Created by Erdem Ekim / Ocak, 2024
Bu Veri İşleme Eki ("Ek"), (i) Vanilya Elektronik Hizmetler ve Bilişim Tic. A.Ş. ve Bağlı Kuruluşları (topluca "Testinvite") ve (ii) Müşteri ve Bağlı Kuruluşları (topluca "Müşteri") arasındaki TestInvite Hizmet Temini Hüküm ve Koşulları’nın (“Sözleşme”) ayrılmaz bir parçasını oluşturur.
Bu Ekte kullanılan terimler, aksi belirtilmedikçe, Sözleşmede belirtilen anlamlara sahip olacaktır. Aşağıda değiştirilenler dışında, Sözleşmenin şartları yürürlükte kalacaktır.
Burada belirtilen karşılıklı yükümlülükler göz önünde bulundurularak, Taraflar aşağıda belirtilen hüküm ve koşulların Sözleşme'ye Ek olarak eklenmesini kabul ederler. Bağlam aksini gerektirmedikçe, Sözleşmeye yapılan bu Ekte yapılan atıflar, bu Ek tarafından ve bu Ek dahil olmak üzere tadil edilen Sözleşmeye yapılır.
1. Tanımlar
1.1 Bu Ekte, aşağıdaki terimler aşağıda belirtilen anlamlara sahip olacaktır:
1.1.1 "Bağlı Kuruluş", bir tarafı doğrudan veya dolaylı olarak kontrol eden, onun tarafından kontrol edilen veya onunla ortak kontrol altında olan veya halefi olan (isim değişikliği, tasfiye, birleşme, konsolidasyon, yeniden düzenleme, satış veya herhangi bir ticari kuruluşa veya onun işletmesine ve varlıklarına ilişkin diğer tasarruflar).
1.1.2 "Geçerli Yasalar", (a) Müşterinin AB Veri Koruma Yasalarına tabi olduğu hallerde Müşteri Kişisel Verisine ilişkin Avrupa Birliği veya Üye Devlet yasaları; veya (b) geçerli olduğu şekilde diğer herhangi bir yargı yetkisinin kanunları.
1.1.3 "Müşteri Kişisel Verileri", Testinvite tarafından Sözleşme uyarınca veya Sözleşme ile bağlantılı olarak Müşteri adına İşlenen, Müşteri’ye ait olsun veya olmasın, tüm Kişisel Veriler anlamına gelir.
1.1.4 "Veri Koruma Yasaları" , AB Veri Koruma Yasaları ve geçerli olduğu ölçüde, diğer herhangi bir yargı bölgesinin veri koruma veya gizlilik yasaları anlamına gelir.
1.1.5 “EEA”, Avrupa Ekonomik Alanı anlamına gelir.
1.1.6 "AB Veri Koruma Yasaları" , her Üye Devletin iç mevzuatında uygulanan ve GDPR ve GDPR'yi uygulayan veya tamamlayan yasalar da dahil olmak üzere zaman zaman değiştirilen, değiştirilen veya yürürlükten kaldırılan AB Direktifi 95/46/EC anlamına gelir. .
1.1.7 "GDPR", AB Genel Veri Koruma Yönetmeliği 2016/679 anlamına gelir.
1.1.8 "Sınırlı Aktarım", Müşteri Kişisel Verilerinin AEA dışına, Avrupa Komisyonu tarafından kişisel veriler için yeterli düzeyde koruma sağladığı kabul edilmeyen herhangi bir ülkeye doğrudan veya ileriye dönük aktarım yoluyla Testinvite'a aktarılması anlamına gelir ( GDPR'de açıklandığı gibi).
1.1.9 "Hizmetler" , bu Ek'in amaçları doğrultusunda Hizmetler (Sözleşmede tanımlandığı şekliyle) anlamına gelir.
1.1.10 "Standart Sözleşme Maddeleri", Ek'te belirtilen sözleşme maddeleri anlamına gelir.
1.1.11 "Alt İşleyici", Testinvite tarafından veya adına Müşteri Kişisel Verilerini İşlemek üzere atanan herhangi bir üçüncü taraf anlamına gelir.
1.2 "Komisyon", "Kontrolör", "Veri Konusu", "Üye Devlet", "Kişisel Veriler", "Kişisel Veri İhlali", "İşleme" ve "Denetleyici Makam" terimleri, GDPR'deki ile aynı anlama sahiptir.
2. Müşteri Kişisel Verilerinin İşlenmesi
2.1 Bu Ek, Testinvite'ın Müşteriye Sözleşme çerçevesinde Hizmet sağlaması kapsamında Müşteri Kişisel Verilerinin İşlemesi için geçerlidir. Bu nedenle, Testinvite Veri İşleyendir ve Müşteri Veri Sorumlusudur.
2.2 Testinvite, Test Invite’ın tabi olduğu Geçerli Yasaların İşlemeyi gerektirmesi dışında (bu durumda Testinvite, Geçerli Yasaların izin verdiği ölçüde Kişisel Verileri İşlemeden önce Müşteriyi bu yasal gereklilik konusunda bilgilendirecektir), Müşteri Kişisel Verilerini yalnızca Müşterinin belgelenmiş talimatlarına uygun olarak İşleyecektir..
2.3 Müşteri bu Ek vasıtasıyla (i) Testinvite'a Müşteri Kişisel Verilerini işlemesi talimatını (ve Testinvite'a her bir Alt İşleyiciye talimat vermesi yetkisini) ve özellikle Müşteri Kişisel Verilerini Hizmetlerin sağlanması için gerekli olduğu ölçüde herhangi bir ülke veya bölgeye aktarma yetkisi vermektedir; ve (ii) (a) ilgili tüm zamanlarda bu tür talimatları vermeye yetkili olduğunu ve kalacağını ve (b) bu tür tüm talimatların Yürürlükteki Yasalara uygun olduğunu beyan ve garanti etmektedir.
2.4 Testinvite'ın makul görüşüne göre herhangi bir talimat Geçerli Yasaları ihlal ederse, Testinvite Müşteri'yi derhal bilgilendirecektir.
2.5 Bu Ek'in Ek 1'i, GDPR'nin 28(3) Maddesi uyarınca veya eşdeğer Geçerli Veri Koruma Yasalarının hükümleri uyarınca Testinvite'ın Müşteri Kişisel Verilerini İşlemesine ilişkin belirli bilgileri ortaya koymaktadır. Müşteri, bu gereklilikleri karşılamak için makul olarak gerekli gördüğü durumlarda, zaman zaman Testinvite'a yazılı bildirimde bulunarak Ek 1'de makul değişiklikler yapabilir.
3. Testinvite Personeli
Testinvite, Müşteri Kişisel Verilerine erişimi olabilecek herhangi bir Testinvite çalışanının, temsilcisinin veya yüklenicisinin Müşteri Kişisel Verilerine ilişkin gizlilik taahhütlerine tabi olmasını sağlayacaktır.
4. Güvenlik
4.1 Testinvite, en son teknolojiyi, uygulama maliyetlerini ve İşlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve ayrıca gerçek kişilerin hakları ve özgürlüklerini dikkate alarak GDPR'nin 32(1) de belirtilen uygun teknik ve organizasyonel tedbirleri alacaktır.
4.2 Uygun güvenlik seviyesini değerlendirirken Testinvite, özellikle Kişisel Verilerin İhlalinden kaynaklanan İşleme tarafından sunulan riskleri dikkate alacaktır.
5. Alt işleme
5.1 Müşteri, Testinvite'a işbu Madde 5 ve Sözleşmedeki tüm kısıtlamalar uyarınca Alt İşleyiciler atama yetkisi verir (ve bu Madde 5 uyarınca atanan her bir Alt İşleyicinin kendi atamalarını yapmasına izin verir).
