Standart Sözleşme Maddeleri

Olası tüm SSM düzenlemelerini dahil etmek için bu Veri İşleme Anlaşması taslağını oluşturduk. Buradaki maddelerin tümü sizin için geçerli olmayabilir. Daha net şekilde ifade edecek olursak:  

Kaliforniya Tüketici Gizliliği Kanunu (CCPA) 

Bu Veri İşleme Anlaşması'nı Kaliforniya Gizlilik Hakları Yasası'nın CCPA'da yaptığı değişiklikleri yansıtacak şekilde güncelledik. Bu Veri İşleme Anlaşması üzerinde müşteriler tarafından yapılan değişiklikleri veya düzenlemeleri kabul etmediğimizi bildiririz. 

Bu Momentive Veri İşleme Sözleşmesi ("DPA"), Momentive ile yaptığınız Sözleşme kapsamındadır ve geçerli olduğu durumlarda Veri Koruma Mevzuatı uyarınca veri koruma, gizlilik ve güvenlikle ilgili belirli koşullar içermektedir. Farklı Veri Koruma mevzuatı yasaları ve düzenlemeleri arasında bir uyuşmazlık olması durumunda (ve yalnızca bununla ilgili olarak) taraflar, bu bağlamda ortaya çıkan bir uyuşmazlık durumunda yalnızca Momentive tarafından belirlenecek olan, daha külfetli gereksinimlere veya daha yüksek standarda uyacaktır. 

Bu DPA, Müşteri ve aşağıdaki şekilde tanımlanan geçerli Momentive tüzel kişisi arasındadır: 

(i) ABD dışında ikamet eden Müşteriler için sözleşme sahibi kurum Momentive Europe UC olacaktır; 

(ii)  ABD içinde ikamet eden Müşteriler için sözleşme sahibi kurum Momentive Inc. olacaktır. 

Bu sürüm, (1 Ocak 2023 tarihli) Veri İşleme Sözleşmesinin (DPA) son sürümüdür. 

İfadenin bağlamı aksini gerektirmediği müddetçe, aşağıdaki ifadeler bu DPA'da aşağıdaki anlamlarında kullanılır: 

“Anlaşma”, Momentive Inc. veya Momentive Europe ve bir müşteri arasında Hizmetler için yapılan tüm anlaşmaları ifade eder. Bu anlaşma, “Sipariş Formu”, “Satış Siparişi”, “Kullanım Koşulları” veya “Ana Hizmet Sözleşmesi” gibi çeşitli başlıklara sahip olabilir. 

"Madde 28" Müşteri Kişisel Verilerinin işlenmesi için geçerli olan Genel Veri Koruma Düzenlemesinin (GDPR) ve Birleşik Krallık GDPR'nin 28. maddesi anlamına gelir.

“Müşteri” veya “siz”, Anlaşma'nın tanımlandığı müşteri veya tarafı ifade eder. 

"Müşteri Verileri", Müşterinin Hizmetleri kullanmak suretiyle Müşteri tarafından veya onun adına Momentive'a sağlanan tüm veriler (Müşteri Kişisel Verileri de dâhil, ancak bunlarla sınırlı olmamak üzere) ve üçüncü tarafların Hizmetler aracılığıyla Müşteriye sunduğu tüm veriler anlamına gelir.

"Müşteri Kişisel Verileri", bu DPA'nın Ek 2'sinde belirtilen kişisel veriler de dâhil, ancak bunlarla sınırlı olmamak üzere, Hizmetlerin Müşteriye sunulması amacıyla, Müşteri tarafından veya Müşteriye sunulan ve Momentive tarafından işlenen tüm Kişisel Verileri ifade eder.

“Veri Koruma Mevzuatı'nın anlamı: 
“(i) Anlaşma gereğince yapılan kişisel veri işleme işlemlerinde geçerli Genel Veri Koruma Yönetmeliği (2016/​679 sayılı Yönetmelik (AB)) (“GDPR”) ve geçerli diğer tüm AB, AEA veya Avrupa tek pazarı Üye Ülke yasaları veya mevzuatı veya bu türden tüm güncellemeler, değişiklikler veya değiştirmeler;

(ii) 1 Ocak 2023 tarihinde yürürlüğe girecek Veri Koruma Yasası’na dair İsviçre Federal Kanunu (“FADP”) veya Veri Koruma Yasası’na dair yeni Federal Kanun (“nFADP”);

(iii) 2018 Kaliforniya Tüketici Gizliliği Kanunu (Kaliforniya Medeni Kanunu 1798.100 - 1798.199 sayılı paragraflar) (“CCPA”) dahil ancak bununla sınırlı olmamak üzere, Anlaşma kapsamında veri işlemenin geçerli olduğu tüm ABD yasaları ve mevzuatları; 

(iv) Sözleşme kapsamındaki kişisel verilerin işlenmesi için geçerli olan Birleşik Krallık'ta (Birleşik Krallık GDPR de dâhil) dönem dönem yürürlükte olan tüm yasa ve düzenlemeler ve

(v) Kanada’da yapılan kişisel veri işleme işlemlerinde geçerli Kişisel Bilgilerin Korunması ve Elektronik Belgeler Kanunu (“PIPEDA”) veya bu türden tüm güncellemeler, değişiklikler veya değiştirmeler.

"Veri sorumlusu", "veri koruma etki değerlendirmesi", "işlem", "işleme", "işleyici", "denetim makamı" terimleri GDPR'deki veya Birleşik Krallık GDPR'sindeki aynı anlamlara sahiptir

“Momentive” veya “biz”, ABD'deki Müşteriler söz konusu olduğunda Momentive Inc., ABD dışındaki müşteriler söz konusu olduğunda Momentive Europe'ı ifade eder. 

“Momentive Europe”, 2 Shelbourne Buildings, İkinci Kat, Shelbourne Road, Dublin 4, İrlanda adresine kayıtlı bir İrlanda şirketi olan Momentive Europe UC'i ifade eder. 

“Momentive Inc.”, One Curiosity Way, San Mateo, CA 94403, ABD adresine kayıtlı bir Delaware anonim şirketi olan Momentive Inc.'i ifade eder.  

“Momentive Gizlilik Bildirimi”, https://tr.surveymonkey.com/mp/legal/privacy/ adresindeki Momentive Gizlilik Bildirimi'ni ifade eder.

"Kişisel Veriler", yaşayan bir kişi (bir "Veri Sahibi") ile ilgili olan ve söz konusu kişiyi, tek başına veya diğer bilgilerle birlikte makul bir şekilde tanımlayan veya tanımlayabilecek olan bilgiler anlamına gelir.

