-saati] aşan zamanlar için ve Avetta'nın GDPR'nin 35. ve 36. maddeleri ile ilgili olarak sağladığı her türlü yardım ile bağlantılı olarak cepten yapılan harcamalar için ödeme yapmayı kabul edersiniz;
5.1.8 Birlik veya Üye Devlet yasaları Kişisel Verilerin saklanmasını gerektirmediği sürece (ve yalnızca bu ölçüde ve süre için), Sözleşmenin sona ermesi veya süresinin dolması üzerine ve Sizin [veya ilgili Bağlı Kuruluşun] seçeneğinde, Avetta tarafından İşlenen Kişisel Verilerin tüm kopyalarını (bu verilerin okunamaz biçimde olmasını sağlamak da dahil olmak üzere) iade eder veya siler ve
5.1.9 Siz [veya herhangi bir Bağlı Kuruluş] tarafından veya Siz [veya herhangi bir Bağlı Kuruluş] tarafından görevlendirilen bir denetçi tarafından, Siz tarafından karşılanacak masraflarla, denetimler dahil olmak üzere, Size [ve tüm Bağlı Kuruluşlara], bu Zeyilname ile ve GDPR'nin 28(3)(h) maddesi ile uygunluğunu göstermek için gerekli tüm bilgileri, masrafları Siz tarafından karşılanmak üzere, Size sağlar.
6. Öncelik
Bu Zeyilname hükümleri, Anlaşma hükümlerine ek niteliğindedir. Bu Zeyilname hükümleri ile Anlaşma hükümleri arasında herhangi bir tutarsızlık olması durumunda, bu Zeyilname hükümleri geçerli olacaktır.
BU BELGENİN KANITI OLARAK, bu Zeyilname, Zeyilname Yürürlük Tarihinden itibaren Anlaşma’ya dahil edilir ve onun bağlayıcı bir parçası haline gelir.
Ek 1: Kişisel Verilerin İşlenmesinin Açıklaması
Bu Ek, 28(3) GDPR Maddesinin gerektirdiği şekilde Kişisel Verilerin İşlenmesi ile ilgili bazı detayları içermektedir.
Veri ihracatçısı
Veri ihracatçısı şudur (lütfen transferle ilgili faaliyetlerinizi kısaca belirtiniz):
Xxxxxx'xxx kendisi ve Bağlı Kuruluşları adına, Xxx Sözleşme süresince eklenebilecek Bağlı Kuruluşlar da dahil olmak üzere. Veri İhracatçısı, Veri İthalatçısının web tabanlı hizmetlerini kullanırken Kişisel Verilere girebilir.
Veri konuları
Aktarılan kişisel veriler, aşağıdaki veri konusu kategorileriyle ilgilidir (lütfen belirtin):
Veri İhracatçısı, aşağıdaki Veri Konuları kategorisine ilişkin Kişisel Veriler dahil ancak bunlarla sınırlı olmamak üzere, web tabanlı hizmetlere Kişisel Veriler sunabilir veya Veri İhracatçısı, veri ihracatçısı tarafından belirlenen ve kontrol edilen ürün ve hizmetlerin sağlanması sırasında Kişisel Verileri alabilir:
1. Veri İhracatçılarının potansiyel müşterileri, müşterileri, iş ortakları ve satıcıları;
2. Mevcut ve eski çalışanlar veya Veri İhracatçısının potansiyel müşterileri, müşterileri, iş ortakları ve satıcıları ile irtibat kuracak kişiler;
3. Çalışanlar, temsilciler, danışmanlar, serbest çalışanlar veya Veri İhracatçısı ve
4. Veri İhracatçısının, hizmetleri kullanmak için Veri İhracatçısı tarafından yetkilendirilmiş kullanıcıları.
Veri kategorileri
Aktarılan kişisel veriler aşağıdaki veri kategorileriyle ilgilidir (lütfen belirtin):
Veri İhracatçısı, veri ihracatçısı tarafından belirlenen ve kontrol edilen ve aşağıdaki Kişisel Veriler kategorilerini içerebilecek, bunlarla sınırlı olmamak üzere, Hizmetlerin performansı için kişisel verileri veri ithalatçısına sunabilir:
(a) Ad ve soyad;
(b) Unvan;
(c) Pozisyon; (ç) İşveren;
(d) İletişim bilgileri (şirket, e-posta, telefon, fiziksel işletme adresi);
(e) Kimlik verileri;
(f) Mesleki yaşam verileri;
(g) Kişisel yaşam verileri; (ğ) Bağlantı verileri;
(h) Yerelleştirme verileri; (ı) Sigorta;
(i) Çeşitlilik ve Fırsat Eşitliği;
(j) güvenlik, kaza ve olay prosedürleri;
(k) uyuşturucu ve alkol programları;
(l) sürüş ve araç güvenliği;
(m) endüstriyel hijyen ve iş sağlığı;
(n) kurumsal sosyal sorumluluk, sürdürülebilirlik ve çevre sorunları;
(o) kalite kontrol, sertifikalar, lisanslama, nitelikler; (ö) vergi verileri;
(p) Fatura adı ve adresi, kredi kartı numarası ve kullanıcı sayısı gibi finansal nitelikler ve fatura bilgileri.
Özel veri kategorileri (uygunsa)
Aktarılan kişisel veriler aşağıdaki özel veri kategorileriyle ilgilidir (lütfen belirtin):
Veri İhracatçısı, web tabanlı hizmetlere özel veri kategorileri sunabilir (veya Veri İthalatçısı, ürünleri ve hizmetleri sağlama sırasında özel veri kategorileri alabilir), bunun kapsamı veri ihracatçısı tarafından belirlenir ve kontrol edilir.
İşleme işlemleri
Aktarılan kişisel veriler, Hizmetleri sağlamak için gerekli olan aşağıdaki temel işleme faaliyetlerine (lütfen belirtiniz) tabi olacaktır:
İşleme faaliyetleri arasında, Veri İhracatçısının sözleşmesine ve talimatlarına uygun olarak Veri İhracatçısı için barındırma hizmetleri, yazılım bakım ve destek hizmetleri, eğitim hizmetleri ve geliştirme hizmetleri vardır.
Ek 2: Alt İşlemcilerin Listesi
Alt İşlemcilerin Listesi | ||
Alt İşlemciler | Kategori | Amaç |
E3 Öğrenme | 3. taraf tarafından barındırılan başvuru | Bir öğrenme yönetim sistemi ve uygunluk takibi sağlamak için kullanılan uygulama |
Overnite Software Inc | 3. taraf tarafından barındırılan başvuru | Bir öğrenme yönetim sistemi ve uygunluk takibi sağlamak için kullanılan uygulama |
SafetyFile | 3. taraf tarafından barındırılan başvuru | Kimlik doğrulama ve uygunluk yönetimi sağlamak için kullanılan uygulama |
Mantıksal Analiz | 3. taraf tarafından barındırılan başvuru | İş zekası ve iş analitiği için etkileşimli veri görselleştirme ürünleri sağlamak için kullanılan uygulama |
Netscribes | Anlaşmalı Ajans | Pazar istihbaratı, pazar araştırması, araştırmaya dayalı içerik ve e-ticaret hizmetleri sağlama danışmanları |