SAP HİZMETLERİ İÇİN VERİ İŞLEME ANLAŞMASI ("DPA")
SAP HİZMETLERİ İÇİN VERİ İŞLEME ANLAŞMASI ("DPA")
1. TANIMLAR
1.1. "Denetim Raporları ve Sertifikalar" xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxxxxx- compliance/compliance-finder.html kapsamında veya Müşteriye bildirilen diğer web sitelerinde mevcut olan belgeler anlamına gelir.
1.2. "Bulut Hizmeti" Anlaşmada tanımlandığı şekilde, ayrı, abonelik tabanlı, barındırılan, desteklenen ve yürütülen talep üzerine çözüm anlamına gelir.
1.3. "Veri Sorumlusu" tek başına veya başkalarıyla birlikte Kişisel Verilerin işlenme amaçlarını ve araçlarını belirleyen kişi veya tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir; bu DPA'nın amaçları doğrultusunda, Müşterinin başka bir veri sorumlusu için işleyici olarak görev yaptığı durumlarda SAP tarafından işbu DPA kapsamındaki ilgili veri sorumlusu hak ve yükümlülüklerine sahip ilave ve bağımsız Veri Sorumlusu olarak değerlendirilecektir.
1.4. "Veri Koruma Kanunu" gerçek kişilerin Anlaşma kapsamında Kişisel Verilerin işlenmesine ilişkin temel haklarını, özgürlüklerini ve gizlilik haklarını koruyan geçerli mevzuat anlamına gelir.
1.5. "Veri Sahibi" Veri Koruma Kanunu tarafından tanımlanan şekilde kimliği belirlenmiş veya belirlenebilir bir gerçek kişi anlamına gelir.
1.6. "EEA" Avrupa Ekonomik Alanı (İzlanda, Lihtenştayn ve Norveç ile birlikte Avrupa Birliği Üyesi Devletler) anlamına gelir.
1.7. "GDPR" 2016/679 sayılı Genel Veri Koruma Yönetmeliği anlamına gelir.
1.8. "Alt İşleyen Listesi" SAP'nin genel olarak şu kapsamda veya Müşteriye bildirilen başka bir web sitesinde yayımlanan SAP Hizmetlerini sunmak üzere kullandığı her bir Alt İşleyene ilişkin adın, adresin ve rolün birleşimi anlamına gelir: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx/xxxxxxxxxxxxx.xxxx.
1.9. "My Trust Center"; SAP destek portalı (bkz. xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx), SAP anlaşmaları web sitesi (bkz. xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) veya SAP tarafından Müşteriye sunulan başka web sitelerinde sağlanan bilgiler anlamına gelir.
1.10. "Yeni Standart Sözleşme Maddeleri İlişkili Aktarım", GDPR'ye veya geçerli Veri Koruma Kanununa tabi olan ve GDPR ya da geçerli Veri Koruma Kanunu kapsamında gerekli herhangi bir yeterlilik yönteminin Yeni Standart Sözleşme Maddeleri ile karşılanabileceği Kişisel Verilerin Üçüncü bir Ülkeye aktarımı (veya ileriye dönük aktarımı) anlamına gelir.
1.11. "Yeni Standart Sözleşme Maddeleri", Avrupa Komisyonu tarafından yayınlanan 2021/914 sayılı standart sözleşme maddelerinin aslı veya SAP tarafından kabul edilen sonraki herhangi bir nihai versiyonu anlamına gelir. Şüpheye mahal vermemek adına, Modül 2 ve 3, Bölüm 8.3 ile belirtildiği gibi geçerli olacaktır.
1.12. "Kişisel Veriler" Veri Sahibi ile ilgili tüm bilgiler anlamına gelir. DPA'nın amaçları doğrultusunda, yalnızca şu niteliklere sahip kişisel verileri kapsar:
a) SAP tarafından Bulut Hizmetinin bir parçası olarak işlenen veya
b) geçerli Anlaşma kapsamında ya da SAP Hizmetleri ile bağlantılı olarak destek sağlamak için SAP veya Alt İşleyicileri tarafından sağlanan veya erişilen kişisel veriler.
1.13. "Kişisel Veri İhlali":
a) Kişisel Verilerin kaza sonucu veya yasa dışı olarak yok edilmesi, kaybedilmesi, yetkisiz ifşası ya da verilere yetkisiz üçüncü taraflarca erişilmesi gibi doğrulanmış durumlar veya
b) Kişisel Verilerle ilgili olarak doğrulanmış olan benzer bir olay anlamına gelir. Veri Koruma Kanunu kapsamında, her iki durum için de Veri Sorumlusunun yetkili veri koruma mercilerine veya Veri Sahiplerine bildirimde bulunması gerekir.
1.14. "İşleyici" kişisel verileri veri sorumlusu adına işleyen bir kişi, tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir; doğrudan bir veri sorumlusunun işleyicisi veya dolaylı olarak kişisel verileri veri sorumlusu adına işleyen bir işleyicinin alt işleyicisi olabilir.
1.15. "SAP Desteği" ilgili Anlaşmada tanımlandığı şekilde, destek hizmetleri anlamına gelir.
1.16. "Çizelge", Standart Sözleşme Maddelerine (2010) ilişkin sayılı Ek ve Yeni Standart Sözleşme Maddelerine ilişkin sayılı Ek anlamına gelir.
1.17. "Hizmetler" Anlaşmada tanımlandığı şekilde; uygulama hizmetleri, danışmanlık hizmetleri ve/veya ilgili diğer hizmetler anlamına gelir ve Anlaşmada "Danışmanlık Hizmetleri" ya da "Profesyonel Hizmetler" olarak da anılabilir.