“Hizmetler”, Müşteri'nin anlaşma gereğince Momentive'den sipariş ettiği hizmetleri ifade eder.

"SSM'ler", i) kişisel verilerin GDPR uyarınca üçüncü ülkelere aktarılmasına ilişkin standart sözleşme maddeleri hakkındaki 4 Haziran 2021 tarihli veya ii) (Momentive'in, i)'de belirtilen Standart Sözleşme Maddelerini kabul ettiği zamana kadar) 95/46/EC sayılı Direktif kapsamında Müşteri Kişisel Verilerinin Üçüncü Ülkelerde kurulmuş olan İşleyicilere Aktarılmasına ilişkin 5 Şubat 2010 tarihli Avrupa Komisyonu Kararı ekinde yer alan "Standart Sözleşme Maddeleri" anlamına gelir. FADP/nFADP’nin geçerli olduğu durumlarda SMM’lerde yapılan tüm referanslar FADP/nFADP ile ilgili referanslar olarak anlaşılacaktır. Bu sebeple, bu bağlamda kullanılan tüm terimler FADP/nFADP’de belirtilen tanımlarıyla kullanılacaktır.

"Birleşik Krallık Eki", şu anlamlara gelir; (i) Birleşik Krallık Bilgi Komiserliği Ofisi tarafından yayınlanan ve 2018 tarihli Birleşik Krallık Veri Koruma Yasası'nın 119A maddesi uyarınca 2 Şubat 2022 tarihinde Birleşik Krallık Parlamentosu'na sunulan ve zaman zaman Zorunlu Maddelerin 18. maddesi uyarınca revize edilen şablon. Bu tanımda atıfta bulunulan şablon ek, 21 Mart 2022 tarihi itibarıyla yürürlükte olan AB Komisyonu Standart Sözleşmesinin Uluslararası Veri Aktarımı Eki, sürüm B1.0 başlıklı belge anlamına gelir; veya (ii) (Momentive, (i)'de belirtilen Birleşik Krallık Ekini kabul ettiği zamana kadar) 95/46/EC sayılı Direktif kapsamında kişisel verilerin üçüncü ülkelerde kurulan işleyicilere aktarılmasına ilişkin 5 Şubat 2010 tarihli Avrupa Komisyonu Kararı.

"Birleşik Krallık GDPR", 2018 tarihli Avrupa Birliği (Geri Çekilme) Yasası'nın 3. bölümü uyarınca İngiltere ve Galler, İskoçya ve Kuzey İrlanda yasalarının bir parçası olduğu ve 2019 ve 2020 tarihli Veri Koruma, Gizlilik ve Elektronik İletişim (Değişiklikleri vb.) (AB'den Çıkış) Düzenlemeleri ile değiştirildiği şekliyle AB GDPR ile daha sonra Birleşik Krallık GDPR'sini değiştirmiş veya onun yerini almış olan Birleşik Krallık'ta zaman zaman yürürlükte olan herhangi bir mevzuat anlamına gelir.

Momentive, Müşteriye Hizmetleri sağlarken, GDPR'de belirtilen amaçlar doğrultusunda Müşterinin Kişisel verilerinin işleyicisi konumundadır.  CCPA ile ilgili olarak geçerli olduğu ölçüde, Momentive ve Müşteri, Kişisel Bilgiler (CCPA kapsamında tanımlandığı şekilde) bakımından Momentive'in bir "Hizmet Sağlayıcı" olduğu ve Müşterinin ise “İşletme" olduğu konusunda mutabıktır.

Bu DPA, Anlaşma sona erdirilene (koşullarına uygun olarak) veya geçerlilik süresi bitene kadar yürürlükte olacaktır. 

Müşteri, bu DPA uyarınca, kişisel verileri yasalar çerçevesinde işleyebilmesi ve aktarabilmesi için Müşteri Verilerini Momentive'e aktarma yetkisine sahip olduğunu işbu vesile ile temin, garanti ve beyan eder. Müşteri, ilgili verilerin konusu olan tarafların söz konusu kullanım, işleme, aktarım hakkında Veri Koruma Mevzuatı'nın gerektirdiği şekilde bilgilendirilmesini ve yasaya uygun onayların alınmasını (mümkünse) sağlar. Müşteri, tüm kişisel veri işleme ve Momentive'e kişisel veri aktarma işlemlerinin yasalara uygun şekilde ve gerektiği gibi yapılmasını sağlar.

Momentive bir işleyici olarak Müşteri Kişisel Verilerini Müşteri için işlediğinde Momentive'in yükümlülükleri şunlar olacaktır:

(a) verilerin diğer yargı bölgelerine veya uluslararası bir kuruluşa aktarılması ile ilişkili işlemeler de dahil olmak üzere, veri işleme işlemini yalnızca belgelendirilmiş Müşteri talimatları doğrultusunda ve Veri Koruma Mevzuatı'na uygun olarak gerçekleştirecektir ve taraflar, Müşteri'nin Müşteri Kişisel Verilerini (AEA dışında kalan bölgeler dahil) işlemesi için Momentive sağladığı belgeli talimatlara, Müşteri tarafından Momentive'e sağlanan (örn. e-posta yoluyla) diğer makul talimatlarla birlikte, bu talimatların Anlaşmayla tutarlı olduğu durumlarda, bu Anlaşma'da yer verildiğinde mutabık kalacaklardır; 

(b) Müşteri Kişisel Verilerinin işlenmesi sürecine dahil edilen tüm Momentive personelinin kişisel verilerle ilgili gizlilik yükümlülüklerine tabi olmasını sağlayacaktır; 

(c) ilgili bilgilerin Momentive'in tam kontrolü altında bulunduğu ve Müşteri'nin hesabı, kullanıcı alanları veya Momentive'in web siteleri aracılığıyla bu bilgilere başka herhangi bir şekilde erişim sağlayamadığı durumlarda ve Müşteri'nin Momentive'e en az 14 gün önceden söz konusu bilgi talebiyle ilgili yazılı bildirim sağlaması koşuluyla, Momentive, Müşteri'nin Madde 28'de belirtilen yükümlülüklere (Müşteri için geçerli olduğu durumda) uyumluluğunu kanıtlaması için gerekli bilgileri Müşteri'nin erişimine açacaktır;

(d) Müşteri'nin, bir veri sahibinin Momentive'in Hizmetleri sağlarken işlediği kişisel verilerle ilgili olarak veri sahiplerine verdiği tüm hakların Veri Koruma Mevzuatı'na göre kullanımına uyum sağlayabilmesi için, Müşteri'nin makul bir şekilde talep etmesi durumunda Müşteri ile işbirliği yapacaktır; 

