VERİ İŞLEME SÖZLEŞMESİ (“DPA”)

VERİ İŞLEME SÖZLEŞMESİ (“DPA”)

I) Genel

1. Kapsam

Taraflar özgün sözleşmelerin parçası olarak ayrı bir veri işleme sözleşmesi yapmadığı sürece DPA atıf yolu ile Sözleşmeye dâhil edilmiştir ve onun ayrılmaz bir parçasını oluşturmaktadır (Hükümler ve Koşullarda tanımlandığı gibi). DPA ile Sözleşmenin başka bir hükmü arasında herhangi bir tutarsızlık olması durumunda DPA geçerli olacaktır.

Bu DPA, TD SYNNEX’nın bir veri işleyicisi sıfatı ile hareket ederek, bir veri sorumlusu sıfatı ile kendi adına veya müşterileri veya onların son kullanıcıları (“Müşteriler”) adına hareket eden Alıcının adına ve onun talimatına uygun şekilde kişisel veri işlediği durumlarda geçerlidir. Ayrıca, bir veri işleyicisi sıfatı ile hareket eden Alıcının, bir veri sorumlusu sıfatı ile hareket eden [kendi adına veya üçüncü bir taraf adına] TD SYNNEX adına

ve onun talimatına uygun şekilde kişisel veri işlemesi gerektiği durumda da geçerlidir.

Bu DPA, TD SYNNEX ve Alıcının ayrı veya müşterek veri sorumluları olarak birbirleriyle kişisel veri paylaşması için geçerli değildir.

TD SYNNEX şu durumlarda tipik olarak ayrı bir veri sorumlusu olarak hareket eder:

(a) Alıcının faaliyetleri ile bağlantılı olarak kişisel veri topladığı zaman (Alıcının çalışanları ile ilgili kişisel veriler gibi);

(b) TD SYNNEX, Alıcının müşterisi tarafından sağlanan son kullanıcı kişisel verilerini şunlar için işlediği zaman:

(i) bir müşteri ilişkisinin kurulması ve sürdürülmesi ve hizmetlerin sağlanması ile bağlantılı olarak dolandırıcılık, kara para aklama ile mücadele, yaptırımlar kontrollerinin ve reddedilen taraf listesi taramaları dâhil olmak üzere diğer tüm kontrollerin gerçekleştirilmesi ve dolandırıcılık, kara para aklama veya yaptırım ihlallerinin soruşturulması ve kovuşturulması;

(ii) hukuk ve mevzuat yükümlülüklerine uyum;

(iii) anonimleştirme ve/veya veri analizi ve

(iv) tedarikçinin doğrudan müşteriye ürün göndermesi dâhil olmak üzere Sozlesmenin ifası ve Sözleşmeyi yerine getirmek için gerekli olması hâlinde söz konusu kişisel verilerin taşıyıcılar, üreticiler veya üçüncü taraf hizmet sağlayıcılar gibi veri sorumlusu olarak hareket eden üçüncü taraflara aktarılması.

2. Tanımlar

Bu DPA’da veya Sözleşmenin diğer kısımlarında tanımlanmayan herhangi bir terim Genel Veri Koruma Yönetmeliği (EU 2016/679) (“GDPR”) kapsamında kendilerine verilen anlama sahip olacaktır. Bu belgede GDPR maddelerine yapılan atıflar [Madde….GDPR] yalnızca işlemenin GDPR’ye tabi olduğu ölçüde geçerli olacaktır – diğer tüm ilgili yetki alanları için ilgili geçerli veri koruma yasaları geçerlidir.

“Üçüncü Ülke”, Avrupa Birliği (”AB”) veya Avrupa Ekonomik Alanı (“AEA”) üyesi olmayan ve Avrupa Komisyonu tarafından GDPR Madde 45(3) uyarınca kişisel veriler için yeterli koruma sağladığı onaylanmış olmayan herhangi bir ülke anlamına gelir.

“AEA Kişisel Verilerinin İşlenmesi”, bu DPA için, GDPR veya Birleşik Krallık veya İsviçre Gizlilik Yasaları kapsamına giren kişisel verilerin işlenmesi anlamına gelir.

