Sipariş İşleme
Ek
Hükümleri Sipariş işleme hükümleri, AppConfector markasının işletmecisi olan Jungherz GmbH’nin (bundan böyle “Yüklenici” olarak anılacaktır) Genel Şartlar ve Koşullarını tamamlayıcı niteliktedir. Bunlarla sabit bir bağlantı olarak, siz müşteri olarak (bundan böyle “Müşteri” olarak anılacaktır) bir iş ilişkisi kapsamında bu ek hükümleri otomatik olarak kabul etmiş olursunuz. Bu düzenlemeler ile genel şartlar ve koşullar arasında bir çelişki olması durumunda, sipariş işleme konusunda bu düzenlemeler önceliklidir
. Yüklenici ve Müşteri bundan sonra ortak terim olan "Taraflar" olarak anılacaktır.
Taraflar, bu İşleme Sözleşmesi'nin yürürlüğe girmesiyle birlikte, Alman Federal Veri Koruma Kanunu'nun 11. maddesi uyarınca Taraflar arasında mevcut olan Veri İşleme Sözleşmesi'nin ve veri işleme ile ilgili diğer tüm sözleşmelerin karşılıklı rıza ile feshedileceğini ve bu yeni İşleme Sözleşmesi ile değiştirileceğini kabul ederler.
1. Genel
(1) İşleyici, (AB) 2016/679 sayılı Tüzüğün (Temel Veri Koruma Tüzüğü - DSGVO) 4. maddesinin 8. fıkrası ve 28. maddesi anlamında Müşteri adına kişisel verileri işler. Bu sözleşme, kişisel verilerin işlenmesiyle bağlantılı olarak tarafların hak ve yükümlülüklerini düzenler.
(2) Bu sözleşmede "veri işleme" veya "(verilerin) işlenmesi" terimleri kullanıldığında, DSGVO'nun 4. maddesinin 2. fıkrası anlamında "işleme" tanımı geçerlidir.
(3) Bu Sözleşmede DSGVO'ya (Kişisel verilerin işlenmesine ilişkin bireylerin korunması, bu verilerin serbest dolaşımı ve 95/46/EC sayılı Direktifin yürürlükten kaldırılmasına ilişkin 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi'nin (AB) 2016/679 sayılı Tüzüğü (Temel Veri Koruma Tüzüğü)) yapılan tüm atıflar, DSGVO'nun güncel versiyonu için geçerlidir.
2. İşin Konusu
İşlemenin konusu, işleme türü ve amacı, kişisel verilerin türü ve ilgili kişilerin kategorileri bu Sözleşmenin Ek 1'inde belirtilmiştir.
3. Müşterinin hak ve yükümlülükleri
(1) Müşteri, işleyiciler adına veri işleme konusunda DSGVO Madde 4, No. 7 anlamında sorumlu taraftır. Bu Sözleşmenin 4. maddesinin (5) numaralı fıkrası uyarınca, işleyici, kendi görüşüne göre yasal olarak kabul edilemez olan bir veri işlemenin sipariş ve/veya talimat konusu olması durumunda müşteriyi bilgilendirme hakkına sahiptir.
(2)
Müşteri
, ilgili kişilerin haklarının korunmasından sorumludur.
Veri işleyen
, veri sahiplerinin
veri işleyen
aleyhine veri sahibi haklarını kullanması durumunda müşteriyi gecikmeksizin bilgilendirecektir.
(3) Müşteri, veri işlemenin türü, kapsamı ve prosedürü ile ilgili olarak veri işleyenlere her zaman ek talimatlar verme hakkına sahiptir. Talimatlar yazılı olarak (örn. e-posta) verilebilir.
(4) Müşteri tarafından verilen ek talimatlar sonucunda
işleyici tarafından
yapılan ek masrafların olası bir ücretlendirilmesine ilişkin düzenlemeler bundan etkilenmez
. 5. İhale makamı, işleyici tarafından kişisel verilerin işlenmesiyle bağlantılı olarak hatalar veya usulsüzlükler tespit ederse, işleyiciyi gecikmeksizin bilgilendirmelidir.
(6) DSGVO'nun 33. ve 34. maddeleri uyarınca üçüncü taraflara bilgi verme yükümlülüğü veya müşteriye uygulanabilir başka bir yasal bildirim yükümlülüğü olması durumunda, bu yükümlülüğün yerine getirilmesinden müşteri sorumludur.
