Skip to main content
Bu sayfa, otomatik çeviri yardımıyla görüntülenmektedir. İngilizce olarak görüntülenmesini ister misiniz?

İş Ortağı Veri Koruma Eki

Aşağıdaki İş Ortağı Veri Koruma Eki İş Ortağı Programı Sözleşmesinin bir parçasıdır ve kişisel verilerin işlenmesine ilişkin şartları belirler.

1. GENEL

Bu İş Ortağı Veri Koruma Eki (”DPA”) İş Ortağı Programı Sözleşmesinin bir parçasıdır (”Anlaşma”) ve kişisel verilerin işlenmesine ilişkin ek şartları belirler. Büyük harfle yazılmış terimler, bu belgenin bir sonraki Bölümünde veya Sözleşmenin başka bir yerinde tanımlanan anlama sahiptir.. Bu DPA koşulları ile Sözleşmenin diğer şartları arasında bir çelişki varsa, bu DPA geçerli olacaktır. Bu DPA'nın amaçları doğrultusunda, “Sağlayıcı” İş Ortağı anlamına gelir.

2. TANIMLAR

  • (a) “Geçerli Veri Koruma Yasası” Sözleşme kapsamında Kişisel Verilerin İşlenmesine ilişkin, (i) AEA içinde bulunan Yetkili Kuruluştan kaynaklanan Kişisel Veriler için Genel Veri Koruma Yönetmeliği (AB) 2016/679 dahil ancak bunlarla sınırlı olmamak üzere, geçerli tüm yasaları ifade eder (”GDPR”) ve (ii) Birleşik Krallık'ta bulunan Yetkili Kuruluştan kaynaklanan Kişisel Veriler için, Birleşik Krallık GDPR ve Birleşik Krallık Veri Koruma Yasası 2018.
  • (b) “Yetkili Kişi” Controller olarak hareket eden ve Sözleşme uyarınca Hizmetlere doğrudan veya dolaylı olarak erişme veya kullanma hakkına sahip herhangi bir kuruluş (Siemens ve grup şirketleri dahil) anlamına gelir.
  • (c) “Controller” Kişisel Verilerin İşlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi anlamına gelir.
  • (d) “Yeterlilik Kararı Olan Ülke” AB Komisyonu'nun söz konusu ülkenin yeterli düzeyde veri koruması sağladığına karar verdiği herhangi bir ülke ve Birleşik Krallık'tan gelen kişisel veriler için, 2018 Veri Koruma Yasası'nın 17A veya 74A bölümleri uyarınca Birleşik Krallık yeterlilik düzenlemelerinin yapıldığı herhangi bir ülke anlamına gelir.
  • (e) “Veri İhlali” herhangi bir güvenlik ihlali anlamına gelir (i) iletilen, saklanan veya başka bir şekilde İşlenen Kişisel Verilerin kazara veya yasadışı olarak imha edilmesine, kaybolmasına, değiştirilmesine, izinsiz ifşa edilmesine veya erişime yol açan veya (ii) bu olayın yürürlükteki yasalar uyarınca herhangi bir üçüncü tarafa bildirilmesini gerektirecektir.
  • (f) “AEA” Avrupa Ekonomik Alanı anlamına gelir.
  • (g) “AB Standart Sözleşme Maddeleri” Standart Sözleşme Maddeleri (AB) 2021/914 anlamına gelir.
  • (h) “Başlangıç Alanı” AEA, Birleşik Krallık, İsviçre ve Madde 45 ve sonraki maddelerinde yer alan benzer yeterlilik şartlarına sahip her ülke anlamına gelir. GDPR.
  • (i) “Kişisel Veriler” tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili herhangi bir bilgi anlamına gelir; tanımlanabilir gerçek kişi, doğrudan veya dolaylı olarak, özellikle isim, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı veya söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunarak tanımlanabilen kişidir.
  • (j) “İşleme” (ve İşlem, İşlemler, İşleme gibi diğer biçimleri) Kişisel Veriler veya Kişisel Veri kümeleri üzerinde otomatik yollarla veya olmasın, toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanım, iletim yoluyla açıklama, yayma veya başka bir şekilde kullanılabilir hale getirme, hizalama veya birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem kümesi anlamına gelir.
  • (k) “İşlemci” Bir Controller adına Kişisel Verileri İşleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya başka bir kurum anlamına gelir.
  • (l) “İşleyici Bağlayıcı Kurumsal Kurallar” yetkili denetim otoritesi tarafından onaylanan işlemciler için bağlayıcı kurumsal kurallar anlamına gelir.
  • (m) “Kısıtlanmış Kişisel Veriler” Bir Kaynak Alanında bulunan Yetkili Kuruluştan kaynaklanan herhangi bir Kişisel Veri anlamına gelir.
  • (n) “Kısıtlı Aktarım (lar)” Sağlayıcı veya Alt İşleyicilerinden herhangi biri tarafından ilgili Kaynak Alanı dışındaki Kısıtlı Kişisel Verilerin işlenmesi (aktarılması, uluslararası erişim ve ileriye aktarılması dahil) anlamına gelir.
  • (o) “Hizmetler” İşbu DPA anlamında İşleyici olarak görev yapan Sağlayıcı tarafından sağlanan Sözleşme kapsamındaki Hizmetler anlamına gelir.
  • (p) “Standart Sözleşme Maddeleri” AB Standart Sözleşme Maddeleri ve Birleşik Krallık Standart Sözleşme Maddeleri anlamına gelir.
  • (q) “Alt İşlemci (ler)” Hizmetlerin yerine getirilmesinde yer alan diğer İşleyiciler anlamına gelir.
  • (r) “Transfer Koruması (lar) ı” GDPR Madde 46 uyarınca gerekli olan uygun önlemler dahil ancak bunlarla sınırlı olmamak üzere, Geçerli Veri Koruma Yasası'nın gerektirdiği şekilde Kısıtlı Aktarımlar için uygun önlemler anlamına gelecektir.
  • (s) “İngiltere GDPR” Birleşik Krallık'ın 2018 Avrupa Birliği (Geri Çekilme) Yasası'nın 3. Bölümü gereğince Birleşik Krallık yasalarına dahil edilen GDPR anlamına gelir.
  • (t) “Birleşik Krallık Standart Sözleşme Maddeleri” Uluslararası veri aktarım anlaşması (UK IDTA) ve ICO'nun AB Komisyonu Standart Sözleşme Maddeleri ile değiştirilen AB Standart Sözleşme Maddeleri ile değiştirilen AB Standart Sözleşme Maddeleri ile değiştirilen AB Standart Sözleşme Maddeleri ile değiştirilen Birleşik Krallık GDPR'nin 46 (2) Maddesi uyarınca Birleşik Krallık Bilgi Komisyonları Ofisi (ICO) tarafından zaman zaman kabul edilen standart veri koruma maddeleri anlamına gelir (”İngiltere Ek Sözleşmesi”). [1]

