SAP DESTEK VE PROFESYONEL HİZMETLERİ İÇİN VERİ İŞLEME ANLAŞMASI
SAP DESTEK VE PROFESYONEL HİZMETLERİ İÇİN VERİ İŞLEME ANLAŞMASI
1. TANIMLAR
1.1. "Yetkili Kullanıcı", Müşterinin bir SAP yazılım lisansı uyarınca SAP Hizmetini kullanmak için erişim yetkisi verdiği herhangi bir kişi anlamına gelir ve şunları kapsar:
a) Müşterinin,
b) Müşterinin Bağlı Şirketlerinin veya
c) Müşterinin ve Müşterinin Bağlı Şirketlerinin İş Ortaklarının (Yazılım Lisans ve Destek Anlaşmasında tanımlandığı şekilde) çalışanları, aracıları, yüklenicileri ya da temsilcileri.
1.2. "Veri Sorumlusu", tek başına veya başkalarıyla birlikte Kişisel Verilerin işlenme amaçlarını ve araçlarını belirleyen kişi veya tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir; bu DPA'nın amaçları doğrultusunda, Müşterinin başka bir veri sorumlusu için İşleyici olarak görev yaptığı durumlarda SAP tarafından işbu DPA kapsamındaki ilgili Veri Sorumlusu hak ve yükümlülüklerine sahip ilave ve bağımsız Veri Sorumlusu olarak değerlendirilecektir.
1.3. "Veri Koruma Kanunu", kişilerin Anlaşma kapsamında Kişisel Verilerin işlenmesine ilişkin temel haklarını, özgürlüklerini ve gizlilik haklarını koruyan geçerli mevzuat anlamına gelir.
1.4. "Veri Sahibi", Veri Koruma Kanunu tarafından tanımlanan şekilde kimliği belirlenmiş veya belirlenebilir bir gerçek kişi anlamına gelir.
1.5. "My Trust Center"; SAP Support Portal (bkz. xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx), SAP anlaşmaları web sitesi (bkz. xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) veya SAP tarafından Müşteriye sunulan sonraki web sitelerinde sağlanan bilgiler anlamına gelir.
1.6. "Yeni Standart Sözleşme Maddeleri İlişkili Aktarım", GDPR'ye veya geçerli Veri Koruma Kanununa tabi olan ve GDPR ya da geçerli Veri Koruma Kanunu kapsamında gerekli herhangi bir yeterlilik yönteminin Yeni Standart Sözleşme Maddeleri ile karşılanabileceği Kişisel Verilerin Üçüncü bir Ülkeye aktarımı (veya ileriye dönük aktarımı) anlamına gelir.
1.7. "Yeni Standart Sözleşme Maddeleri" Avrupa Komisyonu tarafından yayınlanan 2021/914 sayılı standart sözleşme maddelerinin aslı veya otomatik olarak geçerli olacak sonraki herhangi bir nihai versiyonu anlamına gelir. Şüpheye mahal vermemek adına, Modül 2 ve 3, Bölüm 8 ile belirtildiği gibi geçerli olacaktır.
1.8. "Kişisel Veriler", Veri Koruma Kanunu kapsamında korunan bir Veri Sahibi ile ilgili tüm bilgiler anlamına gelir. DPA'nın amaçları doğrultusunda yalnızca, Anlaşma uyarınca SAP Destek veya Profesyonel Hizmetlerini sağlaması için SAP'ye ya da Alt İşleyicilerine sağlanan veya bunlar tarafından erişilen kişisel verileri içerir.
1.9. "Kişisel Veri İhlali";
a) Kişisel Verilerin kaza sonucu veya yasa dışı olarak yok edilmesi, kaybedilmesi, yetkisiz ifşası ya da verilere yetkisiz üçüncü taraflarca erişilmesi gibi doğrulanmış durumlar veya
b) Kişisel Verilerle ilgili olarak doğrulanmış olan benzer bir olay anlamına gelir. Veri Koruma Kanunu kapsamında, her iki durum için de Veri Sorumlusunun yetkili veri koruma mercilerine veya Veri Sahiplerine bildirimde bulunması gerekir.
1.10. "Profesyonel Hizmetler"; uygulama hizmetleri, danışmanlık hizmetleri veya SAP Premium Engagement Destek Hizmetleri, Innovative Business Solutions Geliştirme Hizmetleri, Innovative Business Solutions Geliştirme Destek Hizmetleri gibi hizmetler anlamına gelir.
1.11. "Veri İşleyen veya İşleyici"; Veri Sorumlusu adına Kişisel Verileri işleyen bir gerçek kişi, tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir; doğrudan bir Veri Sorumlusunun İşleyicisi veya Kişisel verileri dolaylı olarak Veri Sorumlusu adına işleyen bir İşleyicinin Alt İşleyicisi olabilir.
1.12. "Çizelge", Standart Sözleşme Maddelerine (2010) ilişkin sayılı Ek ve Yeni Standart Sözleşme Maddelerine ilişkin sayılı Ek anlamına gelir.
1.13. "Standart Sözleşme Maddeleri (2010)", Avrupa Komisyonu tarafından yayınlanan 2010/87/EU sayılı Standart Sözleşme Maddeleri (işleyiciler) anlamına gelir.
