Ana Sayfaya Geri Dön / Genel şartlar ve koşullar/ Veri işleme eki

Veri işleme eki

 

Bu Ek, Sözleşmenin ayrılmaz bir parçasını oluşturur ve aşağıdakiler tarafından imzalanır:

 

  1. (i) Müşteri (" Veri Dışa Aktarıcı ")
  2. (ii) POSTCODEZIP (" Veri İçe Aktarıcı ")

 

Her biri birer " Taraf " ve genel olarak " Taraflar " dır .

 

önsöz

Veri Aktarıcının profesyonel yazılım hizmetleri, bilgisayar ve ilgili hizmetleri sağladığı NEREDE;

Sözleşme uyarınca, Veri İçe Aktarıcının, Sözleşmede belirtilen hizmetleri (" Hizmetler ") Veri Dışa Aktarıcıya sağlamayı kabul ettiği ;

NEREDE, Veri İçe Aktarıcı, Veri Aktarıcının bilgilerine veya Veri Aktarıcı ile (potansiyel) bir ilişkisi olan diğer kişilerin bilgilerine erişim sağladığında veya bundan yararlandığında, bu tür bilgiler Yönetmelik anlamında kişisel veri olarak nitelendirilebilir. (AB) 27 Nisan 2016 tarihli ve 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi'nin (EU) 2016/679'u, kişisel verilerin işlenmesine ve bu tür verilerin serbest dolaşımına ilişkin olarak bireylerin korunmasına (" GDPR ") ve diğer geçerli veri koruma yasalarına ilişkindir .

Bu Ek'in, Tarafların geçerli veri koruma yasasına uymasını sağlamak için Veri Aktarıcısının yetkili veri işleme aracısı sıfatıyla Veri İthalatçısı tarafından bu tür kişisel verilerin toplanması, işlenmesi ve kullanılması için geçerli olan hüküm ve koşulları içerdiği YERLERDE .

 

DOLAYISIYLA ve Tarafların ilişkilerini hukuka uygun olarak sürdürmelerini sağlamak için, Taraflar bu Ek'i aşağıdaki şekilde sonuçlandırmışlardır:

Bölüm 1

 

1. Belgenin yapısı ve tanımlar

1.1 Yapı

Bu Ek, aşağıdaki gibi farklı bölümlerden oluşmaktadır:

 

Bölüm 1:

örneğin bu Ek'te kullanılan tanımlar, yerel yasalara uygunluk, zamanlama ve fesih ile ilgili genel hükümler içerir.

Bölüm 2:

değiştirilmemiş Standart Sözleşme Maddeleri belgesinin gövdesini içerir

Bölüm 2'nin Ek 1.1'i:

Bu Sözleşme kapsamında Veri İthalatçısı tarafından Veri Dışa Aktarıcıya yetkili veri işleme aracısı olarak sağlanan işleme işlemlerinin ayrıntılarını içerir (işleme, işlemenin niteliği ve amacı, kişisel verilerin türü ve veri öznelerinin kategorileri dahil). ek

Bölüm 2'nin Ek 2'si:

Bölüm 2 Ek 1.1'de açıklanan tüm işleme faaliyetleriyle bağlantılı olarak uygulanan Veri İçe Aktarıcının teknik ve kurumsal güvenlik önlemlerinin bir tanımını içerir

Bölüm 3:

bu Ek'e tabi olacak Tarafların imzalarını içerir ve her Veri İçe Aktarıcıyı tanımlar.

 

1.2 Terminoloji ve tanımlar

Bu Ek'in amaçları doğrultusunda, GDPR tarafından kullanılan terminoloji ve tanımlar geçerlidir (Tanımlanmış terimlerin büyük harfle yazılmadığı Bölüm 2'deki Standart Sözleşme Maddesi belgesinin gövdesinde). 

 

"Üye Devlet"

Avrupa Birliği veya Avrupa Ekonomik Alanına ait bir ülke anlamına gelir

"Özel (kişisel) veri kategorileri"

Irk veya etnik kökeni, siyasi görüşleri, dini veya felsefi inançları veya sendika üyeliğini ortaya çıkaran kişisel verileri ve genetik verileri, bir kişinin benzersiz şekilde tanımlanması amacıyla işlenmişse biyometrik verileri, sağlıkla ilgili verileri, kişinin cinsiyetine ilişkin verileri ifade eder. hayat veya cinsel yönelim

"Standart Sözleşme Maddeleri"

16 Şubat 2010 tarihli Komisyon Uygulama Kararı (EU) 2016/2297 ile değiştirilen, 5 Şubat 2010 tarihli 2010/87/EU sayılı Komisyon Kararı uyarınca üçüncü ülkelerde yerleşik işleme acentelerinin kişisel verilerinin aktarılmasına ilişkin Standart Sözleşme Maddeleri anlamına gelir. Aralık 2016

"Veri işlemci"

AB/AEA içinde veya dışında bulunan, Veri İçe Aktarıcıdan veya Veri İçe Aktarıcının diğer herhangi bir işlemcisinden, münhasıran Veri Dışa Aktarıcı tarafından gerçekleştirilecek işleme faaliyetleri amacıyla kişisel verileri almayı kabul eden herhangi bir işleme aracı anlamına gelir. Veri Aktarıcısının talimatlarına, bu Ek'in şartlarına ve Veri Aktarıcı ile yapılan Sözleşmeye uygun olarak aktarım

 

 

2. Veri Dışa Aktaranın Yükümlülükleri

2.1 Veri Dışa Aktarıcı, GDPR kapsamındaki tüm geçerli yükümlülüklere ve Veri Dışa Aktarıcı için geçerli olan diğer tüm geçerli veri koruma yasalarına uygunluğu sağlama ve GDPR Madde 5 (2)'nin gerektirdiği şekilde uyumluluğu gösterme yükümlülüğüne sahiptir. Veri Dışa Aktarıcı, Veri İçe Aktarıcı'nın GDPR Madde 6 (a) uyarınca veri sahiplerinin önceden onayını aldığını ve GDPR'nin 13 ve 14. Maddeleri uyarınca veri sahiplerini bilgilendirme yükümlülüğünü yerine getirdiğini garanti eder.

2.2 Veri Dışa Aktarıcı, Veri İçe Aktarıcının bu Ek kapsamındaki Hizmetlerle ilgili 30 (1) Maddesi uyarınca işleme faaliyetlerinin ilgili dosyalarını, Veri İçe Aktarıcının aşağıdaki yükümlülüklere uyması için gerekli olduğu ölçüde, Veri İçe Aktarıcıya sağlamalıdır. GDPR Madde 30 (2).

2.3 Veriye İhracatçı ilgili veri koruma yasa gereği ölçüde bir veri koruma görevlisi veya temsilci tayin edilmelidir. Veri ihracatçı Veri aktarımı için, varsa, veri koruma maddesi ya da temsilcisinin iletişim ayrıntıları yükümlüdür.

2.4. Veri Dışa Aktarıcı, bu Ek'i kabul ederek işlemenin tamamlanmasından önce, Veri İçe Aktarıcı'nın Ek 2 - Bölüm 2'de belirtilen teknik ve kurumsal güvenlik önlemlerinin veri sahibinin haklarını korumak için uygun ve yeterli olduğunu onaylar. ve Veri İçe Aktarıcı'nın bu açıdan yeterli koruma sağladığını onaylar.

 

3. Yerel yasalara uygunluk

GDPR Maddesini 28 Aşağıdaki işleme ajanlarının uygulanması gereksinimlerini karşılamak amacıyla, aşağıdaki değişiklikler uygulanabilir:

 

