Veri İşleme Anlaşması

Bu Veri İşleme Anlaşması (“Anlaşma“), TeleRetro (“Şirket”) ile TeleRetro hizmetleri için geçerli TeleRetro sipariş belgesinde belirtilen TeleRetro müşterisi (“Veri İşleyen”) (birlikte “Taraflar” olarak anılacak) arasındaki Hizmet Sözleşmesi’nin (“Ana Sözleşme”) bir parçasını oluşturur.

NEREDEYSE

(A) Şirket, Veri Denetleyicisi olarak hareket eder.

(B) Şirket, kişisel verilerin işlenmesini gerektiren belirli hizmetleri Veri İşleyene taşere etmek istemektedir.

(C) Taraflar, veri işleme ile ilgili mevcut yasal çerçeve ve 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi'nin, kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı konusunda doğal kişilerin korunmasına ilişkin (Genel Veri Koruma Yönetmeliği) (EU) 2016/679 sayılı Yönetmeliği ve 95/46/EC sayılı Direktif’in yürürlükten kaldırılması hükümlerine uygun bir veri işleme anlaşmasını uygulamayı amaçlamaktadır.

(D) Taraflar, haklarını ve yükümlülüklerini belirlemek isterler.

AŞAĞIDAKİ ŞEKİLDE ANLAŞILMIŞTIR:

1. Tanımlar ve Yorum

1.1 Burada aksi belirtilmedikçe, bu Anlaşma’da kullanılan büyük harfli terimler ve ifadeler aşağıdaki anlamlara sahiptir:

1.1.1 “Anlaşma” bu Veri İşleme Anlaşması ve tüm Ekler anlamına gelir;

1.1.2 “Şirket Kişisel Verileri” Ana Sözleşme uyarınca veya bağlantılı olarak bir Sözleşmeli İşleyici tarafından Şirket adına İşlenen herhangi bir Kişisel Veri anlamına gelir;

1.1.3 “Sözleşmeli İşleyici” bir Alt İşleyici anlamına gelir;

1.1.4 “Veri Koruma Yasaları” Avrupa Birliği Veri Koruma Yasaları ve geçerli olduğu ölçüde diğer herhangi bir ülkenin veri koruma veya gizlilik yasaları anlamına gelir;

1.1.5 “AEA” Avrupa Ekonomik Alanı anlamına gelir;

1.1.6 “AB Veri Koruma Yasaları” her Üye Devletin iç mevzuatına aktarılmış ve zaman zaman değiştirilmiş, yerine geçmiş veya yenilenmiş haliyle 95/46/EC sayılı AB Direktifi ve GDPR’yi uygulayan veya ekleyen yasalar anlamına gelir;

1.1.7 “GDPR” AB Genel Veri Koruma Yönetmeliği 2016/679 anlamına gelir;

1.1.8 “Veri Aktarımı” şunları ifade eder:

1.1.8.1 Şirket Kişisel Verilerinin Şirketten bir Sözleşmeli İşleyiciye aktarılması; veya

1.1.8.2 Şirket Kişisel Verilerinin bir Sözleşmeli İşleyiciden bir Alt İşleyiciye veya bir Sözleşmeli İşleyicinin iki kuruluşu arasında ileriye dönük aktarımı, her durumda, bu tür bir aktarımın Veri Koruma Yasaları (veya Veri Koruma Yasalarının veri aktarımı ile ilgili kısıtlamalarının ele alınması için yapılan veri aktarım anlaşmalarının şartları) tarafından yasaklanmış olması durumunda;

1.1.9 “Hizmetler” Şirketin sağladığı çevrimiçi çevik retrospektif hizmetler anlamına gelir;

1.1.10 “Alt İşleyici” bu Anlaşma kapsamında Şirket adına Kişisel Verileri işleyen herhangi bir kişi tarafından atanmış veya onun adına atanmış herhangi bir kişi anlamına gelir.

1.2 “Komisyon”, “Denetleyici”, “Veri Sahibi”, “Üye Devlet”, “Kişisel Veri”, “Kişisel Veri İhlali”, “İşleme” ve “Denetleyici Otorite” terimleri, GDPR’da belirtilen anlamlara sahiptir ve bunlara bağlı terimler de buna göre yorumlanacaktır.

