Sipariş işleme sözleşmesi
Sipariş işleme sözleşmesi
Avrupa Birliği Genel Veri Koruma Tüzüğü (DS-GVO) madde 28 uyarınca
taraflar Müşteri
- Sorumlu - ileride işveren denilecektir - ile
Wacker Neuson SE
- işi işleyen - ileride yüklenici denilecektir -
(1) Konu
Yüklenici, bu anlaşmanın 2. maddesinde (2) belirtilen verileri, müşteri için telematik hizmetlerinin sağlanması kapsamında işler (ileride "Kişiyle ilgili müşteri bilgileri" denilecektir). İşin konusu, müşterinin Genel EquipCare iş koşulları bağlamında bir Wacker Neuson Group EquipCare Hesabı başvurusundan ibarettir (ileride "Hizmet sözleşmesi" denilecektir).
(2) Süre
İş, hizmet sözleşmesi devam ettiği sürece devam eder. Önemli bir nedene dayalı olağanüstü fesih hakkı her zaman saklıdır.
2. İşin içeriğinin somutlaştırılması
(1) Kişiyle ilgili müşteri bilgilerinin öngörüldüğü şekilde işlenmesinin türü ve amacı
Kişiyle ilgili müşteri bilgilerinin işveren için yüklenici tarafından işlenmesinin türü ve amacı, konum bulma, makine verilerini aktarma ve değerlendirme, önleyici bakım ve makineyi kullanımla ilgili davranış tavsiyeleri de dahil, telematik hizmetlerle bağlantılı hizmetlerin sağlanmasıdır. Ek 2, işverenin kişiyle ilgili müşteri bilgilerinin üçüncü kişilere aktarımı hakkındaki ayrıntılı talimatlarını içerir. Ayrıca yüklenici, bu sözleşmenin konusu olan kişiyle ilgili müşteri bilgilerini de işverenin talimatı üzerine anonim hale getirir. Anonim hale getirilmiş veriler, bu sözleşme bağlamında kişiyle ilgili müşteri bilgileri sayılmaz. Yüklenici, bu anonim verileri kendi amaçları için kullanma hakkına da sahiptir.
Sözleşmede kararlaştırılan veri işlemenin sağlanması, (i) Avrupa Birliği'ne üye ülkelerden birinde veya Avrupa Ekonomi Bölgesi anlaşmasına üye diğer herhangi bir ülkede ve/veya (ii) Avrupa Birliği Genel Veri Koruma Tüzüğü madde 44 ve devamındaki özel koşullar sağlandıysa, üçüncü bir ülkede gerçekleştirilir.
(2) Verilerin türü
Kişiyle ilgili müşteri bilgilerini işlemenin konusu, aşağıdaki veri türleri/kategorileridir (veri kategorilerini sıralama/açıklama)
☒ Müşteri kök verileri (yüklenici, sorumlu olarak bunları kullanmadığı ölçüde)
☒ Oturum açma verileri (e-posta, parola)
☒ Planlama ve kumanda verileri
☒ Konum bulma verileri
☒ Makine verileri
(3) Etkilenen kişilerin kategorileri
İşlemeden etkilenen kişilerin kategorileri aşağıdakileri kapsar:
☒ İşverenin ve Hisse Kanunu bağlamında bağlı şirketlerin çalışanları
☐ Yüklenicinin ve Hisse Kanunu bağlamında bağlı şirketlerin çalışanları
☐ Yüklenicinin satış ortaklarının çalışanları
(1) İşlemeye başlamadan önce yüklenici, iş verilmeden önce belirtilen ve gereken, özellikle de somut olarak işi gerçekleştirme hakkındaki teknik ve kurumsal önlemleri aldığını belgelendirmelidir
(2) Yüklenici, bu iş kapsamında işleme süreçleriyle ilgili olarak, Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28 paragraf 3 bölüm c, 32'ye göre güvenliği, özellikle de Avrupa Birliği Genel Veri Koruma Tüzüğü madde 5, paragraf 1, paragraf 2'yle bağlantılı olarak sağlamalıdır. Alınacak bu önlemler, veri güvenliği ve sistemin güvenilirliği, bütünlüğü, kullanılabilirliği ve dayanıklılığı hakkındaki bir riske uygun bir koruma seviyesini sağlama önlemleridir. Burada teknolojinin güncel seviyesi, uygulama masrafları ve işlemenin türü, kapsamı ve amaçları yanında, gerçek kişilerin Avrupa Birliği Genel Veri Koruma Tüzüğü madde 32 paragraf 1'deki anlamdaki hak ve özgürlükleri için geçerli olan riskin farklı gerçekleşme olasılıkları ve ağırlığı da dikkate alınmalıdır. Somut olarak yüklenici, ek 1 altında belirtilen önlemleri alır.