1 Bkz. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

3. YÜRÜRLÜKTEKİ VERİ KORUMA YASASINA UYGUNLUK

Taraflar, kendileri için geçerli olan ve burada gerekli olduğu şekilde Yürürlükteki Veri Koruma Yasasına uyacaklardır. Hizmet sunarken, Sağlayıcı, Kişisel Verilerin İşleyici Olarak İşlenmesine ilişkin Yürürlükteki Veri Koruma Kanunu hükümlerine özellikle uyacaktır.

4. İŞLEMENİN KAPSAMI

Sağlayıcı Kişisel Verileri yalnızca (a) işbu DPA ve Sözleşme'nin şartlarına uygun olarak veya (b) Siemens'in diğer belgeli talimatlarına göre işleyecektir. Sağlayıcı, bu DPA tarafından izin verilmedikçe Kişisel Verileri kendi amaçları için işlemeyecek veya üçüncü taraflara aktarmayacaktır. Sağlayıcı, Siemens'in verdiği bir talimat Geçerli Veri Koruma Yasasını ihlal ederse derhal Siemens'i bilgilendirecektir.

5. SAĞLANAN İŞLEME İŞLEMLERİNİN DETAYLARI

Sağlayıcı tarafından sağlanan İşleme işlemlerinin detayları - özellikle İşlemenin konusu, İşlemenin niteliği ve amacı, İşlenen Kişisel Verilerin türleri ve etkilenen veri sahiplerinin kategorileri - aşağıda belirtilmiştir. Ek I bu DPA'ya.

6. TEKNİK VE ORGANİZASYONEL ÖNLEMLER

Son teknoloji, uygulama maliyetleri ve İşlemenin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hak ve özgürlükleri için değişen olasılık ve ciddiyet riskini dikkate alarak Sağlayıcı, uygun ancak bunlarla sınırlı olmamak üzere, riske uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri uygulayacaktır: (a) Kişisel Verilerin takma adı ve şifrelenmesi; (b) sürekli gizlilik, bütünlük, kullanılabilirlik ve dayanıklılık İşleme sistemleri ve hizmetleri; (c) Fiziksel veya teknik bir olay durumunda Kişisel Verilerin kullanılabilirliğini ve erişimini zamanında geri kazanma yeteneği; (d) İşlemenin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etmek, değerlendirmek ve değerlendirmek için bir süreç. Önceki cümlenin genelliğine halel getirmeksizin, Sağlayıcı her zaman en azından aşağıda açıklanan teknik ve organizasyonel önlemleri uygulayacaktır. Ek IIbu DPA'ya.