(e) gerekli olduğu durumlarda, bir Veri Sahibinin Hizmetler aracılığıyla gönderdiği Kişisel Verilerle ilgili olarak doğrudan bir Veri Sahibinden alınan taleplerle ilgili destek sağlayacaktır;

(f) sizin tarafınızdan silindikten sonra, geçerli yasalarla ve mevzuatla uyumluluk amaçları dışında ve saklama ilkelerimize tabi olağanüstü durum kurtarma ve iş sürekliliği amaçları doğrultusunda oluşturulan rutin yedek kopyaları dışında kalabilecek durumlarda Müşteri Kişisel Verilerini hesabınızda tutmayacaktır; 

(g) gerekli olduğu durumda ilgili yetkili denetleyici makamın görevlerini yerine getirmesi sırasında yetkili denetleyici makamlarla veya bunların yerine geçen ya da halefi konumundaki diğer makamlarla muhtelif zamanlarda (veya Müşteri veya Veri Koruma Mevzuatına tabi başka bir veri koruma veya gizlilik düzenleyicinin gerekli gördüğü şekilde) iş birliği yapacaktır; 

(h) Müşteri'nin aşağıdaki koşullarda makul yollarla talep etmesi durumunda Müşteriye destek sağlayacaktır: 

(i) Müşteri, Hizmetleri içeren bir veri koruma etki değerlendirmesi yürüttüğünde (müşterinin kendi değerlendirmesini yürütebilmesi için belge sağlama bu kapsama dahil edilebilir); veya

(ii) Müşteri'nin Güvenlik Olayını bir yetkili denetleyici makama veya ilgili veri sahibine bildirmesi (aşağıda belirtildiği şekilde) gerektiğinde

(i) hiç bir Kişisel Bilgiyi ticari amaçla (a) satmayacak (CCPA başlığı altında ifade edildiği şekliyle) veya (3) Müşteri'nin operasyonel amaçları için, (4) Veri Koruma Mevzuatı'nda izin verildiği ölçüde Momentive'in dahili kullanımı için, (5) veri güvenliği olaylarını tespit etmek veya yasa dışı ya da dolandırıcılık faaliyetlerine karşı koruma sağlamak amacıyla ya da (6) Veri Koruma Mevzuatı'nda izin verilen diğer amaçlar doğrultusunda, (2) Müşteri adına (b) toplamayacak, saklamayacak, ifşa etmeyecek veya bu Anlaşma gereğince Müşteriye olan yükümlülüklerini yerine getirmesi gereken haller (1) dışında Kişisel Bilgileri işlemeyecektir;  

(j) Momentive, Müşteri'den aldığı herhangi bir talimatın Veri Koruma Mevzuatı'nın hükümlerini ihlal ettiğini fark etmesi durumunda, Veri Koruma Mevzuatı gereği, Müşteri'yi bilgilendirir. Yukarıdaki hükümlere bakılmaksızın, Momentive'in Müşteri'den aldığı talimatların yasalara uygunluğunu kontrol etme veya gözden geçirme yükümlülüğü yoktur; 

(k) Momentive, bu DPA'da belirtilen kısıtlamaları ve yükümlülükleri anladığını ve bunlara uyacağını onaylar. 

6.1 Alt İşleme. Bu 6. Bölümdeki gereksinimlerle uyumluluğa tabi olarak, Müşteri ileriye dönük alt işleyicileri işe alması için Momentive'e genel yetki sağlar.

6.2 Alt İşleyici Listesi. Momentive, Sözleşmenin gizlilik hükümlerine veya Momentive'in uygulamaya koyduğu diğer hükümlere bağlı olarak aşağıdakileri gerçekleştirmekle yükümlüdür:

(a) Müşteriye, Hizmetlerin sağlanmasıyla bağlantılı olarak Müşteri Kişisel Verilerinin işlenmesinde veya alt işlenmesinde yer alan Momentive alt yüklenicilerin (“Alt İşleyiciler”) bir listesinin, her bir Alt İşleyici tarafından sağlanan hizmetlerin niteliğinin bir açıklamasına yer vererek (“Alt İşleyici Listesi”) sunulması. Bu Alt İşlemci Listesinin bir kopyası buradan istenebilir; 

(b) Alt İşleyici Listesi'ndeki tüm Alt İşleyicilerin, esasa ilişkin yönlerden bu DPA'da sözü edilen koşullardan daha az külfetli olmayan sözleşme koşullarına tabi olduğunu temin edecektir; ve 

(c) Anlaşma kapsamında hariç tutulan koşullar dışında, bu Alt İşleyicilerin her birinin hizmetlerini doğrudan bu DPA'nın koşulları gereğince Momentive gerçekleştirmiş gibi kabul edilerek, Alt İşleyicileri'nin faaliyetlerinden ve eksikliklerinden aynı ölçüde Momentive sorumlu olacaktır. 

6.3 Yeni / Değiştirilen Alt İşleyiciler. Momentive, Müşteriye Sözleşme süresi boyunca dilediği zaman yeni bir Alt İşleyicinin eklenmesi veya mevcut bir Alt İşleyicinin değiştirilmesi ile ilgili yazılı bildirimde bulunacaktır (“Yeni Alt İşleyici Bildirimi”). Müşteri, Momentive tarafından sunulan ve bu tür bildirimlerin e-posta yoluyla iletileceği bir gönderi listesine kaydolacak veya alternatif olarak listedeki güncellemeleri buradan kontrol edecektir. Müşterinin, Momentive'ın yeni veya değiştirilen bir Alt İşleyici kullanmasına itiraz etmesi için makul bir gerekçesi varsa, Müşteri, derhâl ve her hâlükârda Yeni Alt İşleyici Bildirimini almasından sonraki 30 gün içinde Momentive'i yazılı olarak bilgilendirecektir. Bu tür bir makul itiraz durumunda, Müşteri veya Momentive, diğer tarafa yazılı bildirimde bulunarak, itiraz edilen yeni Alt İşleyici olmaksızın makul bir şekilde sağlanamayacak olan Hizmetler ile ilgili herhangi bir Sözleşmenin ilgili kısmını derhâl yürürlüğe girecek şekilde feshedebilir (bu durum, Momentive'nin takdir ve tercihine bağlı olarak tüm sözleşmenin feshini de gerektirebilir). Bu tür bir fesih, fesihten sonraki süre için Müşteri tarafından ön ödemesi yapılmış herhangi bir ücretin iadesini isteme hakkı olmaksızın gerçekleşecektir.

