Veri İşleme Eki

Bu Veri İşleme Eki (“Ek”), aşağıdakiler arasındaki Testinvite Hizmet Tedarikine ilişkin Şartlar ve Koşulların (“Sözleşme”) bir parçasını oluşturur: (i) Vanilya Elektronik Hizmetler ve Bilişim Tic. GİBİ. ve Bağlı Şirketleri (topluca, "Testinvite") ve (ii) Müşteri ve Bağlı Şirketleri (toplu olarak, "Müşteri").

Bu Ekte kullanılan terimler, aksi belirtilmedikçe, Sözleşmede belirtilen anlamlara sahip olacaktır. Aşağıda değiştirilmedikçe, Sözleşmenin koşulları yürürlükte kalacaktır.

Taraflar, burada belirtilen karşılıklı yükümlülükler dikkate alınarak, aşağıda belirtilen şart ve koşulların Sözleşmeye Ek olarak ekleneceğini kabul ederler. Bağlam aksini gerektirmediği sürece, Sözleşmeye yapılan bu Ekteki atıflar, bu Ek tarafından değiştirilen ve bu Ek dahil olmak üzere Sözleşmeye yöneliktir.

1. Tanımlar

1.1 Bu Ek'te aşağıdaki terimler aşağıda belirtilen anlamlara sahip olacaktır:

1.1.1 "Bağlı Şirket" bir tarafı doğrudan veya dolaylı olarak kontrol eden, onun tarafından kontrol edilen veya ortak kontrol altında olan veya halef olan (isim değişikliği, tasfiye, birleşme, konsolidasyon, yeniden yapılanma, satış veya diğer tasarruflar) bu tür herhangi bir ticari kuruluşa veya onun işletmesine ve varlıklarına.

1.1.2 "Geçerli Kanunlar", (a) Müşterinin AB Veri Koruma Kanunlarına tabi olduğu Müşteri Kişisel Verilerine ilişkin Avrupa Birliği veya Üye Devlet kanunları; veya (b) uygulanabilir diğer herhangi bir yargı bölgesinin kanunları.

1.1.3 “Müşteri Kişisel Verileri”, Sözleşme uyarınca veya Sözleşmeyle bağlantılı olarak Testinvite tarafından Müşteri adına İşlenen her türlü Kişisel Veri anlamına gelir.

1.1.4 "Veri Koruma Yasaları", AB Veri Koruma Yasalarını ve geçerli olduğu ölçüde, diğer herhangi bir yargı bölgesinin veri koruma veya gizlilik yasalarını ifade eder.

1.1.5 “AEA” Avrupa Ekonomik Alanı anlamına gelir.

1.1.6 "AB Veri Koruma Yasaları", her Üye Devletin yerel mevzuatında uygulanan ve GDPR ve GDPR'yi uygulayan veya tamamlayan yasalar da dahil olmak üzere zaman zaman tadil edilen, değiştirilen veya değiştirilen 95/46/EC sayılı AB Direktifi anlamına gelir .

1.1.7 "GDPR", AB Genel Veri Koruma Yönetmeliği 2016/679 anlamına gelir.

1.1.8 "Kısıtlı Aktarım", Müşteri Kişisel Verilerinin Müşteriden Testinvite'ye AEA dışında, doğrudan veya ileri aktarım yoluyla, kişisel veriler için yeterli düzeyde koruma sağladığı Avrupa Komisyonu tarafından tanınmayan herhangi bir ülkeye aktarılması anlamına gelir ( GDPR'de açıklandığı gibi).

1.1.9 "Hizmetler", bu Ek'in amaçları doğrultusunda, Hizmetler (Sözleşmede tanımlandığı şekilde) anlamına gelir.

1.1.10 “Standart Sözleşme Maddeleri” Ek'te belirtilen sözleşme maddeleri anlamına gelir.

1.1.11 "Alt İşleyici", Müşterinin Kişisel Verilerini İşlemek için Testinvite tarafından veya adına atanan herhangi bir üçüncü taraf anlamına gelir.

1.2 "Komisyon", "Denetleyici", "Veri Sahibi", "Üye Devlet", "Kişisel Veriler", "Kişisel Veri İhlali", "İşleme" ve "Denetleyici Otorite" terimleri GDPR'dekiyle aynı anlama sahiptir.

2. Müşteri Kişisel Verilerinin İşlenmesi

2.1 Bu Ek, Testinvite'in Müşteriye Hizmet sağlaması sırasında Testinvite'in Müşteri Kişisel Verilerini İşlemesi için geçerlidir. Bu nedenle, Testinvite İşleyici, Müşteri ise Denetleyicidir.

2.2 Testinvite, Test Davetinin tabi olduğu Geçerli Kanunlar İşlemeyi gerektirmediği sürece, Müşteri Kişisel Verilerini yalnızca Müşterinin belgelenen talimatlarına uygun olarak İşleyecektir; bu durumda Testinvite, Geçerli Kanunların izin verdiği ölçüde Müşteriyi bu yasal gereklilik konusunda bilgilendirecektir. Kişisel Verileri İşlemeden Önce.