(3) Teknik ve kurumsal önlemler, teknik ilerlemeye ve geliştirmeye tabidir. Bu bağlamda yüklenici, yeterli olacak alternatif önlemleri uygulama hakkına da sahiptir. Bu sırada belirlenen önlemlerin güvenlik seviyesinin altında kalınmamalıdır. Önemli değişiklikler belgelenmelidir.
4. Kişiyle ilgili müşteri bilgilerini düzeltme, kısıtlama ve silme
(1) Yüklenici, kişiyle ilgili müşteri bilgilerini bağımsız bir şekilde değiştiremez, bunları ancak işverenin belgelenmiş talimatına göre düzeltebilir, silebilir veya bunları işlemeyi kısıtlayabilir. Etkilenen bir kişi bu
bağlamda veya etkilenen diğer haklarını kullanmak için doğrudan yükleniciye başvurursa, yüklenici bu talebi işverene iletecektir.
(2) Yüklenici, telematik hizmetlerin standart kapsamına dahil olduğu ölçüde, bu anlaşmanın 8. maddesindeki (2) etkilenen haklarını kullanma konusunda işvereni destekler.
5. Kalite güvencesi ve yüklenicinin diğer görevleri
Yüklenici, bu işin kurallarına uymak için ayrıca Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28- 33'deki yasal görevlerine de uymalıdır; bu bağlamda özellikle aşağıdaki verilere uyulmasını sağlar:
a) Faaliyetini Avrupa Birliği Genel Veri Koruma Tüzüğü madde 38 ile 39'a göre gerçekleştiren bir veri koruma görevlisinin yazılı siparişi. Bunların geçerli irtibat bilgileri, yüklenicinin web sayfasında kolayca erişilebilir şekilde kayıtlıdır.
b) Gizliliğin Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28 paragraf 3 s 2 bölüm b, 29, 32 paragraf 4'e göre korunması. Yüklenici, işleri gerçekleştirmek için ancak gizlilikle yükümlü olan ve daha önce kendileri için geçerli olan veri koruma kurallarını öğrenmiş bulunan çalışanları kullanır. AB ya da AB üyesi bir ülkenin hukukuna göre bu talimatlara aykırı bir şekilde işleme görevleri bulunmadığı sürece yüklenici ve yükleniciye tabi olan ve kişiyle ilgili müşteri bilgilerine erişebilen bütün kişiler bu verileri ancak işverenin belgelendirilmiş talimatı doğrultusunda işleyebilir. Böyle bir durumda yüklenici, ilgili hukuk bu tür bir bildirimi önemli kamu çıkarlarından dolayı yasaklamadığı sürece, işlemeden önce bu yasal koşulları işverene bildirir.
c) İşveren ile yüklenici, istendiğinde görevlerini gerçekleştirmek için yetkili denetim makamıyla birlikte çalışır.
d) İşle ilgili olduğu takdirde, yetkili denetim makamının kontrol fiilleri ve önlemleri hakkında işverenin anında bilgilendirilmesi gerekir. Bu durum, yetkili bir makam, yüklenicideki sipariş işleme sırasında kişiyle ilgili müşteri bilgilerini işlemeyle ilgili olarak bir kurallara aykırılık veya ceza davası kapsamında bir şey bulduğunda da geçerlidir.
e) İşverenin kendisi, yüklenicideki sipariş işlemeyle bağlantılı olarak yetkili denetim makamının bir kontrolüne, bir kurallara aykırılık veya ceza davasına, etkilenen bir kişinin veya bir üçüncü ya da farklı bir kişinin sorumluluk hakkına maruz kaldığında, yüklenicinin onu istek halinde uygun bir şekilde desteklemesi gerekir.
f) Siparişi işleyen olarak onun sorumluluk sahasında olan işlemenin Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28 koşullarına uygun olmasını sağlamak için yüklenici, dahili süreçleri ve teknik ve kurumsal önlemleri düzenli olarak kontrol eder.
g) Alınan teknik ve kurumsal önlemlerin, bu sözleşmenin 7. maddesindeki kontrol yetkileri kapsamında, işveren karşısındaki kanıtlanabilirliği.
(1) Bu kural bağlamındaki alt sözleşme ilişkileri, "diğer iş işleyenlerinin" yüklenici için sorumlu adına Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28 (4) bağlamında sağladığı hizmetlerdir.
