MÜŞTERİ VERİLERİ İŞLEME EKİ

MÜŞTERİ VERİLERİ İŞLEME EKİ

HP ile Müşteri arasındaki geçerli sözleşme(ler)de (“Hizmetler Sözleşmesi”) anlaşmaya varılmış olan Hizmetleri sağlamak için HP bir Veri İşleme Sorumlusu olarak hareket ettiği ve Müşteri adına Müşteri Kişisel Verilerini işlediği zaman bu Veri İşleme Eki (“DPA”) ve ilgili Ekleri geçerli olur. HP ve Müşteri kendi başlarına Veri Kontrol Sorumluları olarak kabul edilecek oldukları zaman bu DPA geçerli olmaz. Bu belgede özel olarak tanımlanmış olmayan büyük harfler ile başlayan terimler Hizmetler Sözleşmesinde belirtilen anlamlara sahip olacaktır. Kişisel Verilerin işlenmesi ile ilgili olarak Hizmetler Sözleşmesinin terimleri ile bu DPA arasında bir çelişki olduğu zaman DPA geçerli olacaktır.

1 TANIMLAR

1.1 “Müşteri”, Hizmetlerin son kullanıcısı olan müşteri demektir;

1.2 “Müşteri Kişisel Verileri”, Müşterinin Veri Kontrol Sorumlusu olduğu ve Hizmetlerin sağlanması sırasında HP veya onun Alt işleme sorumluları tarafından bir Veri İşleme Sorumlusu olarak işlenen Kişisel Veriler demektir;

1.3 “Veri Kontrol Sorumlusu”, Kişisel Verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkaları ile müşterek şekilde belirleyen gerçek veya tüzel kişi, kamu makamı, temsilci veya başka bir kuruluş demektir; burada, işlenmenin amaçları ve araçları geçerli Veri Koruma ve Mahremiyet Yasası, Veri Kontrol Sorumlusu veya Veri Kontrol Sorumlusunun atanma kıstasları tarafından belirlenir ve bunlar Veri Koruma ve Mahremiyet Yasaları ile tanımlanır;

1.4 “Veri İşleme Sorumlusu”, Kişisel Verileri Veri Kontrol Sorumlusu adına, veya, Veri Kontrol Sorumlusu adına hareket eden başka bir Veri İşleme Sorumlusunun talimatı üzerine işleyen herhangi bir gerçek veya tüzel kişi, kamu makamı, temsilci veya başka bir kuruluş demektir;

1.5 “Veri Koruma ve Mahremiyet Yasaları”, bir sınırlandırma olmaksızın kişisel verilerin işlenmesi bakımından bireylerin korunması hakkında ve bu gibi verilerin serbest dolaşımı hakkında Direktif 95/46/EC, elektronik iletişim sektöründe kişisel verilerin işlenmesi ve mahremiyetin korunması hakkında Direktif 2002/58/EC, yukarıda belirtilen Direktifleri uygulayan tüm ulusal yasalar veya yönetmelikler, GDPR (geçerli olduğu zaman) ve Norveç, İzlanda, Lihtenştayn, İsviçre veya İngiltere’nin (İngiltere AB’nin parçası olmaktan çıktıktan sonra) tüm veri koruma yasaları ve söz konusu yasalarda ve yönetmeliklerde yapılacak tüm değişiklikler veya değiştirmeler dahil olmak üzere Kişisel Verilerin işlenmesi, güvenliği, korunması ve elde tutulması ve mahremiyet ile ilişkili olarak ilgili yetki bölgelerinde bulunabilecek mevcut ve gelecekteki geçerli tüm yasalar ve yönetmelikler demektir;

1.6 “Veri Sahibi”, geçerli Veri Koruma ve Mahremiyet Yasaları uyarınca “veri sahibi” terimine verilmiş olan anlama gelecek ve en az olarak Kişisel Verilerin ilgili olduğu belirlenmiş veya belirlenebilen tüm gerçek kişileri içerecektir;

1.7 “AB”, Avrupa Birliği ve toplu şekilde bu birliğe üye ülkeler demektir;

1.8 “Avrupa Ülkesi”, bir AB üyesi devlet, Norveç, İzlanda, Lihtenştayn, İsviçre ve, İngiltere bir AB devleti olmaktan çıktıktan sonra İngiltere demektir;

1.9 “AB Standart Sözleşme Maddeleri”, Kişisel Verilerin Veri Kontrol Sorumlularına aktarılması hakkında AB standart sözleşme maddeleri 2010/87/EU veya onun ardılları demektir;