4. İşleyicinin genel yükümlülükleri
(1) İşleyici, kişisel verileri münhasıran yapılan anlaşmaların kapsamında ve/veya müşteri tarafından verilen ek talimatlara uygun olarak işler. İşleyicinin verileri başka bir şekilde işlemeye mecbur bırakabilecek yasal düzenlemeler bu hükmün istisnasıdır. Böyle bir durumda, işleyici, söz konusu yasa önemli bir kamu yararı nedeniyle bu tür bir bildirimi yasaklamadıkça, işleme başlamadan önce işverene bu yasal gereklilikleri bildirmelidir. Veri işlemenin amacı, niteliği ve kapsamı, aksi belirtilmedikçe, münhasıran bu Sözleşme ve/veya işverenin talimatlarına tabidir. İşleyici, yazılı rızasını vermedikçe, bundan sapma gösteren herhangi bir veri işlemeye izin verilmez.
(2) İşleyici, teknik olarak aksi gerekmedikçe, Veri İşlemeyi yalnızca Avrupa Ekonomik Alanı içinde Müşteri adına gerçekleştirmeyi taahhüt eder.
(3) Siparişe uygun olarak kişisel verilerin işlenmesi alanında, işleyici, kararlaştırılan tüm önlemlerin sözleşmeye uygun şekilde yerine getirilmesini garanti eder
. (4) İşleyici, şirketini ve çalışma prosedürlerini, işleyici tarafından müşteri adına işlenen verilerin her durumda gerekli ölçüde güvence altına alınacak ve üçüncü şahısların yetkisiz erişiminden korunacak şekilde tasarlamakla yükümlüdür.
İşleyici
, veri güvenliği açısından önemli olan, müşteri adına veri işleme organizasyonundaki değişiklikleri önceden müşteri ile mutabık
kalacaktır
.
(5) İşleyici, müşterinin verdiği bir talimatın yasal düzenlemelere aykırı olduğunu düşünmesi halinde, gecikmeksizin müşteriyi bilgilendirecektir. İşleyici, söz konusu talimatın asıl tarafından onaylanana veya değiştirilene kadar talimatın yerine getirilmesini askıya alma hakkına sahiptir. İşleyici, müşterinin talimatlarına uygun olarak yapılan işlemenin DSGVO Madde 82 uyarınca işleyicinin sorumluluğuna yol açabileceğini kanıtlayabilirse, taraflar arasındaki sorumluluk netleşene kadar bu konudaki işlemeyi askıya alma hakkına sahiptir.
(6) İşlemcinin veya alt yüklenicinin işyerleri dışında Müşteri
adına veri
işleme, yalnızca Müşterinin yazılı veya metin biçiminde verdiği rıza ile izin verilir. Özel konutlarda Müşteri adına veri işleme, yalnızca münferit durumlarda Müşterinin yazılı veya metin biçiminde verdiği rıza ile izin verilir
. (7) İşlemci, Müşteri adına işlediği verileri diğer verilerden ayrı olarak işleyecektir. Fiziksel ayrım zorunlu değildir.
5. İşlemcinin veri koruma görevlisi
(1) İşlemci, DSGVO'nun 37. maddesi uyarınca bir veri koruma görevlisi atadığını teyit eder. Veri işlemcisi, veri koruma görevlisinin gerekli niteliklere ve uzmanlığa sahip olmasını sağlayacaktır. Veri işlemcisi, veri koruma görevlisinin adını ve iletişim bilgilerini metin biçiminde Müşteriye ayrı olarak bildirecektir.
(2) İşlemci, veri koruma görevlisi atama konusunda yasal bir yükümlülüğü olmadığını ve kişisel verilerin yasal hükümlere, bu sözleşmenin hükümlerine ve işverenin diğer talimatlarına uygun olarak işlenmesini sağlayan operasyonel düzenlemelerin mevcut olduğunu kanıtlayabilirse, 1. fıkra uyarınca veri koruma görevlisi atama yükümlülüğünden işverenin takdirine bağlı olarak feragat edilebilir.
6. İşlemcinin bildirim yükümlülükleri
(1) İşleyici, kendisi veya işleme sürecine dahil olan diğer kişiler tarafından veri işleme sürecinde meydana gelen veri koruma düzenlemelerinin veya yapılan sözleşme anlaşmalarının ve/veya müşteri tarafından verilen talimatların ihlallerini gecikmeksizin müşteriye bildirmekle yükümlüdür. Aynısı, işleyici tarafından müşteri adına işlenen kişisel verilerin korunmasına ilişkin her türlü ihlal için de geçerlidir.