7.1 Güvenlik Önlemleri. Momentive; yetkisiz veya yasa dışı veri işleme, Müşteri Verilerinin kazara kaybedilmesi ve/veya Müşteri Verilerine zarar verme gibi risklere ilişkin uygun güvenlik düzeyini temin etmek üzere; son teknolojiyi, uygulama maliyetini, risk düzeyini ve Hizmetlerin doğasını, kapsamını, bağlamını, amaçlarını ve göz önünde bulundurarak, uygun teknik ve organizasyonel önlemleri (Ek 1 uyarınca) almıştır. Momentive, işlemenin güvenliğini temin etmek amacıyla makul aralıklarla bu teknik ve organizasyonel önlemlerin etkinliğini test eder ve değerlendirir.

7.2 Güvenlik Olayı ve İhlal Bildirimi. Momentive'in, Müşteri Kişisel Verilerine yetkisiz ya da yasa dışı erişildiğini, bunların alındığını, değiştirildiğini, kullanıldığını, ifşa edildiğini ya da tahrip edildiğini fark etmesi durumunda (“Güvenlik Olayı”), Momentive usulsüz bir gecikme olmadan Müşteri'ye bildirmek için makul adımları atacaktır. Bir Güvenlik Olayı, başarısız (internet sitesine) giriş girişimleri, ping’ler (veri paketinin iletilmesi sırasında geçen süre), port taramaları, DoS’lar (hizmeti engelleme saldırıları), veya firewall’lar (güvenlik duvarları) veya ağ (network) kapsamındaki sistemlere yönelik diğer network (ağ) saldırıları dahil olmak üzere, Kişisel Verilerin güvenliğini riske atmayan başarısız girişimleri ya da faaliyetleri içermez. Müşteriye yapılan Güvenlik Olayı bildirimleri hiçbir şekilde Momentive'in sorumluluk kabul ettiği anlamına gelmez.

7.3 Momentive, zorunlu bildirimleri hazırlayarak bir Güvenlik Olayı ile ilgili herhangi bir soruşturmaya ilişkin olarak Müşteriyle makul bir şekilde iş birliği yapacak ve tarafınızca herhangi bir Güvenlik Olayı ile ilgili makul olarak talep edilen diğer tüm bilgileri sağlayacaktır. 

8.1 Denetimler. Momentive'in bir işleyici olarak (yalnızca) Müşteri'nin Kişisel Verilerini Müşteri için işlediği durumda, Müşteri Momentive'e en az bir ay önceden yazılı denetleme bildirimi gönderecektir. Bu denetim, Müşteri'nin kendisi veya Müşteri tarafından atanan bağımsız bir denetçi (denetimi yapan kişinin Momentive'in bir rakibi veya rakibi adına hareket eden biri olmaması koşuluyla) (“Denetçi”) tarafından yürütülebilir. Denetlemenin kapsamı aşağıdaki gibi olacaktır:

(a) Yasal olarak başka bir zorunluluk olmadıkça ya da Müşteri üzerinde yetkisi olan bir yasa düzenleyici aynı yıl içinde birden fazla denetim yapılmasını zorunlu kılmadıkça (bu durumda Müşteri ve Momentive bu tür denetimlerden önce Momentive’in denetim masrafları için makul bir geri ödeme oranı üzerinde anlaşır Müşteri yılda yalnızca bir defa (12 aylık abonelik süresince) denetim yapma hakkına sahip olur.

(b) Momentive, uygun ve makul tüm gizlilik sınırlamalarına tabi olmak koşuluyla, elinde tuttuğu tüm sertifikasyon ve uyumluluk standartlarının kanıtlarını sağlamayı ve talep edilmesi durumunda Momentive'in en yeni yıllık penetrasyon testlerinin bir yönetici özetini Müşteri'ye sunmayı kabul eder. Söz konusu yönetici özeti, bu penetrasyon testleri sonucunda Momentive’in uyguladığı düzeltici eylemlerin özetini içerir. 

(c) Denetim kapsamı, Müşteri'nin Kişisel Verilerinin işlenmesine ve korunmasına ilişkin Momentive sistemleri, süreçleri ve belgeleri ile sınırlı olacaktır. Denetçiler, denetimleri Momentive tarafından talep edilen tüm uygun ve makul gizlilik sınırlamalarına tabi olarak yürütecektir.

(d) Müşteri, bir denetim sırasında bulunan tüm algılanan uyumsuzluk ya da güvenlik endişeleriyle ilgili tüm ayrıntıları derhal ve gizlilik çerçevesinde Momentive’e bildirecek ve sağlayacaktır.

8.2 Taraflar, Müşteri üzerinde yetkisi olan bir yetkili denetleyici makam ya da yasa düzenleyicinin emri ya da bağlayıcı başka bir kararıyla zorunlu olduğu durumlar haricinde, bu 8. Bölümün Müşteri'nin Momentive karşısındaki denetim haklarının tüm kapsamını belirlediği konusunda mutabıktır.

9.1 Geçerli olduğu ölçüde, Müşteri Kişisel Verilerinin Avrupa Ekonomik Alanı'ndan ("AEA"), İsviçre’den veya Birleşik Krallık'tan AEA, İsviçre ve Birleşik Krallık dışında yer alan, Avrupa Komisyonu veya ilgili Veri Koruma Mevzuatı tarafından belirlenen yeterli veri koruma standartlarına sahip olmayan yerlere aktarılması için, Momentive aşağıdakilere güvenir:

(a) SSM'lere; ve

(b) Birleşik Krallık GDPR'ye tabi aktarımlar ile ilgili olarak Birleşik Krallık Ek'e; veya

(c) Veri Koruma Mevzuatı kapsamında belirtilen veya izin verilen bu tür diğer uygun güvencelere veya askıya alma işlemlerine (uygun olduğu ölçüde sınırlı olmak üzere).

9.2 Gerektiğinde, taraflar burada SSM'leri (bir kopyasına buradan erişilebilir) ve Birleşik Krallık Ek'ini (Ek 3) kabul ederler. SSM'ler bu Sözleşmeye referans yoluyla dâhil edilmiş olup aşağıdaki şekilde uygulanacaktır:

(a) Müşterinin, Hizmetler için Sözleşme kapsamında Amerika Birleşik Devletleri'nde bulunan Momentive Inc. ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri sorumlusu olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Müşteri Kişisel Verilerini AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, Momentive içe veri aktaran olarak SSM'leri ve Müşteri, dışarı veri aktaran olarak SSM'leri ve geçerli olduğu Modül İki'yi kabul eder; ve/veya

(b) Müşterinin, Hizmetler için Sözleşme kapsamında Amerika Birleşik Devletleri'nde bulunan Momentive Inc. ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri işleyici olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Müşteri Kişisel Verilerini AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, Momentive içe veri aktaran olarak SSM'leri ve Müşteri, dışarı veri aktaran olarak SSM'leri ve geçerli olduğu Modül Üç'ü kabul eder; ve/veya