1.14. "Alt İşleyici"; SAP Bağlı Şirketleri, SAP SE, SAP SE Bağlı Şirketleri ve SAP, SAP SE veya SAP SE'nin Bağlı Şirketleri tarafından SAP Hizmeti ile bağlantılı olarak görevlendirilen ve Kişisel Verileri bu DPA'ya uygun olarak işleyen üçüncü taraf anlamına gelir.
1.15. "Teknik ve Organizasyonel Önlemler", ilgili SAP Destek veya Profesyonel Hizmeti için My Trust Center'da yayınlanmış olan teknik ve organizasyonel önlemler anlamına gelir.
1.16. "Üçüncü Ülke", Avrupa Birliği tarafından GDPR'nin 45. Maddesi kapsamında yeterli düzeyde veri korumasına sahip güvenli bir ülke olarak tanınmayan herhangi bir ülke, kuruluş veya bölge anlamına gelir.
2. ARKA PLAN
2.1. Amaç ve Uygulama
Bu belge ("DPA") Anlaşmaya dahil edilmiş olup SAP ile Müşteri arasındaki yazılı (elektronik biçim dahil) bir sözleşmenin bir bölümünü teşkil eder. Bu DPA, mevcut DPA'nın ekli olduğu ilgili Anlaşmada belirtilen şekilde SAP hizmetlerinin ("SAP Hizmetleri") yerine getirilmesi ile ilgili olarak Müşteri ve her bir Veri Sorumlusu tarafından sağlanan Kişisel Veriler için geçerli olup aşağıdakileri kapsayabilir:
a) Yazılım Lisansı ve Destek Anlaşmasında tanımlandığı şekilde SAP Desteği veya
b) SAP ile Müşteri arasında imzalanan hizmet anlaşmasında ("Hizmet Anlaşması") açıklandığı şekilde Profesyonel Hizmetler.
2.2. Yapı
Çizelge 1 ve 2 bu belgeye dahil edilmiş olup DPA'nın bir bölümünü oluşturur. Bunlar üzerinde anlaşmaya varılan konuyu, işlemenin niteliğini ve amacını, Kişisel Verilerin türünü, veri kategorilerini, veri kullanıcılarını ve geçerli teknik ve organizasyonel önlemleri belirler.
2.3. Yönetişim
2.3.1. DPA kapsamında SAP bir İşleyici olarak, Müşteri ve SAP Destek veya Profesyonel Hizmetlerini kullanma yetkisi sağladığı kuruluşlar ise Veri Sorumlusu olarak görev yapar.
2.3.2. Müşteri tek muhatap olup geçerli olduğu ölçüde SAP'nin bir İşleyici olarak kullanılmasına ilişkin Veri Sorumlusu onayları da dahil olmak üzere Kişisel Verilerin bu DPA'ya uygun şekilde işlenmesi için ilgili yetkileri, izinleri ve onayları alacaktır. Müşteri tarafından sağlandığı durumlarda yetkiler, onaylar, talimatlar veya izinler yalnızca Müşteri adına değil, aynı zamanda tüm diğer Veri Sorumluları adına da sağlanmış olur. SAP'nin Müşteriye bilgi verdiği veya bildirimde bulunduğu durumlarda, söz konusu bilgiler veya bildirimler, Müşterinin, Kişisel Veri eklemesine olanak sağladığı Veri Sorumluları tarafından alınmış sayılır. Müşteri, söz konusu bilgi ve bildirimleri ilgili Veri Sorumlularına iletecektir.
3. İŞLEME GÜVENLİĞİ
3.1. Teknik ve Organizasyonel Önlemlerin Uygulanabilirliği
3.1.1. SAP, Teknik ve Organizasyonel Önlemleri yürürlüğe almıştır ve bu önlemleri uygulayacaktır. Müşteri bu önlemleri gözden geçirmiş ve Kişisel Verilerin işlenmesi ile ilgili teknolojinin gelişmişlik seviyesi, uygulama maliyetleri, nitelik, kapsam, bağlam ve amaçları dikkate alarak bu önlemlerin uygunluğunu kabul etmiştir.
3.1.2. Çizelge 2 yalnızca, söz konusu SAP hizmetlerinin SAP tesislerinde veya SAP tesislerinden gerçekleştirilmesi halinde geçerlidir. SAP'nin SAP hizmetlerini Müşteri tesislerinde gerçekleştirmesi ve SAP'nin Müşterinin sistemlerine ve verilerine erişiminin sağlanması durumunda SAP, söz konusu verileri korumak ve yetkisiz erişimi engellemek için Müşterinin makul ölçüdeki idari, teknik ve fiziksel koşullarına uyum sağlayacaktır. Müşterinin sistemine ve verilerine erişilmesiyle bağlantılı olarak Müşteri, sistemlerine erişmeleri için SAP personeline kullanıcı yetkilendirmeleri ve şifreler sağlamaktan, ayrıca zaman zaman uygun gördüğü durumlarda bu yetkilendirmeleri iptal etmekten ve bu erişimi kaldırmaktan sorumludur. Müşteri, SAP hizmetlerinin gerçekleştirilmesi için temel önem teşkil etmiyorsa SAP'nin Lisans Alanın sistemlerine veya
(Müşterinin ya da herhangi bir üçüncü tarafın) kişisel bilgilerine erişimini sağlamayacaktır. Müşteri, canlı kullanım haricindeki ortamlarda herhangi bir Kişisel Veriyi depolamayacaktır.