(2) Ayrıca, işleyici, DSGVO Madde 58 uyarınca bir denetim otoritesinin işleyici aleyhine işlem başlatması durumunda ve bu durumun işleyicinin müşteri adına gerçekleştirdiği işlemeyi de ilgilendirmesi durumunda, müşteriyi gecikmeksizin bilgilendirmelidir.
(3) İşleyici, Müşterinin DSGVO'nun 33. ve 34. maddeleri uyarınca, ihlalin tespit edilmesinden itibaren 72 saat içinde denetim makamına bildirimde bulunma yükümlülüğüne tabi olabileceğinin farkındadır. İşleyici, bildirim yükümlülüklerinin yerine getirilmesinde müşteriye destek olacaktır. Özellikle, işleyici, müşteri adına işlenen kişisel verilere yetkisiz erişim olması durumunda, gecikmeden, ancak en geç bu erişimin farkına varılmasından itibaren 48 saat içinde müşteriye bildirimde bulunacaktır. İşleyicilerin müşteriye yapacağı bildirimde özellikle aşağıdaki bilgiler yer almalıdır:
- kişisel veri koruma ihlalinin niteliğine ilişkin bir açıklama; mümkünse, etkilenen kişilerin kategorileri ve yaklaşık sayısı, etkilenen kategoriler ve etkilenen kişisel veri kayıtlarının yaklaşık sayısı belirtilmelidir;
- işlemci tarafından kişisel veri koruma ihlalini gidermek için alınan veya önerilen önlemlerin açıklaması ve uygun olduğu hallerde, olası olumsuz etkilerini hafifletmeye yönelik önlemler.
7. İşlemcinin işbirliği yükümlülükleri
(1) İşlemci, DSGVO'nun 12-23. maddeleri uyarınca veri sahibinin haklarını kullanma taleplerine yanıt verme yükümlülüğünde Müşteriye destek verecektir. Bu Sözleşmenin 11. maddesindeki hükümler geçerlidir.
(2) İşlemci, sözleşme tarafı tarafından işleme faaliyetlerinin listelerinin hazırlanmasına katılacaktır. İşleyici, müşteriye gerekli bilgileri uygun bir şekilde sağlayacaktır.
(3) İşleyici, işleme türü ve elindeki bilgileri dikkate alarak, müşterinin DPA'nın 32-36. maddelerinde belirtilen yükümlülüklerini yerine getirmesine yardımcı olacaktır.
(4) İşlemci, bu hizmetler için müşteriden uygun bir masraf temelli ücret talep etme hakkına sahiptir.
8. Denetim yetkileri
(1) Müşteri, işleyicinin veri koruma ile ilgili yasal hükümlere ve/veya taraflar arasında mutabık kalınan sözleşme hükümlerine uyduğunu ve/veya işleyicinin müşterinin talimatlarına uyduğunu, gerekli olduğu ölçüde her zaman kontrol etme hakkına sahiptir.
DSGVO uyarınca bir sözleşmeli işleyiciye düşen yükümlülüklere uyulduğuna dair kanıt, öncelikle bağımsız test raporları ve sertifikasyon yoluyla sunulmalıdır.
Müşteri, somut delillere dayanarak test raporlarının veya sertifikasyonların yetersiz veya hatalı olduğuna dair makul şüpheye sahipse veya müşterinin sipariş işlemesinin yerine getirilmesiyle bağlantılı olarak DSGVO Madde 33, paragraf 1 anlamında özel olaylar bunu haklı kılıyorsa, müşteri Madde 8. (2) uyarınca denetimler gerçekleştirebilir.
(2) Müşterinin siparişi denetleyebilmesi ve özellikle veri işleme başlamadan önce ve düzenli olarak veri işleme sırasında görevlendirilen işleyici nezdinde alınan teknik ve organizasyonel önlemleri kontrol edebilmesi için, görevlendirilen işleyici, Müşteri tarafından görevlendirilen tarafsız bir üçüncü taraf (yeminli denetçi) tarafından yapılacak denetime izin verecektir. Görevlendirilen işleyici, operasyonel imkânlara göre denetim tarihlerini belirleme hakkına sahiptir. İnceleme, talebin ardından makul bir süre içinde mümkün kılınacaktır. Alternatif olarak, işleyici, işleyici adına bağımsız, yeminli bir denetçi tarafından hazırlanan bir denetim raporu sunarak da müşterinin denetim hakkını yerine getirebilir. Denetim hakkının kullanılması, işleyicinin ticari faaliyetlerini haksız bir şekilde aksatmamalı veya kötüye kullanılmamalıdır.
