Kişisel Veriler ve Genel Gizlilik Sözleşmesi

VERİ İŞLEME EK SÖZLEŞMESİ

Son Güncelleme: 21.10.2020

Bu Veri İşleme Ek Sözleşmesi (bu “Ek Sözleşme”) crnagorahosting.net, Doo ile Ortakları (“CrnaGoraHosting”) ile siz (“Müşteri”) arasında gerçekleştirilmiş olup, Evrensel Hizmet Koşulları, Gizlilik Politikası ve tüm Kapsanan Hizmetler (topluca, “Hizmet Şartları”) maddelerine ek olarak getirilmiştir ve bu maddeleri tamamlamaktadır.  Bu Ek Sözleşmede aksi belirtilmedikçe, bu Ek Sözleşmede tanımlanmayan tüm büyük harfle yazılmış terimler, Hizmet Şartlarında kendilerine verilen anlamlara sahip olacaktır.

1. Tanımlar

“Ortaklar” CrnaGoraHosting ile ortak denetimde olan, tarafından denetilen veya deneten her türlü varlık anlamına gelir.

"CCPA”, Kaliforniya Tüketici Gizlilik Yasası (Cal. Civ. Code 1798.100 et seq.) anlamına gelmekte olup, söz konusu yasada gerçekleştirilen ve işbu Veri İşleme Ek Sözleşmesi’nin yürürlüğe girdiği tarihte veya sonrasında geçerli olan her türlü tadili ve uygulanmakta olan düzenlemeyi içermektedir.

“Kapsanan Hizmetler” Kişisel Verilerin İşlenmesini içerebilecek, size sunduğumuz tüm hizmetler.

“Müşteri Verileri” CrnaGoraHosting tarafından, CrnaGoraHosting Ağı dahilinde, Hizmet Şartları’nı takiben veya bu Şartlarla bağlantılı olarak Müşteri adına İşlenen tüm Veri Öznesi Kişisel Verileridir.

“Veri Denetleyicisi” Kişisel Verilerin İşlenmesi amaçları ve yöntemlerini belirleyen varlık olarak Müşteri anlamına gelir.

“Veri İşleyicisi”, Veri Denetçisi adına Kişisel Verileri İşleyen varlık veya CCPA tarafından tanımlanan terim olan hizmet sağlayıcısı olarak CrnaGoraHosting şirketi anlamına gelir.

“Veri Koruma Yasaları”; Sözleşme tahtında Kişisel Verilerin İşlenmesi için geçerli olan tüm veri koruma veya gizlilik yasaları ile düzenlemeleri anlamında gelir ve bunlara şu yasa ve düzenlemeler de dahildir: CCPA (Kaliforniya Tüketici Gizliliği Yasası), (ii) GDPR (Genel Veri Koruma Yönetmeliği), (iii) AB e-Gizlilik Direktifi (2002/58/EC numaralı direktif), (iv) (ii) veya (iii) tahtında ya da bunlar uyarınca uygulanan tüm ulusal veri koruma yasaları, (v) 19 Haziran 1992 İsviçre Federal Veri Koruma Yasası ve İlgili Kararname ile (vi) Birleşik Krallık’a istinaden, 2018 Veri Koruma Yasası 2018 ve Birleşik Krallık’ın Avrupa Birliği’nden ayrılması sonucunda yerel hukuk kapsamında değişen veya dönüştürülen geçerli her türlü mevzuat, GDPR ya da veri ve gizliliğe ilişkin diğer her türlü yasa.

“Veri Öznesi”; Kişisel Verilerin ilgili olduğu kişi anlamına gelir.

“AEA” Avrupa Ekonomik alanı anlamına gelir.

“GDPR”, Avrupa Parlamentosu ve Konseyi tarafından 27 Nisan 2016 tarihinde onaylanan (AB) 2016/679 sayılı Yönetmelik olup, kişisel verilerin işlenmesi ile söz konusu verilerin serbest dolaşımını ve 95/46/EC numaralı ilga edici Yönerge’yi (Genel Veri Koruma Yönetmeliği) ilgilendirmektedir.

“CrnaGoraHosting Ağ, CrnaGoraHosting şirketine ait ve CrnaGoraHosting şirketinin denetiminde olan ve Kapsanan Hizmetleri sağlamak için kullanılan veri merkezi tesisleri, sunucular, ağ ekipmanları ve hosting yazılımı sistemleridir (ör. sanal güvenlik duvarları).

“Kişisel Veriler”, Veri Koruma Yasaları kapsamında tanımlanmış veya tanımlanabilir bir kişi ya da hane halkı ile ilgili herhangi bir bilgi anlamına gelir.

“İşleme”; Kişisel Veriler üzerinde gerçekleştirilen, toplama, kayıt, organizasyon, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, istişare, kullanım, iletimle bildirme, yayma veya kullanıma hazır hale getirme, hizalama ya da birleştirme, kısıtlama, silme veya yok etme gibi yollarla, otomatik araçlarla olsun veya olmasın, Kişisel Veriler üzerinde gerçekleştirilen herhangi bir işlem veya işlem kümesi anlamına gelir. “İşlem”, “işlemler” ve “işlenen” ifadeleri bu doğrultuda yorumlanacaktır. İşleme ayrıntıları Ek 1’de belirtilmiştir.

“Güvenlik Olayı” (a) Herhangi bir Müşteri Verisinin kazayla veya yasa dışı bir şekilde imha edilmesi, kaybolması, değiştirilmesi, yetkisiz bir şekilde ifşa edilmesi veya bunlara erişimin yasaklanması ile sonuç bulan, CrnaGoraHosting Güvenlik Standartları güvenliğinin ihlali; veya (b) her iki durumda da Müşteri Verilerinin imha edilmesi, kaybolması, yetkisiz bir şekilde ifşa edilmesi ya da değiştirilmesi ile sonuçlanan CrnaGoraHosting ekipman ya da tesislerine herhangi bir izinsiz erişim.

“Güvenlik Standartları” Ek 2 olarak bu Ek Sözleşmeye ekli güvenlik standartları anlamına gelir.

“Standart Sözleşme Maddeleri” veya SCC’ler, Direktife göre üçüncü ülkelerde oluşturulan işleyicilere kişisel verilerin aktarılması için standart sözleşme hükümlerine ilişkin 5 Şubat 2010 tarihli Avrupa Komisyonu Kararı uyarınca bu Ek Sözleşmenin bir bölümüne eklenmiş ve bu Ek Sözleşmenin bir parçasını oluşturan Ek 3 anlamına gelir. 

“Alt İşleyici” Veri Denetleyicisi adına İşleyici tarafından verileri İşlemek için iletişim kurulan her türlü Veri İşleyicidir.                                                               

2. Veri İşleme

2.1 Kapsam ve Roller. İşbu Ek Sözleşme, Müşteri Verileri CrnaGoraHosting tarafından işlendiğinde geçerlidir.  Bu bağlamda, CrnaGoraHosting, Müşteri Verileri kapsamında Veri Denetleyicisi olarak Müşteri adına Veri İşleyicisi görevini üstlenecektir.