1.10 “AB-ABD Mahremiyet Kalkanı”, zaman içinde değişiklik yapılan veya değiştirilen şekli ile ABD Ticaret Bakanlığı ve Avrupa Komisyonu tarafından oluşturulmuş olan AB-ABD Mahremiyet Kalkanı çerçevesi demektir;

1.11 “GDPR”, kişisel verilerin işlenmesi bakımından gerçek kişilerin korunması hakkında ve bu gibi verilerin serbest dolaşımı hakkında Genel Veri Koruma Yönetmeliği (EU) 2016/679 demektir;

1.12 “HP Grubu”, 0000 Xxxx Xxxx Xxxx, Xxxx Xxxx, XX 00000 ABD adresinde yerleşik olan HP Inc. ve kurulduğu veya faaliyet gösterdiği yetki bölgesine bakılmaksızın çoğunluğuna sahip olduğu ve kontrol ettiği tüm bağlı şirketleri demektir;

1.13 “Kişisel Veri”, belirlenmiş veya belirlenebilen hayatta olan bir birey ile ilgili olan veya geçerli Veri Koruma ve Mahremiyet Yasaları tarafından başka şekilde tanımlanmış tüm bilgiler demektir. Belirlenebilen bir kişi özellikle bir ad, bir kimlik numarası, yer verileri, çevirim içi bir belirleyici veya kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha çok etken gibi belirleyici bir referans vasıtası ile doğrudan veya dolaylı şekilde belirlenebilecek olan bir kişi demektir;

1.14 “Kişisel Veri Vakası”, geçerli Veri Koruma ve Mahremiyet Yasaları tarafından “güvenlik vakası”, “güvenlik ihlali” veya “kişisel veri ihlali” terimlerine atanan anlama sahip olacak ama Müşteri Kişisel Verilerine yetkisiz kişiler tarafından yetkisiz bir şekilde erişildiğinin, açıklandığının, değiştirildiğinin, kaybolduğunun, imha olduğunun veya kullanıldığının veya bunların muhtemelen gerçekleşmiş olduğunun HP tarafından farkına varıldığı tüm durumları içerecektir;

1.15 “işlem”, “işlemler”, “işleme” veya “işlenmiş”, bir sınırlandırma olmaksızın Kişisel Verilere erişilmesi, onların toplanması, kayıt edilmesi, düzenlenmesi, yapılandırılması, elde tutulması, depolanması, uyarlanması veya değişikliğe uğratılması, elde edilmesi, onlara danışılması, kullanılması, iletilerek açıklanması, dağıtılması veya başka bir şekilde temin edilmesi, uygun duruma getirilmesi, birleştirilmesi, bloke edilmesi, kısıtlanması, silinmesi ve imha edilmesi dahil olmak üzere otomatik yollar kullanarak veya kullanmadan Kişisel Veriler üzerinde uygulanan herhangi bir işlem veya bir dizi işlem ve buradaki tanımları aştığı ölçüde geçerli Veri Koruma ve Mahremiyet Yasalarındaki buna eşdeğer tüm tanımlar demektir;

1.16 “İlgili Ülke” Avrupa Ülkeleri dışındaki tüm ülkeler ve Avrupa Veri Koruma Direktifi Madde 25(6) veya GDPR Madde 45 uyarınca hakkında uygunluk bulgusu bulunan diğer ülkeler demektir;

1.17 “Hizmetler”, ürünler ve destek dahil olmak üzere Hizmetler Sözleşmesi uyarınca HP tarafından sağlanan hizmetler demektir;

1.18 “Hizmetler Sözleşmesi”, HP’den Hizmetler satın almak için HP ile Müşteri arasındaki sözleşme demektir; ve

1.19 “Alt işleme sorumlusu”, HP tarafından veya HP’nin herhangi bir başka Alt işleme sorumlusu tarafından görevlendirilen ve Müşteri adına gerçekleştirilecek olan işleme faaliyetleri için Müşteri Kişisel Verilerini alan herhangi bir tüzel kişi demektir.

2 KAPSAM VE YASAYA UYUM

2.1 Bu DPA yalnızca HP’nin Hizmetleri sağlaması ile ilişkili şekilde Müşteri Kişisel Verilerinin HP tarafından işlenmesi için ve Veri Kontrol Sorumlusu olan Müşteri adına HP bir Veri İşleme Sorumlusu olarak hareket ettiği zaman geçerli olacaktır. HP ve Müşteri kendi başlarına Veri Kontrol Sorumluları olarak kabul edilecek oldukları zaman bu DPA geçerli olmaz.