1.18. "Standart Sözleşme Maddeleri (2010)" Avrupa Komisyonu tarafından yayınlanan 2010/87/EU sayılı Standart Sözleşme Maddeleri (işleyiciler) anlamına gelir.
1.19. "Alt İşleyici" veya "alt işleyici"; SAP Bağlı Şirketleri, SAP SE, SAP SE Bağlı Şirketleri ve SAP, SAP SE veya SAP SE'nin Bağlı Şirketleri tarafından SAP Hizmetleri ile bağlantılı olarak görevlendirilen ve Kişisel Verileri bu DPA'ya uygun olarak işleyen üçüncü taraflar anlamına gelir.
1.20. "Teknik ve Organizasyonel Önlemler", ilgili SAP Hizmeti için My Trust Center'da (bkz. xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx/xxxxx/xxxxx- services.html?search=Technical%20Organizational%20Measures) yayınlanmış olan teknik ve organizasyonel önlemler anlamına gelir.
1.21. "Üçüncü Ülke", Avrupa Birliği tarafından GDPR'nin 45. Maddesi kapsamında yeterli düzeyde veri korumasına sahip güvenli bir ülke olarak tanınmayan herhangi bir ülke, kuruluş veya bölge anlamına gelir.
2. ARKA PLAN
2.1. Uygulama
2.1.1. Bu belge ("DPA"), SAP ve Müşteri arasındaki SAP Hizmetleri konulu Anlaşmaya ilave edilmiştir ve işbu Anlaşmanın bir parçasını oluşturur. Söz konusu DPA'nın amaçları doğrultusunda SAP Hizmetleri; Anlaşmada Bulut Hizmeti, Hizmet veya SAP Desteği olarak tanımlanmıştır ve Anlaşmanın koşullarına tabidir.
2.1.2. İşbu DPA, SAP Hizmetlerinin sunulmasıyla bağlantılı olarak Kişisel Verilerin SAP ve Alt İşleyicileri tarafından işlenmesine ilişkin koşulları ve şartları ortaya koymaktadır.
2.1.3. Bu DPA, SAP tarafından kullanıma sunulan SAP Hizmetlerinin canlı kullanım harici ortamları için geçerli değildir. Müşteri, Kişisel Verileri bu tür ortamlarda depolamayacaktır.
2.2. Yapı
Çizelge 1 ve 2 bu DPA'ya dahil edilmiştir. Bu çizelgelerde; üzerinde anlaşmaya varılan konu, işlemenin niteliği ve amacı, Kişisel Verilerin türü, veri sahibi kategorileri ve geçerli teknik ve organizasyonel önlemler belirtilmiştir.
2.3. Yönetişim
2.3.1. DPA kapsamında SAP, bir İşleyici olarak; Müşteri ve SAP Hizmetlerini kullanmasına izin verdiği kuruluşlar ise Veri Sorumlusu olarak görev yapar.
2.3.2. Müşteri tek muhatap olup geçerli olduğu ölçüde SAP'nin bir İşleyici olarak kullanılmasına ilişkin Veri Sorumlusu onayları da dahil olmak üzere Kişisel Verilerin bu DPA'ya uygun şekilde işlenmesi için ilgili yetkileri, izinleri ve onayları alacaktır. Müşteri tarafından sağlandığı durumlarda yetkiler, onaylar, talimatlar veya izinler yalnızca Müşteri adına değil, aynı zamanda tüm diğer Veri Sorumluları adına da sağlanmış olur. SAP'nin Müşteriye bilgi verdiği veya bildirimde bulunduğu durumlarda, söz konusu bilgiler ya da bildirimler; Müşterinin, SAP Hizmetlerini kullanmasına veya Kişisel Veri sağlamasına olanak sunduğu Veri Sorumluları tarafından alınmış sayılır. Müşteri, söz konusu bilgi ve bildirimleri ilgili Veri Sorumlularına iletecektir.
3. İŞLEME GÜVENLİĞİ
3.1. Teknik ve Organizasyonel Önlemlerin Uygulanabilirliği
SAP, Teknik ve Organizasyonel Önlemleri yürürlüğe almıştır ve bu önlemleri uygulayacaktır. Müşteri, işbu DPA'ya ilave edilen bir Anlaşmayı yürürlüğe sokmadan önce söz konusu önlemlerin uygunluğunu gözden geçirmiştir.
3.2. Değişiklikler
3.2.1. SAP, Teknik ve Organizasyonel Önlemleri, söz konusu veri merkezinin dışında barındırılan veya aynı SAP Hizmetlerini alan tüm müşteri tabanına uygulamaktadır. SAP, Teknik ve Organizasyonel Önlemleri gerektiği şekilde gözden geçirir ve benzer veya daha iyi düzeyde güvenlik sağladığı sürece önceden bildirimde bulunmadan dilediği zaman Teknik ve Organizasyonel Önlemleri değiştirebilir. Münferit önlemler, Kişisel Verileri korumaya yönelik güvenlik düzeyini ihlal etmeden aynı amaca hizmet eden yeni önlemlerle değiştirilebilir.
3.2.2. SAP, Teknik ve Organizasyonel Önlemlerin güncellenmiş versiyonlarını My Trust Center'da yayınlayacaktır. Müşteri, bu tür güncellenmiş versiyonlar hakkında e-posta bildirimi almak için abone olabilir (böyle bir olanak sağlanmışsa).