5.2 Testinvite, bu Ek'in tarihi itibariyle görevlendirdiği Alt İşleyicileri kullanmaya devam edebilir.
5.3 Testinvite, Alt İşleyici tarafından gerçekleştirilecek İşlemenin ayrıntıları da dahil olmak üzere herhangi bir yeni Alt İşleyicinin atanmasına ilişkin bir bildirimi web sitesinde (Gizlilik Politikası) yayınlayacaktır. Müşteri, 10 iş günü içinde Testinvite'a önerilen atamaya herhangi bir makul itirazı yazılı olarak bildirirse, Testinvite, Müşteri tarafından yapılan itirazları ele almak için makul adımlar atılana kadar önerilen Alt İşleyiciyi atamaz (veya herhangi bir Müşteri Kişisel Verisini ifşa etmez).
5.4 Testinvite, her bir Alt İşleyici ile ilgili olarak:
5.4.1 Testinvite ile Alt İşleyici arasındaki anlaşmanın, Müşteri Kişisel Verileri için en azından bu Ek'te belirtilenlerle aynı düzeyde koruma sağlayan şartlar içeren yazılı bir sözleşmeye tabi olduğundan ve GDPR Madde 28(3)'ün veya eşdeğer Geçerli Veri Koruma Yasalarının hükümlerinin gerekliliklerini karşıladığından emin olacaktır;
5.4.2 Bu düzenleme bir Kısıtlı Aktarım içeriyorsa ve Kısıtlı Aktarım sırasında Testinvite'ın Privacy Shield programı kapsamında bir sertifikası veya Trans-Atlantik Veri Gizliliği Çerçevesi kapsamındaki bir düzenlemesi yoksa, Testinvite Standart Sözleşme Maddeleri’nin, Testinvite ile Alt İşleyici arasındaki sözleşmeye dahil edileceğinden emin olacaktır.
5.5 Testinvite, bu Ek'in yükümlülüklerine uygunluğundan ve herhangi bir Alt İşleyicinin Testinvite'ın bu Ek kapsamındaki yükümlülüklerinden herhangi birini ihlal etmesine neden olan herhangi bir eylemi veya ihmalinden sorumlu olmaya devam edecektir.
6. Veri Sahibi Hakları
6.1 Hizmetler, Müşteriye Müşteri Kişisel Verilerini alması, düzeltmesi, silmesi veya kısıtlaması için çeşitli yollar sağlar. Müşteri, bu araçları, Veri Sahiplerinden gelen taleplere yanıt vermeyle ilgili yükümlülükleri de dahil olmak üzere, GDPR kapsamındaki veya eşdeğer Geçerli Veri Koruma Yasalarının hükümlerinin yükümlülükleriyle bağlantılı olarak kendisine yardımcı olacak teknik ve organizasyonel önlemler olarak kullanabilir.
6.2 Testinvite (i) herhangi bir Veri Koruma Yasaları kapsamında bir Veri Sahibinden Müşteri Kişisel Verileri ile ilgili bir talep alırsa Müşteriyi derhal bilgilendirecektir; ve (ii) Testinvite'ın tabi olduğu Yürürlükteki Yasaların gerektirdiği durumlar dışında bu talebe derhal yanıt vermeyecek; bu durumda Testinvite, Geçerli Yasaların izin verdiği ölçüde, Testinvite talebe yanıt vermeden önce Müşteriyi bu yasal gereklilik konusunda bilgilendirecektir.
7. Kişisel Veri İhlalleri
7.1 Testinvite, Müşteri Kişisel Verilerini etkileyen bir Kişisel Veri İhlalinden haberdar olması üzerine Müşteriyi gereksiz bir gecikme olmaksızın bilgilendirecek ve Müşterinin Veri Koruma Yasaları kapsamında Veri Sahiplerini Kişisel Veri İhlalini bildirme veya bilgilendirme yükümlülüğünü yerine getirmesine izin verecek yeterli bilgiyi sağlayacaktır.
7.2 Testinvite, Müşteri ile işbirliği yapacak ve bu tür Kişisel Veri İhlallerinin araştırılmasına, hafifletilmesine ve düzeltilmesine yardımcı olmak için Müşteri tarafından talep edilen makul ticari adımları atacaktır.
8. Müşteri Kişisel Verilerinin Silinmesi veya İadesi
8.1 Müşteri ile olan sözleşme aksini gerektirmedikçe, veya Müşteri önceden bir yazılı silme talebinde bulunulmadığı sürece, Testinvite Müşteri Kişisel Verilerini aşağıdaki şekilde saklayacak ve en geç bu tarihlerde herhangi bir bildirim yapma zorunluluğu olmaksızın kalıcı olarak silecektir:
● Kategori 2 İlave Sınav Katılımcısı Verileri (Ek-1’de tanımlandığı şekliyle), toplanma tarihinden itibaren en fazla 1 yıl,
● Kategori 1 Sınav Yanıt Verileri (Ek-1’de tanımlandığı şekliyle) dahil olmak üzere diğer her türlü kişisel veriler, Müşterinin Müşteri olma niteliğinin sona erdiği tarihten itibaren en fazla 5 yıl.
8.2 Madde 8.1 kapsamında Testinvite, Müşteri katılımını dikkate alarak tamamen kendi takdirine bağlı olarak kimin Müşteri olmaktan çıktığını belirleme hakkına sahiptir. Aksini gösteren somut bir delil olmadıkça, Müşteri, Testinvite ile son 1 yıl içinde en az bir kez mali işlem yapmamışsa, Müşteri niteliğini kaybetmiş sayılacaktır.
8.3 Yukarıda belirtilenlere bakılmaksızın Testinvite, Müşteri Kişisel Verilerini Geçerli Yasaların gerektirdiği ölçüde ve yalnızca Geçerli Yasaların gerektirdiği ölçüde ve bu süre boyunca saklayabilir (ve Testinvite, Müşterinin personeli için iş iletişim bilgilerini saklayabilir). Testinvite, bu tür tüm Müşteri Kişisel Verilerinin gizliliğini sağlayacak ve bu tür Müşteri Kişisel Verilerinin yalnızca, ilgili Kanunlarda belirtilen ve saklanmasını gerektiren amaç(lar) için gerekli olduğu şekilde İşlenmesini ve başka hiçbir amaçla İşlenmemesini sağlayacaktır.
9. Veri Koruma Etki Değerlendirmeleri ve Denetim Hakları
9.1 Testinvite, Müşterinin GDPR'nin 35 veya 36. Maddesi veya eşdeğer Geçerli Veri Koruma Yasa hükümleri uyarınca makul olarak gerekli gördüğü tüm veri koruma etki değerlendirmeleri ve Denetleme Makamları veya diğer yetkili veri gizliliği yetkilileriyle önceden istişareler konusunda Müşteriye makul yardım sağlayacaktır. Müşteri, Testinvite'a denetimi yürütmesi talimatını vererek, varsa Standart Sözleşme Maddeleri kapsamındakiler dahil olmak üzere denetim veya teftiş yapmak için sahip olabileceği her türlü hakkı kullanmayı kabul eder.
10. Kısıtlı Transferler
10.1 Testinvite, Kısıtlı Aktarım sırasında Gizlilik Kalkanı programı kapsamında sertifikaya veya Trans-Atlantik Veri Gizliliği Çerçevesi kapsamındaki bir düzenlemeye sahip değilse, Testinvite herhangi bir Kısıtlı Aktarımla ilgili olarak Standart Sözleşme Maddelerini kabul edecektir.
11. Genel Hükümler
11.1 Standart Sözleşme Maddelerinin 7. maddesi (Aracılık ve Yargı Yetkisi) ve 9. maddesine (Geçerli Kanun) halel getirmeksizin:
11.1.1 Taraflar, varlığı, geçerliliği veya feshi veya hükümsüzlüğünün sonuçları ile ilgili ihtilaflar dahil olmak üzere, bu Ek kapsamında nasıl ortaya çıkarsa çıksın herhangi bir ihtilaf veya taleple ilgili olarak Sözleşmede öngörülen yargı yetkisi seçimini sunmayı kabul ederler; Ve
11.1.2 Bu Ek ve bundan kaynaklanan veya onunla bağlantılı olan tüm sözleşme dışı veya diğer yükümlülükler, Sözleşmede bu amaçla belirtilen ülke veya bölgenin yasalarına tabidir.
