MÜŞTERİ VERİ İŞLEME EKİ
MÜŞTERİ VERİ İŞLEME EKİ
Bu Veri İşleme Eki (“DPA”) ve ilgili Ekleri, HP ve Müşteri arasındaki geçerli anlaşmalarda (“Hizmet Anlaşması”) kararlaştırılan Hizmetlerin sağlanması için HP’nin Müşterinin Kişisel Verilerini işlediği durumlarda geçerlidir. Burada özel olarak tanımlanmayan ve büyük harfle başlayan terimler, Hizmet Anlaşmasında öngörülen anlama gelecektir. Hizmet Anlaşmasının Kişisel Verilerin işlenmesine yönelik şartları ile bu DPA’nın şartları arasında bir çelişki olması halinde DPA hükümleri dikkate alınacaktır.
1 TANIMLAR
1.1 “CCPA”, 2018 tarihli Kaliforniya Tüketici Gizliliği Kanunu (Kal. Med. Kanunu 1798.100 ve sonraki sayfaları) ile muhtelif zamanlarda tadil edilen ve yenileri eklenen halleriyle diğer ilişkili regülasyonlar anlamına gelir.
1.2 “Müşteri”, HP Hizmetlerinin son kullanıcı müşterisi anlamına gelir;
1.3 “Müşterinin Kişisel Verileri”, Müşterinin Veri Sorumlusu olduğu ve Hizmetler sağlanırken Veri İşleyen olarak HP’nin veya Alt Veri İşleyenlerin işlediği Kişisel Veriler anlamına gelir;
1.4 “Veri Sorumlusu”, tek başına ya da başkalarıyla Kişisel Verilerin işlenme amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişi, kamu merci, kurumu ya da diğer organlar anlamına gelmekte olup, CCPA kapsamında bir “işletmeyi” de içermektedir; veri işlemenin amaçları ve yöntemleri ilgili Veri Koruma ve Gizlilik Yasası tarafından belirleniyorsa, Veri Sorumlusu ve Veri Sorumlusu olarak görevlendirilme kriterleri de yürürlükteki Veri Koruma ve Gizlilik Yasaları tarafından belirlenecektir;
1.5 “Veri İşleyen”, Veri Sorumlusu adına veya Veri Sorumlusu adına hareket eden başka bir Veri Sorumlusunun talimatıyla Kişisel Verileri işleyen gerçek veya tüzel kişi, kamu merci, kurumu veya diğer organlar anlamına gelir;
1.6 “Veri Koruma ve Gizlilik Yasaları” CCPA, GDPR ve kişisel verilerin işlenmesine ve elektronik iletişimler sektöründe gizliliğin korunmasına ilişkin 2002/58/EC sayılı Direktif de dahil, ancak bunlarla sınırlı olmamak üzere ilgili yargı bölgelerinde mevcut olabilecek ve Kişisel Verilerin işlenmesi, güvenliği, korunması ve saklanması ile gizliliğe ilişkin mevcut ve gelecek tüm yasalar ve yönetmelikler ile yukarıda sözü edilen Direktifleri uygulayan ulusal yasa ve regülasyonlar ve Norveç, İzlanda, Lihtenştayn, İsviçre ve Birleşik Krallık’ın veri koruma yasaları ile bu yasa ve regülasyonların tadilleri veya yenilemeleri anlamına gelir;
1.7 “Veri Sahibi İlgili Kişi”, ilgili Veri Koruma ve Gizlilik Yasaları kapsamında “veri sahibi ilgili kişi” ifadesine atfedilen anlama sahip olacak ve asgari olarak Kişisel Verilerin ilişkili olduğu, kimliği belirli veya belirlenebilir tüm gerçek kişileri içerecektir;
1.8 “AB”, Avrupa Birliği ve birliğin üyesi olan ülkeler anlamına gelir;
1.9 “Avrupa Ülkesi” AB üye ülkeleri, Norveç, İzlanda, Lihtenştayn, İsviçre ve Birleşik Krallık anlamına gelir;
1.10 “Avrupa-ABD Onaylı Yeterlilik Mekanizması” Kişisel Verilerin bir Avrupa Ülkesinden ABD’ye aktarımı için ilgili Veri Koruma ve Gizlilik Yasaları kapsamında onaylanan her türlü yeterlilik mekanizması anlamına gelir;
1.11 “AB Standart Sözleşme Hükümleri (veri işleyenler)”, 4 Haziran 2021 tarih ve (EU) 2021/914 sayılı Komisyon Uygulama Kararında veya İsviçre ve Birleşik Krallık için gerekli tadilleri içeren müteakip bir
kararda öngörülen ve Veri Sorumlularından Veri İşleyenlere Kişisel Verilerin aktarımına yönelik AB standart sözleşme hükümleri anlamına gelir;
1.12 “AB Standart Sözleşme Hükümleri (alt veri işleyenler)”, 4 Haziran 2021 tarih ve (EU) 2021/914 sayılı Komisyon Uygulama Kararında öngörülen ve Veri İşleyenlerden Veri İşleyenlere Kişisel Verilerin aktarımına yönelik AB standart sözleşme hükümleri anlamına gelir;
1.13 “GDPR” kişisel verilerin işlenmesine ve bu verilerin serbest dolaşımıyla ilişkili olarak gerçek kişilerin korunmasına ilişkin (EU) 2016/679 sayılı Genel Veri Koruma Regülasyonu anlamına gelir;
1.14 “HP Grubu”, HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) ile kuruluş veya faaliyet yerinden bağımsız olarak çoğunluğuna sahip olduğu veya çoğunluğunu kontrol ettiği tüm iştirakleri anlamına gelir;
1.15 “Kişisel Veri” kimliği belirli ya da belirlenebilen bir şahısa ait her türlü bilgi ile ilgili Veri Koruma ve Gizlilik Yasalarında başka şekilde tanımlanan bilgiler anlamına gelir. Kimliği belirlenebilir şahıs, doğrudan ya da dolaylı olarak, özellikle de isim, kimlik numarası, konum bilgileri, kimliği tespit edici çevrimiçi bir unsur veya fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel ve sosyal kimliğine yönelik bir veya birkaç faktöre atıfta bulunmak suretiyle kimliği belirlenebilecek şahıstır;
1.16 “Kişisel Veri İhlali”, ilgili Veri Koruma ve Gizlilik Yasaları kapsamında “güvenlik olayı”, “güvenlik ihlali” veya “kişisel veri ihlali” ifadelerine atfedilen anlama sahip olacak, ancak Kişisel Verilere yetkisiz biçimde erişildiğine, bunların ifşa edildiğine, tahrif edildiğine, kaybedildiğine veya yetkisiz kişilerce kullanıldığına veya böyle bir ihtimale dair HP’nin haberdar olduğu her türlü durumu içerecektir;
1.17 “işlemek”, “işleme” veya “işlenmiş” ifadeleri, otomatik yöntemlerle olsun ya da olmasın Kişisel Verilere erişilmesi, bunların toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, elde tutulması, saklanması, uyarlanması veya tahrif edilmesi, çekilmesi, başvurulması, kullanılması, iletim yoluyla ifşa edilmesi, yayılması veya başka biçimde kullanıma sunulması, hizalanması, birleştirilmesi, bloke edilmesi, kısıtlanması, silinmesi ve imha edilmesi de dahil, ancak bununla sınırlı olmamak üzere Kişisel Veriler üzerinde yapılmış olan her türlü işlem veya işlemler dizisi ve bu tanımın kapsamını aşacak olması halinde ilgili Veri Koruma ve Gizlilik Yasalarındaki eşdeğer tanımlar anlamına gelir;
1.18 “Veri İşleyen İçin Bağlayıcı Şirket Kuralları”, Veri İşleyen için AB’de belli başlı Gizlilik Mercilerince onaylanmış bağlayıcı şirket kuralları anlamına gelir;
1.19 “İlgili Ülke” Avrupa Veri Koruma Direktifi Madde 25(6) veya GDPR’ın 45. Maddesi veya İsviçre ya da Birleşik Krallık yasaları kapsamında eşdeğer bir hüküm uyarınca yeterlilik bulgusu bulunan ve Avrupa Ülkeleri dışındaki tüm ülkeler ile diğer ülkeler anlamına gelmekte olup Avrupa-ABD Onaylı Gizlilik Mekanizmasının kullanımını gerektirecek şekilde bir yeterlilik bulgusu varsa ABD’yi içermektedir;
1.20 “Satma” ve “Satış” CCPA’da öngörülen anlama sahip olacaktır;
1.21 “Hizmetler” Hizmet Anlaşması kapsamında HP’nin sağladığı ürünler ve destek anlamına gelir;
1.22 “Hizmet Anlaşması” Hizmetlerin HP’den satın alınması için HP ve Müşteri arasındaki anlaşma anlamına
gelir ve
1.23 “Alt Veri İşleyen” bir Veri Sorumlusu adına hareket eden bir Veri İşleyen için Kişisel Verileri işleyen her türlü gerçek veya tüzel kişi, kamu merci, kurumu veya diğer organlar anlamına gelir.