4. YÜKÜMLÜLÜKLER
4.1. Müşterinin Talimatları
SAP, Kişisel Verileri yalnızca Müşteriden alınan belgelenmiş talimatlara uygun şekilde işleyecektir. Anlaşma (işbu DPA dahil), belgelenmiş söz konusu talimatları teşkil eder. SAP, teknik açıdan uygun olduğu sürece makul olan tüm ek Müşteri talimatlarını izlemek için makul çabayı gösterecektir. SAP'nin bir talimata uyamaması ya da bir talimatın, Veri Koruma Kanununu ihlal ettiğini düşünmesi durumunda SAP, Müşteriyi derhal bilgilendirecektir (e-postaya izin verilir).
4.2. Yasal Gereksinim Uyarınca İşleme
SAP, Kişisel Verileri, geçerli yasaların gerektirdiği durumlarda da işleyebilir. Böyle bir durumda SAP, söz konusu yasa önemli ölçüde kamu yararı açısından bu bilgilere yasak getirmediği sürece Kişisel Verileri işlemeden önce Müşteriyi bu yasal gereksinim konusunda bilgilendirecektir.
4.3. Personel
SAP ve Alt İşleyicileri, Kişisel Verileri işlemesi için yalnızca, gizlilik taahhüdünde bulunan yetkili personele erişim hakkı sunacaktır. SAP ve Alt İşleyicileri, Kişisel Verilere erişimi olan personele veri güvenliği ve veri gizliliği hakkında düzenli olarak eğitim verecektir.
4.4. İş Birliği
4.4.1. Müşterinin talebi doğrultusunda SAP, SAP'nin Kişisel Verileri işlemesiyle veya herhangi bir Kişisel Veri İhlaliyle ilgili olarak Veri Sahiplerinden veya düzenleme kurullarından gelen talepleri yönetme konusunda Müşteriyle ve Veri Sorumlularıyla makul ölçüde iş birliği yapacaktır. SAP, bir Veri Sahibinden, işbu Anlaşma kapsamındaki Kişisel Verilerin işlenmesiyle ilgili bir talep alması halinde Müşteriyi (Veri Sahibinin, Müşteriyi tanımlayacak bilgiler sağladığı durumlarda) derhal e-posta yoluyla bilgilendirip söz konusu talebe doğrudan yanıt vermeyecek, bunun yerine Veri Sahibinden, talebini Müşteriye iletmesini isteyecektir.
4.4.2. Bir Veri Sahibiyle, SAP'nin bu DPA kapsamındaki Kişisel Verileri işlemesiyle ilgili bir anlaşmazlık yaşanması durumunda Taraflar birbirlerini bilgilendirecek ve uygun olduğunda, Veri Sahibiyle yaşanan anlaşmazlığı iyi niyetli bir şekilde çözmek amacıyla makul bir şekilde iş birliği yapacaktır.
4.4.3. SAP, canlı kullanım sistemleri için Müşterinin, bir Bulut Hizmetindeki Kişisel Verileri düzeltme, silme veya anonimleştirme ya da Veri Koruma Kanunu doğrultusunda işlenmesini sınırlama yetkisini destekleyen bir işlevsellik sağlayacaktır. Bu işlevselliğin sağlanmadığı durumlarda SAP, Kişisel Verileri Müşteri talimatları ve Veri Koruma Kanunu uyarınca düzenleyecek, silecek veya anonimleştirecek ya da bunların işlenmesine sınırlama getirecektir.
4.5. Kişisel Veri İhlali Bildirimi
SAP, Müşterinin, Veri Koruma Kanunu uyarınca gereken şekilde Kişisel Veri İhlalini bildirme yükümlülüğünü yerine getirmesine yardımcı olmak için, herhangi bir Kişisel Veri İhlali durumundan haberdar olduğunda bu durumu fazla gecikmeden Müşteriye bildirecek ve sahip olduğu bilgileri Müşteriye sağlayacaktır. SAP, bu bilgileri edindikçe aşamalar halinde sunabilir. Söz konusu bildirim, SAP'nin bir hatayı veya yükümlülüğü kabul ettiği şeklinde yorumlanmayacaktır.
4.6. Veri Koruma Etki Değerlendirmesi
Veri Koruma Kanunu uyarınca Müşterinin (veya Veri Sorumlularının) bir veri koruma etki değerlendirmesi yapması ya da bir düzenleyiciyle ön konsültasyon gerçekleştirmesi gerekirse Müşterinin talebi doğrultusunda SAP, bu belgeleri (örneğin; bu DPA, Anlaşma, Denetim Raporları veya Sertifikalar) SAP Hizmetleri için genel olarak kullanıldığı şekliyle sağlayacaktır. İlave yardımlar konusunda Taraflarca karşılıklı olarak anlaşmaya varılacaktır.
5. VERİ DIŞA AKTARMA VE SİLME
5.1. Dışa Aktarma ve Alma
SAP'nin bir Bulut Hizmetinde Kişisel Veriler barındırması halinde ve ilgili ölçüde Müşteri, söz konusu Bulut Hizmetinin Abonelik Süresi sırasında ve Anlaşmaya tabi olarak, Kişisel Verilerine dilediği zaman erişebilir. Müşteri, SAP'nin self servis dışa aktarma araçlarını kullanabilir ve Kişisel Verilerini; yapılandırılmış, yaygın olarak kullanılan ve bilgisayarca okunur bir biçimde alabilir.
5.2. Silme
5.2.1. Bulut Hizmetinin Abonelik Süresi dolmadan önce Müşteri, Bulut Hizmetindeki Kişisel Verilerin nihai iadesini oluşturan son bir veri dışa aktarımı daha gerçekleştirecektir.