3.2. Değişiklikler
3.2.1. SAP, ilgili Teknik ve Organizasyonel Önlemleri, aynı SAP hizmetini alan tüm müşteri tabanına uygulamaktadır. SAP, benzer veya daha iyi düzeyde güvenlik sağladığı sürece söz konusu Teknik ve Organizasyonel Önlemlerde dilediği zaman önceden bildirmeksizin değişiklik yapabilir. Münferit önlemler, Kişisel Verileri korumaya yönelik güvenlik düzeyini ihlal etmeden aynı amaca hizmet eden yeni önlemlerle değiştirilebilir.
3.2.2. SAP, Teknik ve Organizasyonel Önlemlerin güncellenmiş versiyonlarını My Trust Center'da yayınlayacaktır. Müşteri, bu tür güncellenmiş versiyonlar hakkında e-posta bildirimi almak için abone olabilir (böyle bir olanak sağlanmışsa).
4. SAP'NİN YÜKÜMLÜLÜKLERİ
4.1. Müşterinin Talimatları
4.1.1. SAP, Kişisel Verileri yalnızca Müşteriden alınan belgelenmiş talimatlara uygun şekilde işleyecektir. Anlaşma (bu DPA dahil), söz konusu belgelenmiş başlangıç talimatlarını teşkil eder ve Müşteri, SAP hizmetinin yerine getirilmesi sırasında ilave talimatlar sağlayabilir.
4.1.2. SAP, Veri Koruma Kanunu tarafından gerekli kılındığı, teknik olarak uygun olduğu ve SAP hizmetinin yerine getirilmesinde değişiklik yapılmasını gerektirmediği sürece tüm diğer Müşteri talimatlarına uymak için makul çabayı gösterecektir. Yukarıda belirtilen istisnalardan birinin geçerli olması veya başka bir şekilde SAP'nin bir talimata uyamaması ya da bir talimatın Veri Koruma Kanununu ihlal ettiğini düşünmesi durumunda SAP, Müşteriyi derhal bilgilendirecektir (e-posta kabul edilir).
4.2. Yasal Gereksinim Uyarınca İşleme
SAP, Kişisel Verileri, geçerli yasaların gerektirdiği durumlarda da işleyebilir. Böyle bir durumda SAP, söz konusu yasa önemli ölçüde kamu yararı açısından bu bilgilere yasak getirmediği sürece Kişisel Verileri işlemeden önce Müşteriyi bu yasal gereksinim konusunda bilgilendirecektir.
4.3. Personel
SAP ve Alt İşleyicileri, Kişisel Verileri işlemesi için yalnızca, gizlilik taahhüdünde bulunan yetkili personele erişim hakkı sunacaktır. SAP ve Alt İşleyicileri, Kişisel Verilere erişimi olan personele veri güvenliği ve veri gizliliği hakkında düzenli olarak eğitim verecektir.
4.4. İş Birliği
4.4.1. Müşterinin talebi doğrultusunda SAP, SAP'nin Kişisel Verileri işlemesiyle veya herhangi bir Kişisel Veri İhlaliyle ilgili olarak Veri Sahiplerinden veya düzenleme kurullarından gelen talepleri yönetme konusunda Müşteriyle ve Veri Sorumluları ile makul ölçüde iş birliği yapacaktır. SAP, bir Veri Sahibinden, işbu Anlaşma kapsamındaki Kişisel Verilerin işlenmesiyle ilgili bir talep alması halinde Müşteriyi (Veri Sahibinin, Müşteriyi tanımlayacak bilgiler sağladığı durumlarda) derhal e-posta yoluyla bilgilendirip söz konusu talebe doğrudan yanıt vermeyecek, bunun yerine Veri Sahibinden, talebini Müşteriye iletmesini isteyecektir.
4.4.2. Bir Veri Sahibiyle, SAP'nin bu DPA kapsamındaki Kişisel Verileri işlemesiyle ilgili bir anlaşmazlık yaşanması durumunda Taraflar birbirlerini bilgilendirecek ve uygun olduğunda, Veri Sahibiyle yaşanan anlaşmazlığı iyi niyetli bir şekilde çözmek amacıyla makul bir şekilde iş birliği yapacaktır. SAP, kendi mülkiyetindeki (varsa) Kişisel Verileri Müşteri talimatları ve Veri Koruma Kanunu uyarınca düzeltecek, silecek veya anonimleştirecek ya da bunların işlenmesine sınırlama getirecektir.
4.5. Kişisel Veri İhlali Bildirimi
SAP, Müşterinin, Veri Koruma Kanunu uyarınca gereken şekilde Kişisel Veri İhlalini bildirme yükümlülüğünü yerine getirmesine yardımcı olmak için, herhangi bir Kişisel Veri İhlali durumundan haberdar olduğunda bu durumu fazla gecikmeden Müşteriye bildirecek ve sahip olduğu bilgileri Müşteriye sağlayacaktır. SAP, bu bilgileri edindikçe aşamalar halinde sunabilir. Söz konusu bildirim, SAP'nin bir hatayı veya yükümlülüğü kabul ettiği şeklinde yorumlanmayacaktır.