3.1 Talimatlar

  1. (i) Veri Dışa Aktarıcı, Veri İçe Aktarıcıya kişisel verileri yalnızca Veri Dışa Aktarıcı adına işlemesi talimatını verir. Veri İhracatçı talimatları bu Ek'te ve Sözleşmede sağlanmaktadır. Veri İhracatçı tüm talimatları yürürlükteki veri koruma yasalarına uygun Veri İthalatçı verildi sağlamak için yükümlüdür. Veri İçe Aktarıcı, kişisel verileri, Avrupa Birliği veya Üye Devletin kanunları aksini gerektirmedikçe, yalnızca Veri Dışa Aktarıcı tarafından sağlanan talimatlara uygun olarak işlemelidir (ikinci durumda, Kısım 1 Madde 3.2 (iv) (c) geçerlidir) .
  2. (ii) Bu Ekte veya Sözleşmede yer alan talimatların ötesine geçen diğer tüm talimatlar, bu Ek ve Sözleşmenin konusuna dahil edilmelidir. Bu ek talimatın uygulanması, Veri İçe Aktarıcı için maliyet içeriyorsa, Veri İçe Aktarıcı, bu tür maliyetler hakkında Veri Dışa Aktarıcıyı bilgilendirecek ve talimatı uygulamadan önce bir açıklama sunacaktır. Yalnızca Veri Aktarıcı, talimatın uygulanması için bu maliyetlerin kabul edildiğini onayladıktan sonra, Veri Aktarıcı bu ek talimatı uygulayacaktır. Aciliyet veya diğer özel durumlar başka bir form (örneğin sözlü, elektronik) gerektirmedikçe, Veri Aktarıcısı yazılı olarak ek talimatlar vermelidir. Yazılı olmayan bir biçimdeki talimatlar, Veri Aktarıcı tarafından yazılı olarak ve gecikmeksizin onaylanmalıdır.
  3. 1. Veri Aktarıcı, kişisel verilerin düzeltilmesini, silinmesini veya kısıtlanmasını kendi başına gerçekleştiremezse, talimatlar ayrıca Kısım 1 Madde 3.3'te belirtilen kişisel verilerin düzeltilmesi, silinmesi ve/veya kısıtlanması ile ilgili olabilir.
  4. 2. Veri İçe Aktarıcı, kendi görüşüne göre, bir Talimatın GDPR'yi veya Avrupa Birliği'nin veya bir Üye Devletin diğer geçerli veri koruma hükümlerini (" İtiraz Edilen Talimat ") ihlal etmesi durumunda Veri Aktarıcıyı derhal bilgilendirmelidir") Veri İçe Aktarıcı, bir Talimatın GDPR'yi veya Avrupa Birliği'nin veya bir Üye Devletin diğer geçerli veri koruma hükümlerini ihlal ettiğine inanırsa, Veri İçe Aktarıcı, İhtilaflı Talimatı izlemek zorunda değildir. Veri İçe Aktarıcıdan bilgi alır ve İtiraz Edilen Talimat için sorumluluğunu kabul ederse, İtiraz Edilen Talimat (i) teknik ve organizasyonel önlemlerin uygulanması, (ii) Verilerin hakları ile ilgili olmadığı sürece, Veri İçe Aktarıcı İtiraz Edilen Talimatı uygulayacaktır. Konular veya (iii) Veri işleyicilerin katılımı (i) ila (iii) arasındaki durumlarda, Veri İçe Aktarıcı, itiraz edilen Talimatın bu makam tarafından yasal olarak değerlendirilmesini sağlamak için yetkili bir denetim makamıyla iletişime geçebilir.Denetim makamı, itiraz edilen Talimatın yasal olduğunu beyan ederse, Veri İçe Aktarıcı, itiraz edilen Talimatı uygulayacaktır. Bölüm 1 Madde 3.1 (ii) geçerli kalacaktır.

 

3.2 Veri İçe Aktaranın Yükümlülükleri

  1. (i) Veri İçe Aktarıcı, Veri İçe Aktarıcı tarafından Veri Dışa Aktarıcı adına kişisel verileri işlemeye yetkili kişilerin, özellikle de Veri İçe Aktarıcının çalışanları ve herhangi bir Alt Yüklenicinin çalışanlarının, gizliliği gözetmeyi taahhüt etmelerini veya bunlara tabi olmalarını sağlamalıdır. uygun bir yasal gizlilik yükümlülüğü ve kişisel verilere erişimi olan bu tür kişilerin Veri İhracatçısının talimatlarına uygun olarak bunları işlemesi.
  2. (ii) Veri İçe Aktarıcı, kişisel verileri Veri Dışa Aktarıcı adına işlemeden önce, Bölüm 2 Ek 2'de belirtilen teknik ve kurumsal güvenlik önlemlerini uygulamalıdır. Veri İçe Aktarıcı, Ek 2 Kısım 2'de belirtilenlerden daha az koruma sağlamıyorsa, teknik ve kurumsal güvenlik önlemlerini zaman zaman değiştirebilir.
  3. (iii) Veri İçe Aktarıcı, Veri Dışa Aktarıcının talebi üzerine, Veri İçe Aktaranın bu Ek kapsamındaki yükümlülüklerine uygunluğu gösteren bilgileri Veri Dışa Aktarıcıya sağlayacaktır. Taraflar, bu bilgi yükümlülüğünün Veri İhracatçısına bir denetim raporu (ilkelerin güvenliğini, sistem kullanılabilirliğini ve gizliliğini kapsayan) ("Denetim Raporu") sağlanmasıyla yerine getirildiğini kabul ederler. Ek denetim faaliyetlerinin yasal olarak gerekli olması halinde, Veri Dışa Aktarıcı, Veri Dışa Aktarıcı veya Veri Dışa Aktarıcı tarafından atanan başka bir denetçi tarafından, bu tür bir denetçi tarafından Veri İçe Aktarıcı ile Veri İçe Aktarıcı'nın bir gizlilik sözleşmesi akdedilmesine tabi olarak, denetimlerin yapılmasını talep edebilir. makul memnuniyet ("Denetim"). Bu Denetim aşağıdaki koşullara tabidir:(i) Veri İçe Aktarıcının önceden resmi yazılı kabulü; ve (ii) Veri İhracatçı Veri İhracatçı için Yerinde Denetim ve Veri İthalatçı ile ilgili tüm masrafları karşılayacaktır. Veri İhracatçı sonuçları ve Yerinde Denetim ( "Yerinde Denetim Raporu") gözlemlerini özetleyen bir denetim raporu oluşturmanız gerekir. Yerinde Denetim Raporları ve Denetim Raporları, Veri İthalatçısının gizli bilgileridir ve geçerli veri koruma kanunu gerektirmedikçe veya Veri İçe Aktaranın onayına uygun olarak üçüncü taraflara ifşa edilmemelidir.Yerinde Denetim Raporları ve Denetim Raporları, Veri İthalatçısının gizli bilgileridir ve geçerli veri koruma kanunu gerektirmedikçe veya Veri İçe Aktaranın onayına uygun olarak üçüncü taraflara ifşa edilmemelidir.Yerinde Denetim Raporları ve Denetim Raporları, Veri İthalatçısının gizli bilgileridir ve geçerli veri koruma kanunu gerektirmedikçe veya Veri İçe Aktaranın onayına uygun olarak üçüncü taraflara ifşa edilmemelidir.
  4. (iv) Veri İçe Aktaranın, aşağıdakileri gecikmeden Veri Dışa Aktarıcıya bildirme yükümlülüğü vardır:
    1. a. Aksi böyle bir kolluk soruşturmanın gizliliğini korumak için ceza hukukuna göre bir yasaklama olarak, yasaklanmadığı sürece, bir kolluk yetkilisi tarafından kişisel verilerinin ifşası yasal olarak bağlayıcı herhangi talebiyle ilgili
    2. B. Doğrudan bir veri sahibinden alınan herhangi bir şikayet ve talep ile ilgili olarak (örn. erişim, düzeltme, silme, işlemenin kısıtlanması, veri taşınabilirliği, veri işlemeye itiraz, otomatik karar verme ile ilgili), Veri İçe Aktarıcı yetkilendirilmediği sürece, bu talebe yanıt vermeksizin böyle yap
    3. C. Veri İthalatçısı veya Veri işleyici, Avrupa Birliği veya Veri İthalatçısının veya Veri işleyicinin tabi olduğu Üye Devletin kanunları uyarınca, bu tür bir işlemi gerçekleştirmeden önce, Kişisel verileri Veri Dışa Aktaranın talimatları dışında işlemekle yükümlüyse, Avrupa Birliği veya Üye Devletin yasaları hayati kamu yararı gerekçesiyle bu tür işlemeyi yasaklamadığı sürece talimatlar; bu durumda Veri İhracatçısına yapılan bildirim, Avrupa Birliği veya Üye Devletin bu kanunu kapsamındaki yasal gerekliliği belirtecektir; veya
    4. NS. Veri İçe Aktarıcı, yalnızca kendisi veya alt yüklenicisi nedeniyle, Veri Dışa Aktarıcının işbu sözleşme kapsamındaki kişisel verilerini etkileyecek bir kişisel veri ihlali gerçekleştirirse, bu durumda Veri İçe Aktarıcı, Veri Dışa Aktarıcıya yükümlülüğünde yardımcı olacaktır, yürürlükteki veri koruma kanunu karşısında, GDPR'nin 33 (3) Maddesi uyarınca emrindeki bilgileri sağlayarak veri sahiplerini ve uygun olduğunda denetim makamlarını bilgilendirmek.
    5. (v) Veri Dışa Aktaranın talebi üzerine, Veri İçe Aktarıcı, Veri Dışa Aktarıcıya GDPR'nin 35. Veri ihracatçı gerekli ve bilgi sağlayan, bu Ek'te altında Veri ihracatçı Veri İthalatçı tarafından sağlanan hizmetlerle ilgili GDPR 36. maddesi gereği. Veri İçe Aktarıcı, yalnızca Veri Dışa Aktarıcı yükümlülüğünü başka yollarla yerine getiremezse bu yardımı sağlamakla yükümlü olacaktır. Veri İçe Aktarıcı, bu tür bir yardımın maliyetini Veri Dışa Aktarıcıya bildirecektir. Yakında Veri ihracatçı olarak bu maliyet ayı olduğunu onaylamıştır gibi, Veri Aktarıcı bu yardımı ile Veri Aktarıcı'yı sağlayacaktır.
    6. (vi) Hizmetlerin sağlanmasının sonunda, Veri İhracatçısı, bu Ek kapsamında Veri İthalatçısı tarafından işlenen kişisel verilerin hizmetlerden sonraki bir ay içinde iadesini talep edebilir. Üye Devlet veya Avrupa Birliği mevzuatı, Veri İthalatçısının bu tür kişisel verileri saklamasını veya muhafaza etmesini gerektirmediği sürece, Veri İçe Aktarıcı, bu tür kişisel veya kişisel olmayan tüm verileri, kendilerine iade edilmiş olsun veya olmasın bir aylık sürenin sonunda silecektir. Veri Aktarıcının isteği üzerine veya isteği üzerine.