2.2 Veri İşleme Ayrıntıları. Müşteri Verilerinin CrnaGoraHosting tarafından işlenmesi konusu, Hizmet Şartları ve ürüne özel sözleşmeler uyarınca Kapsanan Hizmetlerin performansıdır. CrnaGoraHosting, Müşteri Verilerini yalnızca Müşterinin belgelendirdiği talimatlara uygun olarak ve aşağıdaki amaçlar doğrultusunda İşleyecektir: (i) Hizmet Şartlarına veya ilgili ürüne özel sözleşmeye uygun olarak işlenmesi; (ii) Son Kullanıcılar tarafından Kapsanan Hizmetlerin kullanımında başlatılan İşleme; (iii) Müşterilerin (ör. e-posta yoluyla) sağlanan diğer belgelenmiş, makul talimatları, bu talimatların Sözleşme şartlarıyla tutarlı olduğu hallerde işlenmesi. CrnaGoraHosting şirketi: (a) Hizmet Şartları uyarınca Kapsanan Hizmetleri sağlamak üzere gerekmesi veya yasalar tahtında gerekmesi dışında Müşteri Verilerini işlemeyecek, elinde tutmayacak, kullanmayacak, satmayacak veya ifşa etmeyecektir; (b) söz konusu Müşteri Verilerini herhangi bir üçüncü tarafa satmayacaktır; (c) söz konusu Müşteri Verileri’ni CrnaGoraHosting ve Müşteri arasındaki doğrudan iş ilişkisinin dışında elinde tutmayacak, kullanmayacak veya ifşa etmeyecektir.

Herhangi bir kuşkuya mahal vermemek üzere, Müşteri’nin Kişisel Verilerin İşlenmesine ilişkin talimatları, yürürlükteki veri gizliliği yasalarına uygun olacaktır. Kişisel Verilerin doğruluğu, niteliği ve yasalara uygunluğuna ilişkin yegane sorumluluk, Müşteri’ye aittir. Müşteri’nin sunduğu talimatların Veri Koruma Yasalarını ihlal etmesi halinde, CrnaGoraHosting söz konusu talimatlara uymakla veya bunlara riayet etmekle yükümlü olmayacaktır. İşlemin süresi, İşlemin niteliği ve amacı, kişisel veri türleri ve bu Ek altında işlenen Veri Konularının kategorileri, bu Ek Sözleşmenin Ek 1'inde (“İşlemenin Ayrıntıları”) daha ayrıntılı bir biçimde belirtilmiştir.

3. Müşteri Verilerinin Gizliliği

CrnaGoraHosting, yasalar veya yasa uygulayıcı kuruluşun geçerli ve bağlayıcı bir emrine (mahkeme celbi veya mahkeme kararı gibi) uymak için gerekli olduğu koşullar haricinde, Müşteri Verilerini herhangi bir hükümet veya başka bir üçüncü tarafa ifşa etmeyecektir. CrnaGoraHosting şirketinin geçerli bir kamusal mahkeme emri alması durumunda ve izin verildiği ölçüde, CrnaGoraHosting; Müşteri’nin koruyucu hükme veya diğer bir uygun çıkar yoluna başvurmasına olanak tanımak üzere talebini, e-posta veya fiziksel postayla göndereceği makul bir bildirimle Müşteri’ye iletmek üzere çaba gösterecektir.

4. Güvenlik

4.1 CrnaGoraHosting, bu Bölümde ve daha ayrıntılı olarak bu Ek Sözleşmenin eki olan Ek 2, Güvenlik Standartları’nda açıklandığı şekilde CrnaGoraHosting Ağı için teknik ve organizasyonel önlemleri uygulamıştır ve sürdürmektedir. Özellikle, CrnaGoraHosting şirketi, aşağıdaki konuları ele alan teknik ve organizasyonel önlemleri uygulamıştır ve bunları sürdürmektedeir: (i) CrnaGoraHosting Ağı’nın güvenliği; (ii) tesislerin fiziksel güvenliği; (iii) çalışanların ve yüklenicinin (i) ve/veya (ii)’ye erişimine ilişkin kontroller; ve (iv) CrnaGoraHosting tarafından uygulanan teknik ve organizasyonel önlemlerin etkinliğini test edilmesi, ölçülmesi ve değerlendirilmesine ilişkin süreçler. Burada belirtilen yükümlülüklerinin hiçbirini yerine getiremememiz durumunda, mümkün olan en kısa sürede yazılı bir bildirim (web sitemiz ve e-posta aracılığıyla) sunacağız.

4.2 CrnaGoraHosting Müşterinin Kapsanan Hizmetlerle ilgili olarak kullanmayı seçebileceği bir dizi güvenlik özelliği ve işlevsellik sağlar. Müşteri şunlardan sorumludur: (a) Kapsanan Hizmetlerin uygun şekilde yapılandırılması, (b) Sistemlerin ve hizmetlerin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlamak için Kapsanan Hizmetlerle (güvenlik kontrolleri dahil) bağlantılı olarak mevcut kontrolleri kullanmak, (c) fiziksel veya teknik bir olay olması durumunda Müşteri Verilerinin kullanılabilirlik ve zamanında erişilebilirliğini sağlamak için, Kapsanan Hizmetlerle (güvenlik kontrolleri dahil) bağlantılı olarak mevcut kontrolleri kullanmak (ör. Müşteri Verilerinin rutin yedeklenmesi ve arşivlenmesi), ve (d) Müşterinin Müşteri Verilerini yetkisiz erişime karşı korumak için şifreleme teknolojisinin kullanımını ve Müşteri Verilerine erişim haklarının kontrolüne yönelik tedbirleri içeren Müşteri Verilerinin uygun güvenlik, koruma ve silinmesini sağlamak için yeterli görülen bu adımları atmak.

5. Veri Öznesi Hakları

Kapsanan Hizmetlerin doğasını göz önünde bulunduran CrnaGoraHosting, bu Ek Sözleşmenin Güvenlik bölümünde açıklanan ve Müşterinin, Kapsanan Hizmetlerde açıklandığı şekilde Müşteri Verilerinin kullanımını ve paylaşılmasını ve paylaşımını almak, düzeltmek, silmek veya kısıtlamak için kullanmayı seçebileceği belirli denetimler sunar. Müşteri, bu kontrolleri Veri Konularından gelen taleplere cevap vermekle ilgili yükümlülükleri de dahil olmak üzere, yürürlükteki gizlilik yasaları kapsamındaki yükümlülükleriyle bağlantılı olarak yardımcı olmak için teknik ve kurumsal önlemler olarak kullanabilir. Ticari olarak makul olduğu ve yasal olarak gerekli veya izin verildiği ölçüde, CrnaGoraHosting, geçerli bir veri gizliliği yasaları kapsamında bu hakların kullanılması için CrnaGoraHosting şirketinin bir Veri Konusundan doğrudan bir talep alması halinde Müşteriye derhal bildirimde bulunacaktır (“Veri Öznesi Talebi”). Buna ilaveten, Müşterinin Kapsanan Servisleri kullanmasının bir Veri Konusu Talebini ele alma kabiliyetini sınırladığı hallerde, CrnaGoraHosting, yasal olarak izin verilen ve uygun olan ve Müşterinin özel talebi üzerine, talebin ele alınmasında, Müşterinin zararına (varsa) ticari olarak makul yardım sağlayabilir.

6. Alt İşleme

6.1 Yetkili Alt İşleyiciler. Müşteri, CrnaGoraHosting şirketinin Alt İşleyicileri, Hizmet Şartları ve bu Ek Sözleşmede bulunan sözleşme yükümlülüklerini yerine getirmek veya kendi adına destek hizmetleri sağlamak gibi belirli hizmetleri sağlamak için kullanabileceğini kabul eder. Müşteri, CrnaGoraHosting şirketinin bu Bölümde açıklandığı şekilde Alt işleyicileri kullanmasına onay verir. Bu Bölümde belirtilen veya sizin tarafınızdan açıkça yetkilendirildiği durumlar haricinde, CrnaGoraHosting başka herhangi bir alt işleme faaliyetine izin vermeyecektir.