(3) İşleyici, madde 8. (2) anlamında yapılan denetimler için müşteriden makul bir ücret talep etme hakkına sahiptir.
9.
Alt yüklenici
oranları
(1) İşlemcinin alt yüklenicilere iş vermesi, yalnızca müşterinin yazılı onayı ile mümkündür. Sipariş işlemcisi, sözleşmenin imzalandığı tarihte halihazırda mevcut olan tüm alt yüklenici ilişkilerini bu sözleşmenin Ek 2'sinde belirtmelidir.
(2) İşlemci, alt yükleniciyi özenle seçmeli ve sipariş verilmeden önce alt yüklenicinin müşteri ile işlemci arasında yapılan anlaşmalara uyabileceğini kontrol etmelidir. Özellikle, alt yüklenici, sözleşme süresi boyunca önceden ve düzenli olarak, kişisel verilerin korunması için DSGVO Madde 32 uyarınca gerekli teknik ve organizasyonel önlemleri aldığını kontrol etmelidir. Kontrolün sonucu alt yüklenici tarafından belgelenecek ve talep üzerine müşteriye sunulacaktır.
(3) İşleyici, alt yükleniciden, DSGVO'nun 37. maddesi uyarınca bir şirket veri koruma görevlisi atadığına dair teyit almakla yükümlüdür. Alt yüklenici tarafından herhangi bir veri koruma görevlisi atanmamış olması durumunda, işleyici bu durumu müşteriye bildirmeli ve alt yüklenicinin yasal olarak bir veri koruma görevlisi atama yükümlülüğü bulunmadığını gösteren bilgileri sunmalıdır.
(4) İşleyici, bu sözleşmede kararlaştırılan hükümlerin ve varsa müşterinin ek talimatlarının alt yükleniciye de uygulanmasını sağlayacaktır.
(5) İşleyici, alt yüklenici ile DSGVO'nun 28. maddesinin gerekliliklerine uygun bir sözleşme imzalayacaktır. Ayrıca işleyici, alt yükleniciye, asıl işveren ile işleyici arasında belirlenenlerle aynı kişisel veri koruma yükümlülüklerini yükleyecektir.
(6) Özellikle, siparişi işleyen taraf, sözleşme hükümleri yoluyla müşterinin ve denetim makamlarının denetim yetkilerinin (bu sözleşmenin 8. maddesi) alt yükleniciye de uygulanmasını ve ilgili denetim haklarının müşteri ve denetim makamları tarafından kabul edilmesini sağlamakla yükümlüdür. Ayrıca, alt yüklenicinin bu denetim önlemlerini ve yerinde denetimleri kabul edeceği sözleşme ile kararlaştırılmalıdır.
(7) 1 ila 6. fıkralar anlamında alt yüklenici ilişkileri, iş faaliyetini yürütmek amacıyla işleyicinin üçüncü şahıslardan tamamen yardımcı hizmet olarak aldığı hizmetler olarak kabul edilmeyecektir. Bu tür hizmetler arasında örneğin temizlik hizmetleri, işleyicinin işverene sağladığı hizmetlere özel bir atıfta bulunulmayan saf telekomünikasyon hizmetleri, posta ve kurye hizmetleri, nakliye hizmetleri, güvenlik hizmetleri yer almaktadır. Bununla birlikte, işleyici, üçüncü taraflarca sağlanan yardımcı hizmetler durumunda da, kişisel verilerin korunmasını sağlamak için uygun önlemlerin ve teknik ve organizasyonel tedbirlerin alınmış olmasını sağlamakla yükümlüdür. BT sistemlerinin veya uygulamalarının bakımı ve servisi, bakım ve testin, müşteriye hizmet sunumu ile bağlantılı olarak da kullanılan bu tür BT sistemlerini ilgilendirdiği ve bakım sırasında müşteri adına işlenen kişisel verilere erişim mümkün olduğu durumlarda onay gerektiren DSGVO Madde
(2) İşlemci, Müşteri adına işlenen
kişisel verilere bakım sırasında erişilebilmesi durumunda ve bakım ve testlerin, Müşteriye hizmet sunumu ile
bağlantılı
olarak da kullanılan bu tür BT sistemlerini ilgilendirmesi halinde, onay gerektiren DSGVO Madde 28 anlamında bir alt yüklenici ilişkisi ve
sipariş işleme oluşturur.
