Veri İşleme Sözleşmesi

arasında

Kontrolör olarak GŞK uyarınca Müşteri (bundan böyle "Kontrolör" olarak anılacaktır),

ve

Veri İşleyen olarak Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland (bundan böyle "Veri İşleyen", Kontrolör ve Veri İşleyen birlikte "Taraflar" olarak anılacaktır)

Önsöz

Kontrolör, Veri İşleyiciyi GŞK'de (bundan böyle "Ana Sözleşme" olarak anılacaktır) belirtilen hizmetler için görevlendirmiştir. Sözleşmenin uygulanmasının bir parçası da kişisel verilerin işlenmesidir. Özellikle, GDPR Madde 28 GDPR, bu tür görevlendirilmiş işlemlere özel gereklilikler getirmektedir. Bu gerekliliklere uymak için, Taraflar aşağıdaki Veri İşleme Sözleşmesini (bundan böyle "Sözleşme" olarak anılacaktır) imzalamış olup, bu sözleşmenin ifası açıkça kararlaştırılmadıkça ayrıca ücretlendirilmeyecektir.

§ 1 Tanımlar

(1) GDPR Madde 4 (7) uyarınca 4 (7) GDPR uyarınca Kontrolör, tek başına veya diğer Kontrolörlerle birlikte kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen tüzel kişidir.

(2) GDPR Madde 4 (8) uyarınca 4 (8) GDPR uyarınca Veri İşleyen, Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi, makam, kurum veya başka bir organdır.

(3) GDPR Madde 4 (1) uyarınca kişisel veriler 4 (1) GDPR uyarınca kişisel veriler, tanımlanmış veya tanımlanabilir bir gerçek kişiye (bundan böyle "Veri Sahibi" olarak anılacaktır) ilişkin her türlü bilgi anlamına gelir; tanımlanabilir gerçek kişi, doğrudan veya dolaylı olarak, özellikle bir ad, kimlik numarası, konum verileri, çevrimiçi bir tanımlayıcı gibi bir tanımlayıcıya veya söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunularak tanımlanabilen kişidir.

(4) Özel koruma gerektiren kişisel veriler, GDPR Madde 9 uyarınca kişisel verilerdir. 9 GDPR uyarınca Veri Sahiplerinin ırksal veya etnik kökenini, siyasi görüşlerini, dini veya felsefi inançlarını veya sendika üyeliğini ortaya koyan kişisel veriler, 10 GDPR uyarınca ceza mahkumiyetleri ve cezai suçlar veya ilgili güvenlik önlemleri hakkındaki kişisel veriler ve 10 GDPR uyarınca cezai mahkumiyetler ve cezai suçlar veya ilgili güvenlik önlemleri ile ilgili kişisel veriler ve ayrıca Madde 4 (13) uyarınca genetik veriler. GDPR Madde 4 (13) uyarınca genetik veriler, GDPR Madde 4 (14) uyarınca biyometrik veriler 4 (14) GDPR uyarınca sağlık verileri, 4 (15) GDPR uyarınca sağlık verileri ve 4 (15) GDPR uyarınca sağlık verileri ve gerçek bir kişinin cinsel yaşamı veya cinsel yönelimi hakkındaki veriler.

(5) GDPR Madde 4 (2) uyarınca işleme, toplama, kaydetme, düzenleme, dosyalama, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanma, iletim yoluyla ifşa etme, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya imha etme gibi otomatik yollarla olsun veya olmasın kişisel veriler üzerinde gerçekleştirilen herhangi bir işlem veya işlemler dizisidir.

(6) GDPR madde 4 (21) uyarınca denetim makamı, GDPR madde 51 uyarınca bir üye devlet tarafından kurulan bağımsız bir devlet organıdır.

§ 2 Sözleşmenin konusu

(1) Veri İşleyen, Veri Sorumlusu için Ana Sözleşmede belirtilen hizmetleri sağlar. Bunu yaparken Veri İşleyen, münhasıran Veri Sorumlusu adına ve Veri Sorumlusunun talimatlarına uygun olarak Veri Sorumlusu için işlediği kişisel verilere erişim elde eder. Veri İşleyen tarafından veri işlemenin kapsamı ve amacı Ana Sözleşmede ve ilgili tüm hizmet tanımlarında belirtilir. Veri işlemenin kabul edilebilirliğinin değerlendirilmesinden Kontrolör sorumlu olacaktır.

