Veri Koruma ve Gizlilik

İşbu veri işleme sözleşmesi (“DPA”), Ek 1'de belirtildiği üzere Müşteri ("Veri İhracatçısı") ile veri ihracatçıları (münferit olarak "Veri İthalatçısı") tarafından ve bunlar arasında akdedilmiştir.

Madde 1

Tanımlar

Maddelerin amaçları doğrultusunda:

(a) "kişisel veriler", "özel veri kategorileri", "işlem/işleme", "kontrol sorumlusu", "işleyen", "veri sahibi" ve "denetleyici otorite", kişilerin kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı konusunda korunmasına ilişkin 24 Ekim 1995 tarihli 95/46/EC Sayılı

Avrupa Parlamentosu ve Konsey Direktifinde belirtilen anlamı taşıyacaktır;

(b) "veri ihracatçısı", kişisel verileri aktaran kontrol sorumlusu anlamına gelmektedir;

(c) "veri ithalatçısı", veri ithalatçısından kendi talimatları ve Madde hükümleri doğrultusunda aktarım sonrasında kendi adına işlenmek üzere kişisel verileri almayı kabul eden ve 95/46/EC Direktifinin 25 (1) Maddesinin anlamı dahilinde yeterli korumayı sağlayan üçüncü bir ülkenin sistemine tabi olmayan işleme sorumlusu anlamına gelmektedir;

(d) "alt işleme sorumlusu", veri ithalatçısı veya veri ithalatçısının veri ithalatçısından ya da veri ithalatçısının başka bir alt işleme sorumlusundan kendi talimatları, Madde hükümleri ve yazılı taşeronluk sözleşmesinin hükümleri doğrultusunda yalnızca aktarım sonrasında veri ihracatçısının adına yürütülecek olan işleme faaliyetleri için kişisel verileri almayı kabul eden başka bir alt işleme sorumlusu tarafından işe alınan bir işleme sorumlusunu ifade etmektedir;

(e) "yürürlükteki veri koruma kanunu", veri ihracatçısının kurulu olduğu Üye Devletteki bir veri kontrol sorumlusu için geçerli olan kişisel verilerin işlenmesine ilişkin gizlilik hakları başta olmak üzere kişilerin temel hak ve özgürlüklerini koruyan mevzuat anlamına gelmektedir;

(f) "teknik ve kurumsal güvenlik önlemleri", başta bir ağ üzerinden verilerin iletiminin gerçekleştiği işleme durumlarında kişisel verilerin kazara veya yasalara aykırı bir şekilde imha edilmesine veya kazara kaybına, değiştirilmesine, izinsiz olarak ifşa edilmesine veya erişimine karşı ve diğer tüm yasa dışı işleme şekillerine karşı korunmasını amaçlayan önlemler anlamına gelmektedir.

Madde 2

Aktarım detayları

Başta özel kişisel veri kategorileri olmak üzere aktarım detayları, Maddelerin bölünmez bir parçasını oluşturan Lahika 1'de belirtilmiştir.

Madde 3

Üçüncü taraf lehine madde

1. Veri sahibi bu Maddeyi, Madde 4(b) ila (i), Madde 5(a) ila (e), Madde 6(1) ve (2), Madde 7, Madde 8(2) ve Madde 9 ila 12'yi üçüncü taraf lehine olacak şekilde veri ihracatçısının aleyhine uygulayabilir.

2. Veri sahibi bu Maddeyi, Madde 5(a) ila (e), Madde 6, Madde 7, Madde 8 (2) ve Madde 9 ila 12'yi, bir halefi varlık sözleşme veya kanunun uygulanması yoluyla veri ihracatçısının yasal yükümlülüklerinin tamamını üstlenmedikçe veri ihracatçısının gerçeklere dayalı bir şekilde ortadan kaybolması veya kanunen varlığını sürdürmemesi durumlarında veri ithalatçısının aleyhine uygulayabilir çünkü bunun sonucunda veri ihracatçısının haklarını ve yükümlülüklerini devralır ve böylelikle veri sahibi bunları bu varlığın aleyhine uygulayabilir.

