← Tüm dokümanlar

Testinvite İnternet Sitesi'nin

Veri İşleme Eki

20 Şubat 2023'de güncellendi.

Bu Veri İşleme Eki ("Ek"), (i) Vanilya Elektronik Hizmetler ve Bilişim Tic. A.Ş. ve Bağlı Kuruluşları (topluca "Testinvite") ve (ii) Müşteri ve Bağlı Kuruluşları (topluca "Müşteri").

Bu Ekte kullanılan terimler, aksi belirtilmedikçe, Sözleşmede belirtilen anlamlara sahip olacaktır. Aşağıda değiştirilenler dışında, Sözleşmenin şartları yürürlükte kalacaktır.

Burada belirtilen karşılıklı yükümlülükler göz önünde bulundurularak, Taraflar aşağıda belirtilen hüküm ve koşulların Sözleşme'ye Ek olarak eklenmesini kabul ederler. Bağlam aksini gerektirmedikçe, Sözleşmeye yapılan bu Ekte yapılan atıflar, bu Ek tarafından ve bu Ek dahil olmak üzere tadil edilen Sözleşmeye yapılır.

1. Tanımlar

1.1 Bu Ekte, aşağıdaki terimler aşağıda belirtilen anlamlara sahip olacaktır:

1.1.1 "Bağlı Kuruluş", bir tarafı doğrudan veya dolaylı olarak kontrol eden, onun tarafından kontrol edilen veya onunla ortak kontrol altında olan veya halefi olan (isim değişikliği, tasfiye, birleşme, konsolidasyon, yeniden düzenleme, satış veya herhangi bir ticari kuruluşa veya onun işletmesine ve varlıklarına ilişkin diğer tasarruflar).

1.1.2 "Geçerli Yasalar", (a) Müşterinin AB Veri Koruma Yasalarına tabi olduğu hallerde Müşteri Kişisel Verisine ilişkin Avrupa Birliği veya Üye Devlet yasaları; veya (b) geçerli olduğu şekilde diğer herhangi bir yargı yetkisinin kanunları.

1.1.3 "Müşterinin Kişisel Verileri", Testinvite tarafından Sözleşme uyarınca veya Sözleşme ile bağlantılı olarak Müşteri adına İşlenen tüm Kişisel Veriler anlamına gelir.

1.1.4 "Veri Koruma Yasaları", AB Veri Koruma Yasaları ve geçerli olduğu ölçüde, diğer herhangi bir yargı bölgesinin veri koruma veya gizlilik yasaları anlamına gelir.

1.1.5 “EEA”, Avrupa Ekonomik Alanı anlamına gelir.

1.1.6 "AB Veri Koruma Yasaları", her Üye Devletin iç mevzuatında uygulanan ve GDPR ve GDPR'yi uygulayan veya tamamlayan yasalar da dahil olmak üzere zaman zaman değiştirilen, değiştirilen veya yürürlükten kaldırılan AB Direktifi 95/46/EC anlamına gelir.

1.1.7 "GDPR", AB Genel Veri Koruma Yönetmeliği 2016/679 anlamına gelir.

1.1.8 "Sınırlı Aktarım", Müşterinin Kişisel Verilerinin AEA dışına, Avrupa Komisyonu tarafından kişisel veriler için yeterli düzeyde koruma sağladığı kabul edilmeyen herhangi bir ülkeye doğrudan veya ileriye dönük aktarım yoluyla Testinvite'a aktarılması anlamına gelir ( GDPR'de açıklandığı gibi).

1.1.9 "Hizmetler", bu Ek'in amaçları doğrultusunda Hizmetler (Sözleşmede tanımlandığı şekliyle) anlamına gelir.

1.1.10 "Standart Sözleşme Maddeleri", Ek'te belirtilen sözleşme maddeleri anlamına gelir.

1.1.11 "Alt İşleyici", Testinvite tarafından veya adına Müşterinin Kişisel Verilerini İşlemek üzere atanan herhangi bir üçüncü taraf anlamına gelir.

1.2 "Komisyon", "Kontrolör", "Veri Konusu", "Üye Devlet", "Kişisel Veriler", "Kişisel Veri İhlali", "İşleme" ve "Denetleyici Makam" terimleri, GDPR'deki ile aynı anlama sahiptir.

2. Müşteri Kişisel Verilerinin İşlenmesi

2.1 Bu Ek, Testinvite'ın Müşteriye Hizmet sağlaması sırasında Müşterinin Kişisel Verilerini İşlemesi için geçerlidir. Bu nedenle, Testinvite Veri İşleyendir ve Müşteri Veri Sorumlusudur.

2.2 Testinvite, Test Invite’ın tabi olduğu Geçerli Yasaların İşlemeyi gerektirmesi dışında, Müşterinin Kişisel Verilerini yalnızca Müşterinin belgelenmiş talimatlarına uygun olarak İşleyecektir; bu durumda Testinvite, Geçerli Yasaların izin verdiği ölçüde Müşteriyi bu yasal gereklilik konusunda bilgilendirecektir. Kişisel Verileri İşlemeden önce.