(2) Taraflar, veri koruma hukuku kapsamında karşılıklı hak ve yükümlülükleri belirlemek üzere işbu Sözleşmeyi akdetmişlerdir. Şüphe durumunda, bu Sözleşmenin hükümleri Ana Sözleşme hükümlerine göre öncelikli olacaktır.

(3) Bu sözleşmenin hükümleri, Veri İşleyen ve çalışanlarının veya Veri İşleyen tarafından yetkilendirilen kişilerin Kontrolörden kaynaklanan veya Kontrolör için toplanan kişisel verilerle temas ettiği Ana Sözleşme ile ilgili tüm faaliyetler için geçerli olacaktır.

(4) Bu Sözleşmenin süresi, aşağıdaki hükümler başka yükümlülükler veya fesih hakları doğurmadığı sürece Ana Sözleşmenin süresine tabi olacaktır.

§ 3 Eğitim hakkı

(1) Veri İşleyen, verileri yalnızca Ana Sözleşme kapsamında ve Kontrolörün talimatlarına uygun olarak toplayabilir, işleyebilir veya kullanabilir. Veri İşleyicinin tabi olduğu Avrupa Birliği veya Üye Devletlerin yasaları gereği daha fazla işlem yapması gerekiyorsa, veri işlemeden önce bu yasal gereklilikleri Kontrolöre bildirecektir.

(2) Kontrolörün talimatları başlangıçta bu Anlaşma ile belirlenir. Daha sonra, bunlar Kontrolör tarafından yazılı veya metin şeklinde bireysel talimatlarla (Bireysel Talimatlar) değiştirilebilir, tamamlanabilir veya değiştirilebilir. Kontrolör bu talimatları istediği zaman yayınlama hakkına sahiptir. Bu, verilerin düzeltilmesi, silinmesi ve engellenmesi ile ilgili talimatları içerir.

(3) Verilen tüm talimatlar Kontrolör tarafından belgelenecektir. Ana Sözleşmede kararlaştırılan hizmetin ötesine geçen talimatlar, hizmette değişiklik talebi olarak değerlendirilir.

(4) Veri İşleyen, Kontrolörün bir talimatının veri koruma hükümlerini ihlal ettiği kanaatine varırsa, bunu gecikmeksizin Kontrolöre bildirir. Veri İşleyen, Kontrolör tarafından onaylanana veya değiştirilene kadar ilgili talimatın uygulanmasını askıya alma hakkına sahip olacaktır. Veri İşleyen açıkça hukuka aykırı olan bir talimatı yerine getirmeyi reddedebilir.

§ 4 İşlenen veri türleri, Veri Sahipleri grubu, üçüncü ülke

(1) Ana Sözleşmenin uygulanması kapsamında Veri İşleyen, Ek 1.'de daha ayrıntılı olarak belirtilen kişisel verilere erişebilecektir.

(2) Veri işlemeden etkilenen Veri Sahipleri grubu Ek 1.'de listelenmiştir.

(3) Kişisel verilerin üçüncü bir ülkeye aktarılması Madde 44 ve devamındaki koşullar altında gerçekleşebilir. 44 ve devamı. GDPR.

§ 5 Veri İşleyicinin koruyucu önlemleri

(1) Veri İşleyen, verilerin korunmasına ilişkin yasal hükümlere uymak ve Kontrolörün etki alanından elde edilen bilgileri üçüncü taraflara ifşa etmemek veya onların erişimine maruz bırakmamakla yükümlüdür. Belgeler ve veriler, teknolojinin geldiği nokta göz önünde bulundurularak yetkisiz kişilere ifşa edilmeye karşı güvence altına alınacaktır.