2.2 Veri Sahiplerinin kategorileri, işlenen Müşteri Kişisel Verilerinin türleri ve işlemenin amaçları bu DPA’da Ek 1’de belirtilmiştir. HP Müşteri Kişisel Verilerini Hizmetler Sözleşmesinin süresi boyunca (veya geçerli yasanın gerektirdiği ölçüde daha uzun süre) işleyecektir.

2.3 Müşteri HP’nin Hizmetlerini kullanırken, Hizmetlerin sağlanması ile ilişkili şekilde HP tarafından işlenecek olan Müşteri Kişisel Verilerinin doğruluğu, kalitesi ve yasallığı bakımından geçerli tüm Veri Koruma ve Mahremiyet Yasalarına uygunluktan tek başına sorumlu olacaktır. Müşteri aynı zamanda Müşteri Kişisel Verilerinin işlenmesi ile ilgili olarak HP’ye verdiği talimatların geçerli tüm Veri Koruma ve Mahremiyet Yasalarına uygun olmasını sağlayacak ve geçerli Veri Koruma ve Mahremiyet Yasaları uyarınca HP’yi yükümlülüklerini ihlal eder duruma sokmayacaktır.

2.4 Müşteri Hizmetleri bu DPA kapsamında açık şekilde bulunmayan Kişisel Veri kategorilerini işlemek için kullandığı takdirde Müşteri riskleri kendisi üstlenerek hareket eder ve söz konusu kullanım ile ilgili potansiyel uygunluk eksikliklerinden HP sorumlu olmayacaktır.

2.5 HP herhangi bir HP çalışanının Kişisel Verilerini Müşteriye açıkladığı veya herhangi bir HP çalışanı doğrudan Müşteriye Kişisel Veriler sağladığı ve Müşteri de Hizmetleri kullanımını yönetmek için bunları işlediği zaman Müşteri bu Kişisel Verileri kendi gizlilik politikalarına ve geçerli Veri Koruma ve Mahremiyet Yasalarına uygun şekilde işleyecektir. HP tarafından bu gibi açıklamalar yalnızca sözleşme yönetimi amaçları, hizmetlerin yönetilmesi veya Müşterinin makul özgeçmiş tarama doğrulaması veya güvenlik amaçları bakımından yasal olduğu zaman yapılacaktır.

3 VERİ İŞLEME SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

3.1 Hizmetler Sözleşmesinde Müşteri Kişisel Verilerinin işlenmesi bakımından bunun tersine yer alan hiçbir

şeye bakılmaksızın, HP:

3.1.1 Müşteri Kişisel Verilerini yalnızca Müşterinin belgelendirilmiş talimatlarına uygun şekilde işleyecektir (bunlar Hizmetler Sözleşmesinde belirtildiği veya Müşteri tarafından başka bir yol ile bildirildiği şekilde özgün veya genel özelliğe sahip olabilir). Yukarıda belirtilenlere bakılmaksızın HP Müşteri Kişisel Verilerini geçerli yasa uyarınca gereken şekilde işleyebilir. Böyle bir durumda, yasa yasaklamadığı sürece, HP verileri işlemeden önce Müşteriye söz konusu gerekliliği haber vermek için makul önlemler alacaktır;

3.1.2 bunlara yalnızca Kişisel Verilerin korunması ve kullanılması hakkında gerekli eğitimden geçmiş olan ve Müşteri Kişisel Verilerinin gizliliğine saygı göstermekle bağlı bulunan yetkili personelin erişmesini sağlayacaktır;

3.1.3 Müşteri Kişisel Verilerini yetkisiz veya yasaya aykırı şekilde imha edilmeye, kaybolmaya, değişiklik yapmaya, yetkisiz şekilde açıklamaya veya erişmeye karşı korumak için uygun teknik ve kurumsal önlemler uygulayacaktır. Bu önlemler Müşteri Kişisel Verilerinin yetkisiz veya yasaya aykırı şekilde işlenmesi, kaza sonucu kaybolması, imha edilmesi veya çalınması sonucunda ortaya çıkabilecek zarar bakımından ve korunması gereken Müşteri Kişisel Verilerinin özelliği göz önüne alınarak uygun olacaktır.