2.3 Müşteri (i) Testinvite'a Müşterinin Kişisel Verilerini işlemesi talimatını verir ve (ve Testinvite'a her bir Alt İşleyiciye talimat vermesi için yetki verir) ve özellikle Müşteri Kişisel Verilerini Hizmetlerin sağlanması için makul ölçüde gerekli olduğu ve aşağıdakilerle tutarlı olduğu şekilde herhangi bir ülke veya bölgeye aktarır: anlaşma; ve (ii) (a) ilgili tüm zamanlarda bu tür talimatları vermeye yetkili olduğunu ve kalacağını ve (b) bu tür tüm talimatların Yürürlükteki Yasalara uygun olduğunu beyan ve garanti eder.

2.4 Testinvite'ın makul görüşüne göre herhangi bir talimat Geçerli Yasaları ihlal ederse, Testinvite Müşteri'yi derhal bilgilendirecektir.

2.5 Bu Ek'in Ek 1'i, GDPR'nin 28(3) Maddesi uyarınca veya eşdeğer Geçerli Veri Koruma Yasalarının hükümleri uyarınca Testinvite'ın Müşterinin Kişisel Verilerini İşlemesine ilişkin belirli bilgileri ortaya koymaktadır. Müşteri, bu gereklilikleri karşılamak için makul olarak gerekli gördüğü durumlarda, zaman zaman Testinvite'a yazılı bildirimde bulunarak Ek 1'de makul değişiklikler yapabilir.

3. Testinvite Personeli

Testinvite, Müşterinin Kişisel Verilerine erişimi olabilecek herhangi bir Testinvite çalışanının, temsilcisinin veya yüklenicisinin Müşterinin Kişisel Verilerine ilişkin gizlilik taahhütlerine tabi olmasını sağlayacaktır.

4. Güvenlik

4.1 Testinvite, en son teknolojiyi, uygulama maliyetlerini ve İşlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve ayrıca gerçek kişilerin hakları ve özgürlüklerini dikkate alarak GDPR'nin 32(1) de belirtilen uygun teknik ve organizasyonel tedbirleri alacaktır.

4.2 Uygun güvenlik seviyesini değerlendirirken Testinvite, özellikle Kişisel Verilerin İhlalinden kaynaklanan İşleme tarafından sunulan riskleri dikkate alacaktır.

5. Alt işleme

5.1 Müşteri, Testinvite'a işbu Madde 5 ve Sözleşmedeki tüm kısıtlamalar uyarınca Alt İşleyiciler atama yetkisi verir (ve bu Madde 5 uyarınca atanan her bir Alt İşleyicinin atama yapmasına izin verir).

5.2 Testinvite, bu Ek'in tarihi itibariyle görevlendirdiği Alt İşleyicileri kullanmaya devam edebilir.

5.3 Testinvite, Alt İşleyici tarafından gerçekleştirilecek İşlemenin ayrıntıları da dahil olmak üzere herhangi bir yeni Alt İşleyicinin atanmasına ilişkin bir bildirimi web sitesinde (Gizlilik Politikası) yayınlayacaktır. Müşteri, 10 iş günü içinde Testinvite'a önerilen atamaya herhangi bir makul itirazı yazılı olarak bildirirse, Testinvite, Müşteri tarafından yapılan itirazları ele almak için makul adımlar atılana kadar önerilen Alt İşleyiciyi atamaz (veya herhangi bir Müşteri Kişisel Verisini ifşa etmez).

5.4 Testinvite, her bir Alt İşleyici ile ilgili olarak:

5.4.1 Testinvite ile Alt İşleyici arasındaki anlaşmanın, Müşterinin Kişisel Verileri için en azından bu Ek'te belirtilenlerle aynı düzeyde koruma sağlayan şartlar içeren yazılı bir sözleşmeye tabi olduğundan ve GDPR Madde 28(3)'ün veya eşdeğer Geçerli Veri Koruma Yasalarının hükümlerinin gerekliliklerini karşıladığından emin olacaktır;

5.4.2 Bu düzenleme bir Kısıtlı Aktarım içeriyorsa ve Kısıtlı Aktarım sırasında Testinvite'ın Privacy Shield programı kapsamında bir sertifikası veya Trans-Atlantik Veri Gizliliği Çerçevesi kapsamındaki bir düzenlemesi yoksa, Testinvite Standart Sözleşme Maddeleri’nin, Testinvite ile Alt İşleyici arasındaki sözleşmeye dahil edileceğinden emin olacaktır.

5.5 Testinvite, bu Ek'in yükümlülüklerine uygunluğundan ve herhangi bir Alt İşleyicinin Testinvite'ın bu Ek kapsamındaki yükümlülüklerinden herhangi birini ihlal etmesine neden olan herhangi bir eylemi veya ihmalinden sorumlu olmaya devam edecektir.

6. Veri Sahibi Hakları

6.1 Hizmetler, Müşteriye Müşterinin Kişisel Verilerini alması, düzeltmesi, silmesi veya kısıtlaması için çeşitli yollar sağlar. Müşteri, bu araçları, Veri Sahiplerinden gelen taleplere yanıt vermeyle ilgili yükümlülükleri de dahil olmak üzere, GDPR kapsamındaki veya eşdeğer Geçerli Veri Koruma Yasalarının hükümlerinin yükümlülükleriyle bağlantılı olarak kendisine yardımcı olacak teknik ve organizasyonel önlemler olarak kullanabilir.