 

3.3 İlgili kişilerin hakları

  1.  
    1. (i) Veri Dışa Aktarıcı, veri sahipleri tarafından yapılan talepleri yönetir ve bunlara yanıt verir. Veri Aktarıcı, veri sahiplerine doğrudan yanıt vermek zorunda değildir.
    2. (ii) Veri Dışa Aktarıcı, Veri Sahibinin taleplerini işlemek ve bunlara yanıt vermek için Veri İçe Aktarıcı'nın yardımına ihtiyaç duyarsa, Veri Dışa Aktarıcı, Bölüm 1 Madde 3.1 (ii) uyarınca ek bir talimat yayınlayacaktır. Veri İçe Aktarıcı, Veri Dışa Aktarıcıya yardımcı olacaktır. GDPR'nin III. Bölümünde belirtilen veri sahiplerinin haklarının kullanılmasına yönelik taleplere yanıt vermek için aşağıdaki uygun ve teknik organizasyonel önlemlerle:
    3. a. Bilgi talepleriyle ilgili olarak, Veri İçe Aktarıcı, Veri Dışa Aktarıcı'nın kendi başına bulamaması durumunda, PGRD'nin 13 ve 14. Maddeleri tarafından gerekli görülen bilgileri yalnızca emrinde bulunabilecek bilgileri sağlayacaktır.
    4. B. Erişim talepleri ile ilgili olarak (GDPR'nin 15. Maddesi), Veri İçe Aktarıcı, yalnızca söz konusu erişim talebi için bir veri konusuna sağlanması gereken bilgileri Veri Aktarıcıya sağlayacaktır. ikincisi onu tek başına bulamaz.
    5. C. Düzeltme talepleri (GDPR Madde 16), silme talepleri (GDPR Madde 17), işleme taleplerinin kısıtlanması (GDPR Madde 18) veya taşınabilirlik talepleri (GDPR Madde 20) ve yalnızca Veri Dışa Aktarıcı, kişisel verileri kendisi düzeltemez veya silemez, sınırlandıramaz veya başka bir üçüncü tarafa iletemezse, Veri İçe Aktarıcı, Veri Dışa Aktarıcıya ilgili kişisel verileri düzeltme veya silme, sınırlama veya diğer üçüncü tarafa iletme imkanı sunacaktır, veya bu mümkün değilse, ilgili kişisel verilerin düzeltilmesi veya silinmesi, sınırlandırılması veya diğer üçüncü tarafa iletilmesi için yardım sağlayacaktır.
    6. NS. Düzeltme, silme veya işlemenin kısıtlanmasıyla ilgili bildirimle ilgili olarak (GDPR'nin 19. Maddesi), Veri Aktarıcı, Veri Aktarıcı'nın talep etmesi ve Veri Aktarıcı'nın talep etmesi halinde Veri Aktarıcı tarafından işlenen tüm kişisel verilerin alıcılarını bilgilendirerek Veri Aktarıcıya yardımcı olacaktır. Veri Aktarıcı durumu kendi başına çözemezse.
    7. e. Bir veri öznesi tarafından kullanılan itiraz hakkı ile ilgili olarak (GDPR'nin 21 ve 22. Maddeleri) Veri Aktarıcı, itirazın meşru olup olmadığını ve bununla nasıl başa çıkılacağını belirleyecektir.
    8. (iii) Veri İçe Aktarıcı'nın yardım yükümlülükleri, altyapısında işlenen kişisel verilerle sınırlıdır (örneğin, Veri İçe Aktarıcının sahip olduğu veya sağladığı veritabanları, sistemler, uygulamalar).
    9. (iv) Veri Dışa Aktarıcı, bir Veri Sahibinin bu Bölüm 1'in 3.1. Maddesinde belirtilen Veri Sahiplerinin haklarını kullanıp kullanamayacağını belirleyecek ve Veri İçe Aktaran'a Madde 3.3 (ii)'de belirtilen yardımın kapsamını bildirecektir, ( iii) Bölüm 1 gereklidir.
    10. (v) Veri Dışa Aktarıcı, Bölüm 1'in 3.3 (ii), (iii) Alt Maddesi kapsamında Veri İçe Aktarıcı tarafından sağlanan yardımın ötesine geçen veri konularının haklarını karşılamak için ek veya değiştirilmiş teknik ve organizasyonel önlemler talep ederse, Veriler İthalatçı, bu tür ek veya değiştirilmiş teknik ve organizasyonel önlemlerin uygulanmasının maliyetlerini Veri Dışa Aktarıcıya bildirecektir. Veri Aktarıcı, bu maliyetleri karşılayabileceğini teyit eder etmez, Veri Aktarıcı, Veri Aktarıcının Veri Sahiplerinin taleplerine yanıt vermesine yardımcı olmak için bu tür ek veya değiştirilmiş teknik ve organizasyonel önlemleri uygulayacaktır.
    11. (vi) Bölüm 1'in 3.3 (v) Maddesinin kapsamını sınırlamadan, Veri Dışa Aktarıcı, Veri Sahiplerinin taleplerine yanıt verirken yaptığı makul harcamaları Veri İçe Aktarıcıya geri ödemekle yükümlüdür.

 

3.4 Alt-işleme

  1.  
    1. (i) Veri Dışa Aktarıcı, Veri İçe Aktarıcının bu Ek kapsamındaki hizmetlerin sağlanması için alt yüklenicileri kullanmasına izin verir. Veri İçe Aktarıcı, bu tür Veri işlemcisini/işlemcilerini dikkatli bir şekilde seçecektir. Veri Aktarıcı, Bölüm 2'nin sonunda Ek 1.1'de listelenen Veri işlemcisini/işlemcilerini onaylar.
    2. (ii) Veri İçe Aktarıcı, bu Ek kapsamındaki yükümlülüklerini, alt sözleşmeli hizmetler için geçerli olduğu ölçüde Veri işlemcisine/işlemcilerine devredecektir.
    3. (iii) Veri İçe Aktarıcı, kendi takdirine bağlı olarak başka bir uygun ve güvenilir Veri işlemcisini görevden alabilir, değiştirebilir veya atayabilir. Veri Dışa Aktarıcı tarafından yazılı olarak talep edilmesi halinde, Veri İçe Aktarıcı aşağıda belirtilen prosedürü izlemelidir:
  1.  
    1. a. Veri İçe Aktarıcı, Bölüm 1 Madde 3.4 (i) kapsamında atıfta bulunulan Veri işlemcileri listesinde herhangi bir değişiklik yapmadan önce Veri Dışa Aktarıcıyı bilgilendirecektir. Veri Dışa Aktarıcı Madde 3.4 uyarınca itiraz etmezse. (b) Bölüm 1'in Veri İçe Aktarıcıdan bildirim alınmasından otuz gün sonra, ek Veri işleyenler kabul edilmiş sayılacaktır.
    2. B. Veri Dışa Aktarıcı'nın ek bir Veri işlemcisine itiraz etmek için meşru bir nedeni varsa, Veri İçe Aktarıcı'nın bildirimini aldıktan sonraki otuz gün içinde ve Veri İçe Aktarıcı'nın hizmeti devreye alınmadan önce Veri İçe Aktarıcıya önceden yazılı bildirimde bulunacaktır. Veri Dışa Aktarıcı ek bir Veri işlemcisinin kullanımına itiraz ederse, Veri İçe Aktarıcı aşağıdaki seçeneklerden (kendi takdirine bağlı olarak seçilir) itirazı ortadan kaldırabilir: (A) Veri İçe Aktarıcı, aşağıdakilerle ilgili olarak ek bir işlemci kullanma planlarını iptal edecektir. Veri Aktarıcısının kişisel verileri; (B) Veri İçe Aktarıcı, itirazında (itirazı iptal ederek) Veri Dışa Aktarıcı tarafından talep edilen düzeltici önlemleri alacak ve Veri Dışa Aktarıcı'nın kişisel verileriyle ilgili olarak ek işlemciyi kullanacaktır;(C) Veri İçe Aktarıcı, Veri Dışa Aktarıcı'nın kişisel verilerinin Veri Dışa Aktarıcı'nın sonraki işlemcisinin kullanımını içerecek olan hizmetin belirli bir yönünü (geçici veya kalıcı olarak) sağlamayı durdurabilir veya Veri Dışa Aktarıcı kullanmamayı kabul edebilir.
  2.  
    1. (iv) Veri işleyenin, Avrupa Komisyonu kararının ardından yeterli düzeyde veri koruması sunduğu kabul edilmeyen bir ülkede AB-AEA dışında yerleşik olması durumunda, Veri İçe Aktarıcı, yeterli bir düzeye uymak için gerekli önlemleri alacaktır. GDPR uyarınca veri koruma (bu tür önlemler arasında - diğerlerinin yanı sıra ve - AB Modeli maddelerine dayalı veri işleme sözleşmelerinin kullanımı, AB-ABD Koruma Kalkanı çerçevesinde kendi kendini onaylayan Veri işlemcilerine aktarım yer alabilir) veya benzer bir program).