3. Veri sahibi bu Maddeyi, Madde 5(a) ila (e), Madde 6, Madde 7, Madde 8 (2) ve Madde 9 ila 12'yi, bir halefi varlık sözleşme veya kanunun uygulanması yoluyla veri ihracatçısının yasal yükümlülüklerinin tamamını üstlenmedikçe hem veri ihracatçısının hem de veri ithalatçısının gerçeklere dayalı bir şekilde ortadan kaybolması veya kanunen varlığını sürdürmemesi veya borcunu ödeyemez hale gelmesi durumlarında alt işleme sorumlusunun aleyhine uygulayabilir çünkü bunun sonucunda veri ihracatçısının haklarını ve yükümlülüklerini devralır ve böylelikle veri sahibi bunları bu varlığın aleyhine uygulayabilir. Alt işleme sorumlusunun bu üçüncü taraf yükümlülüğü, Maddeler kapsamındaki kendi işleme faaliyetleriyle sınırlı olacaktır.

4. Taraflar, veri sahibinin açıkça istemesi ve ulusal kanunun izin vermesi durumunda bir dernek veya başka bir kurum tarafından temsil edilen bir veri sahibine itiraz edemez.

Abonelik Sözleşmesi Hilti PROFIS 3 (V1, 2017/01)

Madde 4

Veri ihracatçısının yükümlülükleri

Veri ihracatçısı şunları kabul ve garanti eder:

(a) aktarımın kendisi de dahil olmak üzere kişisel verilerin işlenmesinin yürürlükteki veri koruma kanununa uygun bir şekilde gerçekleştirildiğini ve gerçekleştirilmeye devam edileceğini (ve uygulanabilen durumlarda veri ihracatçısının kurulu olduğu Üye Ülkenin ilgili makamlarına bildirildiğini) ve bu Devletin ilgili hükümlerini ihlal etmediğini;

(b) veri ithalatçısına yalnızca veri ihracatçısının adına aktarılan kişisel verileri yürürlükteki veri koruma kanunu ve Maddelere uygun bir şekilde işlemesi yönünde talimat vermeyi ve kişisel verilerin işlenmesi hizmetleri süresince de talimat vermeyi sürdürmeyi;

(c) veri ithalatçısının işbu sözleşmenin 2. Ekinde belirtilen teknik ve kurumsal güvenlik önlemleri açısından yeterli garantileri sağlayacağını;

(d) yürürlükteki veri koruma kanunu gereklilikleri değerlendirildikten sonra bu güvenlik önlemlerinin başta bir ağ üzerinden verilerin iletiminin gerçekleştiği işleme durumlarında kişisel verilerin arızi veya yasalara aykırı bir şekilde bozulmasına veya arızi bir şekilde kaybına, değiştirilmesine, izinsiz olarak ifşa edilmesine veya erişimine karşı ve diğer tüm yasa dışı işleme şekillerine karşı korunmasını sağlamaya yeterli olacağını ve bu önlemlerin teknolojinin durumuna ve uygulama maliyetine ilişkin olarak işlemeden dolayı ortaya çıkan risklere ve korunacak verilerin niteliğine uygun bir güvenlik düzeyi sağladığını;

(e) güvenlik önlemlerine uygunluğu sağlayacağını;

(f) aktarıma özel veri kategorilerinin dahil olması halinde, veri sahibinin bu verilerin 95/46/EC Direktifi kapsamı dahilinde yeterli korumayı sağlamayan üçüncü bir tarafa aktarılabileceği konusunda aktarımdan önce bilgilendirildiğini ve sonrasında mümkün olabildiğince en kısa zamanda bilgilendirileceğini;

(g) veri ihracatçısının aktarıma devam etme veya askıya alma durumunu kaldırma kararı alması halinde veri ithalatçısından veya bir alt işleme sorumlusundan gelen her türlü bildirimi Madde 5(b) ve Madde 8 (3) uyarınca veri koruma denetleyici otoriteye iletmeyi;

(h) ilgili ticari bilgileri kaldırabilecekleri için maddeler veya sözleşme ticari bilgiler içermediği müddetçe veri sahiplerine talep üzerine Ek 2 hariç Maddelerin bir kopyasını ve güvenlik önlemlerinin bir özet açıklamasını ve Maddelere uygun olarak gerçekleştirilmesi gereken alt işleme hizmetleri için yapılan her türlü sözleşmenin bir kopyasını sağlamayı;

(i) alt işleme yapılması durumunda bu işleme faaliyetinin Maddeler uyarınca veri ithalatçısı olarak kişisel veriler için en az aynı seviyede koruma ve veri sahibi hakları sağlayan bir alt işleme sorumlusu tarafından Madde 11'e uygun olarak gerçekleştirileceğini ve

(j) 4(a) ila (i) maddelerine uygunluk sağlayacağını.