“Standart Sözleşme Maddeleri” veya “SCC’ler”- 4 Haziran 2021 tarihli Komisyon Uygulama Kararı (EU) 2021/914’e veya herhangi bir ardıl veya tamamlayıcı karara göre kişisel verilerin üçüncü ülkelere aktarılması için standart sözleşme maddeleri anlamına gelir;

“Gizlilik Yasası”, AB veya AEA üye ülkeleri için, kişisel verilerin işlenmesi ve gizlilik ile ilgili olarak ilgili yetki alanlarında bulunabilecek olan yürürlükteki tüm yasalar ve yönetmelikler anlamına gelir ve GDPR’yi içerir;

“TOM’lar”, Gizlilik Yasalarının anlamı ile teknik ve kurumsal önlemler anlamına gelir;

“Alt İşleyici” veya “Alt-(alt)veri işleyicisi”, Sözleşmeye uygun şekilde kişisel verilere mantıksal erişime sahip olmak ve onları işlemek için bu DPA kapsamında yetkisi olan üçüncü taraflar anlamına gelir;

“Veri Aktarımı”, kişisel verileri ileten veya onlara erişim veren herhangi bir taraf anlamına gelir.

“İhracatçı”, bir Veri Aktarımının AEA, İngiltere veya İsviçre’de bulunan herhangi bir tarafı anlamına gelir.

II) Bir veri işleyici olarak TD SYNNEX için özel hükümler

Bu bölüm II, TD SYNNEX’nın bir veri işleyicisi sıfatı ile hareket ederek, bir veri sorumlusu sıfatı ile kendi adına veya Müşteriler adına hareket eden Alıcının adına ve onun talimatına bağlı olarak kişisel veri işlediği durumlarda geçerlidir. Aşağıdaki bölüm III’e ek olarak geçerlidir. Bölüm II ile III arasında bir tutarsızlık olması durumunda bu bölüm II geçerli olacaktır.

1. Elektronik iletişim. TD SYNNEX Alıcıya bu DPA bağlamında, TD SYNNEX standart web sitesi üzerinden veya TD SYNNEX’nın belirlediği bir web sitesi vasıtası ile e-posta da dâhil olmak üzere elektronik olarak bilgi ve bildirimler sağlayabilir.

2. İşlemenin Ayrıntıları. Alıcı, Hizmetleri kullanmakla, Sözleşmede (bu DPA dâhil) tanımlanan şekilde, TD SYNNEX standart web sitesi üzerinden veya TD SYNNEX’nın belirlediği bir web sitesi vasıtası ile e-posta da dâhil olmak üzere TD SYNNEX tarafından elektronik olarak sağlandığı ve iletildiği gibi, işlemenin niteliği, amacı ve ana konusu, veri sahiplerinin kategorileri, kişisel veri türleri, kişisel verilerin özel kategorileri, TOM’lar ve diğer veri işleyicileri –ilgili olduğu zaman– dâhil olmak üzere işlemenin ayrıntılarını kabul eder.

3. Standart Sözleşme Maddeleri. TD SYNNEX ile Alıcı arasında geçerli ise, SCC’ler, TD SYNNEX standart web

sitesinde veya TD SYNNEX’nın belirlediği bir web sitesi vasıtası ile bulunabilir.

4. TD SYNNEX’nın ve Alıcının Yükümlülükleri.

4.1. TD SYNNEX, bir veri işleyicisi olarak görevinde kendisi için geçerli olan tüm Gizlilik Yasalarına uyacaktır. TD SYNNEX, Alıcının veya onun Müşterilerinin sektörü için geçerli olup genellikle ilgili Ürünlerin sağlayıcıları için geçerli olmayan herhangi bir yasaya veya yönetmeliğe uymakla sorumlu değildir. TD SYNNEX, Alıcının veya Müşterilerinin verilerinin herhangi bir özel yasaya

veya yönetmeliğe tabi olan bilgiler içerip içermediğini belirlemez.