2 KAPSAM VE YASALARA UYGUNLUK
2.1 Bu DPA, HP’nin Hizmetleri sağlamasıyla ilişkili ve HP’nin Veri Sorumlusu olan Müşteri adına Veri İşleyen olarak hareket ettiği hallerde HP’nin Müşteri Kişisel Verilerini işlemesi için geçerlidir. Herhangi bir tarafın
bağımsız Veri Sorumlusu olduğu hallerde, Kişisel Verilerin işlenmesine yönelik amaçları ve yöntemleri söz konusu taraf belirleyecek ve geçerli tüm Veri Koruma ve Gizlilik Yasaları altında kendisi için geçerli olan yükümlülüklere uygun hareket edecektir. Bu Bölüm 2.1’deki hiçbir hüküm herhangi bir Tarafın Taraflar arasındaki Anlaşma kapsamında Kişisel Verileri kullanma veya başka biçimde işleme haklarına yönelik kısıtlamaları değiştirmeyecek ve Taraflar Kişisel Verileri yalnızca ve münhasıran bu Anlaşmada belirtilen amaçlar için işleyecektir.
2.2 Veri Sahibi İlgili Kişi kategorileri, işlenen Müşteri Kişisel Verilerinin türleri ve işleme amaçları bu DPA’nın Ek 1’inde yer almaktadır. HP, Hizmet Anlaşmasının süresi boyunca (ya da geçerli yasalarca gerekmesi halinde daha uzun süre boyunca) Kişisel Verileri işleyecektir.
2.3 Müşteri HP’nin Hizmetlerini kullanımı sırasında, Hizmetlerle ilişkili olarak HP’nin işleyeceği Müşteri Kişisel Verilerinin doğruluğu, kalitesi ve yasallığına ilişkin yürürlükteki tüm Veri Koruma ve Gizlilik Yasaları ile uyum için tek başına sorumlu olacaktır. Müşteri, Müşteri Kişisel Verilerinin işlenmesine yönelik olarak HP’ye sağladığı talimatların yürürlükteki tüm Veri Koruma ve Gizlilik Yasalarına uygun olmasını da sağlayacak ve yürürlükteki Veri Koruma ve HP’nin Gizlilik Yasaları kapsamındaki yükümlülüklerini ihlal etmesine yol açmayacaktır.
2.4 Müşteri bu DPA’nın açıkça kapsamadığı Kişisel Veri kategorilerini işlemek üzere Hizmetleri kullanırsa Müşteri riski üstlenmek suretiyle hareket edecektir ve HP, söz konusu kullanımla ilişkili olası uyum eksikliklerinden sorumlu olmayacaktır.
2.5 HP’nin herhangi bir HP çalışanına ilişkin Kişisel Verileri Müşteriye ifşa etmesi halinde veya bir HP çalışanının Hizmetleri kullanımını yönetmek üzere Müşterinin işlediği Kişisel Verileri doğrudan Müşteriye sağlaması halinde, Müşteri bu Kişisel Verileri gizlilik politikalarına ve geçerli Veri Koruma ve Gizlilik Yasalarına uygun işleyecektir. Söz konusu ifşalar HP tarafından yalnızca, sözleşme yönetimi, hizmet yönetimi veya Müşterinin makul geçmiş tarama doğrulaması veya güvenlik amaçlarıyla, yasaya uygun olması halinde yapılacaktır.
2.6 Hizmetlerin belli başlı yönlerinin CCPA kapsamında Satış kabul edilen faaliyetleri gerektirmesi halinde, her iki Taraf da geçerli olduğu ölçüde CCPA uyumundan ayrı ayrı sorumlu olacak ve diğer Tarafın CCPA kapsamındaki yükümlülüklerini yerine getirmesi için gerekli makul yardımı sunacaktır.
3 VERİ İŞLEYENİN YÜKÜMLÜLÜKLERİ
3.1 Hizmet Anlaşmasında Müşterinin Kişisel Verilerine ilişkin aksini öngören hususlara bakılmaksızın HP:
3.1.1 Yalnızca Müşterinin belgelendirilmiş talimatları (ki bunlar nitelik itibariyle spesifik veya genel olabilir veya Taraflarca başka biçimde kararlaştırılmış olabilir) uyarınca Müşteri Kişisel Verilerini işleyecektir. Yukarıdaki hususun genelliğini kısıtlamaksızın, CCPA’nın geçerli olduğu ölçüde HP, Müşteri Kişisel Verilerini özel olarak Hizmetleri gerçekleştirme amacı dışındaki amaçlarla Satmayacaktır. Yukarıdakilere bakılmaksızın HP geçerli yasalar altında gerektiği üzere Müşteri Kişisel Verilerini işleyebilir. Böyle bir durumda, yasa bunu menetmiyorsa HP verileri işlemeden önce bu gereklilik hakkında Müşteriyi bilgilendirmek adına makul adımları atacaktır;
3.1.2 Yalnızca Kişisel Verilerin korunması ve işlenmesi konularında gerekli eğitimden geçmiş olan ve Müşteri Kişisel Verilerinin gizliliğine saygı duymakla yükümlü yetkili personelin Kişisel Verilere erişmesini sağlayacaktır;
3.1.3 Kişisel Verilerin yetkisiz veya yasa dışı biçimde imhası, kaybı, tahrifi, yetkisiz ifşası ya da erişimine karşı gerekli teknik ve idari tedbirleri uygulayacaktır. Bu tedbirler Müşteri Kişisel Verilerinin yetkisiz ya da yasadışı biçimde işlenmesi, kazara kaybolması, imhası, zarar görmesi veya çalınmasından kaynaklanabilecek zararlara ve korunacak olan Müşteri Kişisel Verilerinin niteliğine uygun olacaktır.