5.2.2. Anlaşma sonunda Müşteri, SAP'ye, işbu belgeyle, SAP'de kalan Kişisel Verileri (varsa), yürürlükteki yasa verilerin saklanmasını gerektirmediği sürece Veri Koruma Kanununa uygun makul bir süre içinde (en fazla 6 ay) silmesi için talimat verir.
6. SERTİFİKALAR VE DENETİMLER
6.1. SAP Kaynakları
SAP, Denetim Raporlarını ve Sertifikaları çevrimiçi olarak veya talep üzerine ücretsiz bir şekilde sağlamaktadır. SAP kaynakları gerektiren ek doğrulamalar aşağıdaki Bölümler ile sınırlı ve bu Bölümlere tabidir.
6.2. Sınırlamalar
6.2.1. Müşterinin veya bağımsız üçüncü taraf denetçisinin (SAP'nin rakibi olan veya uygun niteliklere sahip olmayan üçüncü taraf denetçiler hariç olmak üzere SAP için makul bir şekilde kabul edilebilir olduğu ölçüde) 6.3 ve 6.4 Bölümleri uyarınca denetim gerçekleştirmesine izin verilebilir. Veri Koruma Kanununda yer alan emredici hükümler veya veri korumayla ilgili sorumlu bir yetkili merci daha kısa süre öncesinden bildirimi gerekli kılmadıkça Müşteri, denetimlerle ilgili olarak en az 60 gün önceden bildirimde bulunacaktır.
6.2.2. Denetimlerin sıklığı (en fazla 12 ayda bir olacak şekilde), zaman aralığı ve kapsamı, makul şekilde ve iyi niyetle hareket eden taraflarca karşılıklı olarak belirlenecektir. Müşteri denetimleri, mümkün olduğu durumlarda uzaktan denetimlerle sınırlı olacaktır. Müşteri, tüm denetim sonuçlarını SAP'ye sunacaktır. Denetimlerde bu DPA'ya yönelik olarak SAP'nin neden olduğu esaslı bir ihlal ortaya çıkmadığı sürece, Xxxxxxx tarafından başlatılan denetimlerin maliyetleri Müşteri tarafından karşılanacaktır. İhlal olması durumunda ise denetim masrafları SAP'ye ait olacaktır. Denetim sonunda SAP'nin DPA kapsamındaki yükümlülüklerinden birini ihlal ettiğinin belirlenmesi durumunda SAP, masrafları kendisine ait olmak üzere, söz konusu ihlali derhal telafi edecektir.
6.3. Bulut Hizmetleri Müşteri Denetimi
6.3.1. Müşteri, SAP'nin denetim ortamını ve SAP tarafından işlenen Kişisel Verilerle ilgili BT güvenliği uygulamalarını denetleyebilir. Söz konusu denetim için aşağıdaki durumlarda azami 3 iş günü boyunca SAP kaynaklarının kullanılması gerekebilir:
a) SAP'nin ISO 27001 veya geçerli bir SSAE18/ISAE3402 ve/veya ISAE3000 (ör. SOC2 ya da C5) veya eşit düzeyde kabul gören bölgesel ya da yerel sertifika veya onay gibi başka standartlara (kapsam sertifikada belirtildiği gibidir) uyum konusunda bir sertifika sağlayarak teknik ve organizasyonel önlemleri uyguladığına ilişkin yeterli kanıt sunmamış olması ya da
b) Kişisel Veri İhlali oluşması veya
c) Müşterinin veri koruma yetkilisi tarafından resmi olarak denetim talebinde bulunulması veya zorunlu Veri Koruma Kanunu uyarınca bir denetimin zorunlu olması.
6.4. SAP Desteği ve Hizmetleri Müşteri Denetimi
Müşteri, SAP'nin hizmet ve destek teslim yerleri ile SAP tarafından işlenen Kişisel Verilerle ilgili BT güvenliği uygulamalarını denetleyebilir. Söz konusu denetim için aşağıdaki durumlarda azami 1 iş günü boyunca SAP kaynaklarının kullanılması gerekebilir:
a) SAP'nin ISO 27001 veya diğer standartlara (kapsam sertifikada belirtildiği gibidir) uyum konusunda bir sertifika sağlayarak Teknik ve Organizasyonel Önlemleri uyguladığına ilişkin yeterli kanıt sunmaması ya da
b) Kişisel Veri İhlali oluşması veya
c) Müşterinin veri koruma yetkilisi tarafından resmi olarak denetim talebinde bulunulması veya zorunlu Veri Koruma Kanunu uyarınca bir denetimin zorunlu olması.
6.5. Diğer Veri Sorumlusu Denetimi
Yalnızca söz konusu Veri Sorumlusu için doğrudan geçerli olmasının yanı sıra ilgili denetimin Müşteri tarafından onaylanıp koordine edilmesi kaydıyla, başka bir Veri Sorumlusu, müşterinin işbu Bölüm 6 kapsamındaki yetkilerini üstlenebilir. Müşteri, çok sayıda denetim gerçekleştirilmesini önlemek amacıyla birden fazla Veri Sorumlusunun denetimlerini birleştirmek için makul tüm çabayı gösterecektir.
