İşlemci sözleşmesi

tanıtım

Autosoft BV, diğer şeylerin yanı sıra müşteri için ve müşteri adına kişisel verileri işler. Autosoft BV ve müşteri bu nedenle Genel Veri Koruma Yönetmeliği (GDPR) uyarınca bir İşlemci Sözleşmesi yapmakla yükümlüdür. GDPR'ye göre, Autosoft BV bir 'işlemci' ve müşteri bir 'denetleyici'dir. Bu İşlemci Sözleşmesi, Autosoft BV'nin veri ihlali bildirim yükümlülüğünü nasıl ele aldığını da açıklar.

İşlemci sözleşmesi

Şunlardan oluşur:
Bölüm 1: Data Pro Beyanı
Bölüm 2: Standart İşleme Maddeleri

Bölüm 1: Data Pro Beyanı

Genel bilgi

1). Bu Data Pro Beyanı, aşağıdaki veri işlemcisi (işlemci) tarafından hazırlanmıştır:

• Autosoft BV
  Hengelosstraat 547
  7521 AG Enschede

Bu Data Pro Beyanı veya veri korumasıyla ilgili sorularınız için lütfen şu adresle iletişime geçin:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Bu Data Pro Beyanı 1 Ağustos 2021'den itibaren geçerlidir
Veri koruma konusunda her zaman hazırlıklı ve güncel olduğumuzdan emin olmak için bu Data Pro Bildirimi'ni ve burada açıklanan güvenlik önlemlerini düzenli olarak düzenleriz. Normal kanallarımız aracılığıyla sizi yeni sürümlerden haberdar edeceğiz.

3). Bu Data Pro Beyanı, aşağıdaki veri işlemci ürünleri ve hizmetleri için geçerlidir.

• Otomatik Web Sitesi
• otomobil ticareti

4). Açıklama Araba web sitesi
Araba şirketleri Autowebsite kullanıyor. Autowebsite ile otomobil firmaları kendilerini internette tanıtabilirler.

5). Kullanım amacı Araba web sitesi
Otomatik web sitesi, aşağıdaki veri türlerini işlemek için tasarlanmış ve donatılmıştır:
Autosoft tarafından Autowebsite ile geliştirilen web sitelerinin ziyaretçileri, otomobil şirketinin daha fazla hizmet için ziyaretçiye yaklaşma fırsatına sahip olması için iletişim bilgilerini orada bırakma seçeneğine sahiptir. Bu iletişim bilgileri Autosoft'ta saklanmaz, ancak doğrudan e-posta yoluyla otomobil şirketinin e-posta adresine iletilir.

• Bu hizmet, özel kişisel verilerin işlenmesini veya cezai hükümler ve suçlarla ilgili verileri veya devlet tarafından verilen kişisel numaraları dikkate almaz.

6). Açıklama Otomatik ticaret
Araba şirketleri AutoCommerce kullanıyor. Autocommerce ile otomobil şirketleri araçlarını kendi web sitelerinde ve üçüncü şahısların internet arama portallarında yönetebilir ve sunabilir.

7). Kullanım Amacı Otomatik Ticaret
Otomatik ticaret, aşağıdaki veri türlerini işlemek için tasarlanmış ve kurulmuştur:
Araba şirketleri, kayıtlı araçlarını Autocommerce aracılığıyla kendi Araba web sitelerine yerleştirebilir. Bu tescilli araçlar, kişisel verilere kadar izlenebilecek herhangi bir veri içermemektedir. Araba web sitesini ziyaret edenler, iletişim bilgilerini orada bırakma seçeneğine sahiptir, böylece araba şirketi daha fazla hizmet için ziyaretçiye ulaşma fırsatına sahip olur. Ziyaretçinin kendi Auto web sitesinde bıraktığı iletişim bilgileri, AutoCommerce'de saklanır.

• Bu hizmet, özel kişisel verilerin işlenmesini veya cezai hükümler ve suçlarla ilgili verileri veya devlet tarafından verilen kişisel numaraları dikkate almaz.

8). Veri işlemcisi, Sözleşmenin bir eki olarak bulunabilen Otomatik Web Sitesi ve Otomatik Ticaret için işleme için Standart Maddeleri kullanır.

9). Veri işlemcisi, Autowebsite ve AutoCommerce için AB/AEA içindeki müşterilerinin kişisel verilerini işler.