3.1.4 Uygunsuz bir gecikme olmaksızın ve yasaların izin verdiği ölçüde geçerli Veri Koruma ve Gizlilik Yasaları altındaki haklarına başvurmak isteyen Veri Sahibi İlgili Kişilerin talepleri hakkında Müşteriyi bilgilendirecek ve işlemenin niteliğini göz önünde bulundurarak uygun teknik ve idari tedbirleri uygulayarak, mümkün olduğu ölçüde Müşterinin söz konusu taleplere yanıt verme yükümlülüğüyle ilgili Müşteriye yardım sağlayacaktır. Müşterinin Kişisel Verilerinin Hizmet Anlaşması kapsamında sağlanan Hizmetler aracılığıyla erişilebilir olmaması halinde, yasal olarak izin verilmesi halinde ve Müşterinin talebi üzerine, bu taleplere yanıt yürürlükteki Veri Koruma ve Gizlilik Yasalarınca gerekli ise HP, Müşterinin bu taleplere yanıt vermesinde Müşteriye yardımcı olmak üzere ticari açıdan makul çaba sarf edecektir;
3.1.5 Müşterinin yazılı talebiyle ve maliyet Müşteriye ait olmak üzere, işlemenin niteliğini ve HP’ye sağlanan bilgileri göz önünde bulundurarak GDPR’nin 32. ila 36. Maddeleri ya da geçerli Veri Koruma ve Gizlilik Yasaları altındaki eşdeğer hükümler kapsamındaki yükümlülüklerinde Müşteriye yardımcı olacaktır;
3.1.6 Müşterinin yazılı talebiyle birlikte, Müşterinin Kişisel Verilerinin saklanması geçerli yasalarca gerekli değilse Hizmetlerin sağlanması sonlandığında Müşteri Kişisel Verilerini silecek veya Müşteriye iade edecektir.
4 ALT VERİ İŞLEME
4.1 Müşteri, Hizmetleri sağlamak amacıyla veya Ek 1’in ‘İşleme Faaliyetleri’ bölümünde belirtilen amaçlarla Müşteri Kişisel Verilerini aktarması veya Müşterinin Kişisel Verilerine erişim hakkını HP Grubuna ve Alt Veri İşleyenler olarak üçüncü taraflara tanıması (ve Alt Veri İşleyenlerin de Madde 4.1 uyarınca bunu yapmasına izin vermesi) için HP’yi yetkilendirmektedir. HP, Alt Veri İşleyenlerin bu DPA’da belirtilen yükümlülüklere uyumundan sorumlu olacaktır. HP’nin Müşteri Kişisel Verilerini aktardığı Alt Veri İşleyenlerin HP ile yazılı anlaşmalar imzalayarak bunlar kapsamında Alt Veri İşleyenlerin bu DPA’da öngörülenlerden daha az koruyucu olmayan şartlara uygun hareket etmesini sağlayacaktır. HP, Hizmet Anlaşmasının kapsadığı Hizmetler için Alt Veri İşleyenlerin mevcut bir listesini Müşteriye sunacaktır.
4.2 Müşteriye on (10) gün önceden bildirimde bulunmak kaydıyla ve Müşterinin herhangi bir değişikliğe bu zaman dilimi içerisinde meşru biçimde itiraz etmemesi kaydıyla HP herhangi bir zamanda ve gerekçe göstermeksizin yeni bir Alt Veri İşleyen görevlendirebilir. Meşru itirazlar Alt Veri İşleyenin geçerli Veri Koruma ve Gizlilik Yasaları ile uyumsuzluğuna ilişkin makul ve belgelendirilmiş gerekçeler içermelidir. HP’nin makul görüşüne göre söz konusu itirazlar meşru ise HP, Müşterinin Kişisel Verilerinin kullanılması bağlamında bu Alt Veri İşleyen kullanmaktan kaçınacaktır. Bu durumlarda itiraz edilen Alt Veri İşleyenin Müşteri Kişisel Verilerini işlemesini önlemek adına HP (i) HP’nin Hizmetlerinde bir değişikliği Müşteriye sunmak veya (ii) Müşterinin konfigürasyonunda veya Hizmetlerin kullanımında bir değişiklik önermek üzere makul çaba sarf edecektir. HP bu değişikliği makul bir zaman dilimi (ki bu doksan (90) günü geçmeyecektir) içerisinde sunamazsa Müşteri HP’ye yazılı bildirimde bulunarak HP’nin itiraz edilen Alt Veri İşleyen kullanmadan sağlayamayacağı Hizmeti sonlandırabilir.
5 KİŞİSEL VERİ İHLALLERİ
5.1 HP, Müşterinin Kişisel Verilerini içeren bir Kişisel Veri İhlalinden haberdar olursa bir gecikme olmaksızın Müşteriyi bilgilendirecek, Kişisel Veri İhlalini gidermek üzere Müşterinin makul biçimde istediği zaman dilimleri içerisinde yine Müşterinin makul biçimde istediği adımları atacak ve Müşterinin makul biçimde isteyebileceği ilave bilgileri de sağlayacaktır. Müşteri, HP’nin bu DPA’ya uyamaması nedeniyle yardım gerekmedikçe ya da Müşteri bunu göstermedikçe bu Madde 5.1 kapsamında sağlanan yardım için idari ücret yansıtma hakkını saklı tutar.
6 MÜŞTERİNİN KİŞİSEL VERİLERİNİN ULUSLARARASI AKTARIMLARI
6.1 HP, aktarımın Hizmetlerle bağlantılı olarak gerekmesi ve aktarımların geçerli Veri Koruma ve Gizlilik Yasalarına uygun olması kaydıyla Müşterinin Kişisel Verilerini ilk toplandığı ülke dışına aktarabilir.
6.2 Avrupa’ya Özel Hükümler
6.2.1 Müşteri Kişisel Verilerinin bir Avrupa Ülkesinden İlgili Ülkeye aktarılması halinde HP geçerli Veri Koruma ve Gizlilik Yasaları uyarınca aktarımlar için, Madde 6.2.2’de öngörülen öncelik sırasıyla uygulanacak olan ve aşağıda sıralı aktarım mekanizmalarını sunmaktadır:
6.2.1.1 HP’nin Veri İşleyen İçin Bağlayıcı Şirket Kuralları: HP, işlediği Müşteri Kişisel Verilerini kapsayan Veri İşleyen İçin Bağlayıcı Şirket Kurallarını kabul etmiş olup şunları garanti etmektedir:
6.2.1.1.1 Bu Veri İşleme Anlaşmasının bir tarafı olan HP Grubu üyesi, HP Grubu içerisinde HP Müşterisinin Sahip Olduğu Kişisel Verilerin İşlenmesine ve Aktarımına ilişkin Şirketler Arası Anlaşmanın da bir tarafıdır ve bu anlaşma ile bağlı kılınmıştır;
6.2.1.1.2 HP Müşterisinin Sahip Olduğu Kişisel Verilerin HP Grubu içerisinde İşlenmesi ve Aktarımına ilişkin Şirketler Arası Anlaşma, Müşteriler ve Veri Sahibi İlgili Kişilerce icra edilebilir niteliktedir ve talep üzerine Müşteriye sunulmaktadır;
6.2.1.1.3 Veri İşleyen İçin Bağlayıcı Şirket Kurallarını idame ettirecek ve Veri İşleyen İçin Bağlayıcı Şirket Kurallarının artık geçerli bir aktarım mekanizması olmaması halinde derhal Müşteriyi bilgilendirecektir.
6.2.1.2 Avrupa-ABD Onaylı Yeterlilik Mekanizması: Avrupa-ABD Onaylı Yeterlilik Mekanizması altındaki her türlü aktarım, gerekli olması halinde Müşterinin Kişisel Verilerini Hizmetlerin amacına göre işleyecek olan ve HP’nin Amerika Birleşik Devletleri’nde yerleşik Bağlı Kuruluşlarının tescili veya sertifikasyonu da dahil olmak üzere mekanizmanın kurallarına uygun yapılmalıdır.
