EarthTV KSA, LLC, merkezi Almanya’da bulunan earthTV network GmbH’nin bir yan kuruluşudur, bu web sitesi earthTV network GmbH tarafından EarthTV KSA, LLC için yönetilmekte ve işletilmektedir. Avrupa’da içerik üretiyor ve veri işliyoruz ve bu nedenle, görüntülemekte olduğunuz ve aşağıda açıklandığı gibi web sitelerini işletmek için Avrupa Birliği’nin tüm yasal standartlarına uymayı taahhüt ediyoruz.
Web Sitesi Veri İşleyen Sözleşmesi ile arasında
VERİ KATILIMCISI
– bundan sonra da: “KONTROLÖR” –
ve
earthTV network GmbH
– bundan sonra da: “İŞLEMCİ” –
1. Önsöz
Taraflar, İşbirliği ve Lisans Sözleşmesi’ni (bundan böyle “SÖZLEŞME” olarak anılacaktır) imzalamışlardır. Taraflar, AB Genel Veri Koruma Yönetmeliği (bundan böyle “GDPR” olarak anılacaktır) ve Alman Federal Veri Koruma Yasası (Bundesdatenschutzgesetz, BDSG) hükümleri uyarınca ve bunlardan kaynaklanan hak ve yükümlülükleri belirlemek için aşağıdaki Veri İşleme Sözleşmesini (bundan böyle “DPA” olarak anılacaktır) imzalamışlardır. Tarafların SÖZLEŞMESİ’nin amacına yönelik veri işlemenin ortak bir kontrol oluşturması durumunda (GDPR Madde 26), taraflar bu tür bir ortak kontrol hakkında ek bir SÖZLEŞME yapacaktır.
2. Kapsam
2.1 İşbu SÖZLEŞME, SÖZLEŞME’nin konusu olan ve/veya SÖZLEŞME’nin KONTROL EDEN adına uygulanması sırasında sırasıyla İŞLEYEN tarafından işlenen GDPR kapsamındaki tüm kişisel verilerin (bundan böyle “VERİ” veya “KİŞİSEL VERİLER” olarak anılacaktır) toplanması, işlenmesi ve silinmesi (bundan böyle “SÖZLEŞME İŞLEMLERİ” olarak anılacaktır) için geçerlidir. İşlemenin konusu ve süresi ile VERİ’lerin öngörülen işlenmesinin kapsamı, niteliği ve amacı SÖZLEŞME’nin yanı sıra bu DPA ile belirlenecektir.
| İşleme türü | depolama, iletim yoluyla ifşa, VERİLERİN kullanımı |
| KİŞİSEL VERİ TÜRÜ | çevrimiçi kullanım verileri (IP adresi), iletişim verileri, KİŞİSEL VERİLER ile resimler / videolar |
| Veri sahibi kategorileri | çevrimiçi kullanıcılar, çalışanlar, kameraların önünden geçen kişiler |
| Veri İşleme Amaçları | SÖZLEŞME kapsamındaki yükümlülüklerin ve hizmetlerin yerine getirilmesi, pazarlama ve kalite güvencesi veya KONTROL EDEN tarafından makul olarak daha fazla talimat verilmesi |
2.2 İŞLETMECİ, VERİLERİ KONTROLÖR adına işleyecektir. Söz konusu SÖZLEŞME İŞLEMLERİ, SÖZLEŞME’de ayrıntıları verilen tüm faaliyetleri içerecektir. Bu DPA kapsamında, VERİLERİN KONTROLÖR tarafından İŞLETMECİ’ye yasal olarak ifşa edilmesi ve aktarılması dahil ancak bunlarla sınırlı olmamak üzere, veri korumaya ilişkin yürürlükteki yasal gereklilikler kapsamındaki yükümlülüklerine uymaktan yalnızca KONTROLÖR sorumlu olacaktır.
2.3 KONTROL EDEN’in KİŞİSEL VERİLERİN SÖZLEŞME KAPSAMINDA İŞLENMESİNE ilişkin bireysel talimatları, başlangıçta SÖZLEŞME’de detaylandırıldığı şekilde olacaktır. KONTROLÖR, daha sonra, yazılı olarak veya makine tarafından okunabilir bir formatta (metin biçiminde), KİŞİSEL VERİLERİN SÖZLEŞME İŞLEMİNE ilişkin bu tür bireysel talimatları, İŞLETMECİ tarafından belirlenen irtibat noktasına bu tür talimatlar vererek değiştirme, tadil etme veya değiştirme hakkına sahip olacaktır.