11.2 Bu Ek ile Standart Sözleşme Maddeleri arasında herhangi bir çelişki veya tutarsızlık olması durumunda, Standart Sözleşme Maddeleri geçerli olacaktır. Bu Ek ile Sözleşme dahil olmak üzere Taraflar arasındaki diğer tüm sözleşmeler arasında tutarsızlık olması durumunda ve (Taraflar adına imzalanan, yazılı olarak aksi açıkça kararlaştırılan durumlar hariç) Sözleşme tarihinden sonra akdedilmiş sözleşmeler bu Ek'in hükümleri geçerli olacaktır.
11.3 Bu Ek, Sözleşme feshedilene veya sona erene kadar yürürlükte kalır.
11.4 Taraflardan her birinin bu Ek kapsamındaki yükümlülüğü, Sözleşmede belirtilen sorumluluk istisnalarına ve sınırlamalarına tabidir.
11.5 Bu Ek'in herhangi bir hükmünün geçersiz veya uygulanamaz olması durumunda, bu Ek'in geri kalanı geçerli ve yürürlükte kalacaktır. Geçersiz veya uygulanamaz hüküm ya (i) Tarafların niyetlerini mümkün olduğu kadar koruyarak geçerliliğini ve uygulanabilirliğini sağlamak için gerektiği şekilde değiştirilecek veya bu mümkün değilse, (ii) geçersizmiş gibi yorumlanacaktır.
EK 1: Veri İşlemenin Konusu ve Detayları
Bu Ek 1, GDPR Madde 28(3) gereğince veya eşdeğer Geçerli Veri Koruma Yasalarının hükümleriri uyarınca Müşteri Kişisel Verilerinin İşlenmesiyle ilgili belirli ayrıntıları içerir.
Transferin detayları:
(a) Veri aktarıcısı:
İsim: Müşteriye Hizmet sağlanmasını düzenleyen Sözleşme veya diğer yazılı veya elektronik sözleşme uyarınca ("Sözleşme") Hizmeti sağlamak üzere Testinvite'ı görevlendiren Müşteri.
Adres: Sözleşmede belirtildiği gibi veya Testinvite'a sağlandığı gibi.
İrtibat kurulacak kişinin adı, pozisyonu ve iletişim bilgileri: Sözleşmede belirtildiği gibi veya Testinvite'a sağlandığı gibi.
Bu Maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Testinvite Hizmeti sağlar ve Müşteri Hizmeti kullanır ve Testinvite kişisel verileri Sözleşmede açıklandığı şekilde işler.
(b) Veri alıcısı:
İsim: Vanilya Elektronik Hizmetler ve Bilişim Tic. GİBİ. d/b/a Testinvite
Adres: Esentepe mah. Kore Şehitleri Cad. No:29 Zincirlikuyu Şişli İstanbul.
İrtibat kurulacak kişinin adı, pozisyonu ve iletişim bilgileri: hello@testinvite.com.
Bu Maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Testinvite Hizmeti sağlar ve Müşteri Hizmeti kullanır ve Testinvite kişisel verileri Sözleşmede açıklandığı şekilde işler.
(c) Veri konularının kategorileri:
Testinvite tarafından Müşteri adına İşlenecek Kişisel Veriler, aşağıdaki Veri Sahibi kategorileriyle ilgili olabilir, ancak bunlarla sınırlı değildir:
● Çalışanlar, adaylar, öğrenciler, katılımcılar, yükleniciler, acenteler ve gönüllüler
● Müşteriler, müşteriler ve (varsa) personeli
(d) Kişisel veri kategorileri:
Testinvite tarafından Müşteri adına İşlenecek Müşteri Kişisel Verileri aşağıdaki Kişisel Veri kategorilerini içerebilir ancak bunlarla sınırlı değildir:
Kategori 1 - Sınav Cevap Verileri
● Veri Sahibi’nin tam adı, e-posta adresi ve telefon numarası, şirketin kişiyle ilişkilendirdiği grup adı, etiketler, kişi hakkında alınan notlar ve benzeri
● Veri Sahibi’nin sınav sorularına verdiği cevaplar
o Seçilen seçenekler
o Yapılan eşleşmeler
o Yazılı metinler
o Kaydedilen resimler ve videolar (kamera, mikrofon, ekran)
o Yüklenen her türlü dosya (resim, video, belge dosyaları dahil)
● Sınavdan elde edilen tüm sonuçlar (genel sonuçlar, bölüm sonuçları)
● Sınava erişilen tarayıcı, işletim sistemi ve IP gibi bilgiler
● Sınav sırasında kaydedilen tüm günlükler
● Sınav içerisinde gezinme, görüntüleme ve cevaplama gibi akış kayıtları
● İnternet Protokolü (IP) adresi, oturum açma bilgileri, tarayıcı türü ve sürümü, ekran çözünürlüğü, saat dilimi ayarı, tarayıcı eklenti türleri ve sürümleri, tarayıcı erişimi, işletim sistemi, platform ve trafik verileri, çerez verileri, web gibi teknik bilgiler günlükler ve diğer iletişim verileri.
Kategori 2 - İlave Sınav Katılımcısı Verileri
● Sınavdan kısa bir süre önce, sınav sırasında ve sonrasında Kategori 1 verileri kapsamına girmeyen Veri Sahibi’nin veya fare hareketlerinin kamera ve ekran görüntüleri (İzleme/Gözetmenlik dosyaları)
● Veri Sahibi tarafından sınav öncesinde, sınav sırasında veya sonrasında çekilen veya yüklenen Kategori 1 verileri kapsamına girmeyen her türlü dosya, resim. (Başlangıç öncesi gönderimler)
Müşteri iseniz ayrıca şu bilgileri de toplayabiliriz:
● Kayıt bilgileri: Bir hesaba kaydolduğunuzda, adınızı ve soyadınızı, kullanıcı adınızı, şifrenizi ve e-posta adresinizi topluyoruz.
● Fatura bilgileri: Testinvite'a ödeme yaparsanız, fatura ayrıntılarınızı, adınızı, adresinizi, e-posta adresinizi ve seçtiğiniz ödeme yöntemine karşılık gelen finansal bilgilerinizi (örn. bir kredi kartı numarası ve son kullanma tarihi veya bir banka hesabı) sağlamanızı isteriz).
● Hesap ayarları: Hesap ayarları sayfanız gibi sayfalarda çeşitli tercihleri ve kişisel ayrıntıları belirleyebilirsiniz.
(e) Özel veri kategorileri (varsa):
Testinvite, Hizmetin sağlanmasıyla bağlantılı olarak herhangi bir özel kategorideki veriyi toplamak veya işlemek istemez ve bunu kasıtlı olarak yapmaz.
(f) İşleme işlemleri:
Testinvite, Müşterinin küresel olarak güvenli, yüksek kaliteli çevrimiçi sınavlara hazırlanmasını ve yürütmesini desteklemek için tasarlanmış yazılım ve/veya hizmetler sağlar.
Madde 4(d) ve 5(c) uyarınca veri içe aktaran tarafından uygulanan teknik ve organizasyonel önlemlerin açıklaması
Fiziksel güvenlik
Testinvite, işlemleri için bulut hizmetlerini kullanır. Testinvite'ın bulunduğu fiziksel tesisler, erişim elde etmek için bir RFID çipi gerektirir.
Bilgi Erişimi
Çalışanlar, iş uygulamalarında yer alan verilere yalnızca 'bilinmesi gerekenler' temelinde erişebilir. Ayrıcalıklı kullanıcılara 'erişim ihtiyacı' esasına göre verilir.