(2) Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28 paragraf 2-4 ölçülerine göre yapılan bir sözleşmenin koşulları altında işveren, aşağıdaki taşeronların görevlendirilmesini kabul eder:
Şirketin taşeronu | Ülke | Hizmet |
Amazon (AWS) | İrlanda, BK, Almanya | Kişiyle ilgili müşteri bilgilerini "yerin dışında" depolama ve işleme |
Zitcom A/S | Danimarka | Kişiyle ilgili müşteri bilgilerini "yerinde" depolama ve işleme |
OKTA Inc. | Tenant "Europe" | Xxxxxx Yönetimi |
Trackunit A/S | Danimarka | Telematik hizmetlerin bakımı ve geliştirilmesi |
Trackunit AB | İsveç | Telematik hizmetlerin bakımı ve |
geliştirilmesi | ||
Trackunit AS | Norveç | Telematik hizmetlerin bakımı ve geliştirilmesi |
Trackunit B.V. | Hollanda | Telematik hizmetlerin bakımı ve geliştirilmesi |
Trackunit GmbH | Almanya | Telematik hizmetlerin bakımı ve geliştirilmesi |
Trackunit Inc. | ABD | Telematik hizmetlerin bakımı ve geliştirilmesi |
Trackunit Ltd. | BK | Telematik hizmetlerin bakımı ve geliştirilmesi |
Trackunit SAS | Fransa | Telematik hizmetlerin bakımı ve geliştirilmesi |
Başka taşeronların görevlendirilmesi veya mevcut taşeronların değiştirilmesi serbesttir, ancak bunun için:
- yüklenici, böyle bir görevlendirmeyi yeterli bir zaman önceden yazılı olarak veya metin şekilde işverene bildirmeli ve
- işveren, bu ibrazı takip eden 10 işgünü içerisinde, veri koruma nedenlerine dayalı haklı bir çıkarı nedeniyle, planlanan görevlendirmeye karşı yükleniciye yazılı olarak veya metin şekilde bir itirazda bulunmamalı;
- ve Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28 paragraf 2-4'e dayalı bir sözleşmeye dayanılmalıdır.
İşveren, başka bir taşeronun görevlendirilmesi veya mevcut bir taşeronun değiştirilmesi hakkında planlanan bir değişikliğe karşı ancak yükleniciye karşı kanıtlaması gereken önemli bir neden olduğu takdirde itiraz edebilir. Önemli bir neden ancak tüm koşullar ve iki tarafın da çıkarları dikkate alındığında işverenden değişiklik yapması beklenilemeyeceği durumda mevcuttur. İşveren ancak değişiklik, yüklenici tarafından kendisine bildirildikten sonraki uygun bir süre (normalde iki (2) hafta) içinde itirazda bulunabilir.
İzin verilen bir itiraz durumunda yüklenici, sipariş işlemeyle ilgili bu sözleşme de dahil hizmet sözleşmesini, yüklenicinin başka bir taşeronun görevlendirilmesine veya mevcut bir taşeronu değiştirmeye başlamak ve bu taşerona, kişiyle ilgili müşteri bilgilerine erişim vermek istediği zamanda yürürlüğe girecek şekilde feshedebilir. Yüklenici bu zamanı, başka bir taşeronu görevlendirmeyi veya mevcut bir taşeronu değiştirmeyi planladığı ilanda belirtir.
(3) İşverenin kişiyle ilgili müşteri bilgilerinin taşerona verilmesine ve onun ilk faaliyetlerine ancak bir taşeronluğun tüm koşulları sağlandıktan sonra izin verilir.
(4) Taşeron, kararlaştırılan hizmeti AB/AEB dışında gerçekleştirirse yüklenici, veri koruma hukukuna göre geçerli olmasını sağlamak için gerekli önlemleri alır. İşveren, yükleniciye, Avrupa Ekonomi Bölgesinin dışındaki üçüncü ülkelerdeki olası alt şirketlerle "veri dışarı aktarıcı" olarak, işveren adına AB standart sözleşme hükümlerini (kontrol edenden işleyene) yapma hakkı tanır. İşveren istediğinde, yüklenici işverene onun adına yapmış olduğu AB standart sözleşme hükümlerini sunar.
(5) Taşeron tarafından yapılan diğer bir dışarı aktarma için ana yüklenicinin (en azından metin şeklinde) açık izni gerekir; sözleşme zincirindeki tüm sözleşme kurallarının diğer taşeronlara da yüklenmesi gerekir.
(1) Yüklenici, işverenin paragraf (2) ve (3)'e göre yüklenicinin Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28'deki görevlerini yerine getirdiğinden emin olabilmesini sağlar. Yüklenici, işverene istek üzerine gerekli bilgileri vermek ve özellikle de teknik ve kurumsal önlemlerin alındığını kanıtlamakla yükümlüdür.
(2) Sözleşmeyle ilgili bu tür önlemlerin alındığının kanıtı, yüklenicinin uygun değerlendirmesi sonucu aşağıdakilerle sağlanabilir:
- Avrupa Birliği Genel Veri Koruma Tüzüğü madde 40'a göre izin verilen davranış kurallarına uyulması;
- Avrupa Birliği Genel Veri Koruma Tüzüğü madde 42'ye göre izin verilen bir sertifikalandırma yöntemine göre sertifikalandırma;
- bağımsız birimlerin (örneğin mali denetçiler, revizyon, veri koruma görevlileri, bilgiişlem güvenliği departmanı, veri koruma denetçileri, kalite denetçileri) geçerli testler, raporlar veya rapor örnekleri;
- bilgiişlem güvenliği veya veri koruma denetimiyle uygun bir sertifikalandırma (örneğin IT- Grundschutz’a (Bilgiişlem Temel Korumasına) göre).