 

3.5 Süre sonu

Bu Ek'in sona erme tarihi, ilgili Sözleşmenin sona erme tarihi ile aynıdır. Bu Ek'te aksi belirtilmedikçe, fesih ile ilgili hak ve yükümlülükler Sözleşmede yer alanlarla aynı olacaktır.

 

4. Sorumluluğun Sınırlandırılması

4.1 Taraflardan her biri, bu Ek ve geçerli veri koruma mevzuatı kapsamındaki yükümlülüklerini yerine getirir.

4.2 Bu Ek veya geçerli veri koruma mevzuatı kapsamındaki yükümlülüklerin ihlaliyle ilgili herhangi bir sorumluluk, bu Ek'te aksi belirtilmedikçe, Sözleşmede belirtilen veya Sözleşmeye uygulanabilir yükümlülük hükümlerine tabi olacak ve bu hükümlere tabi olacaktır. Sorumluluk, sorumluluk sınırlarının hesaplanması veya diğer sorumluluk sınırlamalarının uygulanmasının belirlenmesi için Sözleşmede belirtilen veya Sözleşme için geçerli olan yükümlülük hükümlerine tabiyse, bu Ek'ten doğan herhangi bir sorumluluk Sözleşme'den doğmuş kabul edilecektir.

 

5. Genel hükümler

5.1 Bu Ek'in 1. ve 2. Bölümleri arasında herhangi bir tutarsızlık veya tutarsızlık varsa, 2. Bölüm geçerli olacaktır. Spesifik olarak, böyle bir durumda bile, Bölüm 2'yi (yani, Standart maddelerin hükümlerini) çelişmeden basitçe aşan Bölüm 1 geçerli kalacaktır.

5.2 Bu Ek'in hükümleri ile tarafları bağlayan diğer sözleşmelerin hükümleri arasında herhangi bir uyuşmazlık olması durumunda, tarafların veri koruma yükümlülükleri açısından bu Ek geçerli olacaktır. Diğer sözleşmelerdeki maddelerin tarafların veri koruma yükümlülükleriyle ilgili olup olmadığı konusunda şüphe olması durumunda, bu Ek geçerli olacaktır.

5.3 Bu Ek'in herhangi bir hükmü geçersiz veya uygulanamaz ise, bu Ek'in geri kalanı tam olarak yürürlükte ve yürürlükte kalacaktır. Geçersiz veya uygulanamaz hüküm, (i) tarafların niyetleri mümkün olduğunca korunarak geçerliliğini ve uygulanabilirliğini sağlamak için değiştirilecek veya - bu mümkün değilse - (ii) geçersiz veya uygulanamaz kısmın hüküm sürdüğü gibi yorumlanacaktır. hiçbir zaman sözleşmenin bir parçası olmadı. Bu Ek'te bir eksiklik olması durumunda da yukarıdakiler geçerli olacaktır.

5.5 Taraflar, gerekli olduğu ölçüde, Birlik veya AB yetkili makamları tarafından verilen yorumlara, direktiflere veya emirlere uymak için Bölüm 1, Madde 3 (Yerel hukuka uygunluk) veya Ek'in diğer bölümlerinde değişiklik talep edebilirler. Üye Devletler, ulusal uygulama hükümleri veya GDPR ile ilgili diğer yasal gelişmeler veya veri işlemeye dahil olan herhangi bir kuruluşa ve özellikle GDPR'deki Standart Sözleşme Maddelerinin kullanımına ilişkin diğer yetki devri koşulları. Standart Sözleşme Maddelerinin koşulları, Avrupa Komisyonu tarafından açıkça onaylanmadıkça (örneğin, yeni yeterli maddeler ve veri koruma standartları ile) değiştirilemez veya değiştirilemez.

5.6 Bu Ek'te " Maddeler "e yapılan herhangi bir atıf, aksi belirtilmedikçe, bu Ek'in tüm hükümlerine atıfta bulunduğu anlaşılacaktır.

5.7 Bölüm 2, Madde 9'daki hukuk seçimi, Sözleşmenin tamamı için geçerlidir.

 

6.  Taraflarca kişisel amaçlarla iletilen ve işlenen kişisel veriler (veri sorumlusundan veri sorumlusuna aktarım)

6.1 Taraflar, belirli kişisel verilerin Veri Dışa Aktarıcıdan Veri İçe Aktarıcı'ya aktarılacağını ve bunun tersinin yapılacağını ve bu tür verilerin her bir Taraf tarafından kendi amaçları için işlendiğini tam olarak bilirler. Bu tür kişisel veriler ile ilgili olarak, bu Ek'in diğer hükümlerini etkilemez (bu madde 6 hariç).

6.2 Veri Dışa Aktarıcı, Veri İthalatçısının personeli ile ilgili kişisel verileri, güvenlik olayları hakkındaki bilgiler veya Veri Dışa Aktarıcı tarafından veri Dışa Aktarıcı tarafından oluşturulan veya oluşturulan diğer belgeler veya dosyalar da dahil olmak üzere, Veri İçe Aktarıcıya aktarabilir. Veri İçe Aktarıcı. Veri İçe Aktarıcı, bu tür kişisel verileri, özellikle Veri İçe Aktarıcı'nın personeliyle olan profesyonel ilişkilerinde, kalite kontrol ve eğitim amacıyla veya iş amaçlarıyla kendi amaçları için işleyebilir.

6.3. Veri İçe Aktarıcı, Veri İçe Aktarıcının personelinin adı ve iletişim bilgileri de dahil olmak üzere kişisel verileri Veri Dışa Aktarıcıya aktarabilir. Veri İhracatçısı, bu tür kişisel verileri kendi amaçları için işleyebilir.

6.4 Her iki taraf, Bölüm 1'in 1. maddesi uyarınca diğer taraftan alınan bu tür kişisel verilerin toplanmasında, işlenmesinde ve kullanılmasında GDPR dahil olmak üzere geçerli tüm veri koruma yasalarına uyacaktır. 2. Kısım Ek 2'de belirtilen güvenlik önlemlerine benzer bir koruma düzeyi. Bu tür kişisel verilere herhangi bir erişim, bunları bilme ihtiyacıyla sınırlı olacaktır.

6.5 Taraflar, hedeflere ulaşıldıktan sonra bu tür kişisel verileri mümkün olan en kısa sürede silmelidir.

Bölüm 2

 

KOMİSYON KARARI

5 Şubat 2010'da

Avrupa Parlamentosu ve Konseyi'nin 95/46/EC Direktifi kapsamında üçüncü taraf ülkelerde kurulan veri işlemcilerine kişisel verilerin aktarılmasına ilişkin standart sözleşme maddeleri hakkında

 

 

 

1. madde

Tanımlar

Cümlelerin anlamı dahilinde:

a) 'kişisel veriler', 'özel veri kategorileri', 'işleme/işleme', 'denetleyici', 'işleyen', 'veri sahibi' ve 'denetleyici makam' 95/46/EC'deki ile aynı anlama gelecektir. Kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ile ilgili olarak bireylerin korunmasına ilişkin 24 Ekim 1995 tarihli Avrupa Parlamentosu ve Konseyi Yönergesi (1);

b) 'Veri Aktarıcı', kişisel verileri aktaran Veri denetleyicisidir;

c) 'Veri İçe Aktarıcı', aktarımdan sonra Veri Dışa Aktarıcı adına işlenmesi amaçlanan kişisel verileri, kendi talimatlarına uygun olarak ve bu maddelerin hükümleri uyarınca Veri Dışa Aktarıcı'dan almayı kabul eden ve Veri İşleyen Veri İşleyicisidir. 95/46/EC sayılı Direktifin 25(1) Maddesi anlamında yeterli koruma sağlayan üçüncü bir ülkenin mekanizmasına tabi olarak; (d) 'Veri işleyici', Veri İçe Aktarıcı tarafından veya Veri İçe Aktarıcının herhangi bir diğer Veri işleyicisi tarafından görevlendirilen ve Veri İçe Aktarıcıdan veya Veri İçe Aktarıcının diğer herhangi bir Veri işleyicisinden kişisel verileri yalnızca şu amaçlarla işleme faaliyetleri için almayı kabul eden Veri işleyici anlamına gelir. Veri Aktarıcının talimatlarına uygun olarak aktarımdan sonra Veri Aktarıcı adına gerçekleştirileceğini,bu Maddelerde belirtilen koşullar altında ve yazılı alt yüklenicilik veri işleme sözleşmesinin şartları altında;

e) "geçerli veri koruma kanunu", kişisel verilerin işlenmesine ilişkin mahremiyet hakkı da dahil olmak üzere, bireylerin temel hak ve özgürlüklerini koruyan ve Veri İhracatçısının yerleşik olduğu Üye Devletteki bir kontrolöre uygulanan mevzuat anlamına gelir;

f) "güvenlik ile ilgili teknik ve organizasyonel tedbirler" Kişisel verileri, özellikle veri işlemenin ağlar üzerinden iletimini içerdiği durumlarda, kazara veya yasa dışı imha veya kazara kayıp, değişiklik, yetkisiz ifşa veya erişime ve diğer tüm yasa dışı işleme biçimlerine karşı korumaya yönelik önlemler anlamına gelir.