(2) Veri İşleyen, sorumluluk alanı dahilindeki iç organizasyonunu veri korumanın özel gerekliliklerini karşılayacak şekilde düzenleyecektir. Kontrolörün verilerini Madde 32 GDPR uyarınca yeterli şekilde korumak için Ek 2'de belirtilen teknik ve organizasyonel önlemleri almış olacaktır. 32 GDPR uyarınca Denetçinin yeterli olduğunu kabul ettiği teknik ve organizasyonel önlemleri almış olacaktır. Veri İşleyen, sözleşmeyle kararlaştırılan koruma düzeyinin altının oyulmamasını sağlarken alınan güvenlik önlemlerini değiştirme hakkını saklı tutar.

(3) Veri İşleyen tarafından veri işlemede istihdam edilen kişilerin yetkisiz olarak kişisel verileri toplaması, işlemesi veya kullanması yasaktır. Veri İşleyen, bu sözleşmenin işlenmesi ve ifası ile görevlendirdiği tüm kişileri (bundan böyle "Çalışanlar" olarak anılacaktır) bu doğrultuda yükümlü kılacak (gizlilik yükümlülüğü, GDPR Md. 28 (3) lit. b GDPR) ve bu yükümlülüğe gereken özenle uyulmasını sağlayacaktır.

(4) Veri İşleyen bir veri koruma görevlisi atamıştır. Veri İşleyicinin veri koruma görevlisi heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Veri İşleyen'in bilgilendirme yükümlülükleri

(1) Veri İşleyen tarafından, sözleşme kapsamında istihdam ettiği kişiler tarafından veya üçüncü taraflarca kişisel verilerin işlenmesinde aksaklıklar, şüpheli veri koruma ihlalleri veya Veri İşleyenin sözleşmeden doğan yükümlülüklerinin ihlali, güvenlikle ilgili şüpheli olaylar veya diğer düzensizlikler olması durumunda Veri İşleyen, Denetleyiciyi gecikmeksizin bilgilendirir. Aynı durum Veri İşleyenin veri koruma denetim makamı tarafından denetlenmesi için de geçerlidir. Kişisel veri ihlaline ilişkin bildirim en azından aşağıdaki bilgileri içerecektir:

(a) mümkün olduğu ölçüde, etkilenen Veri Sahiplerinin kategorileri ve sayısı, etkilenen kategoriler ve etkilenen kişisel veri kayıtlarının sayısı da dahil olmak üzere kişisel veri ihlalinin niteliğine ilişkin bir açıklama;

(b) Veri İşleyen tarafından ihlali ele almak için alınan veya önerilen önlemlerin ve uygulanabilir olduğu durumlarda olası olumsuz etkilerini hafifletmek için alınan önlemlerin bir açıklaması;

(c) kişisel veri ihlalinin olası sonuçlarına ilişkin bir açıklama.

(2) Veri İşleyen, verilerin güvenliğini sağlamak ve Veri Sahipleri için olası olumsuz sonuçları hafifletmek için derhal gerekli önlemleri alır, Kontrolörü bu konuda bilgilendirir ve ek talimatlar talep eder.

(3) Buna ek olarak, Veri İşleyen, Kontrolörün verilerinin 1. paragraf uyarınca bir ihlalden etkilenmesi halinde Kontrolöre her zaman bilgi vermekle yükümlüdür.

(4) Veri İşleyen, Madde 5 (2) uyarınca güvenlik önlemlerinde yapılan önemli değişiklikleri Kontrolöre bildirecektir.

§ 7 Kontrolörün kontrol hakları

(1) Kontrolör, veri işlemenin başlamasından önce ve daha sonra düzenli olarak yıllık bazda Veri İşleyen'in teknik ve organizasyonel önlemleri konusunda kendisini tatmin edebilir. Bu amaçla, Kontrolör, örneğin, Veri İşleyen'den bilgi alabilir, uzmanlardan mevcut sertifikaları, sertifikaları veya iç denetimleri alabilir veya zamanında koordinasyonun ardından Veri İşleyen'in teknik ve organizasyonel önlemlerini normal çalışma saatleri içerisinde şahsen denetleyebilir veya üçüncü tarafın Veri İşleyen ile rekabet ilişkisi içerisinde olmaması kaydıyla yetkili bir üçüncü tarafça denetlenmesini sağlayabilir. Kontrolör denetimleri yalnızca gerekli olduğu ölçüde gerçekleştirecek ve bu süreçte Veri İşleyen'in faaliyetlerini orantısız bir şekilde aksatmayacaktır.