3. İŞLEMCİ’nin Yükümlülükleri
3.1 GDPR Madde 28 paragraf (3) lit. (a) tarafından açıkça izin verilen durumlar haricinde, PROCESSOR veri sahiplerinin VERİLERİNİ yalnızca SÖZLEŞME ve KONTROLÖR tarafından verilen talimatlar kapsamında işleyecektir. PROCESSOR’un bir talimatın yürürlükteki yasayı ihlal edeceğine inandığı durumlarda, PROCESSOR bu inancını gecikmeksizin KONTROLÖR’e bildirecektir. PROCESSOR, KONTROLÖR söz konusu talimatı onaylayana veya değiştirene kadar söz konusu talimatın ifasını askıya alma hakkına sahip olacaktır.
3.2 PROCESSOR, PROCESSOR’un sorumluluk kapsamı dahilinde, PROCESSOR’un iç organizasyonunu veri korumanın özel gerekliliklerini karşılayacak şekilde düzenleyecektir. PROCESSOR, KONTROL EDEN’in VERİLERİNİN yeterli düzeyde korunmasını sağlamak için teknik ve organizasyonel önlemler uygulayacaktır; bu önlemler GDPR’nin ve özellikle 32. maddesinin gerekliliklerini yerine getirecektir. İŞLETMECİ, işleme sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlayan teknik ve organizasyonel önlemler ve güvenceler uygulayacak ve işlemenin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etmek, değerlendirmek ve değerlendirmek için bir süreç uygulayacaktır. KONTROL EDEN bu teknik ve organizasyonel önlemlere aşinadır ve bu önlemlerin riske uygun bir güvenlik seviyesi sağlaması KONTROL EDEN’in sorumluluğunda olacaktır. İŞLETMECİ, KONTROL EDEN’in makul talebi üzerine uygulanan teknik ve organizasyonel önlemlerin ayrıntılarını sağlayacaktır.
3.3 İŞLETMECİ, uygulanan önlemleri ve koruma tedbirlerini değiştirme hakkını saklı tutar, ancak güvenlik seviyesi başlangıçta kararlaştırılandan daha az koruyucu olmayacaktır.
3.4 İŞLETMECİ, taraflarca mutabık kalındığı ölçüde ve İŞLETMECİ için mümkün olduğu ölçüde, GDPR’nin III. bölümünde ayrıntılı olarak belirtildiği üzere veri sahiplerinin talep ve isteklerini yerine getirme ve GDPR’nin 32 ila 36. maddelerinde belirtilen yükümlülükleri yerine getirme konusunda KONTROLÖR’ü destekleyecektir.
3.5 İŞLETMECİ, KONTROL EDEN’in VERİLERİNİN SÖZLEŞME İŞLEMİNE dahil olan tüm çalışanların ve İŞLETMECİ’nin sorumluluk kapsamı dahilinde SÖZLEŞME İŞLEMİNE dahil olabilecek diğer kişilerin bunu yalnızca talimatlar kapsamında yapmasını sağlayacaktır. Ayrıca, İŞLETMECİ, KONTROLÖR adına VERİ işleme yetkisine sahip herhangi bir kişinin SÖZLEŞME’nin gizlilik şartlarına benzer şartlar altında gizlilik taahhüdünde bulunmasını sağlayacaktır. Tüm bu gizlilik yükümlülükleri, söz konusu SÖZLEŞME İŞLEMİNİN feshi veya sona ermesinden sonra da devam edecektir.
3.6 PROCESSOR, PROCESSOR’un sorumluluk kapsamı dahilinde herhangi bir VERİ ihlalinden haberdar olması halinde, KONTROLÖR’ü gecikmeksizin bilgilendirecektir.
3.7 İŞLETMECİ, VERİLERİN güvenliğini sağlamak ve veri sahibi için olası olumsuz sonuçları hafifletmek için gerekli önlemleri uygulayacaktır; İŞLETMECİ bu çabaları gereksiz gecikme olmaksızın KONTROLÖR ile koordine edecektir.
3.8 Taraflardan her biri, SÖZLEŞME’den kaynaklanan veya SÖZLEŞME ile bağlantılı olarak ortaya çıkan veri koruma ile ilgili herhangi bir sorun için irtibat noktasını diğer tarafa bildirecektir.