Madde 5

Veri ithalatçısının yükümlülükleri

Veri ithalatçısı şunları kabul ve garanti eder:

(a) kişisel verileri yalnızca veri İhracatçısının adına ve onun talimatları ve Maddelere uygun olarak işlemeyi; herhangi bir nedenden ötürü bu uygunluğu sağlayamaması halinde uygunluğu sağlayamama durumunu derhal veri ihracatçısına bildirmeyi; bu durumda veri ihracatçısı veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;

(b) kendisi için geçerli mevzuatın kendisini veri ihracatçısından alınan talimatların ve sözleşme hükümleri altındaki yükümlülüklerinin yerine getirilmesinden alıkoyduğunu düşünmek için herhangi bir sebep olmadığını ve bu mevzuatta Maddelerin şart koştuğu garantiler ve yükümlülükler üzerinde büyük olumsuz etkisi olabilecek bir değişikliğin olması durumunda haberdar olur olmaz veri ihracatçısını bu değişiklikten haberdar etmeyi; bu durumda veri ihracatçısı veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;

(c) Aktarılan kişisel verileri işlemeden önce Ek 2'de belirtilen teknik ve kurumsal güvenlik önlemlerini uyguladığını;

(d) veri ihracatçısını şu konular hususunda derhal bilgilendirmeyi:

(i) bir emniyet otoritesinin soruşturmasının gizliliğinin korunması yönünde ceza kanunu uyarınca bir yasak koyulması gibi aksi yasaklanmadığı müddetçe bir emniyet otoritesi tarafından kişisel verilerin ifşa edilmesi yönünde her türlü yasal açıdan bağlayıcı talep,

(ii) her türlü kazara veya yetkisiz erişim ve

(iii) aksinin yapılması yetkisi bulunmadığı müddetçe talebe yanıt vermeden doğrudan veri sahiplerinden alınan her türlü talep;

(e) veri ihracatçısından aktarıma tabi kişisel verilerinin işlenmesine ilişkin olarak gelen her türlü soruyla derhal ilgilenmeyi ve denetleyici otoritenin aktarılan verilerin işlenmesine ilişkin olarak sağladığı tavsiyelere uymayı;

(f) veri ihracatçısının talebi üzerine veri ihracatçısı veya gizlilik görevinin bağladığı gerekli mesleki vasıflara sahip olan ve veri ihracatçısının uygulanabilir ise denetleyici otorite ile birlikte seçtiği bağımsız üyelerden oluşan bir denetim kuruluşu tarafından gerçekleştirilecek olan ve Maddeler kapsamındaki işleme faaliyetlerinin denetimi için veri işleme tesislerini ibraz etmeyi;

(g) ilgili ticari bilgileri kaldırabilecekleri için maddeler veya sözleşme ticari bilgiler içermediği müddetçe veri sahibine talep üzerine Maddelerin bir kopyasını ve güvenlik önlemlerinin bir özet açıklamasını ve Maddelere uygun olarak gerçekleştirilmesi gereken alt işleme hizmetleri için yapılan her türlü sözleşmenin bir kopyasını sağlamayı; buna Ek 2 dahil değildir, veri sahibinin veri ihracatçısından bir kopya alamadığı durumlarda onun yerine güvenlik önlemlerinin bir özet açıklaması sağlanacaktır;

(h) alt işleme yapılması halinde veri ihracatçısını önceden haberdar etmiş ve yazılı iznini almış olmayı;

(i) alt işleme sorumlusu tarafından sağlanan işleme hizmetlerinin Madde 11'e uygun olarak yürütüleceğini;

(j) Maddeler uyarınca imzaladığı bir alt işleme sorumlusu anlaşmasının bir kopyasını derhal veri ihracatçısına göndermeyi.

Madde 6

Sorumluluk

1. Taraflar, bir taraf ya da alt işleme sorumlusunun Madde 3 veya Madde 11'de bahsi geçen yükümlülükleri ihlal etmesinin sonucunda zarara uğramış olan bir veri sahibinin oluşan hasara ilişkin olarak veri ihracatçısından tazminat alma hakkı olduğunu kabul eder.