(2) Veri İşleyen, Kontrolörün sözlü veya yazılı talebi üzerine ve makul bir süre içerisinde Veri İşleyenin teknik ve organizasyonel önlemlerinin kontrolünü gerçekleştirmek için gerekli tüm bilgi ve kanıtları sağlamayı taahhüt eder.

(3) Kontrolör denetim sonuçlarını belgelendirir ve Veri İşleyen'e bildirir. Kontrolörün özellikle kontrol sonuçlarının incelenmesi sırasında fark ettiği hatalar veya usulsüzlükler olması halinde, Kontrolör gecikmeksizin Veri İşleyen'i bilgilendirir. Kontrol sırasında gelecekte önlenmesi sipariş edilen prosedürde değişiklik yapılmasını gerektiren olgular tespit edilirse, Kontrolör gerekli prosedürel değişiklikleri gecikmeksizin Veri İşleyen'e bildirecektir.

§ 8 Hizmet sağlayıcıların kullanımı

(1) Sözleşmeyle kararlaştırılan hizmetler Ek 3'te belirtilen hizmet sağlayıcıların (bundan böyle "Alt işleyiciler" olarak anılacaktır) katılımıyla gerçekleştirilecektir. Kontrolör, GDPR Madde 28 (2) s. 1 kapsamında Veri İşleyiciye, sözleşmeden doğan yükümlülükleri kapsamında ek Alt işleyiciler görevlendirmesi veya halihazırda görevlendirilmiş olan Alt işleyicileri değiştirmesi için genel yetki verir.

(2) Veri İşleyen, bir Alt İşleyicinin katılımı veya değiştirilmesi ile ilgili olarak planlanan herhangi bir değişiklikten önce Kontrolöre bilgi verecektir. Kontrolör, veri koruma yasası kapsamında önemli bir nedenden dolayı bir Alt İşleyicinin amaçlanan katılımına veya değiştirilmesine itiraz edebilir.

(3) Bir Alt İşleyicinin amaçlanan katılımına veya değiştirilmesine yönelik itiraz, değişiklikle ilgili bilgilerin alınmasından itibaren 2 hafta içinde yapılmalıdır. Herhangi bir itiraz yapılmazsa, katılım veya değiştirme onaylanmış sayılır. Veri koruma kanunu kapsamında önemli bir neden varsa ve Kontrolör ile İşleyici arasında dostane bir çözüm mümkün değilse, Kontrolörün itirazı takip eden ayın sonunda özel bir fesih hakkı vardır.

(4) Alt işleyicileri görevlendirirken, Veri İşleyen onları bu Sözleşmenin hükümlerine uygun olarak yükümlü kılacaktır.

(5) Veri İşleyenin üçüncü taraflara tamamen yan hizmetler olarak kabul edilen hizmetler sağlaması halinde bu hükümler anlamında bir Alt işleyen ilişkisi mevcut değildir. Bunlar arasında örneğin, posta, taşıma ve nakliye hizmetleri, temizlik hizmetleri, Veri İşleyen tarafından Kontrolöre sağlanan hizmetlere özel bir atıfta bulunmayan telekomünikasyon hizmetleri ve koruma hizmetleri yer alır. Bakım ve test hizmetleri, Denetleyici için hizmetlerin sağlanmasıyla bağlantılı olarak kullanılan BT sistemleri için sağlandıkları ölçüde onay gerektiren Alt İşleyici ilişkilerini oluşturur.

§ 9 Veri Sahiplerinin Talepleri ve Hakları

(1) Veri İşleyen, GDPR'nin 12-22 ve 32 ila 36. maddeleri uyarınca Kontrolörün yükümlülüklerini yerine getirirken Kontrolörü uygun teknik ve organizasyonel önlemlerle destekler.

(2) Bir Veri Sahibinin verileriyle ilgili olarak erişim, düzeltme veya silme hakkı gibi haklarını doğrudan Veri İşleyen'e karşı ileri sürmesi halinde, Veri İşleyen bağımsız olarak hareket etmez ancak Veri Sahibini Denetleyici'ye yönlendirir ve Denetleyici'nin talimatlarını bekler.

