SAP SUPPORT VE PROFESSIONAL SERVICES İÇİN KİŞİSEL VERİ İŞLEME ANLAŞMASI
SAP SUPPORT VE PROFESSIONAL SERVICES İÇİN KİŞİSEL VERİ İŞLEME ANLAŞMASI
1. ARKA PLAN
1.1 Amaç ve Uygulama. Bu belge ("DPA") Anlaşmaya dahil edilmiş olup SAP ile Müşteri arasındaki yazılı (elektronik biçim dahil) bir sözleşmenin bir bölümünü teşkil eder. Bu DPA, mevcut DPA'nın ekli olduğu ilgili Anlaşmada ("SAP Hizmetleri") belirtilen şekilde SAP hizmetlerinin yerine getirilmesi ile ilgili olarak Müşteri ve her bir Veri Denetleyici tarafından sağlanan Kişisel Veriler için geçerli olup aşağıdakileri kapsayabilir:
(a) Yazılım Lisansı ve Destek Anlaşmasında tanımlandığı şekilde SAP Support ve/veya
(b) SAP ile Müşteri arasında imzalanan hizmet anlaşmasında ("Hizmet Anlaşması") açıklandığı şekilde Professional Services.
1.2 Yapı. Ek 1 ve 2 bu belgeye dahil edilmiş olup DPA'nın bir bölümünü oluşturur. Bu ekler; üzerinde anlaşmaya varılan konuyu, işlemenin niteliğini ve amacını, Kişisel Verilerin türünü, veri kategorilerini, veri kullanıcılarını ve geçerli teknik ve organizasyonel önlemleri belirler.
1.3 GDPR. SAP ve Müşteri, her iki tarafın da 2016/679 sayılı Genel Veri Koruma Yönetmeliği'nin ("GDPR"), Müşterilerin/Denetleyicilerin DPA kapsamında işlenen Kişisel Verileri için geçerli olduğu sürece özellikle 28. ve 32 ila 36. Xxxxxxxxx ile Denetleyiciler ve İşleyicilere yüklediği gereksinimleri gözden geçirmekten ve uygulamaktan sorumlu olduğunu kabul eder. Gösterim amacıyla, ilgili GDPR gereksinimleri ve bunlara karşılık gelen DPA bölümleri Ek 3 kapsamında verilmiştir.
1.4 Yönetişim. DPA kapsamında SAP bir İşleyici olarak, Müşteri ve SAP hizmetini yerine getirirken SAP tarafından erişilebilen sistemlere Kişisel Veriler eklemesine izin verdiği kuruluşlar ise Denetleyiciler olarak görev yapar. Müşteri tek ilgili kişidir ve geçerli olması durumunda SAP'nin bir İşleyici olarak kullanılmasına ilişkin Denetleyici onayları da dahil olmak üzere Kişisel Verilerin bu DPA'ya uygun şekilde işlenmesi için ilgili yetkilerin, izinlerin ve onayların alınmasından sorumludur. Müşteri tarafından sağlandığı durumlarda yetkiler, onaylar, talimatlar veya izinler yalnızca Müşteri adına değil, aynı zamanda tüm diğer Denetleyiciler adına da sağlanmış olur. SAP'nin Müşteriyi bilgilendirmesi veya Müşteriye bildirimde bulunması durumunda söz konusu bilgi veya bildirimin, Kişisel Veriler eklemesine Müşteri tarafından izin verilen Denetleyiciler tarafından alındığı kabul edilir ve bu bilgileri/bildirimleri ilgili Denetleyicilere iletmek Müşterinin sorumluluğudur.
2. İŞLEME GÜVENLİĞİ
2.1 Uygun Teknik ve Organizasyonel Önlemler. SAP, Ek 2 kapsamında belirtilen teknik ve organizasyonel önlemleri yürürlüğe almış ve uygulayacaktır. Müşteri bu önlemleri gözden geçirmiş ve Kişisel Verilerin işlenmesi ile ilgili gelişme durumu, uygulama maliyetleri, nitelik, kapsam, bağlam ve amaçları dikkate alarak bu önlemlerin uygunluğunu kabul etmiştir.
Ek 2 yalnızca, söz konusu SAP hizmetlerinin SAP tesislerinde veya SAP tesislerinden gerçekleştirilmesi halinde geçerlidir. SAP'nin SAP hizmetlerini Müşteri tesislerinde gerçekleştirmesi ve SAP'nin Müşterinin sistemlerine ve verilerine erişiminin sağlanması durumunda SAP, söz konusu verileri korumak ve yetkisiz erişimi engellemek için Müşterinin makul ölçüdeki idari, teknik ve fiziksel koşullarına uyum sağlayacaktır. Müşterinin sistemine ve verilerine erişilmesiyle bağlantılı olarak Müşteri, sistemlerine erişmeleri için SAP personeline kullanıcı yetkilendirmeleri ve şifreler sağlamaktan, ayrıca zaman zaman uygun gördüğü durumlarda bu yetkilendirmeleri iptal etmekten ve bu erişimi kaldırmaktan sorumludur. Müşteri, SAP hizmetlerinin gerçekleştirilmesi için temel önem teşkil etmiyorsa SAP'nin Lisans Alanın sistemlerine veya (Müşterinin ya da herhangi bir üçüncü tarafın) kişisel bilgilerine erişimini sağlamayacaktır. Müşteri, canlı kullanım haricindeki ortamlarda herhangi bir Kişisel Veriyi depolamayacaktır.
2.2 Değişiklikler. SAP, Ek 2 kapsamında belirtilen teknik ve organizasyonel önlemleri, aynı SAP hizmetini alan tüm müşteri tabanına uygulamaktadır. SAP, karşılaştırılabilir veya daha yüksek bir güvenlik düzeyi sunmak kaydıyla Ek 2 kapsamında belirtilen önlemleri, bildirimde bulunmaksızın dilediği zaman değiştirebilir. Münferit önlemler, Kişisel Verileri korumaya yönelik güvenlik düzeyini ihlal etmeden aynı amaca hizmet eden yeni önlemlerle değiştirilebilir.
3. SAP'NİN YÜKÜMLÜLÜKLERİ
3.1 Müşterinin Talimatları. SAP, Kişisel Verileri yalnızca Müşteriden alınan belgelenmiş talimatlara uygun şekilde işleyecektir. Anlaşma (bu DPA dahil), söz konusu belgelenmiş başlangıç talimatlarını içermektedir ve Müşteri, SAP hizmetinin yerine getirilmesi sırasında ilave talimatlar sağlayabilir. SAP, Veri Koruma Kanunu tarafından gerekli kılındığı, teknik olarak uygun olduğu ve SAP hizmetinin yerine getirilmesinde değişiklik yapılmasını gerektirmediği sürece tüm diğer Müşteri talimatlarına uymak için makul çabayı gösterecektir. Yukarıda belirtilen istisnalardan birinin geçerli olması veya başka bir şekilde SAP'nin bir talimata uyamaması ya da bir talimatın Veri Koruma Kanununu ihlal ettiğini düşünmesi durumunda SAP, Müşteriyi derhal bilgilendirecektir (e-postaya izin verilir).
3.2 Yasal Gereksinim uyarınca işleme. SAP, yürürlükteki yasanın gerektirdiği durumlarda Kişisel Verileri işleyebilir. Böyle bir durumda SAP, söz konusu yasa önemli ölçüde kamu yararı açısından bu bilgilere yasak getirmediği sürece Kişisel Verileri işlemeden önce Müşteriyi bu yasal gereksinim konusunda bilgilendirecektir.
3.3 Personel. SAP ve Alt İşleyicileri, Kişisel Verileri işlemesi için yalnızca, gizlilik taahhüdünde bulunan yetkili personele erişim hakkı sunacaktır. SAP ve Alt İşleyicileri, Kişisel Verilere erişimi olan personele veri güvenliği ve veri gizliliği hakkında düzenli olarak eğitim verecektir.
3.4 İşbirliği. Müşterinin talebi doğrultusunda SAP, SAP'nin Kişisel Verileri işlemesiyle veya herhangi bir Kişisel Veri İhlaliyle ilgili olarak Veri Kullanıcılarından veya düzenleme kurullarından gelen talepleri yönetme konusunda Müşteriyle ve Denetleyicilerle makul ölçüde işbirliği yapacaktır. SAP, Kişisel Verilerin işlenmesiyle ilgili olarak Veri Kullanıcılarından aldığı talepler konusunda, bu talepleri, ek Müşteri talimatı (varsa) olmaksızın kendisi yanıtlamadan makul olan en kısa sürede Müşteriyi bilgilendirecektir. SAP, kendi mülkiyetindeki (varsa) Kişisel Verileri Müşteri talimatları ve Veri Koruma Kanunu uyarınca düzeltecek veya kaldıracak ya da bunların işlenmesine sınırlama getirecektir.