6.2 Testinvite (i) herhangi bir Veri Koruma Yasaları kapsamında bir Veri Sahibinden Müşterinin Kişisel Verileri ile ilgili bir talep alırsa Müşteriyi derhal bilgilendirecektir; ve (ii) Testinvite'ın tabi olduğu Yürürlükteki Yasaların gerektirdiği durumlar dışında bu talebe derhal yanıt vermeyecek; bu durumda Testinvite, Geçerli Yasaların izin verdiği ölçüde, Testinvite talebe yanıt vermeden önce Müşteriyi bu yasal gereklilik konusunda bilgilendirecektir.

7. Kişisel Veri İhlalleri

7.1 Testinvite, Müşterinin Kişisel Verilerini etkileyen bir Kişisel Veri İhlalinden haberdar olması üzerine Müşteriyi gereksiz bir gecikme olmaksızın bilgilendirecek ve Müşterinin Veri Koruma Yasaları kapsamında Veri Sahiplerini Kişisel Veri İhlalini bildirme veya bilgilendirme yükümlülüğünü yerine getirmesine izin verecek yeterli bilgiyi sağlayacaktır.

7.2 Testinvite, Müşteri ile işbirliği yapacak ve bu tür Kişisel Veri İhlallerinin araştırılmasına, hafifletilmesine ve düzeltilmesine yardımcı olmak için Müşteri tarafından talep edilen makul ticari adımları atacaktır.

8. Müşteri Kişisel Verilerinin Silinmesi veya İadesi

8.1 Madde 8.2'ye tabi olarak, Müşteri Kişisel Verilerinin toplanmasını takip eden 180 gün içinde, Müşteri Testinvite'den söz konusu tarihten önce tüm Müşteri Kişisel Verilerini silmesini talep etmedikçe, Testinvite Müşterinin Kişisel Verilerini kalıcı olarak silecektir.

8.2 Yukarıda belirtilenlere bakılmaksızın Testinvite, Müşterinin Kişisel Verilerini Geçerli Yasaların gerektirdiği ölçüde ve yalnızca Geçerli Yasaların gerektirdiği ölçüde ve bu süre boyunca saklayabilir (ve Testinvite, Müşterinin personeli için iş iletişim bilgilerini saklayabilir). Testinvite, bu tür tüm Müşteri Kişisel Verilerinin gizliliğini sağlayacak ve bu tür Müşteri Kişisel Verilerinin yalnızca, ilgili Kanunlarda belirtilen ve saklanmasını gerektiren amaç(lar) için gerekli olduğu şekilde İşlenmesini ve başka hiçbir amaçla İşlenmemesini sağlayacaktır.

9. Veri Koruma Etki Değerlendirmeleri ve Denetim Hakları

9.1 Testinvite, Müşterinin GDPR'nin 35 veya 36. Maddesi veya eşdeğer Geçerli Veri Koruma Yasa hükümleri uyarınca makul olarak gerekli gördüğü tüm veri koruma etki değerlendirmeleri ve Denetleme Makamları veya diğer yetkili veri gizliliği yetkilileriyle önceden istişareler konusunda Müşteriye makul yardım sağlayacaktır. Müşteri, Testinvite'a denetimi yürütmesi talimatını vererek, varsa Standart Sözleşme Maddeleri kapsamındakiler dahil olmak üzere denetim veya teftiş yapmak için sahip olabileceği her türlü hakkı kullanmayı kabul eder.

10. Kısıtlı Transferler

10.1 Testinvite, Kısıtlı Aktarım sırasında Gizlilik Kalkanı programı kapsamında sertifikaya veya Trans-Atlantik Veri Gizliliği Çerçevesi kapsamındaki bir düzenlemeye sahip değilse, Testinvite herhangi bir Kısıtlı Aktarımla ilgili olarak Standart Sözleşme Maddelerini kabul edecektir.

11. Genel Hükümler

11.1 Standart Sözleşme Maddelerinin 7. maddesi (Aracılık ve Yargı Yetkisi) ve 9. maddesine (Geçerli Kanun) halel getirmeksizin:

11.1.1 Taraflar, varlığı, geçerliliği veya feshi veya hükümsüzlüğünün sonuçları ile ilgili ihtilaflar dahil olmak üzere, bu Ek kapsamında nasıl ortaya çıkarsa çıksın herhangi bir ihtilaf veya taleple ilgili olarak Sözleşmede öngörülen yargı yetkisi seçimini sunmayı kabul ederler; Ve

11.1.2 Bu Ek ve bundan kaynaklanan veya onunla bağlantılı olan tüm sözleşme dışı veya diğer yükümlülükler, Sözleşmede bu amaçla belirtilen ülke veya bölgenin yasalarına tabidir.

11.2 Bu Ek ile Standart Sözleşme Maddeleri arasında herhangi bir çelişki veya tutarsızlık olması durumunda, Standart Sözleşme Maddeleri geçerli olacaktır. Bu Ek ile Sözleşme dahil olmak üzere Taraflar arasındaki diğer tüm sözleşmeler arasında tutarsızlık olması durumunda ve (Taraflar adına imzalanan, yazılı olarak aksi açıkça kararlaştırılan durumlar hariç) Sözleşme tarihinden sonra akdedilmiş sözleşmeler bu Ek'in hükümleri geçerli olacaktır.