6.2.2 Hizmetlerin birden fazla aktarım mekanizması kapsamında yer alması halinde Müşterinin Kişisel Verilerinin aktarımı şu öncelik sırasına uygun biçimde tek bir aktarım mekanizmasına tabi olacaktır: 1) HP’nin Veri İşleyen İçin Bağlayıcı Şirket Kuralları; 2) Avrupa-ABD Onaylı Yeterlilik Mekanizması.
6.3 Diğer Belirtilen Aktarım Mekanizmaları
6.3.1 Yukarıdaki Madde 6.1’in genelliğine halel getirilmeksizin Taraflar Ek 2 (Birleşik Krallık) ve 3’te (Arjantin) atıfta bulunulan aktarım mekanizmalarının söz konusu ülkeden Kişisel Verilerin aktarımı için HP tarafından kullanılabileceğini kabul etmektedir.
7 DENETİMLER
7.1 Müşterinin yazılı talebiyle birlikte HP ticari olarak gizli bilgileri sağlama yükümlülüğü olmadıkça geçerli Veri Koruma ve Gizlilik Yasaları altında öngörülen yükümlülüklere uyumu göstermek üzere gerekli tüm bilgileri Müşteriye sağlayacaktır. Yılda birden fazla olmayacak ve masraflar Müşteriye ait olacak şekilde HP, Müşterinin veya HP rakibi olmayan yetkili üçüncü taraf denetçisinin denetimlerine ve teftişlerine de izin verecek ve buna katkıda bulunacaktır. Gizlilik koşulları da dahil olmak üzere bu denetimlerin kapsamı, denetim başlamadan önce Taraflarca karşılıklı kararlaştırılacaktır.
Ek 1
İşleme Detayları
HP, işleme faaliyetlerindeki değişiklikleri yansıtmak üzere bu Ek 1’i düzenli olarak güncelleyebilir.
Veri Sahibi İlgili Kişi Kategorileri
• Müşteri çalışanları, müşteri temsilcileri ve alt yükleniciler. Kişisel Veri Türleri
HP’nin Hizmetleri sağlamasıyla bağlantılı olarak işlediği Müşteri Kişisel Verileri, Veri Sorumlusu olarak Müşteri tarafından ve ilgili çalışma bildirisi ve/veya satın alma/değişiklik emirlerine uygun biçimde belirlenmekte ve kontrol edilmekte olup örnek olarak şunları içerebilir:
• İrtibat bilgileri – isim, iş veya kişisel telefon numarası, iş veya kişisel e-posta adresi ve işyeri adresi gibi;
• Güvenlik oturum verileri – çalışan kimlik veya sicil numarası gibi;
• Ürün kullanım verileri – yazdırılan sayfalar, yazdırma işlerini başlatan cihaz türleri, yazdırma modu, kullanılan ortam, mürekkep veya toner markası, yazdırılan dosya türü (.pdf, .jpg, etc.), yazdırma için kullanılan uygulama (Word, Excel, Adobe Photoshop vb.), dosya boyutu, zaman damgası ve yazıcı sarf malzemelerinin kullanımı ve durumu gibi;
• Performans Verileri – Yazdırma olayları, özellikleri ve “Düşük Mürekkep” uyarıları gibi uyarılar, fotoğraf kartlarının kullanımı, faks, tarama, gömülü web sunucusu ve ürüne göre değişen ilave teknik bilgiler;
• Cihaz Verileri – İşletim sistemi, bellek miktarı, bölge, dil, zaman dilimi, model numarası, ilk başlangıç tarihi, cihaz yaşı, cihaz üretim tarihi, tarayıcı versiyonu, bilgisayar üreticisi, bağlantı portu, garanti durumu, benzersiz cihaz kimlik numaraları, reklam kimlik numaraları ve ürüne göre değişen ilave teknik bilgiler;
• Uygulama Verileri – HP uygulamalarıyla ilişkili olan konum, dil, yazılım versiyonları, veri paylaşımı tercihleri ve güncelleme detayları gibi bilgiler ve
• HP Hizmetlerinin sağlanmasını kolaylaştırmak veya Müşteri ve/veya Veri Sahibi İlgili Kişi sorularına yanıt verilmesi amacıyla Veri Sahibi İlgili Kişinin hizmet merkezleriyle, yardım masalarıyla ya da diğer müşteri destek kanallarıyla şahsi olarak, çevrimiçi veya telefonla veya posta yoluyla etkileşim içerisinde iken sağladığı veya (ii) HP’nin aldığı cihazlarda bulunan diğer Kişisel Veriler.
İşleme faaliyetleri
Hizmet Anlaşmasıyla bağlantılı olarak işlenen Müşteri Kişisel Verileri, HP tarafından Müşteriyle olan ilişkiyi yönetmek ve Hizmetleri Müşteriye sağlamak için kullanılacaktır. HP, şu amaçlarla Müşteri Kişisel Verilerini işleyebilir:
• Yönetilen Baskı Hizmetleri ve Hizmet Olarak Cihaz gibi filo yönetimi hizmetleri sağlamak;
• Bakım paketi, uzatılmış garanti desteği, onarımların ve iadelerin kolaylaştırılması gibi kapsamlı destek ve bakım hizmetleri sağlamak üzere doğru irtibat ve kayıt verileri tutmak;
• verilerin görüntülenmesi ve yönetilmesi, cihazların yönetilmesi, ürünlerin veya hizmetlerin sipariş edilmesi veya siparişlerinin tamamlanmasına yönelik portallara erişimi kolaylaştırmak, hesapları yönetmek ve sevkiyatları ve teslimatları düzenlemek;
• Cihazın ya da hizmetin sürekli çalışmasını sağlamak üzere ürünlerin, çözümlerin, hizmetlerin ve garanti desteği dahil desteğin, zamanında sabit yazılım ve yazılım güncellemelerinin ve uyarıların performansını ve çalışmasını iyileştirmek;
• Müşteriye Hizmetler hakkında idari iletişimler sağlamak. İdari iletişimlere örnek olarak Müşteri soru veya taleplerine yanıtlar, ürün kullanım veya performans raporları, hizmet tamamlanma veya garantiyle ilgili iletişimler, güvenlik hatırlatması bildirimleri veya birleşmeler, satın almalar ya da tasfiyelerle ilgili kurumsal güncellemeler verilebilir.
• HP’nin web sitelerinin ürünlerinin, özelliklerinin ve hizmetlerinin bütünlüğünü ve güvenliğini idame ettirmek ve Müşteri bilgilerini tehlikeye atabilecek güvenlik tehditleri, dolandırıcılık ve diğer suç veya kötü amaçlı faaliyetleri önlemek ve tespit etmek;
• HP’nin uzaktan hizmetlerinin sağlanması için arayıcının adı ve çalışan kimlik ya da sicil numarasını talep etmek de dahil olmak üzere Müşteri kimliğini doğrulamak;
• Geçerli yasalara, mahkeme emirlerine, devlet veya kolluk kuvvetleri taleplerine uygun hareket etmek,
çalışanları ve diğer müşterileri korumak ve anlaşmazlıkları gidermek ve
• Özelleştirilmiş bir deneyim sağlamak, Hizmetleri ve iletişimleri kişiselleştirmek ve tavsiyeler oluşturmak;
• HP’ye iade edilen cihazlardan verileri silmek.