3.5 Kişisel Veri İhlali Bildirimi. SAP, Müşterinin, Veri Koruma Kanunu uyarınca gereken şekilde Kişisel Veri İhlalini bildirme yükümlülüğünü yerine getirmesine yardımcı olmak için, herhangi bir Kişisel Veri İhlali durumundan haberdar olduğunda bu durumu fazla gecikmeden Müşteriye bildirecek ve mülkiyetindeki bilgileri Müşteriye sağlayacaktır. SAP, bu bilgileri edindikçe aşamalar halinde sunabilir. Söz konusu bildirim, SAP'nin bir hatayı veya yükümlülüğü kabul ettiği şeklinde yorumlanmayacaktır.
3.6 Veri Koruma Etki Değerlendirmesi. Veri Koruma Kanunu uyarınca Müşterinin (veya Denetleyicilerinin) bir veri koruma etki değerlendirmesi yapması ya da bir düzenleyiciyle ön konsültasyon gerçekleştirmesi gerekirse Müşterinin talebi doğrultusunda SAP, bu belgeleri SAP hizmeti için genel olarak kullanıldığı şekliyle sağlayacaktır (örneğin; bu DPA, Anlaşma, denetim raporları veya sertifikalar). İlave yardımlar konusunda Taraflarca karşılıklı olarak anlaşmaya varılacaktır.
4. VERİ SİLME
Müşteri işbu belgeyle SAP'ye, SAP'de kalan (varsa) Kişisel Verileri, geçerli yasa verilerin saklanmasını gerektirmediği sürece ve Kişisel Veriler Anlaşma kapsamında artık gerekli değilse Veri Koruma Kanunu uyarınca makul bir süre içinde (en fazla altı ay) silmesi için talimat verir.
5. SERTİFİKALAR VE DENETİMLER
5.1 Müşteri Denetimi. Müşterinin SAP için kabul edilebilir bir bağımsız üçüncü taraf denetçisi (SAP'nin rakibi olan veya uygun niteliğe sahip olmayan ya da bağımsız olmayan üçüncü taraf denetçiler hariç) veya Müşteri, SAP'nin SAP tarafından işlenen Kişisel Verilerle ilgili hizmet ve destek teslim yerlerini ve BT güvenliği uygulamalarını, şu şartlar altında denetleyebilir:
(a) SAP'nin ISO 27001 veya diğer standartlara (kapsam sertifikada belirtildiği gibidir) uyum konusunda bir sertifika sağlayarak teknik ve kurumsal önlemleri uyguladığına ilişkin yeterli kanıt sunmaması. Sertifikalara xxxxx://xxx.xxx.xxx/xxxxxxxxx/xx/xxxxxxx/xxxxxxx.xxxx#xxxxxxxxxxxx bağlantısından veya çevrimiçi mevcut değilse talep üzerine ulaşılabilir.
(b) Bir Kişisel Veri İhlali meydana gelmesi veya
(c) Müşterinin veri koruma yetkilisi tarafından resmi olarak denetim talebinde bulunulması veya
(d) Zorunlu Veri Koruma Kanununun Müşteriye doğrudan bir denetim hakkı sağlaması. Zorunlu Veri Koruma Kanunu daha sık denetim yapılmasını gerektirmediği sürece Müşteri, herhangi bir on iki aylık dönemde yalnızca bir kez denetim gerçekleştirecektir.
5.2 Diğer Denetleyici Denetimi Tüm diğer Denetleyiciler, Bölüm 5.1 uyarınca SAP'nin SAP tarafından işlenen Kişisel Verilerle ilgili kontrol ortamını ve güvenlik uygulamalarını yalnızca, Bölüm 5.1 altında belirtilen durumlardan birinin söz konusu diğer Denetleyici için geçerli olması durumunda denetleyebilir. Bu tür bir denetim, Veri Konuma Kanunu uyarınca diğer Denetleyici tarafından üstlenilmesi gerekmediği sürece Bölüm 5.1 altında belirtilen şekilde Müşteri aracılığıyla ve Müşteri tarafından yapılmalıdır. Anlaşma temelinde SAP tarafından Kişisel Verileri işlenen birden çok Denetleyici bir denetim talep ederse Müşteri, denetimleri birleştirmek ve çoklu denetimden kaçınmak için tüm makul yöntemleri kullanacaktır.
5.3 Denetim Kapsamı. Zorunlu Veri Koruma Kanunu veya veri korumayla ilgili sorumlu bir yetkili merci daha kısa süre öncesinden bildirimi gerekli kılmadıkça Müşteri, denetimlerle ilgili olarak en az altmış gün önceden bildirimde bulunacaktır. Denetimlerin sıklığı, zaman aralığı ve kapsamı, makul şekilde ve iyi niyetle hareket eden taraflarca karşılıklı olarak belirlenecektir. Müşteri denetimleri, mümkün olduğu durumlarda uzaktan denetimlerle sınırlı olacaktır. Yerinde denetim yapılması zorunluysa denetimin süresi bir iş gününü aşmayacaktır. Bu sınırlamaların haricinde taraflar, yinelenen denetimlerden kaçınmak veya bunları en aza indirmek üzere güncel sertifikaları veya diğer denetim raporlarını kullanacaktır. Müşteri, tüm denetim sonuçlarını SAP'ye sunacaktır.
5.4 Denetimlerin Maliyeti. Denetimlerde bu DPA'ya yönelik olarak SAP'nin neden olduğu esaslı bir ihlal ortaya çıkmadığı sürece denetim maliyetleri Müşteri tarafından karşılanacaktır. İhlal olması durumunda ise denetim masrafları SAP'ye aittir. Denetim sonunda SAP'nin DPA kapsamındaki yükümlülüklerinden birini ihlal ettiğinin belirlenmesi durumunda SAP, masrafları kendisine ait olmak üzere, söz konusu ihlali derhal telafi edecektir.
6. ALT İŞLEYİCİLER
6.1 İzin Verilen Kullanım. SAP'ye, aşağıda verilen şartlara tabi olacak şekilde Kişisel Verilerin işlenmesi işini Alt İşleyicilere devretmeye yönelik genel bir yetki verilir:
(a) SAP veya SAP SE kendi adına, Alt İşleyicilerin Kişisel Verileri işlemesi için Alt İşleyicilerle işbu DPA'nın şartlarıyla uyumlu yazılı (elektronik biçimde olabilir) bir sözleşme imzalayacaktır. Anlaşmanın şartları uyarınca Alt İşleyiciler tarafından gerçekleştirilen tüm ihlallerin sorumluluğu SAP'ye ait olacaktır;
(b) SAP, işbu DPA'nın gerektirdiği Kişisel Veri koruma düzeyini sağlayıp sağlamadığına karar vermeden önce ilgili Alt İşleyicinin güvenlik ve gizlilik uygulamalarını değerlendirmeye alacaktır;
(c) SAP Support için, SAP'nin Anlaşma geçerlilik tarihindeki Alt İşleyici listesi SAP tarafından yayınlanır (xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxxxxxxxxxx.xxxx adresinde) veya SAP, bu listeyi talep üzerine Müşterinin kullanımına sunacaktır. Liste, SAP'nin SAP hizmetini sağlamak için kullandığı her bir Alt İşleyicinin adını, adresini ve rolünü içerecektir ve.
(d) Professional Services için SAP, Müşterinin talebi üzerine, geçerli SAP hizmetlerini başlatmadan önce listeyi kullanıma sunacak veya söz konusu alt işleyicilerin kimliğini belirleyecektir.
6.2 Yeni Alt İşleyiciler. SAP'nin Alt İşleyiciler ile birlikte çalışıp çalışmayacağı, aşağıdaki koşullara uygun olmak kaydıyla kendi takdirine bağlıdır:
(a) SAP, yeni Alt İşleyicinin adı, adresi ve rolü dahil olmak üzere Alt İşleyici listesinde yapılması planlanan tüm eklemeler veya değişiklikler konusunda Müşteriyi önceden bilgilendirecektir:
(i) SAP Support için SAP Support Portal'da yayınlayarak veya Müşteri SAP Portal'a kaydolduktan sonra e-posta yoluyla ve (ii) Professional Services için aynı şekilde SAP Support Portal'da yayınlayarak veya e-posta yoluyla ya da diğer türlü yazılı bir form aracılığıyla;
(b) Müşteri, Bölüm 6.3 kapsamında belirtilen şekilde bu değişikliklere itiraz edebilir.