4.6. Veri Koruma Etki Değerlendirmesi
Veri Koruma Kanunu uyarınca Müşterinin (veya Veri Sorumlularının) bir veri koruma etki değerlendirmesi yapması ya da bir düzenleyiciyle ön konsültasyon gerçekleştirmesi gerekirse Müşterinin talebi doğrultusunda SAP, bu belgeleri SAP Hizmeti için genel olarak kullanıldığı şekliyle sağlayacaktır (örneğin; bu DPA, Anlaşma, Denetim Raporları veya Sertifikalar). İlave yardımlar konusunda Taraflarca karşılıklı olarak anlaşmaya varılacaktır.
5. VERİLERİN SİLİNMESİ
Müşteri işbu belgeyle SAP'ye, SAP'de kalan (varsa) Kişisel Verileri, geçerli yasa verilerin saklanmasını gerektirmediği sürece ve Kişisel Veriler Anlaşma kapsamında artık gerekli değilse Veri Koruma Kanunu uyarınca makul bir süre içinde (en fazla altı ay) silmesi için talimat verir.
6. SERTİFİKALAR VE DENETİMLER
Müşterinin SAP için kabul edilebilir bir bağımsız üçüncü taraf denetçisi (SAP'nin rakibi olan veya uygun niteliğe sahip ya da bağımsız olmayan üçüncü taraf denetçiler hariç) veya Müşteri, SAP'nin SAP tarafından işlenen Kişisel Verilerle ilgili hizmet ve destek teslim yerlerini ve BT güvenliği uygulamalarını, şu şartlar altında denetleyebilir:
a) SAP'nin ISO 27001 veya diğer standartlara (kapsam sertifikada belirtildiği gibidir) uyum konusunda bir sertifika sağlayarak Teknik ve Organizasyonel Önlemleri aldığına ilişkin yeterli kanıt sunmaması. Sertifikalar My Trust Center'da mevcuttur ilgili sertifikaların çevrimiçi olarak mevcut olmadığı durumlarda ise talep üzerine ulaşılabilir;
b) Kişisel Veri İhlali oluşması veya
c) Müşterinin veri koruma yetkilisi tarafından resmi olarak denetim talebinde bulunulması veya
d) zorunlu Veri Koruma Kanunu kapsamında Müşteriye doğrudan denetim hakkı sağlanmış olması (Zorunlu Veri Koruma Kanunu daha sık denetim gerektirmediği sürece, Müşteri herhangi bir 12 aylık dönemde yalnızca bir kez denetleme yapacaktır).
6.2. Diğer Veri Sorumlusu Denetimi
Diğer Veri Sorumluları, SAP'nin SAP tarafından işlenen Kişisel Verilerle ilgili kontrol ortamını ve güvenlik uygulamalarını Bölüm 6.1 uyarınca (diğer Veri Sorumlusu için doğrudan geçerli olması durumunda) ve bu Bölümde izin verilen ölçüde denetleyebilir. Bu tür bir denetim, Veri Konuma Kanunu uyarınca diğer Veri Sorumlusu tarafından üstlenilmesi gerekmediği sürece Müşteri aracılığıyla ve Müşteri tarafından yapılmalıdır. Anlaşma temelinde Kişisel Verileri SAP tarafından işlenen birden çok Veri Sorumlusunun denetim talep etmesi halinde Müşteri, denetimlerin bir arada yapılmasını sağlamak ve birden fazla denetim yapılmasını önlemek için tüm makul çabayı gösterecektir.
6.3. Denetim Kapsamı
Veri Koruma Kanununda yer alan emredici hükümler veya veri korumayla ilgili sorumlu bir yetkili merci daha kısa süre öncesinden bildirimi gerekli kılmadıkça Müşteri, denetimlerle ilgili olarak en az 60 gün önceden bildirimde bulunacaktır. Denetimlerin sıklığı, zaman aralığı ve kapsamı, makul şekilde ve iyi niyetle hareket eden taraflarca karşılıklı olarak belirlenecektir. Müşteri denetimleri, mümkün olduğu durumlarda uzaktan denetimlerle sınırlı olacaktır. Yerinde denetim yapılması zorunluysa denetimin süresi 1 iş gününü aşmayacaktır. Bu sınırlamaların haricinde taraflar, yinelenen denetimlerden kaçınmak veya bunları en aza indirmek üzere güncel sertifikaları veya diğer denetim raporlarını kullanacaktır. Müşteri, tüm denetim sonuçlarını SAP'ye sunacaktır.
6.4. Denetimlerin Maliyeti
Denetimlerde bu DPA'ya yönelik olarak SAP'nin neden olduğu esaslı bir ihlal ortaya çıkmadığı sürece denetim maliyetleri Müşteri tarafından karşılanacaktır. İhlal olması durumunda ise denetim masrafları SAP'ye ait olacaktır. Denetim sonunda SAP'nin DPA kapsamındaki yükümlülüklerinden birini ihlal ettiğinin belirlenmesi durumunda SAP, masrafları kendisine ait olmak üzere, söz konusu ihlali derhal telafi edecektir.