11.3 Bu Ek Sözleşme feshedilene veya sona erene kadar yürürlükte kalır.

11.4 Taraflardan her birinin bu Ek kapsamındaki yükümlülüğü, Sözleşmede belirtilen sorumluluk istisnalarına ve sınırlamalarına tabidir.

11.5 Bu Ek'in herhangi bir hükmünün geçersiz veya uygulanamaz olması durumunda, bu Ek'in geri kalanı geçerli ve yürürlükte kalacaktır. Geçersiz veya uygulanamaz hüküm ya (i) Tarafların niyetlerini mümkün olduğu kadar koruyarak geçerliliğini ve uygulanabilirliğini sağlamak için gerektiği şekilde değiştirilecek veya bu mümkün değilse, (ii) geçersizmiş gibi yorumlanacaktır.

EK 1: Veri İşlemenin Konusu ve Detayları

Bu Ek 1, GDPR Madde 28(3) gereğince veya eşdeğer Geçerli Veri Koruma Yasalarının hükümleriri uyarınca Müşterinin Kişisel Verilerinin İşlenmesiyle ilgili belirli ayrıntıları içerir.

Transferin detayları:

(a) Veri aktarıcısı:

İsim: Müşteriye Hizmet sağlanmasını düzenleyen Sözleşme veya diğer yazılı veya elektronik sözleşme uyarınca ("Sözleşme") Hizmeti sağlamak üzere Testinvite'ı görevlendiren Müşteri.

Adres: Sözleşmede belirtildiği gibi veya Testinvite'a sağlandığı gibi.

İrtibat kurulacak kişinin adı, pozisyonu ve iletişim bilgileri: Sözleşmede belirtildiği gibi veya Testinvite'a sağlandığı gibi.

Bu Maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Testinvite Hizmeti sağlar ve Müşteri Hizmeti kullanır ve Testinvite kişisel verileri Sözleşmede açıklandığı şekilde işler.

(b) Veri alıcısı:

İsim: Vanilya Elektronik Hizmetler ve Bilişim Tic. GİBİ. d/b/a Testinvite

Adres: Esentepe mah. Kore Şehitleri Cad. No:29 Zincirlikuyu Şişli İstanbul.

İrtibat kurulacak kişinin adı, pozisyonu ve iletişim bilgileri: hello@testinvite.com.

Bu Maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Testinvite Hizmeti sağlar ve Müşteri Hizmeti kullanır ve Testinvite kişisel verileri Sözleşmede açıklandığı şekilde işler.

(c) Veri konularının kategorileri:

Testinvite tarafından Müşteri adına İşlenecek Kişisel Veriler, aşağıdaki Veri Sahibi kategorileriyle ilgili olabilir, ancak bunlarla sınırlı değildir:

  • Çalışanlar, adaylar, öğrenciler, yükleniciler, acenteler ve gönüllüler
  • Müşteriler, müşteriler ve (varsa) personeli

(d) Kişisel veri kategorileri:

Testinvite tarafından Müşteri adına İşlenecek Kişisel Veriler aşağıdaki Kişisel Veri kategorilerini içerebilir ancak bunlarla sınırlı değildir:

  • ad, e-posta adresi ve telefon numarası gibi iletişim bilgileri;
  • web kamera özellikli sınavlar için kaydedilen canlı video ve ses kayıtları;
  • sınavdan kısa bir süre önce ve sınav sırasında erişim için kullanılan kaynakların canlı video ve ekran görüntüsü kayıtları, fare hareketleri ve detayları;
  • • İnternet Protokolü (IP) adresi, oturum açma bilgileri, tarayıcı türü ve sürümü, ekran çözünürlüğü, flash sürümü, saat dilimi ayarı, tarayıcı eklenti türleri ve sürümleri, tarayıcı erişimi, işletim sistemi, platform ve trafik verileri, çerezler gibi teknik bilgiler veriler, web günlükleri ve diğer iletişim verileri.

(e) Özel veri kategorileri (varsa):

Testinvite, Hizmetin sağlanmasıyla bağlantılı olarak herhangi bir özel kategorideki veriyi toplamak veya işlemek istemez ve bunu kasıtlı olarak yapmaz.

(f) İşleme işlemleri:

Testinvite, Müşterinin küresel olarak güvenli, yüksek kaliteli çevrimiçi sınavlara hazırlanmasını ve yürütmesini desteklemek için tasarlanmış yazılım ve/veya hizmetler sağlar.

EK 2: Güvenlik Tedbirleri

Madde 4(d) ve 5(c) uyarınca veri içe aktaran tarafından uygulanan teknik ve organizasyonel önlemlerin açıklaması

Fiziksel güvenlik

Testinvite, işlemleri için bulut hizmetlerini kullanır. Testinvite'ın bulunduğu fiziksel tesisler, erişim elde etmek için bir RFID çipi gerektirir.

Bilgi Erişimi

Çalışanlar, iş uygulamalarında yer alan verilere yalnızca 'bilinmesi gerekenler' temelinde erişebilir. Ayrıcalıklı kullanıcılara 'erişim ihtiyacı' esasına göre verilir.

Uç Nokta Güvenliği

Testinvite, uç nokta güvenliği ve virüslere ve fidye yazılımlarına karşı koruma için Sophos'u kullanır. Cihazın kaybolması veya çalınması durumunda tüm cihazlar, uzaktan kaydırma etkinleştirilmiş şekilde şifrelenir.