3.1.4 geçerli Veri Koruma ve Mahremiyet Yasaları uyarınca haklarını kullanmak isteyen Veri Sahiplerinden gelen istekleri gereksiz gecikmeye yol açmadan ve geçerli yasanın izin verdiği ölçüde Müşteriye bildirecek ve Müşterinin yazılı isteği üzerine ve gideri ona ait olmak üzere, işlemenin özelliği göz önünde tutularak, söz konusu isteklere yanıt verme yükümlülüğü bakımından Müşteriye yardım etmek için olanaklı olduğu ölçüde uygun teknik ve kurumsal önlemler uygulayarak Müşteriye yardımcı olacaktır. Hizmetler Sözleşmesi uyarınca sağlanan Hizmetler vasıtası ile Müşteri Kişisel Verilerine Müşterinin erişemediği ölçüde, yasal şekilde izin verildiği zaman ve Müşterinin isteği üzerine, söz konusu isteklere yanıt verilmesi geçerli Veri Koruma ve Mahremiyet Yasaları tarafından gerekli tutulduğu takdirde söz konusu isteklere yanıt verilmesinde HP Müşteriye yardımcı olmak için ticari bakımdan makul bir çaba harcayacaktır;

3.1.5 Müşterinin yazılı isteği üzerine ve gideri ona ait olmak üzere, işlemenin özelliği ve HP’nin elindeki bilgiler göz önünde tutularak, 32’den 36’ya kadar GDPR Maddeleri veya geçerli Veri Koruma ve Mahremiyet Yasaları uyarınca eşdeğer hükümler gereğince yükümlülükler bakımından Müşteriye

yardımcı olacaktır. HP bu Madde 3.1.5 ve Maddeler 3.1.3 ve 3.1.4 uyarınca sağlanan yardım için idari bir ücret uygulama hakkını saklı tutar; ve

3.1.6 Müşterinin yazılı isteği üzerine, geçerli yasa Müşteri Kişisel Verilerinin depolanmasını gerektirmediği sürece, Hizmetler verilmesinin sonundan sonra söz konusu tüm Müşteri Kişisel Verilerini silecek veya Müşteriye iade edecektir.

4 ALT-İŞLEME

4.1 Müşteri, Hizmetleri sağlama amaçları için veya Ek 1’deki ‘İşleme Faaliyetleri’ bölümünde belirtilen amaçlar için HP Grubu üyelerine veya üçüncü taraflara Alt işleme sorumluları olarak Müşteri Kişisel Verilerini aktarmak veya Müşteri Kişisel Verilerine erişim sağlamak (ve Alt işleme sorumlularına Madde 4.1’e göre atama yapma izni vermek) için HP’ye yetki vermektedir. HP kendi Alt işleme sorumlularının bu DPA’nın yükümlülüklerine uymasından sorumlu şekilde kalacaktır. HP, HP’nin Müşteri Kişisel Verilerini aktardığı tüm Alt işleme sorumlularının, bu DPA’da belirtilenlerden daha az koruyucu olmayan hükümlere Alt işleme sorumlularının uymasını HP’nin gerekli tutacağı şekilde HP ile yazılı sözleşme yapmasını sağlayacaktır. HP, Hizmetler Sözleşmesinin kapsamında bulunan Hizmetler için Müşteriye mevcut Alt işleme sorumlularının listesini sağlayacaktır.

4.2 HP her an ve bir gerekçe göstermeden yeni bir Alt işleme sorumlusu atayabilir ancak Müşteriye on (10) gün önceden bildirimde bulunulacaktır ve Müşteri bu zaman çerçevesi içinde söz konusu değişikliğe yasaya uygun şekilde itiraz etmemelidir. Yasaya uygun itirazlar Alt işleme sorumlusunun geçerli Veri Koruma ve Mahremiyet Yasalarına uymaması ile ilgili makul ve belgeye dayanan nedenler içermelidir. HP’nin makul görüşüne göre söz konusu itirazlar yasaya uygun olduğu zaman HP Müşteri Kişisel Verilerinin işlenmesi kapsamı içinde söz konusu Alt işleme sorumlusunu kullanmaktan kaçınacaktır. HP bu gibi durumlarda Müşteri Kişisel Verilerinin söz konusu Alt işleme sorumlusu tarafından işlenmesinden kaçınmak için (i) Müşteriye HP Hizmetlerinde bir değişiklik teklif etmek veya (ii) Müşterinin yapılandırmasında veya Hizmetlerin kullanımında bir değişiklik tavsiye etmek üzere makul bir çaba harcayacaktır. HP doksan (90) günü geçmemek üzere makul bir süre içinde böyle bir değişiklik teklif edemediği zaman Müşteri HP’ye yazılı bildirim vererek, itiraz edilmiş olan Alt işleme sorumlusunu kullanmadan HP tarafından verilemeyecek olan Hizmetleri feshedebilir.