6.3 Yeni Alt İşleyicilere ilişkin İtirazlar.
(a) SAP Support: Kişisel Verilerin yeni Alt İşleyiciler tarafından işlenmesi ile ilgili olarak Veri Koruma Kanunu kapsamında geçerli bir itirazı varsa Müşteri, SAP'ye yazılı bildirimde bulunarak SAP Support'u feshedebilir. Bu bildirim SAP'ye, SAP'nin yeni Alt İşleyici konusunda Müşteriyi bilgilendirmesinden itibaren en fazla otuz gün içinde gönderilmelidir. Müşteri fesih bildirimini SAP'ye bu otuz günlük süre içinde göndermezse Müşterinin yeni Alt İşleyiciyi kabul ettiği varsayılır. SAP'nin yeni Alt İşleyiciyi Müşteriye bildirmesinden sonraki otuz günlük süre içinde Müşteri, itirazı bir çözüme kavuşturmak için tarafların iyi niyet çerçevesinde bir araya gelmelerini talep edebilir. Bu görüşmeler, SAP'ye fesih bildirimi sağlama süresini aşmayacak ve SAP'nin otuz günlük sürenin ardından yeni Alt İşleyiciyi/Alt İşleyicileri kullanma hakkını etkilemeyecektir.
(b) Professional Services: Müşteri, Kişisel Verilerin Alt İşleyiciler tarafından işlenmesiyle ilgili olarak Veri Koruma Kanunu uyarınca haklı bir sebep öne sürerse Bölüm 6.2 uyarınca SAP'nin bildiriminden sonraki beş iş günü içinde SAP'ye yazılı bildirimde bulunarak SAP'nin bir Alt İşleyici ile çalışmasına itiraz edebilir. Müşterinin belirli bir Alt İşleyici kullanılmasına itiraz etmesi halinde taraflar iyi niyet çerçevesinde bir çözüm üretmek üzere bir araya gelecektir. SAP (i) söz konusu Alt İşleyiciyi kullanmamayı veya (ii) Müşterinin itirazında talep ettiği düzeltici adımları uygulayarak Alt İşleyiciyi kullanmayı seçebilir. Bu seçeneklerden hiçbirinin makul ölçüde mümkün olmaması ve Müşterinin haklı bir sebep doğrultusunda itirazını sürdürmesi halinde her bir taraf, beş gün öncesinden yazılı bildirimde bulunarak ilgili hizmetleri feshedebilir. Müşteri, bildirimi aldıktan sonra beş gün içinde itiraz etmezse Müşterinin, Alt İşleyiciyi kabul ettiği varsayılır. Müşterinin itirazının öne sürüldükten sonra otuz gün boyunca çözüme kavuşmaması ve SAP'nin herhangi bir fesih bildirimi almaması halinde Müşterinin Alt İşleyiciyi kabul ettiği varsayılır.
(c) Bu Bölüm 6.3 uyarınca gerçekleştirilen fesihler için herhangi bir taraf hatalı kabul edilmeyecek ve bu fesihler, Anlaşmanın şartlarına tabi olacaktır.
6.4 Acil Durum Değişikliği. Değişikliğin nedeni SAP'nin makul kontrolü dışındaysa ve güvenlik veya aciliyet teşkil eden diğer nedenlere bağlı olarak acil bir değişiklik yapılması gerekirse SAP, bildirimde bulunmaksızın bir Alt İşleyiciyi değiştirebilir. Bu durumda SAP, yeni Alt İşleyici atamasından sonra Müşteriyi Alt İşleyici değişikliğiyle ilgili olarak mümkün olan en kısa sürede bilgilendirecektir. Bu doğrultuda Bölüm 6.3 geçerlidir.
7. ULUSLARARASI İŞLEME
7.1 Uluslararası İşleme Koşulları. SAP, Kişisel Verileri, Veri Koruma Kanununda izin verilen şekilde, bu DPA uyarınca Alt İşleyici kullanarak işlemek de dahil olmak üzere, Müşterinin bulunduğu ülke dışında da işleme yetkisine sahip olacaktır.
7.2 Standart Sözleşme Maddeleri. (i) EEA veya İsviçre merkezli bir Denetleyiciye ait Kişisel Verilerin EEA veya İsviçre dışında ve Avrupa Birliği tarafından GDPR Madde 45 kapsamında yeterli veri koruma düzeyine sahip ve güvenli kabul edilen herhangi bir ülke, organizasyon ya da bölge dışında işlenmesi veya (ii) başka bir Denetleyiciye ait Kişisel Verilerin uluslararası olarak işlenmesi ya da bu uluslararası işlemenin, Denetleyicinin bulunduğu ülkede geçerli olan yasalar uyarınca bir yeterlilik yöntemi gerektirmesi ve gereken yeterlilik yönteminin Standart Sözleşme Maddeleri imzalanarak karşılanabiliyor olması durumunda:
(a) SAP ve Müşteri Standart Sözleşme Xxxxxxxxxxx imzalar;
(b) Müşteri şu yöntemlerden birini kullanarak her bir ilgili Alt İşleyiciyle Standart Sözleşme Maddelerini imzalar: (i) Müşteri, SAP veya SAP SE ile Alt İşleyici arasında imzalanmış Standart Sözleşme Maddelerine, bağımsız bir hak ve yükümlülük sahibi olarak katılır ("Katılım Modeli") veya (ii) Alt İşleyici (SAP tarafından temsil edilen) Standart Sözleşme Maddelerini Müşteriyle imzalar ("Karar Yetkisi Modeli"). SAP, Bölüm 6.1(c) veya (d) altında sağlanan Alt İşleyici listesi veya Müşteriye yönelik bir bildirim yoluyla bir Alt İşleyicinin uygunluğunu açık bir şekilde onaylarsa Karar Yetkisi Modeli geçerli olacaktır ve/veya
(c) Xxxxxxx tarafından Anlaşma uyarınca Kişisel Veriler eklemesi için yetkilendirilmiş diğer Denetleyiciler de yukarıdaki Bölüm 7.2 (a) ve (b) doğrultusunda Müşteriyle aynı şekilde SAP
ve/veya ilgili Alt İşleyiciler ile Standart Sözleşme Maddeleri imzalayabilir Böyle bir durumda
Standart Sözleşme Xxxxxxxxxxx diğer Denetleyiciler adına Müşteri imzalayacaktır.
7.3 Standart Sözleşme Maddelerinin Anlaşmayla İlişkisi. Anlaşmadaki hiçbir madde, Standart Sözleşme Maddelerinin çelişkili maddesinden üstün olacağı şeklinde yorumlanamaz. Şüpheye mahal vermemek adına, DPA'nın bölüm 5 ve 6 kapsamında başka denetim ve alt işleyici kuralları belirttiği durumlarda bu belirtimler Standart Sözleşme Maddeleri için de geçerli olur.
7.4 Standart Sözleşme Maddeleri için Geçerli Yasalar Standart Sözleşme Maddeleri için ilgili Denetleyicinin kurulu olduğu ülkenin yasaları geçerli olacaktır.
8. DOKÜMANTASYON; İŞLEME KAYITLARI
Taraflar dokümantasyon gereksinimlerine uymaktan ve özellikle Veri Koruma Kanunu uyarınca gerekli olduğu durumlarda işleme kayıtlarının bakımını yapmaktan sorumludur. Taraflardan her biri diğer tarafı işleme kayıtlarının bakımıyla ilgili yükümlülüklere uymasını sağlamak için, söz konusu tarafın ihtiyaç duyduğu bilgileri, yine söz konusu tarafın makul biçimde talep ettiği şekilde (elektronik sistem kullanmak gibi) sağlamak da dahil olmak üzere dokümantasyon gereksinimleri konusunda makul ölçüde destekleyecektir.
9. TANIMLAR
Burada tanımları verilmemiş büyük harfle başlayan terimler, Anlaşmada belirtilen anlamları taşıyacaktır.
9.1 "Yetkili Kullanıcı", Müşterinin bir SAP yazılım lisansı uyarınca SAP Hizmetini kullanmak için erişim yetkisi verdiği herhangi bir kişi anlamına gelir ve şunları kapsar: (i) Müşterinin, (ii) Müşterinin Bağlı Şirketlerinin bir çalışanı, aracısı, yüklenicisi ya da temsilcisi ve/veya (iii) Müşterinin ve Müşteri Bağlı Şirketlerinin İş Ortakları (Yazılım Lisansı ve Destek Anlaşmasında tanımlanan şekilde).