10). Veri işlemcisi, Otomatik Ticaret için aşağıdaki alt işlemcileri kullanır:
Bazı durumlarda Autosoft, kayıtlı araçlarını Autocommerce aracılığıyla, Araba Şirketi adına üçüncü şahısların veya alt işlemcilerin internet arama portallarına gönderir. Alt işlemcilerin bir listesi istek üzerine support@autosoft.eu adresinde bulunabilir.

11). Bir müşteri ile Sözleşmenin feshedilmesinden sonra, veri işleyici prensip olarak müşteri için işlediği kişisel verileri 3 ay içinde artık kullanılamayacak ve erişilemez hale gelecek (erişilemez hale getirecek) şekilde kaldıracaktır.

Güvenlik politikası

Veri işlemcisinin ürününü veya hizmetini korumak için aldığı aşağıdaki güvenlik önlemlerinin özeti:

Olay yönetimi ve müdahale politikası
Bilgi güvenliği alanındaki olay yönetimi ve müdahale politikaları, bir bilgisayar veya BT altyapısı üzerindeki güvenlik olaylarının izlenmesi ve tespitinin yanı sıra, şüpheli faaliyetlerin personel tarafından gözlemlenmesi ve bu olaylara doğru yanıtların uygulanmasını içermektedir.

Bu politikanın birincil amacı, kötü niyetli olaylara ve kelimenin en geniş anlamıyla bilgisayar izinsiz girişlerine karşı iyi anlaşılmış ve öngörülebilir bir yanıt geliştirmektir.

Olay yönetimi ve müdahale politikası, bilgisayarları, ağları ve bilgi sistemlerini ve burada depolanan bilgileri yönetme ve koruma sürecidir. Autosoft, söz konusu bu bilgileri müşterilerinin ve tedarik zinciri ortaklarının yararına korumak olduğunda sorumluluklarının bilincindedir. Bu sorumluluk, bir Olay prosedürüne sahip olmayı da kapsar. Olay yönetimi, bir kuruluşun kendi refahını ve halkın güvenliğini geliştirmek için kullanabileceği bir süreci tanımlayan ve uygulayan bir dizi faaliyettir.

BT ve güvenlik
Autosoft BV'nin ICT yapısı bir güvenlik duvarı ile yeterince güvence altına alınmış ve virüs tarama yazılımı güncel tutulmuştur. Her çalışanın bir oturum açma profili vardır. Bir bilgisayarı başlatırken, çalışanlar bir oturum açma adı ve parola ve mümkünse 2 adımlı kimlik doğrulama ile girmelidir.

Bazı yazılımlar ayrıca bir oturum açma adı ve parola ve mümkün olduğunda 2 adımlı kimlik doğrulama ister. Şüpheli e-postaların açılmamasına, şüpheli bağlantıların tıklanmamasına, işyerinden uzun süre ayrılırken çıkış yapılmasına vb. dikkatin çekilmesi gibi, çalışanlar arasında güvenli çalışma konusunda farkındalık uyandırılır.

Dosyalar gündüz ve her gece yedeklenir. Güvenlik nedenleriyle, yedeklemeyi çevreleyen ek depolama prosedürü gizlidir. Autosoft BV, bunun için bilgisayar tedarikçileri ve internet barındırma sağlayıcıları ile hizmet sözleşmeleri imzalamıştır.

Veri koruma politikası
Autosoft BV, müşterinin kişisel verilerini kaybolmaya veya herhangi bir yasa dışı işleme biçimine karşı korumak için uygun teknik ve organizasyonel önlemleri alır. Bu teknik ve organizasyonel önlemler, GDPR'nin 1. Maddesi anlamında uygun bir güvenlik seviyesi olarak kabul edilir ve Autosoft BV'nin merkezi Basecamp'ında (Proje: Organizasyon / Veri Koruma Politikası) belgeler olarak saklanır.