3.9 İŞLETMECİ, KONTROL EDEN tarafından bu şekilde talimat verilmesi halinde ve izin verilen talimatların kapsamı dahilinde VERİLERİ düzeltecek veya silecektir. Veri koruma gerekliliklerine uygun bir silme işleminin ya da buna uygun bir işleme kısıtlamasının mümkün olmadığı durumlarda, İŞLETMECİ, KONTROL EDEN’in talimatlarına dayanarak ve SÖZLEŞME’de farklı bir şekilde kararlaştırılmadıkça, veri koruma gerekliliklerine uygun olarak tüm taşıyıcı medyayı ve diğer materyalleri imha edecek ya da bunları KONTROL EDEN’e iade edecektir.
3.10 KONTROLÖR tarafından belirlenen özel durumlarda, bu tür VERİLER saklanacak veya teslim edilecektir. İşleyici, aksi yazılı olarak kararlaştırılmadıkça, bunu yapmak için makul tutarlar dahilinde ilgili maliyete ve koruyucu önlemleri uygulamaya koyma hakkına sahip olacaktır.
3.11 İŞLETMECİ, SÖZLEŞME İŞLEMİNİN sona ermesi üzerine ve KONTROLÖR’ün talimatı üzerine, tüm VERİ, taşıyıcı medya ve diğer materyalleri KONTROLÖR’e iade edecek veya silecektir.
3.12 Bir veri sahibinin Madde 82 uyarınca CONTROLLER’a karşı herhangi bir talepte bulunması durumunda. 82 GDPR uyarınca, İŞLETMECİ bu tür taleplere karşı savunmada KONTROL EDİCİ’yi destekleyecektir.
4. KONTROL EDEN’in Yükümlülükleri
4.1 KONTROLÖR, PROCESSOR’un çalışmasının sonuçlarında KONTROLÖR tarafından tespit edilen veri koruma hükümlerine ilişkin herhangi bir kusur veya düzensizliği gecikmeksizin ve kapsamlı bir şekilde PROCESSOR’a bildirecektir.
4.2 Yukarıdaki Bölüm 2.12, mutatis mutandis, veri sahipleri tarafından GDPR Madde 82 uyarınca İŞLETMECİ’ye karşı ileri sürülen talepler için geçerli olacaktır.
4.3 KONTROLÖR, SÖZLEŞME’den kaynaklanan veya SÖZLEŞME ile bağlantılı olarak ortaya çıkan veri koruma ile ilgili her türlü sorun için irtibat noktasını İŞLETMECİ’ye bildirecektir.
5. VERİ Konuları Tarafından Yapılan Soruşturmalar
5.1 Bir veri sahibinin PROCESSOR’a karşı düzeltme, silme veya erişim taleplerinde bulunduğu ve PROCESSOR’un veri sahibi tarafından sağlanan bilgilere dayanarak veri sahibini CONTROLLER ile ilişkilendirebildiği durumlarda, PROCESSOR söz konusu veri sahibini CONTROLLER’a yönlendirecektir. İŞLETMECİ, veri sahibinin talebini gecikmeksizin KONTROL EDEN’e iletecektir. İŞLETMECİ, mümkün olduğunda ve üzerinde mutabık kalındığı ölçüde KONTROLÖR’ün talimatına dayanarak KONTROLÖR’ü destekleyecektir. İŞLETMECİ, CONTROLLER’ın veri sahibinin talebine eksiksiz, doğru ya da zamanında yanıt vermediği durumlarda sorumlu olmayacaktır.
6. Dokümantasyon için Seçenekler
6.1 PROCESSOR, bu DPA’da kararlaştırılan yükümlülüklere PROCESSOR’un uyduğunu uygun önlemlerle belgeleyecek ve KONTROL EDEN’e kanıtlayacaktır.
6.2 Münferit durumlarda, KONTROLÖR veya KONTROLÖR tarafından atanan bir denetçi tarafından denetim ve teftişlerin gerekli olduğu hallerde, bu denetim ve teftişler önceden bildirimde bulunularak normal çalışma saatleri içinde ve PROCESSOR’un faaliyetlerine müdahale edilmeden gerçekleştirilecektir. PROCESSOR ayrıca, bu tür denetim ve teftişlerin önceden bildirime ve diğer müşterilerin verilerini ve uygulanan teknik ve organizasyonel önlemlerin ve koruma tedbirlerinin gizliliğini koruyan bir gizlilik taahhüdünün yerine getirilmesine tabi olduğunu belirleyebilir. PROCESSOR, PROCESSOR’un rakibi olan denetçileri reddetme hakkına sahip olacaktır. KONTROLÖR, PROCESSOR’un denetim raporunun bir kopyasını KONTROLÖR’e vermesi koşuluyla, PROCESSOR tarafından bağımsız bir dış denetçi atanmasına muvafakat eder.