10. Gizlilik yükümlülüğü
(1) Müşteri adına veri işlerken, işlemci, siparişle bağlantılı olarak aldığı veya haberdar olduğu verilerin gizliliğini korumakla yükümlüdür.
İşleyici
, işverene yükümlülük olarak getirilen gizlilik
koruma
kurallarının aynısını uygulamayı taahhüt eder.
İşveren
, işleyiciyi herhangi bir özel gizlilik koruma kuralı hakkında bilgilendirmekle yükümlüdür.
(2) İşleyici, geçerli veri koruma düzenlemelerinin farkında olduğunu ve bunların uygulanmasına aşina olduğunu garanti eder. İşveren ayrıca, çalışanlarını kendileri için geçerli olan veri koruma hükümleri konusunda bilgilendirdiğini ve onları gizlilik yükümlülüğüne tabi kıldığını garanti eder. Yüklenici ayrıca, özellikle işin ifasına katılan çalışanlarını gizlilik yükümlülüğüne tabi kıldığını ve onlara Müşterinin talimatlarını bildirdiğini garanti eder.
(3) 2. fıkraya göre çalışanların yükümlülüğü, talep üzerine müşteriye kanıtlanmalıdır.
11. İlgili kişilerin haklarının korunması
(1) İlgili kişilerin haklarının korunmasından münhasıran müşteri sorumludur. İşlemci, DSGVO'nun 12-23. maddeleri uyarınca veri sahiplerinden gelen başvuruları işleme yükümlülüğünde müşteriye destek olmakla yükümlüdür. İşlemci, özellikle bu konuda gerekli bilgilerin gecikmeksizin müşteriye sağlanmasını temin etmelidir; böylece müşteri, DSGVO'nun 12. maddesinin 3. fıkrası kapsamındaki yükümlülüklerini yerine getirebilir.
(2) Müşteri tarafından veri sahiplerinin haklarının korunması için – özellikle bilgi, düzeltme, engelleme veya silme hakları – işlenen verilerin işleyicisinin işbirliğinin gerekli olduğu ölçüde, işlenen verilerin işleyicisi, müşterinin talimatlarına uygun olarak gerekli önlemleri alacaktır. Mümkünse, veri işleyen, veri sahiplerinin haklarını kullanma taleplerine yanıt verme yükümlülüğünü yerine getirebilmesi için, uygun teknik ve organizasyonel önlemler alarak işverene destek verecektir. İşleyici, bu hizmetler için müşteriden makul bir ücret talep etme hakkına sahiptir.
(3) Bu, işleyicinin, etkilenen kişilerin müşteriye karşı haklarını kullanmasıyla bağlantılı işbirliği hizmetleri sonucunda maruz kaldığı ek masrafların olası ücretlendirilmesine ilişkin hükümleri etkilemez.
12. Gizlilik yükümlülükleri
(1) Her iki taraf da, bu sözleşmenin ifası ile bağlantılı olarak elde edilen tüm bilgileri süresiz olarak gizli tutmayı ve bunları yalnızca sözleşmenin ifası için kullanmayı taahhüt eder. Taraflardan hiçbiri, bu bilgileri kısmen veya tamamen az önce belirtilen amaçlar dışında kullanma veya bu bilgileri üçüncü şahıslara ifşa etme hakkına sahip değildir.
(2) Yukarıdaki yükümlülük, taraflardan birinin gizlilik yükümlülüğü olmaksızın üçüncü şahıslardan aldığı kanıtlanabilir bilgiler veya kamuoyunca bilinen bilgiler için geçerli değildir.
13. İşleme
İşleyici, bu sözleşme için ayrı bir ücret almayacaktır.
14. Veri güvenliği için teknik ve organizasyonel önlemler
(1) İşleyici, müşteriye karşı, geçerli veri koruma düzenlemelerine uymak için gerekli olan teknik ve organizasyonel önlemlere uyacağını taahhüt eder. Buna özellikle DSGVO'nun 32. maddesindeki gereklilikler dahildir.