7. ALT İŞLEYİCİLER
7.1. İzin Verilen Kullanım
SAP'ye, aşağıda verilen şartlara tabi olacak şekilde Kişisel Verilerin işlenmesini Alt İşleyicilere devretmeye yönelik genel bir yetki verilir:
a) SAP veya SAP SE kendi adına, Alt İşleyicilerin Kişisel Verileri işlemesi için Alt İşleyicilerle işbu DPA'nın şartlarıyla uyumlu yazılı (elektronik biçimde olabilir) bir sözleşme imzalayacaktır. Anlaşmanın şartları uyarınca Alt İşleyiciler tarafından gerçekleştirilen tüm ihlallerin sorumluluğu SAP'ye ait olacaktır;
b) SAP, Alt İşleyiciyi seçmek üzere işbu DPA'nın gerektirdiği Kişisel Veri koruma düzeyini sağlayıp sağlamadığına karar vermeden önce ilgili Alt İşleyicinin güvenlik ve gizlilik uygulamalarını değerlendirmeye alacaktır ve
c) SAP, My Trust Center'da yayımlayarak veya Müşterinin yazılı talebi üzerine Müşteriye yazılı olarak sunma yoluyla (e-postaya izin verilir) Alt İşleyici Listesini Müşteriye sağlayacaktır.
SAP'nin Alt İşleyiciler ile birlikte çalışıp çalışmayacağı, aşağıdaki koşullara uygun olmak kaydıyla kendi takdirine bağlıdır:
a) SAP, yeni Alt İşleyicinin adı, adresi ve rolü dahil olmak üzere Alt İşleyici listesinde yapılması planlanan tüm eklemeler veya değişiklikler konusunda Müşteriyi önceden (e-posta yoluyla veya My Trust Center'da yayınlayarak) bilgilendirecektir. Müşteri, My Trust Center'a kaydolmanın yanı sıra ilgili ve uygun Alt İşleyici Listesine abone olacaktır. Herhangi bir itirazının söz konusu olmaması durumunda Müşteri, yeni Alt İşleyiciyi kabul etmiş sayılır.
b) Müşteri, SAP'nin Hizmetler ile ilgili bilgilendirmesinden sonraki 5 iş günü içinde SAP'yi yazılı olarak bilgilendirerek; SAP Desteği ve Bulut Hizmetleri söz konusu olduğunda ise 30 takvim günü içinde ve itirazın haklı nedenlerini açıklayarak yeni bir Alt İşleyiciye itiraz edebilir.
c) Müşterinin itirazı durumunda SAP şunlardan birini tercih edebilir: (i) Alt İşleyici ile çalışmama, (ii) Müşterinin itiraza ilişkin nedenlerini ortadan kaldırmak ve Alt İşleyici ile çalışmak için makul önlemler alma veya (iii) bunların mümkün olmadığı durumlarda, Alt İşleyici ile çalışma. Müşterinin itirazı geçerliliğini korursa Müşteri, yalnızca yeni Alt İşleyici kullanılarak etkilenen SAP Hizmetini feshedebilir. Ancak, SAP Desteğinin feshinin ilgili SAP Desteği anlaşmasının fesih hükümlerine de uyması gerekecektir. Bu türden bir fesih, Müşterinin geçerlilik bitiş tarihine kadar Anlaşmanın geri kalanı boyunca önerilen Alt İşleyicinin kullanılmasını kabul etmesi kaydıyla, yazılı fesih bildiriminde Xxxxxxx tarafından belirlenen zamanda geçerlilik kazanacaktır.
d) Müşteri itiraz eder ancak 7.2.(c) (i) veya (ii) kapsamındaki seçenekler hayata geçirilmez ve SAP herhangi bir fesih bildirimi almazsa Müşterinin, yeni Alt İşleyiciyi onayladığı kabul edilir.
e) Bu Bölüm kapsamında gerçekleştirilen fesihler için herhangi bir taraf hatalı kabul edilmeyecek ve bu fesihler, Anlaşmanın şartlarına tabi olacaktır.
7.3. Acil Durum Değişikliği
8. ULUSLARARASI İŞLEME
8.1. Uluslararası İşleme Koşulları
SAP, Kişisel Verileri, Veri Koruma Kanununda izin verilen şekilde, bu DPA uyarınca Alt İşleyici kullanarak işlemek de dahil olmak üzere, Müşterinin bulunduğu ülke dışında da işleme yetkisine sahip olacaktır.
8.2. Standart Sözleşme Maddelerinin (2010) Uygulanabilirliği
a) Uygunsa, SAP ve Müşteri Standart Sözleşme Maddelerini (2010) imzalar;
b) Müşteri, SAP veya SAP SE ile Alt İşleyici arasında imzalanmış Standart Sözleşme Maddelerine (2010) bağımsız bir hak ve yükümlülük sahibi olarak katılır veya
c) SAP Hizmetlerinin kullanımı konusunda Anlaşma uyarınca Müşteri tarafından yetkilendirilen diğer Veri Sorumluları da yukarıdaki Bölüm 8.2.1 a) ve (b) doğrultusunda Müşteriyle aynı şekilde SAP veya ilgili Alt İşleyiciler ile Standart Sözleşme Maddelerini (2010) imzalayabilir.
8.2.2. Standart Sözleşme Maddeleri (2010) için ilgili Veri Sorumlusunun bulunduğu ülkenin yasaları geçerli olacaktır.
8.2.3. Geçerli Veri Koruma Kanununda, Yeni Standart Sözleşme Maddelerinin, Standart Sözleşme Maddelerine (2010) yönelik alternatif veya güncelleme olarak gerekli herhangi bir yeterlilik yöntemini karşılayacak şekilde benimsenmesi durumunda Bölüm 8.3 uyarınca Yeni Standart Sözleşme Maddeleri geçerli olacaktır.
8.3. Yeni Standart Sözleşme Maddelerinin Uygulanabilirliği
8.3.1. Aşağıdakiler 27 Eylül 2021 tarihinden itibaren geçerli olacak ve yalnızca Yeni Standart Sözleşme Maddeleri İlişkili Aktarımlar için uygulanacaktır:
8.3.1.1. SAP'nin Üçüncü Ülkelerde bulunmadığı ve veri dışa aktaran olarak hareket ettiği durumlarda SAP (veya SAP adına SAP SE), veri içe aktaran olarak her Alt İşleyici ile Yeni Standart Sözleşme Maddelerini imzalamıştır.