2.3 Müşteri (i) Testinvite'e talimat verir ve (ve her bir Alt İşleyiciye talimat vermesi için Testinvite'e yetki verir) Müşteri Kişisel Verilerini İşleme ve özellikle Müşteri Kişisel Verilerini Hizmetlerin sağlanması için makul olarak gerekli olduğu ve aşağıdakilerle tutarlı olarak herhangi bir ülkeye veya bölgeye aktarma. anlaşma; ve (ii) (a) kendisinin bu tür talimatları vermeye yetkili olduğunu ve ilgili her zaman yetkili olmaya devam edeceğini ve (b) bu tür tüm talimatların Geçerli Kanunlara uygun olduğunu beyan ve garanti eder.

2.4 Testinvite, herhangi bir talimatın Geçerli Yasaları ihlal ettiği yönünde, Testinvite'nin makul görüşüne göre, Müşteriyi derhal bilgilendirecektir.

2.5 Bu Ek'in Ek 1'i, GDPR'nin 28(3) Maddesi uyarınca Testinvite'in Müşteri Kişisel Verilerini İşlemesine ilişkin belirli bilgileri ortaya koymaktadır. Müşteri, bu gereklilikleri karşılamak için makul olarak gerekli gördüğü takdirde, zaman zaman Testinvite'ye yazılı bildirimde bulunarak Ek 1'de makul değişiklikler yapabilir.

3. Personeli Test Etmeye Davet Edin

Testinvite, Müşterinin Kişisel Verilerine erişimi olan herhangi bir Testinvite çalışanının, temsilcisinin veya yüklenicisinin Müşterinin Kişisel Verilerine ilişkin gizlilik taahhütlerine tabi olmasını sağlayacaktır.

4. Güvenlik

4.1 En son teknolojiyi, uygulama maliyetlerini ve İşlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve ayrıca gerçek kişilerin hak ve özgürlüklerine ilişkin farklı olasılık ve ciddiyetteki riskleri dikkate alarak Testinvite, uygun teknik ve Uygun olduğu takdirde GDPR Madde 32(1)'de atıfta bulunulan önlemler de dahil olmak üzere, söz konusu riske uygun bir güvenlik düzeyi sağlamak amacıyla Müşteri Kişisel Verileri ile ilgili kurumsal önlemler.

4.2 Uygun güvenlik düzeyinin değerlendirilmesinde Testinvite, özellikle Kişisel Veri İhlalinden kaynaklanan İşleme nedeniyle ortaya çıkan riskleri dikkate alacaktır.

5. Alt İşleme

5.1 Müşteri, Testinvite'e, bu Madde 5'e ve Sözleşmedeki kısıtlamalara uygun olarak Alt İşleyicileri atama yetkisi verir (ve bu Madde 5 uyarınca atanan her Alt İşleyicinin atama yapmasına izin verir).

5.2 Testinvite, bu Ek Sözleşme tarihi itibarıyla görevlendirdiği Alt İşleyicileri kullanmaya devam edebilir.

5.3 Testinvite, Alt İşleyici tarafından gerçekleştirilecek İşlemenin ayrıntıları da dahil olmak üzere herhangi bir yeni Alt İşleyicinin atanmasına ilişkin bir bildirimi web sitesinde (Gizlilik Politikası) yayınlayacaktır. Müşterinin, 10 iş günü içinde önerilen randevuya yönelik herhangi bir makul itirazı Testinvite'e yazılı olarak bildirmesi halinde, Testinvite, Müşteri tarafından ileri sürülen itirazları ele almak için makul adımlar atılana kadar önerilen Alt İşleyiciyi atamayacak (veya Müşteri Kişisel Verilerini ona ifşa etmeyecektir) ve Müşteriye, atılan adımlara ilişkin makul bir yazılı açıklama sağlanmıştır.

5.4 Testinvite her bir Alt İşleyiciyle ilgili olarak:

5.4.1 Testinvite ile Alt İşleyici arasındaki düzenlemenin, Müşteri Kişisel Verileri için en azından bu Ek'te belirtilenlerle aynı düzeyde koruma sunan şartları içeren yazılı bir sözleşmeye tabi olduğundan ve Madde 28(3)'ün gerekliliklerini karşıladığından emin olun. GDPR; Ve

5.4.2 Bu düzenlemenin bir Kısıtlı Aktarım içermesi durumunda ve Testinvite'in, Kısıtlı Aktarım sırasında Gizlilik Kalkanı programı kapsamında bir sertifikaya veya Trans-Atlantik Veri Gizliliği Çerçevesi kapsamındaki bir düzenlemeye sahip olmaması durumunda, Standart Sözleşmenin geçerli olduğundan emin olun. Maddeler Testinvite ile Alt İşleyici arasındaki anlaşmaya dahil edilmiştir.

5.5 Testinvite, bu Ek'in yükümlülüklerine uygunluğundan ve herhangi bir Alt İşleyicinin Testinvite'in bu Ek kapsamındaki yükümlülüklerinden herhangi birini ihlal etmesine neden olan her türlü eylem veya ihmalinden sorumlu olmaya devam edecektir.

6. Veri Sahibi Hakları

6.1 Hizmetler, Müşteriye, Müşterinin Kişisel Verilerini alabileceği, düzeltebileceği, silebileceği veya kısıtlayabileceği çeşitli yollar sağlar. Müşteri, bu araçları, Veri Sahiplerinden gelen taleplere yanıt verme yükümlülükleri de dahil olmak üzere, GDPR kapsamındaki yükümlülükleriyle bağlantılı olarak kendisine yardımcı olacak teknik ve organizasyonel önlemler olarak kullanabilir.