Teknik ve organizasyonel

1. İşleyici Sözleşmesi kapsamında işlenen Kişisel Verilere yalnızca yetkili personelin erişmesini sağlayacak önlemler;
2. Kişisel Verileri özellikle kazara veya yasa dışı imha, kayıp, kazayla değiştirme, yetkisiz veya yasa dışı saklama, erişim veya ifşaya karşı korumaya yönelik önlemler;
3. Kişisel Verileri, özellikle veri alışverişi/taşıma sırasında kazara veya yasa dışı imha, kayıp, kazayla değiştirme, yetkisiz veya yasa dışı depolama, erişim veya ifşaya karşı korumaya yönelik önlemler;
4. Düzenleme sistemlerinin ve hizmetlerinin gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sürekli olarak sağlama becerisini sağlamaya yönelik önlemler;
5. Fiziksel veya teknik bir olay olması durumunda Kişisel Verilerin kullanılabilirliğini ve erişimini zamanında yeniden sağlamak için önlemler;
6. Sözleşme kapsamındaki hizmetleri sağlamak için kullanılan sistemlerde Kişisel Verilerin işlenmesine ilişkin güvenlik açıklarını belirlemeye yönelik önlemler;

Aşağıdakiler gibi organizasyonel:

• Belirli kişisel verilere erişimi olan görevlilerin çevresini, görevlerini yerine getirmek için verilere ihtiyaç duyan kişilerle sınırlamak;
• bu kişilere yalnızca görevlerini yerine getirmeleri için ihtiyaç duydukları kişisel verilere erişim sağlanması;
• kişisel verilere erişim izni verilecek tüm kişilerle bir gizlilik maddesi ve ceza maddesi kabul edilmesi;
• kişisel verilerin kapalı bir alanda sunucularda saklanması;
• kağıt dosyaların kilitlenebilir dolaplarda saklanması;
• çalışanlar arasında bilgi güvenliği bilincinin oluşturulması;
• bilgi güvenliği olaylarını ve güvenlik açıklarını zamanında ve etkili bir şekilde ele almak için açık protokoller ve prosedürler oluşturmak;

Veri işlemcisi, kuruluşun çalışma yöntemine uyan yönetim için kendi metodolojilerini ve prosedürlerini kullanır:

• İlgili dokümanlar Basecamp bünyesinde yönetilir ve periyodik olarak değerlendirilir.

Veri ihlali protokolü

Bir şeylerin ters gitmesi durumunda, veri işlemcisi, müşterinin olaylardan haberdar olmasını sağlamak için aşağıdaki veri sızıntısı protokolünü kullanır:

Autosoft BV – Veri ihlali prosedürü

Veri ihlali nedir ve bunu AP'ye ne zaman bildirmem gerekir?
Veri ihlali, aşağıdakiler gibi (ancak tam olarak değil) kayıp veya yasa dışı işlemeye maruz kalma yoluyla kişisel verilerin güvenliğinin ihlalini içeren bir bilgi güvenliği olayıdır:

• Kişisel verilerin ayarlanması ve/veya değiştirilmesi ve bu kişisel verilere yetkisiz erişim;
• Bir hacker tarafından zorla girilmesi durumunda;
• Bir USB çubuğunu kaybetmek, bir dizüstü bilgisayarın çalınması;
• Hassas verileri yanlış bir e-posta adresine göndermek;

Yasaya göre, 'ciddi' bir veri ihlali, gecikmeksizin ve mümkünse keşiften en geç 72 saat sonra Hollanda Veri Koruma Kurumu'na bildirilmelidir.

Bireysel gerçek kişilerin gerçek kimliğinin makul bir şekilde hariç tutulması durumunda, Autosoft BV'nin Hollanda Veri Koruma Kurumu'na rapor vermesi gerekmez.
Bir bilgi güvenliği olayıyla ilgili tüm şüpheler ilk etapta ele alınacaktır. destek@autosoft.eu rapor edilmiş ve kayıt altına alınmıştır. Destek, olayı Yönetim Ekibine bildirir ve hangi takip eylemlerinin yapılması gerektiğini belirler.

Takip prosedürü

Veri konularını ne zaman bilgilendirmem gerekiyor?
Bir ihlal durumunda, ihlalin özel hayatı için olumsuz sonuçlar doğurma riskinin yüksek olması durumunda, veri sahibine bir veri ihlali bildirilmelidir. Veri sahibi için olumsuz sonuçlar şunlardır: itibarının ve itibarının zedelenmesi, kimlik sahtekarlığı veya ayrımcılık. Autosoft BV, ilgili kişisel verileri anlaşılmaz veya erişilemez hale getirerek uygun teknik koruma önlemlerini almışsa, ilgili kişiye bildirimde bulunulması gerekli değildir. Veri sahibine yapılan bildirim, kişisel veri ihlalinin niteliğine ilişkin açık ve sade bir dille bir açıklama içerecek ve en azından:

• veri koruma görevlisinin veya daha fazla bilginin alınabileceği diğer irtibat noktasının adı ve iletişim bilgileri;
• kişisel veri ihlalinin olası sonuçları;
• uygun olduğu hallerde, bu ihlallerin olumsuz etkilerini hafifletmeye yönelik tedbirler de dahil olmak üzere, kişisel veri ihlalini ele almak için kontrolör tarafından önerilen veya alınan tedbirler. Bir veri ihlalinin Hollanda Veri Koruma Kurumuna ve/veya etkilenen kişilere bildirilmesi gerekip gerekmediğine ilişkin değerlendirme her zaman Autosoft BV'ye bağlıdır. Bir olayın bildirilmesi gerekip gerekmediğini belirlemek için Hollanda Veri Koruma Kurumu politika kuralları (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) ve GDPR'de raporlama yükümlülüğü hakkında yayınlanan Avrupa denetçiler yönergelerinin 29 numaralı çalışma grubu. Autosoft BV veri ihlalini bildirmediyse, Hollanda Veri Koruma Kurumu Autosoft BV'nin yine de bir rapor hazırlamasını isteyebilir. Bildirimde bulunmama idari para cezası ile cezalandırılabilir.

Bir veri ihlalini nasıl bildiririm?
Hollanda Veri Koruma Kurumu, veri ihlallerini bildirmek için kullanılması gereken bir web formu sunar (https://dataleks.autoriteitpersoonsgegevens.nl/). Hollanda Veri Koruma Kurumu, alınan veri ihlali bildirimlerinin bir kaydını tutar. Bu kayıt herkese açık değil. Veri ihlali nedeniyle Hollanda Veri Koruma Kurumu tarafından bir para cezası uygulanırsa, bu karar kamuya açıklanacaktır. Bir veri ihlali, veri sahiplerinin veri ihlali hakkında bilgilendirilmesi gerektiğinde de kamuya açıklanır. Veri sahibine yapılan bildirim, her durumda, ihlalin niteliğini ve veri sahibinin ihlal hakkında daha fazla bilgi alabileceği makamları belirtmelidir. Ayrıca, veri ihlalinin olumsuz sonuçlarını sınırlamak için veri sahibinin kendisinin neler yapabileceği de belirtilmelidir. Örneğin, ihlal nedeniyle ele geçirilmiş olabilecekleri zaman kullanıcı adlarını ve şifreleri değiştirmek.

Neyi rapor etmeliyim?
Hollanda Veri Koruma Kurumuna yapılan bir bildirim şunları içerir:

• Veri ihlalini bildiren kişi.
• Hollanda Veri Koruma Otoritesinin rapor hakkında daha fazla bilgi için iletişime geçebileceği kişi.
• Kişisel veri güvenliği ihlalinin gerçekleştiği olayın özeti.
• İhlalin zamanı.
• İhlalin niteliği.
• İlgili kişisel verilerin türü.
• İhlalin ilgili kişilerin mahremiyeti için doğurabileceği sonuçlar.
• Autosoft BV'nin ihlalle mücadele etmek ve başka ihlalleri önlemek için aldığı teknik ve organizasyonel önlemler.
• Autosoft BV'nin veri ihlalini veri sahiplerine bildirip bildirmediği ve bildirmediyse, Autosoft BV'nin bunu yapmak isteyip istemediği:
• Varsa, veri sahiplerine yapılan bildirimin içeriği.
• Değilse, Autosoft BV'nin veri ihlalini veri sahiplerine bildirmekten kaçınmasının nedeni.
• Kişisel veriler şifrelenmiş, karma hale getirilmiş veya başka bir şekilde yetkisiz kişiler tarafından anlaşılmaz veya erişilemez hale getirilmiş mi?

Bölüm 2: Standart İşleme Maddeleri

Sürüm: Eylül 2019
Data Pro Beyanı ile birlikte, işleme sözleşmesini oluşturur ve Sözleşmenin ve ilgili genel hüküm ve koşullar gibi eklerin bir ekidir.