(3) İşveren, paragraf (2)'de tarif edilen kanıtların yeterli olmadığını veya bu sözleşmeye ya da geçerli yasal koşullara karşı bir ihlal bulunduğunu düşündüğü takdirde, işverenin yüklenici ile görüşerek, kendi görevlendirdiği bağımsız ve hukuken veya ülke hukukundan dolayı gizlilik yükümlülüğü bulunan bir üçüncü kişiye ("denetçi") veya münferit durumlarda belirteceği kontrolcüye kontroller yaptırma hakkı vardır. Bu amaçla işveren, normal çalışma saatlerinde, zamanında (normalde planlanan kontrolden iki
(2) hafta önce) başvurularının yapılması (ve denetçi tarafından gerçekleştirilmesi) gereken örnek alma kontrolleriyle, yüklenicinin kendi iş alanında bu sözleşmeye uyduğundan emin olmalıdır. Yüklenicinin sahasına ancak yüklenicinin bir temsilcisi sürekli eşlik ederek girilebilir. Bu temsilci, yüklenicinin iş süreçlerindeki arızaları önlemek ve yüklenicinin üçüncü kişiler karşısındaki gizlilik görevlerini yerine getirmesini sağlamak için gerektiği ölçüde, kontrol süreci konusundaki kararları alma yetkisine sahiptir.
(4) Yüklenicinin, işverenin bu tür kontroller sırasında öğrendiği işletme ve iş sırları işveren tarafından kesinlikle gizli tutulmalıdır. İşverenin kontrol hakkını yerine getirmesi için zorunlu olmadığı sürece, bununla ilgili kayıtlar tutulmamalıdır.
(5) İşverenin paragraf (3)'ün ölçüleri doğrultusunda yerinde yaptığı düzenli kontrollere takvim yılı başına en fazla bir kez izin verilir. İşverenin paragraf (3)'ün ölçüleri doğrultusunda yaptığı ek kontroller ancak işveren tarafından kanıtlanması gereken önemli nedenlerden dolayı yapılabilir.
(6) İşveren tarafından kontrollerin yapılabilmesi ve bu kontrollerde işverenin desteklenebilmesi için yüklenici, kontrol sırasında tespit edilen eksiklerin, yüklenicinin bu sözleşmeyi kasıtlı bir şekilde ihlal etmesinden veya işverenin talimatlarına uymamasından kaynaklandığı durumlar hariç, bundan kaynaklanan makul masraflarının tazmin edilmesini talep edebilir.
8. Yüklenicinin destekleme görevleri
(1) Yüklenici, kişiyle ilgili müşteri bilgilerinin güvenliği hakkında Avrupa Birliği Genel Veri Koruma Tüzüğü madde 32 - 36'da belirtilen görevlere ve veri hatalarındaki bildirim görevlerine uyma ve veri korumayı takip tahminleri ve önceki danışmanlıkları konusunda işvereni destekler. Buna aşağıdakiler de dahildir:
a) işlemenin koşul ve amaçlarını ve güvenlik boşluklarından kaynaklanan olası bir hukuk ihlalinin tahmin edilen olasılığını ve ağırlığını dikkate alan ve ilgili ihlal olaylarının hemen tespit edilebilmesini sağlayan teknik ve kurumsal önlemlerle uygun bir koruma seviyesinin sağlanması
b) Avrupa Birliği Genel Veri Koruma Tüzüğü madde 33 bağlamında, kişiyle ilgili müşteri bilgilerin kullanılabilirlik, gizlilik veya bütünlüğünün ihlallerini işverene bildirme yükümlülüğü
c) bilgilendirme görevi kapsamında işvereni etkilenen kişi karşısında destekleme ve bu bağlamda, ilgili bütün bilgileri hemen onun kullanımına sunma yükümlülüğü
d) işverenin, kendi veri koruma takip tahmini konusunda desteklenmesi
e) işverenin, yetkili denetim makamıyla daha önce yapılan danışmanlık kapsamında desteklenmesi
(2) Bu tür talepler, bu sözleşme kapsamında kaydedilen kişiyle ilgili müşteri bilgileri, özellikle de onların Avrupa Birliği Genel Veri Koruma Tüzüğü madde 12 - 23'e dayalı hakları hakkında olduğu ölçüde yüklenici, etkilenen kişinin kişiyle ilgili müşteri bilgileriyle ilgili haklarını yerine getirme taleplerini cevaplama görevini yerine getirmesi için işvereni (mümkünse uygun teknik ve kurumsal önlemlerle) makul ve gerekli ölçüde destekleyecektir.
(3) Yüklenici, hizmet açıklamasına dahil edilmeyen veya yüklenicinin yanlış bir davranışından kaynaklanan destek hizmetleri için bir tazminat talep edebilir.