2. madde

Transferin detayları

Uygun olduğunda özel kişisel veri kategorileri de dahil olmak üzere aktarımın ayrıntıları, bu maddelerin ayrılmaz bir parçasını oluşturan Ek 1'de belirtilmiştir.

3. madde

Üçüncü taraf lehtar maddesi

1. Veri sahibi, bu Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6 (1) ve (2)'yi Veri Aktarıcıya karşı uygulayabilir. ), Madde 7, Madde 8(2) ve Madde 9 ila 12, üçüncü taraf lehtar olarak

2. Veri sahibi, bu Madde 5 (a) ila (e) ve (g), Madde 6, Madde 7, Madde 8 (2) ve Madde 9 ila 12, Veri Aktarıcının fiziksel olarak sahip olduğu durumlarda Veri İçe Aktarıcıya karşı uygulayabilir. Tüm yasal yükümlülükleri, sözleşmeyle veya kanunun işleyişiyle, Veri Aktarıcısının hak ve yükümlülüklerinin bu nedenle kendisine geri döndüğü ve verilerin aleyhine olduğu halef kuruluşa devredilmediği sürece ortadan kayboldu veya hukuken varlığını sona erdirdi. özne bu nedenle söz konusu maddeleri uygulayabilir.

Veri sahibi bu Maddeyi, Madde 5 (a) ila (e) ve (g), Madde 6, Madde 7, Madde 8 (2) ve Madde 9 ila 12'yi Veri işleyene karşı uygulayabilir, ancak yalnızca Veri Aktarıcının tüm yasal yükümlülükleri, sözleşme veya kanun gereği, hakları ve Bu nedenle, Veri Dışa Aktarıcının yükümlülüklerine tabidir ve bu nedenle veri sahibinin bu tür hükümleri kime karşı uygulayabileceği. Veri işlemcisinin bu sorumluluğu, bu maddeler kapsamında kendi işleme faaliyetleriyle sınırlı olmalıdır.

4. Taraflar, eğer isterse ve ulusal hukuk izin veriyorsa, veri sahibinin bir dernek veya başka bir organ tarafından temsil edilmesine itiraz etmezler.

4. madde

Veri Aktarıcısının Yükümlülükleri

Veri Aktarıcı aşağıdakileri kabul ve garanti eder:

a) kişisel verilerin fiili aktarımı da dahil olmak üzere işleme, yürürlükteki veri koruma yasasının ilgili hükümlerine uygun olarak yürütülmüştür ve yürütülmeye devam edecektir (ve varsa, Üye Devletin yetkili makamlarına bildirilmiştir). Veri Aktarıcının dayandığı) ve bu Devletin ilgili hükümlerini ihlal etmediği;

b) Kişisel veri işleme hizmetlerinin süresi boyunca Veri İthalatçısına, yalnızca Veri İhracatçısı adına aktarılan kişisel verileri geçerli veri koruma kanunu ve bu maddelere uygun olarak işlemesi talimatını vermiş ve vereceklerini;

c) Veri İçe Aktarıcı, işbu sözleşmenin Ek 2'sinde belirtilen teknik ve kurumsal güvenlik önlemleriyle ilgili yeterli güvenceleri sağlayacaktır;

d) geçerli veri koruma yasasının gerekliliklerinin değerlendirilmesinden sonra, güvenlik önlemleri, özellikle işlemenin verilerin iletimini içerdiği durumlarda, kişisel verileri kazara veya yasa dışı imhaya veya kazara kaybolmaya, değiştirmeye, yetkisiz ifşaya veya erişime karşı korumak için yeterlidir. bir ağ üzerinden ve diğer tüm yasa dışı işleme biçimlerine karşı ve teknoloji düzeyi ve uygulama maliyeti dikkate alınarak, işlemenin temsil ettiği risklere ve korunacak verilerin niteliğine uygun bir güvenlik seviyesi sağlamak;

e) güvenlik önlemlerine uyumu sağlayacaklar;

f) Aktarımın özel veri kategorilerine ilişkin olması durumunda, veri sahibi, aktarımdan önce veya aktarımdan sonra mümkün olan en kısa sürede, verilerinin sunulmadığı üçüncü bir ülkeye aktarılabileceği konusunda bilgilendirilmiş veya bilgilendirilecektir. 95/46/EC Direktifi anlamında yeterli bir koruma seviyesi;

g) Veri İçe Aktarıcıdan veya herhangi bir Veri işleyiciden Madde 5 (b) ve 8 (3) uyarınca alınan herhangi bir bildirimi, aktarmaya devam etmeye veya askıya alma işlemini kaldırmaya karar vermesi halinde veri koruma denetim makamına ileteceklerdir;

h) talep etmeleri halinde, Ek 2 hariç olmak üzere bu Maddelerin bir kopyasını ve güvenlik önlemlerinin özet bir tanımını ve bu Maddeler uyarınca akdedilen herhangi bir başka alt yüklenicilik sözleşmesinin bir kopyasını talep etmeleri halinde, veri sahiplerine sunacaklardır. Maddeler veya sözleşme ticari bilgiler içerir, bu durumda bu bilgileri geri çekebilir;

i) veri işleme sürecinin taşerona verilmesi durumunda, işleme faaliyeti, kişisel verilerin ve veri sahibinin haklarının bu Maddeler kapsamında Veri İthalatçısı ile en az aynı düzeyde korunmasını sağlayan bir Veri işleyen tarafından 11. Maddeye uygun olarak gerçekleştirilir. ; ve

j) Madde 4 (a) ila (i)'ye uygunluğu sağlayacaktır.

5. madde

Veri İçe Aktaranın Yükümlülükleri

Veri İçe Aktarıcı aşağıdakileri kabul eder ve garanti eder:

a) Kişisel verileri yalnızca Veri Dışa Aktaran adına ve Veri Dışa Aktarıcı'nın talimatları ve bu maddeler uyarınca işleyeceklerini; herhangi bir nedenle uyum sağlayamazsa, mümkün olan en kısa sürede Veri Dışa Aktarıcı'yı bilgilendirmeyi kabul ederler, bu durumda Veri Dışa Aktarıcı veri aktarımını askıya alabilir ve/veya sözleşmeyi feshedebilir;

b) Kendileri için geçerli olan yasanın, Veri İhracatçısı tarafından verilen talimatları ve sözleşmeden doğan yükümlülüklerini yerine getirmekten alıkoyduğuna inanmak için hiçbir sebeplerinin olmaması ve söz konusu yasanın önemli bir olumsuzluğa yol açabilecek bir değişikliğe tabi olması halinde, Maddeler kapsamındaki garantiler ve yükümlülükler üzerinde etkisi olması durumunda, değişikliğin farkına vardıktan sonra gecikmeden Veri Dışa Aktarıcı'ya bildirimde bulunacaktır, bu durumda Veri Dışa Aktarıcı veri aktarımını askıya alabilir ve/veya sözleşmeyi feshedebilir; (c) aktarılan kişisel verileri işlemeden önce Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uygulamış olmaları;

d) Veri Aktarıcıya gecikmeden bildirimde bulunacaklardır:

i) aksi belirtilmedikçe, bir polis soruşturmasının gizliliğini korumayı amaçlayan bir cezai yasak gibi, bir kanun uygulayıcı makamdan kişisel verilerin ifşasına yönelik herhangi bir bağlayıcı talep;

ii) tesadüfi veya yetkisiz erişim; ve

iii) Yetkilendirilmediği sürece, cevap verilmeksizin ilgili kişilerden doğrudan alınan herhangi bir talep; yöneticiler

e) Aktarılan kişisel verilerin işlenmesiyle ilgili olarak Veri İhracatçısından gelen tüm soruları derhal ve düzgün bir şekilde ele alacaklar ve aktarılan verilerin işlenmesiyle ilgili olarak denetim makamının görüşüne göre hareket edecekler;

f) Veri İhracatçının talebi üzerine, bu fıkralar kapsamındaki işleme faaliyetlerinin, Veri İhracatçısı veya gerekli mesleki niteliklere sahip bağımsız üyelerden oluşan bir denetim organı tarafından gerçekleştirilecek denetimine tabi tutulacağını, bir gizlilik yükümlülüğüne tabi olarak ve uygun olduğu durumlarda, denetim makamının mutabakatı ile Veri Dışa Aktarıcı tarafından seçilir;

g) Veri sahibinin talep etmesi halinde, bu Maddelerin veya veri işleme sözleşmesinin mevcut herhangi bir alt sözleşmesinin bir kopyasını, Maddeler veya sözleşme ticari bilgiler içermedikçe, veri sahibinin kullanımına sunacaklardır, bu durumda bunları kaldırabilecektir. veri sahibinin Veri Dışa Aktarıcıdan bir kopyasını alamadığı durumlarda, güvenlik önlemlerinin özet bir açıklaması ile değiştirilecek olan Ek 2 haricindeki bilgiler;

h) Gizli veri işlemenin daha fazla alt yükleniciye verilmesi durumunda, Veri Aktarıcıyı önceden bilgilendirmesini ve Veri Aktarıcısının yazılı onayını almasını sağlayacaktır;

i) Veri işlemcisi tarafından sağlanan işleme hizmetleri, 11. Maddeye uygun olacaktır;

j) bu Maddeler uyarınca girdiği veri işleme sözleşmesinin herhangi bir alt sözleşmesinin bir kopyasını derhal Veri İhracatçısına göndereceklerdir.