§ 10 Sorumluluk

(1) Veri İşleyen ile olan iç ilişkide, Veri Koruma kanunları uyarınca kabul edilemez veya yanlış veri işleme veya görevlendirilen işleme kapsamında kullanım nedeniyle bir Veri Sahibinin uğradığı zararın tazmini için Veri Sahibine karşı yalnızca Kontrolör sorumlu olacaktır.

(2) Veri İşleyen, zararın nedeni Veri İşleyen, yasal temsilcisi veya vekili tarafından kasıtlı veya ağır ihmalkar bir görev ihlaline dayandığı sürece zarar için sınırsız sorumluluğa sahip olacaktır.

(3) Veri İşleyen, yalnızca yerine getirilmesi sözleşmenin düzgün bir şekilde ifası için bir ön koşul olan ve Kontrolörün düzenli olarak güvendiği ve güvenebileceği bir yükümlülüğün ihlali durumunda ihmalkar davranıştan sorumlu olacaktır, ancak sözleşme için tipik olan ortalama zararla sınırlı olacaktır. Diğer tüm açılardan, İşleyicinin sorumluluğu

• vekilleri de dahil olmak üzere
• hariç tutulacaktır.

(4) Madde 10.3 uyarınca sorumluluğun sınırlandırılması, cana, bedene, sağlığa zarar verilmesinden veya bir garantinin üstlenilmesinden kaynaklanan tazminat talepleri için geçerli olmayacaktır.

§ 11 Ana Sözleşmenin Feshi

(1) Ana Sözleşmenin sona ermesinin ardından Veri İşleyen, kendisine sağlanan tüm belgeleri, verileri ve veri taşıyıcılarını Kontrolöre iade eder veya

• Birlik hukuku veya Federal Almanya Cumhuriyeti hukuku uyarınca kişisel verileri saklama yükümlülüğü bulunmadığı sürece
• Kontrolörün talebi üzerine bunları siler. Bu, Veri İşleyen'deki tüm veri yedeklemeleri için de geçerlidir. Veri İşleyen, talep üzerine, herhangi bir verinin uygun şekilde silindiğine dair belgeli kanıt sağlayacaktır.

(2) Kontrolör, Veri İşleyen nezdindeki verilerin eksiksiz ve sözleşmeye uygun bir şekilde iade edilmesini veya silinmesini kontrol etme hakkına sahip olacaktır.

(3) Veri İşleyen, Ana Sözleşme ile bağlantılı olarak haberdar olduğu verileri Ana Sözleşme sona erdikten sonra da gizli tutmakla yükümlüdür. İşbu Sözleşme, Veri İşleyen kendisine Kontrolör tarafından iletilen veya Kontrolör için topladığı kişisel verilere sahip olduğu sürece Ana Sözleşmenin sona ermesinden sonra da geçerliliğini koruyacaktır.

§ 12 Nihai hükümler

(1) Veri İşleyen, bu Sözleşme kapsamındaki destek eylemlerini açıkça ücretsiz olarak gerçekleştirmediği ölçüde, Veri İşleyenin kendi eylemleri veya ihmalleri bu desteği doğrudan gerekli kılmadığı sürece, Denetleyiciden bu nedenle makul bir ücret talep edebilir.

(2) Bu Sözleşmede yapılacak değişiklikler ve ekler yazılı olarak yapılmalıdır. Bu durum, bu resmi gereklilikten feragat edilmesi halinde de geçerli olacaktır. Münferit sözleşme anlaşmalarının önceliği bundan etkilenmeyecektir.

(3) Bu Sözleşmenin münferit hükümlerinin tamamen veya kısmen geçersiz veya uygulanamaz olması, geri kalan hükümlerin geçerliliğini etkilemeyecektir.

(4) Bu anlaşma Alman yasalarına tabidir.

Ek 2 - Veri İşleyen'in teknik ve organizasyonel önlemleri

1. Giriş

Bu belge, İşleyici tarafından Madde 32 paragrafı anlamında alınan teknik ve organizasyonel önlemleri özetlemektedir. 32 para. 1 GDPR. Bunlar kişisel verileri korumak için İşleyici tarafından alınan önlemlerdir. Belgenin amacı, Denetleyicinin GDPR Madde 5 paragraf 2 kapsamındaki hesap verebilirlik yükümlülüklerini yerine getirmesine destek olmaktır. GDPR Madde 5 paragraf 2.