9. İşverenin talimat verme yetkisi
(1) Sözlü talimatları işveren hemen (en azından metin şeklinde) onaylar.
(2) Yüklenici, bir talimatın veri koruma kurallarını ihlal ettiğini düşündüğünde işvereni derhal bundan haberdar etmelidir. Yüklenici, söz konusu talimatı gerçekleştirmeden önce, işveren tarafından onaylanmasını veya değiştirilmesini bekleme hakkına sahiptir.
10. Kişiyle ilgili müşteri bilgilerinin silinmesi veya geri verilmesi
(1) İşverenin bilgisi olmadan, kişiyle ilgili müşteri bilgilerinin kopya veya örnekleri çıkartılmamalıdır. Düzgün bir veri işlemenin sağlanması için gerekli oldukları takdirde, yedek kopyalar ve yasal saklama görevlerinin yerine getirilmesi için gerekli olan veriler buna dahil değildir.
(2) Hizmet sözleşmesi devam ettiği sürece ve süresi bittikten sonra en fazla 10 gün boyunca yüklenici, işverene, işverenin metin şeklinde hazırlanan talebi üzerine yüklenicinin işverenden, kişiyle ilgili müşteri bilgilerini makinede okunabilir bir biçimde aktarmasını isteme veya bunları silme hakkını verir. Bu süre geçtikten sonra işveren, paragraf (3) ve (4) saklı kalmak şartıyla, yüklenicinin hizmetlerde bulunan bütün kişiyle ilgili müşteri bilgilerini silecek ve yüklenicinin bu anlaşma bağlamında, işle bağlantılı olarak işlemek üzere işverenden alarak eline geçen diğer olası kişiyle ilgili müşteri bilgilerini işverene verecek veya önce onaylanmak şartıyla, veri koruma hukukuna uygun bir şekilde imha edecektir. Aynı durum, test ve ıskartaya ayırma malzemeleri için de geçerlidir.
(3) Yukarıda belirtilen silme görevleri aşağıdakiler için geçerli değildir:
(i) yüklenicinin bölüm (ii) dışında, saklanan bu tür veri ve belgeleri yedekleme amaçları dışında kullanmayacağı ve bu sözleşmenin bu geçici depolamayla ilgili kurallarının geçerli olmaya devam edeceği durumla birlikte, kabul edilen bilgi güvenliği prosedürlerine göre silinmeleri kararlaştırılan
kişiyle ilgili müşteri bilgilerinin, yedekleme ortamlarında ve/veya yedekleme sunucularında kayıtlı olan kopyalar için;
(ii) yüklenicinin, kişiyle ilgili müşteri bilgileri depolama konusunda yasal yükümlülüğü bulunduğunda.
(4) Kişiyle ilgili müşteri bilgilerin imha edilmesi veya silinmesi, bu verilerin yüklenici tarafından anonim hale getirmesiyle aynıdır.
(5) İşe uygun veya düzgün veri işlemenin kanıtı olarak kullanılan belgeler, sözleşme bittikten sonra da, yüklenici tarafından söz konusu saklama sürelerine uygun bir şekilde saklanmalıdır. Üzerindeki sorumluluktan kurtulmak için, sözleşme bittiğinde bunları işverene verebilir.
Üçüncü kişiler, özellikle de etkilenen kişiler, yüklenici karşısında, bu sözleşmenin konusu olan kişiyle ilgili müşteri bilgilerini işleme nedeniyle veya onunla bağlantılı olarak, yüklenici karşısında alacaklarını ileri sürdüğü takdirde ("üçüncü kişilerin alacakları") yüklenici, hukuken geçerli bir kararla tespit edildiği veya yüklenicinin onayıyla işveren tarafından karşılandığı veya kabul edildiği takdirde, üçüncü kişilerin alacaklarına karşı savunmayı işverenin üstlenmesini ve yükleniciyi, üçüncü kişilerin alacaklarından muaf kılmasını isteyebilir. İşveren, üçüncü kişilerin alacaklarının savunması veya karşılaştırılabilir bir şekilde düzenlenmesiyle bağlantılı masrafları karşılamalı ve yüklenicinin gerektiğinde yaptığı bu tür masrafları tazmin etmelidir. Aynı durum, yetkili denetim makamlarının kişiyle ilgili müşteri bilgilerini bu sözleşme kapsamında işleme için aldığı önlemler ve işverenin talimatları sonucunda oluşan tüm masraflar için de geçerlidir.
(2) Yüklenici işverenden, paragraf (1)'e göre hareket etmesini istediğinde yüklenici, dahili ilişkide üçüncü kişilerin alacaklarına karşı savunmanın bütün kontrolünü işverene bırakacak ve üçüncü kişilerin bu alacaklarına karşı yapılabilecek savunma kapsamında işvereni, masrafları işverene ait olacak şekilde makul ölçüde destekleyecektir.
