Veri işleme sözleşmesi
Maddeye göre Art. 28 Abs. 3 DSGVO
Örnek GmbH
Musterstr. 1
12345 Musterstadt
nachfolgend „Auftraggeber“
und
Maisonpure GmbH
Bismarckstr 55
41747 Viersen
nachfolgend „Maisonpure GmbH“
1. Sözleşmenin genel hükümleri ve konusu
1.1 Bu sözleşmenin konusu, Maisonpure GmbH tarafından müşteri adına kişisel verilerin işlenmesidir (GDPR Madde 28). GDPR Madde 4 No. 7 anlamında veri sorumlusu müşteridir.
1.2 Sözleşmenin içeriği, veri sahibi kategorileri ve veri türleri ile sözleşmenin amacı Ek 1'de belirtilmiştir.
1.3 Maisonpure GmbH tarafından veri işleme, yalnızca Almanya Federal Cumhuriyeti, Avrupa Birliği üye devleti veya Avrupa Ekonomik Alanı Anlaşması'nın taraf devleti topraklarında gerçekleşir. Bu devletler dışında işleme, yalnızca GDPR'nin 5. Bölümü (Madde 44 ve sonrası) koşulları altında ve müşterinin önceden verdiği onay veya talimatlarla gerçekleşir.
2. Sözleşme süresi ve feshi
Bu sözleşme süresiz olarak akdedilmiştir ve her iki tarafça da üç ay önceden bildirimle feshedilebilir. Haklı sebeple olağanüstü fesih hakkı saklı kalır. Ek 1'de açıklanan verilerin bu sözleşmenin feshedilmesinden sonra da işlenmeye devam etmesi halinde, bu sözleşme, işleme durdurulana kadar söz konusu işleme uygulanmaya devam edecekt
3. Müşteriden gelen talimatlar
3.1 Müşteri, veri işleme türü, kapsamı ve yöntemleri konusunda Maisonpure GmbH'ye talimat verme konusunda kapsamlı haklara sahiptir. Maisonpure GmbH, müşteriden gelen bir talimatın yasal düzenlemeleri ihlal ettiğine inanıyorsa, müşteriyi derhal bilgilendirecektir. Maisonpure GmbH, objektif olarak doğrulanabilir nedenlerle yasallığından şüphe duyduğu bir talimat verilirse, müşteri açıkça onaylayana veya değiştirene kadar talimatın uygulanmasını geçici olarak askıya alma hakkına sahiptir. Talimatın uygulanmasıyla Maisonpure GmbH'nin bir sorumluluk riskiyle karşı karşıya kalma veya başka zararlara uğrama olasılığı varsa, sorumluluk sorunu şirket içinde açıklığa kavuşturulana kadar veya müşteri Maisonpure GmbH'ye zarar gelmesini önlemek için başka uygun bir güvence sağlayana kadar talimatın uygulanması askıya alınabilir.
3.2 Müşterinin talimatlarından saparak veya müşteri talimatları olmadan gerçekleştirilen veri işleme, yalnızca Maisonpure GmbH'nin veri işleme yükümlülüğünün bulunduğu Avrupa Birliği veya ilgili Üye Devletlerin yasaları uyarınca veriyi işlemesi halinde izin verilir. Bu tür bir işleme durumunda, Maisonpure GmbH, ilgili Avrupa Birliği veya Üye Devlet yasası önemli bir kamu yararı nedeniyle bu tür bir bildirimi yasaklamadığı sürece, müşteriyi planlanan veya halihazırda başlatılan işlem hakkında derhal bilgilendirecektir; bu durumda, yasal engeller ortadan kalktıktan hemen sonra bildirim yapılacaktır.
3.3 Talimatlar genel olarak yazılı veya elektronik formatta (örneğin e-posta yoluyla) verilmelidir. Sözlü talimatlar, haklı gerekçelerle bireysel durumlarda verilebilir ve müşteri tarafından derhal yazılı veya elektronik formatta teyit edilmelidir. Teyit, yazılı talimatın neden mümkün olmadığını açıkça belirtmelidir. Müşteri, sözlü talimatı veren kişiyi, tarihi ve saati uygun bir şekilde belgelemelidir.
3.4 Maisonpure GmbH'nin talebi üzerine, müşteri talimat verme yetkisine sahip bir veya daha fazla kişiyi atayacaktır. Personeldeki herhangi bir değişiklik derhal Maisonpure GmbH'ye bildirilmelidir.