6.2 Testinvite (i) herhangi bir Veri Koruma Yasası kapsamında bir Veri Sahibinden Müşterinin Kişisel Verileriyle ilgili bir talep alması durumunda Müşteriyi derhal bilgilendirecektir; ve (ii) Testinvite'in tabi olduğu Geçerli Yasaların gerektirdiği durumlar dışında bu talebe yanıt vermemek; bu durumda Testinvite, Geçerli Yasaların izin verdiği ölçüde, Testinvite talebe yanıt vermeden önce Müşteriyi söz konusu yasal gereklilik konusunda bilgilendirecektir.

7. Kişisel Veri İhlali

7.1 Testinvite, Müşterinin Kişisel Verilerini etkileyen bir Kişisel Veri İhlali'nin farkına vardığında gereksiz bir gecikme olmaksızın Müşteriyi bilgilendirecek ve Müşterinin, Veri Koruma Yasaları kapsamında Kişisel Veri İhlalini Veri Sahiplerine bildirme veya bilgilendirme yükümlülüğünü yerine getirmesine olanak sağlamak için Müşteriye yeterli bilgi sağlayacaktır. .

7.2 Testinvite, Müşteri ile işbirliği yapacak ve bu tür Kişisel Veri İhlallerinin araştırılmasına, hafifletilmesine ve iyileştirilmesine yardımcı olmak için Müşteri tarafından talep edilen makul ticari adımları atacaktır.

8. Müşteri Kişisel Verilerinin Silinmesi veya İadesi

8.1 Madde 8.2'ye tabi olarak, Müşteri Kişisel Verilerinin toplanmasını takip eden 180 gün içinde, Müşteri, Testinvite'den söz konusu tarihten önce bu tür tüm Müşteri Kişisel Verilerinin silinmesini talep etmedikçe Test Invite, Müşteri Kişisel Verilerini kalıcı olarak silecektir.

8.2 Yukarıda belirtilenlere bakılmaksızın, Testinvite, Müşteri Kişisel Verilerini Geçerli Yasaların gerektirdiği ölçüde ve yalnızca Geçerli Yasaların gerektirdiği kapsam ve süre boyunca saklayabilir (ve Testinvite, Müşteri personelinin iş iletişim bilgilerini saklayabilir); ancak Testinvite'nin bu tür tüm Müşteri Kişisel Verilerinin gizliliğini sağlaması ve söz konusu Müşteri Kişisel Verilerinin yalnızca Geçerli Yasalarda belirtilen, saklanmasını gerektiren amaçlar için gerekli olduğu şekilde İşlenmesini sağlaması ve başka hiçbir amaç için kullanılmamasını sağlaması koşuluyla.

9. Veri Koruma Etki Değerlendirmeleri ve Denetim Hakları

9.1 Testinvite, Müşterinin GDPR'nin 35. veya 36. Maddesi veya eşdeğer hükümleri uyarınca makul olarak gerekli olduğunu düşündüğü her türlü veri koruma etki değerlendirmesi ve Denetleyici Otoriteler veya diğer yetkili veri gizliliği yetkilileriyle önceden istişarelerde Müşteriye makul yardım sağlayacaktır. her durumda yalnızca Müşteri Kişisel Verilerinin Testinvite tarafından İşlenmesiyle ilgili olarak ve İşlemenin niteliği ve Testinvite tarafından sunulan bilgiler dikkate alınarak diğer Veri Koruma Kanunları. Müşteri, Testinvite'e denetimi gerçekleştirmesi talimatını vererek, geçerli olması halinde Standart Sözleşme Maddeleri kapsamındakiler de dahil olmak üzere, denetim veya inceleme yapmak için sahip olabileceği her türlü hakkı kullanmayı kabul eder.

10. Kısıtlı Transferler

10.1 Testinvite, Kısıtlı Aktarım sırasında Gizlilik Kalkanı programı kapsamında sertifikasyona veya Trans-Atlantik Veri Gizliliği Çerçevesi kapsamındaki bir düzenlemeye sahip değilse, Testinvite herhangi bir Kısıtlı Aktarım ile ilgili olarak Standart Sözleşme Maddelerine tabi olacaktır.

11. Genel Şartlar

11.1 Standart Sözleşme Maddelerinin 7 (Arabuluculuk ve Yargı Yetkisi) ve 9 (Geçerli Kanun) maddeleri saklı kalmak kaydıyla:

11.1.1 Taraflar, bu Ek'in varlığı, geçerliliği veya feshi veya hükümsüzlüğünün sonuçlarına ilişkin anlaşmazlıklar da dahil olmak üzere, bu Ek kapsamında ortaya çıkan her türlü anlaşmazlık veya iddiaya ilişkin olarak, Anlaşmada öngörülen yargı yetkisi seçimine uymayı kabul ederler; Ve

11.1.2 Bu Ek ve ondan kaynaklanan veya onunla bağlantılı olarak ortaya çıkan tüm sözleşme dışı veya diğer yükümlülükler, Sözleşmede bu amaçla belirtilen ülke veya bölgenin kanunlarına tabidir.

11.2 Bu Ek ile Standart Sözleşme Maddeleri arasında herhangi bir çelişki veya tutarsızlık olması durumunda, Standart Sözleşme Maddeleri geçerli olacaktır. Bu Ek Sözleşme ile Taraflar arasındaki diğer anlaşmalar arasında tutarsızlıklar olması durumunda, Sözleşme de dahil olmak üzere ve (Taraflar adına imzalanan, yazılı olarak açıkça aksi kararlaştırılmadıkça) Sözleşme tarihinden sonra imzalanan veya imzalanacağı iddia edilen anlaşmalar dahil Bu Ek'in hükümleri geçerli olacaktır.