6.2 Alt İşleyici Yükümlülükleri. Bölüm 6.1de açıklandığı şekilde CrnaGoraHosting tarafından yetkili Alt işleyicilerin kullanıldığı durumlarda:

(i) CrnaGoraHosting Alt İşleyicinin Müşteri Verilerine erişimini yalnızca Kapsanan Hizmetlerin bakımını yapmak için gerekli olanlara veya Kapsanan Hizmetlere ilişkin olarak Müşteriye ve Son Kullanıcılara Kapsanan Hizmetlere sağlamak için kısıtlayacaktır. CrnaGoraHosting Alt İşleyicinin, başka bir amaçla Müşteri Verilerine erişmesini yasaklar;

(ii) CrnaGoraHosting Alt İşleyici ile yazılı bir anlaşmaya girecek ve Alt İşlemcinin CrnaGoraHosting tarafından bu Ek kapsamında sağlanan aynı veri işleme hizmetlerini gerçekleştireceği ölçüde, CrnaGoraHosting şirketinin bu Ek kapsamında sahip olduğu sözleşmeden doğan yükümlülükleri CrnaGoraHosting alt işleyiciye aynı şekilde uygulayacaktır ve

(iii) CrnaGoraHosting, bu Ek Sözleşmenin yükümlülüklerine ve CrnaGoraHosting şirketinin CrnaGoraHosting için bu Ek Sözleşme kapsamındaki yükümlülüklerinden herhangi birini ihlal etmesine neden olan Alt İşleyicinin herhangi bir eylemi veya ihmalinden sorumludur.

6.3 Yeni Alt İşleyiciler.  Zaman zaman, bu Ek Sözleşmenin şartlarına tabi olarak yeni Alt İşleyicilerden yararlanabiliriz.  Bu durumda, herhangi bir Müşteri Verisi elde eden yeni bir Alt İşleyici ile ilgili olarak 60 gün önceden haber vereceğiz (web sitemiz ve e-posta yoluyla). Müşterinin yeni bir Alt İşleyiciyi onaylamaması durumunda Müşteri, 10 gün içinde veya bizden bildirim aldıktan sonra, herhangi bir Dahil Hizmeti onaylamama nedenlerinizi açıklayan bir sona erme yazılı bildirimi ileterek herhangi bir ceza olmaksızın feshedebilir. Dahil Hizmetler bir paketin veya paket halinde satın alınan bir ürünün parçası ise, fesih tüm pakete uygulanacaktır.

7. Güvenlik İhlali Bildirimi

7.1 Güvenlik Olayı: CrnaGoraHosting tarafının Güvenlik Olayını fark etmesi durumunda, CrnaGoraHosting gecikme olmadan: (a) Müşteriyi Güvenlik Olayı ile ilgili bilgilendirir; ve (b) Güvenlik Olayı’ndan kaynaklanan her türlü zararın etkisini en aza indirmek için makul adımları atar.

7.2 CrnaGoraHosting Desteği:  Müşteri’nin yürürlükteki herhangi bir gizlilik yasası kapsamında yapmak zorunda olduğu herhangi bir kişisel veri ihlali bildirimi ile ilgili Müşteri’ye yardımcı olmak için CrnaGoraHosting, Kapsanan Hizmetlerin niteliğini, CrnaGoraHosting şirketine sunulan bilgileri ve bilgilerin açıklanmasıyla ilgili gizlilik gibi herhangi bir kısıtlamayı göz önünde bulundurarak CrnaGoraHosting şirketinin Müşteri ile makul bir şekilde paylaşabileceği, Güvenlik Olayı’na ilişkin bilgileri söz konusu bildirime ekleyecektir.  

7.3 Başarısız Güvenlik Olayları: Müşteri şunları kabul eder:

(i) Başarısız bir Güvenlik Olayı, bu Ek Sözleşmenin şartlarına tabi olmayacaktır. Başarısız bir Güvenlik Olayı, Müşteri Verilerine veya Müşteri Verilerini depolayan CrnaGoraHosting şirketinin Ağına, ekipmanına veya tesislerine herhangi bir yetkisiz erişime yol açmayan Güvenlik Olaylarıdır ve güvenlik duvarları veya kenar sunucularda ping ve diğer yayın saldırılarını, port taramalarını, başarısız oturum açma girişimlerini, hizmet saldırılarının reddini, paket süzme işlemlerini (veya başlıkların ötesine erişmeyecek şekilde trafik verisine farklı yollarla izinsiz erişimi) veya benzer olayları bunlarla sınırlı kalmaksızın içerebilir ve

(ii) CrnaGoraHosting şirketinin bu Bölüm kapsamındaki bir Güvenlik Olayını bildirme veya yanıtlama yükümlülüğü, CrnaGoraHosting tarafından Güvenlik Olayı ile ilgili herhangi bir kusur veya CrnaGoraHosting yükümlülüğünün onaylanması olarak kabul edilmeyecek ve yorumlanmayacaktır.

7.4 İletişim: Varsa, Güvenlik Olaylarının Bildirimi, e-posta yoluyla da dahil olmak üzere CrnaGoraHosting şirketinin seçtiği herhangi bir yolla bir veya daha fazla Müşteri yöneticisine teslim edilecektir. Müşteri yöneticilerinin, CrnaGoraHosting yönetim konsolu hakkında doğru iletişim bilgilerini sürdürmesini ve aktarımın her zaman güvenli bir şekilde gerçekleşmesini sağlamak, sadece Müşterinin sorumluluğundadır.

8. Müşteri Hakları

8.1 Bağımsız Belirleme: Müşteri, CrnaGoraHosting şirketinin veri güvenliği ve Güvenlik Standartları ile ilgili olarak sunduğu bilgileri gözden geçirmek ve Kapsanan Hizmetlerin Müşterinin gerekliliklerini ve yasal yükümlülüklerini ve ayrıca bu Ek Sözleşmenin altındaki Müşteri yükümlülüklerini yerine getirip getirmediğine ilişkin bağımsız bir belirleme gerçekleştirmek ile sorumludur. Sağlanan bilgiler, Müşterinin, veri koruma etki değerlendirmeleri ve önceden danışmaya ilişkin olarak, GDPR de dahil olmak üzere, yürürlükteki gizlilik yasaları kapsamındaki Müşterinin kendi yükümlülüklerine uyma konusunda Müşteriye yardımcı olmayı amaçlamaktadır.

8.2 Müşteri Denetim Hakları: Müşteri, CrnaGoraHosting şirketinin bu Ek ile uyumluluğunu Kapsanan Hizmetlere uygulanabilir şekilde onaylama hakkına sahiptir; buna, özellikle CrnaGoraHosting şirketinin Güvenlik Standartlarına uyumu dahil olmak üzere, denetim veya denetleme yapmak için makul bir hak kullanma dahildir; ayrıca, başvurularsa, Hizmet Şartları’nda belirtilen adrese yazılı olarak, Standart Sözleşme Maddeleri uyarınca, CrnaGoraHosting şirketine belirli bir talepte bulunmak dahildir. CrnaGoraHosting, Müşteri tarafından talep edilen ve denetlenen bir denetim veya teftiş ile ilgili talep edilen herhangi bir talimatı takip etmeyi reddederse, Müşteri bu Ek Sözleşme ve Hizmet Şartlarını feshetme hakkına sahiptir. Standart Sözleşme Maddeleri geçerliyse, bu Bölümde yer alan hiçbir şey Standart Sözleşme Maddelerini değiştirmez veya Standart Sözleşme Maddeleri kapsamındaki denetim kurulunun veya veri öznesinin haklarını etkilemez. Bu Bölüm, CrnaGoraHosting şirketinin Müşteri adına Alt İşleyicilerin kontrolünü gerçekleştirdiği sürece de geçerli olacaktır.