(2) Sözleşmenin imzalandığı tarihte mevcut olan teknik ve organizasyonel önlemlerin durumu, bu sözleşmeye Ek 3 olarak eklenmiştir. Taraflar, teknik ve yasal koşullara uyum sağlamak için teknik ve organizasyonel önlemlerde değişikliklerin gerekli olabileceği konusunda mutabık kalır. Kişisel verilerin bütünlüğünü, gizliliğini veya kullanılabilirliğini etkileyebilecek önemli değişiklikler, işleyici tarafından müşteri ile önceden mutabık kalınacaktır. Yalnızca küçük teknik veya organizasyonel değişiklikleri içeren ve kişisel verilerin bütünlüğünü, gizliliğini ve kullanılabilirliğini olumsuz etkilemeyen önlemler, veri işleyen tarafından müşteriye danışılmaksızın uygulanabilir. Müşteri, işleyen tarafından
alınan
teknik ve
organizasyonel önlemlerin
güncel bir versiyonunu her zaman talep edebilir.
(3) Yüklenici, kendisi tarafından alınan teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak ve ayrıca gerektiğinde kontrol edecektir. Optimizasyon ve/veya değişiklik yapılması gerektiği takdirde, görevlendirilen işleyici müşteriyi bilgilendirecektir.
15. Siparişin Süresi
(1) Sözleşme, görevlendirme ile başlar ve süresiz olarak yapılır.
(2) Sözleşme, ana sözleşmenin (bir uygulama paketi veya herhangi bir hizmet) feshedilmesi üzerine, ayrı bir fesih bildirimine gerek olmaksızın sona erer.
Bu Sözleşmenin feshinden sonraki silme ve iade yükümlülükleri, Madde 16'ya tabidir.
(3) İşveren, işleyiciye uygulanabilir veri koruma hükümlerinin veya bu sözleşme kapsamındaki yükümlülüklerin ciddi bir şekilde ihlali durumunda, işleyicinin işveren tarafından verilen bir talimatı yerine getirememesi veya getirmek istememesi durumunda ya da işleyicinin sözleşmeye aykırı olarak işverene veya yetkili denetim makamına erişimi reddetmesi durumunda, herhangi bir bildirimde bulunmaksızın sözleşmeyi herhangi bir zamanda feshedebilir.
16. Fesih
(1) Sözleşmenin feshinden sonra, görevlendirilen işleyici, müşterinin tercihine bağlı olarak, sözleşme ilişkisi kapsamında eline geçen tüm belgeleri, verileri ve oluşturulan işleme veya kullanım sonuçlarını müşteriye iade edecek veya silecektir. Silme işlemi uygun bir şekilde belgelenecektir. Yasal saklama yükümlülükleri veya verileri saklamaya yönelik diğer yükümlülükler bundan etkilenmeyecektir. Veri taşıyıcıları söz konusu olduğunda, müşteri tarafından silinmesi talep edildiğinde bunlar imha edilmelidir; bu imha işlemi sırasında en az DIN 66399'un güvenlik seviyesi 3'e uyulmalıdır; müşteri, DIN 66399'a uygun güvenlik seviyesine atıfta bulunarak imha işleminin kanıtını sunmalıdır.
(2) Müşteri, işleyici nezdinde verilerin eksiksiz ve sözleşmeye uygun şekilde iade edilmesini ve silinmesini denetleme hakkına sahiptir. Bu, işleyicinin tesislerinde veri işleme ekipmanını denetleyerek de yapılabilir. Yerinde denetim, müşteri tarafından makul bir süre önceden bildirilmelidir.
17. Alıkoyma hakkı
Taraflar, işlenen veriler ve ilgili veri taşıyıcıları ile ilgili olarak işleyicinin § 273 BGB (Alman Medeni Kanunu) uyarınca alıkoyma hakkını kullanmasının hariç tutulduğunu kabul ederler.
18. Son hükümler
(1) Müşterinin mülkiyeti, işleyicinin tesislerinde üçüncü şahısların tedbirleri (el koyma veya müsadere gibi), iflas işlemleri veya diğer olaylar nedeniyle tehlikeye girerse, işleyici bunu gecikmeksizin müşteriye bildirecektir. İşleyici, verilerin sipariş kapsamında işlendiği gerçeğini alacaklılara gecikmeksizin bildirecektir.
(2) Yan anlaşmalar için yazılı şekil gereklidir.
(3) Bu sözleşmenin münferit maddelerinin geçersiz olması, sözleşmenin geri kalan hükümlerinin geçerliliğini etkilemez.
Ek 1 - Siparişin Konusu
1. İşlemenin konusu ve amacı
Müşterinin işleyiciye verdiği sipariş, aşağıdaki iş ve/veya hizmetleri içerir: Mobil uygulamaların sağlanması (ilgili geçerli hizmet tanımında daha ayrıntılı olarak açıklanmıştır) ve benzer içeriğe sahip web sayfaları. Bu, kaydedilen verilerin toplanmasını, işlenmesini ve iletilmesini içerir.