Uç Nokta Güvenliği
Testinvite, uç nokta güvenliği ve virüslere ve fidye yazılımlarına karşı koruma için Sophos'u kullanır. Cihazın kaybolması veya çalınması durumunda tüm cihazlar, uzaktan kaydırma etkinleştirilmiş şekilde şifrelenir.
Alt İşlemci Güvenliği
Testinvite, Alt İşleyici tarafından sunulan riskleri değerlendirdikten sonra, Alt İşleyicinin uygun güvenlik, gizlilik ve mahremiyet sözleşmesi şartlarını kabul etmesi gerekir.
Kişisel verilerin Topluluktan üçüncü ülkelere aktarımına ilişkin standart sözleşme maddeleri (veri sorumlusundan işleyiciye aktarımlar)
Kişisel verilerin yeterli düzeyde veri koruması sağlamayan üçüncü ülkelerde yerleşik işleyicilere aktarılmasına ilişkin 95/46/EC sayılı Direktifin 26(2) Maddesi amaçları doğrultusunda, yasal adı Vanilya Elektronik Hizmetler ve Bilişim Tic olan Testinvite . A.S. (bundan böyle "veri alıcısı" olarak anılacaktır) ve Müşteri (bundan sonra "veri aktarıcısı" olarak anılacaktır) her biri bir "taraf"tır; “taraflar” birlikte, verileri dışa aktaran tarafından veri içe aktarana aktarılan bireylerin mahremiyetinin ve temel hak ve özgürlüklerinin korunmasına ilişkin yeterli güvenceleri sağlamak için aşağıdaki Sözleşme Maddeleri (Maddeler) üzerinde KABUL ETMİŞLERDİR.
Bu metin ile https://www.testinvite.com/lang/en/docs/data-processing-addendum.html adresinde bulunan ingilizce metin arasında bir fark bulunması halinde ingilizce metin yorumlamada kullanılacaktır.
Madde 1 - Tanımlar
Maddelerin amaçları doğrultusunda:
● 'kişisel veriler', 'özel veri kategorileri', 'işlem/işleme', 'denetleyici', 'işlemci', 'veri sahibi' ve 'denetim makamı', 95/46/EC sayılı Direktifte belirtilen anlamlara sahip olacaktır. Avrupa Parlamentosu ve Konseyi'nin 24 Ekim 1995 tarihli kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ile ilgili olarak bireylerin korunması;
● "veri aktarıcısı", kişisel verileri aktaran verı sorumlusu anlamına gelir;
● 'veri alıcısı', aktarımdan sonra kendi talimatlarına ve Maddelerin koşullarına uygun olarak kendi adına işlenmesi amaçlanan kişisel verileri verileri verı aktarıcısından almayı kabul eden ve yeterli güvenliği sağlayan üçüncü bir ülke sistemine tabi olmayan verı işleyen anlamına gelir;
● 'alt işleyici', veri içe aktaran veya veri içe aktaranın başka herhangi bir alt işleyicisi tarafından görevlendirilen ve veri içe aktaranın veya veri içe aktaranın diğer herhangi bir alt işleyicisinden münhasıran üzerinde yürütülecek faaliyetlerin işlenmesine yönelik kişisel verileri almayı kabul eden herhangi bir işlemci anlamına gelir.;
● 'Veri Koruma Yasası', veri aktaranın yerleşik olduğu Üye Devlette bir veri denetleyicisi için geçerli olan kişisel verilerin işlenmesine ilişkin olarak bireylerin temel hak ve özgürlüklerini ve özellikle mahremiyet haklarını koruyan mevzuat anlamına gelir. ;
● 'teknik ve organizasyonel güvenlik önlemleri', kişisel verileri kazara veya yasa dışı imhaya veya kazara kaybolmaya, değiştirilmeye, yetkisiz ifşaya veya erişime karşı, özellikle işlemenin verilerin bir ağ üzerinden iletilmesini içerdiği durumlarda ve diğer tüm yasa dışı durumlara karşı korumayı amaçlayan önlemler anlamına gelir.
Madde 2 - Transferin Ayrıntıları
Transferin ayrıntıları ve özellikle uygun olduğu durumlarda özel kişisel veri kategorileri, Maddelerin ayrılmaz bir parçasını oluşturan Ek 1'de belirtilmiştir.
Madde 3 - Üçüncü taraf lehdar maddesi
1. Veri sahibi, bu Maddeyi, Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6(1) ve (2)'yi veri aktarıcısına karşı uygulayabilir. , Madde 7, Madde 8(2) ve Madde 9 ila 12, üçüncü taraf lehtar olarak.
2. Veri sahibi, verileri dışa aktaranın şu durumlarda bu Maddeyi, Madde 5(a) ila (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 ila 12'yi uygulayabilir. herhangi bir halef kuruluş, sözleşme veya kanun gereğince veri aktaranın tüm yasal yükümlülüklerini üstlenmediği ve bunun sonucunda veri dışa aktaranın hak ve yükümlülüklerini üstlendiği haller dışında fiilen ortadan kalktıysa veya hukuken ortadan kalktıysa, bu durumda veri konusu bunları bu tür bir varlığa karşı uygulayabilir.
3. Veri sahibi, hem veri aktarıcısının hem de veri aktarıcısının bulunduğu durumlarda bu Madde, Madde 5(a) ila (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 ila 12'yi alt işleyiciye karşı uygulayabilir. ve veri aktaranın fiilen ortadan kaybolması veya hukuken varlığının sona ermesi veya iflas etmesi, herhangi bir halef tüzel kişinin sözleşme veya kanun gereğince veri aktaranın tüm yasal yükümlülüklerini üstlenmemesi ve bunun sonucunda hakları üstlenmesi ve veri dışa aktaranın yükümlülükleri, bu durumda veri sahibi bunları söz konusu varlığa karşı uygulayabilir. Alt işleyicinin bu tür üçüncü taraf sorumluluğu, Maddeler kapsamındaki kendi işleme operasyonlarıyla sınırlı olacaktır.
4. Taraflar, veri öznesinin açıkça istemesi ve ulusal yasalarca izin verilmesi halinde, veri öznesinin bir dernek veya başka bir kuruluş tarafından temsil edilmesine itiraz etmez.