Alt İşlemci Güvenliği

Testinvite, Alt İşleyici tarafından sunulan riskleri değerlendirdikten sonra, Alt İşleyicinin uygun güvenlik, gizlilik ve mahremiyet sözleşmesi şartlarını kabul etmesi gerekir.

EK: STANDART SÖZLEŞME MADDELERİ

Kişisel verilerin Topluluktan üçüncü ülkelere aktarımına ilişkin standart sözleşme maddeleri (veri sorumlusundan işleyiciye aktarımlar)

Kişisel verilerin yeterli düzeyde veri koruması sağlamayan üçüncü ülkelerde yerleşik işleyicilere aktarılmasına ilişkin 95/46/EC sayılı Direktifin 26(2) Maddesi amaçları doğrultusunda, yasal adı Vanilya Elektronik Hizmetler ve Bilişim Tic olan Testinvite . A.S. (bundan böyle "veri alıcısı" olarak anılacaktır) ve Müşteri (bundan sonra "veri aktarıcısı" olarak anılacaktır) her biri bir "taraf"tır; “taraflar” birlikte, verileri dışa aktaran tarafından veri içe aktarana aktarılan bireylerin mahremiyetinin ve temel hak ve özgürlüklerinin korunmasına ilişkin yeterli güvenceleri sağlamak için aşağıdaki Sözleşme Maddeleri (Maddeler) üzerinde KABUL ETMİŞLERDİR.

Madde 1 - Tanımlar

Maddelerin amaçları doğrultusunda:

  • 'kişisel veriler', 'özel veri kategorileri', 'işlem/işleme', 'denetleyici', 'işlemci', 'veri sahibi' ve 'denetim makamı', 95/46/EC sayılı Direktifte belirtilen anlamlara sahip olacaktır. Avrupa Parlamentosu ve Konseyi'nin 24 Ekim 1995 tarihli kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ile ilgili olarak bireylerin korunması;
  • "veri aktarıcısı", kişisel verileri aktaran verı sorumlusu anlamına gelir;
  • 'veri alıcısı', aktarımdan sonra kendi talimatlarına ve Maddelerin koşullarına uygun olarak kendi adına işlenmesi amaçlanan kişisel verileri verileri verı aktarıcısından almayı kabul eden ve yeterli güvenliği sağlayan üçüncü bir ülke sistemine tabi olmayan verı işleyen anlamına gelir;
  • 'alt işleyici', veri içe aktaran veya veri içe aktaranın başka herhangi bir alt işleyicisi tarafından görevlendirilen ve veri içe aktaranın veya veri içe aktaranın diğer herhangi bir alt işleyicisinden münhasıran üzerinde yürütülecek faaliyetlerin işlenmesine yönelik kişisel verileri almayı kabul eden herhangi bir işlemci anlamına gelir;
  • 'Veri Koruma Yasası', veri aktaranın yerleşik olduğu Üye Devlette bir veri denetleyicisi için geçerli olan kişisel verilerin işlenmesine ilişkin olarak bireylerin temel hak ve özgürlüklerini ve özellikle mahremiyet haklarını koruyan mevzuat anlamına gelir;
  • 'teknik ve organizasyonel güvenlik önlemleri', kişisel verileri kazara veya yasa dışı imhaya veya kazara kaybolmaya, değiştirilmeye, yetkisiz ifşaya veya erişime karşı, özellikle işlemenin verilerin bir ağ üzerinden iletilmesini içerdiği durumlarda ve diğer tüm yasa dışı durumlara karşı korumayı amaçlayan önlemler anlamına gelir.

Madde 2 - Transferin Ayrıntıları

Transferin ayrıntıları ve özellikle uygun olduğu durumlarda özel kişisel veri kategorileri, Maddelerin ayrılmaz bir parçasını oluşturan Ek 1'de belirtilmiştir.

Madde 3 - Üçüncü taraf lehdar maddesi

  1. 1. Veri sahibi, bu Maddeyi, Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6(1) ve (2)'yi veri aktarıcısına karşı uygulayabilir. , Madde 7, Madde 8(2) ve Madde 9 ila 12, üçüncü taraf lehtar olarak.
  2. 2. Veri sahibi, verileri dışa aktaranın şu durumlarda bu Maddeyi, Madde 5(a) ila (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 ila 12'yi uygulayabilir. herhangi bir halef kuruluş, sözleşme veya kanun gereğince veri aktaranın tüm yasal yükümlülüklerini üstlenmediği ve bunun sonucunda veri dışa aktaranın hak ve yükümlülüklerini üstlendiği haller dışında fiilen ortadan kalktıysa veya hukuken ortadan kalktıysa, bu durumda veri konusu bunları bu tür bir varlığa karşı uygulayabilir.
  3. 3. Veri sahibi, hem veri aktarıcısının hem de veri aktarıcısının bulunduğu durumlarda bu Madde, Madde 5(a) ila (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 ila 12'yi alt işleyiciye karşı uygulayabilir. ve veri aktaranın fiilen ortadan kaybolması veya hukuken varlığının sona ermesi veya iflas etmesi, herhangi bir halef tüzel kişinin sözleşme veya kanun gereğince veri aktaranın tüm yasal yükümlülüklerini üstlenmemesi ve bunun sonucunda hakları üstlenmesi ve veri dışa aktaranın yükümlülükleri, bu durumda veri sahibi bunları söz konusu varlığa karşı uygulayabilir. Alt işleyicinin bu tür üçüncü taraf sorumluluğu, Maddeler kapsamındaki kendi işleme operasyonlarıyla sınırlı olacaktır.
  4. 4. Taraflar, veri öznesinin açıkça istemesi ve ulusal yasalarca izin verilmesi halinde, veri öznesinin bir dernek veya başka bir kuruluş tarafından temsil edilmesine itiraz etmez.