2. Kişisel veri türleri
Aşağıdaki veri türleri düzenli olarak işlenir: Trafik verileri, içerik verileri, iletişim verileri, kişisel ana veriler ve iletişim verileri (ad, adres, telefon numarası, faks numarası, e-posta adresi).
3. Etkilenen kişilerin çevresi
Veri işlemeyle ilgili kişilerin çevresi: Hesabınızın kullanıcıları, arayan ve aranan katılımcılar veya SMS/faks gönderen/alanlar, çalışanlar, müşteriler, iş ortakları, ilgililer ve müşterinin hizmet sağlayıcıları.
Müşteri, işleyicinin ortağı ise: Siparişi veren Ortak tarafından yönlendirilen yüklenicilerin/şirketlerin iletişim, kişisel ana ve iletişim verileri (ad, adres, telefon numarası, faks numarası, e-posta adresi).
Müşteri, hesabın kullanıcılarını ve - gerekirse - işçi temsilcilerini veya benzer temsilcileri 2. maddede belirtilen verilerin işlenmesi hakkında bilgilendirmekle yükümlüdür.
4. Veri işleme yeri:
Tüm veriler, Avrupa Ekonomik Alanı içindeki sunucularda işlenir.
Ek 2 - Alt Yüklenici
İşveren adına verilerin işlenmesi için, işleyici, kendi adına verileri işleyen üçüncü tarafların hizmetlerini kullanır ("alt yükleniciler").
İşleyici, hizmetlerini sunmak için çeşitli alt yükleniciler kullanır.
Bu alt yükleniciler, başlangıçta işleyicinin aşağıdaki şirketleridir ve işleyicinin hizmetlerinin gerçekleştirilmesi için ön hazırlık çalışmaları yaparlar. Bu verilerin işlenmesi için şirketler arasında gerekli sözleşme anlaşmaları yapılmıştır.
Bu şirketler şunlardır:
Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001
Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,
netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe
OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Fransa
Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim
CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin
Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, İrlanda
Ek 3 - Sipariş işleyicinin teknik ve organizasyonel önlemleri
Sipariş işleyicisi, DSGVO Madde 32 anlamında veri güvenliği için aşağıdaki teknik ve organizasyonel önlemleri alacaktır.
1. Gizlilik
Erişim kontrolü
Verilerin işlendiği veya kullanıldığı veri işleme sistemlerine yetkisiz erişimi önlemek amacıyla, işleyici ve Netcup ve Google Cloud Division gibi alt yüklenicileri kapsamlı resmi erişim kontrol süreçleri uygulamıştır.
Kullanılan tesislerde sunucu odaları ve bir sunucu teknolojisi odası bulunmaktadır. Erişim için, alt yüklenicinin seçilmiş çalışanlarına elektronik anahtarlar verilmektedir. Anahtarlar, ilgili alt yüklenicinin çalışanına yalnızca bu amaçla onaylanmış olan tek tek kapıları açma/kapama yetkisi vermektedir. Bir anahtarın tüm açma ve kapama işlemleri, anahtarın benzersiz kimliği ile birlikte elektronik olarak kaydedilir. Anahtarların yönetiminden, yalnızca yönetim tarafından doğrudan yetkilendirilmiş alt yüklenicinin çalışanları sorumludur.
Sunucu odası her zaman kilitlidir ve yalnızca
alt
yüklenic
inin
seçilmiş çalışanları tarafından girilebilir.
İlgili tesisin binası içinde, alt yüklenicinin çalışanlarının erişim hakları - anahtarı olanlar dahil - gerçekleştirilecek belirli görev için gerekli olan ölçüde sınırlandırılmıştır.
Çalışma saatleri içinde, sürekli görevli bulunan resepsiyon masasında binaya giren kişilerin kontrolü yapılır. Çalışma saatleri dışında, binanın tüm girişleri kilitlenir ve alarmla korunur. Bina ayrıca bir güvenlik hizmeti tarafından korunur. Alarm sisteminin tüm alarmları doğrudan bir güvenlik hizmetine bildirilir.
Tüm veri merkezlerinde standart güvenlik önlemleri uygulanmaktadır. Bunlar, en son teknolojiye ve BT sektörünün (en iyi uygulamalarına) uygundur. Bunlar arasında, yalnızca yetkili kişilerin binaya girmesine izin veren kayıtlı elektronik erişim kontrol sistemleri, alarm sistemleri, iç/dış video gözetimi, 7/24 güvenlik personeli, binanın dikenli tel ile korunması ve alarm durumunda özel bir alarm hattı aracılığıyla otomatik olarak bilgilendirilen harici güvenlik hizmetleri tarafından sağlanan koruma yer almaktadır.