4.2. Alıcı, DPA ve işlemenin ayrıntıları dâhil olmak üzere Sözleşmede açıklanan şekilde, Alıcının veya Müşterilerinin Ürünleri kullanmasının Gizlilik Yasaları dâhil olmak üzere yasalar ve yönetmelikler bakımından ve özellikle TOM’lar, söz konusu olan diğer veri işleyicileri, veri merkezinin konumu ve ilgili veri aktarımı bakımından uygun, yeterli ve uyumlu olup olmadığını değerlendirecek ve belirleyecektir.

4.3. Alıcının kendisi kişisel verilerin sorumlusu olmadığı ama kişisel verileri Müşteriler adına işlediği takdirde, Alıcı şu bakımdan tüm sözleşmelere sahip olacağını ve Müşteri(ler) den gerekli tüm izinleri ve yetkileri alacağını garanti eder:

- TD SYNNEX ile ilgili olarak bu DPA kapsamında veri sorumlusu olarak hareket etmek ve DPA ile ilgili olarak TD SYNNEX ve onun diğer veri işleyicileri bakımından veri sorumlusu olarak tüm hakları kullanmak;

- TD SYNNEX’yı bu DPA ve işlemenin ayrıntıları dâhil olmak üzere Sözleşmede belirtilen şekilde kişisel verileri işlemek için bir veri işleyicisi olarak kullanmak;

- bu DPA ile bağlantılı olarak tüm talimat, bildirimler, bilgiler ve iletişim için TD SYNNEX ile tek iletişim noktası olmak ve yasal olarak gerekli olduğu zaman Müşteriler

ile TD SYNNEX arasındaki ilgili iletişim için arayüz oluşturmak. TD SYNNEX söz konusu bilgiyi veya bildirimi Alıcıya sağladığı zaman TD SYNNEX bir Müşteriye herhangi bir bilgi verme veya bildirimde bulunma yükümlülüğünden muaf tutulacaktır. TD SYNNEX, TD SYNNEX’nın diğer veri işleyicileri bakımından tek bir iletişim noktası görevi görecektir.

- Standart Sözleşme Maddeleri uyarınca İhracatçıların haklarını (uygulanabilir olduğunda) (i) TD SYNNEX‘ya ve/ veya (ii) İhracatçı adına TD SYNNEX aracılığıyla diğer veri işleyicilerine karşı kullanmak.

III) Genel İşleme Hükümleri

Bu bölüm III, TD SYNNEX’nın veri işleyicisi sıfatıyla hareket ettiği, kişisel verileri Alıcı adına ve Alıcı‘nın talimatına

bağlı olarak, kendi adına veya bir veri sorumlusu sıfatıyla Müşteriler adına hareket ettiği durumlarda bölüm II’ye ek olarak geçerlidir. Ayrıca, bir veri işleyicisi sıfatı ile hareket eden Alıcının, bir veri sorumlusu sıfatı ile hareket eden [kendi adına veya üçüncü bir taraf adına] TD SYNNEX adına ve onun

talimatına uygun şekilde kişisel veri işlemesi gerektiği durumda da geçerlidir.

1. Veri sorumlusunun Yükümlülükleri

1.1. Veri sorumlusu, Gizlilik Yasalarına göre işleme bakımından bir veri sorumlusunun tüm yasal yükümlülüklerine uymaktan tek başına veri sorumlusu olacaktır. Veri sorumlusu, Sözleşmenin feshedilmesi veya sona ermesi üzerine ve bir talimat vermek suretiyle, kişisel veriler

dâhil olmak üzere veri taşıyıcı ortamın iade edilmesi veya saklanan kişisel verilerin silinmesi için önlemler şart koşacak ve kişisel verilerin veri işleyicisi tarafından

işlenmesi ile bağlantılı olarak öğrendiği herhangi bir hatayı veya aykırılığı gereksiz gecikme olmadan veri işleyicisine bildirecektir.