(c) Müşterinin, AEA sakini olmadığı ve Müşteri Kişisel Verilerini AEA içerisinde saklamak için Sözleşme kapsamında Momentive Europe UC ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri sorumlusu olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Kişisel Verileri AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, Momentive dışa veri aktaran olarak SSM'leri ve Müşteri, içe veri aktaran olarak SSM'leri ve geçerli olduğu Modül Dört'ü kabul eder; ve/veya

(d) Madde 7'de, isteğe bağlı dâhil olma maddesi uygulanacaktır;

(e) Madde 11'de, isteğe bağlı dil uygulanmayacaktır;

(f) Madde 17'de, SSM'ler için İrlanda hukuku geçerli olacaktır;

(g) Madde 18'de, uyuşmazlıklar İrlanda mahkemeleri önünde çözüme kavuşturulacaktır; ve

(h) SSM'lere ait Ek I ve II, Sözleşmede belirtilen bilgiler ve bu DPA Eklerinde yer alan detaylarla tamamlanmış sayılacaktır.

9.3 FADP/nFADP tarafından korunan aktarımlar için, yukarıdaki Bölüm 9.2’ye uygun olarak SSM’ler geçerli olacaktır. Hariç tutulan durumlar şunlardır: 

(a) SSM’lerde olup GDPR’ye yönelik olan her türlü referans, FADP/nFADP’ye yönelik referanslar olarak yorumlanacaktır;  

(b) “AB”, “Birlik” ve “Üye Ülke yasası”na yönelik her türlü referans, İsviçre ve İsviçre yasasına yönelik referanslar olarak yorumlanacaktır ve  

(c) Yukarıda belirtilen şekilde uygulanan SSM’lerin Müşteri Kişisel Verileri’ni FADP/nFADP doğrultusunda yasalara uygun şekilde aktarmak için kullanılamadığı durumlar haricinde, “yetkili denetleyici makam” ve “yetkili mahkemeler”e yönelik her türü referans, İsviçre’deki ilgili veri koruma makamı ve İsviçre mahkemelerine yönelik referanslar olarak yorumlanacaktır. Bu tür durumlarda ise İsviçre SSM'leri atıfta bulunularak bu Veri İşleme Sözleşmesi’ne dahil edilip onun ayrılmaz bir parçasını oluşturacak ve bu türden aktarımlar için geçerli olacaktır. İsviçre SSM’lerinin amaçları doğrultusunda, İsviçre SSM’lerinin ilgili Ek’leri, bu Veri İşleme Sözleşmesi’nin Ek 1’i ve Ek 2’sinde yer alan bilgiler kullanılarak doldurulacak ve Bölüm 9.3’te belirtilen yoruma açık hükümler geçerli olacaktır (geçerli olduğu ölçüde ve FADP/nFADP’ye uyum amaçlarının gerektirdiği şekilde).  

9.4 Yazılı talep üzerine ve Standart Sözleşme Maddeleri veya Birleşik Krallık Ek'inin hükümlerine (duruma göre hangisi uygunsa) uygun olarak, Momentive, veri işleyicisi sıfatıyla içe veri aktaranlarla onayladığı Standart Sözleşme Maddelerinin veya Birleşik Krallık Ek'inin kopyalarını Müşteriye sunacaktır.

10.1 Veri işleme yükümlülüğü. İster anlaşmadan, haksız fiilden (ihmal dahil), yasal görevin ihlalinden doğan ister başka bir şekilde bu DPA’dan kaynaklanan ya da bağlantılı olan iddialar nedeniyle ortaya çıkan tarafların kendi toplam yükümlülükleri, yazılı olarak aksi kararlaştırılmadıkça bu Anlaşmada düzenlendiği şekilde olacaktır.

10.2 Uyuşmazlık. (i) bu DPA'nın konusuyla ilgili olarak, bu DPA'nın koşulları ve Anlaşma'nın koşulları arasında uyuşmazlık veya belirsizlik olması durumunda bu DPA'nın koşulları geçerli olur; (ii) bu DPA'da sözü edilen herhangi bir hükmün koşulları ve Standart Sözleşme Maddeler'inde sözü edilen herhangi bir hükmün koşulları arasında uyuşmazlık ve belirsizlik olması durumunda Standart Sözleşme Maddeler'indeki hüküm geçerli olur.

10.3 Bağımsız Veri İşleme. Müşteri, Hizmetlerle ilgisi olmayan kişisel verilerin bağımsız olarak toplanması ve işlenmesi bakımından Veri Koruma Mevzuatına uygun davranmaktan yalnızca kendisi sorumludur. Müşteri, bunu nasıl yaptığını doğru bir şekilde açıklayan, kendine ait açık ve belirgin gizlilik bildirimlerini sunacaktır ve Momentive, bu koşullarda, Müşteri tarafından kişisel verilerin nasıl ele alındığından sorumlu olmayacaktır. Müşteri, bu koşullarda kişisel verilerin toplanması ve kullanılması sonucunda ortaya çıkan her türlü talep veya sorumluluk için Momentive'i tam olarak tazmin eder.

10.4 Anlaşmanın Bütünlüğü. Anlaşma (bu DPA'yı da bünyesinde bulunduran) ve tüm Sipariş Formları, taraflar arasındaki anlaşmanın bütünlüğünü temsil eder ve konusuyla ilgili yazılı ve sözlü her türlü önceki eş zamanlı anlaşmaların, hükümlerin ve koşulların yerini alır. Tüm taraflar, Anlaşma'yı yapmalarına neden olan ve Anlaşma'da belirtilmemiş hiçbir beyana itimat etmediklerini doğrular.

10.5 Bölünebilirlik. Bu DPA'nın herhangi bir hükmünün yetkili bir mahkeme tarafından uygulanamaz olduğu tespit edilirse, söz konusu hüküm ayrılır ve hükümlerin geri kalanı tam olarak yürürlükte kalır. Bu DPA'daki hiçbir şey, taraflardan herhangi ikisi arasında herhangi bir ortaklık veya ortak girişim kurmayı amaçlamamaktadır veya bu şekilde kabul edilmeyecektir ya da burada açıkça belirtilenler dışında, taraflardan herhangi birinin başka bir taraf için veya onun adına herhangi bir taahhütte bulunabilmesine veya bulunmasına izin vermemektedir.