Madde 1. Tanımlar

Aşağıdaki terimler bu Standart Maddelerde, Data Pro Bildiriminde ve sözleşmede aşağıdaki anlamlara sahiptir:

• 1.1 Hollanda Veri Koruma Kurumu (AP): Ort.
• 1.2 ORTA: Genel Veri Koruma Yönetmeliği.
• 1.3 Veri İşlemcisi: bir BİT tedarikçisi olarak, Sözleşmenin yürütülmesi bağlamında Müşterisinin yararına Kişisel Verileri işleyen taraf.
• 1.4 Data Pro Beyanı: Ürün veya hizmetinin kullanım amacı, alınan güvenlik önlemleri, alt işlemciler, veri sızıntıları, sertifikalar ve Veri Sahiplerinin haklarının ele alınması ile ilgili bilgileri sağladığı Veri İşleyicinin beyanı.
• 1.5 Veri sahibi (veri sahibi): kimliği belirli veya belirlenebilir gerçek kişi.
• 1.6 Müşteri: Veri İşlemcisinin kişisel verileri adına işlediği taraf. Müşteri, bir denetleyici ("denetleyici") veya başka bir işlemci olabilir.
• 1.7 Anlaşma: Müşteri ile Veri İşlemcisi arasındaki, ICT tedarikçisinin Müşteriye hizmet ve/veya ürün tedarik ettiği ve işlemci sözleşmesinin bir parçasını oluşturduğu sözleşme.
• 1.8 Kişisel veriler: Veri İşlemcisinin Sözleşmeden doğan yükümlülüklerinin yerine getirilmesi bağlamında işlediği, Madde 4, alt 1 AVG'de açıklandığı gibi, kimliği belirli veya belirlenebilir gerçek kişiyle ilgili tüm bilgiler.
• 1.9 İşleme sözleşmesi: Veri İşlemcisinin Data Pro Beyanı (veya karşılaştırılabilir bilgiler) ile birlikte GDPR'nin 28. maddesinin 3. paragrafında atıfta bulunulan işleme sözleşmesini oluşturan işlemeye yönelik bu Standart Maddeler.

Madde 2. Genel

• 2.1 Bu Standart İşleme Maddeleri, Veri İşleyicinin ürün ve hizmetlerinin teslimi bağlamında yaptığı tüm Kişisel Verilerin işlenmesi ve tüm Sözleşmeler ve teklifler için geçerlidir. Müşterinin işleme sözleşmelerinin uygulanabilirliği açıkça reddedilir.
• 2.2 Data Pro Beyanı ve özellikle burada yer alan güvenlik önlemleri, değişen koşulları yansıtmak için zaman zaman Veri İşlemcisi tarafından değiştirilebilir. Veri İşlemcisi, önemli değişiklikleri Müşteriye bildirecektir. Müşteri düzeltmeleri makul bir şekilde kabul edemezse, Müşteri, düzeltmelerin bildirilmesinden itibaren 30 gün içinde işleme sözleşmesini yazılı olarak feshetme hakkına sahiptir.
• 2.3 Veri İşleyici, Kişisel Verileri Müşteri adına ve Müşteri adına, Veri İşleyici ile mutabık kalınan Müşterinin yazılı talimatlarına uygun olarak işler.
• 2.4 Müşteri veya müşterisi, GDPR anlamında kontrolördür, Kişisel Verilerin işlenmesi üzerinde kontrole sahiptir ve Kişisel Verilerin işlenmesinin amacını ve araçlarını belirlemiştir.
• 2.5 Veri İşlemcisi, GDPR anlamında bir işlemcidir ve bu nedenle Kişisel Verilerin işlenmesinin amacı ve araçları üzerinde hiçbir kontrolü yoktur ve bu nedenle, diğer şeylerin yanı sıra Kişisel Verilerin kullanımı hakkında herhangi bir karar vermez.
• 2.6 Veri İşlemcisi, GDPR'yi bu İşleme Standart Maddelerinde, Data Pro Beyanı ve Sözleşmede belirtildiği şekilde uygular. Veri İşleyicinin, işlemenin GDPR gerekliliklerini karşılaması ve Veri sahiplerinin haklarının korunması için uygun teknik ve organizasyonel önlemlerin uygulanmasına ilişkin yeterli garantiler sunup sunmadığını bu bilgilere dayanarak değerlendirmek Müşteriye bağlıdır. yeterlidir. garantilidir.
• 2.7 Müşteri, Veri İşleyene GDPR'ye uygun hareket ettiğini, sistemlerini ve altyapısını her zaman yeterince koruduğunu ve Kişisel Verilerin içeriğinin, kullanımının ve/veya işlenmesinin hukuka aykırı olmadığını ve herhangi bir hakkı ihlal etmediğini garanti eder. üçüncü bir şahsın.
• 2.8 AP tarafından Müşteriye uygulanan idari para cezası Veri İşlemcisinden geri alınamaz.