1.2. Veri sorumlusu, Ürünleri kişisel veriler ile bağlantılı olarak kullanmak Gizlilik Yasalarını ihlal ettiği takdirde onları bu şekilde kullanmayacak ve Müşterilerini buna uygun şekilde zorunlu tutacaktır.

2. İşleyicinin Yükümlülükleri

2.1. İşleyici yükümlülüklerine uyum. İşleyici, AEA veri Gizliliği Yasası uyarınca veri işleyicileri için geçerli olan tüm yükümlülüklere uyacaktır. İşleyici, veri sorumlusunun veya Müşterinin işi veya sektörü için geçerli olan yasaların gerekliliklerini veya veri işleyicisinin Ürünleri sağlamasının söz konusu yasaların gerekliliklerini karşıladığını belirlemekten sorumlu değildir.

2.2. Talimat. İşleyici, kişisel verileri yalnızca veri sorumlusunun bu DPA ve ekleri – geçerli ise – dâhil olmak üzere Sözleşmede tanımlanan yazılı talimatına, veri sorumlularının Ürünler için veya yazılı şekilde yetki verdiği kullanıma ve yapılandırmaya uygun olarak işleyecektir. İşleyici, veri sorumlusunun talimatının

geçerli veri koruma yasasını ve/veya bu DPA dâhil olmak üzere Sözleşme kapsamındaki sözleşme yükümlülüklerini veri işleyicisinin ihlal ettiğini düşünmesi hâlinde derhal veri sorumlusunu bilgilendirecektir. İşleyici, söz konusu talimat veri sorumlusu tarafından inceleninceye ve bunun sonucunda onaylanıncaya veya değiştirilinceye kadar bu talimatın uygulanmasını askıya alma hakkına sahiptir.

İşleyicinin tabi olduğu AB’nin veya üye devletlerinin yasaları tarafından gerekli tutulması hâlinde, veri işleyicisinin kişisel verileri veri sorumlusunun talimatı olmadan işlemesine izin vardır; böyle bir durumda, o yasa söz konusu bilgilendirmeyi önemli kamu yararı gerekçesi ile yasaklamadığı sürece veri işleyicisi, işlemeden önce veri sorumlususu söz konusu yasal gereklilik hakkında bilgilendirecektir.

2.3. Açıklama/Erişim. İşleyici, veri sorumlusu tarafından yetki verilmediği veya AB’nin veya üye devletlerinin yasaları tarafından izin verilmediği sürece kişisel verileri hiçbir üçüncü tarafa açıklamayacaktır. Söz konusu yasa üçüncü tarafa vermeyi gerekli tuttuğu veya bir devlet, mahkeme veya denetim makamı söz konusu yasa temelinde kişisel verilere erişim talep ettiği takdirde

veri işleyicisi, önemli kamu yararı gerekçesi ile yasa tarafından yasaklanmadığı sürece açıklama öncesinde veri sorumlusunu bilgilendirecektir. AB’nin veya üye devletlerinin yasaları uyarınca yapmak zorunda olmadığı sürece, veri işleyicisi, önce veri sorumlusuna danışmadan,

veri işleyicisine tebliğ edilen söz konusu talebe yanıt olarak hiçbir kişisel veriyi açıklamayacak veya yayınlamayacaktır.

Veri sorumlusunun kişisel verilerinin aramaya ve el koymaya, iflas veya tasfiye işlemleri sırasında müsadere edilmeye veya işleme sırasında üçüncü taraflarca benzer olaylara veya önlemlere tabi duruma gelmesi hâlinde veri işleyicisi, veri sorumlusunu gereksiz gecikme olmadan bilgilendirecektir.

2.4. Güven yükümlülüğü. İşleyici, kişisel verilerin işlenmesi için görevlendirilen tüm personelinin ve kişilerin gizliliğe bağlı kalmasını - uygun bir yasal gizlilik yükümlülüğü geçerli olmadığı sürece - ve söz konusu kişisel verileri

veri sorumlusundan gelen talimat veya AB’nin veya üye devletlerinin yasaları tarafından gerekli tutulan amaçlar dışında hiçbir amaç için işlememesini gerekli tutar.