10.6 Elektronik Kopya. DPA, elektronik bir belge olarak sunulur.

10.7 Geçerli Hukuk. Bu DPA, İrlanda yasalarına tabidir ve tüm taraflar İrlanda'daki mahkemelerin münhasır yargı yetkisini kabul eder (sözleşmeden ve sözleşme dışı doğan tüm ihtilaflarla ilgili olarak). Amerika Birleşik Devletleri sınırları içinde eyalet düzeyinde veya federal düzeyde yaşanan, iddia edilen ihlaller veya mevcut ya da gelecekteki gizlilik yasalarının, mevzuatının, standartlarının, düzenleyici kılavuz ilkelerinin ve öz düzenleyici kılavuz ilkelerinin ihlal edilmesi durumunda ise yasalarda aksi belirtilmedikçe Kaliforniya Eyaleti yasaları geçerli olur.

Momentive tarafından uygulanan teknik ve organizasyonel güvenlik önlemlerinin tanımlaması

Momentive, Hizmetlerin Müşteri'ye sağlanması için kendisine sağlanan kişisel verilerin güvenliğini, gizliliğini ve bütünlüğünü sağlamak üzere yönetimsel, fiziksel ve teknik teminatları (“Güvenlik Teminatları”) sağlar. 

Güvenlik Teminatları aşağıdakileri içerir: 

(a) Etki Alanı: Bilgi Güvenliği Organizasyonu.

(i) Güvenlik Görevleri ve Sorumluluklar. Veri erişimi olan Momentive personeli gizlilik yükümlülüklerine tabidir.

(ii) Risk Yönetimi Programı. Momentive, uygun olduğunda, verileri işlemeden önce bir risk değerlendirmesi yürütür.

(b) Etki Alanı: Varlık Yönetimi.

(i) Varlıkların Ele Alınması.

(1) Momentive, Müşteri Verileri içeren basılı materyallerin bertaraf edilmesine yönelik prosedürler uygular.

(2) Momentive, Müşteri Verilerinin depolandığı tüm donanımın envanterini tutar.

(c) Etki Alanı: İnsan Kaynakları Güvenliği.

(i) Güvenlik Eğitimi.

(1) Momentive, ilgili güvenlik prosedürleri ve kendilerine atanan roller hakkında personelini bilgilendirir. Momentive, güvenlik kurallarının ve prosedürlerinin ihlal edilmesinin yaratacağı olası sonuçlar hakkında da personeline bilgi sağlar.

(d) Etki Alanı: Fiziksel Güvenlik ve Ortam Güvenliği.

(i) Tesislere Fiziksel Erişim. Momentive, Müşteri Verilerinin işlendiği bilgi sistemlerinin bulunduğu tesislere erişimi tanımlı yetkili kişilerle sınırlamıştır.

(ii) Kesintilere Karşı Koruma Momentive, güç beslemesi arızası veya hat karışması kaynaklı veri kayıplarına karşı koruma sağlamak için çeşitli, sektör standardında sistemden yararlanır.

(iii) Bileşenlerin Bertaraf Edilmesi. Momentive, daha fazla ihtiyaç duymadığı Müşteri Verilerini silmek için sektör standardı süreçlerden yararlanır.

(e) Etki Alanı: İletişim ve Operasyon Yönetimi. 

(i) Faaliyet Politikası. Momentive, güvenlik önlemlerinin, ilgili prosedürlerin ve Müşteri Verilerine erişimi olan personelinin sorumluluklarının açıklandığı güvenlik belgelerini saklar. 

(ii) Veri Kurtarma Prosedürleri. 

(1) Momentive, düzenli ve sürekli olarak Müşteri Verilerinin yedek kopyalarını oluşturur. Birincil kopyanın kaybolduğu durumlarda Müşteri Verileri bu kopyalar kullanılarak kurtarılabilir. 

(2) Momentive, Müşteri Verilerinin kopyalarını ve kurtarma prosedürlerini Müşteri Verilerini işleyen birincil bilgisayar donanımının konumundan ayrı bir yerde tutar. 

(3) Momentive, Müşteri Verilerinin kopyalarına erişimi düzenleyen özel prosedürler uygulamaktadır. 

(iii) Kötü Amaçlı Yazılımlar. Momentive, genel ağ kaynaklı kötü amaçlı yazılımlar da dahil olmak üzere, Müşteri Verilerine yetkisiz erişim elde eden kötü amaçlı yazılımların önlenmesini sağlamak amacıyla kötü amaçlı yazılımlara karşı koruma sağlayan kontroller uygular.

(iv) Sınırların Dışındaki Veriler. 

(1) Momentive, genel ağlar üzerinde iletilen Müşteri Verilerini şifreler. 

(v) Olay Günlüğü Oluşturma.

(1) Momentive, veri işleme sistemlerinin günlük kullanımını kayıt altına alır. 

(2) Momentive; erişim kimliği, zaman damgası ve bazı ilgili aktiviteleri kaydederek Müşteri Verilerinin yer aldığı bilgi sistemlerinin kullanımını ve bu sistemlere erişimi kayıt altına alır.

(f) Etki Alanı: Bilgi Güvenliği Olay Yönetimi.

(i) Olay Müdahale Süreci. 

(1) Momentive, yürürlüğe koyduğu bir olay müdahale planına sahiptir. 

(2) Momentive; ihlalin açıklaması, gerçekleştiği zaman aralığı, sonuçları, ihlali bildiren kişinin adı, ihlalin bildirildiği kişi ve geçerli olduğu durumda atılan düzeltme adımları detaylarını da ekleyerek güvenlik ihlallerinin kaydını tutmaktadır.

(g) Etki Alanı: İş Sürekliliği Yönetimi.

(i) Momentive'in geniş depolama kapasitesi ve veri kurtarma prosedürleri, Müşteri Verilerini kaybolmadan veya tahrip edilmeden önceki orijinal halinde yeniden oluşturmak amacıyla tasarlanmıştır.   

(h) İşleme Alanlarına Erişimin Kontrolü.  Yetkisiz kişilerin, Müşteri'nin Kişisel Verilerinin işlendiği veya kullanıldığı veri işleme donanımına (yani telefonlar, veri tabanları, uygulama sunucuları ve ilgili donanım) erişimini engellemek için uygulamaya konulan süreçler şunlardır:

(i) güvenli alanlar oluşturma; 

(ii) erişim yollarının korunması ve buralara erişimin kısıtlanması;

(iii) cep telefonlarının koruma altına alınması;   

(iv) veri işleme donanımı ve kişisel bilgisayarlar;

(v) Müşteri Kişisel Verilerinin barındırıldığı, izlendiği ve takip edildiği veri merkezlerine tüm erişimler;  

(vi) Müşteri Kişisel Verilerinin barındırıldığı veri merkezleri güvenlik alarm sistemiyle ve diğer uygun güvenlik önlemleriyle korunur ve 

(vii) tesis, elverişsiz hava koşullarına ve diğer mantıken öngörülebilir doğal koşullara dayanacak şekilde tasarlanmıştır, 24 saat nöbet tutan bekçiler, anahtar kart ve/veya biyometrik erişim (risk düzeyine uygun şekilde) taraması ve refakatçi eşliğinde erişimle korunur. Ayrıca, elektrik kesintisi durumunda devreye giren tesis içi yedek jeneratörlerle desteklenir.