5 KİŞİSEL VERİ VAKALARI

5.1 HP Müşteri Kişisel Verilerini içeren bir Kişisel Veri Vakasının farkına varması halinde gereksiz gecikmeye yol açmadan Müşteriye bildirimde bulunacak ve Kişisel Veri Vakasını düzeltmek için Müşterinin makul şekilde isteyebileceği önlemleri Müşterinin makul şekilde isteyeceği zaman çerçevesi içinde alacak ve Müşterinin makul şekilde isteyebileceği ilave bilgiler sağlayacaktır. Müşteri söz konusu yardımın HP’nin bu DPA’ya uymaması yüzünden gerekli olduğunu göstermediği sürece ve bu ölçüde, HP bu Madde 5.1 uyarınca sağlanan yardım için idari bir ücret uygulama hakkını saklı tutar.

6 MÜŞTERİ KİŞİSEL VERİLERİNİ ULUSLARARASI ŞEKİLDE AKTARMA İŞLEMLERİ

6.1 HP Müşteri Kişisel Verilerini bunların ilk olarak toplandığı ülkenin dışına aktarabilir ancak söz konusu aktarma işleminin Hizmetler ile ilişkili şekilde gerekli olması ve söz konusu aktarma işlemlerinin geçerli Veri Koruma ve Mahremiyet Yasalarına uygun şekilde yer alması gerekir.

6.2 Avrupa’ya Özgü Hükümler

6.2.1 Müşteri Kişisel Verilerinin bir Avrupa Ülkesinden İlgili bir Ülkeye aktarıldığı ölçüde HP geçerli Veri Koruma ve Mahremiyet Yasalarına uygun şekilde söz konusu tüm aktarma işlemleri için Madde 6.2.2’de belirtilen öncelik sırasına göre geçerli olacak olan aşağıda sıralanan aktarma mekanizmalarını sağlar:

6.2.1.1 AB-ABD Mahremiyet Kalkanı: HP, AB-ABD Mahremiyet Kalkanı uyarınca Müşteri Kişisel Verileri için belgelendirilmiştir ve belgelendirilmiş olarak kalacağını garanti etmektedir ve belgeleri HP yenilemediği veya kaybettiği veya Müşteri Kişisel Verilerinin işlenmesi artık belgenin kapsamında olmayacak şekilde belgelerde değişiklik yaptığı takdirde Müşteriye hemen bildirimde bulunacaktır.

6.2.1.2 AB Standart Sözleşme Maddeleri: AB Standart Sözleşme Maddeleri bu DPA’ya bu belge ile bir bütün olarak dahil edilmiştir ve geçerli olduğu ölçüde HP bir veri ithalatçısının (AB Standart Sözleşme Maddelerinde tanımlanan şekilde) yükümlülüklerine kendi Alt işleme sorumluları tarafından uyulmasını sağlayacaktır. Bu DPA ile AB Standart Sözleşme Maddeleri arasında bir çelişki bulunması durumunda AB Standart Sözleşme Maddelerinin hükümleri geçerli olacaktır.

6.2.2 Hizmetler birden çok aktarma mekanizmasının kapsamında bulunduğu takdirde Müşteri Kişisel Verilerinin aktarılması şu öncelik sırasına uygun şekilde bir tek aktarma mekanizmasına tabi olacaktır: 1) HP’nin AB-ABD Mahremiyet Kalkanı belgesi ve 2) AB Standart Sözleşme Maddeleri.

7 DENETLEMELER

7.1 Müşterinin yazılı isteği üzerine HP geçerli Veri Koruma ve Mahremiyet Yasaları uyarınca belirtilen yükümlülüklere uyumunu ortaya koymak için gereken tüm bilgileri Müşteriye sağlayacaktır ancak HP ticari bakımdan gizli olan bilgiler sağlamak için hiçbir yükümlülüğe sahip olmayacaktır. HP ayrıca, yılda en çok bir kez olmak ve giderlerini Müşteri karşılamak üzere, Müşteri tarafından veya Müşterinin HP’nin rakibi olmayan üçüncü taraf bir yetkili denetçisi tarafından yapılacak olan denetlemelere ve incelemelere izin verecek ve bunlara katkıda bulunacaktır. Söz konusu denetlemeler başlamadan önce gizlilik koşulları dahil olmak üzere bunların kapsamı hakkında karşılıklı anlaşmaya varılacaktır.

8 SORUMLULUK

8.1 Müşteri Kişisel Verilerinin bu DPA’ya uygun şekilde işlenmesinden doğan veya onun ile ilgili olan şekilde HP’nin sorumluluğu (gerek sözleşmeden gerek haksız muameleden veya başka bir yükümlülük teorisinden kaynaklanmak üzere) Hizmetler Sözleşmesinde belirtilen tüm sorumluluk sınırlandırma hükümlerine tabidir.