11.3 Bu Ek Sözleşme feshedilene veya sona erene kadar yürürlükte kalacaktır.

11.4 Taraflardan her birinin bu Ek kapsamındaki sorumluluğu, Sözleşmede belirtilen sorumluluk istisnalarına ve sınırlamalarına tabidir.

11.5 Bu Ek'in herhangi bir hükmünün geçersiz veya uygulanamaz olması durumunda, bu Ek'in geri kalanı geçerli ve yürürlükte kalacaktır. Geçersiz veya uygulanamaz hüküm ya (i) Tarafların niyetleri mümkün olduğunca korunarak geçerliliğini ve uygulanabilirliğini sağlamak için gerektiği şekilde değiştirilecek veya bu mümkün değilse, (ii) geçersiz hüküm gibi yorumlanacaktır. veya uygulanamaz kısım hiçbir zaman burada yer almamıştır.

EK 1: Veri İşlemenin Konusu ve Detayları

Bu Ek 1, GDPR Madde 28(3) uyarınca Müşteri Kişisel Verilerinin İşlenmesine ilişkin belirli ayrıntıları içerir.

Transferin ayrıntıları

(a) Veri aktarıcı:

İsim: Hizmetin Müşteriye sağlanmasını düzenleyen Sözleşme veya diğer yazılı veya elektronik sözleşme uyarınca Hizmeti sağlamak üzere Testinvite'ı görevlendiren Müşteri; söz konusu şartlar veya sözleşme zaman zaman güncellenebilir ("Sözleşme") .

Adres: Sözleşmede belirtildiği gibi veya Testinvite'ye sağlandığı şekilde.

İrtibat kurulacak kişinin adı, pozisyonu ve iletişim bilgileri: Sözleşmede belirtildiği veya Testinvite'e sağlandığı şekilde.

Bu Maddeler kapsamında aktarılan verilere ilişkin faaliyetler: Testinvite, Hizmeti sağlar ve Müşteri, Hizmeti kullanır ve Testinvite, kişisel verileri Sözleşmede açıklandığı şekilde işler.

(b) Veri içe aktaran:

Adı: Vanilya Elektronik Hizmetler ve Bilişim Tic. GİBİ. d/b/a Test daveti

Adres: Esentepe mah. Kore Şehitleri Cad. No:29 Zincirlikuyu Şişli İstanbul.

İrtibat kurulacak kişinin adı, pozisyonu ve iletişim bilgileri: hello@testinvite.com.

Bu Maddeler kapsamında aktarılan verilere ilişkin faaliyetler: Testinvite, Hizmeti sağlar ve Müşteri, Hizmeti kullanır ve Testinvite, kişisel verileri Sözleşmede açıklandığı şekilde işler.

(c) Veri sahiplerinin kategorileri:

Testinvite tarafından Müşteri adına İşlenecek Kişisel Veriler, aşağıdaki Veri Konusu kategorileriyle ilgili olabilir ancak bunlarla sınırlı değildir:

Çalışanlar, adaylar, öğrenciler, yükleniciler, acenteler ve gönüllüler

Müşteriler, müşteriler ve (varsa) onların personeli

(d) Kişisel veri kategorileri:

Testinvite tarafından Müşteri adına İşlenecek Kişisel Veriler aşağıdaki Kişisel Veri kategorilerini içerebilir ancak bunlarla sınırlı değildir:

• isim, e-posta adresi ve telefon numarası gibi iletişim bilgileri;
• web kamerasının etkin olduğu sınavlar için çekilen canlı video ve ses kayıtları;
• ekranın canlı video ve ekran görüntüsü kayıtları, fare hareketleri ve sınavdan kısa bir süre önce ve sınav sırasında erişim için kullanılan kaynakların ayrıntıları;
• İnternet Protokolü (IP) adresi, oturum açma bilgileri, tarayıcı türü ve sürümü, ekran çözünürlüğü, flash sürümü, saat dilimi ayarı, tarayıcı eklenti türleri ve sürümleri, tarayıcı erişimi, işletim sistemi, platform ve trafik verileri, çerezler gibi teknik bilgiler veriler, web günlükleri ve diğer iletişim verileri.

(e) Özel veri kategorileri (varsa):

Testinvite, Hizmetin sağlanmasıyla bağlantılı olarak herhangi bir özel kategorideki veriyi toplamak veya işlemek istemez ve bunu kasıtlı olarak yapmaz.

(f) İşleme işlemleri:

Testinvite, Müşterinin dünya çapında güvenli, yüksek kaliteli çevrimiçi sınavlara hazırlanmasını ve yürütülmesini desteklemek için tasarlanmış yazılım ve/veya hizmetler sağlar.

EK 2: Güvenlik Önlemleri

Madde 4(d) ve 5(c) uyarınca veri içe aktaran tarafından uygulanan teknik ve organizasyonel tedbirlerin açıklaması

Fiziksel güvenlik

Testinvite, operasyonları için bulut hizmetlerini kullanıyor. Testinvite'nin bulunduğu fiziksel tesislere erişim sağlamak için bir RFID çipi gerekir.

Bilgi Erişimi

Çalışanlar yalnızca iş uygulamalarında yer alan verilere 'bilmesi gerekenler' esasına göre erişebilir. Ayrıcalıklı kullanıcılara 'erişim ihtiyacı' esasına göre verilir.