(3) Üçüncü kişilerin alacakları (i), bu sözleşmenin yüklenici tarafından ihlal edilmesinden veya (ii) özellikle kişiyle ilgili müşteri bilgilerinin anonim hale getirilmesinden ve anonim hale getirilen bu verilerin, yüklenicinin amaçları için kullanılmasından kaynaklanıyorsa işveren, paragraf (1)'e dayalı muafiyetle yükümlü değildir.
Ek 1: Teknik-kurumsal önlemler
Ek 2: İşverenin, kişiyle ilgili müşteri bilgilerinin üçüncü kişilere aktarılması hakkındaki özel talimatları
Ek 1
EquipCare - Teknik ve kurumsal önlemler
Aşağıdaki paragraflarda, kişiyle ilgili verilerin EquipCare'de Avrupa Birliği Genel Veri Koruma Tüzüğü madde 32'ye göre güvenli bir şekilde işlenmesini sağlamak için alınacak teknik ve kurumsal önlemler açıklanmıştır. Aksi belirtilmediği sürece bu önlemler, yüklenici Wacker Neuson ve taşeron Trackunit için de aynı şekilde geçerlidir. İşleyicilerden sadece biriyle ilgili olan önlemler, bu şekilde işaretlenmiştir.
Erişim kontrolü
Kişiyle ilgili verilerin işlendiği tüm mekanlara erişim korunmuştur. Önlemler arasında aşağıdakiler sayılabilir:
a) Önemli tüm tertibatlarda bir erişim kontrolü bulunmaktadır.
b) Çalışanlara erişim anahtarları /kartları verilir.
c) Anahtarının/kartının korunmasından herkes kendi sorumludur ve kayıpları veya bina güvenliğini tehdit edebilecek durumları 24 saat içinde bildirmelidir.
d) Anahtarların/kartların ödünç verilmesi, çoğaltılması, değiştirilmesi veya yetkisiz kişilerin mekanlara girmesini sağlamak için kullanılması yasaktır.
e) Aktif alarm sistemleri mevcuttur.
f) Ziyaretçiler ve misafirler kayıt yaptırmak zorundadır ve bir kayıt defterine (protokol) kaydedilir.
g) Temizlik hizmetleri ve bekçi personeli gibi, mekanlara erişimi bulunanlar da dahil, tüm müşteri ve tedarikçiler için bir Gereken Özel programı oluşturulmuştur.
h) Güvenlik alanlarına erişim kontrollerinin uygulanması, hasar ve arızalardan kaynaklanan potansiyel sistem tehditlerini en aza indirir.
i) Sunucu/iletişim odalarına erişim, yetkili personelle sınırlıdır.
j) Fiziksel veri taşıyıcıları kilitli dolaplarda saklanır.
Sistem erişimi
Veri işleme sistemlerine ancak doğrulanmış, yetkili kullanıcılar erişebilir. Önlemler arasında aşağıdakiler sayılabilir:
a) Hizmetlerin kullanıcıları her zaman kesit kullanıcı adı ve parolalarla doğrulanır.
b) Erişim, VPN ve gerekirse MFA (çok faktörlü doğrulama) kullanımıyla korunmuştur.
c) Açık bir izin olmadığı sürece, üçüncü kişiler için sistemlere uzaktan erişim hiçbir zaman sağlanmaz. Bu erişim izni verildiğindeyse, erişim denetlenir.
d) Kullanıma sunulan hizmetler, güvenlik duvarlarıyla korunur ve yetkili olmayan harici erişime karşı şifreleme yardımıyla kilitlenir.
e) Maksimum güvenlik sağlamak için, Trackunit tarafından sağlanan hizmetler, zayıf noktaların sürekli taranmasını sağlayan araçlarla gün boyu denetlenir.
f) Sunucudaki ve PC'deki çalışma yerlerine sürekli olarak, kullanılan uygulamalardaki zayıf noktaların kötü amaçlı olarak kullanılmasına karşı koruyan güvenlik güncellemeleri sağlanır.
g) Trackunit'in kişiyle ilgili verileri (tam adı, kullanıcı adını, parolayı, e-postayı vs.) yeni bir Kimlik Yönetimi sağlayıcısına aktarması gerekir. Bu göç, kişiyle ilgili verilerin, SOC2 Tip1 ve 2, ISO 27001, ISO27018 ve CSA Star Level 2 sertifikalarına sahip modern bir kimlik yönetimi sağlayıcısında (xxxx.xxx) tam şifrelenmiş şekilde kaydedilmesini sağlar.
h) Bilgiişlem sistemlerinin korunmuş bölümlerine erişim yetkisi bulunan kişilere bilgiişlem yöneticileri tarafından özel bir parola verilir. Bu parolanın düzenli olarak değiştirilmesi ve tanımlanmış minimum uzunluk ve karmaşıklık koşullarını sağlaması gerekir.
i) Bilgisayarların ve diğer cihazların, dahili yönetmeliklere uygun bir şekilde kullanılması, örneğin odadan çıkarken cihazların kilitlenmesi gerekir (ekran silme ilkesi).
j) Trackunit'te tüm geliştiriciler zorunlu bir güvenlik eğitiminden geçer.