Madde 4 - Veri aktaranın yükümlülükleri
Verileri dışa aktaran kişi aşağıdakileri kabul eder ve garanti eder:
● kişisel verilerin aktarımı da dahil olmak üzere işlenmesinin Veri Koruma Kanunu'nun ilgili hükümlerine uygun olarak yapıldığını ve yapılmaya devam edileceğini (ve varsa Üye Devletin ilgili makamlarına bildirildiğini) veri aktaranın yerleşik olduğu ve o Devletin ilgili hükümlerini ihlal etmediği;
● kişisel veri işleme hizmetlerinin süresi boyunca veri aktarana aktarılan kişisel verileri yalnızca veri aktaran adına ve Kişisel Verilerin Korunması Kanunu ve Maddelerine uygun olarak işlemesi talimatını verdiğini ve vereceğini;
● veri alıcısının, bu sözleşmenin Ek 2'sinde belirtilen teknik ve organizasyonel güvenlik önlemleri ile ilgili olarak yeterli garantileri sağlayacağını;
● Veri Koruma Yasası gerekliliklerinin değerlendirilmesinden sonra, güvenlik önlemlerinin, özellikle işlemenin bir ağ üzerinden veri iletimini içerdiği durumlarda, kişisel verileri kazara veya hukuka aykırı olarak imha edilmeye veya kazara kaybolmaya, değiştirilmeye, yetkisiz ifşaya veya erişime karşı korumak için uygun olduğunu ve diğer tüm yasa dışı işleme biçimlerine karşı ve bu önlemlerin, teknolojinin son durumu ve uygulama maliyeti dikkate alınarak, işlemenin getirdiği risklere ve korunacak verilerin doğasına uygun bir güvenlik düzeyi sağlaması ;
● güvenlik önlemlerine uyulmasını sağlayacağını; aktarımın özel veri kategorileri içermesi halinde, veri sahibinin aktarımdan önce veya aktarımdan mümkün olan en kısa süre sonra, verilerinin yeterli koruma sağlamayan üçüncü bir ülkeye aktarılabileceği konusunda bilgilendirildiği veya bilgilendirileceği. Direktif 95/46/EC;
● Madde 5(b) ve Madde 8(3) uyarınca verileri içe aktaran veya herhangi bir alt işleyiciden alınan herhangi bir bildirimi, verileri dışa aktaranın aktarıma devam etmeye veya askıya alma işlemini kaldırmaya karar vermesi durumunda veri koruma denetleme makamına iletmek;
● Ek 2 hariç olmak üzere, Maddelerin bir kopyasını ve güvenlik önlemlerinin özet bir açıklamasını ve buna uygun olarak yapılması gereken alt işleme hizmetleri için herhangi bir sözleşmenin bir kopyasını talep üzerine veri sahiplerine sunmak. Maddeler veya sözleşme ticari bilgiler içermedikçe, bu durumda söz konusu ticari bilgileri kaldırabilir;
● alt işleme durumunda, işleme faaliyetinin Madde 11'e uygun olarak, kişisel veriler için en az aynı düzeyde koruma sağlayan bir alt işleyici tarafından yürütüldüğünü ve Maddeler kapsamında veri içe aktaran olarak veri konusunun haklarını; Ve
● Madde 4(a) ila (i)'ye uygunluğu sağlayacağını taahhüt eder.
Madde 5 - Veri aktaranın yükümlülükleri
Verileri içe aktaran kişi şunları kabul eder ve garanti eder:
● kişisel verileri yalnızca verileri dışa aktaran kişi adına ve onun talimatlarına ve Maddelerine uygun olarak işlemek; herhangi bir nedenle bu tür bir uyumluluğu sağlayamazsa, veri dışa aktaranına uyum sağlayamayacağını derhal bildirmeyi kabul eder, bu durumda veri dışa aktaran veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;
● tabi olduğu mevzuatın, veri aktarıcısından aldığı talimatları ve sözleşme kapsamındaki yükümlülüklerini yerine getirmesini engellediğine ve bu mevzuatta önemli ölçüde olumsuz etki doğurabilecek bir değişiklik olması halinde, Maddeler tarafından sağlanan garantiler ve yükümlülükler konusunda, değişikliği öğrenir öğrenmez derhal veri dışa aktarana bildirecektir, bu durumda veri dışa aktaranın veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkı vardır;
● aktarılan kişisel verileri işlemeden önce Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uyguladığını;
● veri aktarıcısını aşağıdakiler hakkında derhal bilgilendirecektir:
o Aksi yasaklanmadıkça, örneğin bir kolluk kuvvetleri soruşturmasının gizliliğini korumak için ceza hukuku kapsamındaki bir yasaklama gibi, kişisel verilerin bir emniyet makamı tarafından ifşa edilmesine yönelik yasal olarak bağlayıcı herhangi bir talep,
o herhangi bir kazara veya yetkisiz erişim ve
o aksi yönde yetkilendirilmedikçe, bu talebe yanıt verilmeden doğrudan ilgili kişilerden alınan herhangi bir talep;
● aktarıma konu olan kişisel verilerin işlenmesiyle ilgili olarak verileri dışa aktaranın tüm sorularını zamanında ve uygun şekilde ele almak ve aktarılan verilerin işlenmesiyle ilgili olarak denetim makamının tavsiyelerine uymak;
● veri dışa aktaranın talebi üzerine, veri dışa aktaran tarafından veya bağımsız üyelerden oluşan ve gerekli mesleki niteliklere sahip bir denetim kuruluşu tarafından yürütülecek Maddeler kapsamındaki işleme faaliyetlerinin denetimine veri işleme tesislerini ibraz etmesi; uygun olduğunda, veri aktarıcısı tarafından denetim makamı ile mutabık kalınarak seçilen bir gizlilik görevi;
● Maddeler veya sözleşme ticari bilgiler içermediği sürece, talep üzerine, Maddelerin veya herhangi bir mevcut alt işleme sözleşmesinin bir kopyasını veri sahibine sunmak; bu durumda, Ek 2 hariç olmak üzere, bu tür ticari bilgileri kaldırabilir. veri öznesinin verileri dışa aktaran kişiden bir kopya elde edemediği durumlarda güvenlik önlemlerinin bir özet açıklaması ile değiştirilir;
● alt işleme durumunda, veri aktarıcısını önceden bilgilendirdiğini ve önceden yazılı onayını aldığını;
● alt işleyici tarafından işleme hizmetlerinin Madde 11'e uygun olarak gerçekleştirileceğini;
● Maddeler kapsamında imzaladığı herhangi bir alt işleyici sözleşmesinin bir kopyasını verileri dışa aktaran kişiye derhal göndermek.
Madde 6 - Sorumluluk
1. Taraflar, Madde 3 veya Madde 11'de atıfta bulunulan yükümlülüklerin herhangi bir taraf veya alt işlemci tarafından ihlali sonucunda zarar gören herhangi bir veri sahibinin, uğradığı zarar için verileri dışa aktaran kişiden tazminat alma hakkına sahip olduğunu kabul eder.
2. Bir veri öznesi, verileri içe aktaranın veya onun alt işleyicisinin 3. veya 11. Maddede atıfta bulunulan yükümlülüklerinden herhangi birinin ihlalinden kaynaklanan, 1. paragraf uyarınca verileri dışa aktarana karşı bir tazminat talebinde bulunamıyorsa, verileri dışa aktaranın fiili olarak ortadan kaybolması veya yasal olarak varlığının sona ermesi veya iflas etmesi nedeniyle, veri içe aktaran kişi, herhangi bir halef tüzel kişiliğin tamamını üstlenmediği sürece, veri öznesinin verileri dışa aktaran kişiymiş gibi veri içe aktarana karşı bir hak talebinde bulunabileceğini kabul eder. veri ihracatçısının sözleşme veya kanun gereği yasal yükümlülükleri; bu durumda veri konusu, haklarını bu tür bir varlığa karşı ileri sürebilir. Veri içe aktaran, kendi yükümlülüklerinden kaçınmak için bir alt işleyicinin yükümlülüklerini ihlal etmesine güvenemez.
3. Bir veri öznesi, 1. ve 2. paragraflarda atıfta bulunulan veri dışa aktaran veya veri içe aktaran kişiye karşı, alt işleyicinin 3. veya 11. hem verileri dışa aktaran hem de verileri içe aktaran fiilen ortadan kayboldu veya hukuken varlıkları sona erdi veya iflas ettiyse, alt işlemci, veri öznesinin, Maddeler kapsamında kendi işleme faaliyetleriyle ilgili olarak veri alt işlemcisine karşı bir hak talebinde bulunabileceğini kabul eder. herhangi bir ardıl kuruluş, sözleşme veya kanun gereği veri ihracatçısı veya veri ithalatçısının tüm yasal yükümlülüklerini üstlenmediği sürece, veri sahibi bu tür bir varlığa karşı haklarını ileri sürebilir.Alt işleyicinin sorumluluğu, Maddeler uyarınca kendi işleme operasyonlarıyla sınırlı olacaktır.
Madde 7 - Arabuluculuk ve yargı yetkisi
1. Veri içe aktaran, veri öznesinin kendisine karşı üçüncü taraf lehdar haklarını ileri sürmesi ve/veya Maddeler kapsamında zararlar için tazminat talep etmesi durumunda, veri içe aktaranın veri öznesinin kararını kabul edeceğini kabul eder:
o anlaşmazlığı bağımsız bir kişi veya uygun olduğu hallerde denetim makamı tarafından arabulucuya havale etmek;
o anlaşmazlığı, verileri dışa aktaranın yerleşik olduğu Üye Devletteki mahkemelere götürmek.