Söz konusu Yeni Standart Sözleşme Maddeleri İlişkili Aktarımlar için Yeni Standart Sözleşme Maddelerindeki Modül 3 (İşleyiciler Arası Aktarım) geçerli olacaktır.
8.3.1.2. SAP'nin Üçüncü Ülkelerde bulunduğu durumlarda:
SAP (veri içe aktaran) ve Müşteri (veri dışa aktaran) işbu belgeyle, aşağıdaki şekilde geçerli olacak olan Yeni Standart Sözleşme Maddelerini kabul etmektedir:
a) Müşterinin Veri Sorumlusu olduğu durumlarda Modül 2 (Veri Sorumlusu ile İşleyici Arası Aktarım) geçerli olacaktır;
b) Müşterinin İşleyici olduğu durumlarda Modül 3 (İşleyiciler Arası Aktarım) geçerli olacaktır. Müşterinin, Yeni Standart Sözleşme Maddelerindeki Modül 3 (İşleyiciler Arası Aktarım) kapsamında İşleyici olarak hareket ettiği durumlarda SAP, Müşterinin, Veri Sorumlularının talimatları doğrultusunda İşleyici olarak hareket ettiğini kabul eder.
Yukarıdaki Bölüm 8.3.1.2 uyarınca, Müşteri tarafından Anlaşma kapsamında Bulut Hizmetlerini kullanma yetkisi verilen diğer Veri Sorumluları veya İşleyiciler de Müşteriyle aynı şekilde SAP ile Yeni Standart Sözleşme Maddelerini imzalayabilir. Böyle bir durumda Müşteri, Yeni Standart Sözleşme Maddelerini diğer Veri Sorumluları veya İşleyiciler adına kabul eder.
8.3.2. Yeni Standart Sözleşme Maddeleri İlişkili Aktarımlar ile ilgili olarak, Müşteri, Veri Sahiplerinden gelen talep üzerine, Müşteri ile SAP arasında imzalanan Yeni Standart Sözleşme Maddelerinin Modül 2 veya Modül 3 kopyalarını (ilgili Çizelgeler dahil) Veri Sahiplerine sunabilir.
8.3.3. Yeni Standart Sözleşme Maddeleri için Almanya yasaları geçerli olacaktır.
8.4. Standart Sözleşme Maddelerinin Anlaşmayla İlişkisi
Anlaşmadaki hiçbir madde, Standart Sözleşme Maddelerinin (2010) veya Yeni Standart Sözleşme Maddelerinin herhangi bir çelişkili maddesinden üstün olacağı şeklinde yorumlanmayacaktır. Şüpheye mahal vermemek adına, işbu DPA'nın başka denetim ve Alt İşleyici kuralları içermesi durumunda söz konusu belirtimler Standart Sözleşme Maddeleri (2010) ve Yeni Standart Sözleşme Maddeleri için de geçerli olacaktır.
8.5. Yeni Standart Sözleşme Maddeleri Kapsamındaki Üçüncü Taraf Lehtar Hakları
8.5.1. Müşterinin ilgili Üçüncü Ülkede bulunduğu ve Yeni Standart Sözleşme Maddelerindeki Modül 2 veya Modül 3 kapsamında veri içe aktaran olarak hareket ettiği ve SAP'nin geçerli Modül kapsamında Müşterinin alt işleyicisi olarak hareket ettiği durumlarda, ilgili veri dışa aktaran aşağıdaki üçüncü taraf lehtar haklarına sahip olacaktır:
8.5.2. Müşterinin fiilen ortadan kaybolması, yasal varlığının sona ermesi veya acze düşmesi durumunda (her durumda, sözleşme yoluyla veya yasa hükmü doğrultusunda Müşterinin yasal yükümlülüklerini üstlenen bir halef kurum olmadan) ilgili veri dışa aktaran, yalnızca veri dışa aktaranın Kişisel Verilerinin işlendiği ölçüde olmak üzere, etkilenen SAP Hizmetini sona erdirme hakkına sahip olacaktır. Böyle bir durumda, ilgili veri dışa aktaran, SAP'den Kişisel Verileri silmesini veya iade etmesini de talep eder.
9. DOKÜMANTASYON; İŞLEME KAYITLARI
Taraflar dokümantasyon gereksinimlerine uymaktan ve özellikle Veri Koruma Kanunu uyarınca gerekli olduğu durumlarda işleme kayıtlarının bakımını yapmaktan sorumludur. Her bir taraf bir diğerini, sahip oldukları dokümantasyon gereklilikleri konusunda destekleyecektir. Müşteri, SAP'nin, işleme kayıtlarının bakımının yapılmasıyla ilgili yükümlülüklere uyabilmesini sağlamak amacıyla, SAP tarafından makul şekilde talep edildiği ölçüde, SAP Hizmetlerini kullanarak elektronik biçimde (Sipariş Formunda) tüm Denetleyicilerle ilgili bilgileri (yasal ad ve adres gibi) sunacak ve bunların bakımını yapacaktır.
Çizelge 1 İşleme Açıklaması
Bu Çizelge 1; Standart Sözleşme Maddeleri (2010), Yeni Standart Sözleşme Maddeleri ve geçerli Veri Koruma Kanunu amaçları doğrultusunda Kişisel Verilerin İşlenmesini açıklamak için kullanılmaktadır.