Veri erişimi
Veri işleme sistemlerini kullanma yetkisi bulunan kişilere ancak yetkileri bulunan kişiyle ilgili verilere erişim sağlanır.
Önlemler arasında aşağıdakiler sayılabilir:
a) Kişiyle ilgili verileri işleme yetkisi bulunan çalışanlar, gizliliği korumakla yükümlüdür veya söz konusu yasal gizlilik yükümlülüğüne tabidir.
b) Çalışanların üretim sistemlerine, geliştirme ortamlarına ve hizmetlere erişimi, hizmet amaçlarını gerçekleştirmek için gerekli olanlarla sınırlıdır.
c) Bir kişi, çalışma yerini veya işverenini değiştirdiğinde, erişim duruma göre değiştirilir veya kaldırılır.
d) Dahili bilgiişlem departmanı, verilen tüm yetkilerin, her bir çalışanın pozisyonuna uygun olduğundan emin olmak için düzenli kontroller gerçekleştirir.
e) Eğitim almamış olan veya diğer herhangi bir şekilde güvenlik görevlerinin farkında olmayan kişilere bilgiişlem kaynaklarına erişim sağlanmaz.
Veri aktarımı
Kişiyle ilgili veriler, aktarma sırasında yetkisiz kişilerin bunları okuması, kopyalaması, değiştirmesi veya silmesine karşı korunur.
Önlemler arasında aşağıdakiler sayılabilir:
a) Trackunit RAW cihazı, Gelişmiş Şifreleme Standardını (AES) kullanır.
b) Şifrelenmiş ürün yazılımı, Trackunit IRIS tarafından, doğruluk ve bütünlük kontrolü için güvenli bir Hash ile birlikte cihazlara gönderilir.
c) Hizmetler (yönetici, Go, On) ile IRIS arasındaki iletişim, HTTPS şifrelemeli REST arayüzü olarak uygulanmıştır.
d) Resmi Trackunit-API'ında HTTPS şifrelemesi kullanılmıştır.
e) Trackunit RAW ile IRIS arasındaki iletişim, GSM şebekesine dayalıdır ve GSM şifrelemesiyle korunmuştur. Veri iletişimi için, IP/UDP üzerindeki özel bir protokol kullanılır. Cihaz yönetimi için arada bir SMS'ler kullanılır.
f) Cihazların sadece yetkili taleplerinin kabul edilmesini sağlamak için, RAW cihazlarının aldığı iletişim her zaman farklı araçlarla doğrulanır.
g) Trackunit, cihazla Bulut arasındaki m2m iletişimi için GSM şifrelemesinin yanında uçtan uca bir şifreleme de kullanmaya başlayacaktır.
Bütünlük ve kullanılabilirlik
Bu önlemler, kişiyle ilgili verilerin işleme sırasında tam ve doğru kalmasını sağlar. Bunlar, kişiyle ilgili verilerin yanlışlıkla bozulmadan veya kaybolmaktan korunmasını ve bir sorun çıktığında, kişiyle ilgili verilerin zamanında geri yüklenebilmesini veya kullanılabilmesini sağlar.
Önlemler arasında aşağıdakiler sayılabilir:
a) Arıza durumunda sistemin geri yüklenebilmesini sağlamak için veri tabanları her gün yedeklenir.
b) Trackunit, kritik hizmetlerin 7/24 denetlendiği bir Olay Yönetimi İşlemini kullanır.
c) Trackunit, bir kayıp durumunda izlenmesi gereken bir Olay Yanıt Planı oluşturmuştur. Avrupa Birliği Genel Veri Koruma Tüzüğünün bildirim görevini sağlamak için sorumluluklar atar ve katılan kişiler için bir zaman çizelgesi içerir. Bu Olay Yanıt Planı, harici iletişimi de kapsar.
d) Silme ve saklama süreleri, geçerli hukuka dayanır.
Sipariş işleme sözleşmeleri
Müşteri adına işlenen kişiyle ilgili veriler ancak söz konusu sözleşmeye ve müşterinin ilgili talimatlarına uygun bir şekilde işlenir. Avrupa Birliği Genel Veri Koruma Tüzüğü madde 28'e göre, kişiyle ilgili verilere erişimi olabilecek tüm şirketlerle sipariş işleme sözleşmeleri yapılmıştır.
Veri ayırma
Farklı amaçlarla toplanan kişiyle ilgili veriler, ayrı işlenir. Önlemler arasında aşağıdakiler sayılabilir:
a) Cihazlardan / makinelerden alınan kişiyle ilgili veriler otomatik olarak farklı müşterilere atanır. Veriler her zaman müşterilerden ayrı tutulur.
b) Müşteri sadece kendi kişiyle ilgili verilerine erişebilir.
c) Müşteri bilgileri her zaman gizli tutulur. Gerektiğinde müşterilere ayrılan denetim yetkilerine hiçbir zaman farklı müşterilerin verilerine bakma hak veya imkanı dahil olmaz.