Ek 1

İşlemenin Ayrıntıları

HP bu Ek 1’ işleme faaliyetlerindeki değişiklikleri yansıtacak şekilde periyodik olarak değiştirebilir. Veri Sahiplerinin Kategorileri

• Müşterinin çalışanları, müşterinin temsilcileri ve alt yüklenicileri. Kişisel Veri Türleri

HP’nin Hizmetleri sağlaması ile ilişkili şekilde HP tarafından işlenen Müşteri Kişisel Verileri Veri Kontrol Sorumlusu olarak Müşteri tarafından ve geçerli iş açıklaması ve/veya satın alma/değiştirme emirlerine uygun şekilde belirlenir ve kontrol edilir ama örnek olarak şunları içerebilir:

• İletişim verileri – ad, mesleki telefon numarası, mesleki eposta adresi ve mesleki ofis adresi gibi;

• Güvenlik ięin kimlik bilgiler – çalışan tanımlama veya yaka kartı numarası gibi;

• Ürün kullanma verileri – yazdırılan sayfalar, yazdırma modu, kullanılan ortam, mürekkep veya toner markası, yazdırılan dosya türü (.pdf, .jpg, vb.), dosya boyutu, zaman damgası ve diğer yazıcı tedarikçilerinin kullanımı ve durumu gibi;

• Performans Verileri – “Düşük mürekkep uyarıları” gibi yazdırma olayları, özellikleri ve uyarıları, fotoğraf kartları, faks, tarama kullanımı, gömülü web sunucusu ve ürüne göre değişen teknik bilgiler;

• Cihaz Verileri – Bilgisayarlar, yazıcılar ve/veya cihazlar hakkında işletim sistemi, bellek miktarı, bölge, dil, saat dilimi, model numarası, ilk başlatma tarihi, cihazın yaşı, cihaz üretim tarihi, tarayıcı sürümü, bilgisayar üreticisi, bağlantı noktası, garanti durumu, özgün cihaz tanımlayıcılar, reklam tanımlayıcıları ve ürüne göre değişen ilave teknik bilgiler gibi bilgiler;

• Uygulama Verileri – HP uygulamaları hakkında yer, dil, yazılım sürümleri, veri paylaşma seçenekleri ve güncelleme ayrıntıları gibi bilgiler; ve

• HP Hizmetlerinin sağlanmasını kolaylaştırmak ve Müşteri ve/veya Veri Sahibi sorularını yanıtlamak için bir Veri Sahibi tarafından kişisel olarak, çevirim içi şekilde veya telefon ile etkileşimde bulunurken veya hizmet merkezlerine, yardım masalarına veya başka müşteri destek kanallarına eposta gönderilerek sağlanan diğer Kişisel Veriler.

İşleme faaliyetleri

Hizmetler Sözleşmesi ile bağlantılı şekilde işlenen Müşteri Kişisel Verileri HP tarafından Müşteri ile ilişkileri yönetmek ve ona Hizmetleri sağlamak için kullanılacaktır. HP Müşteri Kişisel Verilerini şunlar için işleyebilir:

• Yönetilen Yazdırma Hizmetleri ve bir Hizmet olarak Cihaz gibi filo yönetim hizmetleri sağlamak;

• bakım paketi ve genişletilmiş garanti desteği dahil olmak üzere geniş kapsamlı destek ve bakım hizmetleri sağlamak ve tamirleri ve iadeleri kolaylaştırmak için doğru şekilde iletişim ve kayıt verileri bulundurmak;

• hesapları yönetme ve sevkleri ve teslimatları düzenleme amaçları ile ürünler ve hizmetler ısmarlanması ve siparişlerin tamamlanması için portallara erişimi kolaylaştırmak;

• cihazın veya hizmetin kesintisiz şekilde çalışmasını sağlamak üzere garanti desteği ve zamanlı şekilde aygıt yazılımı ve yazılım güncellemeleri ve uyarılar dahil olmak üzere ürünlerin, çözümlerin, hizmetlerin ve desteğin performansını ve işleyişinin iyileştirmek;

• Müşteriye Hizmetler hakkında idari iletişimler sağlamak. İdari iletişimlerin örnekleri arasında Müşteri sorularına veya isteklerine yanıtlar verilmesi, hizmetin yerine getirilmesi veya garanti ile ilgili iletişimler, güvenlik amaçlı ürün geri çağırma bildirimleri veya şirket birleşmesi, alım veya elden çıkarma ile ilgili geçerli kurumsal güncellemeler bulunabilir;