Ek 2
STANDART SÖZLEŞME HÜKÜMLERİ (Birleşik Krallık’ta bulunan işleyenler)
Bu Standart Sözleşme Hükümleri (veri işleyenler) HP ve Müşteri arasındaki Veri Koruma Anlaşmasına (“DPA”) iliştirilmiş ve bir parçası haline getirilmiştir.
Yeterli düzeyde veri koruma sağlamayan üçüncü ülkelerde yerleşik veri işleyenlere kişisel verilerin aktarımına ilişkin 95/46/EC sayılı Direktif’in Madde 26(2)’si için
Veri İhraç Eden ve Veri İthal Eden ifadeleri Ek 1’de tanımlandığı gibidir. Her biri “taraf”, birlikte “taraflar”,
Veri ihraç edenin veri ithal edene Ek 1’de belirtilen kişisel verileri aktarımı için şahısların gizliliğinin, temel haklarının ve özgürlüklerinin korunmasına ilişkin olarak yeterli tedbirleri tesis etmek üzere aşağıdaki Sözleşme Hükümlerini (Hükümler) kabul etmişlerdir.
Hükümlerin amaçları bakımından:
Hüküm 1
Tanımlar
(a) ‘kişisel veri’, ‘özel nixxxxxxx xxxx xxxxxxxxxxxx’, ‘xxxxx/xxxxxx’, ‘xxxx xoxxxxxxx’, ‘xxxx xxxxxxx’, ‘xxxx xxxxxx xlgili kişi’ ve ‘denetleyici otorite’ ifadeleri kişisel verilerin işlenmesine ilişkin olarak şahısların korunması ve bu verilerin serbest dolaşımı hakkındaki 24 Ekim 1995 tarih ve 95/46/EC sayılı Avrupa Parlamentosu ve Konsey Direktifindeki anlama gelecektir1;
(b) ‘veri ihraę eden’ kişisel verileri aktaran sorumlu anlamına gelir;
(c) ‘veri ithal eden’, veri ihraç edenden, onun talimatlarına göre ve Hükümlerin şartlarına uygun olarak aktarımın akabinde veri ihraç edenin adına işlemek amacıyla kişisel verileri almayı kabul eden ve 95/46/EC sayılı Direktifin Madde 25(1)’inde yer alan anlamıyla yeterli koruma sağlayan bir üçüncü ülke sistemine tabi olmayan işleyen anlamına gelir;
(d) ‘alt veri işleyen’, Kişisel verileri veri ithal edenden yalnızca talimatlara, Hükümlerin şartlarına ve yazılı alt sözleşmenin şartlarına uygun biçimde aktarımın akabinde veri ihraç eden adına gerçekleştirilecek işleme faaliyetlerine yönelik olarak kabul eden ve veri ithal edenin veya veri ithal edenin başka bir alt veri işleyeninin görevlendirdiği veri işleyen anlamına gelir.
(e) ‘geęerli veri koruma yasası’ şahısların temel haklarını ve özgürlüklerini, özellikle de kişisel verilerin işlenmesine yönelik olarak gizlilik haklarını koruyan ve veri ihraç edenin yerleşik olduğu Üye Ülkedeki bir veri sorumlusu için geçerli olan mevzuat anlamına gelir;
(f) ‘teknik ve idari güvenlik tedbirleri’ kişisel verilerin kazara veya yasalara aykırı biçimde imhası veya kazara kaybolması, tahrif edilmesi, özellikle de işleme sürecinin verinin bir ağ üzerinden iletimini içerdiği durumlarda yetkisiz ifşası veya erişimi ve diğer tüm yasadışı işleme biçimlerine karşı kişisel verilerin korunmasını amaçlayan tedbirler anlamına gelir.
Madde 2
Aktarımın ayrıntıları
Aktarımın ve özellikle de geçerli olması halinde özel nitelikli kişisel veri kategorilerinin detayları Hükümlerin ayrılmaz bir parçasını oluşturan Ek 1’de belirtilmektedir.
1 Taraflar, 95/46/EC sayılı Direktifte yer alan tanımları ve anlamları, sözleşmenin özerkliği için daha iyi olduğuna kanaat getirmeleri halinde bu Hüküm içerisinde çoğaltabilirler.
Madde 3
Üęüncü taraf lehtar hükmü
1. Veri sahibi ilgili kişi bu Hükmün, Hüküm 4(b) ila (i)’nin, Hüküm 5(a) ila (e)’nin ve (g) ila (j)’nin, Hüküm 6(1) ve (2)’nin, Hüküm 7’nin, Hüküm 8(2)’nin Hüküm 9 ila 12’nin üçüncü taraf lehtar olarak veri ihraç edene karşı icra edilmesini sağlayabilir.
2. Veri sahibi ilgili kişi bu Hükmün, Hüküm 5(a) ila (e)’nin ve (g)’nin, Hüküm 6’nın, Hüküm 7’nin, Hüküm 8(2)’nin ve Hüküm 9 ila 12’nin, veri ihraç edenin gerçekte ortadan kaybolması veya kanunen varlığının sona ermesi halinde ve müteakip bir kuruluş veri ihraç edenin tüm yasal yükümlülüklerini sözleşme yoluyla ve kanun gereği, veri ihraç edenin hak ve yükümlülüklerini devralmasını gerektirecek şekilde üstlenmedikçe (ki bu durumda veri sahibi ilgili kişi söz konusu kuruluşa karşı icra edilmesini talep edebilir) veri ihraç edene karşı icra edilmesini talep edebilir.
3. Veri sahibi ilgili kişi bu Hükmün, Hüküm 5(a) ila (e)’nin ve (g)’nin, Hüküm 6’nın, Hüküm 7’nin, Hüküm 8(2)’nin ve Hüküm 9 ila 12’nin, hem veri ihraç edenin hem de veri ithal edenin gerçekte ortadan kaybolması veya kanunen varlığının sona ermesi ya da aciz haline düşmesi halinde ve müteakip bir kuruluş veri ihraç edenin tüm yasal yükümlülüklerini sözleşme yoluyla ve kanun gereği, veri ihraç edenin hak ve yükümlülüklerini devralmasını gerektirecek şekilde üstlenmedikçe (ki bu durumda veri sahibi ilgili kişi söz konusu kuruluşa karşı icra edilmesini talep edebilir) alt işleyene karşı icra edilmesini talep edebilir. Alt işleyenin söz konusu üçüncü taraf yükümlülüğü, Hükümler kapsamındaki kendi işleme operasyonlarıyla sınırlı olacaktır.
4. Taraflar, veri sahibi ilgili kişi açıkça bu şekilde istedikçe ve ulusal yasalarca izin verilmesi halinde veri sahibi ilgili kişinin bir dernek ya da benzer bir kuruluşça temsil edilmesine itiraz etmemektedir.