6. madde

Sorumluluk

1. Taraflar, Madde 3 veya Madde 11'de atıfta bulunulan yükümlülüklerin bir taraf veya bir Veri işleyen tarafından ihlali nedeniyle zarara uğrayan herhangi bir veri sahibinin maruz kaldığı zarar için Veri Dışa Aktarıcıdan tazminat alabileceğini kabul eder.

2. Bir veri sahibinin, Veri İçe Aktaran kişinin veya Veri işleyicisinin Madde 3 veya Madde 11 kapsamındaki yükümlülüklerinden herhangi birine uymaması nedeniyle Veri Dışa Aktarıcıya karşı 1. paragrafta atıfta bulunulan tazminat davası açmasının engellenmesi halinde, Veriler Veri Aktarıcının fiziksel olarak ortadan kaybolması, hukuken varlığının sona ermesi veya iflas etmesi durumunda, Veri Aktarıcının tüm yasal yükümlülükleri sözleşme ile devredilmediği sürece, Veri Aktarıcı, veri sahibinin Veri Aktarıcısıymış gibi kendisine karşı şikayette bulunabileceğini kabul eder. veya kanun gereği, veri sahibinin haklarını uygulayabileceği halef varlığına. Veri İçe Aktarıcı, kendi yükümlülüğünden kaçınmak için bir Veri işlemcisinin yükümlülüklerini ihlal etmesine güvenemez.

3. Bir veri sahibinin, Veri Dışa Aktaran ve Veri İçe Aktarıcı nedeniyle Veri İşleyen tarafından Madde 3 veya Madde 11 kapsamındaki yükümlülüklerini ihlal ettiği için Veri Dışa Aktarıcı veya Veri İçe Aktarıcı aleyhine 1. ve 2. paragraflarda atıfta bulunulan davayı açması engellenirse Fiziksel olarak ortadan kaybolmuş, hukuken varlığını sona erdirmiş veya ödeme aczine düşmüşse, Veri işleyen, veri sahibinin bu maddelere uygun olarak kendi işleme faaliyetleriyle ilgili olarak kendisine Veri Aktaran veya Veri İçe Aktaran kişiymiş gibi şikayette bulunabileceğini kabul eder. Veri İhracatçısının veya Veri İçe Aktarıcının yasal yükümlülükleri, sözleşme veya kanun gereği, veri sahibinin haklarını iddia edebileceği yasal halefine devredilmiştir.Veri işleyenin sorumluluğu, bu maddelere uygun olarak kendi işleme faaliyetleriyle sınırlı olmalıdır.

 

Madde 7

Arabuluculuk ve yargı yetkisi

1. Veri İçe Aktarıcı, maddeler uyarınca, veri sahibinin kendisine karşı üçüncü kişi lehtarın hakkını ileri sürmesi ve/veya uğradığı zarar için tazminat talep etmesi halinde, veri sahibinin aşağıdaki kararını kabul edeceğini kabul eder:

a) anlaşmazlığı bağımsız bir kişi veya uygun olduğunda denetim makamı tarafından arabuluculuğa sunmak;

b) Anlaşmazlığı, Veri Aktarıcının yerleşik olduğu Üye Devletin mahkemelerine götürmek.

2. Taraflar, veri sahibi tarafından yapılan seçimin, veri sahibinin ulusal veya uluslararası hukukun diğer hükümleri uyarınca tazmin talep etme usul veya esas hakkını etkilemeyeceğini kabul eder.

Madde 8

Denetim makamlarıyla işbirliği

1. Veri Dışa Aktarıcı, bu sözleşmenin bir kopyasını, denetleyici makam gerektiriyorsa veya bu tür bir tevdi geçerli veri koruma kanunu tarafından sağlanmışsa, denetleme makamına tevdi etmeyi kabul eder.

2. Taraflar, denetim makamının, Veri Aktarıcısında ve Veri İşleyicisinde, geçerli veri koruma yasasına uygun olarak Veri Aktarıcısında gerçekleştirilen kontrollerle aynı kapsamda ve aynı koşullar altında kontroller yapabileceğini kabul eder.

3. Veri İçe Aktarıcı, Veri İçe Aktarıcı veya herhangi bir Veri işleyici ile ilgili olarak, Veri İçe Aktarıcıda veya herhangi bir Veri işleyicide 2. paragraf uyarınca doğrulamayı engelleyen bir mevzuatın varlığından en kısa sürede Veri Dışa Aktarıcıyı bilgilendirecektir. Böyle bir durumda, Veri Aktarıcı, Madde 5 (b)'de belirtilen önlemleri alabilir.

9. madde

Uygulanabilir yasa

Maddeler, Veri Aktarıcının yerleşik olduğu Üye Devletin yasalarına tabidir ve bu yasalara tabidir.

10. madde

Sözleşmenin değiştirilmesi

Taraflar mevcut maddeleri değiştirmemeyi taahhüt ederler. Taraflar, bu hükümlere aykırı olmamak kaydıyla, gerekli gördükleri diğer ticari maddeleri eklemekte serbesttirler.

11. madde

müteakip taşeronluk

1. Veri İçe Aktarıcı, Veri Dışa Aktarıcının önceden yazılı izni olmaksızın bu maddeler kapsamında Veri Dışa Aktarıcı adına yürütülen hiçbir işleme faaliyetini alt yükleniciye veremez. Veri İçe Aktarıcı, bu Maddeler kapsamındaki yükümlülüklerini yalnızca Veri Dışa Aktarıcının rızasıyla, Veri işleyici ile bu Maddeler kapsamında Veri İçe Aktarıcıya dayatılan yükümlülüklerin aynısını Veri işleyiciye uygulayan yazılı bir anlaşma yoluyla alt yükleniciye verebilir. Veri işleyicinin bu yazılı anlaşma kapsamındaki veri koruma yükümlülüklerini yerine getirememesi durumunda, Veri İçe Aktaran, bu yükümlülüklerin yerine getirilmesinden Veri Dışa Aktarıcıya karşı tamamen sorumlu olmaya devam edecektir.

2. Veri İçe Aktarıcı ile Veri işleyen arasındaki önceden yapılan yazılı anlaşma, aynı zamanda, veri sahibinin Madde 6'da atıfta bulunulan tazminat talebini ileri sürmesinin engellendiği durumlar için Madde 3'te belirtilen bir üçüncü taraf lehtar maddesini de içerecektir (1 ), Veri Dışa Aktarıcı veya Veri İçe Aktarıcıya karşı, Veri Dışa Aktarıcı veya Veri İçe Aktarıcı'nın fiziksel olarak ortadan kaybolması, hukuken varlığının sona ermesi veya iflas etmesi ve Veri Dışa Aktarıcı veya Veri İçe Aktarıcı'nın tüm yasal yükümlülüklerinin sözleşme veya işlem yoluyla devredilmemesi nedeniyle kanundan, başka bir halef kuruluşa. Veri işleyenin sorumluluğu, bu maddeler uyarınca kendi işleme faaliyetleriyle sınırlı olmalıdır.

3. Paragraf 1'de atıfta bulunulan sözleşmenin veri işlemesini alt yükleniciye vermenin veri koruma yönleriyle ilgili hükümler, Veri İhracatçısının yerleşik olduğu Üye Devletin yasalarına tabi olacaktır.

4. Veri Dışa Aktarıcı, bu Maddeler uyarınca akdedilen ve Veri İçe Aktarıcı tarafından Madde 5 (j) uyarınca bildirilen alt yüklenicilik sözleşmelerinin bir listesini en az yılda bir kez güncellenecek bir listesini tutacaktır. Bu liste, Veri İhracatçısının veri koruma denetleme makamına sunulacaktır.

12. madde

Kişisel veri işleme hizmetlerinin sona ermesinden sonraki yükümlülük

1. Taraflar, veri işleme hizmetlerinin tamamlanmasının ardından, Veri İthalatçısı ve Veri işleyicinin, Veri Dışa Aktaranın rahatlığıyla, aktarılan tüm kişisel verileri ve bunların kopyalarını Veri Dışa Aktarıcıya iade edeceğini veya bu tür tüm verileri imha edeceğini ve kanıt sağlayacağını kabul eder. Veri Aktarıcıya uygulanan mevzuat, aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya imha etmesini engellemediği sürece, Veri Dışa Aktaran'a yönelik imha. Bu durumda Veri İçe Aktarıcı, aktarılan kişisel verilerin gizliliğini sağlayacağını ve artık verileri aktif olarak işlemeyeceğini garanti eder.

2. Veri İçe Aktarıcı ve Veri işleyici, Veri Dışa Aktarıcı ve/veya denetim makamı tarafından talep edilmesi halinde, veri işleme yöntemlerini 1. paragrafta atıfta bulunulan önlemlerin doğrulanmasına tabi tutmalarını sağlayacaktır.