7. ALT İŞLEYİCİLER
7.1. İzin Verilen Kullanım
SAP'ye, aşağıda verilen şartlara tabi olacak şekilde Kişisel Verilerin işlenmesini Alt İşleyicilere devretmeye yönelik genel bir yetki verilir:
a) SAP veya SAP SE kendi adına, Alt İşleyicilerin Kişisel Verileri işlemesi için Alt İşleyicilerle işbu DPA'nın şartlarıyla uyumlu yazılı (elektronik biçimde olabilir) bir sözleşme imzalayacaktır. Bu Anlaşma şartları uyarınca Alt İşleyiciler tarafından gerçekleştirilen tüm ihlallerin sorumluluğu SAP'ye ait olacaktır;
b) SAP, işbu DPA'nın gerektirdiği Kişisel Veri koruma düzeyini sağlayıp sağlamadığına karar vermeden önce ilgili Alt İşleyicinin güvenlik ve gizlilik uygulamalarını değerlendirmeye alacaktır;
c) SAP Destek Hizmetleri için; SAP'nin Anlaşma geçerlilik tarihindeki Alt İşleyici listesi SAP tarafından My Trust Center'da yayınlanacak veya SAP, bu listeyi talep üzerine Müşterinin kullanımına sunacaktır. Liste, SAP'nin SAP Hizmetini sağlamak için kullandığı her bir Alt İşleyicinin adını, adresini ve rolünü içerecektir;
d) Profesyonel Hizmetler için SAP, Müşterinin talebi üzerine, geçerli SAP hizmetlerini başlatmadan önce listeyi kullanıma sunacak veya söz konusu alt işleyicilerin kimliğini belirleyecektir.
7.2.1. SAP'nin Alt İşleyiciler ile birlikte çalışıp çalışmayacağı, aşağıdaki koşullara uygun olmak kaydıyla kendi takdirine bağlıdır:
a) SAP, yeni Alt İşleyicinin adı, adresi ve rolü dahil olmak üzere Alt İşleyici listesinde yapılması planlanan tüm eklemeler veya değişiklikler konusunda (i) SAP Destek Hizmetleri için My Trust Center'da yayınlayarak ya da Müşterinin My Trust Center'a kaydolması üzerine e-posta yoluyla ve (ii) Profesyonel Hizmetler için aynı şekilde My Trust Center'da yayınlayarak veya e-posta yoluyla ya da başka şekilde yazılı olarak Müşteriyi önceden bilgilendirecektir;
b) Müşteri, Bölüm 7.2.2 kapsamında belirtilen şekilde bu değişikliklere itiraz edebilir.
7.2.2. Yeni Alt İşleyicilere İlişkin İtirazlar
7.2.2.1. SAP Destek Hizmetleri
Müşteri, Kişisel Verilerin yeni Alt İşleyiciler tarafından işlenmesi ile ilgili olarak Veri Koruma Kanunu kapsamında geçerli bir itirazı olması halinde SAP'ye yazılı bildirimde bulunarak SAP Destek Hizmetlerini feshedebilir. Bu bildirim SAP'ye, SAP'nin yeni Alt İşleyici konusunda Müşteriyi bilgilendirmesinden itibaren en fazla 30 gün içinde gönderilmelidir. Müşteri fesih bildirimini SAP'ye bu 30 günlük süre içinde göndermezse Müşterinin yeni Alt İşleyiciyi kabul ettiği varsayılır. SAP'nin yeni Alt İşleyiciyi Müşteriye bildirmesinden sonraki
30 günlük süre içinde Müşteri, tarafların iyi niyet çerçevesinde itirazı çözüme kavuşturmak için iletişim kurmalarını talep edebilir. Bu tür iletişimler, SAP'ye fesih bildirimi sağlanması için izin verilen fesih süresini uzatmayacak ve SAP'nin 30 günlük sürenin ardından yeni Alt İşleyicileri kullanma hakkını etkilemeyecektir.
7.2.2.2. Profesyonel Hizmetler
Müşteri, Kişisel Verilerin Alt İşleyiciler tarafından işlenmesiyle ilgili olarak Veri Koruma Kanunu uyarınca haklı bir sebep öne sürerse SAP'nin bildiriminden sonraki 5 iş günü içinde SAP'ye yazılı bildirimde bulunarak SAP'nin bir Alt İşleyici ile çalışmasına itiraz edebilir. Müşterinin belirli bir Alt İşleyicinin kullanılmasına itiraz etmesi halinde taraflar iyi niyet çerçevesinde bir çözüm üretmek üzere iletişim kuracaktır. SAP (i) söz konusu Alt İşleyiciyi kullanmamayı veya (ii) Müşterinin itirazında talep ettiği düzeltici adımları uygulayarak Alt İşleyiciyi kullanmayı ya da (iii) bunun mümkün olmaması halinde, Alt İşleyiciyi kullanmayı seçebilir. Bu seçeneklerden hiçbirinin makul ölçüde mümkün olmaması ve Müşterinin haklı bir sebep doğrultusunda itirazını sürdürmesi halinde her bir taraf, 5 gün öncesinden yazılı bildirimde bulunarak ilgili hizmetleri sonlandırabilir. Müşteri, bildirimi aldıktan sonraki 5 gün içinde itiraz etmezse Alt İşleyiciyi kabul etmiş sayılır. Müşterinin itirazının öne sürüldükten sonra 30 gün boyunca çözüme kavuşmaması ve SAP'nin herhangi bir fesih bildirimi almaması halinde, Müşterinin Alt İşleyiciyi kabul ettiği varsayılır.