Hüküm 4
Veri ihraę edenin yükümlülükleri
Veri ihraç eden şunları kabul ve garanti etmektedir:
(a) aktarımın kendisi de dahil olmak üzere kişisel verilerin işlenmesi, geçerli veri koruma yasalarının ilgili hükümlerine uygun biçimde gerçekleştirilmiştir (ve geçerliyse veri ihraç edenin yerleşik olduğu Üye Ülkenin ilgili otoritelerine bildirilmiştir), bu şekilde işlenmeye devam edecektir ve söz konusu Ülkenin ilgili hükümlerini ihlal etmemektedir;
(b) veri ithal edene, aktarılan kişisel verileri yalnızca veri ihraç eden adına ve geçerli veri koruma yasası ile Hükümlere uygun biçimde işlemesi talimatında bulunmuştur ve kişisel veri işleme hizmetlerinin süresi boyunca bu talimatta bulunacaktır;
(c) veri ithal eden bu sözleşmenin Ek 2’sinde belirtilen teknik ve idari güvenlik tedbirleri hususunda yeterli
garantileri sağlayacaktır;
(d) geçerli veri koruma yasalarının gereksinimlerinin değerlendirilmesinin ardından, güvenlik tedbirleri kişisel verilerin kazara veya yasalara aykırı biçimde imhası veya kazara kaybolması, tahrif edilmesi, özellikle de işleme sürecinin verinin bir ağ üzerinden iletimini içerdiği durumlarda yetkisiz ifşası veya erişimi ve diğer tüm yasadışı işleme biçimlerine karşı kişisel verilerin korunması için yeterlidir ve bu tedbirler, gelişimleri ve uygulama maliyetleri açısından, verilerin işlenmesinin ve niteliğinin teşkil ettiği risklere uygun bir güvenlik düzeyini temin etmektedir.
(e) güvenlik tedbirlerine uyumu garanti edecektir;
(f) aktarım özel nitelikli veri kategorileri içeriyorsa veri sahibi ilgili kişi, verilerinin 95/46/EC sayılı Direktifteki anlamıyla yeterli koruma sağlamayan bir üçüncü ülkeye iletilebileceği konusunda aktarımdan önce bilgilendirilmiştir veya aktarımdan mümkün olduğunca kısa süre sonra bilgilendirilecektir;
(g) Madde 5(b) ve Madde 8(3) uyarınca veri ithal edenin veya alt veri işleyenin tüm bildirimlerini, veri ihraç eden aktarıma devam etmeye veya askıya alma işlemini kaldırmaya karar verirse veri koruma denetleyici otoritesine yönlendirecektir;
(h) Ek 2 hariç olmak üzere Hükümlerin bir nüshasını, güvenlik tedbirlerinin bir açıklamasını ve Hükümler uyarınca imzalanması gereken alt veri işleme hizmetlerine yönelik her türlü sözleşme nüshasını talep üzerine veri sahibi ilgili kişilere sağlayacak olup, Hükümler veya sözleşme ticari bilgiler içeriyorsa bu ticari bilgileri kaldırabilir;
(i) alt veri işleme halinde, işleme faaliyeti Hükümler kapsamında veri ithal eden olarak veri sahibi ilgili kişinin kişisel verilerinin ve haklarının korunması amacıyla kişisel verilere yönelik en az aynı düzeyde koruma sağlayan bir alt veri işleyen tarafından Hüküm 11’e uygun biçimde gerçekleştirilmektedir ve
(j) Madde 4(a) ila (i) ile uyumu temin edecektir.
Madde 5
Veri ithal edenin yükümlülükleri2
Veri ithal eden şunları kabul ve garanti etmektedir:
(a) kişisel verileri yalnızca veri ihraç eden adına ve talimatları ile hükümlere uygun biçimde işleyecektir; herhangi bir nedenle bu uyumu sağlayamazsa veri ihraç edeni, uyum gösteremediği konusunda derhal bilgilendirmeyi kabul etmektedir, ki bu durumda veri ihraç eden veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;
(b) kendisi için geçerli mevzuatın, veri ihraç edenden alınan talimatları ve sözleşme kapsamındaki yükümlülüklerini gerçekleştirmesini engellediğine kanaat getirmesi için bir neden bulunmamaktadır ve Hükümlerin sağladığı garantiler ve yükümlülükler üzerinde maddi bir olumsuz etkiye sahip olması muhtemel bir mevzuat değişikliği halinde, bu değişikliği öğrenir öğrenmez veri ihraç edeni bilgilendirecek olup, veri ihraç eden bu durumda veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;
(c) aktarılan kişi verileri işlemeden önce Ek 2'de belirtilen teknik ve idari güvenlik tedbirlerini uygulamıştır;
(d) veri ihraç edeni derhal şu konularda bilgilendirecektir:
(i) bir yasa uygulama soruşturmasının gizliliğini korumak adına ceza hukuku kapsamındaki yasaklar gibi aksi başka biçimde yasaklanmadıkça, yasa uygulayıcı bir otoritenin kişisel verilerin ifşasına yönelik yasal olarak bağlayıcı talebi,
(ii) kazara veya yetkisiz erişim ve
(iii) başka biçimde yetkilendirilmedikçe, talebe yanıt vermeksizin veri sahiplerinden doğrudan alınan
talepler;
(e) aktarıma konu kişisel verilerin işlenmesine yönelik olarak veri ihraç edenden alınan tüm sorulara derhal ve uygun biçimde yanıt verecek ve aktarılan verilerin işlenmesine yönelik olarak denetleyici mercinin tavsiyesine uygun hareket edecektir;
(f) veri ihraç edenin talebiyle, Hükümler kapsamındaki işleme faaliyetlerinin denetlenmesi için veri işleme imkanlarını denetime açacak, bu denetim veri ihraç eden tarafından veya geçerli durumlarda denetleme merciyle anlaşarak veri ihraç edenin seçtiği ve gizlilik sorumluluğuyla bağlı, gerekli mesleki yetkinlikleri haiz bağımsız üyelerin olduğu bir teftiş organınca gerçekleştirilecektir;
(g) Hükümlerin veya alt veri işlemeye yönelik mevcut bir sözleşmenin nüshasını talep üzerine veri sahibi ilgili
kişiye sunacaktır; Hükümler veya sözleşme ticari bilgi içeriyorsa bu ticari bilgileri kaldırabilir; ancak Ek 2,
2 Veri ithal edenin tabi olduğu ulusal mevzuatın, 95/46/EC sayılı Direktifin Madde 13(1)’inde sıralı menfaatlerden biri temelinde demokratik bir toplumda gerekli olanın ötesine geçmeyen zorunlu gereklilikleri, diğer bir deyişle ulusal güvenliğin korunması, savunma, kamu güvenliği, cezai suçların veya düzenlemeye tabi meslekler için etik ihlallerinin önlenmesi, araştırılması, tespit edilmesi ve kovuşturulması, Ülkenin önemli ekonomik veya maddi çıkarı ya da veri sahiplerinin ya da başkalarının haklarının ve özgürlüklerinin korunmasına yönelik gereklilikler standart sözleşme hükümleriyle çelişmemektedir. Demokratik bir toplumda gerekli olanın ötesine geçmeyen bu zorunlu gereksinimlerin örnekleri arasında, diğerlerine ilaveten, uluslararası olarak tanınan yaptırımlar, vergi raporlama gereksinimleri veya kara paranın aklanmasına yönelik raporlama gereklilikleri yer almaktadır.
veri sahibi ilgili kişinin veri ihraç edenden nüsha alamadığı durumlarda güvenlik tedbirlerinin özet niteliğinde bir açıklamasıyla değiştirilecektir.
(h) alt veri işleme halinde veri ihraç edeni önceden bilgilendirmiş ve önceden yazılı onayını almıştır;
(i) alt veri işleyenin işleme hizmetleri Hüküm 11’e uygun yürütülecektir;
(j) Hükümler kapsamında veri ihraç edene imzaladığı alt veri işleyen anlaşmasının nüshasını derhal
göndermek.
Hüküm 6 Yükümlülük
1. Taraflar, Hüküm 3 veya Hüküm 11’de atıfta bulunulan yükümlülüklerin herhangi bir taraça ya da alt veri işleyen tarafından ihlali nedeniyle zarar gören veri sahibi ilgili kişilerin, karşılaşılan zarar için veri ihraç edenden tazminat alma hakkına sahip olduğunu kabul etmektedir.