 

 

 

 

Ek 1.1 Bölüm 2

Transferin detayları

 

 

Veri Aktarıcı

Veri Aktarıcı, Sözleşmeye dayalı sözleşmede tanımlanan Müşteridir.

 

Veri İçe Aktarıcı

Veri İçe Aktarıcı, POSTCODEZIP'dir ve verileri işlemek ve Veri Dışa Aktarıcıya hizmet sağlamak üzere atanmıştır.

 

Verilerin konuları

Aktarılan kişisel veriler, aşağıdaki veri sahibi kategorileriyle ilgilidir:

a?? evrensel rehberde listelenen telefon aboneleri

â˜' Diğerleri dahil:

 

veri kategorileri

Aktarılan kişisel veriler aşağıdaki veri kategorileriyle ilgilidir:

 

Özellikle Veri İhracatçısının veri konularının kişisel veri kategorileri,

a?? Ad Soyad

â˜' Posta adresi

a?? İletişim bilgileri (e-posta, telefon, IP adresi vb.)

a?? Telefon abonesi ile ilgili pazarlama faaliyetlerinin detayları

â˜' Şehir tarafından yapılan konut türü, gelir ve ortalama yaşlar da dahil olmak üzere diğerleri anonim olarak yapılmıştır.

 

Özel veri kategorileri (varsa)

Aktarılan kişisel veriler, aşağıdaki özel veri kategorileriyle ilgilidir:

â˜' Özel veri kategorilerinin aktarımı öngörülmemiştir.

a?? Irk veya etnik köken

a?? Dini veya felsefi inançlar

a?? sendika üyeliği

a?? Politik Görüşler

a?? Genetik bilgi

a?? biyometrik bilgiler

a?? Cinsel yönelim veya cinsel yaşam hakkında bilgi

a?? Sağlık verileri

 

İşleme faaliyetleri

Aktarılan kişisel veriler aşağıdaki temel işleme faaliyetlerine tabi olacaktır:

 

  •  
    • • İşlemenin  amacı

Veri Aktarıcı adına gerçekleştirilen işleme, özellikle aşağıdaki konulara dayanmaktadır:

â˜' Veri Aktarıcı tarafından sunulan ürün veya hizmetlerden sorumlu olmak

â˜' Aranan kişinin talep edebileceği bir ürün veya hizmetin teklifi

â˜' Aranan kişilerden alınan siparişler ve bu siparişlerin işlenmesi

â˜' Anketleri ve analizleri inceleyin

â˜' Tele pazarlama

a?? Aşağıdakiler dahil diğerleri:

 

  •  
    • • İşlemenin  doğası ve amacı

Veri İçe Aktarıcı, aşağıdaki hizmetleri sağlamak ve en önemlisi:

  • â˜' Otomatik form tamamlama
  • â˜' Adres doğrulama formu

â˜' Satış ve Pazarlama

â˜' Diğerleri, belediye binaları ve siyasi partilerin veri tabanlarının güncellenmesi dahil

 

  •  
    • •  Hizmet sunumu ve hizmet sağlayıcıların istihdamı

 

POSTCODEZIP, esas olarak Veri Aktarıcı'yı birleştirir, merkezileştirir ve hizmetler sağlar. Belirtilen hizmet sağlayıcı tarafından sağlanan hizmetler (diğerlerinin yanı sıra uygun olduğu şekilde) aşağıdaki yardımcı hizmetler etrafında yapılandırılabilir: (i) aşağıdakileri sağlamak için kullanılan veri işleme merkezleriyle ilgili olarak uygulamaların, araçların, sistemlerin ve BT altyapısının sağlanması. ve yukarıda açıklanan veri sahiplerinin kişisel verilerinin bu tür uygulamalar, araçlar ve sistemler aracılığıyla işlenmesi de dahil olmak üzere hizmetleri desteklemek, (ii) bu tür uygulamalar, araçlar, sistemlerle ilgili BT desteği, bakımı ve diğer hizmetlerin sağlanması ve bu tür uygulamalarda, araçlarda ve sistemlerde depolanan kişisel verilere potansiyel erişim dahil BT altyapısı ve (iii) veri koruma hizmetlerinin sağlanması, koruma izleme ve olay müdahale hizmetlerinin sağlanması,bu tür koruma hizmetleri sağlanırken kişisel verilere potansiyel erişim dahil. POSTCODEZIP, yan hizmetler de dahil olmak üzere hizmetleri sağlamak için aşağıda belirtilen Veri işlemcilerini kullanabilir.

 

  •  
    • • Veri işlemeye atanan alt varlıklar olarak harici üçüncü şahıs hizmet sağlayıcıları

 

POSTCODEZIP, POSTCODEZIP'in yan kuruluşları olmayan harici ve üçüncü taraf hizmet sağlayıcılarla, Veri Aktarıcıya hizmet sağlanmasını desteklemek için çalışır. Veri Aktarıcı, veri işlemeye atanan alt varlıklar olarak bu tür harici üçüncü taraf hizmet sağlayıcılarını onaylar.

 

Veri işlemeye dahil olan bir alt kuruluş AB/AEA dışında, Avrupa Komisyonu kararına göre yeterli düzeyde veri korumasına sahip olmadığı kabul edilen bir ülkede bulunuyorsa, Veri İthalatçı yeterli düzeyde veri elde etmek için adımlar atacaktır. GDPR ve Bölüm 1, bölüm 3.4 (iv) uyarınca veri koruması.

 

 

Ek 2, Bölüm 2

Teknik ve organizasyonel koruyucu önlemler

 

Veri İthalatçı, risklere bağlı olarak bireylerin hak ve özgürlükleri için uygun bir güvenlik seviyesini garanti etmek için Veri İhracatçısı tarafından onaylanan aşağıdaki teknik ve organizasyonel koruma önlemlerini alacaktır. İlgili koruma düzeyini değerlendirirken, Veri Dışa Aktarıcı, özellikle kazara veya yasa dışı imha, değiştirme, yetkisiz ifşa veya iletilen, saklanan veya başka bir şekilde işlenen kişisel verilere erişim dahil olmak üzere işlemeyle ilgili riskleri göz önünde bulundurmuştur. Açıklama ile: Bu teknik ve kurumsal koruma önlemleri, Veri Aktarıcı tarafından sağlanan uygulamalar, araçlar, sistemler ve/veya BT altyapısı için geçerli değildir.

1 Genel teknik ve organizasyonel koruma önlemleri

1.1 Genel bilgiler ve veri koruma stratejileri

Genel veri ve bilgi koruma stratejilerini takip etmek için aşağıdaki adımlar atılmalıdır:

  • a) teknik ve organizasyonel korumaya ilişkin alınanları değerlendirmek için önlemler alır;
  • b) çalışanlar arasında farkındalığı artırmak için eğitim sağlamak;
  • c) ilgili sistemlerin bir tanımına sahip olmak ve çalışanlara erişim izni vermek;
  • d) sistemler uygulandığında veya değiştirildiğinde resmi bir dokümantasyon süreci oluşturmak;
  • e) organizasyon yapısını, süreçleri, sorumlulukları ve ilgili değerlendirmeleri belgelemek;

1.2 Bilgi koruma organizasyonu

Veri ve bilgi koruma faaliyetlerini koordine etmek için aşağıdaki önlemler alınmalıdır:

  • a) bilgi ve verilerin korunması için tanımlanmış sorumluluklar (örneğin, veri koruma yönetimi politikası aracılığıyla);
  • b) mevcut kalan bilgi ve verilerin korunmasına ilişkin gerekli uzmanlık;
  • c) tüm çalışanlar, kişisel verilerin gizli tutulmasını sağlamayı taahhüt eder ve bu taahhüdün ihlalinin olası sonuçları hakkında bilgilendirilir.

1.3 İşleme alanlarına erişim kontrolü

Kişisel veriler işlenirken, saklanırken veya aktarılırken yetkisiz kişilerin veri işleme sistemlerine (özellikle yazılım ve donanım) erişmesini önlemek için aşağıdaki önlemler alınmalıdır:

  • a) güvenli alanlar oluşturmak;
  • b) veri işleme sistemlerine erişimi korumak ve kısıtlamak;
  • c) ilgili belgeler de dahil olmak üzere çalışanlar ve üçüncü şahıslar için erişim yetkileri oluşturmak;
  • d) Kişisel verilerin saklandığı veri işleme merkezlerine her türlü erişim kaydedilecektir.

1.4 Veri işleme sistemlerine erişim kontrolü

Veri işleme sistemlerine yetkisiz erişimi engellemek için aşağıdaki önlemler alınmalıdır:

  • a) kullanıcı doğrulama politikaları ve prosedürleri;
  • b) tüm bilgisayar sistemlerinde parola kullanımı;
  • c) Ağa uzaktan erişim, çok faktörlü kimlik doğrulamayı gerektirir ve ilgili kişiye sorumluluklarına göre ve yetkilendirme ile verilir;
  • d) belirli işlevlere erişim, bir kullanıcının hesabına ayrı ayrı atanan iş işlevlerine ve/veya niteliklere dayalıdır;
  • e) kişisel verilere ilişkin erişim hakları düzenli olarak gözden geçirilir;
  • f) Erişim haklarında yapılan değişikliklerin kayıtları güncel tutulur.