2. Gizlilik (GDPR 32. madde 1. fıkra b bendi)

2.1 Giriş kontrolü

Aşağıda uygulanan önlemler yetkisiz kişilerin veri işleme sistemlerine erişimini engellemektedir:

• Evden çalışma: yetkisiz kişilerin çalışanların evlerine erişimi yoktur

• Ev ofiste çalışma: Çalışanlara mümkünse oturma odalarından ayrı bir ofiste çalışmaları talimatı

2.2 Kabul kontrolü

Aşağıda uygulanan önlemler yetkisiz kişilerin veri işleme sistemlerine erişimini engellemektedir:

• Kullanıcı ve şifre ile kimlik doğrulama

• Güvenlik duvarlarının kullanımı

• Mobil cihaz yönetimi kullanımı

• Veri taşıyıcılarının şifrelenmesi

• Otomatik masaüstü kilidi

• Kullanıcı yetkilendirmelerinin yönetimi

• Kullanıcı profilleri oluşturma

• Merkezi şifre kuralları

• 2 faktörlü kimlik doğrulama kullanımı

• Güvenli parolalar için şirket politikası

• İş istasyonundan ayrılırken masaüstünü manuel olarak kilitlemek için genel talimat

2.3 Erişim kontrolü

Uygulanan aşağıdaki önlemler, yetkisiz kişilerin kişisel verilere erişememesini sağlar:

• Uygulamalara erişimin günlüğe kaydedilmesi (özellikle veri girerken, değiştirirken ve silerken)

• Yönetici sayısı mümkün olduğunca az tutulur

• Sistem yöneticileri tarafından kullanıcı haklarının yönetimi

• Çalışanlara verilerin yalnızca istişare sonrasında silineceğine dair talimat

2.4 Ayırma kontrolü

Aşağıdaki önlemler, farklı amaçlarla toplanan kişisel verilerin ayrı ayrı işlenmesini sağlar:

• Ayrı sistemler veya veri taşıyıcıları üzerinde fiziksel olarak ayrı depolama

• Üretim ve test sisteminin ayrılması

• Mantıksal istemci ayrımı (yazılım tarafında)

• Veritabanı haklarının tanımı

• İfşa durumunda veya mümkünse yasal silme süresinin sona ermesinden sonra kişisel verilerin anonimleştirilmesi / takma ad verilmesi için dahili talimat.

3. Bütünlük (Madde 32 paragraf 1 lit. b GDPR)

3.1 Transfer kontrolü

Kişisel verilerin aktarılması veya veri taşıyıcılarında saklanması sırasında yetkisiz olarak okunamaması, kopyalanamaması, değiştirilememesi, silinememesi ve kişisel verilerin hangi kişi ya da kurumlara verildiğinin kontrol edilebilmesi sağlanmaktadır. Bunu sağlamak için aşağıdaki önlemler alınmıştır:

• WLAN şifreleme (güçlü şifre ile WPA2)

• Erişimlerin ve geri alımların günlüğe kaydedilmesi

• Verilerin SFTP veya HTTPS gibi şifreli bağlantılar üzerinden sağlanması

• Şirket verilerinin harici sunuculara yüklenmesinin yasaklanması

3.2 Giriş kontrolü

Aşağıdaki önlemler, veri işleme sistemlerinde kişisel verilerin kim tarafından ve ne zaman işlendiğinin kontrol edilebilmesini sağlar:

• Veri girişinin, değişikliğinin ve silinmesinin kaydedilmesi

• Günlüklerin manuel veya otomatik kontrolü

• Bireysel kullanıcı adları (kullanıcı grupları değil) aracılığıyla veri girişi, değişiklik ve silme işlemlerinin izlenebilirliği