9. Kişisel Verilerin Transferi

9.1 ABD Konumundaki İşleme: Hizmet Şartlarında özellikle belirtildiği durumlar haricinde, Müşteri Verileri AEA'nın dışına aktarılacak ve Amerika Birleşik Devletleri'nde işlenecektir.

9.2 Standart Sözleşme Maddelerinin Uygulanması: Standart Sözleşme Maddeleri, Avrupa Komisyonu tarafından tanınmayan herhangi bir ülkeye, Kişisel Veriler için yeterli düzeyde koruma sağlayarak, doğrudan ya da ileriye yönelik transfer şeklinde, AEA dışında aktarılan Müşteri Verileri için geçerli olacaktır. Standart Sözleşme Maddeleri, AEA'nın dışında doğrudan ya da ileriye yönelik transfer yoluyla aktarılmayan Müşteri Verileri için geçerli olmayacaktır. Yukarıdakilere bakılmaksızın, Standart Sözleşme Maddeleri; Hizmet Şartları veya izniniz uyarınca Kapsanan Hizmetlerin ifası için gerekmesi gibi örneklerde AEA dışındaki Kişisel Verilerin yasal olarak aktarılması için tanınan uyum standardına uygun olarak aktarıldığı durumlarda geçerli olmayacaktır.

10. Ek Sözleşmenin Feshi

Bu Ek, Hizmet Şartlarımız uyarınca işlemimizin sona ermesine kadar yürürlükte kalacaktır (“Fesih Tarihi”).   

11. Müşteri Verilerinin İade Edilmesi veya Silinmesi

Kapsanan Hizmetlerde açıklandığı gibi, Müşteriye, Müşteri Verilerini almak veya silmek için kullanabilecek kontroller sağlanabilir. Müşteri Verilerinin silinmesi, bu Kapsanan Hizmetler şartlarına tabi olacaktır.

12. Sorumluluğun Sınırlandırılması

Her bir tarafın bu Ek Sözleşme kapsamındaki yükümlülüğü, Hizmet Şartlarında belirtilen yükümlülüklerin istisnalarına ve sınırlamalarına tabi olacaktır. Müşteri, Müşterinin bu Ek Sözleşme kapsamında yer alan yükümlülüklerini yerine getirmemesi nedeniyle veya CrnaGoraHosting şirketinin Müşteri Verileri ile ilgili olarak düzenlediği yasal cezaların; ve yürürlükteki herhangi bir gizlilik kanunu, CrnaGoraHosting şirketinin Hizmet Şartları kapsamındaki yükümlülüğüne, Müşterinin Hizmet Şartları’nın sorumluluğunda olduğu gibi düşecek ve azaltacaktır.

13. Tüm Hizmet Koşulları; Çelişki

Bu Ek Sözleşme, Müşteri ve CrnaGoraHosting arasında, yazılı veya sözlü olarak, CrnaGoraHosting ile Müşteri arasında; kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ile ilgili karar varılan her türlü veri işleme eki dahil olmak üzere. bu Ek Sözleşmenin konusuyla ilgili tüm önceki veya eşzamanlı temsil, anlayış, anlaşma veya iletişimlerin yerini alır ve bunların yerine geçer.  Bu Ek Sözleşme tarafından değiştirilenler hariç, Hizmet Şartları tam olarak yürürlükte kalacaktır.  Hizmet Şartları ve bu Ek Sözleşme de dahil olmak üzere, taraflar arasında yapılan herhangi bir anlaşma arasında bir çelişki varsa, bu Ek Sözleşmenin şartları geçerli olacaktır.

** ************************************************

Ek 1

 İŞLEME AYRINTILARI

1. İşlemenin Doğası ve Amacı. CrnaGoraHosting Hizmet Koşullarına, ürüne özel anlaşmalara ve Müşteri tarafından Kapsanan Hizmetleri kullanımları boyunca daha ayrıntılı olarak belirtildiği şekilde Kapsanan Hizmetleri gerçekleştirmek için Kişisel Verileri gerektiği gibi İşleyecektir.
2. İşlemenin Süresi. Bu Ek Sözleşmenin 10. Bölümüne tabi olarak, CrnaGoraHosting, Hizmet Koşullarının yürürlükte olduğu süre boyunca Kişisel Verileri İşleyecektir, ancak bu sürenin aşılması durumunda, aksi takdirde yazılı olarak kabul edilmedikçe bu Ek Sözleşmenin şartlarına uyacaktır.
3. Veri Öznesi Kategorileri.Müşteri, kendi takdirine bağlı olarak, Müşteri tarafından belirlenen ve kontrol edilen ve kapsamı dahilinde ve aşağıdaki Kişisel Veriler kategorilerini içerebilen ancak bunlarla sınırlı olmayan Kapsanan Hizmetlerin kullanımı sırasında Veri Özneleri ile ilişkili Kişisel Verileri yükleyebilir:

• Müşteri adayları, müşteriler, iş ortakları ve satıcılar (gerçek kişilerdir)
• Çalışanlar veya Müşterinin potansiyel müşterileri, müşterileri, iş ortakları ve satıcıları ile irtibat kurulacak kişiler
• Çalışanlar, acenteler, danışmanlar, Müşterinin serbest çalışanları (gerçek kişiler)
• Müşterinin Kullanıcı tarafından Kapsanan Hizmetleri kullanmak için yetkilendirilmiş Kullanıcıları

4. Kişisel Veri Türü.Müşteri, kendi takdirine bağlı olarak, Müşteri tarafından belirlenen ve kontrol edilen ve kapsamı dahilinde ve aşağıdaki Kişisel Veriler kategorilerini içerebilen ancak bunlarla sınırlı olmayan Kapsanan Hizmetlerin kullanımı sırasında Veri Öznelerinin Kişisel Verileri yükleyebilir: 

• Ad
• Adres
• Telefon numarası
• Doğum tarihi
• E-posta adresi
• Doğrudan veya dolaylı olarak sizi tanımlayabilen diğer veriler.

** ************************************************

Ek 2

Güvenlik Standartları

1. Teknik ve Organizasyonel Önlemler

Müşterilerimizin bilgilerini korumaya kendimizi adamış durumdayız.  En iyi uygulamaları, uygulama maliyetleri ve işlemenin niteliği, kapsamı, koşulları ve amaçlarının yanı sıra gerçek kişilerin hak ve özgürlüklerine ilişkin riskin ortaya çıkma ve ciddiyet olasılığının farklı olmasını göz önünde bulundurarak, aşağıdaki teknik ve organizasyonel önlemleri alıyoruz.  Önlemler seçilirken sistemlerin gizlilik, bütünlük, kullanılabilirlik ve esnekliliği de göz önünde bulundurulmaktadır. Fiziksel veya teknik bir olaydan sonra hızlı bir iyileşme garanti edilir. 

1. Veri Gizliliği Programı

Veri Gizliliği Programımız, global veri yönetim yapısını korumak ve yaşam döngüsü boyunca bilgi güvenliğini sağlamak için kurulmuştur. Bu program, gizlilik uygulamaları ve güvenlik önlemlerinin uygulanmasını denetleyen veri koruma görevlisinin ofisi tarafından yürütülmektedir. Düzenli olarak, Veri Gizliliği Programı ve Güvenlik Standartlarının etkinliğini test ediyoruz.   