• HP’nin web sitelerinin, ürünlerinin, özelliklerinin ve hizmetlerin sağlamlığını ve güvenliği korumak ve Müşteri bilgilerini tehlikeye atabilecek olan güvenlik tehditlerini, sahtekarlığı veya suç niteliğindeki veya kötü niyetli daha başka faaliyetleri önlemek ve belirlemek;

• HP’nin uzaktan bakım hizmetlerinin sağlanması için telefon eden kişinin adını ve çalışan tanımlama veya yaka kartı numarasını istemek dahil olmak üzere Müşteri kimliğini teyit etmek;

• geçerli yasalara, yönetmeliklere, mahkeme emirlerine, hükümet ve yasal yaptırım taleplerine uymak ve çalışanları ve diğer müşterileri korumak ve uyuşmazlıkları çözümlemek; ve

• ihtiyaca uygun duruma getirilmiş bir deneyim sağlamak, Hizmetleri ve iletişimleri kişiselleştirmek ve tavsiyeler oluşturmak.

Ek 2

STANDARD CONTRACTUAL CLAUSES (processors)

Bu Standart Sözleşme Maddeleri (işleme sorumluları) HP ile Müşteri arasındaki Veri Koruma Sözleşmesine (“DPA”) eklenmiş ve onun parçası haline getirilmiştir.

For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection

Data Exporter and Data Importer are as defined in Appendix 1. each a “party”; together “the parties”,

HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1.

Clause 1

Definitions

For the purposes of the Clauses:

(a) ‘personal data’, ‘special categories of xxxx’, ‘xxxxxxx/xxxxxxxxxx’, ‘xxxxxxxxxx’, ‘xxxxxxxxx’, ‘data subject’ and ‘supervisory authority’ shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data1;

(b) ‘the data exporter’ means the controller who transfers the personal data;

(c) ‘the data importer’ means the processor who agrees to receive from the data exporter personal data intended for processing on his behalf after the transfer in accordance with his instructions and the terms of the Clauses and who is not subject to a third country’s system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;

(d) ‘the sub processor’ means any processor engaged by the data importer or by any other sub processor of the data importer who agrees to receive from the data importer or from any other sub processor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with his instructions, the terms of the Clauses and the terms of the written subcontract;

(e) ‘the applicable data protection law’ means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established;

(f) ‘technical and organisational security measures’ means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.

1 Parties may reproduce definitions and meanings contained in Directive 95/46/EC within this Clause if they considered it better for the contract to stand alone.

Clause 2

Details of the transfer

The details of the transfer and in particular the special categories of personal data where applicable are specified in Appendix 1 which forms an integral part of the Clauses.

Clause 3

Third-party beneficiary clause

1. The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as third-party beneficiary.

2. The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity.

3. The data subject can enforce against the sub processor this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the sub processor shall be limited to its own processing operations under the Clauses.

4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law.

Clause 4

Obligations of the data exporter

The data exporter agrees and warrants:

(a) that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;

(b) that it has instructed and throughout the duration of the personal data processing services will instruct the data importer to process the personal data transferred only on the data exporter’s behalf and in accordance with the applicable data protection law and the Clauses;

(c) that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 to this contract;

(d) that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;

(e) that it will ensure compliance with the security measures;

(f) that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC;

(g) to forward any notification received from the data importer or any sub processor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;

(h) to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for sub processing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;

(i) that, in the event of sub processing, the processing activity is carried out in accordance with Clause 11 by a sub processor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the Clauses; and

(j) that it will ensure compliance with Clause 4(a) to (i).

Clause 5

Obligations of the data importer2

The data importer agrees and warrants:

(a) to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

(b) that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

(c) that it has implemented the technical and organisational security measures specified in Appendix 2 before processing the personal data transferred;

(d) that it will promptly notify the data exporter about:

(i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation,

(ii) any accidental or unauthorised access, and

(iii) any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;

(e) to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred;

(f) at the request of the data exporter to submit its data processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound

2 Mandatory requirements of the national legislation applicable to the data importer which do not go beyond what is necessary in a democratic society on the basis of one of the interests listed in Article 13(1) of Directive 95/46/EC, that is, if they constitute a necessary measure to safeguard national security, defense, public security, the prevention, investigation, detection and prosecution of criminal offences or of breaches of ethics for the regulated professions, an important economic or financial interest of the State or the protection of the data subject or the rights and freedoms of others, are not in contradiction with the standard contractual clauses. Some examples of such mandatory requirements which do not go beyond what is necessary in a democratic society are, inter alia, internationally recognized sanctions, tax-reporting requirements or anti-money-laundering reporting requirements.

by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;

(g) to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub processing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;

(h) that, in the event of sub processing, it has previously informed the data exporter and obtained its prior written consent;

(i) that the processing services by the sub processor will be carried out in accordance with Clause 11;

(j) to send promptly a copy of any sub processor agreement it concludes under the Clauses to the data exporter.