9.2 "Denetleyici (“Veri Sorumlusu”)", tek başına veya başkalarıyla birlikte Kişisel Verilerin işlenme amaçlarını ve araçlarını belirleyen kişi veya tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir; bu DPA'nın amaçları doğrultusunda, Müşterinin başka bir denetleyici için İşleyici olarak görev yaptığı durumlarda SAP tarafından işbu DPA kapsamındaki ilgili denetleyici hak ve yükümlülüklerine sahip ilave ve bağımsız Denetleyici olarak değerlendirilecektir.
9.3 "Veri Koruma Kanunu" kişilerin Anlaşma kapsamında Kişisel Verilerin işlenmesine ilişkin temel haklarını, özgürlüklerini ve gizlilik haklarını koruyan geçerli yasalar anlamına gelir (ve Müşteri adına SAP tarafından Kişisel Verilerin işlenmesi konusunda taraflar arasındaki ilişkiyle ilgili olduğu kadarıyla, Kişisel Verilerin GDPR'ye tabi olup olmamasından bağımsız şekilde, asgari bir standart olarak GDPR'yi içerir).
9.4 "Veri Kullanıcısı (“İlgili Kişi”)" Veri Koruma Kanunu tarafından tanımlanan şekilde kimliği belirlenmiş veya belirlenebilir bir gerçek kişi anlamına gelir.
9.5 "Kişisel Veriler" Veri Koruma Kanunu kapsamında korunan bir Veri Kullanıcısı ile ilgili tüm bilgileri ifade eder. DPA'nın amaçları doğrultusunda yalnızca, Anlaşma uyarında SAP hizmetini sağlaması için SAP'ye veya Alt İşleyicilerine sağlanan veya bunlar tarafından erişilen kişisel verileri içerir.
9.6 "Kişisel Veri İhlali" (1) Kişisel Verilerin kaza sonucu veya yasa dışı olarak yok edilmesi, kaybolması, değiştirilmesi, yetkisiz ifşası veya verilere yetkisiz üçüncü taraflarca erişilmesi ile ilgili onaylanmış bir durumu ya da (2) Kişisel Verilerin bulunduğu benzer bir onaylanmış olayı ifade
eder. Veri Koruma Kanunu uyarınca her iki durum için de Denetleyicinin yetkili veri koruma mercilerine veya Veri Kullanıcılarına bildirimde bulunması gerekmektedir.
9.7 "Professional Services", uygulama hizmetleri, danışmanlık hizmetleri ve/veya SAP Premium Engagement Support Services, Innovative Business Solutions Development Services, Innovative Business Solutions Development Support Services gibi hizmetleri ifade eder.
9.8 "İşleyici (“Veri İşleyen”)", Kişisel Verileri Denetleyici adına işleyen bir kişi, tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir; doğrudan bir Denetleyicinin İşleyicisi veya dolaylı olarak Kişisel Verileri Denetleyici adına işleyen bir İşleyicinin Alt İşleyicisi olabilir.
9.9 "Standart Sözleşme Maddeleri" veya zaman zaman adlandırıldığı şekilde "AB Model Maddeleri", (Standart Sözleşme Maddeleri (işleyiciler)) veya Avrupa Komisyonu tarafından yayınlanan daha sonraki herhangi bir versiyonu (otomatik olarak geçerli olur) anlamına gelir.: "Anlaşmanın geçerlilik tarihi itibarıyla geçerli olan Standart Sözleşme Maddeleri bu belgeye Ek 4 olarak eklenmiştir."
9.10 "Alt İşleyici", SAP Bağlı Şirketleri, SAP SE, SAP SE Bağlı Şirketleri ve SAP, SAP SE ya da SAP SE'nin Bağlı Şirketleriyle, SAP hizmetiyle ilgili olarak ilişki içinde bulunan ve bu DPA uyarınca Kişisel Verileri işleyen üçüncü tarafları ifade eder.
DPA ve geçerliyse Standart Sözleşme Maddeleri için Ek 1
Veri Dışa Aktaran
Veri Dışa Aktaran, SAP ile bir Yazılım Lisansı ve Destek Anlaşması ve/veya Hizmet Anlaşması imzalayan Müşteridir ve bu kapsamda ilgili Anlaşmada belirtilen şekilde SAP Hizmetinden yararlanır. Veri Dışa Aktaran, diğer Denetleyicilerin de SAP hizmetini kullanmasına izin verir ve bu Denetleyiciler de Veri Dışa Aktaran olarak adlandırılır.
Veri İçe Aktaran
SAP ve Alt İşleyicileri, Veri Dışa Aktaran tarafından akdedilen ve aşağıdaki SAP Hizmetini içeren ilgili Anlaşma kapsamında tanımlanan şekilde SAP Hizmetini sağlar:
- Yazılım Lisansı ve Destek Anlaşması kapsamında: Müşteri, Yazılımın kullanılabilir olmamasına veya beklenen şekilde çalışmamasına istinaden bir destek çağrısı gönderdiğinde SAP ve/veya Alt İşleyicileri destek sağlar. Telefon çağrılarını yanıtlar, temel sorun giderme işlemlerini yerine getirir ve bir izleme sisteminde destek çağrılarını yönetirler.
- Professional Services için geçerli Hizmet Anlaşması kapsamında: SAP ve/veya Alt İşleyicileri, Sipariş Formu Hizmetlerine ve geçerli Kapsam Dokümanına tabi şekilde Hizmetleri sağlar.
Veri Kullanıcıları
Veri Dışa Aktaran tarafından aksi belirtilmedikçe, aktarılan Kişisel Veriler şu Veri Kullanıcısı kategorileri ile ilgilidir: çalışanlar, yükleniciler, İş Ortakları veya Kişisel Verilerin Veri İçe Aktaranın kullanımına sunulmasını veya Veri İçe Aktaran tarafından erişilmesini sağlayan kişiler.
Veri Kategorileri
Aktarılan Kişisel Veriler, aşağıdaki veri kategorileri ile ilgilidir:
Müşteri, ilgili Anlaşma kapsamında belirtilen şekilde her SAP Hizmeti için aktarılabilecek veri ve/veya veri alanı kategorilerine karar verir. Aktarılan Kişisel Veriler genellikle şu veri kategorileri ile ilgilidir: ad, telefon numaraları, e-posta adresi, saat dilimi, adres verileri, sistem erişim/kullanım/yetkilendirme verileri, şirket adı, sözleşme verileri ve fatura verileri, Yetkili Kullanıcılar tarafından aktarılan uygulamaya özgü verilerin yanı sıra banka hesap verileri, kredi kartı veya banka kartı verileri gibi mali verileri de içerebilir.
Özel Veri Kategorileri (Varsa)
Aktarılan Kişisel Veriler şu özel veri kategorileri ile ilgilidir: Varsa Anlaşmada (Sipariş Formu dahil) belirtildiği şekilde.
İşleme İşlemleri/Amaçları
Aktarılan Kişisel Veriler, Anlaşma kapsamında belirtilen şekilde, aşağıdakileri içerebilecek olan temel işleme aktivitelerine tabidir:
• SAP Hizmetini sağlamak amacıyla Kişisel Veri kullanımı
• Kişisel Verileri depolama
• veri aktarımı için Kişisel Verilerin bilgisayarda işlenmesi
• Müşterinin talimatlarının Anlaşmaya uygun şekilde uygulanması.
DPA ve geçerliyse Standart Sözleşme Maddeleri için Ek 2 - Teknik ve Organizasyonel Önlemler
1. TEKNİK VE ORGANİZASYONEL ÖNLEMLER
Aşağıdaki bölümlerde SAP'nin geçerli teknik ve organizasyonel önlemleri tanımlanmıştır. SAP, benzer veya daha iyi düzeyde güvenlik sağladığı sürece bu önlemlerde dilediği zaman önceden bildirmeksizin değişiklik yapabilir. Münferit önlemler, Kişisel Verileri korumaya yönelik güvenlik düzeyini ihlal etmeden aynı amaca hizmet eden yeni önlemlerle değiştirilebilir.
1.1 Fiziksel Erişim Denetimi. Yetkisiz kişilerin, Kişisel Verileri işleyen ve/veya kullanan veri işleme sistemlerinin bulunduğu tesislere, binalara veya odalara fiziksel erişimi önlenir.
Önlemler:
• SAP, SAP Güvenlik İlkesine dayalı uygun yöntemleri kullanarak varlıklarını ve tesislerini korur.
• Genelde binalar erişim denetim sistemleri (örneğin, akıllı kart erişim sistemi) aracılığıyla korunur.
• Minimum gereksinim olarak binanın en dışında bulunan giriş noktaları, modern etkin anahtar yönetimini içeren sertifikalı bir anahtar sistemi teçhizatına sahip olmalıdır.