1 Bkz. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

7. GİZLİLİK TAAHHÜDÜ

Sağlayıcı, personelinin Kişisel Verilere erişimini bilinmesi gereken esasına göre sınırlandıracaktır. Sağlayıcı, personeline veri koruma ile ilgili geçerli yasal ve sözleşme hükümleri hakkında ayrıntılı bildirimde bulunacaktır. Sağlayıcı, personelini bu hükümlere uyma ve özellikle Kişisel Verileri gizli tutma ve Siemens'in talimatlarına göre başka Kişisel Verileri İşlememe yükümlülüğü altına alacaktır. Gizlilik yükümlülüğü, bu Sözleşmenin sona ermesinden ve personelin Sağlayıcı ile sözleşme ilişkisinden sonra geçerli olmaya devam edecektir. Sağlayıcı talep üzerine bu yükümlülüğün kanıtını sağlayacaktır.

8. ALT İŞLEMCİLER

  • (a) Sağlayıcı, Alt İşlemcilerin katılımı için Siemens'in genel yetkisine sahiptir. Sağlayıcı tarafından görevlendirilen Alt İşlemcilerin güncel bir listesi şurada yer almaktadır: Ek III bu DPA'ya.
  • (b) Sağlayıcı, Alt İşlemcilerin eklenmesi veya değiştirilmesi yoluyla bu listede planlanan değişiklikleri en az 30 gün önceden yazılı olarak Siemens'e bildirecektir. Sağlayıcı, Siemens'in itiraz hakkını kullanabilmesi için gerekli bilgileri Siemens'e sağlayacaktır. Siemens bu 30 günlük süre içinde herhangi bir itirazda bulunmazsa, bu yeni Alt İşlemcinin onayı olarak kabul edilir. Siemens itirazda bulunursa, Sağlayıcı - Alt İşleyiciye Kişisel Verilere erişim yetkisi vermeden önce - Siemens tarafından ifade edilen endişeleri ve çekinceleri gidermek için makul çabayı gösterecek ve (i) Alt İşlemciyi kullanmaktan kaçınacak; veya (ii) Siemens'e Kişisel Verilerin itiraz edilen yeni Alt İşleyici tarafından işlenmesini önlemek için Hizmetlerde veya Siemens'in yapılandırmasında veya Hizmetlerin kullanımında makul bir değişiklik önerecektir. Sağlayıcı, Siemens'in itiraz gerekçelerini ortadan kaldıramazsa, Siemens etkilenen Hizmetleri herhangi bir zarar veya ceza olmaksızın feshetme hakkına sahiptir. Siemens tarafından fesih durumunda, Sağlayıcı geçerli Hizmet için ön ödemeli tutarları orantılı olarak iade edecektir.
  • (c) Sağlayıcı (Siemens ve/veya Yetkili Kuruluşlar adına) belirli işleme faaliyetlerini yürütmek üzere bir Alt İşleyiciyi görevlendirirse, bunu, esas olarak, bu DPA kapsamında Sağlayıcıyı bağlayanlarla aynı veri koruma yükümlülüklerini öngören yazılı bir sözleşme yoluyla yapacaktır.
  • (d) Sağlayıcı, Siemens'in talebi üzerine, söz konusu Alt İşleyici sözleşmesinin bir kopyasını ve Siemens'e yapılan sonraki değişiklikleri sağlayacaktır. İş sırlarını veya kişisel veriler de dahil olmak üzere diğer gizli bilgileri korumak için gerekli olduğu ölçüde, Sağlayıcı bir kopyasını paylaşmadan önce sözleşmenin metnini düzenleyebilir.
  • (e) Sağlayıcı, Alt İşleyiciyi bu gerekliliklere uygunluk açısından yeterli ve düzenli olarak denetleyecek ve bu denetimlerin sonuçlarını belgeleyecektir.
  • (f) Sağlayıcı, Alt İşlemcinin Sağlayıcı ile yaptığı sözleşme kapsamındaki yükümlülüklerini yerine getirmesinden Siemens'e karşı tamamen sorumlu olacaktır. Sağlayıcı, Alt İşleyicinin söz konusu sözleşme kapsamındaki yükümlülüklerini yerine getirmemesi durumunda Siemens'i bilgilendirecektir.