(i) Veri İşleme Sistemlerine Erişimin Kontrol Edilmesi. Veri işleme sistemlerinin yetkisiz kişiler tarafından kullanılmasını önleyen süreçler şunları içerir:  

(i) veri işleyen sistemlerin terminalinin ve/veya terminal kullanıcısının belirlenmesi; 

(ii) kullanıcının terminali 30 dakika veya daha kısa bir süre boyunca kullanmaması durumunda otomatik zaman aşımının devreye girmesi ve terminali yeniden açmak için kimlik bilgileri ve şifre gerekmesi;

(iii) kimlik kodlarının verilmesi ve bu kodların korunması;  

(iv) şifre karmaşıklığı gereksinimleri (minimum uzunluk, şifrelerin kullanım sürelerinin dolması vb.); 

(v) sektör standardı güvenlik duvarı yoluyla harici erişime karşı koruma.  

(j) Veri İşleme Sistemlerinin Belirli Alanlarını Kullanmak İçin Erişim Kontrolü. Veri İşleme Sistemlerini kullanma yetkisi verilen kişilerin yalnızca kendilerine verilen erişim izni (yetkilendirme) ölçüsünde ve bu izin kapsamındaki verilere erişebilmesini ve Müşteri Kişisel Verilerinin yetkilendirme olmadan okunamamasını, kopyalanamamasını, değiştirilememesini ve kaldırılamamasını sağlayan önlemler şunları içerir:

(i) bağlayıcı çalışan ilkelerinin uygulamaya konulması ve her bir çalışanın Müşteri Kişisel Verilerine erişim haklarıyla ilgili eğitim sağlanması:

(ii) uygun yetkiye sahip olmadan Müşteri Kişisel Verilerine erişen kişilere yönelik etkili ve ölçülü disiplin işlemleri; 

(iii) verilerin yalnızca yetkili kişilerin erişimine açılması; 

(iv)Müşteri Kişisel Verilerini içeren bilgilere erişim için, en az ayrıcalıklı erişim ilkelerinin katı bir şekilde “bilinmesi gereken bilgi” gereksinimleri temelinde uygulamaya konulması:

(v) VPN, iki faktörlü kimlik doğrulama ve rol tabanlı erişim kontrolleriyle düzenlenen üretim ağı ve veri erişimi yönetimi;

(vi) uygulama ve altyapı sistemlerinin; sorun giderme, güvenlik incelemesi ve analizler için bilgileri merkezi olarak yönetilen bir günlük deposuna kaydetmesi; 

(vii) yedek kopyaların saklanmasını düzenleyen ilkelerin geçerli yasalarla uyumlu olması ve söz konusu verilerin yapısına ve ilgili riske uygun olması.

(k)Aktarım Kontrolü. Müşteri Kişisel Verilerinin veri aktarımı veya veri ortamını taşınması sırasında yetkisiz taraflar tarafından okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini önlemek ve veri aktarma araçlarıyla Müşteri Kişisel Verilerinin hangi bölümlerinin aktarılacağının öngörüldüğünü belirlemenin ve kontrolünün mümkün olduğunu temin etmek uygulanan prosedürler şunları içerir: 

(i) verilerin taşındığı ağ geçitlerini ve veri hatlarını korumak için güvenlik duvarlarının ve şifreleme teknolojilerinin kullanılması;

(ii) dahili kurumsal ağa bağlantıyı korumak için VPN bağlantıları uygulanması;

(iii) Altyapının sürekli olarak izlenmesi (örn. ağ düzeyinde ICMP-Ping, sistem düzeyinde disk alanı incelemesi, uygulama düzeyinde belirli test sayfalarının başarılı şekilde gönderilmesi yoluyla); 

(iv) tüm aktarımların eksiksiz ve doğru olmasını sağlamak için izleme(uçtan uca kontrol yoluyla). 

(l) Depolama Kontrolü. Herhangi bir Müşteri Kişisel Verisi depolanırken bu veriler, özel yedekleme ve kurtarma süreçlerinin bir parçası olarak şifreli biçimde yedeklenir. Şifreleme için ticari bir şifreleme çözümü kullanılır ve Müşteri Kişisel Verileri olarak tanımlanan ve herhangi bir taşınabilir veya dizüstü bilgisayar  veya taşınabilir depolama aracında depolanan tüm veriler de aynı şekilde şifrelenir. Simetrik şifreleme için şifreleme çözümleri 128 bitten düşük olmayan bir anahtarla birlikte dağıtılır ve asimetrik şifreleme için 1024 (veya daha büyük) bir anahtar uzunluğu kullanılır;

(m) Girdi Kontrolü. Aşağıdakileri içerecek şekilde, Müşteri Kişisel Verilerinin veri işleme sistemlerine girilip girilmediğinin ve kim tarafından girildiğinin veya çıkarıldığının kontrol ve tespit edilmesinin mümkün olmasını sağlamaya yönelik tedbirler:

(i) yetkili personel için kimlik doğrulaması;

(ii) hafızaya veri girişi ve depolanan verilerin okunması, değiştirilmesi ve silinmesine yönelik koruyucu önlemler;

(iii) kullanıcı kodlarının kullanılması (şifreler);

(iv) veri dışa aktaranın kuruluşu içinde girdi yetkisinin kanıtlanması;

(v) veri işleme tesislerine (bilgisayar donanımının ve ilgili ekipmanın tutulduğu odalar) girişlerin kilitli olmasının sağlanması.

(n) Erişilebilirlik Kontrolü. Altyapı yedekliliği ve veri tabanı sunucularında yürütülen düzenli yedeklemeler dahil olmak üzere, Müşteri Kişisel Verilerinin kazara tahrip edilmeye veya kaybedilmeye karşı korunmasını sağlamak için alınan önlemler. 

(o) İşlemenin Ayrışması. Farklı amaçlar doğrultusunda toplanan verilerin ayrı şekilde işlenebilmesini sağlayan prosedürler şunları içerir:

(i) verilerin uygulama güvenliği aracılığıyla uygun kullanıcılar için ayrılması

(ii) verilerin veri tabanı düzeyinde, farklı tablolarda ve destekledikleri modül veya işleve göre ayrılması;

(iii) belirli amaçlar için toplanan verilerin ayrı şekilde işlenmesi için yalnızca belirli amaçlar ve işlevlere yönelik arayüzler, toplu işlemler ve raporlar tasarlanması;

(iv) yalnızca test amaçları doğrultusunda üretilen sahte veriler bu amaç için kullanılabildiğinden canlı verilerin test amacıyla kullanılmasının engellenmesi.