• Güvenlik sınıflandırmasına bağlı olarak, binalar, münferit alanlar ve civardaki tesisler ek önlemler alınarak daha fazla korunabilir. Bunlara özel erişim profilleri, güvenlik kameraları, hırsız alarm sistemleri ve biyometrik erişim denetim sistemleri dahildir.
• Sistem ve Veri Erişim Denetimi önlemleri (aşağıdaki Bölüm 1.2 ve 1.3'e bakın) doğrultusunda bireysel olarak yetkili kişilere erişim hakları verilir. Bu aynı zamanda ziyaretçi erişimi için de geçerlidir. SAP binalarına gelen misafirler ve ziyaretçiler resepsiyona adlarını kaydettirmeli ve yetkili SAP personeli tarafından bu kişilere eşlik edilmelidir.
• SAP çalışanları ve şirket dışı personel, kimlik kartlarını tüm SAP konumlarında takmalıdır.
Veri Merkezlerine yönelik ek önlemler:
• Tüm Veri Merkezleri, ekipmanların ve Veri Merkezi tesislerinin zarar görmesini önleme amacıyla korumalar, güvenlik kameraları, hareket algılayıcılar, erişim denetim mekanizmaları ve diğer önlemler ile zorunlu kılınan sıkı güvenlik önlemlerine bağlı kalır. Veri Merkezi tesislerindeki sistemlere ve altyapıya yalnızca yetkili temsilciler erişebilir. Uygun işlevselliğin korunması için fiziksel güvenlik ekipmanlarının (örneğin, hareket algılayıcılar, kameralar vb.) bakımı düzenli olarak yapılır.
• SAP ve tüm üçüncü taraf Veri Merkezi sağlayıcıları, Veri Merkezlerinde SAP'nin gizli alanlarına giren
yetkili personelin adlarını ve girdikleri zamanı kaydeder.
1.2 Sistem Erişim Denetimi. SAP hizmetinin sağlanması için kullanılan veri işleme sistemlerinin yetkisiz kullanımı önlenmelidir.
Önlemler:
• Kişisel Verileri depolayan ve işleyenler dahil olmak üzere hassas sistemlere erişime izni verilirken birden fazla yetkilendirme düzeyi kullanılır. Yetkilendirmeler, SAP Güvenlik İlkesine göre tanımlanan süreçler aracılığıyla yönetilir
• Tüm personel SAP sistemlerine tek tanıtıcı (kullanıcı kimliği) ile erişir.
• SAP, talep edilen yetki değişikliklerinin yalnızca SAP Güvenlik İlkesine uygun şekilde uygulandığından emin olmak için prosedürlerden (örneğin, yetki olmadan herhangi bir hak sağlanmaması) yararlanır. Şirketten ayrılan personelin erişim hakları iptal edilir.
• SAP, parolaların paylaşılmasını yasaklayan, bir parola ifşa edildiğinde ne yapılması gerektiğini belirten, parolaların düzenli olarak değiştirilmesini ve varsayılan parolaların değiştirilmesini gerektiren bir parola ilkesine sahiptir. Kimlik doğrulama için kişisel kullanıcı kimlikleri atanır. Tüm parolalar belirtilen minimum gereksinimleri karşılamalıdır ve şifrelenmiş biçimde depolanırlar. Etki alanı parolaları konusunda sistem, karmaşık parola gereksinimlerine uygun şekilde her altı ayda bir parola değişikliğini zorunlu kılar. Her bilgisayarın parola korumalı bir ekran koruyucusu vardır.
• Şirket ağı, ortak ağdan güvenlik duvarıyla korunur.
• SAP, şirket ağına erişim noktalarında (e-posta hesapları için), tüm dosya sunucularında ve tüm çalışma istasyonlarında güncel bir virüsten koruma yazılımı kullanır.
• İlgili güvenlik güncellemelerinin düzenli ve dönemsel dağıtımını sağlamak üzere bir güvenlik yaması yönetimi uygulanır. SAP kurumsal ağına ve önemli altyapısına tam uzaktan erişim, güçlü kimlik doğrulamasıyla korunur.
1.3 Veri Erişim Denetimi. Veri işleme sistemlerini kullanma yetkisi olan kişilerin yalnızca erişim hakkına sahip olduğu Kişisel Verilere erişmesi ve Kişisel Verilerin işleme, kullanım ve depolama sırasında yetki verilmeden okunmaması, kopyalanmaması, değiştirilmemesi veya silinmemesi gerekir.
Önlemler:
• SAP Güvenlik İlkesinin bir parçası olarak Kişisel Veriler için, SAP'nin Bilgi Sınıflandırma standardına göre "gizli" bilgiler ile en az aynı koruma düzeyi gereklidir.
• Kişisel Verilere erişim, bilinmesi gereken (need-to-know) temelinde sağlanır. Personelin, görevlerini yerine getirmeleri için gereken bilgilere erişimi vardır. SAP, yetki verme süreçlerini ve hesap başına tayin edilen rolleri açıklayan yetki konseptlerinden yararlanır. Tüm Müşteri Verileri, SAP Güvenlik İlkesi uyarınca korunur.
• Tüm canlı kullanım sunucuları, Veri Merkezlerinde veya sunucu odalarında çalıştırılır. Kişisel Verileri işleyen uygulamaları koruyan güvenlik önlemleri düzenli olarak denetlenir. SAP bu amaçla BT sistemlerinde şirket içi ve şirket dışı denetimlerin yanı sıra sızma testleri gerçekleştirir.
• SAP, SAP tarafından onaylanmayan yazılımların yüklenmesine izin vermez.
• Artık gerekli olmayan veri ve veri taşıyıcıların nasıl silineceği veya imha edileceği, bir SAP güvenlik standardı ile belirlenir.
1.4 Veri Aktarım Denetimi. İlgili Anlaşmaya uygun olarak SAP hizmetlerinin sağlanması için gerekli olduğu durumlar haricinde, Kişisel Veriler aktarım sırasında yetki verilmeksizin okunamaz, kopyalanamaz, değiştirilemez veya silinemez. Veri taşıyıcılar fiziksel olarak taşınırken, kabul edilen hizmet düzeylerinin sağlanabilmesi için gereken önlemler (örneğin, şifreleme, kurşun kaplamalı muhafaza kutuları) alınmalıdır.
Önlemler:
• Kişisel Verilerin SAP dahili ağları üzerinden aktarımı, SAP Güvenlik İlkesi doğrultusunda korunur.
• Veriler SAP ve müşterileri arasında aktarılırken, SAP ile müşterileri arasında veri aktarımı için gerekli koruma önlemleri üzerinde karşılıklı olarak anlaşmaya varılır ve bunlar ilgili Anlaşmanın bir parçası haline gelir. Bu, hem fiziksel hem de ağ tabanlı veri aktarımı için geçerlidir. Her durumda Müşteri, SAP tarafından denetlenen sistemler dışında gerçekleşen tüm veri aktarımlarının (örneğin, SAP Veri Merkezinin güvenlik duvarı dışında gerçekleşen veri aktarımları) sorumluluğunu kabul eder.
1.5 Veri Giriş Denetimi. Kişisel Verilerin kim tarafından girildiği, değiştirildiği veya SAP veri işleme sistemlerinden silindiği geriye dönük olarak incelenip tespit edilebilir.
Önlemler:
• SAP, görevlerini yerine getirmek amacıyla yalnızca yetkili personelin Kişisel Verilere erişmesine izin
verir.
• SAP, SAP hizmetinde, Kişisel Verilerin SAP veya alt işleyicileri tarafından girilmesi, değiştirilmesi, silinmesi veya engellenmesi için teknik olarak mümkün olan en kapsamlı ölçüde bir kayıt sistemi uygulamıştır.
1.6 İş Denetimi. İş Denetiminin, diğerleri adına işlenen kişisel verilerin Müşteri talimatlarına sıkı sıkıya bağlı şekilde işlenmesini sağlaması gerekir.
Önlemler:
SAP; SAP ve müşterileri, alt işleyicileri veya diğer hizmet sağlayıcıları arasındaki sözleşmelere uyumu izlemek için denetimlerden ve süreçlerden yararlanır.
SAP Güvenlik İlkesinin bir parçası olarak Kişisel Veriler için, SAP'nin Bilgi Sınıflandırma standardına
göre "gizli" bilgiler ile en az aynı koruma düzeyi gereklidir.
• Tüm SAP çalışanları ve sözleşmeli alt işleyiciler ya da diğer hizmet sağlayıcıları sözleşme gereğince SAP müşterilerinin ve iş ortaklarının ticari sırları da dahil olmak üzere tüm hassas bilgilere ilişkin gizliliğe uygun şekilde hareket etmek zorundadır.