Madde 3. Güvenlik

• 3.1 Veri İşlemcisi, Data Pro Bildiriminde açıklandığı şekilde teknik ve organizasyonel güvenlik önlemlerini alır. Veri İşleyici, teknik ve organizasyonel güvenlik önlemlerini alırken, en son teknolojiyi, güvenlik önlemlerinin uygulama maliyetlerini, işlemenin niteliğini, kapsamını ve bağlamını, ürün ve hizmetlerinin amaçlarını ve kullanım amacını dikkate almıştır. , Veri Sahiplerinin ürün ve hizmetlerinin amaçlanan kullanımı açısından bekleyebileceği hak ve özgürlükleri için işleme riskleri ve olasılık ve ciddiyet bakımından farklılık gösteren riskler.
• 3.2 Data Pro Beyanı'nda aksi açıkça belirtilmediği sürece, Veri İşlemcisinin ürünü veya hizmeti, özel Kişisel Veri kategorilerini veya cezai hükümler veya suçlarla ilgili verileri veya devlet tarafından verilen kişisel numaraları işlemek üzere tasarlanmamıştır.
• 3.3 Veri İşleyen, alacağı güvenlik önlemlerinin Veri İşleyen tarafından ürün veya hizmetin kullanım amacına uygun olmasını sağlamaya çalışır.
• 3.4 Müşterinin görüşüne göre, açıklanan güvenlik önlemleri, Madde 3.1'de atıfta bulunulan faktörler dikkate alınarak, kendisi tarafından kullanılan veya sağlanan Kişisel Verilerin işlenmesi riskine göre uyarlanmış bir güvenlik seviyesi sunar.
• 3.5 Veri İşleyen, uygun bir güvenlik seviyesi sağlamaya devam etmek için gerekli gördüğü takdirde alınan güvenlik önlemlerinde değişiklik yapabilir. Veri İşlemcisi, örneğin değiştirilmiş bir Data Pro Beyanı gibi önemli değişiklikleri kaydedecek ve ilgili olduğunda bu değişiklikleri Müşteriye bildirecektir.
• 3.6 Müşteri, Veri İşlemcisinden daha fazla güvenlik önlemi almasını talep edebilir. Veri İşleyici, bu tür bir talep üzerine güvenlik önlemlerinde değişiklik yapmakla yükümlü değildir. Veri İşleyen, Müşteri'nin talebi üzerine yapılan değişikliklerle ilgili masrafları Müşteri'den talep edebilir. Veri İşleyen, ancak Müşteri'nin istediği değiştirilmiş güvenlik önlemleri yazılı olarak kabul edildikten ve Taraflarca imzalandıktan sonra bu güvenlik önlemlerini fiilen uygulamakla yükümlüdür.

Madde 4. Kişisel Verilerin İhlali

• 4.1 Veri İşleyen, güvenlik önlemlerinin her koşulda etkili olduğunu garanti etmez. Veri İşleyici, Kişisel Verilerle bağlantılı bir ihlal tespit ederse (Madde 4 sub 12 Ort'da belirtildiği gibi), Müşteriyi gereksiz gecikme olmaksızın bilgilendirecektir. Data Pro Beyanı (veri sızıntı protokolü kapsamında), Veri İşlemcisinin Kişisel Verilerle bağlantılı ihlaller hakkında Müşteriyi nasıl bilgilendirdiğini ortaya koymaktadır.
• 4.2 Veri İşlemcisinin bilgilendirdiği Kişisel Veri ihlalinin AP'ye veya Veri konusuna bildirilmesinin gerekip gerekmediğini değerlendirmek kontrolöre (Müşteri veya müşterisi) bağlıdır. Madde 33 ve 34 GDPR uyarınca AP'ye ve/veya Veri Sahiplerine bildirilmesi gereken Kişisel Verilerle bağlantılı ihlallerin raporlanması, her zaman kontrolörün (Müşteri veya müşterisi) sorumluluğundadır. Veri İşlemcisi, kişisel veri ihlallerini AP'ye ve/veya Veri Sahibine bildirmekle yükümlü değildir.
• 4.3 Veri İşlemcisi, gerekirse Kişisel Verilerle bağlantılı ihlal hakkında daha fazla bilgi sağlayacak ve Madde 33 ve 34 Ort.
• 4.4 Veri İşlemcisi, bu bağlamda maruz kaldığı makul maliyetleri o sırada geçerli olan oranlar üzerinden Müşteriden talep edebilir.