2. Taraflar, veri konusu tarafından yapılan seçimin, ulusal veya uluslararası hukukun diğer hükümleri uyarınca çözüm arama konusundaki maddi veya usule ilişkin haklarına halel getirmeyeceğini kabul eder.
Madde 8 - Denetleyici makamlarla işbirliği
1. Verileri dışa aktaran kişi, talep etmesi veya Veri Koruma Kanunu kapsamında böyle bir veri aktarımının gerekli olması halinde, bu sözleşmenin bir nüshasını denetim makamına sunmayı kabul eder.
2. Taraflar, denetim makamının, Veri Koruma Anlaşması kapsamında verileri dışa aktaranın denetiminde geçerli olacak aynı kapsama ve aynı koşullara tabi olan, verileri içe aktaran ve herhangi bir alt işleyiciye ilişkin bir denetim gerçekleştirme hakkına sahip olduğunu kabul eder. Kanun.
3. Veri içe aktaran kişi, kendisi veya herhangi bir alt işleyici için geçerli olan mevzuatın 2. paragraf uyarınca veri içe aktaranın veya herhangi bir alt işleyicinin denetiminin yürütülmesini engelleyen bir mevzuatın varlığı hakkında verileri dışa aktaran kişiyi derhal bilgilendirecektir. Böyle bir durumda, verileri dışa aktaran 5 inci maddenin (b) bendinde öngörülen tedbirleri almak.
Madde 9 - Geçerli Kanun
Maddeler, verileri dışa aktaranın yerleşik olduğu Üye Devletin yasalarına tabi olacaktır.
Madde 10 - Sözleşmenin değiştirilmesi
Taraflar, Maddeleri değiştirmemeyi veya değiştirmemeyi taahhüt eder. Bu durum, Madde ile çelişmediği sürece tarafların gerektiğinde işle ilgili konularda maddeler eklemesine engel değildir.
Madde 11 - Alt İşleme
1. Verileri içe aktaran kişi, verileri dışa aktaranın önceden yazılı izni olmaksızın, Maddeler kapsamında verileri dışa aktaranın adına gerçekleştirilen işleme operasyonlarının hiçbirini alt yükleniciye vermeyecektir. Veri içe aktaranın, Maddeler kapsamındaki yükümlülüklerini veri dışa aktaranın rızasıyla alt sözleşmeye devretmesi durumunda, bunu yalnızca alt işleyiciye, Sözleşme kapsamında veri içene yüklenen yükümlülüklerin aynısını yükleyen yazılı bir anlaşma yoluyla yapacaktır. Maddeleri. Alt işleyicinin bu tür bir yazılı sözleşme kapsamındaki veri koruma yükümlülüklerini yerine getirmemesi durumunda, verileri içe aktaran kişi, alt işleyicinin bu tür bir sözleşme kapsamındaki yükümlülüklerini yerine getirmesi için verileri dışa aktarana karşı tamamen sorumlu olmaya devam edecektir.
2. Verileri içe aktaran ile alt işleyici arasındaki önceki yazılı sözleşme, veri öznesinin 6. Maddenin 1. paragrafında atıfta bulunulan tazminat talebinde bulunamadığı durumlar için 3. fiilen ortadan kalktıkları veya hukuken varlıkları sona erdiği veya ödeme aczine düştükleri ve hiçbir ardıl kuruluş, sözleşme veya kanun gereği veri dışa aktaran veya içe aktaran kişinin tüm yasal yükümlülüklerini üstlenmediği için verileri dışa aktaran veya içe aktaran kişiye karşı. Alt işleyicinin bu tür üçüncü taraf sorumluluğu, Maddeler kapsamındaki kendi işleme operasyonlarıyla sınırlı olacaktır.
3. 1. paragrafta atıfta bulunulan sözleşmenin alt işlemesine yönelik veri koruma yönleriyle ilgili hükümler, verileri dışa aktaranın yerleşik olduğu Üye Devletin yasalarına tabi olacaktır.
4. Verileri dışa aktaran, Maddeler kapsamında akdedilen ve Madde 5 (j) uyarınca veri içe aktaran tarafından bildirilen ve yılda en az bir kez güncellenecek olan alt işleme anlaşmalarının bir listesini tutacaktır. Liste, verileri dışa aktaranın veri koruma denetleme makamı tarafından kullanılabilir olacaktır.
Madde 12 - Kişisel veri işleme hizmetlerinin sona ermesinden sonraki yükümlülük
1. Taraflar, veri işleme hizmetlerinin sağlanmasının sona ermesi üzerine, veri aktaranın ve alt işleyicinin, veri dışa aktaranın seçimine bağlı olarak, aktarılan tüm kişisel verileri ve bunların kopyalarını veri dışa aktarana iade edeceğini veya tüm verileri imha edeceğini kabul eder. veri alan kişiye uygulanan mevzuat aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya imha etmesini engellemiyorsa, kişisel verileri aktarır ve verileri dışa aktarana bunu yaptığını onaylar. Bu durumda veri alıcısı, aktarılan kişisel verilerin gizliliğini garanti edeceğini ve aktarılan kişisel verileri artık aktif olarak işlemeyeceğini garanti eder.
2. Verileri içe aktaran ve alt işleyici, verileri dışa aktaranın ve/veya denetim makamının talebi üzerine, veri işleme tesislerini 1. paragrafta atıfta bulunulan önlemlerin denetimi için sunacağını garanti eder.
Tablo 1: Taraflar
Başlangıç Tarihi | ||
Taraflar | Veri Aktarıcısı (Kısıtlı Aktarımı gönderen) | Veri Alıcısı (Kısıtlı Aktarımı alan) |
Tarafların detayları | Tam yasal isim:Ana adres (şirketin kayıtlı adresi ise):Resmi kayıt numarası (varsa) (şirket numarası veya benzeri tanımlayıcı): | Tam yasal isim:Ticaret unvanı (farklıysa):Ana adres (şirketin kayıtlı adresi ise):Resmi kayıt numarası (varsa) (şirket numarası veya benzeri tanımlayıcı): |
İrtibat Kişisi | Tam Ad (isteğe bağlı):İş unvanı:E-posta dahil iletişim bilgileri: | Tam Ad (isteğe bağlı):İş unvanı:E-posta dahil iletişim bilgileri: |
İmza (Bölüm 2'nin amaçları doğrultusunda gerekiyorsa) |
Tablo 2: Seçilen SCC'ler, Modüller ve Seçilen Maddeler
AB SCC’lerine ekler | ☐ Bu Ekin eklendiği Onaylı AB SCC'lerinin sürümü, Ek Bilgiler de dahil olmak üzere aşağıda ayrıntılı olarak açıklanmıştır: Tarih:Referans (varsa):Diğer tanımlayıcı (varsa):Veya |
☐ Ek Bilgiler de dahil olmak üzere Onaylı AB SCC'leri ve Onaylı AB SCC'lerinin yalnızca aşağıdaki modülleri, maddeleri veya isteğe bağlı hükümleri bu Ek'in amaçları doğrultusunda yürürlüğe girmiştir: |
Modül | Yürürlükteki Modül | Madde 7 (Yerleştirme Maddesi) | Madde 11 (Seçenek) | Madde 9a (Ön İzin veya Genel İzin) | Madde 9a (Ön İzin veya Genel İzin) | İthalatçıdan alınan kişisel veriler İhracatçı tarafından toplanan kişisel verilerle birleştirilir mi? |
1 | x | x | x | |||
2 | x | |||||
3 | x | |||||
4 | x | x |
Tablo 3: Ek Bilgiler
Ek Bilgileri”, Onaylanmış AB SCC'lerinin (Taraflar dışında) Ekinde belirtildiği şekilde seçilen modüller için sağlanması gereken ve bu Ek için aşağıdakilerde belirtilen bilgiler anlamına gelir:
Ek 1A: Tarafların Listesi:
Ek 1B: Transferin Açıklaması:
Ek II: Verilerin güvenliğini sağlamaya yönelik teknik ve organizasyonel önlemleri içeren teknik ve organizasyonel önlemler:
Ek III: Alt işlemcilerin listesi (yalnızca Modül 2 ve 3):
Table 4: Ending this Addendum when the Approved Addendum Changes
Onaylanmış Ek değiştiğinde bu Ek'in sona erdirilmesi | Bölüm 19'da belirtildiği gibi hangi Taraflar bu Ek Sözleşmeyi sonlandırabilir: ☐ İthalatçı ☐ İhracatçı ☐ Hiç biri |
Bu Ek'in Yürürlülüğü
1. Taraflardan her biri, diğer Tarafın da bu Ek Sözleşmeye bağlı kalmayı kabul etmesi karşılığında, bu Ek Sözleşmede belirtilen şart ve koşullara bağlı kalmayı kabul eder.