1. Gizlilik.“Gizlilik, kişisel verilerin yetkisiz ifşaya karşı korunması anlamına gelir.”

Müşterilerinin kişisel bilgilerinin gizliliğini korumak için çeşitli fiziksel ve makul önlemler kullanıyoruz. Bu önlemler şunları içerir:   

  Fiziksel Güvenlik  

• Fiziksel erişim denetimleri uygulanır (İşaret erişim kontrolü, Güvenlik olayı izleme vb.) 
• Alarmlar dahil olmak üzere gözetim sistemleri ve uygun olarak kapalı devre TV izleme  
• Temiz masa politikaları ve denetimlerinin uygulanması (gözetimsiz bilgisayarların kilitlenmesi, kilitli dolaplar vb.)  
•  Ziyaretçi Erişim Yönetimi 
• Fiziksel ortam ve belgelerdeki verilerin imha edilmesi (kağıt parçalama, manyetizmayı nötrleştirme vb.) 

  Erişim Denetimi ve Yetkisiz Erişimi Önleme 

• Uygulanan kullanıcı erişim kısıtlamaları ve görev ilkelerinin ayrıştırılmasına dayalı olarak sağlanan/gözden geçirilen rol tabanlı erişim izinleri  
• Güçlük kimlik denetimi ve yetkilendirme yöntemleri (Çoklu faktörlü kimlik denetimi, yetkilendirme tabanlı sertifikasyon, otomatik devre dışı bırakma/oturum kapatma vb.) 
• Merkezileştirilmiş şifre yönetimi ve güçlü/karmaşık şifre politikaları (minimum uzunluk, karakterlerin karmaşıklığı, şifrelerin sona ermesi vb.)   
• E-postalara ve internete kontrollü erişim 
• Anti virüs yönetimi  
• Yetkisiz Erişim Önleme Sistemi yönetimi  

Şifreleme   

• Güçlü kriptografik protokollerle dış ve iç iletişimin şifrelenmesi  
• PII/SPII verilerini şifreleme (veri tabanları, paylaşılan sözlükler vb.)   
• Şirket PC’leri ve dizüstü bilgisayarları için tam disk şifreleme   
• Depolama ortamının şifrelenmesi  
• Şirket ağlarına uzaktan bağlantılar VPN ile şifrelenir  
• Şifreleme anahtarlarının kullanım döngüsünü güvence altına alma  

 Veri Minimizasyonu    

• PII/SPI uygulama, hata ayıklama ve güvenlik kayıtlarında minimizasyonu  
• Bir bireyin doğrudan tanımlanmasını önlemek için kişisel verilerin taklit edilmesi 
• Kayıtlı verilerin işleve göre ayrılması (test, safhalandırma, canlı) 
• Erişim haklarına göre role dayalı olarak verilerin mantıksal ayrılması 
• Kişisel veriler için tanımlanmış veri saklama dönemleri   

Güvenlik Testi     

• Kritik şirket ağları ve kişisel verileri barındıran platformlar için Sızma Testi 
• Düzenli ağ ve güvenlik açığı taramaları   

2. Bütünlük.“Bütünlük, verilerin doğruluğunu (sağlamlığını) ve sistemlerin doğru çalışmasını sağlamayı ifade eder. ‘Veri’ terimi ile bağlantılı olarak bütünlük terimi kullanıldığında, verilerin eksiksiz ve değişmemiş olduğunu ifade eder.”

Kişisel verilerin bütünlüğünü koruyabilmesi için erişim kontrollerine ek olarak uygun değişiklik ve günlük yönetim kontrolleri de mevcuttur, örneğin:    

Değişim ve Feragat Yönetimi    

• Etki analizi, onaylar, testler, güvenlik incelemeleri, evreleme, izleme vb. dahil olmak üzere değişim ve feragat yönetimi süreci  
• Üretim ortamlarında Rol ve İşlev tabanlı (Görevlerin Ayrımı) erişim sağlanması    

Günlük Oluşturma ve İzleme

• Erişim ve veri değişiklikleri günlüğü oluşturma  
• Merkezileştirilmiş denetim ve güvenlik günlükleri   
• Veri aktarımının eksiksizliği ve doğruluğunun izlenmesi (uçtan uca kontrol)    

3. Kullanılabilirlik.“Hizmetlerin ve BT sistemlerinin, BT uygulamalarının ve BT ağ işlevlerinin veya bilgilerinin kullanılabilirliği, kullanıcı bunları her zaman ve amaçlandığı şekilde kullanabiliyorsa garanti edilir.”   

Hizmetlerin ve bu hizmetlerin içinde yer alan verilerin kullanılabilirliğini sürdürmek için uygun süreklilik ve güvenlik önlemleri uygulamaktayız:    

• Kritik hizmetler için uygulanan düzenli hata testleri  
• Önemli sistemler için kapsamlı performans/kullanılabilirlik izleme ve raporlama  
• Güvenlik Olayı Müdahalesi  
• Çoğaltılan veya yedeklenen kritik öneme sahip veriler (Bulut Yedeklemeleri/Sabit Sürücüler/Veritabanı kopyalama vb.) 
• Planlı yazılım, altyapı ve güvenlik bakımı uygulanır (Güvenlik güncellemeleri, güvenlik yamaları vb.)   
• Yerinde ve/veya coğrafi olarak ayrılmış konumlarda bulunan yedekli ve esnek sistemler (sunucu kümeleri, yansıtılmış veritabanları, yüksek kullanılabilirlik ayarları vb.)    
• Kesintisiz güç kaynakları kullanımı, fazla yedekli donanım ve ağ sistemleri  
• Alarm ve güvenlik sistemleri kullanılır  
• Kiritik alanlar için fiziksel Koruma önlemleri uygulanır (akım koruması, yüksek zeminler, soğutma sistemleri, yangın ve/veya duman dedektörleri, yangın söndürme sistemleri vb.) 
• Kullanılabilirliği sürdürmek için DDOS koruması   
• Yük ve Stres Testleri  

4. 4. Veri İşleme Talimatları."Veri İşleme Talimatları kişisel verilerin yalnızca veri denetleyicisinin yönergelerine ve ilgili şirket önlemlerine uygun olarak işleneceğini garanti eder”

Şirket içi gizlilik politikaları, sözleşmeler oluşturduk ve çalışanların kişisel tercihlerinin müşterinin tercihleri ve talimatları doğrultusunda işlenmesini sağlamaya yönelik düzenli gizlilik eğitimleri düzenliyoruz.   

• Çalışan sözleşmeleri dahilinde yürürlükte olan mahremiyet ve gizlilik şartları 
• Çalışanlar için düzenli veri gizliliği ve güvenliği eğitimleri 
• Talimatlar ile ilgili denetim haklarını korumak için alt yüklenicilerle yapılan anlaşmalara uygun sözleşme hükümleri 
• Harici hizmet sağlayıcıları için düzenli gizlilik denetimleri 
• Müşterilere verilerinin işlenmesi tercihleri ile ilgili tam kontrol sağlama 
• Düzenli güvenlik denetimleri 

**********************************************

Ek 3

Bu SCC'lerin uygulanabilirliği için Ek Sözleşme'nin 9.2 bölümüne bakın

Standart Sözleşme Maddeleri (işleyiciler)

Üçüncü dünya ülkelerinde kurulmuş olan ve yeterli düzeyde veri koruması sağlamayan işleyicilere kişisel verilerin aktarılması için 95/46/EC sayılı Direktifin 26(2) Maddesi uyarınca.