1. A. TARAFLARIN LİSTESİ
1.1. Standart Sözleşme Maddeleri (2010) için
1.1.1. Veri Dışa Aktaran
Veri dışa aktaran, ilgili Anlaşma kapsamında daha ayrıntılı bir şekilde açıklandığı üzere, SAP Hizmetlerinin sunulması için SAP ile Anlaşma imzalayan Müşteridir. Veri dışa aktaran, diğer Veri Sorumlularının da SAP hizmetini kullanmasına izin verir ve bu Veri Sorumluları da veri dışa aktaran olarak adlandırılır.
1.1.2. Veri İçe Aktaran
1.1.2.1. Bulut Hizmetleri ile ilgili olarak
SAP ve Bulut Hizmetini sağlayıp destekleyen Alt İşleyicileri, Standart Sözleşme Maddeleri (2010) kapsamında veri içe aktaran olarak adlandırılır.
1.1.2.2. Diğer SAP Hizmetleri ile ilgili olarak
SAP ve Alt İşleyicileri, veri dışa aktaran tarafından akdedilen ve Standart Sözleşme Maddelerini (2010) içeren ilgili Anlaşma kapsamında tanımlanan şekilde SAP Hizmetini sağlar.
1.2. Yeni Standart Sözleşme Maddeleri için
1.2.1. Modül 2: Veri Sorumlusu ile İşleyici Arası Aktarım
SAP'nin Üçüncü Ülkelerde bulunduğu durumlarda Müşteri Veri Sorumlusu, SAP İşleyici; Müşteri veri dışa aktaran, SAP ise veri içe aktaran olarak adlandırılır.
1.2.2. Modül 3: İşleyiciler Arası Aktarım
SAP'nin Üçüncü Ülkelerde bulunduğu durumlarda hem Müşteri hem SAP İşleyici ve Müşteri veri dışa aktaran, SAP ise veri içe aktaran olarak adlandırılır.
2. B. AKTARIM AÇIKLAMASI
2.1. Veri Sahipleri
Veri dışa aktaran tarafından aksi belirtilmedikçe, aktarılan Kişisel Veriler aşağıdaki Veri Sahibi kategorileriyle ilgilidir: Kişisel Verileri Bulut Hizmetinde depolanan, aktarılan, kullanıma sunulan, erişime açılan veya veri içe aktaran tarafça başka şekilde işlenen çalışanlar, yükleniciler, İş Ortakları veya diğer kişiler.
2.2. Veri Kategorileri
Aktarılan Kişisel Veriler, aşağıdaki veri kategorileri ile ilgilidir:
Müşteri, ilgili Anlaşma kapsamında belirtilen şekilde her SAP Hizmeti için aktarılabilecek veri ve/veya veri alanı kategorilerine karar verir. Bulut Hizmetleri için Müşteri, veri alanlarını Bulut Hizmetinin uygulanması sırasında veya Bulut Hizmeti kapsamında belirtilen şekilde konfigüre edebilir. Aktarılan Kişisel Veriler genellikle şu veri kategorileri ile ilgilidir: ad, telefon numaraları, e-posta adresi, adres verileri, sistem erişim/kullanım/yetkilendirme verileri, şirket adı, sözleşme verileri, fatura verileri ve Yetkili Kullanıcılar tarafından aktarılan veya SAP Hizmetine girilen uygulamaya özgü verilerin yanı sıra banka hesap verileri, kredi kartı veya banka kartı verileri gibi mali verileri de içerebilir.
2.3. Özel Veri Kategorileri (kararlaştırılmışsa)
2.3.1. Aktarılan Kişisel Veriler, Anlaşmada belirtilen özel kategorilerdeki kişisel verileri ("Hassas Veriler") içerebilir. SAP, Hassas Verileri de korumaya uygun bir güvenlik düzeyi sağlamak için Çizelge 2'de belirtildiği gibi Teknik ve Organizasyonel Önlemler almıştır.
2.3.2. Hassas Verilerin aktarımı, verilerin niteliğini ve gerçek kişilerin hak ve özgürlüklerine (varsa) ilişkin değişen olasılık ve önem düzeyi riskini dikkate almak için gerekirse aşağıdaki ek kısıtlamaların veya güvencelerin uygulanmasını tetikleyebilir:
a) personel eğitimi;
b) verilerin aktarım sırasında ve işlenmediği durumlarda şifrelenmesi;
c) sistem erişimi ve genel veri erişimi için oturum açma.
2.3.3. Bulut Hizmetleri, Dokümantasyonda açıklandığı gibi Hassas Verilerin işlenmesine yönelik önlemler de sağlar.
2.4. Veri aktarımı ve işlemenin amaçları; İşlemenin niteliği
2.4.1. Bulut Hizmetleri için
2.4.1.1. Aktarılan Kişisel Veriler, aşağıdaki temel işleme aktivitelerine tabidir:
a) Bulut Hizmetinin kurulması, çalıştırılması, izlenmesi ve sağlanması için Kişisel Verilerin kullanılması (operasyonel ve teknik Destek dahil);
b) otomasyon, işlem işleme ve makine öğrenimi dahil olmak üzere Bulut Hizmetinin bir parçası olarak sağlanan hizmet özelliklerinin ve işlevlerinin sürekli iyileştirilmesi;
c) Danışmanlık Hizmetlerinin sağlanması;
d) Yetkili Kullanıcılar ile iletişim kurulması;
e) Kişisel Verilerin belirlenen Veri Merkezlerinde depolanması (çok kiracılı mimari);
f) Bulut Hizmetine yönelik düzeltmelerin veya yükseltmelerin kullanıma sunulması, geliştirilmesi ve yüklenmesi;
g) Bulut Hizmetinde depolanan Kişisel Verilerin yedeklenmesi ve geri yüklenmesi;
h) Kişisel Verilerin veri iletimi, veri alımı ve veri erişimi dahil olmak üzere bilgisayarda işlenmesi;
i) Kişisel Veri aktarımının gerçekleşebilmesi için ağ erişimi;
j) temel Bulut Hizmeti altyapısının ve veritabanının izlenmesi, yönetilmesi ve bunlarla ilgili sorunların giderilmesi;
k) güvenliğin izlenmesi, ağ tabanlı saldırı tanıma desteği, sızma testleri ve
l) Müşterinin talimatlarının Anlaşmaya uygun şekilde uygulanması.