7.2.3. Bu Bölüm kapsamında gerçekleştirilen fesihler için herhangi bir taraf hatalı kabul edilmeyecek ve bu fesihler, Anlaşmanın şartlarına tabi olacaktır.
7.3. Acil Durum Değişikliği
8. ULUSLARARASI İŞLEME
8.1. Uluslararası İşleme Koşulları
SAP, Kişisel Verileri, Veri Koruma Kanununda izin verilen şekilde, bu DPA uyarınca Alt İşleyici kullanarak işlemek de dahil olmak üzere, Müşterinin bulunduğu ülke dışında da işleme yetkisine sahip olacaktır.
8.2. Standart Sözleşme Maddelerinin (2010) Uygulanabilirliği
a) SAP ve Müşteri, Xxxxxxxx Sözleşme Xxxxxxxxxxx (2010) imzalar;
c) Müşteri tarafından Anlaşma uyarınca Kişisel Veri eklemesi için yetkilendirilmiş diğer Veri Sorumluları da yukarıdaki Bölüm 8.2.1 a) ve b) doğrultusunda Müşteriyle aynı şekilde SAP ve/veya ilgili Alt İşleyiciler ile Standart Sözleşme Maddeleri (2010) imzalayabilir. Böyle bir durumda Standart Sözleşme Xxxxxxxxxxx (2010) diğer Veri Sorumluları adına Müşteri imzalayacaktır.
8.2.2. Standart Sözleşme Maddeleri (2010) için ilgili Veri Sorumlusunun bulunduğu ülkenin yasaları geçerli olacaktır.
8.2.3. Geçerli Veri Koruma Kanununda, Yeni Standart Sözleşme Maddelerinin, Standart Sözleşme Maddelerine (2010) yönelik alternatif veya güncelleme olarak gerekli herhangi bir yeterlilik yöntemini karşılayacak şekilde benimsenmesi durumunda Bölüm 8.3 uyarınca Yeni Standart Sözleşme Maddeleri geçerli olacaktır.
8.3. Yeni Standart Sözleşme Maddelerinin Uygulanabilirliği
8.3.1. Aşağıdakiler 27 Eylül 2021 tarihinden itibaren geçerli olacak ve yalnızca Yeni Standart Sözleşme Maddeleri İlişkili Aktarımlar için uygulanacaktır:
8.3.1.1. SAP'nin Üçüncü Ülkelerde bulunmadığı ve veri dışa aktaran olarak hareket ettiği durumlarda SAP (veya SAP adına SAP SE), veri içe aktaran olarak her Alt İşleyici ile Yeni Standart Sözleşme Maddelerini imzalamıştır. Söz konusu Yeni Standart Sözleşme Maddeleri İlişkili Aktarımlar için Yeni Standart Sözleşme Maddelerindeki Modül 3 (İşleyiciler Arası Aktarım) geçerli olacaktır.
8.3.1.2. SAP'nin Üçüncü Ülkelerde bulunduğu durumlarda:
SAP (veri içe aktaran) ve Müşteri (veri dışa aktaran) işbu belgeyle, aşağıdaki şekilde geçerli olacak olan Yeni Standart Sözleşme Maddelerini kabul etmektedir:
a) Müşterinin Veri Sorumlusu olduğu durumlarda Modül 2 (Veri Sorumlusu ile İşleyici Arası Aktarım) geçerli olacaktır;
b) Müşterinin İşleyici olduğu durumlarda Modül 3 (İşleyiciler Arası Aktarım) geçerli olacaktır. Müşterinin, Yeni Standart Sözleşme Maddelerindeki Modül 3 (İşleyiciler Arası Aktarım) kapsamında İşleyici olarak hareket ettiği durumlarda SAP, Müşterinin, Veri Sorumlularının talimatları doğrultusunda İşleyici olarak hareket ettiğini kabul eder.
8.3.2. Yukarıdaki Bölüm 8.3.1.2 8.3.1.2 uyarınca, Müşteri tarafından Anlaşma kapsamında SAP Destek veya Profesyonel Hizmetlerini kullanma yetkisi verilen diğer Veri Sorumluları veya İşleyiciler de Müşteriyle aynı şekilde SAP ile Yeni Standart Sözleşme Maddelerini imzalayabilir. Böyle bir durumda Müşteri, Yeni Standart Sözleşme Maddelerini diğer Veri Sorumluları veya İşleyiciler adına kabul eder.
8.3.3. Yeni Standart Sözleşme Maddeleri İlişkili Aktarımlar ile ilgili olarak, Müşteri, Veri Sahiplerinden gelen talep üzerine, Müşteri ile SAP arasında imzalanan Yeni Standart Sözleşme Maddelerinin Modül 2 veya Modül 3 kopyalarını (ilgili Çizelgeler dahil) Veri Sahiplerine sunabilir.