Veri merkezindeki odaların ve kafeslerin anahtarları her zaman güvenlik personelinden alınmalıdır.
Erişim kontrolü
Veri işleme sistemini kullanmaya yetkili kişilerin yalnızca erişim yetkisi kapsamındaki verilere erişebilmesini ve depolanan veya işlenmekte olan verilerin yetkisiz kişiler tarafından okunamamasını, kopyalanamamasını, değiştirilememesini veya silinememesini sağlamak amacıyla, işleme sorumlusu erişim yetkilerini yönetmek için merkezi bir sistem kullanır. Tüm erişimler yerel olarak ve merkezi günlük sunucusunda saklanır. Yönetim hakları yalnızca merkezi bir yönetim programı aracılığıyla kullanılabilir.
Tüm verilere erişim, yetkili kişilerin belirli görevlerini yerine getirmeleri için gerekli olduğu ölçüde sınırlandırılmıştır. Yasal veri koruma gereklilikleri, özellikle temel veri koruma yönetmeliği (DSGVO) ve TKG'nin gereklilikleri yerine getirilir.
Ayrıştırma
İşleyici, verileri ağ üzerinde mantıksal ve fiziksel erişim denetimleri sistemi ile mantıksal olarak ayrılmış sunucu sistemlerinde işler.
2. Bütünlük
Giriş denetimi
Sipariş işleyicisinin, veri işleme sistemlerinde verilerin girilip girilmediğini, değiştirilip değiştirilmediğini veya silinip silinmediğini ve bunları kimin yaptığını sonradan kontrol edip belirleyebilmesini sağlamak için, müşterinin depolanan verilerine yapılan tüm erişimler yerel olarak ve merkezi günlük sunucusunda kaydedilir.
İletim kontrolü
Elektronik iletim, taşıma veya depolama sırasında verilerin yetkisiz kişiler tarafından okunamayacağından, kopyalanamayacağından, değiştirilemeyeceğinden veya silinemeyeceğinden emin olmak ve veri aktarım sistemleri tarafından verilerin nereye aktarılmasının amaçlandığını doğrulayabilmek için, müşteri verilerini işleyen tüm sistemlere erişim, etkili erişim kontrollerine tabidir. Bu erişim kontrol mekanizmaları, yukarıda 3. maddede daha ayrıntılı olarak açıklanmıştır.
3. Kullanılabilirlik ve dayanıklılık
İşleyici, depolanan verileri korumak ve gerektiğinde geri yükleyebilmek için tüm sistemlerde yedekli sistemler ve yedekleme çözümlerinin bir kombinasyonunu kullanır. Bu sistemler, yalnızca en son teknolojiye uygun olarak güvenli ve donanımlı tesislerde işletilir; bu tesislerde gerekli klima, yangın ve duman alarm sistemleri bulunur ve ayrıntılı acil durum planları mevcuttur.
4. Düzenli inceleme, değerlendirme ve değerlendirme prosedürleri
Kendi çalışanlarımızın ve alt yüklenicinin çalışanlarının tümü, veri koruma konularında düzenli olarak eğitilmektedir. Bu eğitimler tamamen kurum içinde gerçekleştirilmekte olup, bu sayede işlemeyi gerçekleştiren taraf için ilgili konulara tam olarak uyarlanabilmektedir. Bu eğitim oturumları sırasında bireysel sorular da ayrıntılı olarak ele alınmaktadır.
İşlemciye ait ve işleri gereği kişisel verilerin işlenmesiyle temas eden tüm çalışanlar, kişisel verileri gizli tutmakla yükümlüdür. Bu, yeni çalışanların işe alınması sırasında her çalışanın imzalaması gereken bir sözleşmeye dayalı taahhüt beyanı yoluyla düzenli olarak yapılır.
İşlemci, bir veri koruma görevlisi atamıştır. Veri koruma görevlisi, yardımcılarıyla birlikte veri sahiplerinden gelen soruların zamanında yanıtlanmasını sağlayacaktır.
İşleyici, DSGVO Madde 30, paragraf 1 ve 2 anlamında bir işleme faaliyetleri kaydı tutacaktır. Bu işleme faaliyetleri listesi kamuya açık değildir.
(16 Şubat 2022 itibarıyla)