Uç Nokta Güvenliği

Testinvite, uç nokta güvenliği ve virüslere ve fidye yazılımlarına karşı koruma için Sophos'u kullanıyor. Tüm cihazlar, cihazın kaybolması veya çalınması durumunda uzaktan kaydırma özelliği etkinleştirilerek şifrelenir.

Alt İşlemci Güvenliği

Testinvite, Alt İşleyici tarafından sunulan riskleri değerlendirdikten sonra Alt İşleyicinin uygun güvenlik, gizlilik ve mahremiyet sözleşmesi koşullarını imzalaması gerekir.

EK: STANDART SÖZLEŞME HÜKÜMLERİ

Kişisel verilerin Topluluktan üçüncü ülkelere aktarımına ilişkin standart sözleşme maddeleri (kontrolörden işleyiciye aktarımlar)

Kişisel verilerin yeterli düzeyde veri koruma sağlamayan üçüncü ülkelerde kurulu işleyicilere aktarılmasına ilişkin 95/46/EC sayılı Direktifin 26(2) maddesi kapsamında, yasal adı Vanilya Elektronik Hizmetler ve Bilişim Tic olan Testinvite . GİBİ. (bundan sonra "veri içe aktaran" olarak anılacaktır) ve Müşteri'nin (bundan böyle "veri aktaran" olarak anılacaktır) her biri birer "taraf"tır; "Taraflar" birlikte, veri aktarıcısı tarafından veri aktarıcısına aktarılan kişilerin gizliliğinin ve temel hak ve özgürlüklerinin korunmasına ilişkin yeterli önlemlerin alınması amacıyla aşağıdaki Sözleşme Maddeleri (Maddeler) üzerinde ANLAŞMIŞLARDIR. Ek 1'de belirtilen kişisel veriler.

Madde 1 - Tanımlar

Maddelerin amaçları doğrultusunda:

• 'kişisel veri', 'özel veri kategorisi', 'süreç/işleme', 'kontrolör', 'işleyici', 'veri sahibi' ve 'denetleyici makam' 95/46/EC sayılı Direktifteki anlamlarla aynı olacaktır. Avrupa Parlamentosu ve Konseyi'nin 24 Ekim 1995 tarihli kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımıyla ilgili olarak bireylerin korunmasına ilişkin;
• 'veri aktarıcısı' kişisel verileri aktaran kontrolör anlamına gelir;
• 'veri içe aktaran', kendi talimatlarına ve Maddelerin şartlarına uygun olarak aktarımdan sonra kendisi adına işlenmesi amaçlanan kişisel verileri veri aktarıcısından almayı kabul eden ve üçüncü bir ülkenin gerekli yeterliliği sağlayan sistemine tabi olmayan işleyici anlamına gelir. 95/46/EC sayılı Direktifin 25(1) Maddesi anlamında koruma;
• 'alt işleyici', veri içe aktaran kişi tarafından veya veri içe aktaranın herhangi bir başka alt işleyicisi tarafından görevlendirilen ve veri içe aktaran kişiden veya veri içe aktaranın herhangi bir diğer alt işleyicisinden, yalnızca üzerinde gerçekleştirilecek işleme faaliyetlerine yönelik kişisel verileri almayı kabul eden herhangi bir işleyici anlamına gelir. Veri aktarıcısının talimatlarına, Maddelerin şartlarına ve yazılı alt sözleşmenin şartlarına uygun olarak aktarımdan sonra veri aktarıcısı adına;
• 'Veri Koruma Kanunu', veri aktarıcısının yerleşik olduğu Üye Devletteki bir veri denetleyicisi için geçerli olan, bireylerin temel hak ve özgürlüklerini ve özellikle kişisel verilerin işlenmesine ilişkin mahremiyet haklarını koruyan mevzuat anlamına gelir ;

Madde 2 - Transferin Detayları

Aktarımın ayrıntıları ve özellikle uygun olduğu durumlarda özel kişisel veri kategorileri, Maddelerin ayrılmaz bir parçasını oluşturan Ek 1'de belirtilmiştir.

Madde 3 - Üçüncü taraf lehtar şartı

1. Veri sahibi, veri aktarıcıya karşı bu Maddeyi, Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6(1) ve (2)'yi uygulayabilir. , Madde 7, Madde 8(2) ve Madde 9'dan 12'ye kadar üçüncü taraf lehtar olarak.
2. Veri sahibi, veri aktarıcısının aşağıdaki durumlarda veri içe aktaran kişiye karşı bu Maddeyi, Madde 5(a) ila (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 ila 12'yi uygulayabilir. Herhangi bir halef kuruluş, sözleşme veya kanun gereği veri aktarıcısının tüm yasal yükümlülüklerini üstlenmedikçe ve bunun sonucunda veri aktarıcının hak ve yükümlülüklerini üstlenmedikçe fiilen ortadan kaybolmuş veya hukuken varlığı sona ermiştir. bu durumda veri sahibi bunları söz konusu kuruluşa karşı uygulayabilir.
3. Veri sahibi, hem veri aktarıcısının hem de veri aktarıcısının bu Maddeyi, Madde 5(a) ila (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 ila 12'yi alt işleyiciye karşı uygulayabilir. ve veri içe aktaran, fiili olarak ortadan kaybolmuş veya kanunen varlığı sona ermiş veya herhangi bir halef kuruluş, veri aktarıcısının tüm yasal yükümlülüklerini sözleşme veya kanun gereği üstlenmediği ve bunun sonucunda hakları üstlenmediği sürece ve iflas etmişse; veri aktarıcısının yükümlülükleri; bu durumda veri sahibi bunları söz konusu kuruluşa karşı uygulayabilir. Alt işleyicinin bu tür üçüncü taraf sorumluluğu, Maddeler uyarınca kendi işleme faaliyetleriyle sınırlı olacaktır.
4. Taraflar, veri sahibinin açıkça istemesi ve ulusal kanunların izin vermesi halinde, veri sahibinin bir dernek veya başka bir kurum tarafından temsil edilmesine itiraz etmez.