8.3.4. Yeni Standart Sözleşme Maddeleri için Almanya yasaları geçerli olacaktır.
8.4. Standart Sözleşme Maddelerinin Anlaşmayla İlişkisi
Anlaşmadaki hiçbir madde, Standart Sözleşme Maddelerinin (2010) veya Yeni Standart Sözleşme Maddelerinin herhangi bir çelişkili maddesinden üstün olacağı şeklinde yorumlanamaz. Şüpheye mahal vermemek adına, işbu DPA'nın başka denetim ve Alt İşleyici kuralları içermesi durumunda söz konusu belirtimler Standart Sözleşme Maddeleri (2010) ve Yeni Standart Sözleşme Maddeleri için de geçerli olacaktır
8.5. Yeni Standart Sözleşme Maddeleri Kapsamındaki Üçüncü Taraf Lehtar Hakları
8.5.1. Müşterinin ilgili Üçüncü Ülkede bulunduğu ve Yeni Standart Sözleşme Maddelerindeki Modül 2 veya Modül 3 kapsamında veri içe aktaran olarak hareket ettiği ve SAP'nin geçerli Modül kapsamında Müşterinin alt işleyicisi olarak hareket ettiği durumlarda, ilgili veri dışa aktaran aşağıdaki üçüncü taraf lehtar haklarına sahip olacaktır:
8.5.2. Müşterinin fiilen ortadan kaybolması, yasal varlığının sona ermesi veya acze düşmesi durumunda (her durumda, sözleşme yoluyla veya yasa hükmü doğrultusunda Müşterinin yasal yükümlülüklerini üstlenen bir halef kurum olmadan) ilgili veri dışa aktaran, yalnızca veri dışa aktaranın Kişisel Verilerinin işlendiği ölçüde olmak üzere, etkilenen Hizmeti sona erdirme hakkına sahip olacaktır. Böyle bir durumda, ilgili veri dışa aktaran, SAP'den Kişisel Verileri silmesini veya iade etmesini de talep eder.
9. DOKÜMANTASYON; İŞLEME KAYITLARI
Taraflar dokümantasyon gereksinimlerine uymaktan ve özellikle Veri Koruma Kanunu uyarınca gerekli olduğu durumlarda işleme kayıtlarının bakımını yapmaktan sorumludur. Taraflardan her biri diğer tarafı işleme kayıtlarının bakımıyla ilgili yükümlülüklere uymasını sağlamak için, söz konusu tarafın ihtiyaç duyduğu bilgileri, yine söz konusu tarafın makul biçimde talep ettiği şekilde (elektronik sistem kullanmak gibi) sağlamak da dahil olmak üzere dokümantasyon gereksinimleri konusunda makul ölçüde destekleyecektir.
Çizelge 1 İşleme Açıklaması
Bu Çizelge 1; Standart Sözleşme Maddeleri (2010), Yeni Standart Sözleşme Maddeleri ve geçerli Veri Koruma Kanunu amaçları doğrultusunda Kişisel Verilerin İşlenmesini açıklamak için kullanılmaktadır.
1. A. TARAFLARIN LİSTESİ
1.1. Standart Sözleşme Maddeleri (2010) için
1.1.1. Veri Dışa Aktaran
Veri dışa aktaran, SAP ile bir Yazılım Lisansı ve Destek Anlaşması ve/veya Hizmet Anlaşması imzalayan Müşteridir ve bu kapsamda ilgili Anlaşmada belirtilen şekilde SAP Hizmetinden yararlanır. Veri dışa aktaran, diğer Veri Sorumlularının da SAP hizmetini kullanmasına izin verir ve bu Veri Sorumluları da veri dışa aktaran olarak adlandırılır.
1.1.2. Veri İçe Aktaran
SAP ve Alt İşleyicileri, veri dışa aktaran tarafından akdedilen ve Standart Sözleşme Maddelerini (2010) içeren ilgili Anlaşma kapsamında tanımlanan şekilde SAP Hizmetini sağlar:
1.2. Yeni Standart Sözleşme Maddeleri için
1.2.1. Modül 2: Veri Sorumlusu ile İşleyici Arası Aktarım
SAP'nin Üçüncü Ülkelerde bulunduğu durumlarda Müşteri Veri Sorumlusu, SAP İşleyici; Müşteri veri dışa aktaran, SAP ise veri içe aktaran olarak adlandırılır.
1.2.2. Modül 3: İşleyiciler Arası Aktarım
SAP'nin Üçüncü Ülkelerde bulunduğu durumlarda hem Müşteri hem SAP İşleyici ve Müşteri veri dışa aktaran, SAP ise veri içe aktaran olarak adlandırılır.
2. B. AKTARIM AÇIKLAMASI
2.1. Veri Sahipleri
Veri dışa aktaran tarafından aksi belirtilmedikçe, aktarılan Kişisel Veriler aşağıdaki Veri Sahibi kategorileriyle ilgilidir: Kişisel Verileri Bulut Hizmetinde depolanan, aktarılan, kullanıma sunulan, erişime açılan veya veri içe aktaran tarafça başka şekilde işlenen çalışanlar, yükleniciler, İş Ortakları veya diğer kişiler.