4. Müşterinin kontrol yetkileri
4.1 Müşteri, veri işlemeye başlamadan önce ve sözleşme süresi boyunca, gerektiği ölçüde, yasal ve sözleşmesel veri koruma ve veri güvenliği düzenlemelerine uyumu düzenli olarak izleme hakkına sahiptir. Maisonpure GmbH, müşteri veya müşteri tarafından görevlendirilen başka bir denetçi tarafından gerçekleştirilen bu kontrolleri (denetimler dahil) kolaylaştıracak ve bunlara katkıda bulunacaktır.
4.2 Müşteri, kontrol önlemlerinin orantılı olmasını ve iş operasyonlarında gereksiz aksamalara yol açmamasını sağlamalıdır. Kural olarak, denetim, önceden bildirimde bulunulması denetimin amacını tehlikeye atmadığı sürece, yalnızca önceden bildirimde bulunulduktan sonra yapılmalıdır. Müşteri bir denetçi atarsa, bu denetçi Maisonpure GmbH ile doğrudan rekabet halinde olmamalıdır.
4.3 Denetim sonuçları müşteri tarafından uygun bir şekilde kayıt altına alınmalıdır.
4.4 Maisonpure GmbH, GDPR Madde 28'de belirtilen yükümlülüklere uyumu göstermek için gerekli tüm bilgileri müşteriye sağlamayı taahhüt eder.
5. Maisonpure GmbH'nin Genel Yükümlülükleri
5.1 Maisonpure GmbH, bu sözleşme kapsamındaki verileri yalnızca sözleşme hükümlerine ve müşterinin verdiği talimatlara uygun olarak işler. Bundan farklı herhangi bir işleme, yalnızca Maisonpure GmbH'nin Avrupa Birliği veya üye devletlerinin yasaları uyarınca verileri işlemekle yükümlü olması durumunda izin verilir. Bu tür bir işleme durumunda, Maisonpure GmbH, ilgili Avrupa Birliği veya üye devlet yasası önemli bir kamu yararı nedeniyle bu tür bir bildirimi yasaklamadığı sürece, müşteriyi planlanan veya halihazırda başlatılan işlem hakkında derhal bilgilendirecektir; bu durumda, yasal engeller ortadan kalktıktan hemen sonra bildirim yapılacaktır.
5.2 Maisonpure GmbH, kişisel verileri işleme yetkisine sahip kişilerin gizlilik taahhüdünde bulunduklarından veya uygun bir yasal gizlilik yükümlülüğüne tabi olduklarından emin olmalıdır (GDPR Madde 28, paragraf 3, bent b). Gizlilik yükümlülüğüne tabi olmadan önce, ilgili kişilerin müşteri tarafından sağlanan kişisel verilere erişimi olmamalıdır.
6. Teknik ve organizasyonel önlemler
Maisonpure GmbH, uygun bir koruma seviyesi sağlamak için gerekli teknik ve organizasyonel önlemleri almış ve bunları bu sözleşmenin Ek 2'sinde belirtmiştir. Burada açıklanan önlemler, GDPR Madde 32'nin gerekliliklerine uygun olarak seçilmiştir. Maisonpure GmbH, teknik ve organizasyonel önlemleri düzenli olarak gözden geçirecek ve gerektiğinde uyarlayacaktır.
7. Maisonpure GmbH'nin destek yükümlülükleri
7.1 Maisonpure GmbH, GDPR Madde 28, Paragraf 3, e bendi uyarınca, sözleşmenin niteliğini dikkate alarak, mümkün olduğunca uygun teknik ve organizasyonel önlemlerle, GDPR'nin III. Bölüm, 12-22. Maddelerinde belirtilen veri sahiplerinin haklarını kullanma taleplerine yanıt verme yükümlülüğünü yerine getirmesinde müşteriyi desteklemeyi taahhüt eder. Bu, özellikle kişisel verilerin bilgilendirilmesi ve silinmesi, düzeltilmesi veya işlenmesinin kısıtlanması için geçerlidir.
7.2 Maisonpure GmbH, ayrıca GDPR Madde 28, paragraf 3, bent f uyarınca, müşteriye GDPR Madde 32-36 kapsamındaki yükümlülükleri (özellikle bildirim yükümlülükleri) konusunda destek sağlayacaktır. Bu destek yükümlülüklerinin kapsamı, işlemenin niteliği ve Maisonpure GmbH'nin sahip olduğu bilgiler dikkate alınarak, her bir durum için ayrı ayrı belirlenecektir.