2. Şirket Kişisel Verilerinin İşlenmesi

2.1 İşleyici:

2.1.1 Şirket Kişisel Verilerinin İşlenmesinde tüm geçerli Veri Koruma Yasalarına uymalı; ve

2.1.2 Şirket Kişisel Verilerini, ilgili Şirketin belgelenmiş talimatları dışında işlememelidir.

2.2 Şirket, Şirket Kişisel Verilerini işlemesi için İşleyiciye talimat verir.

3. İşleyici Personeli

İşleyici, Şirket Kişisel Verilerine erişebilecek herhangi bir Sözleşmeli İşleyicinin herhangi bir çalışanının, temsilcisinin veya taşeronunun güvenilirliğini sağlamak için makul adımları atacaktır. Her durumda erişimin, Ana Sözleşmenin amaçları doğrultusunda ihtiyaç duyan / erişmesi gereken bireylerle ve geçerli yasalara uyacak şekilde bu bireyin Sözleşmeli İşleyici ile ilgili görevlerinin bağlamında katı bir şekilde sınırlı olunmasını sağlayarak, tüm bu bireylerin gizlilik taahhütlerine veya mesleki veya yasal gizlilik yükümlülüklerine tabi olmalarını sağlayacaktır.

4. Güvenlik

4.1 İşleyici, mevcut teknolojinin durumu, uygulama maliyetleri, İşlemenin niteliği, kapsamı, bağlamı ve amaçları ile kişilerin hak ve özgürlükleri için taşınan riskin çeşitli olasılık dereceleri ve ciddiyetini dikkate alarak, risk seviyesine uygun güvenlik seviyesini sağlamak için, GDPR’nin 32(1) Maddesinde belirtilen önlemler dahil, uygun teknik ve organizasyonel önlemleri uygulamalıdır.

4.2 İşleyici, uygun güvenlik seviyesini değerlendirirken özellikle İşlemenin sunduğu riskleri, özellikle de Kişisel Veri İhlalinden kaynaklanan riskleri dikkate almalıdır.

5. Alt İşleme

5.1 İşleyici, Şirket tarafından gerekmedikçe veya yetkilendirilmedikçe herhangi bir Alt İşleyici atamamalı (veya herhangi bir Şirket Kişisel Verisini ifşa etmemelidir).

6. Veri Sahibi Hakları

6.1 İşlemenin doğasını dikkate alarak, İşleyici, Şirketin Veri Koruma Yasaları uyarınca Veri Sahibi haklarını karşılamak için makul bir şekilde anlaşıldığı üzere Şirket yükümlülüklerinin yerine getirilmesi için uygun teknik ve organizasyonel önlemleri uygularak Şirkete yardımcı olacaktır.

6.2 İşleyici:

6.2.1 Şirket Kişisel Verileri ile ilgili olarak herhangi bir Veri Koruma Yasası kapsamındaki bir Veri Sahibinden bir talep alırsa Şirketi derhal bilgilendirecek; ve

6.2.2 belgelendirilmiş Şirket talimatları dışında o talebe yanıt vermeyecek veya İşleyicinin tabi olduğu Geçerli Yasalara uymak için yanıt vermesi gerekmedikçe, bu durumda İşleyici, Geçerli Yasaların izin verdiği ölçüde, sözleşmeli İşleyicinin talebe yanıt vermeden önce Şirketi bu yasal gereklilik konusunda bilgilendirecektir.

7. Kişisel Veri İhlali

7.1 İşleyici, Şirket Kişisel Verilerini etkileyen bir Kişisel Veri İhlalinin farkına varır varmaz Şirketi gecikmeden bilgilendirir, böylece Şirketin Veri Koruma Yasaları kapsamındaki Kişisel Veri İhlalini bildirme veya Veri Sahiplerini bilgilendirme yükümlülüklerini karşılayabilmesi için yeterli bilgi sağlar.

7.2 İşleyici, Şirkete işbirliği yapacak ve her bir Kişisel Veri İhlali’nin soruşturulması, hafifletilmesi ve düzeltilmesi için Şirketin yönlendirdiği makul ticari adımları atacaktır.