Ek Sözleşmede “Müşteri” olarak tanımlanan varlık
(“verileri veren taraf”)

ve

CrnaGoraHosting.com, Doo

 (“verileri alan taraf”)

her bir “taraf” birlikte “taraflar”,

Ek 1'de belirtilen kişisel verilerin verileri alan tarafça verileri veren tarafa mahremiyetin korunması ve bireylerin temel hak ve özgürlüklerinin korunması ile ilgili olarak yeterli güvencelerin sağlanması amacıyla aşağıdaki Sözleşmeye İlişkin Hükümler (Şartlar) üzerinde ANLAŞMIŞTIR.

Madde 1

Tanımlar

Bu Maddelerin amaçları için:

(a) “kişisel veriler”, “özel veri kategorileri”, “işleme/işlem”, “denetçi”, “işleyici”, “veri sahibi” ve “denetim kurulu” Kişisel bilgilerin işlenmesi ve bu verilerin serbest dolaşımı ile ilgili olarak bireylerin korunmasına ilişkin Avrupa Parlamentosu ve Konseyi'nin 24 Ekim 1995 tarihli ve 95/46/EC sayılı Direktifi ile aynı anlama gelecektir;

(b) “verileri veren taraf”, kişisel verilerin aktarımını denetleyen taraf anlamına gelir;

(c) “verileri alan taraf”, talimatlar ve Şartların hükümlerine uygun bir şekilde aktarıldıktan sonra, kendi adına işlem yapmak üzere hazırlanan verileri veren tarafın kişisel verilerinden almayı kabul eden ve 95/46/EC sayılı Direktifin Madde 25(1) uyarınca yeterli koruma sağlayan üçüncü bir ülkenin sistemine tabi olmayan işleyici anlamına gelir;

(d) “Alt işleyici”, verileri veren taraf adına, yalnızca talimatları, Maddelerin hükümleri ve yazılı alt sözleşmenin maddeleri uyarınca veri aktarımı yapıldıktan sonra yürütülecek olan işleme faaliyetlerine yönelik kişisel verileri alan tarafın alt işleyicisinden veya verileri alan taraftan verileri almayı kabul eden ve verileri alan tarafça ya da verileri alan tarafın alt işleyicisi tarafından hizmetleri kullanılan işleyici anlamına gelir;

(e) “geçerli veri koruma kanunu” bireylerin temel hak ve özgürlüklerini koruyan mevzuat ve özellikle de verileri veren tarafın oluşturulduğu Üye Devletteki bir veri denetleyicisine uygulanan kişisel verilerin işlenmesine ilişkin mahremiyet hakları anlamına gelir;

(f) “Teknik ve organizasyonel güvenlik önlemleri” kişisel verilerin kazayla veya yasa dışı yıkıma veya kazayla kaybedilmesine, değiştirilmesine, yetkisiz ifşaya veya erişime karşı korunmasını amaçlayan önlemler, özellikle de işlemin bir ağ üzerinden veri iletimini içerdiği ve diğer tüm yasa dışı işlem biçimlerine karşı korunma anlamına gelir.

Madde 2

Transfere ilişkin ayrıntılar

Transferin detayları ve özellikle uygulanabilir olduğunda özel kişisel veri kategorileri, Maddelerin ayrılmaz bir parçasını oluşturan Ek 1'de belirtilmiştir.

Madde 3

Üçüncü taraf lehtar maddesi

1. Veri öznesi; bu Madde, Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6(1) ve (2), Madde 7, Madde 8(2) ve Madde 9 ila 12’yi, üçüncü taraf lehtarı olarak verileri veren tarafa karşı uygulayabilir.
2. Veri öznesi, verileri alan tarafın sözleşmeden veya hukukun işleyişi ile tüm yasal yükümlülüklerini üstlenmediği sürece, verileri veren tarafın fiilen ortadan kaybolmadığı veya hukukta varlığının sona ermediği durumlarda, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 - 12’ye ait verileri alan tarafa karşı uygulanabilir, bunun sonucu olarak, verileri veren taraf hak ve yükümlülüklerini üstlenir, bu durumda veri konusu bunları böyle bir varlığa karşı uygulayabilir.
3. Veri öznesi, alt işleyicinin sözleşmeden veya hukukun işleyişi ile tüm yasal yükümlülüklerini üstlenmediği sürece, hem verileri veren tarafın hem de verileri alan tarafın fiilen ortadan kaybolmadığı veya hukukta varlığının sona ermediği durumlarda, bu Madde, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 - 12’ye ait verileri alan tarafa karşı uygulanabilir, bunun sonucu olarak, verileri veren taraf hak ve yükümlülüklerini üstlenir, bu durumda veri konusu bunları böyle bir varlığa karşı uygulayabilir. Alt işleyicinin bu tür üçüncü şahıs yükümlülüğü, Hükümler altında kendi işleme operasyonlarıyla sınırlandırılacaktır.
4. Taraflar, veri öznesinin açıkça ifade etmesi ve ulusal yasaların izin verdiği durumlarda bir dernek veya başka bir kurum tarafından temsil edilen bir veri öznesine karşı çıkmazlar.

Madde 4

Verileri veren tarafın yükümlülükleri

Verileri veren taraf, aşağıdaki maddeleri kabul eder ve garantiler:

(a) Kişisel verilerin aktarımının kendisi de dahil olmak üzere işleme, yürürlükte olan veri koruma kanununun ilgili hükümlerine uygun olarak yürütülmektedir ve buna devam edecektir (ve geçerli olduğu durumlarda, verileri veren tarafın bulunduğu Üye Devletin ilgili yetkililerine bildirilmiştir) ve bu Devletin ilgili hükümlerini ihlal etmemektedir;

(b) Kişisel veri işleme hizmetleri süresince, verileri alan tarafa sadece verileri veren taraf adına transfer edilen kişisel verileri ve geçerli veri koruma kanunu ve Maddelere uygun olarak işlemek için talimat verir ve yönlendirir;

(c) Verileri alan taraf, bu sözleşmenin Ek 2'sinde belirtilen teknik ve organizasyonel güvenlik önlemleri konusunda yeterli garantiler sağlayacaktır;

(d) Yürürlükteki veri koruma kanununun gerekliliklerinin değerlendirilmesinden sonra, güvenlik önlemleri, kişisel verilerin kazayla veya yasa dışı yıkıma veya kazayla kaybedilmesine, değiştirilmesine, yetkisiz ifşaya veya erişime karşı korunması için özellikle uygundur; ağ ve diğer tüm yasadışı işleme biçimlerine karşı ve bu önlemler, işlemenin getirdiği risklere ve teknolojinin durumuna ve bunların maliyetine göre korunacak verilerin niteliğine uygun bir güvenlik düzeyi temin eder;

(e) Güvenlik önlemleri ile uyumluluk sağlayacaktır;

(f) Transfer, özel veri kategorileri içeriyorsa, veri öznesi daha önce veya mümkün olduğu kadar kısa bir süre sonra, verilerin 95/46/EC sayılı Direktif kapsamında yeterli seviyede koruma sağlayamayan üçüncü bir ülkeye aktarılabileceği konusunda bilgilendirilmiş olur veya bilgilendirilecektir;

(g) Verileri veren taraf, devir işlemine devam etmeye veya askıya alma işlemine devam etmeye karar verirse, veri koruma denetim otoritesine Madde 5(b) ve Madde 8(3) uyarınca verileri alan taraf veya alt işleyiciden alınan herhangi bir bildirimi iletmek;

(h) Maddeler veya sözleşme ticari bilgiler içermedikçe (ki bu durumda bu ticari bilgiler silinebilir), veri öznesine, Ek 2 dışında Maddelerin bir kopyasını sağlama ve güvenlik önlemlerinin özet bir tanımının yanı sıra, Maddeler ile uyumlu olarak yapılması gereken alt işleme hizmetlerine ait sözleşmenin bir kopyasının temin edilmesi;

(i) Alt işleme durumunda, işlem faaliyetinin, Madde 11 uyarınca, kişisel veriler için en azından aynı koruma seviyesini ve Madde altındaki verileri alan taraf olarak tabi tutulan veri haklarını sağlayan bir alt işleyicinin gerçekleştirdiği; ve

(j) Madde 4(a) ila (i) ile uyum sağlayacaktır.