Madde 5. Gizlilik

• 5.1 Veri İşleyen, sorumluluğu altında Kişisel Verileri işleyen kişilerin sır saklama yükümlülüğü olduğunu garanti eder.
• 5.2 Veri İşleyen, bir mahkeme kararı, yasal bir düzenleme veya bir resmi makamdan yetkili bir emir uyarınca gerekli olması halinde Kişisel Verileri üçüncü kişilere verme hakkına sahiptir.
• 5.3 Veri İşleyici tarafından Müşteriye sağlanan tüm erişim ve/veya kimlik kodları, sertifikalar, erişim ve/veya şifre politikasına ilişkin bilgiler ve Veri İşleyici tarafından Müşteriye sağlanan ve Data Pro Bildiriminde yer alan teknik ve kurumsal güvenlik önlemlerini uygulayan tüm bilgiler gizlidir. Müşteri tarafından bu şekilde muamele görecek ve yalnızca Müşterinin yetkili çalışanları tarafından bilinecektir. Müşteri, çalışanlarının bu madde kapsamındaki yükümlülüklere uymasını sağlar.

Madde 6. Süre ve fesih

• 6.1 Bu işlemci sözleşmesi, Sözleşmenin bir parçasını oluşturur ve bundan kaynaklanan herhangi bir yeni veya başka sözleşme, Sözleşmenin akdedildiği tarihte yürürlüğe girer ve süresiz olarak sonuçlandırılır.
• 6.2 Bu işlemci sözleşmesi, Sözleşmenin veya taraflar arasındaki herhangi bir yeni veya başka sözleşmenin feshedilmesi üzerine kanunun işleyişi ile sona erer.
• 6.3 İşleme sözleşmesinin sona ermesi durumunda, Veri İşleyici, Data Pro Beyanı'nda yer alan süre içinde sahip olduğu ve Müşteriden aldığı tüm Kişisel Verileri artık kullanılamayacak ve artık kullanılamayacak şekilde silecektir. erişilebilir (erişilemez hale getirir) veya kararlaştırılırsa, makine tarafından okunabilir bir biçimde Müşteriye iade edin.
• 6.4 Veri İşleyen, Madde 6.3 hükümleri kapsamında yaptığı masrafları Müşteri'den talep edebilir. Bununla ilgili diğer anlaşmalar Data Pro Bildiriminde belirtilebilir.
• 6.5 Kanuni bir düzenlemenin Veri İşleyen'in Kişisel Verileri tamamen veya kısmen kaldırmasını veya iade etmesini engellemesi durumunda, Madde 6.3 hükümleri uygulanmaz. Böyle bir durumda Veri İşleyici, Kişisel Verileri yalnızca yasal yükümlülükleri kapsamında gerekli olduğu ölçüde işlemeye devam edecektir. Madde 6.3'ün hükümleri, Veri İşleyicinin Kişisel Verilerle ilgili olarak GDPR anlamında kontrolör olması durumunda da geçerli değildir.

Madde 7. Veri Sahiplerinin Hakları, Veri Koruma Etki Değerlendirmesi (DPIA) ve Denetim Hakları