2. Onaylı AB SCC'lerinin Ek 1A ve Madde 7'sinin Taraflarca imzalanması gerekmesine rağmen, Kısıtlı Aktarımların yapılması amacıyla Taraflar, bu Ek'i Taraflar için yasal olarak bağlayıcı kılacak ve veri sahiplerinin Bu Ek'te belirtilen haklarını uygulayabilirler. Bu Ek'e katılmak, Onaylı AB SCC'lerini ve Onaylı AB SCC'lerinin herhangi bir bölümünü imzalamakla aynı etkiye sahip olacaktır.
Bu Ekin yorumlanması
3. Bu Ek'in Onaylı AB SCC'lerinde tanımlanan terimleri kullanması durumunda, bu terimler Onaylı AB SCC'lerindekiyle aynı anlama sahip olacaktır. Ayrıca aşağıdaki terimler aşağıdaki anlamlara sahiptir:
Ek | AB SCC'lerini içeren bu Ek'ten oluşan bu Uluslararası Veri Aktarımı Eki. |
Ek AB SCC'leri | Ek Bilgiler de dahil olmak üzere Tablo 2'de belirtildiği üzere, bu Ek'in eklendiği Onaylı AB SCC'lerinin versiyonları. |
Ek Bilgileri | Tablo 3'te belirtildiği gibi. |
Uygun Korumalar | Birleşik Krallık GDPR Madde 46(2)(d) kapsamındaki standart veri koruma hükümlerine dayanarak Kısıtlı Aktarım yaptığınızda Birleşik Krallık Veri Koruma Yasalarının gerektirdiği kişisel veriler ve veri sahiplerinin haklarına ilişkin koruma standardı. |
Onaylanmış Ek | ICO tarafından yayınlanan ve 2018 Veri Koruma Kanunu'nun s119A uyarınca 2 Şubat 2022 tarihinde Parlamentonun huzuruna sunulan şablon Ek, Bölüm 18 kapsamında revize edilmiştir. |
Onaylanmış AB SCC'leri | 4 Haziran 2021 tarihli (AB) 2021/914 sayılı Komisyon Uygulama Kararı Ekinde belirtilen Standart Sözleşme Maddeleri. |
ICO | Bilgi Komiseri. |
Kısıtlı Transfer | Birleşik Krallık GDPR'nin V. Bölümü kapsamında olan bir aktarım. |
Birleşik Krallık | Büyük Britanya ve Kuzey İrlanda Birleşik Krallığı. |
Birleşik Krallık Veri Koruma Yasaları | Birleşik Krallık GDPR'si ve 2018 Veri Koruma Yasası dahil olmak üzere, Birleşik Krallık'ta zaman zaman yürürlükte olan veri koruma, kişisel verilerin işlenmesi, gizlilik ve/veya elektronik iletişimle ilgili tüm yasalar. |
Birleşik Krallık GDPR | Veri Koruma Yasası 2018'in 3. bölümünde tanımlandığı gibi. |
4. Bu Ek her zaman Birleşik Krallık Veri Koruma Yasalarıyla tutarlı olacak ve Tarafların Uygun Korumaları sağlama yükümlülüğünü yerine getirecek şekilde yorumlanmalıdır.
5. AB SCC Ekinde yer alan hükümlerin Onaylanmış SCC'leri, Onaylanmış AB SCC'ler veya Onaylanmış Ek kapsamında izin verilmeyen herhangi bir şekilde değiştirmesi halinde, söz konusu değişiklik(ler) bu Ek'e ve Ek'in eşdeğer hükmüne dahil edilmeyecektir. Onaylanan AB SCC'leri onların yerini alacak.
6. Birleşik Krallık Veri Koruma Yasaları ile bu Ek arasında herhangi bir tutarsızlık veya çelişki olması durumunda Birleşik Krallık Veri Koruma Yasaları geçerlidir.
7. Bu Ek'in anlamı açık değilse veya birden fazla anlamı varsa, Birleşik Krallık Veri Koruma Yasalarına en yakın olan anlam geçerli olacaktır.
8. Mevzuata (veya mevzuatın belirli hükümlerine) yapılan herhangi bir atıf, mevzuatın (veya özel hükmün) zaman içinde değişebileceği anlamına gelir. Bu, bu Ek'in yürürlüğe girmesinden sonra söz konusu mevzuatın (veya özel hükmün) birleştirildiği, yeniden yürürlüğe konulduğu ve/veya değiştirildiği durumları da içerir.
Hiyerarşi
9. Onaylı AB SCC'lerinin 5. Maddesi, Onaylı AB SCC'lerinin taraflar arasındaki tüm ilgili anlaşmalara üstün geleceğini belirtse de taraflar, Kısıtlı Transferler için Bölüm 10'daki hiyerarşinin geçerli olacağını kabul eder.
10. Onaylı Ek ile AB Ek SCC'leri (geçerli olduğu şekilde) arasında herhangi bir tutarsızlık veya çatışma olması durumunda, Onaylanmış Ek AB Ek SCC'lerini geçersiz kılar, ancak AB Ek'inin tutarsız veya çelişkili koşulları hariç (ve bu durumlar hariç) SCC'ler veri sahipleri için daha fazla koruma sağlar; bu durumda bu şartlar Onaylanmış Ek'i geçersiz kılacaktır.
11. Bu Ek'in, Genel Veri Koruma Yönetmeliği (AB) 2016/679'a tabi aktarımları korumak için girilen Ek AB SCC'lerini içerdiği durumlarda, Taraflar bu Ek'teki hiçbir şeyin söz konusu Ek AB SCC'lerini etkilemediğini kabul ederler.
AB SCC'lerinin dahil edilmesi ve değişiklikler
12. Bu Ek, aşağıdaki şekilde gereken ölçüde değiştirilen Ek AB SCC'lerini içermektedir:
A. Birleşik Krallık Veri Koruma Yasalarının veri aktarımı sırasında veri aktarıcının işlemleri için geçerli olduğu ölçüde, veri aktarıcısı tarafından veri aktarıcıya yapılan veri aktarımları için birlikte çalışırlar ve bu veri aktarımları için Uygun Korumalar sağlarlar;
B. 9'dan 11'e kadar olan bölümler AB SCC Ekinin 5. Maddesini (Hiyerarşi) geçersiz kılar; Ve
C. bu Ek (içine dahil edilen Ek AB SCC'leri dahil) (1) İngiltere ve Galler yasalarına tabidir ve (2) bundan kaynaklanan herhangi bir anlaşmazlık, her durumda yasalar ve Galler yasaları ve /veya İskoçya veya Kuzey İrlanda mahkemeleri Taraflarca açıkça seçilmiştir.
13. Taraflar Bölüm 12'nin gerekliliklerini karşılayan alternatif değişiklikler üzerinde anlaşmaya varmadıkça, Bölüm 15'in hükümleri uygulanacaktır.