8. Veri Koruma Etki Değerlendirmesi ve Ön Danışma

8.1 İşleyici, Şirketin makul bir şekilde GDPR Madde 35 veya 36 veya diğer Veri Koruma Yasalarının eşdeğer hükümleri tarafından gerekli gördüğü denetleyici otoriteler veya diğer yetkili veri gizliliği otoriteleri ile yapılan her türlü veri koruma etki değerlendirmeleri ve ön istişarelerin işleyici tarafından yerine getirilmesi konusunda Şirkete makul destek sağlayacaktır.

9. Şirket Kişisel Verilerinin Silinmesi veya Geri Verilmesi

9.1 Bu bölüm 9'a tabi olmak kaydıyla, İşleyici, Şirket Kişisel Verilerinin işlenmesini içeren herhangi bir hizmetin sona erme tarihinden (”Sona Erme Tarihi”) itibaren en geç 10 iş günü içinde bu Şirket Kişisel Verilerinin tüm kopyalarını silecek ve sildirecektir.

10. Denetim Hakları

10.1 Bu bölüm 10’a tabi olarak, İşleyici, Şirketin talebi üzerine bu Anlaşmaya uyumu göstermek için gerekli tüm bilgileri sağlayacak ve Şirketin veya Şirket tarafından görevlendirilen bir denetçinin SGK Kapsamında Şirket Kişisel Verilerinin İşlenmesiyle ilgili olarak denetimler, dahil denetimlere katkıda bulunacaktır.

10.2 Şirketin bilgi ve denetim hakları, bu bölüm 10.1 kapsamında yalnızca Anlaşmanın Veri Koruma Yasalarının ilgili gerekliliklerine uygun bilgi ve denetim hakları sağlamadığı ölçüde ortaya çıkar.

11. Veri Aktarımı

11.1 İşleyici, Şirketin ön yazılı onayı olmadan, Verileri AB ve/veya Avrupa Ekonomik Alanı (AEA) dışındaki ülkelere aktaramaz veya aktarımına izin veremez. Bu Anlaşma kapsamında işlenen kişisel veriler Avrupa Ekonomik Alanı içindeki bir ülkeden Avrupa Ekonomik Alanı dışındaki bir ülkeye aktarıldığında, Taraflar kişisel verilerin yeterince korunduğunu temin edeceklerdir. Bunu sağlamak için, Taraflar aksi kararlaştırılmadıkça, kişisel verilerin aktarımı için AB tarafından onaylanmış standart sözleşme hükümlerine güveneceklerdir.

12. Genel Şartlar

12.1 Gizlilik. Her Taraf, bu Anlaşmayı ve bu Anlaşmaya ilişkin olarak diğer Taraf ve iş durumu hakkında aldığı bilgileri (“Gizli Bilgiler”) gizli tutmalı ve diğer Tarafın ön yazılı onayı olmadan bu Gizli Bilgileri kullanmamalı veya ifşa etmemelidir, aşağıdaki durumlar hariç: (a) ifşanın yasal olarak gerektiği durumlar; (b) ilgili bilgilerin zaten kamuya açık hale gelmiş olması durumu.

12.2 Bildirimler. Bu Anlaşma kapsamında yapılan tüm bildirimler ve iletişimler yazılı olmalı ve şahsen teslim edilmeli, postayla gönderilmeli veya bu Anlaşmanın başlığında belirtilen adrese veya e-posta adresine veya Tarafların adreslerinin değişmesi durumunda zaman zaman bildirilecek başka bir adrese e-posta yoluyla gönderilmelidir.

13. Hukuk ve Yetki

13.1 Bu Veri İşleme Anlaşması, aşağıda listelenen hukuk ve yetki alanlarına uygun olarak yönetilir ve yorumlanır:

Ülke veya bölge	Hukuk seçimi	Yargı alanı
TeleRetro’nun mevcut olduğu diğer tüm ülkeler ve bölgeler	İngiltere ve Galler Hukuku	Özel
Amerika Birleşik Devletleri	Amerika Birleşik Devletleri, Kaliforniya Eyaleti hukuku	Özel; Kuzey Kaliforniya, Kaliforniya Eyaleti ve Federal Mahkemeleri

13.2 Tarafların dostane bir şekilde çözemeyeceği bu Veri İşleme Anlaşması ile ilgili herhangi bir uyuşmazlık, müşterinin ülkesine veya bölgesine bağlı olarak yukarıdaki tabloda belirtilen mahkemelerin münhasır yargı yetkisine sunulacaktır.