Madde 4 - Veri aktaranın yükümlülükleri

Veri aktarıcısı şunları kabul eder ve garanti eder:

• Kişisel verilerin aktarımının kendisi de dahil olmak üzere işlenmesinin Veri Koruma Kanununun ilgili hükümlerine uygun olarak gerçekleştirildiğini ve yürütülmeye devam edeceğini (ve uygulanabildiği hallerde Üye Devletin ilgili makamlarına bildirildiğini) veri aktarıcısının yerleşik olduğu yer) ve söz konusu Devletin ilgili hükümlerini ihlal etmemesi;
• Veri içe aktaran kişiye, aktarılan kişisel verileri yalnızca veri aktaran adına ve Veri Koruma Kanunu ve Hükümlerine uygun olarak işlemesi için talimat verdiğini ve kişisel veri işleme hizmetlerinin süresi boyunca talimat vereceğini;
• veri içe aktaranın bu sözleşmenin Ek 2'sinde belirtilen teknik ve organizasyonel güvenlik önlemlerine ilişkin yeterli garantileri sağlayacağını;
• Veri Koruma Kanununun gereklilikleri değerlendirildikten sonra, kişisel verileri kazara veya yasa dışı imhaya veya kazara kaybolmaya, değiştirilmeye, yetkisiz ifşa edilmeye veya erişime karşı, özellikle de işlemenin bir ağ üzerinden veri iletimini içerdiği durumlarda korumak için güvenlik önlemlerinin uygun olduğu ve diğer tüm yasa dışı işleme biçimlerine karşı olduğunu ve bu tedbirlerin, en son teknoloji ve uygulama maliyeti göz önünde bulundurularak, işlemenin sunduğu risklere ve korunacak verilerin niteliğine uygun bir güvenlik düzeyi sağladığını garanti eder. ;
• güvenlik tedbirlerine uyumu sağlayacağını; Aktarımın özel kategorilerdeki verileri içermesi durumunda, veri sahibinin aktarımdan önce veya aktarımdan sonra mümkün olan en kısa sürede, verilerinin, bu Sözleşme kapsamında yeterli koruma sağlamayan üçüncü bir ülkeye aktarılabileceği konusunda bilgilendirilmiş veya bilgilendirileceği. Direktif 95/46/EC;
• Veri dışa aktaranın aktarıma devam etmeye veya askıya alma işlemini kaldırmaya karar vermesi durumunda, Madde 5(b) ve Madde 8(3) uyarınca veri içe aktaran veya herhangi bir alt işleyiciden alınan herhangi bir bildirimi veri koruma denetleme makamına iletmek;
• Ek 2 hariç, Maddelerin bir kopyasını ve güvenlik önlemlerinin özet açıklamasını ve ayrıca alt işleme hizmetlerine ilişkin olarak yapılması gereken herhangi bir sözleşmenin bir kopyasını talep üzerine veri sahiplerine sunmak. Maddeler veya sözleşme ticari bilgiler içermediği sürece Maddeler; bu durumda söz konusu ticari bilgileri kaldırabilir;
• alt işleme durumunda, işleme faaliyetinin, Madde 11 uyarınca, kişisel veriler için en azından aynı seviyede koruma sağlayan ve veri sahibinin Maddeler uyarınca veri içe aktaranla aynı düzeyde koruma sağlayan bir alt işleyici tarafından gerçekleştirilmesi; Ve
• Madde 4(a) ila (i)'ye uygunluğu sağlayacağını.

Madde 5 - Veri içe aktaranın yükümlülükleri

Verileri içe aktaran kişi şunları kabul eder ve garanti eder:

• kişisel verileri yalnızca veri aktarıcısı adına ve onun talimatlarına ve Maddelerine uygun olarak işlemek; herhangi bir nedenle bu tür bir uyumu sağlayamazsa, veri aktarıcısını bu duruma uymaması konusunda derhal bilgilendirmeyi kabul eder; bu durumda veri aktarıcı, veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;
• Uygulanacak mevzuatın, veri aktarıcısından aldığı talimatları ve sözleşme kapsamındaki yükümlülüklerini yerine getirmesini engellediğine inanmak için hiçbir nedeni olmadığını ve bu mevzuatta önemli ölçüde olumsuz etki yaratması muhtemel bir değişiklik olması durumunda Maddelerin sağladığı garantiler ve yükümlülükler uyarınca, değişikliği öğrendiği anda derhal veri aktarıcısına bildirecektir; bu durumda veri aktarıcı, veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;
• aktarılan kişisel verileri işlemeden önce Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uyguladığını;
• Veri aktarıcısını aşağıdaki konularda derhal bilgilendireceğini:
• Bir kolluk kuvveti soruşturmasının gizliliğinin korunmasına yönelik ceza hukuku kapsamındaki bir yasak gibi aksi yasaklanmadıkça, kişisel verilerin bir kolluk kuvveti tarafından ifşa edilmesine yönelik yasal olarak bağlayıcı herhangi bir talep,
• herhangi bir kazara veya yetkisiz erişim ve
• aksi yönde yetki verilmediği sürece, söz konusu talebe yanıt verilmeden veri sahiplerinden doğrudan alınan herhangi bir talep;
• aktarıma konu olan kişisel verilerin işlenmesiyle ilgili olarak veri aktarıcısından gelen tüm soruları derhal ve doğru bir şekilde ele almak ve aktarılan verilerin işlenmesiyle ilgili olarak denetleyici makamın tavsiyelerine uymak;
• Veri aktarıcısının talebi üzerine, veri aktarıcısı veya bağımsız üyelerden oluşan ve gerekli mesleki niteliklere sahip bir denetim kuruluşu tarafından gerçekleştirilecek Maddeler kapsamındaki işleme faaliyetlerinin denetimi için veri işleme tesislerini ibraz etmesi gerekmektedir. uygun olduğu durumlarda, veri aktarıcısı tarafından denetleyici makamla mutabakata varılarak seçilen bir gizlilik görevi;
• Maddeler veya sözleşme ticari bilgiler içermediği sürece, Maddelerin veya mevcut herhangi bir alt işleme sözleşmesinin bir kopyasını talep üzerine veri sahibinin kullanımına sunmak; bu durumda söz konusu ticari bilgileri, Ek 2 hariç olmak üzere kaldırabilir. veri sahibinin veri aktarıcısından bir kopya alamadığı durumlarda güvenlik önlemlerinin özet açıklamasıyla değiştirilir;
• alt işleme durumunda veri aktarıcısını önceden bilgilendirdiğini ve önceden yazılı onayını aldığını;
• alt işleyicinin işleme hizmetlerinin Madde 11'e uygun olarak gerçekleştirileceğini;
• Maddeler uyarınca imzaladığı herhangi bir alt işleyici sözleşmesinin bir kopyasını veri aktarıcısına derhal gönderecektir.

Madde 6 - Sorumluluk

1. Taraflar, Madde 3'te veya Madde 11'de belirtilen yükümlülüklerin herhangi bir taraf veya alt işleyici tarafından ihlali sonucu zarara uğrayan herhangi bir veri sahibinin, uğranılan zarar için veri aktarıcısından tazminat alma hakkına sahip olduğunu kabul eder.
2. Veri sahibinin veya onun alt işleyicisinin Madde 3 veya Madde 11'de belirtilen yükümlülüklerden herhangi birini ihlal etmesinden kaynaklanan, veri sahibinin paragraf 1 uyarınca veri dışa aktaran kişiye karşı tazminat talebinde bulunamaması durumunda, Veri dışa aktaran fiili olarak ortadan kaybolduğu veya kanunen varlığı sona erdiği veya iflas ettiği için, veri içe aktaran, herhangi bir halef kuruluş tüm veriyi üstlenmediği sürece, veri sahibinin veri içe aktaran kişiye karşı sanki veri aktaran kişiymiş gibi hak talebinde bulunabileceğini kabul eder. veri aktarıcısının kanun gereği sözleşme yoluyla yasal yükümlülükleri; bu durumda veri sahibi haklarını bu kuruluşa karşı kullanabilir. Veri içe aktaran, kendi yükümlülüklerinden kaçınmak için bir alt işleyicinin yükümlülüklerini ihlal etmesine dayanamaz.
3. Bir veri sahibinin, 1. ve 2. paragraflarda atıfta bulunulan veri dışa aktaran veya veri içe aktaran kişiye karşı, alt işleyicinin Madde 3 veya Madde 11'de atıfta bulunulan yükümlülüklerinden herhangi birini ihlal etmesinden kaynaklanan bir talepte bulunamaması durumunda; hem veri dışa aktaran hem de veri içe aktaran fiili olarak ortadan kaybolmuşsa veya kanunen varlığı sona ermişse veya iflas etmişse, alt işleyici, veri sahibinin Maddeler uyarınca kendi işleme faaliyetleriyle ilgili olarak veri alt işleyicisine karşı sanki kendisi gibi bir talepte bulunabileceğini kabul eder. halef herhangi bir kuruluş, sözleşme veya kanun gereği veri dışa aktaranın veya veri içe aktaranın tüm yasal yükümlülüklerini üstlenmediği sürece, veri dışa aktaran veya veri içe aktaran kişi olsaydı; bu durumda veri sahibi, bu tür bir kuruluşa karşı haklarını kullanabilir. Alt işleyicinin sorumluluğu, Maddeler kapsamında kendi işleme faaliyetleriyle sınırlı olacaktır.

Madde 7 - Arabuluculuk ve yargı yetkisi

1. Veri içe aktaran, veri sahibinin kendisine karşı üçüncü taraf lehtar haklarına başvurması ve/veya Maddeler kapsamındaki zararlar için tazminat talep etmesi durumunda veri içe aktaranın, veri sahibinin kararını kabul edeceğini kabul eder:

• anlaşmazlığın bağımsız bir kişi tarafından veya uygulanabildiği hallerde denetim makamı tarafından arabulucuya havale edilmesi;
• Anlaşmazlığı, veri aktarıcısının yerleşik olduğu Üye Devletteki mahkemelere havale etmek.