1.5 Veri işleme sistemlerinin belirli kullanım alanlarına erişimin kontrol edilmesi

Veri işleme sistemini kullanma hakkı bulunan yetkili kişilerin sadece kendi sorumlulukları ve erişim yetkileri dahilinde verilere erişebilmeleri ve kişisel verilerin izinsiz olarak okunamaması, kopyalanamaması, değiştirilmemesi ve silinememesi için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) her birinin gizlilik, kişisel verilere erişim hakları ve kişisel verilerin işlenme kapsamı ile ilgili yükümlülüklerine ilişkin politikalar, talimatlar ve çalışanların eğitimi;
  • b) Kişisel verilere yetkisiz olarak erişen kişilere karşı disiplin tedbirleri;
  • c) kişisel verilere erişim, bilmesi gereken bazında yalnızca yetkili kişilere verilir;
  • d) sistem yöneticilerinin bir listesini tutmak ve sistem yöneticilerini izlemek için uygun önlemleri almak;
  • e) Yetkisiz kişilerin, oluşturanın bilgilerini kaldırmasını sağlamak için herhangi bir depolama sisteminde kişisel verileri kopyalamamak veya çoğaltmamak;
  • f) verilerin kontrollü ve belgeli olarak silinmesi veya yok edilmesi;
  • g) yasal veya düzenleyici nedenlerle (örneğin verileri saklama yükümlülükleri) saklanması gereken tüm kişisel verileri yalnızca yasaların gerektirdiği süre boyunca güvenli bir şekilde saklamak.

1.6 Şanzıman kontrolü

Veri depolama cihazlarının (kişisel verilerin işlenmesine bağlı olarak) iletilmesi veya taşınması sırasında kişisel verilerin yetkisiz üçüncü kişiler tarafından okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini önlemek için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) güvenlik duvarlarının kullanımı;
  • b) Kişisel verilerin ulaşım amacıyla mobil depolama cihazlarında saklanmasından veya cihazları şifrelemekten kaçınmak;
  • c) dizüstü bilgisayarlarda ve diğer mobil cihazlarda yalnızca şifreleme koruması etkinleştirildikten sonra kullanım;
  • d) kişisel veri aktarımlarının günlüğe kaydedilmesi.

1.7 Veri girişi kontrolü

Kişisel verilerin veri işleme sistemlerine ve kim tarafından girildiğini veya silindiğini doğrulamanın ve belirlemenin mümkün olmasını sağlamak için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) saklanan verilerin okunması, değiştirilmesi ve silinmesi için yetkilendirme politikası;
  • b) saklanan verilerin okunması, değiştirilmesi ve silinmesine ilişkin koruma önlemleri.

1.8 İş kontrolü

Kişisel verilerin yetkilendirilmiş işlenmesi durumunda, bu tür verilerin Süpervizörün talimatlarına uygun olarak işlenmesini sağlamak için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) özenle seçilmiş, veri işlemeye atanan kuruluşlar veya alt kuruluşlar (kontrolör adına kişisel verileri işleyen hizmet sağlayıcılar);
  • b) veri işlemeye atanan çalışanlara, kuruluşlara veya alt kuruluşlara kişisel verilerin herhangi bir şekilde işlenmesinin kapsamına ilişkin talimatlar;
  • c) veri işlemeye atanan kuruluşlar veya alt kuruluşlarla kararlaştırılan denetim hakları;
  • d) verileri işlemek için atanan kuruluşlar veya alt kuruluşlarla yapılan anlaşmalar.

1.9 Diğer amaçlar için işlemeden ayrılma

Başka amaçlarla toplanan verilerin ayrı ayrı işlenebilmesi için aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) kullanıcıların mevcut haklarına uygun olarak kişisel verilere ayrı erişim;
  • b) arayüzler, toplu işleme ve raporlama, başka amaçlar ve işlevler içindir, böylece başka amaçlarla toplanan veriler ayrı olarak işlenebilir.

1.10 Takma adlaştırma

Kişisel verilerin anonimleştirilmesi ile ilgili olarak aşağıdaki önlemler alınmalıdır:

  1. 1. 
    1. a) Veri İhracatçısının belirli bir işleme faaliyeti sipariş etmesi veya Veri İthalatçısı tarafından belirli işleme faaliyetlerine ilişkin yürürlükteki veri koruma kanunlarına göre uygun görülmesi halinde, kişisel verilerin işlenmesi, veriler artık ek bilgiler kullanılmadan belirli bir kişiye atfedilemez. Bu ek bilgiler ayrı tutulacaktır;
  • b) tahsis listesinin rastgeleleştirilmesi dahil olmak üzere takma isimlendirme tekniklerinin kullanılması; keskinlik şeklinde değerlerin yaratılması.

1.11 Şifreleme

Şifrelemeyi destekleyen uygulama ve aktarımlarda kişisel verilerin şifrelenmesi için aşağıdaki adımlar atılmalıdır:

  1.  
    1. a) şifreleme tekniklerinin kullanımı;
  • b) kullanılmasına izin verilen şifreleme tekniklerini desteklemek için şifreleme yönetiminin oluşturulması;
  • c) Yetkisiz değişiklik ve ifşaya karşı koruma sağlamak için kriptografik anahtarların oluşturulması, değiştirilmesi, iptal edilmesi, yok edilmesi, dağıtılması, sertifikalandırılması, saklanması, ele geçirilmesi, kullanılması ve arşivlenmesi için prosedürler ve protokoller aracılığıyla kriptografinin kullanımını desteklemek.

1.12 Veri işleme sistemleri ve hizmetlerinin eksiksizliği

Veri işleme sistemleri ve hizmetlerinin eksiksizliğini sağlamak için aşağıdaki önlemler alınmalıdır:

  1. 1. a) uygun araçlarla (örneğin anti-virüs yazılımı, veri kaybını önleme yazılımı ve kötü amaçlı yazılımlara karşı yazılımlar, yazılım yamaları, güvenlik duvarları ve yönetilen masaüstü koruması) ile manipülasyon veya imhaya karşı veri işleme sistemlerinin korunması;
  • b) veri işleme sistemlerine, hizmetlere zararlı herhangi bir hizmet veya yazılımın kurulmasını veya kişisel verilerin manipüle edilmesini yasaklamak;
  • c) ağın kendi yapısında bir ağa izinsiz giriş tespit ve önleme sisteminin kullanılması.

1.13 Veri işleme sistemlerinin ve hizmetlerinin mevcudiyeti ve maddi veya teknik bir olay durumunda kişisel verilere erişimin ve kişisel verilerin kullanımının geri yüklenmesi olasılığı

Veri işleme sistemlerinin kullanılabilirliğini sağlamak ve ayrıca maddi veya teknik bir olay durumunda kişisel verilerin kullanılabilirliğini ve erişimini hızlı bir şekilde geri yükleyebilmek için aşağıdaki önlemler alınmalıdır (özellikle kişisel veriler kazara yok edilmeye veya kaybolmaya karşı korunur):

  • a) yedek kopyaları tutmak ve kaybolan veya silinen verileri geri yüklemek için kontrol araçlarına sahip olmak;
  • b) altyapı fazlalığı ve performans testi;
  • bilgisayar kaynaklarını c) fiziksel olarak korunması;
  • d) dahili ağın durumunu ve kullanılabilirliğini izlemek için araçların kullanılması;
  • e) olay yönetimi prosedürünü yöneten olay raporlama ve müdahale politikaları ve düzenli eğitimin bir parçası olarak bu politikalara bağlılığın yinelenmesi;
  • f) işlevlerini tekrar yerine getirebilmesi için sistemi geri yüklemek için yedeklemeler (bazen saha dışında);
  • g) iş sürekliliği/olağanüstü durum kurtarma planları

1.14 Veri işleme sistemleri ve hizmetlerinin esnekliği

Veri işleme sistemlerinin ve hizmetlerinin dayanıklılığını sağlamak için aşağıdaki önlemler alınmalıdır:

  • a) onaylanmış güvenlik parametreleri kullanılarak uyumlu bir şekilde yapılandırılan sistemler;
  • b) ağ artıklık;
  • c) kritik sistemlerin muhafaza koruması.

1.15 Veri işlemenin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve değerlendirme prosedürü

Veri işlemeyi korumak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve değerlendirme prosedürü.

  • a) riskleri ve azaltma stratejilerini değerlendirmek için gerekli adımları atmak;
  • b) güncel sorunları ele almak için BT departmanının hizmet analizi toplantıları;
  • c) iş sürekliliği/felaket kurtarma planları düzenli olarak güncellenir.

 

3. Bölüm

Tarafların imzaları ve Veri İçe Aktarıcıların listesi

 

Online sipariş formunu doldurduğunuzda ve genel kullanım şartlarını kabul eden kutucuğu işaretleyerek onayladığınızda, Müşteri ile POSTCODEZIP arasındaki ilişkiyi düzenleyen sözleşme kurulmuş olur.

Ödemenin POSTCODEZIP'e gönderilmesi, üzerinde anlaşılan ve kurulan sözleşmeyi dikkate alacaktır.

Not alın: Bu metin Fransızca'dan çevrilmiştir. Geçerli ve yasal olarak kısıtlayıcı olan orijinal Fransızca versiyonu burada mevcuttur  .