• 7.1 Veri İşleyici, mümkün olduğunda, Müşteriden, Veri Sahipleri tarafından Müşteriden çağrılan Veri Sahiplerinin haklarıyla ilgili makul taleplerle işbirliği yapacaktır. Veri İşleyene doğrudan bir Veri sahibi yaklaşırsa, bu kişiyi mümkün olduğunda Müşteriye yönlendirecektir.
• 7.2 Müşteri bunu yapmak zorunda kalırsa, Veri İşleyici bir veri koruma etki değerlendirmesi (DPIA) veya Madde 35 ve 36 Ort.
• 7.3 Veri İşleyici, Müşterinin kendisi bunu gerçekleştiremediği sürece, Müşteriden gelen kişisel verilerin kaldırılması talepleri ile işbirliği yapacaktır.
• 7.4 Müşterinin talebi üzerine, Veri İşleyici, bu işleme sözleşmesinde yapılan sözleşmelere uygunluğu göstermek için makul olarak gerekli olan tüm ek bilgileri de sağlayacaktır. Yine de Müşterinin Kişisel Verilerin işleme sözleşmesine uygun olarak işlenmediğine inanmak için bir nedeni varsa, Müşteriye yılda en fazla bir kez, veri türü konusunda kanıtlanabilir deneyime sahip bağımsız, sertifikalı, harici bir uzman tarafından danışılabilir. Sözleşme temelinde gerçekleştirilen işlemler. , masrafları Müşteriye ait olmak üzere bir denetim yaptırın. Denetim, bu İşlemci Sözleşmesinde belirtildiği şekilde Kişisel Verilerin işlenmesine ilişkin sözleşmelere uygunluğu kontrol etmekle sınırlı olacaktır. Uzman, bulduklarına ilişkin olarak bir gizlilik yükümlülüğüne sahip olacak ve yalnızca Veri İşleyicinin bu işlemci sözleşmesi kapsamındaki yükümlülüklerini yerine getirmesinde bir eksiklikle sonuçlanan durumları Müşteriye rapor edecektir. Uzman, raporunun bir kopyasını Veri İşleyiciye verecektir. Veri İşleyici, kendi görüşüne göre, GDPR'yi veya diğer mevzuatı ihlal ediyorsa veya almış olduğu güvenlik önlemlerinin kabul edilemez bir ihlalini teşkil ediyorsa, uzmanın denetimini veya talimatını reddedebilir.
• 7.5 Taraflar, raporun sonuçları hakkında mümkün olan en kısa sürede istişarede bulunacaklardır. Taraflar, makul olarak beklendiği ölçüde, raporda belirtilen önerilen iyileştirme önlemlerini takip edeceklerdir. Veri İşleyici, kendi görüşüne göre uygun olduğu ölçüde önerilen iyileştirme önlemlerini, ürün veya hizmetiyle ilgili işleme risklerini, tekniğin son durumunu, uygulama maliyetlerini, faaliyet gösterdiği pazarı ve ürün veya hizmetin kullanım amacı Hizmet.
• 7.6 Veri İşleyen, bu madde hükümleri kapsamında yaptığı masrafları Müşteri'den talep etme hakkına sahiptir.

Madde 8. Alt İşlemciler

• 8.1 Veri İşlemcisi, Data Pro Bildiriminde, Kişisel Verilerin işlenmesinde Veri İşleyicinin (alt işlemciler veya alt işlemciler) üçüncü şahısların (alt işlemciler veya alt işlemciler) faaliyette bulunup bulunmadığını ve öyleyse hangi üçüncü şahısların faaliyet gösterdiğini belirtmiştir.
• 8.2 Müşteri, Veri İşleyiciye, Sözleşmeden doğan yükümlülüklerini yerine getirmeleri için diğer alt işlemcileri kullanma izni verir.
• 8.3 Veri İşlemcisi, örneğin değiştirilmiş bir Data Pro Beyanı aracılığıyla, Veri İşlemcisi tarafından görevlendirilen üçüncü taraflardaki bir değişiklik hakkında Müşteriyi bilgilendirecektir. Müşteri, Veri İşleyici tarafından yukarıda belirtilen değişikliğe itiraz etme hakkına sahiptir. Veri İşlemcisi, dahil olduğu üçüncü tarafların, Kişisel Verilerin korunmasına ilişkin olarak, Veri İşlemcisinin Data Pro Beyanı temelinde Müşteriye karşı bağlı olduğu güvenlik seviyesiyle aynı güvenlik seviyesini taahhüt etmesini sağlar.

Madde 9. Diğer

Bu Standart İşleme Maddeleri, Data Pro Beyanı ile birlikte Sözleşmenin ayrılmaz bir parçasını oluşturur. Geçerli genel şartlar ve koşullar ve/veya sorumluluk sınırlamaları dahil olmak üzere Sözleşme kapsamındaki tüm haklar ve yükümlülükler, bu nedenle işleme sözleşmesi için de geçerlidir.