2. Veri ithalatçısının veya onun alt işleme sorumlusunun Madde 3 veya Madde 11'de bahsi geçen yükümlülüklerinden herhangi

birini ihlal etmeleri nedeniyle bir veri sahibinin, veri ihracatçısının gerçeklere dayalı bir şekilde ortadan kaybolması veya kanunen

varlığını sürdürmemesi veya borcunu ödeyemez hale gelmesi yüzünden veri ihracatçısının aleyhine 1. fıkra uyarınca bir tazminat

talebinde bulunamaması halinde, veri ithalatçısı, veri sahibinin veri ithalatçısı aleyhinde sanki veri ihracatçısıymış gibi bir hak talebinde

bulunabileceğini kabul eder ancak bunun için herhangi bir halefi varlığın sözleşme veya kanunun uygulanması yoluyla veri ihracatçısının

yasal yükümlülüklerinin tamamını üstlenmemiş olması gerekir, aksi halde veri sahibi haklarını bu varlığın aleyhinde uygulayabilir.

Veri ithalatçısı kendi sorumluluklarından kaçmak adına kendisinin bir alt işleme sorumlusunun yaptığı bir ihlale bel bağlayamaz.

3. Alt işleme sorumlusunun Madde 3 veya Madde 11'de bahsi geçen yükümlülüklerinden herhangi birini ihlal etmeleri nedeniyle

bir veri sahibinin, veri ihracatçısının ve veri ithalatçısının gerçeklere dayalı bir şekilde ortadan kaybolması veya kanunen varlığını

sürdürmemesi veya borcunu ödeyemez hale gelmesi yüzünden veri ihracatçısının veya veri ithalatçısının aleyhine 1 ve 2. fıkralar

uyarınca bir tazminat talebinde bulunamaması halinde, alt işleme sorumlusu, veri sahibinin veri alt işleme sorumlusunun aleyhinde sanki

veri ihracatçısıymış veya veri ithalatçısıymış gibi Maddeler uyarınca kendi işleme faaliyetlerine ilişkin olarak bir hak talebinde

bulunabileceğini kabul eder ancak bunun için herhangi bir halefi varlığın sözleşme veya kanunun uygulanması yoluyla veri ihracatçısının

yasal yükümlülüklerinin tamamını üstlenmemiş olması gerekir, aksi halde veri sahibi haklarını bu varlığın aleyhinde uygulayabilir. Alt

işleme sorumlusunun bu yükümlülüğü, Maddeler kapsamındaki kendi işleme faaliyetleriyle sınırlı olacaktır.

Madde 7

Arabuluculuk ve yargı

1. Veri ithalatçısı, veri sahibinin zararlar için Maddeler kapsamında üçüncü taraf lehine haklarını aleyhine uygulaması ve/veya

tazminat talep etmesi halinde veri ithalatçısının veri sahibinin aşağıdaki kararını kabul edeceğini kabul eder:

(a) anlaşmazlığın bağımsız bir kişi veya uygulanabilir olması durumunda denetleyici otorite aracılığıyla arabulucuya sevk

edilmesi;

(b) anlaşmazlığın veri ihracatçısının kurulu olduğu Üye Devletteki mahkemelere sevk edilmesi.

2. Taraflar, veri sahibinin yapacağı seçimin ulusal veya uluslararası kanunun diğer hükümleri doğrultusunda çözüm arama

konusunda asli veya usul haklarını etkilemeyeceğini kabul eder.

Abonelik Sözleşmesi Hilti PROFIS 3 (V1, 2017/01)

Sayfa 21 / 29

Madde 8

Denetleyici otoritelerle iş birliği yapma

1. Veri ihracatçısı talep etmesi halinde veya ilgili veri koruma yasası uyarınca böyle bir teminat istenmesi halinde, işbu

sözleşmenin bir kopyasını denetleyici otoriteye vermeyi kabul eder.

2. Taraflar, denetleyici otoritenin yürürlükteki veri koruma kanunu kapsamında veri ihracatçısına uygulanan bir denetimle aynı

kapsama dahil olan ve aynı koşullara tabi olan veri ihracatçısı ve bir alt işleme sorumlusunu denetleme hakkına sahip olduğunu kabul

eder.

3. Veri ithalatçısı, veri ihracatçısını, 2. fıkra uyarınca veri ithalatçısının veya bir alt işleme sorumlusunun denetiminin yapılmasını

engelleyen ve ona ya da bir alt işleme sorumlusuna uygulanan mevzuatın varlığından derhal haberdar edecektir. Böyle bir durumda veri

ihracatçısı Madde 5(b)'de öngörülen önlemleri alma hakkına sahiptir.