14. Onaylı AB SCC'lerinde Bölüm 12'nin gerekliliklerini karşılamak dışında hiçbir değişiklik yapılamaz.
15. AB SCC Ekinde (Bölüm 12'nin amaçları doğrultusunda) aşağıdaki değişiklikler yapılmıştır:
A. “Maddeler”e yapılan atıflar, AB SCC Eklerini içeren bu Ek anlamına gelir;
B. Madde 2'deki kelimeleri silin:
"ve kontrolörlerden işleyicilere ve/veya işleyicilerden işleyicilere veri aktarımlarıyla ilgili olarak, (AB) 2016/679 sayılı Tüzüğün 28(7) Maddesi uyarınca standart sözleşme maddeleri";
C. Madde 6 (Transfer(ler)in açıklaması) aşağıdaki şekilde değiştirilmiştir:
“Aktarım(lar)ın ayrıntıları ve özellikle aktarılan kişisel veri kategorileri ve bunların aktarılma amaçları), Birleşik Krallık Veri Koruma Kanunlarının aşağıdaki durumlarda veri aktarıcısının işlemlerine uygulandığı Ek I.B'de belirtilmiştir: bu transferi yapıyorum.”;
D. Modül 1'in 8.7(i) Maddesi aşağıdaki şekilde değiştirilmiştir:
"İleriye dönük aktarımı kapsayan, Birleşik Krallık GDPR'nin 17A Bölümü uyarınca yeterlilik düzenlemelerinden yararlanan bir ülkedir";
e. Modül 2 ve 3'ün 8.8(i) Maddesi aşağıdaki şekilde değiştirilmiştir:
"İleriye dönük aktarım, Birleşik Krallık GDPR'nin ileriye yönelik aktarımı kapsayan 17A Bölümü uyarınca yeterlilik düzenlemelerinden yararlanan bir ülkeye yapılır;"
F. “(AB) 2016/679 sayılı Yönetmelik”, “Kişisel verilerin işlenmesi ve gerçek kişilerin özgürce işlenmesine ilişkin olarak gerçek kişilerin korunmasına ilişkin 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konsey Tüzüğü (AB) 2016/679”a atıflar bu tür verilerin taşınması (Genel Veri Koruma Yönetmeliği)” ve “bu Yönetmelik”in tamamı “Birleşik Krallık Veri Koruma Kanunları” ile değiştirilmiştir. "Yönetmelik (AB) 2016/679"un belirli Maddelerine yapılan atıflar, Birleşik Krallık Veri Koruma Yasalarının eşdeğer Maddesi veya Bölümü ile değiştirilmiştir;
G. (AB) 2018/1725 sayılı Yönetmeliğe yapılan atıflar kaldırılmıştır;
H. “Avrupa Birliği”, “Birlik”, “AB”, “AB Üye Devleti”, “Üye Devlet” ve “AB veya Üye Devlet” ifadelerinin tümü “Birleşik Krallık” ile değiştirilmiştir;
Ben. Birinci Modül Madde 10(b)(i)'deki “Madde 12(c)(i)”ye yapılan atıf “Madde 11(c)(i)” ile değiştirilmiştir;
J. Ek I Madde 13(a) ve Kısım C kullanılmaz;
k. “Yetkili denetim makamı” ve “denetleme makamı”nın yerini “Bilgi Komiseri” almıştır;
l. 16(e) maddesindeki (i) bendi aşağıdaki şekilde değiştirilmiştir:
“Dışişleri Bakanı, 2018 Veri Koruma Yasası'nın 17A Bölümü uyarınca, bu hükümlerin geçerli olduğu kişisel verilerin aktarımını kapsayan düzenlemeler yapar;”;
M. 17'nci madde aşağıdaki şekilde değiştirilmiştir:
“Bu Maddeler İngiltere ve Galler yasalarına tabidir.”;
N. 18'inci madde aşağıdaki şekilde değiştirilmiştir:
“Bu Maddelerden kaynaklanan herhangi bir anlaşmazlık İngiltere ve Galler mahkemeleri tarafından çözülecektir. Bir veri sahibi ayrıca, veri dışa aktaran ve/veya veri içe aktaran kişiye karşı Birleşik Krallık'taki herhangi bir ülkenin mahkemelerinde yasal işlem başlatabilir. Taraflar kendilerini bu tür mahkemelerin yargı yetkisine tabi kılmayı kabul ederler.”; Ve
Ö. Onaylı AB SCC'lerine ilişkin dipnotlar, 8, 9, 10 ve 11 numaralı dipnotlar haricinde Ek'in bir parçasını oluşturmaz.
Bu Ekteki değişiklikler
16. Taraflar, AB SCC Ekinin 17 ve/veya 18. Maddelerini İskoçya veya Kuzey İrlanda yasalarına ve/veya mahkemelerine atıf yapacak şekilde değiştirme konusunda anlaşabilirler.
17. Taraflar, Bölüm 1: Onaylı Ek Tabloları'nda yer alan bilgilerin formatını değiştirmek isterlerse, değişikliğin Uygun Güvenlik Önlemlerini azaltmaması koşuluyla, değişikliği yazılı olarak kabul ederek bunu yapabilirler.
18. ICO zaman zaman gözden geçirilmiş bir Onaylanmış Zeyilname yayınlayabilir:
A. Onaylanmış Ek'teki hataların düzeltilmesi de dahil olmak üzere, Onaylanmış Ek'te makul ve orantılı değişiklikler yapar; ve/veya
B. Birleşik Krallık Veri Koruma Yasalarındaki değişiklikleri yansıtır;
Gözden geçirilen Onaylı Ek, Onaylı Ek'te yapılan değişikliklerin geçerli olacağı başlangıç tarihini ve Tarafların Ek Bilgiler de dahil olmak üzere bu Ek'i incelemesi gerekip gerekmediğini belirtecektir. Bu Ek, revize edilmiş Onaylı Ek'te belirtildiği şekilde, belirtilen başlangıç tarihinden itibaren otomatik olarak değiştirilir.
19. ICO'nun Bölüm 18 uyarınca gözden geçirilmiş bir Onaylı Zeyilname yayınlaması durumunda, Tablo 4 "Onaylı Ek Değişiklikler Zamanında Ekin Sona Erdirilmesi" bölümünde seçilen Taraflardan herhangi biri, Onaylanmış Ek'teki değişikliklerin doğrudan bir sonucu olarak önemli, orantısız bir Ek'e sahip olacaktır. ve kanıtlanabilir artış:
a Ek Sözleşme kapsamındaki yükümlülüklerini yerine getirmenin doğrudan maliyetleri; ve/veya
b Ek Sözleşme kapsamındaki risk,
ve her iki durumda da, öncelikle söz konusu maliyetleri veya riskleri önemli ve orantısız olmayacak şekilde azaltmak için makul adımları atmışsa, bu durumda söz konusu Taraf, makul bir bildirim süresinin sonunda, söz konusu süreye ilişkin olarak Tarafa yazılı bildirimde bulunarak bu Ek Sözleşmeyi sona erdirebilir. revize edilmiş Onaylanmış Zeyilnamenin başlangıç tarihinden önce diğer Taraf.
20. Tarafların bu Ek Sözleşmede değişiklik yapmak için herhangi bir üçüncü tarafın iznine ihtiyacı yoktur, ancak tüm değişiklikler Ek'in şartlarına uygun olarak yapılmalıdır.
Zorunlu Hükümler | Bölüm 2: Onaylanan Ek'in Zorunlu Maddeleri, ICO tarafından yayınlanan Ek B.1.0 şablonu olup, 2 Şubat 2022'de Veri Koruma Yasası 2018'in s119A'sı uyarınca Parlamento'ya sunulmuş olup, Bölüm 18 kapsamında revize edilmiştir. bu Zorunlu Hükümler. |