2.5. Veri Sahibi Hakları. İşleyici, veri sorumlusunun isteği üzerine ve yasal olarak gerekli olduğu şekilde, Gizlilik Yasaları kapsamında haklarını kullanmak isteyen veri sahiplerinden gelen talepler dâhil olmak üzere veri sahibi erişimi sağlama ve tüm taleplere yanıt verme, bir veri sahibinden gelen şikâyetler veya başka iletişimler bakımından veri sorumlusuna makul şekilde yardımcı olacaktır. Böyle bir talebin, şikâyetin veya iletişimin

veri işleyicisi tarafından alınması veya ona iletilmesi durumunda, veri işleyicisi veri sahibini veri sorumlusu ile ilişkilendirebildiği takdirde veri işleyicisi, gereksiz gecikme olmadan veri sorumlusunu bilgilendirecektir.

2.6. Veri İhlali. İşleyici, veri sorumlusunun kişisel verilerini etkileyen herhangi bir kişisel veri ihlalinin (“Veri İhlali”) farkına vardıktan sonra veri sorumlusunu gereksiz gecikme olmadan bilgilendirecektir. İşleyici, kişisel Veri İhlalinin etkilerini düzeltmek veya hafifletmek için makul olan önlemleri alacak, işlemleri yapacak veişlemenin niteliğini ve veri işleyicisine sunulan bilgileri dikkate alarak veri sorumlusunun geçerli Gizlilik yasası kapsamında Veri İhlalini denetleme makamlarına ve veri sahiplerine bildirme yükümlülüklerine uymasına yardımcı olacaktır.

Özellikle veri işleyicileri, düzenli güncellemeler ve makul şekilde talep edilen başka bilgiler sağlayarak veri sorumlusu ile işbirliği yapacaktır. Bir Veri İhlali ile

ilgili herhangi bir basın açıklaması, bildirim, kamu veya mevzuat ile ilgili duyurusu veya iletişimi, yürürlükteki yasaların aksini gerektirdiği durumlar dışında, veri sorumlusu tarafından yalnız veri sorumlusunun takdirine göre yapılacaktır.

2.7. Veri sorumlusunun yükümlülükleri konusunda yardım. İşleyici, veri sorumlusunun TD SYNNEX’ya sunulan bilgilerini ve işlemenin niteliğini dikkate alarak, işlemenin güvenliği, veri koruma etki değerlendirmeleri ve ön danışmalar ile ilgili olarak veri sorumlusunun yükümlülükleri bakımından veri sorumlusunun isteği

üzerine veri sorumlusuna makul şekilde yardımcı olacaktır. İşleyici, söz konusu denetimin bu Sözleşme kapsamında veri işleyicisi tarafından kişisel veri işlenmesi ile ilgili olması ve veri sorumlusu tarafından makul şekilde talep edilmesi hâlinde herhangi bir yetkili denetim makamının denetimleri ile bağlantılı olarak yardım sağlayacaktır.

İşleyicinin yardımı Sözleşmede gereken şekilde zaten ele alınmış olmadığı sürece, veri işleyicisinin yardımı makul bir ücrete tabi olabilir.

2.8. Sözleşmenin Sonu. İşleyici, Sözleşmenin feshedilmesi veya sona ermesi üzerine tüm kişisel verileri veri

sorumlusunun tercihine göre silecek veya veri sorumlusuna iade edecek ve AB veya üye devlet yasası kişisel verilerin veri işleyicisi tarafından saklanmasını gerektirmediği sürece mevcut kopyaları silecektir.