Uygunluk
İşlemenin güvenliğini sağlamak için alınan teknik ve kurumsal önlemlerin düzenli kontrolü, değerlendirilmesi ve bunların etki derecesini değerlendirmek için işlemler oluşturulmuştur.
a) Wacker Xxxxxx SE, bir veri koruma görevlisini (DSB) çağırmıştır. Veri işleme soru veya talepleri için kendisine xxxxxxxxxxx@xxxxxxxxxxxx.xxx adresinden ulaşılabilir. Trackunit de bir veri koruma görevlisini çalışmıştır.
b) Veri korumayla ilgili olarak oluşturulan ilkeler ve yönetmelikler yılda bir defa kontrol edilir ve gerekirse güncellenir.
c) İşlemelerin, kişiyle ilgili verilerin Avrupa Birliği Genel Veri Koruma Tüzüğü madde 35'e göre korunması üzerindeki etkilerini değerlendirmek için bir veri koruma takip tahmini mevcuttur.
d) Personelin bu belgede tarif edilen teknik ve kurumsal önlemleri tanımasını ve bunlara uymasını sağlamak için uygun adımlar atılır. Tüm çalışanların uygun aralıklarda, DSB tarafından gerçekleştirilen eğitimlerden geçmesi gerekir.
e) Trackunit, riskleri belirlemek için her iki haftada bir, tüm müşteri ve tedarikçiler için bir Gereken Özel programını gerçekleştirir.
Ek 2
İşverenin, kişiyle ilgili müşteri bilgilerinin üçüncü kişilere aktarılması hakkındaki özel talimatları
Hizmet sözleşmesine göre telematik çözümü, yüklenicinin, Wacker Neuson Group'un diğer şirketlerinin ve yüklenicinin satış ortaklarının kendi iş amaçları (örneğin işverenin isteği üzerine EquipCare servislerini sağlamak veya ürün geliştirmek) için kişiyle ilgili müşteri bilgilerine erişmesine izin verir.
Somut olarak aşağıdaki alıcıların, aşağıdaki kendi iş amaçları için kişiyle ilgili müşteri bilgilerine erişimi bulunmalıdır:
Alıcı | Kendi söz konusu iş amacı |
Wacker Neuson SE | • İkinci seviye destek (işverenin somut destek talebi üzerine) |
(Wacker Neuson grubunun) kişiyle ilgili söz konusu müşteri bilgilerinin aktarıldığı söz konusu makineyi üretmiş olan üretim şirketi. | • İkinci seviye destek (işverenin somut destek talebi üzerine) • Ürün geliştirme • Olası garanti haklarının veya garantiye dayalı hakların kontrolü |
(Wacker Neuson grubunun) kişiyle ilgili söz konusu müşteri bilgilerinin aktarıldığı söz konusu makineyi doğrudan bir işverene, olası bir önceki sahibine veya diğer durumlarda ara satıcı olarak satmış olan satış şirketi. | • Birinci seviye destek (işverenin somut destek talebi üzerine) • Olası garanti haklarının veya garantiye dayalı hakların kontrolü |
Kişiyle ilgili söz konusu müşteri bilgilerinin aktarıldığı söz konusu makineyi doğrudan bir işverene veya olası bir önceki sahibine satmış olan satıcı (satış ortağı). | • Birinci seviye destek (işverenin somut destek talebi üzerine) • Olası garanti haklarının veya garantiye dayalı hakların kontrolü |
İşveren, bu alıcıların yukarıda belirtilen iş amaçları için gerekli olduğunda yükleniciye, erişim yetkilerini sağlamak amacıyla kişiyle ilgili müşteri bilgilerini yukarıda belirtilen amaçlarla orada belirtilen alıcılara aktarma talimatını verir. Bu bağlamda bu alıcılar, Avrupa Birliği Genel Veri Koruma Tüzüğü madde 4
(7) bağlamında sorumlu olan kişilerdir.
Yüklenicinin kendisi, söz konusu kişiyle ilgili müşteri bilgilerinin alıcısıysa, yüklenici böylece işverene karşı, kişiyle ilgili müşteri bilgilerini ancak yukarıda belirtilen amaçlarla işlemeyi ve doğrudan kişilerle ilgili bağlantıların kurulmasını olabildiğince engellemeyi kabul eder. Yüklenici ayrıca, kişiyle ilgili müşteri bilgilerinin kopyalarını da çıkartmayıp, kişiyle ilgili müşteri bilgilerini ancak (hizmet sözleşmesindeki tanıma göre) yüklenici tarafından işletilen portalda işlemeyi de kabul eder. Bu durum, anonim hale getirilmiş bilgilerin kopyalarının oluşturulma hakkını kısıtlamaz.