2.4.1.2. Aktarımın amacı, Bulut Hizmetinin sağlanması ve desteklenmesidir. SAP ve Alt İşleyicileri, Bulut Hizmeti veri merkezleri için uzaktan destek sunabilir. Anlaşmada daha ayrıntılı olarak açıklandığı üzere, SAP ve Alt İşleyicileri, Müşteri bir destek çağrısı gönderdiğinde destek sağlar.
2.4.2. Diğer SAP Hizmetleri için
Aktarılan Kişisel Veriler, Anlaşma kapsamında belirtilen şekilde, aşağıdakileri içerebilecek olan temel işleme aktivitelerine tabidir:
a) SAP Desteğinin ve SAP Hizmetlerinin sunulması için, Kişisel Veri içeren sistemlere erişim;
b) SAP Hizmetini sağlamak amacıyla Kişisel Veri kullanımı;
c) otomasyon, işlem işleme ve makine öğrenimi dahil olmak üzere SAP Hizmetinin bir parçası olarak sağlanan hizmet özelliklerinin ve işlevlerinin sürekli iyileştirilmesi;
d) Kişisel Verilerin depolanması;
e) veri aktarımı için Kişisel Verilerin bilgisayarda işlenmesi;
f) Müşterinin talimatlarının Anlaşmaya uygun şekilde uygulanması;
2.4.3. SAP Desteği için: Müşteri, Yazılımın kullanılabilir olmamasına veya beklenen şekilde çalışmamasına istinaden bir destek çağrısı gönderdiğinde SAP veya Alt İşleyicileri destek sunar. Telefon çağrılarını yanıtlar, temel sorun giderme işlemleri gerçekleştirir ve destek çağrılarını bir izleme sisteminde yönetir.
2.4.4. Hizmetler için: SAP veya Alt İşleyicileri, Sipariş Formu Hizmetlerine ve geçerli Kapsam Dokümanına tabi şekilde Hizmetleri sağlar.
2.5. Aktarımın amacı, ilgili SAP Hizmetinin sağlanması ve desteklenmesidir. SAP ve Alt İşleyicileri, SAP Hizmetini uzaktan sağlayabilir veya destekleyebilir.
2.6. Aktarım sıklığı (ör. verilerin bir kerelik mi yoksa sürekli olarak mı aktarıldığı): Kişisel Veriler, Anlaşmanın süresi boyunca devamlı olarak aktarılacaktır.
2.7. Kişisel verilerin tutulacağı süre veya bunun mümkün olmaması halinde, söz konusu sürenin belirlenmesinde kullanılan ölçütler:
Kişisel Veriler, yukarıdaki Bölüm 5'te belirtildiği gibi SAP tarafından saklanacaktır.
2.8. (Alt) işleyicilere yönelik aktarımlar için işleme konusunu, niteliğini ve süresini de belirtin:
SAP, Kişisel Verileri Anlaşmanın süresi boyunca ilgili Alt İşleyiciler Listesinde belirtilen Alt İşleyicilere aktaracaktır.
3. C. YETKİ SAHİBİ DÜZENLEYİCİ OTORİTE
3.1. Yeni Standart Sözleşme Maddeleri ile ilgili olarak:
3.1.1. Modül 2: Veri Sorumlusu ile İşleyici Arası Aktarım
3.1.2. Modül 3: İşleyiciler Arası Aktarım
3.2. Müşterinin veri dışa aktaran olduğu durumlarda, düzenleyici otorite, Yeni Standart Sözleşme Maddelerinin 13. Maddesi uyarınca Müşteri üzerinde denetimi olan yetki sahibi düzenleyici otorite olacaktır.
Çizelge 2 - Teknik ve Organizasyonel Önlemler
Bu Çizelge 2; Standart Sözleşme Maddeleri (2010), Yeni Standart Sözleşme Maddeleri ve geçerli Veri Koruma Kanunu amaçları doğrultusunda ilgili teknik ve organizasyonel önlemleri açıklamak için kullanılmaktadır.
SAP, ilgili Teknik ve Organizasyonel Önlemleri uygulayacak ve sürdürecektir.
Bulut Hizmetinin sağlanması için Yeni Standart Sözleşme Maddeleri İlişkili Aktarımlar yapılması gerekmesi durumunda, Çizelge 2'de belirtilen Teknik ve Organizasyonel Önlemler, kişisel verilerin yapısını ve ilgili riskleri tam olarak dikkate almak için devreye alınan önlemleri ve korumaları ifade etmektedir. Yerel yasaların bu maddelere uyulmasını etkilemesi durumunda, kişisel verilerin aktarımı sırasında ve hedef ülkede işlenmesiyle ilgili olarak ek koruma önlemlerinin (geçerli olduğu durumlarda; aktarım halindeki verilerin şifrelenmesi, işlenmeyen verilerin şifrelenmesi, anonimleştirme, takma ad verme) alınması gerekebilir.