• Silme işlemleri için açık sorumluluklar

legal.dpa.latest.annexes.2.3.2.text.6

4. Kullanılabilirlik ve esneklik (GDPR Madde 32 paragraf 1 lit. b)

Aşağıdaki önlemler, kişisel verilerin kazara imha veya kayba karşı korunmasını ve müşteri tarafından her zaman erişilebilir olmasını sağlar:

• Sunucu odalarında yangın söndürücüler

• Sunucu odalarında sıcaklık ve nemi izlemeye yönelik cihazlar

• Sunucu odalarında iklimlendirme

• Sunucu odalarında koruyucu priz şeritleri

• Kesintisiz güç kaynağı (UPS)

• Sunucu odalarında video gözetimi

• Sunucu odalarına yetkisiz erişim için alarm mesajı

• Düzenli yedeklemeler

• Yedekleme işleminin kontrol edilmesi

• Veri yedeklerinin güvenli, tesis dışı bir yerde saklanması

• Düzenli veri kurtarma testleri ve sonuçların kaydedilmesi

• Sunucu odasının içinde veya üstünde sıhhi tesisat yok

• Profesyonel bir barındırıcı ile barındırma (en azından en önemli verilerin)

5. Düzenli inceleme, ölçme ve değerlendirme prosedürleri (GDPR Madde 32 paragraf 1 bent d; GDPR Madde 25 paragraf 1)

5.1 Veri koruma yönetimi

Aşağıdaki önlemler, kuruluşun veri koruma yasasının temel gerekliliklerini karşılamasını sağlamaya yöneliktir:

• Veri koruma yönetimi için heyData platformunun kullanımı

• Veri koruma görevlisinin atanması heyData

• Çalışanların veri gizliliğini koruma yükümlülüğü

• Çalışanlar için düzenli veri koruma eğitimi

• İşleme faaliyetlerine genel bir bakış sağlamak (GDPR Madde 30)

5.2 Olay müdahale yönetimi

Aşağıdaki önlemler, veri koruma ihlalleri durumunda raporlama süreçlerinin tetiklenmesini sağlamaya yöneliktir:

• GDPR Madde 4 No. 12 uyarınca veri koruma ihlalleri için raporlama süreci 4 No. 12 GDPR uyarınca denetim makamlarına raporlama süreci (Madde 33 GDPR)

• GDPR Madde 4 No. 12 uyarınca veri ihlalleri için bildirim süreci 4 No. 12 GDPR uyarınca veri sahiplerine bildirim süreci (GDPR Madde 34)

• Veri koruma görevlisinin güvenlik olaylarına ve veri ihlallerine katılımı

• Güvenlik duvarlarının kullanımı

5.3 Veri koruma dostu varsayılan ayarlar (GDPR Madde 25 paragraf 2)

Aşağıdaki önlemler, veri koruma ihlalleri durumunda raporlama süreçlerinin tetiklenmesini sağlamaya yöneliktir:

• GDPR Madde 4 No. 12 uyarınca veri koruma ihlalleri için raporlama süreci 4 No. 12 GDPR uyarınca denetim makamlarına raporlama süreci (Madde 33 GDPR)

• GDPR Madde 4 No. 12 uyarınca veri ihlalleri için bildirim süreci 4 No. 12 GDPR uyarınca veri sahiplerine bildirim süreci (GDPR Madde 34)

5.4 Sipariş kontrolü

Aşağıdaki önlemler, kişisel verilerin yalnızca talimatlara uygun olarak işlenebilmesini sağlar:

• Yükleniciye verilen yazılı talimatlar veya metin biçimindeki talimatlar (örneğin bir veri işleme sözleşmesi yoluyla)

• Siparişin tamamlanmasından sonra verilerin imha edilmesini sağlamak, örneğin ilgili onayları talep ederek

• Yüklenicilerin kendi çalışanlarına veri gizliliği taahhüdünde bulunduklarına dair teyit (genellikle veri işleme sözleşmesinde)

• Yüklenicilerin dikkatli seçilmesi (özellikle veri güvenliği açısından)

• Yüklenicilerin ve faaliyetlerinin sürekli gözden geçirilmesi

• Siparişin tamamlanmasından sonra verilerin imha edilmesini sağlamak, örneğin ilgili onayları talep ederek

Sürüm 1.3, 10 Nisan 2024 tarihinden itibaren geçerli