Madde 4 - Veri aktaranın yükümlülükleri

Verileri dışa aktaran kişi aşağıdakileri kabul eder ve garanti eder:

  • kişisel verilerin aktarımı da dahil olmak üzere işlenmesinin Veri Koruma Kanunu'nun ilgili hükümlerine uygun olarak yapıldığını ve yapılmaya devam edileceğini (ve varsa Üye Devletin ilgili makamlarına bildirildiğini) veri aktaranın yerleşik olduğu ve o Devletin ilgili hükümlerini ihlal etmediği;
  • kişisel veri işleme hizmetlerinin süresi boyunca veri aktarana aktarılan kişisel verileri yalnızca veri aktaran adına ve Kişisel Verilerin Korunması Kanunu ve Maddelerine uygun olarak işlemesi talimatını verdiğini ve vereceğini;
  • veri alıcısının, bu sözleşmenin Ek 2'sinde belirtilen teknik ve organizasyonel güvenlik önlemleri ile ilgili olarak yeterli garantileri sağlayacağını;
  • Veri Koruma Yasası gerekliliklerinin değerlendirilmesinden sonra, güvenlik önlemlerinin, özellikle işlemenin bir ağ üzerinden veri iletimini içerdiği durumlarda, kişisel verileri kazara veya hukuka aykırı olarak imha edilmeye veya kazara kaybolmaya, değiştirilmeye, yetkisiz ifşaya veya erişime karşı korumak için uygun olduğunu ve diğer tüm yasa dışı işleme biçimlerine karşı ve bu önlemlerin, teknolojinin son durumu ve uygulama maliyeti dikkate alınarak, işlemenin getirdiği risklere ve korunacak verilerin doğasına uygun bir güvenlik düzeyi sağlaması;
  • güvenlik önlemlerine uyulmasını sağlayacağını; aktarımın özel veri kategorileri içermesi halinde, veri sahibinin aktarımdan önce veya aktarımdan mümkün olan en kısa süre sonra, verilerinin yeterli koruma sağlamayan üçüncü bir ülkeye aktarılabileceği konusunda bilgilendirildiği veya bilgilendirileceği. Direktif 95/46/EC;
  • Madde 5(b) ve Madde 8(3) uyarınca verileri içe aktaran veya herhangi bir alt işleyiciden alınan herhangi bir bildirimi, verileri dışa aktaranın aktarıma devam etmeye veya askıya alma işlemini kaldırmaya karar vermesi durumunda veri koruma denetleme makamına iletmek;
  • Ek 2 hariç olmak üzere, Maddelerin bir kopyasını ve güvenlik önlemlerinin özet bir açıklamasını ve buna uygun olarak yapılması gereken alt işleme hizmetleri için herhangi bir sözleşmenin bir kopyasını talep üzerine veri sahiplerine sunmak. Maddeler veya sözleşme ticari bilgiler içermedikçe, bu durumda söz konusu ticari bilgileri kaldırabilir;
  • alt işleme durumunda, işleme faaliyetinin Madde 11'e uygun olarak, kişisel veriler için en az aynı düzeyde koruma sağlayan bir alt işleyici tarafından yürütüldüğünü ve Maddeler kapsamında veri içe aktaran olarak veri konusunun haklarını; Ve
  • Madde 4(a) ila (i)'ye uygunluğu sağlayacağını taahhüt eder.

Madde 5 - Veri aktaranın yükümlülükleri

Verileri içe aktaran kişi şunları kabul eder ve garanti eder:

  • kişisel verileri yalnızca verileri dışa aktaran kişi adına ve onun talimatlarına ve Maddelerine uygun olarak işlemek; herhangi bir nedenle bu tür bir uyumluluğu sağlayamazsa, veri dışa aktaranına uyum sağlayamayacağını derhal bildirmeyi kabul eder, bu durumda veri dışa aktaran veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;
  • tabi olduğu mevzuatın, veri aktarıcısından aldığı talimatları ve sözleşme kapsamındaki yükümlülüklerini yerine getirmesini engellediğine ve bu mevzuatta önemli ölçüde olumsuz etki doğurabilecek bir değişiklik olması halinde, Maddeler tarafından sağlanan garantiler ve yükümlülükler konusunda, değişikliği öğrenir öğrenmez derhal veri dışa aktarana bildirecektir, bu durumda veri dışa aktaranın veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkı vardır;
  • aktarılan kişisel verileri işlemeden önce Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uyguladığını;
  • veri aktarıcısını aşağıdakiler hakkında derhal bilgilendirecektir:
    • Aksi yasaklanmadıkça, örneğin bir kolluk kuvvetleri soruşturmasının gizliliğini korumak için ceza hukuku kapsamındaki bir yasaklama gibi, kişisel verilerin bir emniyet makamı tarafından ifşa edilmesine yönelik yasal olarak bağlayıcı herhangi bir talep,
    • herhangi bir kazara veya yetkisiz erişim ve
    • aksi yönde yetkilendirilmedikçe, bu talebe yanıt verilmeden doğrudan ilgili kişilerden alınan herhangi bir talep;
  • aktarıma konu olan kişisel verilerin işlenmesiyle ilgili olarak verileri dışa aktaranın tüm sorularını zamanında ve uygun şekilde ele almak ve aktarılan verilerin işlenmesiyle ilgili olarak denetim makamının tavsiyelerine uymak;
  • veri dışa aktaranın talebi üzerine, veri dışa aktaran tarafından veya bağımsız üyelerden oluşan ve gerekli mesleki niteliklere sahip bir denetim kuruluşu tarafından yürütülecek Maddeler kapsamındaki işleme faaliyetlerinin denetimine veri işleme tesislerini ibraz etmesi; uygun olduğunda, veri aktarıcısı tarafından denetim makamı ile mutabık kalınarak seçilen bir gizlilik görevi;
  • Maddeler veya sözleşme ticari bilgiler içermediği sürece, talep üzerine, Maddelerin veya herhangi bir mevcut alt işleme sözleşmesinin bir kopyasını veri sahibine sunmak; bu durumda, Ek 2 hariç olmak üzere, bu tür ticari bilgileri kaldırabilir. veri öznesinin verileri dışa aktaran kişiden bir kopya elde edemediği durumlarda güvenlik önlemlerinin bir özet açıklaması ile değiştirilir;
  • alt işleme durumunda, veri aktarıcısını önceden bilgilendirdiğini ve önceden yazılı onayını aldığını;
  • alt işleyici tarafından işleme hizmetlerinin Madde 11'e uygun olarak gerçekleştirileceğini;
  • Maddeler kapsamında imzaladığı herhangi bir alt işleyici sözleşmesinin bir kopyasını verileri dışa aktaran kişiye derhal göndermek.

Madde 6 - Sorumluluk

  1. Taraflar, Madde 3 veya Madde 11'de atıfta bulunulan yükümlülüklerin herhangi bir taraf veya alt işlemci tarafından ihlali sonucunda zarar gören herhangi bir veri sahibinin, uğradığı zarar için verileri dışa aktaran kişiden tazminat alma hakkına sahip olduğunu kabul eder.
  2. Bir veri öznesi, verileri içe aktaranın veya onun alt işleyicisinin 3. veya 11. Maddede atıfta bulunulan yükümlülüklerinden herhangi birinin ihlalinden kaynaklanan, 1. paragraf uyarınca verileri dışa aktarana karşı bir tazminat talebinde bulunamıyorsa, verileri dışa aktaranın fiili olarak ortadan kaybolması veya yasal olarak varlığının sona ermesi veya iflas etmesi nedeniyle, veri içe aktaran kişi, herhangi bir halef tüzel kişiliğin tamamını üstlenmediği sürece, veri öznesinin verileri dışa aktaran kişiymiş gibi veri içe aktarana karşı bir hak talebinde bulunabileceğini kabul eder. veri ihracatçısının sözleşme veya kanun gereği yasal yükümlülükleri; bu durumda veri konusu, haklarını bu tür bir varlığa karşı ileri sürebilir. Veri içe aktaran, kendi yükümlülüklerinden kaçınmak için bir alt işleyicinin yükümlülüklerini ihlal etmesine güvenemez.
  3. Bir veri öznesi, 1. ve 2. paragraflarda atıfta bulunulan veri dışa aktaran veya veri içe aktaran kişiye karşı, alt işleyicinin 3. veya 11. hem verileri dışa aktaran hem de verileri içe aktaran fiilen ortadan kayboldu veya hukuken varlıkları sona erdi veya iflas ettiyse, alt işlemci, veri öznesinin, Maddeler kapsamında kendi işleme faaliyetleriyle ilgili olarak veri alt işlemcisine karşı bir hak talebinde bulunabileceğini kabul eder. herhangi bir ardıl kuruluş, sözleşme veya kanun gereği veri ihracatçısı veya veri ithalatçısının tüm yasal yükümlülüklerini üstlenmediği sürece, veri sahibi bu tür bir varlığa karşı haklarını ileri sürebilir.Alt işleyicinin sorumluluğu, Maddeler uyarınca kendi işleme operasyonlarıyla sınırlı olacaktır.

Madde 7 - Arabuluculuk ve yargı yetkisi

  1. Veri içe aktaran, veri öznesinin kendisine karşı üçüncü taraf lehdar haklarını ileri sürmesi ve/veya Maddeler kapsamında zararlar için tazminat talep etmesi durumunda, veri içe aktaranın veri öznesinin kararını kabul edeceğini kabul eder:
    • anlaşmazlığı bağımsız bir kişi veya uygun olduğu hallerde denetim makamı tarafından arabulucuya havale etmek;
    • anlaşmazlığı, verileri dışa aktaranın yerleşik olduğu Üye Devletteki mahkemelere götürmek.
  2. Taraflar, veri konusu tarafından yapılan seçimin, ulusal veya uluslararası hukukun diğer hükümleri uyarınca çözüm arama konusundaki maddi veya usule ilişkin haklarına halel getirmeyeceğini kabul eder.