6.3 İŞLETMECİ, taraflarca aksi yazılı olarak kararlaştırılmadıkça, KONTROLÖR’den denetimlerin yürütülmesindeki desteği için makul masrafların geri ödenmesini talep etme hakkına sahip olacaktır. İŞLETMECİ, aksi kararlaştırılmadıkça, bu tür denetimler için harcadığı zaman ve çabayı takvim yılı başına bir günle sınırlandırmaya çalışacaktır.
6.4 Bir veri koruma veya diğer ilgili denetim makamının bir denetim gerçekleştirmesi halinde, yukarıdaki 5.2. bölüm mutatis mutandis uygulanır. Söz konusu denetim makamının, ihlali yürürlükteki ceza kanunu kapsamında yaptırıma tabi olan mesleki veya yasal gizlilik yükümlülüklerine tabi olması halinde, bir gizlilik taahhüdünün yerine getirilmesi gerekli olmayacaktır.
7. Alt işlemciler
7.1 KONTROLÖR, PROCESSOR’un PROCESSOR’un Gizlilik Politikası ‘nda listelenen alt yüklenicileri SÖZLEŞME’nin ifasıyla bağlantılı olarak kullanmasına izin verir.
7.2 PROCESSOR, başka alt yükleniciler kullanmadan önce KONTROLÖR’ün ön onayını alacaktır. PROCESSOR, CONTROLLER’a yeni alt yüklenicilerle ilgili bilgileri en azından metin biçiminde (örneğin e-posta veya kullanıcı hesabı yoluyla) sağlayacaktır. KONTROLÖR, PROCESSOR’un önceki cümleye uygun bildirimini aldıktan sonra 2 hafta içinde derhal yazılı olarak bildirimde bulunarak PROCESSOR’un yeni bir alt yüklenici kullanmasına itiraz edebilir, ancak bu itiraz PROCESSOR’a makul olmayan bir şekilde yük getirmeyecektir (makul bir ret, AB Genel Veri Koruma Mevzuatına (GDPR) ve KİŞİSEL VERİLERİN korunmasına yönelik yürürlükteki yasalara ve eylemlere uyumla ilgili önemli nedenler teşkil eder.
7.3 PROCESSOR’un alt yüklenicileri görevlendirdiği durumlarda, PROCESSOR, PROCESSOR’un SÖZLEŞME ve bu DPA’dan kaynaklanan veri koruma yükümlülüklerinin alt yükleniciler için geçerli ve bağlayıcı olmasını sağlamaktan sorumlu olacaktır.
7.4 PROCESSOR, KİŞİSEL VERİLERİ Avrupa Ekonomik Alanı dışına yalnızca PROCESSOR’un söz konusu aktarımla ilgili olarak yeterli güvenlik önlemlerini sağlama konusunda yürürlükteki veri koruma yasaları kapsamındaki yükümlülüklerine uyduğu durumlarda aktaracaktır.
8. NİHAİ HÜKÜMLER
8.1 VERİ, PROCESSOR’un kontrolündeyken üçüncü taraflarca arama ve el koyma, haciz emri, iflas veya ödeme aczi işlemleri sırasında el koyma veya benzer olaylara veya önlemlere maruz kaldığında, PROCESSOR, CONTROLLER’ı bu tür bir eylemden gecikmeksizin haberdar edecektir. PROCESSOR, söz konusu eylemden etkilenen tüm verilerin CONTROLLER’ın tek mülkiyetinde ve sorumluluk alanında olduğunu, verilerin CONTROLLER’ın tek tasarrufunda olduğunu ve CONTROLLER’ın GDPR anlamında sorumlu kurum olduğunu ilgili tüm taraflara gecikmeksizin bildirecektir.
8.2 Herhangi bir ihtilaf durumunda, bu DPA’nın veri koruma düzenlemeleri SÖZLEŞME’nin düzenlemelerine göre öncelikli olacaktır. Bu DPA’nın münferit düzenlemelerinin geçersiz veya uygulanamaz olduğu durumlarda, bu DPA’nın diğer düzenlemelerinin geçerliliği ve uygulanabilirliği etkilenmeyecektir.
8.3 Bu DPA, Almanya yasalarına tabidir ve taraflar, bu DPA’dan kaynaklanan veya bu DPA ile bağlantılı olarak ortaya çıkan her türlü ihtilaf için Berlin/Almanya mahkemelerinin münhasır yargı yetkisini kabul eder.