2. Veri sahibi ilgili kişi, veri ihraç eden gerçekte ortadan kaybolması ya da kanunen varlığının sona ermesi veya aciz haline düşmesi nedeniyle Hüküm 3 veya Hüküm 11’de atıfta bulunulan yükümlülüklerin veri ithal eden veya alt veri işleyeni tarafından ihlali nedeniyle veri ihraç edene paragraf 1 uyarınca tazminat talebinde bulunamıyorsa, veri ithal eden, müteakip bir kuruluş veri ihraç edenin tüm yasal yükümlülüklerini sözleşme veya kanun gereği üstlenmedikçe (ki bu durumda veri sahibi ilgili kişi bu hakları için söz konusu kuruluşa başvurur) veri ihraç eden kendisiymiş gibi veri sahibi ilgili kişinin veri ithal edene talepte bulunabileceğini kabul etmektedir.
Veri ithal eden kendi yükümlülüklerinden kaçınmak için alt veri işleyenin kendi yükümlülüklerini ihlal
etmesine bel bağlayarak hareket etmeyecektir.
3. Veri sahibi ilgili kişi Hüküm 3 veya Hüküm 11’de atıfta bulunulan yükümlülüklerden birinin alt veri işleyen tarafından ihlal edilmesinden dolayı, hem veri ithal edenin hem veri ihraç edenin gerçekte ortadan kaybolması veya kanun gereği varlığının sonlanması ya da aciz hale düşmesi nedeniyle veri ihraç edene veya paragraf 1 ve 2’de atıfta bulunulduğu şekilde veri ithal edene karşı talepte bulunamıyorsa alt veri işleyen, müteakip bir kuruluş veri ihraç edenin ve veri ithal edenin tüm yasal yükümlülüklerini sözleşme veya kanun gereği üstlenmedikçe (ki bu durumda veri sahibi ilgili kişi bu hakları için söz konusu kuruluşa başvurur) veri ihraç eden veya veri ithal eden kendisiymiş gibi veri sahibi ilgili kişinin veri alt işleyene talepte bulunabileceğini kabul etmektedir. Alt veri işleyenin yükümlülüğü Hükümler kapsamında kendi işleme faaliyetleriyle sınırlı olacaktır.
Madde 7
Arabuluculuk ve yargı bölgesi
1. Veri ithal eden, veri sahibi ilgili kişinin kendisine karşı üçüncü taraf lehtar haklarına başvurması ve/veya Hükümler kapsamında zararlardan dolayı tazminat talep etmesi halinde veri ithal eden veri sahibi ilgili kişinin şu kararını kabul edecektir:
(a) anlaşmazlığı bağımsız bir şahsın ya da denetleyici otoritenin arabuluculuğuna yönlendirmek;
(b) anlaşmazlığı veri ihraç edenin kurulu olduğu Üye Ülkedeki mahkemelere intikal ettirmek.
2. Taraflar, veri sahibi ilgili kişinin tercihinin, ulusal ya da uluslararası yasaların diğer hükümleri uyarınca çare aramak üzere asli veya usul haklarına halel getirmeyeceğini kabul etmektedir.
Hüküm 8
Denetleyici otoritelerle iş birliği
1. Veri ihraç eden, talep edilmesi veya geçerli veri koruma yasaları altında gerekmesi halinde bu sözleşmenin bir nüshasını denetleyici otoriteye ibraz etmeyi kabul eder.
2. Taraflar, denetleyici otoritenin veri ithal edene ya da alt işleyenlere dair bir denetim yürütme hakkına sahip olduğunu kabul etmektedir; söz konusu denetim, geçerli veri koruma yasaları altında veri ihraç edenin denetiminin kapsamına ve bu denetimde uygulanacak koşullara tabi olacaktır.
3. Paragraf 2 uyarınca veri ithal eden, kendisi için ya da alt veri işleyen için geçerli olan ve veri ithal edenin ya da herhangi bir alt veri işleyenin denetlenmesini engelleyen bir mevzuatın varlığını veri ihraç edene derhal bildirecektir. Bu durumda veri ihraç eden Hüküm 5 (b) kapsamında öngörülen tedbirleri almayı kabul etmektedir.
Madde 9 Geęerli Hukuk
Hükümler, veri ihraç edenin kurulu olduğu Üye Ülkenin yasaları tarafından düzenlenecektir.
Hüküm 10
Sözleşmede değişiklik
Taraflar Hükümleri değiştirmeyeceğini veya modifiye etmeyeceğini beyan eder. Bu durum tarafları, gereken durumlarda iş faaliyetleriyle ilgili meselelere dair Hükümlerle çelişmemesi kaydıyla hüküm eklemekten beri kılmaz.
Hüküm 11 Alt işleme
1. Veri ithal eden veri ihraç edenin önceden yazılı onayı olmaksızın veri ihraç eden adına yürütülen işleme faaliyetlerini alt yükleniciye vermeyecektir. Veri ithal eden Hükümler kapsamındaki yükümlülüklerini, veri ihraç edenin rızasıyla alt yükleniciye verirse, Hükümler kapsamında veri ithal eden için uygulanan yükümlülüklerin aynısını alt veri işleyene yükleyen yazılı bir anlaşma imzalayacaktır3. Alt veri işleyen söz konusu yazılı anlaşma altındaki veri koruma yükümlülüklerini yerine getiremezse veri ithal eden, veri ihraç eden nezdinde, alt veri işleyenin bu anlaşma altındaki yükümlülüklerini ifasından tek başına sorumlu olacaktır.
2. Veri ithal eden ve alt veri işleyen arasında önceki yazılı sözleşme, hem veri ithal edenin hem veri ihraç edenin gerçekte ortadan kaybolması veya kanun gereği varlığının sonlanması ya da aciz hale düşmesi ve müteakip bir kuruluşun sözleşme yoluyla ya da kanunen veri ithal edenin veya veri ihraç edenin tüm yasal yükümlülüklerini üstlenmemesi nedeniyle veri sahibi ilgili kişinin veri ihraç edene ya da veri ithal edene karşı Hüküm 6’nın 1. paragrafında atıfta bulunulan tazminat talebinde bulunamaması durumunda Hüküm 3’te açıklandığı üzere üçüncü taraf lehtar maddesi de öngörecektir. Alt veri işleyenin bu üçüncü taraf yükümlülüğü Hükümler altında kendi işleme faaliyetleriyle sınırlı olacaktır.
3. Paragraf 1’de atıfta bulunulan sözleşmede alt veri işleme için veri koruma hususlarına yönelik hükümler, veri ihraç edenin kurulu olduğu Üye Ülkenin yasaları tarafından düzenlenecektir.
4. Veri ihraç eden, Hükümler kapsamında imzalanan ve Hüküm 5 (j) uyarınca veri ithal edenin bildirdiği alt veri işleme anlaşmalarının bir listesini tutacaktır ve liste yılda en az bir kez güncellenecektir. Liste, veri ihraç edenin veri koruma denetleyici otoritesine sunulacaktır.