Madde 5¹.

Verileri alan tarafın yükümlülükleri

Verileri alan taraf, aşağıdaki maddeleri kabul eder ve garantiler:

(a) Kişisel verileri sadece verileri veren taraf adına ve talimatlarına ve Maddelere uygun olarak işlemek; herhangi bir sebepten dolayı bu tür bir uyum sağlayamazsa, verileri veren tarafa uyumsuzluğunu derhal bildirmeyi kabul eder ve bu durumda verileri veren taraf veri transferini askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir.;

(b) Yürürlükteki mevzuatın, verileri veren taraf ve sözleşme kapsamındaki yükümlülüklerini yerine getirmesini ve bu mevzuatta önemli bir ters etkisinin olması muhtemel olan bir değişiklik olması durumunda, bunun uygulanmasını engelleyebileceğine inanmak için hiçbir neden yoktur. Maddelerin verdiği garantiler ve yükümlülükler hakkında, bilgi sahibi olan tarafın haberdar olduğunu hemen fark eder etmez, bu durumda verileri veren taraf veri transferini askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;

(c) Aktarılan kişisel verilerin işlenmesinden önce Ek 2'de belirtilen teknik ve organizasyonel güvenlik önlemlerini uygulamıştır;

(d) Verileri veren tarafı şu konular ilgili olarak derhal bilgilendirecektir:

(i)  Bir yasa uygulama soruşturmasının gizliliğini korumak için ceza hukuku kapsamındaki bir yasaklama gibi başka bir şekilde yasaklanmadıkça, kişisel verilerin bir kanun uygulayıcı makam tarafından açıklanması için yasal olarak bağlayıcı herhangi bir talep,

(ii) Herhangi bir kazara veya yetkisiz erişim, ve

(iii) Aksi için yetkilendirilmedikçe, bu talebe yanıt vermeden doğrudan veri öznesinden alınan herhangi bir talep;

(e) Aktarılan kişisel verilerin işlenmesiyle ilgili olarak verileri veren taraftan gelen tüm soruları derhal ve uygun bir şekilde ele almak ve aktarılan verilerin işlenmesi ile ilgili olarak denetim kurulunun tavsiyesine uymak;

(f) Verileri veren tarafın, verileri veren taraflarca yürütülecek işlem faaliyetlerinin denetlenmesi için bilgi işlem tesislerinin talebi üzerine, verileri veren taraf veya bağımsız üyelerden oluşan bir denetim organı tarafından yerine getirilmesi ve gerekli mesleki niteliklere sahip olması Denetim otoritesi ile mutabakat halinde, verileri veren tarafça seçilen bir gizlilik yükümlülüğü;

(g) Maddeler veya sözleşme ticari bilgiler içermedikçe (ki bu durumda bu ticari bilgiler silinebilir), veri öznesinin verileri veren taraftan bir kopyasını alamadığı durumlarda güvenlik önlemlerinin özet bir tanımlaması ile değiştirilecek olan Ek 2 istisna olmak üzere, talep üzerine veri öznesine Maddelerin bir kopyasının sağlanması veya alt işleme için var olan her türlü sözleşmenin temin edilmesi;

(h) Alt işleme durumunda, verileri veren tarafı daha önceden bilgilendirir ve önceden yazılı onayını alır;

(i) Alt işleyici, işlem hizmetlerinin Madde 11'e uygun olarak gerçekleştirecektir;

(j) Verileri veren tarafa, Maddeler uyarınca, herhangi bir alt işleyici sözleşmesinin bir kopyasını derhal göndermek.

Madde 6

Yükümlülük

1. Taraflar, herhangi bir tarafın veya alt işleyicinin Madde 3 veya Madde 11 ile belirtilen yükümlülüklerin ihlali neticesinde zarara uğramış olan herhangi bir veri öznesinin, maruz kaldığı zararlar için verileri veren taraftan tazminat alma hakkına sahip olduğunu kabul eder.
2. Bir veri öznesinin paragraf 1'e uygun olarak verileri veren taraftan (Madde 3 veya Madde 11'de belirtilen yükümlülüklerinden herhangi birinin verileri alan taraf veya alt işleyicisinin ihlali sonucu ortaya çıkan) tazminat talebinde bulunamazsa, verileri veren taraf ya hukuki olarak ortadan kalkmış ya da sonlanmış ya da hukuka aykırı hale gelmiş bulunduğu için, herhangi bir halef varlığının, kanunun işleyişi ile sözleşmeyle verileri veren taraf bütün yasal yükümlülüklerini üstlenmediği sürece (bu durumda veri konusu haklarını uygulayabilir), verileri alan taraf, veri öznesinin verileri veren tarafmış gibi verileri veren tarafa karşı tazminat talebinde bulunabileceğini kabul eder. Verileri alan taraf, kendi yükümlülüklerinden kaçınmak için yükümlülüklerinin bir alt işleyicisinin ihlaline güvenmez.
3. Bir veri öznesi, Madde 3 veya Madde 11’de belirtilen yükümlülüklerinden herhangi birinin alt işleyicisinin ihlali sonucu ortaya çıkan verileri veren tarafa veya paragraf 1 ve 2'ye atıfta bulunulan verileri alan tarafa karşı bir talepte bulunamazsa; hem verileri veren taraf hem de verileri alan taraf, yasada varlığını yitirmiş ya da ortadan kalkmış ya da hükümsüz hale geldiğinden alt işleyicisinin, veri öznesinin, veri alt işleyicisine, kendi alt işlemlerine ilişkin olarak, herhangi bir halef olan tarafın verileri veren taraf veya verileri alan tarafça yasal zorunluluklarını sözleşme ya da kanunun işleyişi ile üstlenmediği sürece, verileri veren taraf veya verileri alan taraf, bu durumda veri konusu bu tür varlıklara karşı haklarını uygulayabilir. Alt işleyicinin bu yükümlülüğü, Hükümler altında kendi işleme operasyonlarıyla sınırlandırılacaktır.

Madde 7

Arabuluculuk ve yargı yetkisi

1. Verileri alan taraf, veri öznesi üçüncü taraf lehtar hakları ve/veya Hükümler altındaki zararlar için tazminat talebinde bulunursa, verileri alan taraf veri öznesinin kararını kabul edeceğini kabul eder:

(a)  uyuşmazlığın arabuluculuğa, bağımsız bir kişi tarafından veya uygun hallerde denetim otoritesi tarafından yönlendirilmesi;

(b)  uyuşmazlığın, verileri veren tarafın bulunduğu Üye Devletteki mahkemelere iletilmesi.

2. Taraflar, veri öznesi tarafından yapılan seçimin, ulusal veya uluslararası kanunların diğer hükümlerine uygun olarak yasal yollara başvurma konusundaki maddi veya usuli haklarına zarar vermeyeceğini kabul eder.