8. Alt yüklenicilerin (taşeronların) kullanımı
8.1 Maisonpure GmbH, alt yüklenicilerden (taşeronlardan) yararlanma hakkına sahiptir. Bu sözleşmenin imzalandığı tarihte Maisonpure GmbH'nin mevcut tüm taşeronluk ilişkileri, Ek 3'te bu sözleşmeye kesin olarak eklenmiştir. Ek 3'te listelenen taşeronlar için, bu sözleşmenin imzalanmasıyla birlikte onay verilmiş sayılır.
8.2 Maisonpure GmbH, ek alt yüklenicilerle çalışmayı planlıyorsa, bu durumu müşteriye yazılı veya elektronik olarak zamanında – ancak işe alımdan en geç iki hafta önce – bildirecektir. Bu bildirimden sonra, müşteri alt yüklenici(ler)in işe alınmasına itiraz etmek için iki hafta süreye sahiptir. Bu süre içinde herhangi bir itiraz alınmazsa, alt yüklenici(ler)in işe alınması onaylanmış sayılır. Acil durumlarda (örneğin, kısa süreli hata analizleri veya kusur giderme işlemleri için), Maisonpure GmbH, alt yükleniciler için bildirim ve itiraz süresini uygun şekilde kısaltabilir. Belirtilen süre içinde bir itiraz alınırsa, söz konusu alt yükleniciler işe alınmayabilir. İtirazlar yalnızca meşru bir neden varsa mümkündür ve bu neden itiraz bildirimine dahil edilmelidir.
8.3 Alt yükleniciler, Maisonpure GmbH tarafından yasal ve sözleşmesel gerekliliklere uygun olarak seçilir. Veri işleyici (Maisonpure GmbH) ile alt yükleniciler arasındaki tüm sözleşmeler (alt yüklenici sözleşmeleri), veri sorumlusu adına kişisel verilerin işlenmesini düzenleyen yasal düzenlemelere uygun olmalıdır; bu, özellikle alt yüklenicinin tesislerinde GDPR Madde 32 uyarınca uygun teknik ve organizasyonel önlemlerin uygulanması için geçerlidir. Maisonpure GmbH'nin ticari faaliyetlerini yürütmek için kullandığı yardımcı hizmetler, GDPR Madde 28 anlamında alt yüklenicilik ilişkisi oluşturmaz. Bu anlamda yardımcı hizmetler, özellikle ana hizmetle doğrudan bağlantısı olmayan telekomünikasyon hizmetleri, posta ve ulaşım hizmetleri ve ana hizmetle doğrudan bağlantısı olmayan donanım ve yazılımın gizliliğini ve/veya bütünlüğünü sağlamayı amaçlayan diğer önlemleri içerir. Bununla birlikte, Maisonpure GmbH, bu üçüncü taraf hizmetleri için de yasal veri koruma standartlarına uyumu sağlayacaktır (özellikle uygun gizlilik sözleşmeleri aracılığıyla).
8.4 Maisonpure GmbH ile alt yüklenici arasındaki tüm sözleşmeler (alt yüklenicilik sözleşmeleri), bu sözleşmenin ve veri sorumlusu adına kişisel verilerin işlenmesini düzenleyen yasal mevzuatın gerekliliklerine uygun olmalıdır.
8.5 Üçüncü ülkelerdeki alt yüklenicilerin kullanımı, yalnızca GDPR'nin 44 ve sonraki maddelerinin yasal gereklilikleri karşılandığı ve veri sorumlusunun onay verdiği durumlarda mümkündür.
9. Maisonpure GmbH'nin bildirim yükümlülükleri
9.1 Bu sözleşmenin, müşterinin talimatlarının veya diğer veri koruma düzenlemelerinin herhangi bir ihlali derhal müşteriye bildirilmelidir; aynı durum, ilgili ve sağlam temellere dayanan bir şüphe durumunda da geçerlidir. Bu yükümlülük, ihlalin Maisonpure GmbH'nin kendisi, Maisonpure GmbH tarafından istihdam edilen bir kişi, bir alt yüklenici veya Maisonpure GmbH tarafından sözleşmesel yükümlülükleri yerine getirmek üzere görevlendirilen herhangi bir başka kişi tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın geçerlidir.
9.2 Bir veri sahibi, kamu otoritesi veya başka bir üçüncü taraf Maisonpure GmbH'den bilgi, düzeltme, işleme kısıtlaması veya silme talebinde bulunursa, Maisonpure GmbH talebi derhal müşteriye iletecek ve onlarla birlikte daha fazla işlem için koordinasyon sağlayacaktır.