Madde 8 - Denetleyici makamlarla işbirliği

  1. 1. Verileri dışa aktaran kişi, talep etmesi veya Veri Koruma Kanunu kapsamında böyle bir veri aktarımının gerekli olması halinde, bu sözleşmenin bir nüshasını denetim makamına sunmayı kabul eder.
  2. 2. Taraflar, denetim makamının, Veri Koruma Anlaşması kapsamında verileri dışa aktaranın denetiminde geçerli olacak aynı kapsama ve aynı koşullara tabi olan, verileri içe aktaran ve herhangi bir alt işleyiciye ilişkin bir denetim gerçekleştirme hakkına sahip olduğunu kabul eder. Kanun.
  3. 3. Veri içe aktaran kişi, kendisi veya herhangi bir alt işleyici için geçerli olan mevzuatın 2. paragraf uyarınca veri içe aktaranın veya herhangi bir alt işleyicinin denetiminin yürütülmesini engelleyen bir mevzuatın varlığı hakkında verileri dışa aktaran kişiyi derhal bilgilendirecektir. Böyle bir durumda, verileri dışa aktaran 5 inci maddenin (b) bendinde öngörülen tedbirleri almak.

Madde 9 - Geçerli Kanun

Maddeler, verileri dışa aktaranın yerleşik olduğu Üye Devletin yasalarına tabi olacaktır.

Madde 10 - Sözleşmenin değiştirilmesi

Taraflar, Maddeleri değiştirmemeyi veya değiştirmemeyi taahhüt eder. Bu durum, Madde ile çelişmediği sürece tarafların gerektiğinde işle ilgili konularda maddeler eklemesine engel değildir.

Madde 11 - Alt İşleme

  1. Verileri içe aktaran kişi, verileri dışa aktaranın önceden yazılı izni olmaksızın, Maddeler kapsamında verileri dışa aktaranın adına gerçekleştirilen işleme operasyonlarının hiçbirini alt yükleniciye vermeyecektir. Veri içe aktaranın, Maddeler kapsamındaki yükümlülüklerini veri dışa aktaranın rızasıyla alt sözleşmeye devretmesi durumunda, bunu yalnızca alt işleyiciye, Sözleşme kapsamında veri içene yüklenen yükümlülüklerin aynısını yükleyen yazılı bir anlaşma yoluyla yapacaktır. Maddeleri. Alt işleyicinin bu tür bir yazılı sözleşme kapsamındaki veri koruma yükümlülüklerini yerine getirmemesi durumunda, verileri içe aktaran kişi, alt işleyicinin bu tür bir sözleşme kapsamındaki yükümlülüklerini yerine getirmesi için verileri dışa aktarana karşı tamamen sorumlu olmaya devam edecektir.
  2. Verileri içe aktaran ile alt işleyici arasındaki önceki yazılı sözleşme, veri öznesinin 6. Maddenin 1. paragrafında atıfta bulunulan tazminat talebinde bulunamadığı durumlar için 3. fiilen ortadan kalktıkları veya hukuken varlıkları sona erdiği veya ödeme aczine düştükleri ve hiçbir ardıl kuruluş, sözleşme veya kanun gereği veri dışa aktaran veya içe aktaran kişinin tüm yasal yükümlülüklerini üstlenmediği için verileri dışa aktaran veya içe aktaran kişiye karşı. Alt işleyicinin bu tür üçüncü taraf sorumluluğu, Maddeler kapsamındaki kendi işleme operasyonlarıyla sınırlı olacaktır.
  3. 1. paragrafta atıfta bulunulan sözleşmenin alt işlemesine yönelik veri koruma yönleriyle ilgili hükümler, verileri dışa aktaranın yerleşik olduğu Üye Devletin yasalarına tabi olacaktır.
  4. Verileri dışa aktaran, Maddeler kapsamında akdedilen ve Madde 5 (j) uyarınca veri içe aktaran tarafından bildirilen ve yılda en az bir kez güncellenecek olan alt işleme anlaşmalarının bir listesini tutacaktır. Liste, verileri dışa aktaranın veri koruma denetleme makamı tarafından kullanılabilir olacaktır.

Madde 12 - Kişisel veri işleme hizmetlerinin sona ermesinden sonraki yükümlülük

  1. Taraflar, veri işleme hizmetlerinin sağlanmasının sona ermesi üzerine, veri aktaranın ve alt işleyicinin, veri dışa aktaranın seçimine bağlı olarak, aktarılan tüm kişisel verileri ve bunların kopyalarını veri dışa aktarana iade edeceğini veya tüm verileri imha edeceğini kabul eder. veri alan kişiye uygulanan mevzuat aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya imha etmesini engellemiyorsa, kişisel verileri aktarır ve verileri dışa aktarana bunu yaptığını onaylar. Bu durumda veri alıcısı, aktarılan kişisel verilerin gizliliğini garanti edeceğini ve aktarılan kişisel verileri artık aktif olarak işlemeyeceğini garanti eder.
  2. Verileri içe aktaran ve alt işleyici, verileri dışa aktaranın ve/veya denetim makamının talebi üzerine, veri işleme tesislerini 1. paragrafta atıfta bulunulan önlemlerin denetimi için sunacağını garanti eder.