SAP Support için SAP müşterileri, uzak destek bağlantıları üzerinde her zaman denetim sahibidir. SAP çalışanları müşterinin bilgisi veya izni olmadan müşterinin sistemine erişemez. SAP Support için SAP, destek hizmetleri için özel olarak tasarlanmış güvenli bir destek çağrısı alanı sağlar. SAP, bu alanda erişim verilerinin ve parolaların aktarılması için erişimi denetlenen ve izlenen özel bir güvenlik alanı sunar. SAP müşterileri, uzak destek bağlantıları üzerinde her zaman denetim sahibidir. SAP çalışanları müşterinin bilgisi ve etkin katılımı olmadan müşterinin sistemine erişemez.
1.7 Kullanılabilirlik Denetimi. Kişisel Veriler kaza sonucu veya yetkisiz imha veya kayıp durumlarına karşı korunur.
Önlemler:
• SAP, gerekli olduğu durumlarda kritik iş sistemlerinin geri yüklenmesini sağlamak için düzenli yedekleme işlemleri çalıştırır.
• SAP, Veri Merkezlerinde bulunan elektriği korumak üzere kesintisiz güç kaynaklarından (örneğin: UPS, pil, jeneratörler vb.) yararlanır.
• SAP, kritik iş süreçleri için iş sürekliliği planları tanımlamıştır.
• Acil durum süreçleri ve sistemleri düzenli olarak test edilir.
1.8 Veri Ayırma Denetimi. Kişisel Veriler farklı amaçlar için toplanır ve ayrı işlenebilir.
Önlemler:
• SAP, her zaman Müşteri Verilerini ayırabilmek için uygun teknik denetimlerden yararlanır.
• Müşteri (onaylı Denetleyicileri dahil), güvenli kimlik doğrulaması ve yetkilendirme temelinde yalnızca kendi Verilerine erişebilecektir.
• Müşterinin destek olayının işlenmesi için Kişisel Verilerin gerekli olduğu durumlarda veriler, söz konusu iletiye atanır ve yalnızca bu iletinin işlenmesi için kullanılır; diğer herhangi bir iletinin işlenmesi için bu verilere erişilmez. Bu veriler, özel destek sistemlerinde depolanır.
1.9 Veri Bütünlüğü Denetimi. İşleme aktiviteleri sırasında Kişisel Verilere dokunulmaz; veriler, eksiksiz ve geçerli kalır.
Önlemler:
SAP, yetkisiz değişikliklere karşı koruma olarak çok katmanlı bir savunma stratejisi uygulamıştır. Hususi olarak SAP, yukarıda açıklanan denetim ve önlem bölümlerini uygulamak üzere aşağıdakileri kullanır. Özellikle:
• Güvenlik duvarları;
• Güvenlik İzleme Merkezi;
• Virüsten koruma yazılımı;
• Yedekleme ve kurtarma;
• Harici ve dahili sızma testleri;
• Güvenlik önlemlerini sınayacak düzenli harici denetimler.
DPA için Ek 3
Aşağıdaki tabloda ilgili GDPR Maddeleri ve karşılık gelen DPA şartları yalnızca gösterim amaçlı olarak verilmiştir.
GDPR Maddesi | DPA Bölümü | Bölümü görmek için bağlantıya tıklayın |
28(1) | 2 ve Ek 2 | İşleme Güvenliği ve Ek 2, Teknik ve Organizasyonel |
28(2), 28(3) (d) ve 28 (4) | ALT İŞLEYİCİLER. | |
28 (3) 1. cümle | 1.1 ve Ek 1, 1.2 | Amaç ve Uygulama. Yapı. |
28(3) (a) ve 29 | Müşterinin Talimatları. Yasal Gereksinim uyarınca | |
28(3) (b) | Personel. | |
28(3) (c) ve 32 | 2 ve Ek 2 | İşleme Güvenliği ve Ek 2, Teknik ve Organizasyonel |
28(3) (e) | ||
28(3) (f) ve 32- 36 | İşleme Güvenliği ve Ek 2, Teknik ve Organizasyonel Önlemler. Kişisel Veri İhlali Bildirimi. Veri Koruma Etki Değerlendirmesi. | |
28(3) (g) | Xxxx Xxxxx. | |
28(3) (h) | SERTİFİKALAR VE DENETİMLER. | |
28 (4) | ALT İŞLEYİCİLER. | |
30 | DOKÜMANTASYON; İŞLEME KAYITLARI. | |
46(2) (c) | Standart Sözleşme Maddeleri. |
Ek 4
STANDART SÖZLEŞME MADDELERİ (İŞLEYİCİLER)1
Ek 4
STANDART SÖZLEŞME MADDELERİ (İŞLEYİCİLER)2
İşbu DPA'da atıfta bulunulan Standart Sözleşme Maddeleri şu bağlantıda bulunmaktadır: xxxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxxxxxx%0X00000X0000.
Ek 4
STANDART SÖZLEŞME MADDELERİ (İŞLEYİCİLER)3
Kişisel verilerin yeterli düzeyde veri korumasına sahip olmayan üçüncü ülkelerdeki işleyicilere aktarılmasıyla ilgili 95/46/EC numaralı Direktifin 26(2) numaralı maddesi (veya 25 Mayıs 2018'den sonra, 2016/79 sayılı Yönetmeliğin 44. Maddesi ve sonraki sayfaları) uyarınca
Xxxxxxx (aynı zamanda diğer Denetleyiciler adına)
(bundan sonraki Maddelerde "veri dışa aktaran" olarak anılacaktır)
ve
SAP
(bundan sonraki Maddelerde "veri içe aktaran" olarak anılacaktır)
ikisi tek tek "taraf", birlikte "taraflar",
Ek 1'de belirtilen kişisel verilerin veri dışa aktaran tarafından veri içe aktarana aktarılmasıyla ilgili olarak, bireylerin kişisel ve temel haklarının ve özgürlüklerinin korunması konusundaki yeterli güvenliği sağlamak üzere aşağıdaki Sözleşme Maddeleri (Maddeler) üzerinde ANLAŞMAYA VARMIŞLARDIR.
Madde 1
Tanımlar
Bu Maddelerde:
(a) ‘kişisel veriler’, ‘kişisel veri kategorileri’, ‘xxxxx/xxxxxx’, ‘xxxxxxx’, ‘xxxxxxx’, ‘xxxx xxxxxxxxxxx’ ve ‘düzenleyici otorite’, Avrupa Parlamentosu'nun 95/46/EC sayılı Direktifi ve 24 Ekim 1995 tarihli Konseyinin kişisel verilerin korunması ve bu verilerin serbest hareketiyle ilgili olarak bireylerin korunması belgelerindeki anlamlarına sahip olacaktır;
(b) ‘veri dışa aktaran’, kişisel verileri aktaran denetçi anlamına gelir;
(c) ‘veri içe aktaran’, veri dışa aktarandan kişisel verileri adına işlemek üzere talimatları ve Maddelerin şartları çerçevesinde almayı kabul eden ve 95/46/EC Direktifinin 25(1) Maddesi uyarınca yeterli koruma sağlayan bir üçüncü ülkenin sistemine tabi olmayan işleyiciyi ifade eder;
1 5 Şubat 2010 (2010/87/EU) Komisyon Kararı Uyarınca
2 5 Şubat 2010 (2010/87/EU) Komisyon Kararı Uyarınca
3 5 Şubat 2010 (2010/87/EU) Komisyon Kararı Uyarınca
(d) ‘alt işleyici’, veri içe aktaran tarafından veya veri içe aktaranın herhangi bir alt işleyicisi tarafından iş verilen ve veri içe aktarandan veya veri içe aktaranın herhangi bir alt işleyicisinden kişisel verileri yalnızca veri dışa aktaranın adına ve talimatlarına, Maddelerin şartlarına ve yazılı alt sözleşmenin şartlarına uygun bir şekilde işleme faaliyetleri gerçekleştirmek üzere almayı kabul eden tarafı ifade eder;
(e) ‘ilgili veri koruma kanunları’, bireylerin temel hak ve özgürlüklerini ve özellikle kişisel verilerinin işlenmesiyle ilgili gizliliklerini koruyan ve veri dışa aktaranın kurulu olduğu Üye Ülkedeki veri denetleyici için geçerli olan yasaları ifade eder;
(f) ‘teknik ve kurumsal güvenlik önlemleri’, kişisel verilerin kaza sonucu veya yasalara aykırı bir şekilde silinmesini veya kaza sonucu kaybedilmesini, değiştirilmesini, yetkisiz ifşa veya erişime maruz kalmasını ve özellikle işlemenin verilerin ağ üzerinden iletilmesinin söz konusu olduğu ve diğer her türlü yasa dışı işleme şekillerine karşı uygulanan tüm önlemleri ifade eder.