Madde 8

Denetim otoriteleri ile iş birliği

1. Verileri veren taraf, bu sözleşmenin bir nüshasını talep ettiği takdirde ya da yürürlükteki veri koruma yasası kapsamında gerekli ise, denetleme otoritesi ile birlikte ödemeyi kabul eder.
2. Taraflar, denetleyici makamın verileri alan taraf ve aynı kapsamda olan ve verileri veren tarafın geçerli veriler altında denetimine uygulanacak aynı şartlara tabi olan herhangi bir alt işleyicinin, koruma kanunu uyarınca, denetimini yapma hakkına sahip olduğu konusunda mutabıktır.
3. Verileri alan taraf, verileri veren tarafı, 2. paragraf uyarınca, kendisine uygulanacak mevzuatın mevcudiyeti veya verileri veren tarafı, denetiminin yürütülmesini engelleyen bir alt işleyici veya herhangi bir alt işleyici hakkında derhal bilgilendirecektir. Böyle bir durumda, verileri veren taraf, Madde 5 (b)'de öngörülen önlemleri alma hakkına sahip olacaktır.

Madde 9

Geçerli yasalar

Maddeler, verileri veren tarafın bulunduğu Üye Devletin yasasına göre yönetilir ve şüphe olduğunda veya birden fazla verileri veren tarafın olması durumunda İngiltere ve Galler yasalarına tabi olacaktır. 

Madde 10

Sözleşmenin değişmesi

Taraflar, Maddeleri değiştirmeyeceklerini taahhüt ederler. Bu, tarafların, Madde ile çelişmedikleri sürece, gerekli görülen durumlarda iş konularıyla ilgili hükümler eklemelerini engellemez.

Madde 11

Alt İşleme

1. Verileri alan taraf, verileri veren tarafın önceden yazılı onayı olmaksızın Maddeler uyarınca verileri veren taraf adına gerçekleştirilen herhangi bir işlem işlemini alt sözleşmeye tabi tutamaz. Verileri alan taraf, Maddeler altındaki yükümlülüklerini, verileri veren tarafça onaylanınca, yalnızca alt işleyiciyle birlikte yazılı bir anlaşma yaparak, alt işleyiciyle aynı yükümlülükleri yükleyen ve bu bağlamda, verileri alan tarafa ait yükümlülükleri yerine getirecektir. Alt işleyicinin bu yazılı anlaşma kapsamında veri koruma yükümlülüklerini yerine getirememesi durumunda, verileri alan taraf, alt işleyicinin bu anlaşma kapsamındaki yükümlülüklerinin yerine getirilmesi için verileri veren tarafa tamamen yükümlü kalacaktır.
2. Verileri alan taraf ile alt işleyici arasındaki önceden yazılı sözleşme, ayrıca, veri konusunun 6'ncı maddenin 1. paragrafında belirtilen tazminat talebini karşılayamadığı durumlar için Madde 3’te belirtilen üçüncü taraf lehtar şartını da sağlayacaktır; verileri veren taraf ya da verileri alan taraf karşısında, gerçekte ortadan kalkmış ya da yasada var olmadıkları ya da hükümsüz hale geldikleri ve herhangi bir halef varlığının, verileri veren taraf ya da verileri alan tarafça sözleşme ile ya da hukukun işleyişi ile tüm yasal yükümlülüklerini üstlendiği varsayılmıştır. Alt işleyicinin bu tür üçüncü şahıs yükümlülüğü, Hükümler altında kendi işleme operasyonlarıyla sınırlandırılacaktır.
3. 1. paragrafta atıfta bulunulan sözleşmenin alt işlemine ilişkin veri koruma yönleri ile ilgili hükümler, verileri veren tarafın oluşturulduğu Üye Devletin yasasına tabidir.
4. Verileri veren taraf, en az yılda bir kez güncellenecek olan Madde 5 (j) uyarınca verileri alan tarafça bildirilen ve Maddelere göre yapılan alt işlem sözleşmelerinin listesini tutacaktır. Liste, verileri veren tarafın veri koruma denetim yetkisine açık olacaktır.

Madde 12

Kişisel bilgi işlem hizmetlerinin sona ermesini takip eden yükümlülük

1. Taraflar, veri işleme hizmetlerinin verilmesinin sona ermesi üzerine, verileri alan taraf ve alt işleyicinin, verileri veren tarafın seçiminde olmak üzere, aktarılan tüm kişisel verileri ve kopyalarını verileri veren tarafa iade edeceğini veya verileri veren tarafa göndereceğini ve verileri veren tarafa bu konuda onay vereceğini, verileri alan tarafa empoze edilen mevzuatın, aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya yok etmesini engellememesi halinde, kabul eder. Bu durumda, verileri veren taraf aktarılan kişisel verilerin gizliliğini ve aktarılan kişisel verileri artık işlemeyeceğini garanti eder.
2. Verileri veren taraf ve alt işleyici, verileri veren taraf ve/veya denetleyici makamın talebi üzerine, 1. paragrafta atıfta bulunulan önlemlerin denetimine yönelik bilgi işlem tesislerini sunacaktır.

**********************************************

Standart Sözleşme Maddeleri için Ek 1

Verileri veren taraf

Verileri veren taraf, Ek Sözleşmede Müşteri olarak tanımlanan varlıktır

Verileri alan taraf

Verileri veren taraf, barındırılan hizmetlerin sağlayıcısı olan CrnaGoraHosting.com, Doo şirketidir.

Veri özneleri

İşleme operasyonları Bölüm 1.3 ve 1 ile Ek Sözleşme Ekinde tanımlanmıştır.

Veri kategorileri

İşleme operasyonları Bölüm 1.3 ve 1 ile Ek Sözleşme Ekinde tanımlanmıştır.

İşleme operasyonları

İşleme operasyonları Bölüm 1.3 ve 1 ile Ek Sözleşme Ekinde tanımlanmıştır.

Standart Sözleşme Maddeleri için Ek 2

Bu Ek, Maddelerin bir bölümünü oluşturur.  CrnaGoraHosting şirketinden Kapsanan Hizmetler satın alarak, Ek Sözleşme ve işbu Ek 2, taraflar arasında kabul edilmiş ve yürütülmüştür.

Verileri alan tarafça 4(d) ve 5(c) Maddeleri (veya ekli belge/mevzuat) uyarınca uygulanan teknik ve organizasyonel güvenlik önlemlerinin tanımı:

Verileri alan tarafça uygulanan teknik ve organizasyonel güvenlik önlemleri, ekte yer alan ve dahil olan Ek 2'de açıklanmıştır.

• 95/46/EC sayılı Direktifin 13(1) Maddesinde listelenen menfaatler temelinde, demokratik bir toplumda gerekli olanın ötesine geçmeyen, verileri alan taraf için geçerli olan ulusal mevzuatın zorunlu gereklilikleri, yani ulusal güvenlik, savunma, kamu güvenliği, cezai suçların önlenmesi, soruşturulması, tespiti ve kovuşturulması veya düzenlenmiş meslekler için etik ihlalleri, Devletin önemli ekonomik veya mali çıkarlarını korumak için gerekli bir önlem oluşturuyorsa, veri öznesinin veya diğerlerinin hak ve özgürlüklerinin korunması, standart sözleşme hükümlerine aykırı değildir. Demokratik bir toplumda gerekli olanın ötesine geçmeyen bu zorunlu şartların bazı örnekleri, diğerlerinin yanı sıra uluslararası kabul görmüş yaptırımlar, vergi raporlama gereklilikleri veya kara para aklama karşıtı raporlama gereklilikleridir.