3. Teknik ve Kurumsal Güvenlik Önlemleri

3.1. İşleyici ve veri sorumlusu, geçerli Gizlilik Yasasının gerektirdiği şekilde TOM’lar uygulayacak ve sürdürecektir. Bu, teknolojik gelişme düzeyi ve herhangi bir önlem uygulamanın maliyeti göz önünde tutularak, yetkisiz veya yasa dışı işleme veya kazara kaybolma, imha edilme veya hasar görme yüzünden ortaya çıkabilecek olan zarar ve korunacak olan verilerin niteliği bakımından uygun olan şekilde, kişisel veriler hakkındaki riskler veya onların zarar görmesi bakımından uygun olan bir güvenlik düzeyi sağlamak için TOM’ların uygulanmasını ve sürdürülmesini içerir (bu önlemler, uygun olduğu durumlarda, kişisel verilerin rumuzlu hale getirilmesini ve şifrelenmesini, sistem ve hizmetlerinin gizliliğinin, bütünlüğünün, kullanılabilirliğinin ve esnekliğinin sağlanmasını içerebilir.).

3.2. TOM’lar teknik ilerlemeye ve daha çok geliştirilmeye tabidir. İşleyici, Ürünlerin işlevselliği ve güvenliğinin bozulmaması koşuluyla, uygulanan önlemleri ve önlemleri değiştirme hakkını saklı tutar. Veri işlemenin organizasyonu ve uygulanan prosedürler hakkında güvenlikle ilgili tüm önemli kararlar veri sorumlusuna bildirilecektir.

3.3. Veri sorumlusu bir Ürünü kullanmakla Sözleşmede belirtilen ve/veya İşleyici tarafından sağlanan TOM’ları kabul eder ve TOM’ların kişisel verilerin işlenmesi

ile ilişkili riskler bakımından yeterli düzeyde koruma sağladığını teyit eder.

4. Dokümantasyon ve Denetim Yükümlülükleri

4.1. İşleyici, veri sorumlusunun talebi üzerine geçerli veri koruma yasaları veya bir denetim makamının talebi uyarınca veri sorumlusunun veya Müşterilerin kendi denetim yükümlülüklerine uyması için gerekli olan bilgileri veri sorumlusuna veya veri sorumlusu adına hareket eden yetkili bir üçüncü tarafa sağlayacak ve aşağıda öngörülen şekilde teftişler dâhil olmak üzere incelemelere ve denetimlere izin verecek ve katkıda bulunacaktır.

4.2. Veri sorumlusu, veri işleyicisinin, denetçinin sertifikaları, raporları veya bağımsız kurumlar (örneğin denetmen, veri koruma görevlisi, BT güvenlik bölümü, veri gizliliği denetmeni, kalite denetmeni) tarafından sağlanan raporlardan alıntılar dâhil olmak üzere – mevcut olduğu takdirde – TOM’lar hakkında uygun bilgiler sağlamasını talep edebilir.

4.3. Geçerli Gizlilik Yasası tarafından zorunlu kılınan bir denetim yükümlülüğünü başka şekilde yerine getirmenin mümkün olmadığı ölçüde veri sorumlusu veya onun görevlendirdiği denetmen, veri işleyicisinin faaliyetlerine makul bir müdahale ile ve makul bir önceden bildirimde bulunmak suretiyle, genellikle yılda bir defadan fazla olmamak üzere, normal iş saatleri içinde, maliyeti veri sorumlusu tarafından karşılanmak üzere bireysel olarak yerinde denetimler gerçekleştirebilir. İşleyici, söz konusu denetimlerin ve teftişlerin, diğer müşterilerin verilerini ve

uygulanan TOM’ların ve koruma önlemlerinin gizliliğini koruyan bir gizlilik taahhüdünün imzalanmasına tabi olduğuna karar verebilir.

4.4. Veri sorumlusu, bir denetim sırasında belirlenen herhangi bir hata veya aykırılık hakkında veri işleyicisini gereksiz gecikme olmadan bilgilendirecektir.