Hüküm 12
Kişisel veri işleme hizmetlerinin sonlandırılmasının ardından yükümlülük
1. Veri ithal edenin tabi olduğu mevzuat, aktarılan kişisel verilerin tümünü ya da bir kısmını iade etmesini ya da imha etmesini engellemiyorsa taraflar, veri işleme hizmetlerinin feshedilmesiyle birlikte veri ithal edenin ve alt veri işleyenin, tercih veri ihraç edene ait olmak üzere, aktarılan tüm verileri ve nüshalarını veri ihraç edene iade edeceğini veya tüm kişisel verileri imha edeceğini ve bunu yaptığını veri ihraç edene beyan
3 Bu gereklilik, bu Karar ile veri ihraç eden ve veri ithal edenin imzaladığı sözleşmeyi alt işleyenin de imzalanması yoluyla karşılanabilir.
edeceğini kabul etmektedir. Bu durumda veri ithal eden aktarılan kişisel verilerin gizliliğini ve aktarılan kişisel verileri artık aktif biçimde işlemeyeceğini garanti edecektir.
2. Veri işleyen ve alt veri işleyen veri ihraç edenin ve/veya denetleyici otoritenin talebi üzerine veri işleme olanaklarını paragraf 1’de anılan tedbirlerin denetlenmesi amacıyla sunacağını garanti etmektedir.
STANDART SÖZLEŞME HÜKÜMLERİ İÇİN EK 1
İşbu Standart Sözleşme Hükümleri (veri işleyenler) HP ve Müşteri arasındaki Veri İşleme Anlaşmasına (“DPA”) iliştirilmiş olup bu Anlaşmanın bir parçasını teşkil etmektedir. Bu Ek, Hükümlerin bir parçasını teşkil etmektedir. Üye Ülkeler, kendi ulusal prosedürlerine uygun biçimde bu Ekte yer alacak ilave gerekli bilgileri tamamlayabilir ya da belirleyebilir.
Veri ihraç eden
Veri ihraç eden (aktarımla ilgili faaliyetlerinizi lütfen kısaca belirtin):
Veri ihraę eden, Hizmet Anlaşmasını imzalamış olan yasal kuruluş ile Müşterinin, Hizmet Anlaşması uyarınca Hizmetleri satın almış olan ve Avrupa Birliği ięerisinde yerleşik tüm bağlı kuruluşlarıdır.
Veri ithal eden
Veri ithal eden (aktarımla ilgili faaliyetlerinizi lütfen kısaca belirtin):
İlgili Hizmet Anlaşmasında öngörülen Hizmetlerin sağlayıcıları olarak HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) ile kuruluş ya da faaliyet bölgesinden bağımsız olarak ęoğunluğuna sahip olduğu veya ęoğunluğunu kontrol ettiği tüm iştirakleri (“HP Grubu”).
Veri sahibi ilgili kişiler
Aktarılan kişisel veriler şu veri sahibi ilgili kişi kategorileri hakkındadır (lütfen belirtin):
Ek 1’e bakın.
Veri kategorileri
Aktarılan kişisel veriler şu veri sahibi ilgili kişi kategorileri hakkındadır (lütfen belirtin):
Ek 1’e bakın.
Özel nitelikli veri kategorileri (geçerliyse)
Aktarılan kişisel veriler şu özel nitelikli veri kategorileri hakkındadır (lütfen belirtin):
Ek 1’e bakın.
İşleme işlemleri
Aktarılan kişisel veriler aşağıdaki temel işleme faaliyetlerine tabi olacaktır (lütfen belirtiniz):
Ek 1’e bakın.
STANDART SÖZLEŞME HÜKÜMLERİ İÇİN EK 2
İşbu Standart Sözleşme Hükümleri (veri işleyenler) HP ve Müşteri arasındaki Veri İşleme Anlaşmasına (“DPA”) iliştirilmiş olup bu Anlaşmanın bir parçasını teşkil etmektedir. Bu Ek, Hükümlerin bir parçasını teşkil etmektedir.
Hüküm 4(d) ve 5(c)’ye uygun olacak şekilde veri ithal edenin uyguladığı teknik ve idari güvenlik tedbirlerinin
açıklaması (veya ekli belge/mevzuat):
Veri ithal eden ilgili Hizmet Anlaşması altında sağlanan Hizmetlerin sağlanmasıyla bağlantılı olarak işlenen Kişisel Verilerin korunması, güvenliği ve gizliliği ięin idari, fiziksel ve teknik tedbirleri idame ettirecektir. Özel güvenlik önlemleri, Hizmet Sözleşmesi kapsamında sağlanan Hizmetlerin niteliğine bağlı olarak değişebilir.
Ek 3 – Diğer Belirli Aktarım Mekanizmaları
STANDART SÖZLEŞME HÜKÜMLERİ (Arjantin)
Veri İşleme Ekinin 6.3.1 sayılı maddesinin hükümlerine uygun olarak HP, hizmetlerle ilişkili olarak gerekmesi durumunda aslen Arjantin Cumhuriyeti’nde toplanmış olan Müşteri Kişisel Verilerini üęüncü ülkelere aktarabilir.
Önceki paragrafta bahsedilen aktarım, Müşteri Kişisel Verilerinin Arjantin’de ilgili Veri Koruma ve Gizlilik Yasalarınca yeterli koruma düzeyi sağlayan ülkeler olarak kabul edilmeyen ülkelere aktarımını ima ediyorsa aşağıdaki değişikliklerle birlikte Ek 2’de yer alan AB Standart Sözleşme Hükümleri aktarım ięin uygulanacaktır.
1. Hüküm 1, madde (a), (c) ve (e) şu şekilde değiştirilecektir:
(a) ‘kişisel vexx’, ‘xxxxxx xxxx’, ‘xxxxxx/xxxxx’, ‘xxxx xoxxxxxxx’, ‘xxxx xxxxxxx’, ‘xxxx xxxxxx xlgili kişi’ ve ‘denetleyici otorite’ 25.326 sayılı Arjantin Veri Koruma Yasası, 1558/2001 sayılı düzenleyici Kararname ve (muhtelif zamanlarda tadil edildiği veya değiştirildiği halleriyle) tamamlayıcı yönetmeliklerde öngörülen anlama gelecektir
(c) “veri ithal eden”, bu anlaşmanın şartlarına uygun biçimde işlemek üzere veri ihraç edenden kişisel verileri alan ve Arjantin dışında yerleşik olan hizmet sağlayıcı anlamına gelir;
(e) ‘Geęerli veri koruma yasası’, 25,326 sayılı Arjantin Veri Koruma Yasası ile destekleyici yönetmelikleri (muhtelif zamanlarda tadil edildiği veya değiştirildiği halleriyle) anlamına gelir.
2. Hüküm 4, madde (f) şu şekilde değiştirilecektir:
(f) Veri sahibi ilgili kişi, verilerinin 25,326 sayılı Arjantin Veri Koruma Yasası ve ikincil düzenlemelerindeki (muhtelif zamanlarda tadil edildiği veya değiştirildiği halleriyle) anlamıyla yeterli koruma sağlamayan üçüncü bir ülkeye iletilebileceği konusunda aktarımdan önce bilgilendirilmiştir veya bilgilendirilecektir ya da aktarımı takiben mümkün olan en kısa sürede bilgilendirilecektir.
3. Hüküm 7, alt bölüm 1, madde (b) şu şekilde değiştirilecektir:
(b) Anlaşmazlığı Arjantin Cumhuriyetinin yasal ve idari yargı mercine götürmek.
4. Hüküm 9 şu şekilde değiştirilecektir:
Bu anlaşma muhtelif zamanlarda tadil edildiği veya değiştirildiği halleriyle özellikle de 25,326 sayılı Yasa dahil olmak üzere Arjantin Cumhuriyeti yasalarına, yönetmeliklerine ve Arjantin Veri Koruma Otoritesi’nin yayınladığı kurallara tabi olacaktır.