Clause 6 Liability

1. The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or sub processor is entitled to receive compensation from the data exporter for the damage suffered.

2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his sub processor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity.

The data importer may not rely on a breach by a sub processor of its obligations in order to avoid its own liabilities.

3. If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the sub processor of any of their obligations referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the sub processor agrees that the data subject may issue a claim against the data sub processor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the sub processor shall be limited to its own processing operations under the Clauses.

Clause 7

Mediation and jurisdiction

1. The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject:

(a) to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;

(b) to refer the dispute to the courts in the Member State in which the data exporter is established.

2. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law.

Clause 8

Cooperation with supervisory authorities

1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law.

2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any sub processor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law.

3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any sub processor preventing the conduct of an audit of the data importer, or any sub processor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in Clause 5 (b).

Clause 9 Governing Law

The Clauses shall be governed by the law of the Member State in which the data exporter is established

Clause 10

Variation of the contract

The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clause.

Clause 11 Sub‐processing

1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the sub processor which imposes the same obligations on the sub processor as are imposed on the data importer under the Clauses3. Where the sub processor fails to fulfil its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the sub processor’s obligations under such agreement.

2. The prior written contract between the data importer and the sub processor shall also provide for a third-party beneficiary clause as laid down in Clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the sub processor shall be limited to its own processing operations under the Clauses.

3. The provisions relating to data protection aspects for sub processing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established

4. The data exporter shall keep a list of sub processing agreements concluded under the Clauses and notified by the data importer pursuant to Clause 5 (j), which shall be updated at least once a year. The list shall be available to the data exporter’s data protection supervisory authority.

3 This requirement may be satisfied by the sub-processor co-signing the contract entered into between the data exporter and the data importer under this Decision.

Clause 12

Obligation after the termination of personal data processing services

1. The parties agree that on the termination of the provision of data processing services, the data importer and the sub processor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore.

2. The data importer and the sub processor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data processing facilities for an audit of the measures referred to in paragraph 1.

APPENDİX 1 TO THE STANDARD CONTRACTUAL CLAUSES

These Standard Contractual Clauses (processors) are attached to and made part of the Data Protection Agreement (“DPA”) between HP and Customer. This Appendix forms part of the Clauses. The Member States may complete or specify, according to their national procedures, any additional necessary information to be contained in this Appendix.

Data exporter

The data exporter is (please specify briefly your activities relevant to the transfer):

Veri ihraęęısı, Hizmetler Sözleşmesine uygun şekilde Hizmetler satın almış olup Hizmetler Sözleşmesini imzalamış olan tüzel kişidir ve Müşterinin bir Avrupa Ülkesi ięinde kurulmuş olan tüm bağlı şirketleridir.

Data importer

The data importer is (please specify briefly activities relevant to the transfer):

Geęerli Hizmetler Sözleşmesinde belirtilen şekilde Hizmetlerin tedarikęileri olarak, kurulduğu veya faaliyet gösterdiği yetki bölgesine bakılmaksızın HP’nin ęoğunluğuna sahip olduğu ve kontrol ettiği tüm bağlı şirketleri ile birlikte HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) (“HP Grubu”).

Data subjects

The personal data transferred concern the following categories of data subjects (please specify):

Ek 1’e Bakınız.

Categories of data

The personal data transferred concern the following categories of data (please specify):

Ek 1’e Bakınız.

Special categories of data (if appropriate)

The personal data transferred concern the following special categories of data (please specify):

Ek 1’e Bakınız.

Processing operations

The personal data transferred will be subject to the following basic processing activities (please specify):

Ek 1’e Bakınız.

APPENDİX 2 TO THE STANDARD CONTRACTUAL CLAUSES

These Standard Contractual Clauses (processors) are attached to and made part of the Data Protection Agreement (“DPA”) between HP and Customer. This Appendix forms part of the Clauses.

Description of the technical and organizational security measures implemented by the data importer in accordance with Clauses 4(d) and 5(c) (or document/legislation attached):

Veri ithalatęısı, geęerli Hizmetler Sözleşmesi uyarınca sağlanan Hizmetlerin sağlanması ile bağlantılı şekilde işlenen Müşteri Kişisel Verilerinin korunması, güvenliği ve gizliliği ięin idari, fiziki ve teknik önlemler bulunduracaktır. Özgün önlemler Hizmetler Sözleşmesi uyarınca sağlanan Hizmetlerin özelliğine bağlı olarak farklılık gösterebilir.