5. Alt veri işleyicisi

5.1. Veri sorumlusu, bu Madde 5 uyarınca veri sorumlusunun yükümlülüklerine tabi olarak, Ürünleri sağlama amaçları için bu belge ile veri işleyicisine, kendisi tarafından görevlendirilen diğer veri işleyicilere kişisel veri aktarma veya kişisel verilere erişim sağlama (ve bu Madde 5 uyarınca diğer veri işleyicilerinin bunu yapmasına izin verme) yetkisi vermektedir. İşleyici tarafından diğer

veri işleyicilerin dâhil edilmesi için Standart Sözleşme Maddeleri veya Gizlilik Yasası uyarınca veri sorumlusunun ön yazılı izni gerekli olduğu takdirde, yukarıdaki yetkilendirme veri sorumlusunun söz konusu ön yazılı iznini oluşturur. İşleyici, diğer veri işleyicilerinin bu DPA’nın yükümlülüklerine uymasından sorumlu olmaya devam eder. İşleyici, diğer veri işleyicilerin güncel listesini örneğin bir veri işleyicisi web sitesinde veri sorumlusuna sağlar.

5.2 Veri sorumlusu, bildirimin ardından 10 gün içinde yeni bir veri işleyicisinin görevlendirilmesine itiraz etme hakkına sahip olacaktır. Aksi takdirde, veri sorumlusunun söz konusu yeni atamayı veya değişikliği onaylamış olduğu kabul edilecektir. İtiraz için bariz bir şekilde önemli bir nedenin mevcut olması ve bu konunun taraflarca dostane bir şekilde çözüme kavuşturulmaması durumunda veri sorumlusu, ilgili Ürünle ilgili olarak Sözleşmeyi feshetme hakkına sahip olacaktır.

5.3 İşleyici, görevlendirdiği diğer veri işleyicilerinin her birisi ile, bu DPA’da öngörülenlerden daha az koruyucu olmayan yazılı sözleşmeler yapar. Söz konusu sözleşme özellikle gerekli TOM’ları uygulamak için yeterli garantiler sağlar.

6. Uluslararası Veri Aktarımı

6.1. Veri sorumlusu, işbu belgeyle veri işleyicisine, Sözleşmede, işleme ayrıntılarında ve/veya ilgili olduğu durumlarda SCC‘lerde belirtildiği gibi hizmetler bağlamında kişisel verileri aktarma veya bunlara erişim verme yetkisi verir.

6.2. Veri sorumlusunun bulunduğu ülke veya bölge dışında herhangi bir şekilde kişisel veri işlenmesi, Gizlilik Yasası gerektirdiği takdirde ve onun gerektirdiği şekilde yeterli bir veri aktarma mekanizmasına tabidir.

6.3. AEA Kişisel Verilerinin İşlenmesi bağlamında uluslararası veri aktarımları bakımından, kişisel verileri ileten

veya bunlara erişim sağlayan taraf AEA, İngiltere veya İsviçre’de bulunduğu ve söz konusu verileri alan veya bu verilere erişim sahibi olan diğer taraf Üçüncü bir Ülkede bulunduğu takdirde TD SYNNEX ile Alıcı arasında SCC’ler imzalanması gerekir. Bu DPA’nın hükümlerinin amacı SCC’leri değiştirmek veya tadil etmek değil SCC’lere uyum için süreçler ve prosedürler açısından açıklık sağlamaktır. Bu DPA ile SCC’lerin hükümleri arasında herhangi bir çatışma olması durumunda SCC’ler geçerli olacaktır.

6.4. Diğer veri işleyicileri görevlendiren veri işleyicileri ile bağlantılı Veri Aktarımları bakımından, veri işleyicisi diğer veri işleyicileri ile geçerli Standart Sözleşme Maddelerini (İşleyiciden İşleyiciye) imzalar ve diğer veri işleyicilere ileriye aktarımlar ile ilgili olarak buna göre yükümlülük getirir.

7. Gizlilik

Taraflar, bu DPA ile bağlantılı olarak paylaşılan hiçbir gizli bilgiyi şunlar dışında açıklamayacaktır: (i) bu DPA’da veya tarafların talimatında gerekli olan şekilde, (ii) yasanın gerektirdiği şekilde, (iii) yetkili bir makama veya bir mevzuat veya devlet kurumuna yanıt olarak ve (iv) bilme ihtiyacı temelinde gizlilik ile bağlı olan kendi çalışanlarına, acentelerine ve yüklenicilerine yapılan açıklamalar için.