Madde 2
Aktarımın ayrıntıları
Aktarımın ayrıntıları ve özellikle kişisel verilerin özel kategorileri, Maddelerin ayrılmaz bir parçasını oluşturan İlave 1 belgesinde belirtilmiştir.
Madde 3
Üçüncü taraf lehtar maddesi
1. Veri kullanıcısı, veri dışa aktarana bu Madde, Madde 4(b) - (i), Madde 5(a) - (e) ve (g)
- (j), Madde 6(1) ve (2), Madde 7, Madde 8(2) ve Madde 9 - 12 uyarınca üçüncü taraf lehtar olarak işlem yapabilir.
2. Veri kullanıcısı, veri içe aktarana bu Madde, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 - 12 uyarınca, veri dışa aktaranın halefinin veri dışa aktaranın tüm yasal yükümlülüklerini sözleşme veya yasalar aracılığıyla üzerine aldığı ve bunun sonucu olarak veri dışa aktaranın haklarını ve yükümlülüklerini üzerine aldığı ve bu durumda veri kullanıcısının bu kuruluşa karşı işlem yapabileceği durumlar haricinde veri dışa aktaranın yasalar karşısında varlık gösteremediği durumlarda işlem yapabilir.
3. Veri kullanıcısı, alt işleyiciye bu Madde, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 - 12 uyarınca, veri dışa aktaranın halefinin veri dışa aktaranın tüm yasal yükümlülüklerini sözleşme veya yasalar aracılığıyla üzerine aldığı ve bunun sonucu olarak veri dışa aktaranın haklarını ve yükümlülüklerini üzerine aldığı ve bu durumda veri kullanıcısının bu kuruluşa karşı işlem yapabileceği durumlar haricinde veri dışa aktaranın ve veri içe aktaranın yasalar karşısında varlık gösteremediği veya çözüme ulaşamadığı durumlarda işlem yapabilir. Alt işleyicinin bu üçüncü taraf yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır.
4. Taraflar veri kullanıcısının açıkça belirttiği ve ulusal yasaların izin verdiği durumda veri kullanıcısının bir kuruluş veya başka bir kurum tarafından temsil edilmesine karşı çıkmaz.
Madde 4
Veri dışa aktaranın yükümlülükleri
Veri dışa aktaran şu maddeleri kabul ve garanti eder:
(a) kişisel verilerin aktarılması dahil olmak üzere işlenmesi ilgili veri koruma kanunlarının ilgili hükümleri çerçevesinde gerçekleştirilecek (ve uygun olduğu durumlarda veri dışa aktaranın kurulu olduğu Üye Ülkenin yetkilileri bilgilendirilecektir) ve ilgili Devletin ilgili hükümlerini ihlal etmeyecektir;
(b) kişisel veri işleme hizmetlerinin süresi boyunca veri içe aktaranı kişisel verilerin yalnızca veri dışa aktaranın adına ve ilgili veri koruma kanunları ve Maddeler çerçevesinde yapılacağını belirtecektir;
(c) veri içe aktaran, bu sözleşmenin Ek 2 belgesinde belirtilen teknik ve kurumsal güvenlik önlemleriyle ilgili yeterli garantileri verecektir;
(d) ilgili veri koruma kanunlarının gereksinimlerinin değerlendirilmesinin ardından kişisel verileri kaza sonucu veya yasa dışı yok etme veya kaza sonucu kayıp, değiştirme, yetkisiz ifşa veya erişime karşı korumak için alt işleyici tarafından gerekli güvenlik önlemleri alınacaktır, özellikle işlemenin verilerin bir ağ üzerinden aktarıldığı durumlar ve diğer tüm yasa dışı işleme biçimleri buna dahil edilecektir ve bu önlemler, veriler ve işlenmesi sonucunda ortaya çıkan risklere karşı yeterli düzeyde koruma sağlayacaktır ve korunacak veriler için gerekli olan son teknoloji sistemler ve bunların uygulaması makul şekilde yapılacaktır;
(e) güvenlik önlemlerine uyacaktır;
(f) veri aktarımının özel veri kategorilerini içermesi halinde veri kullanıcısının verilerin 95/46/EC Direktifine uygun yeterli koruma sağlamayan bir üçüncü ülkeye iletilebileceği konusunda önceden veya aktarımın hemen ardından bilgilendirilmesini sağlayacaktır;
(g) veri dışa aktaranın aktarımın devam etme veya askıya alınma durumunu kaldırma kararı vermesi halinde veri içe aktarandan veya alt işleyicilerden gelen bildirimleri Madde 5(b) ve Madde 8(3) uyarınca veri koruma düzenleyici otoritesine iletecektir;
(h) veri kullanıcılarına istek üzerine Maddelerin Ek 2 hariç bir kopyasını ve güvenlik önlemlerinin açıklamalarının yanı sıra Maddelere uygun şekilde yapılması gereken alt işleme hizmetleriyle ilgili sözleşmelerin kopyasını sunacaktır, Maddelerin veya sözleşmenin ticari bilgi içerdiği durumda söz konusu ticari bilgiler kaldırılabilir;
(i) alt işleme durumunda, işleme faaliyetlerinin Madde 11 uyarınca kişisel verilerin korunması için en az aynı düzeyde koruma sağlayan bir alt işleyici tarafından yapılmasını ve veri kullanıcısının haklarının veri içe aktaran olarak Maddeler çevresinde gözetilmesini sağlayacaktır ve
(j) Madde 4(a) - (i) hükümlerine uygun hareket edecektir.
Madde 5
Veri içe aktaranın yükümlülükleri
Veri içe aktaran şu maddeleri kabul ve garanti eder:
(a) kişisel verileri yalnızca veri dışa aktaranın adına ve onun talimatlarına ve Maddelere uygun olarak işleyecektir; herhangi bir nedenden dolayı bu uygunluğu sağlayamaması durumunda veri dışa aktaranı bu uyumsuzluk hakkında anında bilgilendirmeyi ve bu durumda veri dışa aktaranın verilerin aktarılmasını askıya alabileceğini ve/veya sözleşmeyi feshedebileceğini kabul eder;
(b) kendisi için geçerli olan yasaların, veri dışa aktarandan aldığı talimatları ve sözleşme çerçevesindeki yükümlülüklerini yerine getirme konusunda herhangi bir engel teşkil oluşturmadığını ve yasalarda Maddeler çerçevesindeki garantilerini ve yükümlülüklerini önemli ölçüde etkileyecek değişiklikler olması durumunda söz konusu değişikliği veri dışa aktarana anında bildirmeyi ve bu durumda veri dışa aktaranın verilerin aktarılmasını askıya alabileceğini ve/veya sözleşmeyi feshedebileceğini kabul eder;
(c) kişisel verilerin aktarılmasına başlamadan önce Ek 2'de belirtilen teknik ve
organizasyonel güvenlik önlemlerini uygulayacaktır;
(d) veri dışa aktaranı aşağıdaki konularda anında bilgilendirecektir:
(i) ceza kanunları çerçevesinde bir hukuki yaptırımın gizliliğini ihlal etme gibi bir yasağın söz konusu olmadığı durumlarda kanunlar çerçevesinde kişisel verilerin ifşasının talep edildiği durumlar;
(ii) kaza sonucu veya yetkisiz erişim ve
(iii) doğrudan veri kullanıcılarından alınan isteklere, yetki verilmediği sürece söz konusu isteklere yanıt verilmeden önce;
(e) veri dışa aktaranın, aktarılacak kişisel veri kullanıcısını işlemesiyle ilgili tüm talepleriyle anında ve makul şekilde ilgilenecek ve aktarılan verilerin işlenmesiyle ilgili olarak düzenleyici otoritenin tavsiyelerine uyacaktır;
(f) veri dışa aktaranın isteği üzerine veri işleme tesislerini, veri dışa aktaran veya gizlilik şartlarını yerine getiren gerekli uzmanlar tarafından oluşturulan bağımsız üyelerden oluşan ve veri dışa aktaran tarafından seçilen, ilgili durumlarda düzenleyici otoriteyle anlaşma yapılan Maddelerin kapsamındaki işleme faaliyetlerinin denetimi için açacaktır;
(g) veri kullanıcısına istek üzerine Maddelerin Ek 2 hariç bir kopyasını veya alt işleme sözleşmesinin kopyasını sunacaktır, Maddelerin veya sözleşmenin ticari bilgi içerdiği durumda söz konusu ticari bilgiler kaldırılabilir; Ek 2 yerine ise veri kullanıcısının veri dışa aktarandan bir kopya temin edemediği durumlarda güvenlik önlemlerinin bir özeti verilecektir;
(h) alt işleme durumunda veri dışa aktaranı önceden bilgilendirecek ve önceden yazılı iznini alacaktır;
(i) alt işleyici tarafından gerçekleştirilen işleme hizmetleri Madde 11'e uygun şekilde yapılacaktır;
(j) Maddeler çerçevesinde yaptığı alt işleyici anlaşmalarının kopyalarını en kısa sürede veri dışa aktarana gönderecektir.