9.3 Maisonpure GmbH, yetkili bir makam tarafından alınacak ve müşterinin sağladığı kişisel verilerin işlenmesini, kullanımını veya toplanmasını etkileyebilecek denetim eylemleri veya diğer önlemler söz konusu olduğunda müşteriyi derhal bilgilendirecektir. Ayrıca, Maisonpure GmbH, bu sözleşme kapsamındaki verileri tehlikeye atabilecek veya zarar verebilecek üçüncü şahısların herhangi bir olayını veya eylemini de müşteriye derhal bildirmekle yükümlüdür.
10. Sözleşmenin feshi, verilerin silinmesi ve iadesi
Maisonpure GmbH, işleme hizmetlerinin tamamlanmasının ardından, müşterinin tercihine bağlı olarak, sözleşmeye konu tüm kişisel verileri silmeyi veya iade etmeyi ve mevcut tüm kopyaları silmeyi taahhüt eder; ancak, Avrupa Birliği hukuku veya üye devletlerin hukuku uyarınca kişisel verilerin saklanması zorunluluğu varsa bu durum geçerli değildir.
11. Veri gizliliği ve mahremiyeti
Maisonpure GmbH, bu sözleşmenin sona ermesinden sonra da, bu sözleşme ilişkisi kapsamında elde edilen kişisel verileri süresiz olarak gizli tutmakla yükümlüdür. Özellikle, Maisonpure GmbH, kendisine emanet edilen verilerin yetkisiz üçüncü şahıslara açıklanmamasını sağlamak için uygun önlemleri almalıdır; kendi faaliyetleri kapsamında, verilerin yalnızca görevlerini yerine getirmek için verilere ihtiyaç duyan kişilere açıklanmasını (bilme gerekliliği ilkesi) uygun önlemlerle sağlamalıdır. Maisonpure GmbH, çalışanlarını ilgili veri koruma düzenlemeleri ve gizlilik kuralları konusunda bilgilendirmeyi ve Maisonpure GmbH'de işe başlamadan önce gizlilik yükümlülüğüne bağlamayı taahhüt eder.
12. Sorumluluk
12.1 Veri işleme/sorumluluğa yol açan önlem, müşterinin talimatı sonucunda gerçekleştirilmişse, Maisonpure GmbH müşteriye karşı içsel olarak sorumlu tutulamaz. Aynı durum, müşteriyle kararlaştırılan önlemler için de geçerlidir (örneğin, GDPR Madde 32 uyarınca teknik ve organizasyonel önlemler). Bu, sözleşmeye müşterinin talebi üzerine bir hüküm eklenmişse de geçerlidir.
12.2 Müşteri, adına işlenen verilerin ilk toplanmasının yasal olmasını sağlamaktan sorumludur. Özellikle, müşteri gerekli tüm onayları eksiksiz ve doğru bir şekilde almalıdır. Maisonpure GmbH bu yükümlülüğün ihlali nedeniyle dışsal olarak sorumlu tutulursa, müşteri Maisonpure GmbH'ye karşı içsel olarak sorumlu tutulacak ve Maisonpure GmbH'yi ortaya çıkan zararlara karşı tazmin edecektir.
12.3 Aksi takdirde, yasal sorumluluk hükümleri (özellikle GDPR Madde 82) etkilenmeden kalır.
13. Son Hükümler
13.1 Bu sözleşmede yapılacak değişiklikler ve ek anlaşmalar, bu şartları ve koşulları değiştirmeyi veya tamamlamayı amaçladıklarını ve bu değişikliklerin veya eklemelerin neler olduğunu açıkça belirterek yazılı veya elektronik biçimde yapılmalıdır.
13.2 Sözleşme tarafları tacir, kamu hukuku tüzel kişiliği veya kamu hukuku kapsamında özel fon ise, bu sözleşmeden doğan tüm ihtilaflar için yetkili mahkeme yeri Maisonpure GmbH'nin kayıtlı merkezi olacaktır; münhasır yetkili mahkeme yerleri bundan etkilenmez.
13.3 Bu sözleşmenin süresi boyunca GDPR veya atıfta bulunulan diğer yasal düzenlemelerde değişiklik olması durumunda, buradaki atıflar ilgili halef düzenlemeler için de geçerli olacaktır.
13.4 Bu sözleşmenin herhangi bir hükmü geçersiz olursa veya geçersiz hale gelirse, kalan hükümlerin geçerliliği bundan etkilenmez.
13.5 Bu sözleşmenin tüm ekleri, sözleşmenin ayrılmaz bir parçasını oluşturur.
Yer, Tarih, İmza (Müşteri)
Yer, Tarih, İmza (Maisonpure GmbH)