2. Taraflar, veri sahibinin yaptığı seçimin, ulusal veya uluslararası hukukun diğer hükümleri uyarınca çözüm arama konusundaki esas veya usul haklarına halel getirmeyeceğini kabul eder.

Madde 8 - Denetleyici makamlarla işbirliği

1. Veri aktarıcısı, talep etmesi veya Veri Koruma Kanunu uyarınca böyle bir saklamanın gerekli olması halinde bu sözleşmenin bir kopyasını denetleyici makama saklamayı kabul eder.
2. Partiler, denetleme otoritesinin, veri ithalatçısının ve aynı kapsama sahip ve Veri Koruma Kanunu uyarınca veri ihracatçısının denetimine tabi olan herhangi bir alt işlemcinin denetimini yapma hakkına sahip olduğu konusunda anlaşırlar.
3. Veri içe aktaran, 2. paragraf uyarınca kendisi için geçerli olan mevzuatın veya veri içe aktaranın veya herhangi bir alt işleyicinin denetiminin yürütülmesini engelleyen herhangi bir alt işleyicinin varlığı hakkında veri dışa aktaran kişiyi derhal bilgilendirecektir. Böyle bir durumda, veri dışa aktaran, 5 inci maddenin (b) bendinde öngörülen tedbirleri almak.

Madde 9 - Geçerli Hukuk

Maddeler, veri aktarıcısının yerleşik olduğu Üye Devletin kanunlarına tabi olacaktır.

Madde 10 - Sözleşmenin Değişikliği

Taraflar, Maddeleri değiştirmemeyi veya tadil etmemeyi taahhüt ederler. Bu, Maddeye aykırı olmadıkları sürece, tarafların gerektiğinde işle ilgili konulara ilişkin hüküm eklemelerine engel değildir.

Madde 11 - Alt İşleme

1. Veri içe aktaran, veri aktaranın önceden yazılı izni olmadan, Maddeler uyarınca veri aktaran adına gerçekleştirilen işleme operasyonlarının hiçbirini alt yükleniciye veremez. Veri içe aktaranın, Maddeler kapsamındaki yükümlülüklerini, veri dışa aktaranın rızasıyla alt yükleniciye devrettiği durumlarda, bunu yalnızca alt işleyiciyle, Maddeler uyarınca veri içe aktarıcıya yüklenen yükümlülüklerin aynısını alt işleyiciye yükleyen yazılı bir anlaşma yoluyla yapacaktır. Maddeleri. Alt işleyicinin bu tür bir yazılı anlaşma kapsamındaki veri koruma yükümlülüklerini yerine getirmemesi durumunda, veri içe aktaran, alt işleyicinin bu tür bir anlaşma kapsamındaki yükümlülüklerinin yerine getirilmesi konusunda veri dışa aktarana karşı tamamen sorumlu olmaya devam edecektir.
2. Veri içe aktaran ile alt işleyici arasındaki önceden yazılı sözleşme, veri sahibinin Madde 6'nın 1. paragrafında atıfta bulunulan tazminat talebinde bulunamadığı durumlar için Madde 3'te belirtildiği üzere bir üçüncü taraf lehtar hükmünü de sağlayacaktır. fiili olarak ortadan kayboldukları veya kanunen varlıkları sona erdikleri veya iflas etmiş oldukları ve hiçbir halef kuruluşun sözleşme veya kanun gereği veri ihracatçısının veya veri ithalatçısının tüm yasal yükümlülüklerini üstlenmediği için veri ihracatçısına veya veri ithalatçısına karşı. Alt işleyicinin bu tür üçüncü taraf sorumluluğu, Maddeler uyarınca kendi işleme faaliyetleriyle sınırlı olacaktır.
3. 1. paragrafta atıfta bulunulan sözleşmenin alt işleme tabi tutulmasına ilişkin veri koruma hususlarına ilişkin hükümler, veri aktarıcısının yerleşik olduğu Üye Devletin hukukuna tabi olacaktır.
4. Veri dışa aktaran, Maddeler uyarınca akdedilen ve Madde 5 (j) uyarınca veri içe aktaran tarafından bildirilen ve yılda en az bir kez güncellenecek olan alt işleme anlaşmalarının bir listesini tutacaktır. Liste, veri aktarıcısının veri koruma denetleme makamına sunulacaktır.

Madde 12 - Kişisel veri işleme hizmetinin sona ermesinden sonraki yükümlülük

1. Taraflar, veri işleme hizmetlerinin sağlanmasının sona ermesi üzerine, veri içe aktaran ve alt işleyicinin, veri aktaranın seçimine göre, aktarılan tüm kişisel verileri ve bunların kopyalarını veri aktaran kişiye iade edeceğini veya tüm verileri imha edeceğini kabul eder. Veri içe aktaran tarafa uygulanan mevzuat, aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya yok etmesini engellemediği sürece, kişisel verileri aktaracak ve veri aktarıcısına bunu yaptığını tasdik edecektir. Bu durumda veriyi içe aktaran kişi, aktarılan kişisel verilerin gizliliğini garanti edeceğini ve aktarılan kişisel verileri artık aktif olarak işlemeyeceğini garanti eder.
2. Veri içe aktaran ve alt işleyici, veri aktaranın ve/veya denetleyici makamın talebi üzerine, veri işleme tesislerini paragraf 1'de atıfta bulunulan önlemlerin denetimi için sunacağını garanti eder.