Madde 6
Yükümlülük
1. Taraflar Madde 3 veya Madde 11 ile belirtilen yükümlülüklerin herhangi bir taraf veya alt işleyici tarafından ihlal edilmesi durumunda, bu durumdan zarar gören veri kullanıcısının söz konusu zararı veri dışa aktarandan tazmin etme hakkının bulunduğunu kabul eder.
2. Bir veri kullanıcısı veri içe aktaran veya alt işleyicilerin Madde 3 veya Madde 11 kapsamındaki yükümlülüklerini ihlalden kaynaklanan bir hak talebini veri dışa aktaranın yasalar
nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle 1. paragraf uyarınca tazminat amaçlı olarak veri dışa aktaranın aleyhine gündeme getiremiyorsa veri içe aktaran, veri kullanıcısının veri içe aktarana karşı olarak veri dışa aktaran olarak kabul etmek suretiyle hak talebinde bulunabileceğini, halef kurumların sözleşme veya yasalar ile veri dışa aktaranın tüm yasal yükümlülüklerini devralması durumunun hariç tutulacağını ve bu durumda veri kullanıcısının haklarını bu kuruluştan talep edebileceğini kabul eder.
Veri içe aktaran, bir alt işleyicinin yükümlülüklerini ihlal etmesini kendi yükümlülüklerinden
kaçınma amacıyla kullanamaz.
3. Bir veri kullanıcısı veri içe aktaran veya alt işleyicilerin Madde 3 veya Madde 11 kapsamındaki yükümlülüklerini ihlalden kaynaklanan bir hak talebini veri dışa aktaranın yasalar nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle 1. ve 2. paragraflar uyarınca tazminat amaçlı olarak veri dışa aktaranın aleyhine gündeme getiremiyorsa alt işleyici, veri kullanıcısının veri alt işleyicisine karşı olarak veri dışa aktaran veya veri içe aktaran olarak kabul etmek suretiyle hak talebinde bulunabileceğini, halef kurumların sözleşme veya yasalar ile veri dışa aktaranın veya veri içe aktaranın tüm yasal yükümlülüklerini devralması durumunun hariç tutulacağını ve bu durumda veri kullanıcısının haklarını bu kuruluştan talep edebileceğini kabul eder. Alt işleyicinin bu yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır.
Madde 7
Arabuluculuk ve yargı bölgesi
1. Veri içe aktaran, veri kullanıcısının kendisine karşı üçüncü taraf lehtar haklarını kullanması ve/veya Maddeler çerçevesindeki zararları için tazminat talebinde bulunması halinde veri içe aktaranın veri kullanıcısının şu kararlarını kabul edeceğini beyan eder:
(a) anlaşmazlığa, bağımsız bir kişi veya uygun olduğu durumda gözetim yetkilisi tarafından arabuluculuk yapılması;
(b) veri dışa aktaranın kurulu olduğu Üye Ülke mahkemelerinde anlaşmazlığa çözüm aranması.
2. Taraflar, veri kullanıcısı tarafından yapılan seçimin diğer ulusal veya uluslararası hukuk hükümleri çerçevesindeki sabit ve adli haklarına halel getirmeyeceğini kabul eder.
Madde 8
Düzenleyici otoritelerle işbirliği
1. Veri dışa aktaran, talep edilmesi veya ilgili veri koruma kanunlarının gerektirmesi
durumunda bu anlaşmanın bir kopyasını düzenleyici otoriteye kabul eder.
2. Taraflar, düzenleyici otoritenin veri içe aktaran ve alt işleyicileri için denetim gerçekleştirebileceğini ve bu denetim kapsamının ilgili veri koruma kanunları çerçevesinde veri dışa aktaran denetimi için geçerli olanla aynı olabileceğini kabul eder.
3. Veri içe aktaran, veri dışa aktaranı 2. paragraf uyarınca veri içe aktarana veya alt işleyicilerine denetim yapılmasını engelleyen ve kendisi ya da alt işleyicilerinden biri için geçerli bir yasa olması halinde bilgilendirecektir. Böyle bir durumda veri dışa aktaran, Madde 5(b) ile belirtilen önlemleri alma hakkına sahip olacaktır.
Madde 9
Geçerli yasalar
Bu Maddeler için veri dışa aktaranın kurulmuş olduğu Üye Ülkenin yasaları geçerli olacaktır.
Madde 10
Anlaşmanın değiştirilmesi
Taraflar, Maddeleri değiştirmemeyi taahhüt eder. Bu, tarafların Maddelerle çelişmemesi koşuluyla işle ilgili sorunlarla bağlantılı maddeler eklemesini engellemez.
Madde 11
Alt işleme
1. Veri içe aktaran, Maddeler çerçevesinde veri dışa aktaran adına gerçekleştirdiği işleme operasyonlarının hiçbirini veri dışa aktaranın önceden yazılı iznini almadan alt yüklenicilere veremez. Veri içe aktaranın Maddeler çerçevesindeki yükümlülüklerini veri dışa aktaranın onayıyla alt yüklenicilere vermesi durumunda bunu yalnızca alt işleyici ile yazılı anlaşma yaparak ve alt işleyicinin Maddeler çerçevesinde veri içe aktaranın tabi olduğu yükümlülüklere tabi olmasını sağlayarak gerçekleştirebilir. Alt işleyicinin ilgili yazılı anlaşmalar çerçevesindeki veri koruma yükümlülüklerini yerine getirmemesi halinde veri içe aktaran alt işleyicinin söz konusu anlaşma çerçevesindeki yükümlülüklerini veri dışa aktarana karşı yerine getirmesi konusunda tek yükümlü olacaktır.
2. Bir veri kullanıcısının, hiçbir halef kurumun sözleşme veya yasalar ile veri dışa aktaranın veya veri içe aktaranın tüm yasal yükümlülüklerini devralmaması ve veri dışa aktaran ile veri içe aktaranın yasalar nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle Madde 6, 1. paragraf uyarınca tazminat amaçlı olarak veri dışa aktaranın veya veri içe aktaranın aleyhine gündeme getirememesi durumunda veri içe aktaran ve alt işleyici arasındaki önceden yazılı sözleşme de Madde 3'te belirtilen üçüncü taraf lehtar durumlarından sayılacaktır. Alt işleyicinin bu üçüncü taraf yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır.
3. 1. paragrafta belirtilen sözleşmenin alt işleme tabi tutulmasının veri korumayla ilgili
hükümleri için veri dışa aktaranın kurulmuş olduğu Üye Ülkenin yasaları geçerli olacaktır.
4. Veri dışa aktaran, Maddeler çerçevesinde yapılan alt işleme anlaşmalarının bir listesini tutacak ve veri içe aktaranı Madde 5(j) uyarınca bilgilendirecektir, bu liste yılda en az bir kere güncellenecektir. Liste, veri dışa aktaranın veri koruma düzenleyici otoritesinin kullanımına da sunulacaktır.
Madde 12
Kişisel veri işleme hizmetlerinin feshinden sonraki yükümlülük
1. Taraflar, veri işleme hizmetleri hükümlerinin feshedilmesi durumunda veri içe aktaranın ve veri işleyicisinin veri dışa aktaranın tercihine göre aktarılan tüm kişisel verileri ve kopyalarını veri dışa aktarana iade edecek veya kişisel verilerin tüm kopyalarını imha edecek ve veri dışa aktarana bu durumu belgeleyecektir, veri içe aktaran için geçerli olan yasaların, aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya imha etmesini engellediği durumlar dikkate alınacaktır. Bu durumda veri içe aktaran, aktarılan kişisel verilerin gizliliğinin korunacağını garanti edeceğini ve aktarılan kişisel verileri aktif olarak işlemeyi durduracağını garanti eder.
2. Veri içe aktaran ve alt işleyici, veri dışa aktaranın ve/veya düzenleyici otoritenin isteği üzerine veri işleme tesislerini 1. paragrafta belirtilen önlemlerin denetlenmesi için açacağını garanti eder.