Madde 9

Geçerli Kanun

Maddeler, veri ihracatçısının kurulu olduğu Üye Devletin kanunu tarafından yönetilecektir.

Madde 10

Sözleşmenin değişimi

Taraflar, Maddelerin değiştirilmemesini veya tadil edilmemesini taahhüt eder. Bu, tarafların, Maddeye aykırı olmadıkça, gerektiğinde

işle ilgili konularda hükümler eklemelerini engellemez.

Madde 11

Alt İşleme

1. Veri ithalatçısı, veri ihracatçısının önceden yazılı izni olmadan Maddeler kapsamında veri ithalatçısı adına yürüttüğü işleme

faaliyetlerinin hiçbiri için taşeronluk anlaşması yapamaz. Veri ithalatçısının Maddeler kapsamındaki yükümlülüklerine ilişkin olarak

veri ihracatçısının yazılı izni ile taşeronluk anlaşması yaptığı durumlarda bunu ancak Maddeler uyarınca veri ithalatçısına uygulandığı

şekilde alt işleme sorumlusuna da aynı yükümlülükler uygulanacak şekilde alt işleme sorumlusu ile yazılı anlaşma yoluyla yapacaktır.

Alt işleme sorumlusunun bu yazılı anlaşma kapsamındaki veri koruma yükümlülüklerini yerine getirmemesi durumunda veri ithalatçısı

alt işleme sorumlusunun bu anlaşma kapsamındaki yükümlülüklerini yerine getirmesi konusunda veri ihracatçısına karşı tamamen

sorumlu olmaya devam edecektir.

2. Veri ithalatçısı ile alt işleme sorumlusu arasında önceden yapılacak yazılı sözleşmede ayrıca Madde 3'te şart koşulduğu üzere

veri sahibinin 6. Maddenin 1. fıkrası uyarınca veri ihracatçısı veya veri ithalatçısı aleyhinde gerçeğe uygun şekilde ortadan kaybolması

veya kanunen varlığını sürdürmemesi veya borcunu ödeyemez duruma gelmesi sebebiyle, bir halefi varlığın sözleşme veya kanunun

uygulanması yoluyla veri ihracatçısının veya veri ithalatçısının yasal yükümlülüklerinin tamamını üstlenmemiş olması koşulu ile

tazminat talebinde bulunamadığı durumlara karşı üçüncü taraf lehine madde yer alacaktır. Alt işleme sorumlusunun bu üçüncü taraf yükümlülüğü, Maddeler kapsamındaki kendi işleme faaliyetleriyle sınırlı olacaktır.

3. 1. fıkrada bahsi geçen sözleşmenin alt işlemesine ilişkin verilerin korunması hususlarındaki hükümler, veri ihracatçısının kurulu olduğu Üye Devletin kanunu tarafından yönetilecektir.

4. Veri ihracatçısı Maddeler uyarınca imzalanan ve Madde 5(j) uyarınca veri ihracatçısı tarafından bildirilen alt işleme anlaşmalarının bir listesini tutacak ve bu liste en az yılda bir kez güncellenecektir. Bu liste veri ihracatçısının veri koruma denetleyici otoritesine de verilecektir.

Madde 12

Kişisel verilerin işlenmesi hizmeti sona erdikten sonraki yükümlülük

1. Taraflar, verilerin işlenmesi hizmetlerinin sağlanması sona erdikten sonra veri ithalatçısına uygulanan mevzuat aktarılan kişisel verilerin iade edilmesini veya imha edilmesini engellemediği müddetçe, veri ithalatçısı ve alt işleme sorumlusu, veri ihracatçısının tercihine göre aktarılan tüm kişisel verileri ve bunların kopyalarını veri ihracatçısına iade edecek veya tüm kişisel verileri imha edecek ve veri ihracatçısına bunu yaptığını tasdik edecektir. Bu durumda veri ithalatçısı aktarılan kişisel verilerin gizliliğini garanti edecek ve kişisel verileri artık aktif bir şekilde işlemeyecektir.

2. Veri ithalatçısı ve alt işleme sorumlusu, veri ihracatçısı ve/veya denetleyici otoritenin talebi üzerine veri işleme tesislerini 1.fıkrada bahsi geçen önlemlerin denetlenmesi için ibraz edeceklerini temin ederler.