2.2. Veri Kategorileri
Aktarılan Kişisel Veriler, aşağıdaki veri kategorileri ile ilgilidir:
Müşteri, ilgili Anlaşma kapsamında belirtilen şekilde her SAP Hizmeti için aktarılabilecek veri ve/veya veri alanı kategorilerine karar verir. Aktarılan Kişisel Veriler genellikle şu veri kategorileri ile ilgilidir: ad, telefon numaraları, e-posta adresi, adres verileri, sistem erişim/kullanım/yetkilendirme verileri, şirket adı, sözleşme verileri ve fatura verileri, Yetkili Kullanıcılar tarafından aktarılan uygulamaya özgü verilerin yanı sıra banka hesap verileri, kredi kartı veya banka kartı verileri gibi mali verileri de içerebilir.
2.3. Özel Veri Kategorileri (kararlaştırılmışsa)
2.3.1. Aktarılan Kişisel Veriler, Anlaşmada belirtilen özel kategorilerdeki kişisel verileri ("Hassas Veriler") içerebilir. SAP, Hassas Verileri de korumaya uygun bir güvenlik düzeyi sağlamak için Çizelge 2'de belirtildiği gibi Teknik ve Organizasyonel Önlemler almıştır.
2.3.2. Hassas Verilerin aktarımı, verilerin niteliğini ve gerçek kişilerin hak ve özgürlüklerine (varsa) ilişkin değişen olasılık ve önem düzeyi riskini dikkate almak için gerekirse aşağıdaki ek kısıtlamaların veya güvencelerin uygulanmasını tetikleyebilir:
a) personel eğitimi;
b) verilerin aktarım sırasında ve işlenmediği durumlarda şifrelenmesi;
c) sistem erişimi ve genel veri erişimi için oturum açma.
2.4. Veri aktarımı ve işlemenin amaçları; İşlemenin niteliği
2.4.1. Aktarılan Kişisel Veriler, Anlaşma kapsamında belirtilen şekilde, aşağıdakileri içerebilecek olan temel işleme aktivitelerine tabidir:
a) SAP Hizmetini sağlamak amacıyla Kişisel Veri kullanımı;
b) Kişisel Verilerin depolanması;
c) veri aktarımı için Kişisel Verilerin bilgisayarda işlenmesi;
d) otomasyon, işlem işleme ve makine öğrenimi dahil olmak üzere SAP Destek veya Profesyonel Hizmetinin bir parçası olarak sağlanan hizmet özelliklerinin ve işlevlerinin sürekli iyileştirilmesi ve
e) Müşterinin talimatlarının Anlaşmaya uygun şekilde uygulanması.
2.4.2. Yazılım Lisansı ve Destek Anlaşması kapsamında: Müşteri, Yazılımın kullanılabilir olmaması veya beklenen şekilde çalışmaması nedeniyle bir destek çağrısı gönderdiğinde SAP veya Alt İşleyicileri destek sunar. Telefon çağrılarını yanıtlar, temel sorun giderme işlemleri gerçekleştirir ve destek çağrılarını bir izleme sisteminde yönetir.
2.4.3. Profesyonel Hizmetler için geçerli Hizmet Anlaşması kapsamında: SAP veya Alt İşleyicileri, Sipariş Formu Hizmetlerine ve geçerli Kapsam Dokümanına tabi şekilde Hizmet sağlar.
2.5. Yeni Standart Sözleşme Maddeleri ile ilgili ek açıklama Yeni Standart Sözleşme Maddelerinin İlgili Modülleri
a) Modül 2: Veri Sorumlusu ile İşleyici Arası Aktarım
b) Modül 3: İşleyiciler Arası Aktarım
2.6. Aktarım sıklığı (ör. verilerin bir kerelik mi yoksa sürekli olarak mı aktarıldığı): Aktarımlar sürekli olarak gerçekleştirilecektir.
2.7. Kişisel verilerin tutulacağı süre veya bunun mümkün olmaması halinde, söz konusu sürenin belirlenmesinde kullanılan ölçütler:
Kişisel Veriler, Anlaşmanın süresi boyunca ve DPA'daki Bölüm 5 uyarınca tutulacaktır.
2.8. (Alt) işleyicilere yönelik aktarımlar için işleme konusunu, niteliğini ve süresini de belirtin:
Yeni Standart Sözleşme Maddeleri ile ilgili olarak, Alt İşleyicilere yapılan aktarımlar DPA'da belirtilen esas doğrultusunda gerçekleştirilecektir.
3. C. YETKİ SAHİBİ DÜZENLEYİCİ OTORİTE
3.1. Yeni Standart Sözleşme Maddeleri ile ilgili olarak:
3.1.1. Modül 2: Veri Sorumlusu ile İşleyici Arası Aktarım
3.1.2. Modül 3: İşleyiciler Arası Aktarım
3.2. Müşterinin veri dışa aktaran olduğu durumlarda, düzenleyici otorite, Yeni Standart Sözleşme Maddelerinin 13. Maddesi uyarınca Müşteri üzerinde denetimi olan yetki sahibi düzenleyici otorite olacaktır.
Çizelge 2 - Teknik ve Organizasyonel Önlemler
Bu Çizelge 2; Standart Sözleşme Maddeleri (2010), Yeni Standart Sözleşme Maddeleri ve geçerli Veri Koruma Kanunu amaçları doğrultusunda ilgili teknik ve organizasyonel önlemleri açıklamak için kullanılmaktadır.
SAP, ilgili Teknik ve Organizasyonel Önlemleri uygulayacak ve sürdürecektir.