(p) Zaaf yönetimi programı. Sistemlerin güvenlik açıkları açısından düzenli olarak kontrol edilmesini ve tespit edilen açıkların anında düzeltilmesini sağlamak için kullanılan bir programdır ve şunları içerir:

(i) test ve üretim ortamları da dahil olmak üzere, tüm ağların düzenli bir şekilde taranması; 

(ii) düzenli olarak penetrasyon testleri uygulanması ve güvenlik açıklarının hızlı bir şekilde düzeltilmesi.

(q) Verilerin İmha Edilmesi. Anlaşma'nın süresinin dolması, taraflardan birinin Anlaşma'yı sona erdirmesi veya Veri Sahibinden ya da düzenleyici bir kurumun kendisinden talep etmesi sonrasında müşteriden bu yönde bir talep gelmesi durumunda: 

(i) tüm Müşteri verileri 3 ay içinde güvenli bir şekilde imha edilecek; 

(ii) Momentive'in bir veri kategorisini daha uzun bir süre boyunca saklamasının yasalarca zorunlu kılınmadığı durumlarda müşteriden talep alınmadan veya anlaşmanın sonlandırılma tarihinden önceki 6 ay içinde oluşturulan yedekler de dahil olmak üzere, tüm Müşteri verileri Momentive'e ve/veya üçüncü taraflara ait depolama cihazlarından silinecektir. Momentive, daha fazla ihtiyaç duymadığı tüm bu verileri, verilerin kurtarılamayacağını güvence altına alan bir düzeyde imha edeceğini temin eder.

(r) Standartlar ve Sertifikalar . En az SOC 1 (SSAE 16) veya SOC 2 raporlarına sahip veri depolama çözümleri ve/veya konumlarını içerir. Eşdeğer veya benzer sertifikalar veya güvenlik düzeyleri olay/vaka bazında  incelenir.

Kişisel Verilerin İşlenmesinin Amaçları ve Yapısı, Kişisel Veri Kategorileri, Veri Sahipleri 

Standart Sözleşme Maddeleri İÇİN EKLER

EK I -

A. TARAFLAR LİSTESİ

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri denetleyicisine aktarım

Veri içe aktaran(lar): Sözleşmede belirtildiği şekilde

İletişim kişisinin adı, konumu ve iletişim bilgileri: Sözleşmede belirtildiği şekilde

Bu Maddeler uyarınca veri aktarımı ile ilgili faaliyetler: DPA'nın Ek 2'sinde belirtildiği şekilde

Veri dışa aktaran(lar): Sözleşmede belirtildiği şekilde

Adı: Sözleşmede belirtildiği şekilde

İletişim kişisinin adı, konumu ve iletişim bilgileri: Sözleşmede belirtildiği şekilde

Bu Maddeler uyarınca veri aktarımı ile ilgili faaliyetler: DPA'nın Ek 2'sinde belirtildiği şekilde

B. AKTARIMIN TANIMLAMASI

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri denetleyicisine aktarım

Kişisel verileri aktarılan veri sahiplerinin kategorileri:DPA'nın Ek 2'sinde belirtildiği şekilde

Aktarılan kişisel verilerin kategorileri: DPA'nın Ek 2'sinde belirtildiği şekilde

Aktarılan hassas veriler (varsa) ve örneğin, katı amaç sınırlaması, erişim kısıtlamaları (yalnızca uzmanlık eğitimine katılmış olan personelin erişimi de dâhil), verilere erişimin kaydının tutulması, ileriye dönük aktarımlar veya ek güvenlik önlemleri için kısıtlamalar gibi verilerin niteliğini ve ilgili riskleri tam olarak göz önünde bulunduran uygulanan kısıtlamalar veya güvenceler: DPA'nın Ek 1 ve 2'sinde belirtildiği şekilde

Aktarım sıklığı (örneğin, verilerin bir defaya mahsus veya sürekli olarak aktarılıp aktarılmadığı): Bir defaya mahsus ve sürekli (Hizmetlerin kullanımına bağlı olarak)

İşlemenin niteliği: DPA'nın Ek 2'sinde belirtildiği şekilde

Veri aktarımının amacı (amaçları) ve işlemeye devam edilmesi: DPA'nın Ek 2'sinde belirtildiği şekilde

Kişisel verilerin saklanacağı süre veya bu mümkün değilse, söz konusu süreyi belirlemek için kullanılan kriterler: Sözleşmede belirtildiği ve burada belirtildiği şekilde

(Alt) işleyicilere yapılan aktarımlar için, işlemenin konusunu, niteliğini ve süresini de belirtin: Lütfen buraya bakın.

C. YETKİLİ DENETLEYİCİ MAKAM

Madde 13'e göre yetkili denetleyici makamı/makamları belirleyin: İrlanda

EK II - DPA'nın Ek 1'İNDE BELİRTİLEN TEKNİK VE ORGANİZASYONEL ÖNLEMLER

EK III – ALT İŞLEYİCİLERİN LİSTESİ

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri sorumlusuna aktarım Müşteri, aşağıdaki alt işleyicilerin kullanımına izin vermiştir: Lütfen buraya bakın.

BK EKİ

1. 1. Birleşik Krallık GDPR'sine tabi olan veri aktarımlarıyla ilgili olarak, taraflar, burada Birleşik Krallık Ek'ini (bir kopyasına buradan erişilebilir) onaylar ve Birleşik Krallık Ek'i referans yoluyla bu Sözleşme'ye dâhil edilmiştir. Birleşik Krallık GDPR’sine tabi olan veri aktarımları için, “yetkili denetleyici makam” ve “yetkili mahkemeler”e yönelik her türlü referans, Birleşik Krallık’taki ilgili veri koruma makamı ve Birleşik Krallık mahkemelerine yönelik referanslar olarak yorumlanacaktır. 

2. Taraflar, Birleşik Krallık Ek'inin 1. Bölümündeki tabloların biçim ve içeriğinin değiştirileceğini ve yerine aşağıdaki tablonun konulacağını kabul ederler.

3. Bu Sözleşme ile Birleşik Krallık Ek'i arasında bir çelişki veya tutarsızlık olması durumunda, Birleşik Krallık Ek'i söz konusu çelişki veya tutarsızlık açısından geçerli ve öncelikli olacaktır.