9. ULUSLARARASI VERİ İŞLEME

Sağlayıcıya Kısıtlı Transferler söz konusu olduğunda, Sağlayıcı, söz konusu Kısıtlı Transferin işbu kapsamda belirtilen yeterli Transfer Korumaları kapsamında olmasını sağlayacaktır. Bölüm 9 ve Ek III bu DPA'ya.

  • (a) Standart Sözleşme Maddeleri. Bir Transfer Koruması Standart Sözleşme Maddelerine dayanıyorsa aşağıdakiler geçerli olacaktır:

    • AEA-Sağlayıcılar. Sağlayıcı EEA içinde bulunuyorsa, Sağlayıcı Alt İşleyicisi ile Standart Sözleşme Maddelerine (Modül 3) girecektir. Bölüm 9 (a) (vii) (“Geçerli Hukuk”), 9 (a) (viii) (“Forum ve Yargı Seçimi”), 9 (a) (ix) (b) (“İngiltere Ek Sözleşmesinin 1. Bölümü”) ve Bölüm 9 (a) (x) ikinci cümlesi Sağlayıcı AEA'da bulunuyorsa bu DPA'nın (“Diğer Ülkelerdeki Yetkili Kuruluşlar”) geçerli olmayacaktır.
    • AEA Dışı Sağlayıcılar. Sağlayıcı EEA dışında bulunuyorsa, Kısıtlı Aktarım Standart Sözleşme Maddelerinin 2 ve 3. Modüllerine tabi olacaktır. Standart Sözleşme Maddelerinde yer alan ilgili hükümler referans olarak dahil edilmiştir ve bu DPA'nın ayrılmaz bir parçasıdır. Standart Sözleşme Maddelerinin Eklerinin amaçları için gerekli bilgiler aşağıda belirtilmiştir: Ekler I ila IIIbu DPA'ya.
    • Yerleştirme Maddesi. Standart Sözleşme Maddelerinin 7. maddesindeki seçenek geçerli olmayacaktır.
    • İleri Transferler. Daha sonraki aktarımlar, Standart Sözleşme Maddelerinin geçerli Modülünün 8 ve 9. Maddelerine uygun olmalıdır. Siemens'in AEA dışında bulunması ve Yetkili Kuruluşlarla Standart Sözleşme Maddeleri kapsamında veri ithalatçısı olarak hareket etmesi durumunda, Standart Sözleşme Maddelerinin 9 (e) Maddesinde öngörülen üçüncü taraf yararlanıcı maddesi söz konusu Yetkili Kuruluşun lehine olacaktır.
    • Alt İşlemcilerin KullanımıStandart Sözleşme Maddelerinin 9. Maddesi kapsamındaki Seçenek 2 geçerli olacaktır. Standart Sözleşme Maddelerinin 9 (a) Maddesinin amaçları doğrultusunda, Sağlayıcı, Siemens'in Alt İşlemcileri aşağıdakilere uygun olarak işe alma konusunda genel yetkisine sahiptir. Bölüm 8 Bu DPA'nın.
    • Tazminat. Sağlayıcının veri sahiplerine bağımsız bir uyuşmazlık çözüm organına şikayette bulunma seçeneği sunması durumunda (bkz. Standart Sözleşme Maddelerinin 11. Maddesindeki Seçenek), Sağlayıcı Siemens'e sorumlu tahkim organı hakkında yazılı olarak bilgilendirecek ve Standart Sözleşme Maddelerinin 11. Maddesinde yer alan geçerli gerekliliklere ve geçerli tahkim kurallarına uyacaktır.
    • Yürürlükteki Hukuk. Standart Sözleşme Maddelerinin 17. Maddesinin amaçları için geçerli yasa, Sözleşmenin geçerli hukuk bölümünde belirtilen yasa olacaktır. Sözleşme bir AB Üye Devleti yasasına tabi değilse, AB Standart Sözleşme Maddeleri Almanya yasalarına tabi olacaktır.
    • Forum ve Yargı Seçimi. Standart Sözleşme Maddelerinin 18. Maddesi kapsamındaki mahkemeler, Sözleşmenin yer bölümünde belirlenen mahkemeler olacaktır. Sözleşme, Sözleşmeden doğan veya Sözleşmeyle bağlantılı herhangi bir anlaşmazlığı veya davayı çözmek için münhasır yargı yetkisine sahip bir AB Üye Devleti mahkemesi belirlemezse, taraflar, Almanya mahkemelerinin AB Standart Sözleşme Maddelerinden kaynaklanan herhangi bir anlaşmazlığı çözmek için münhasır yargı yetkisine sahip olacağını kabul ederler.
    • Birleşik Krallık'taki Yetkili Kuruluşlar. Kısıtlı Transferlerin Birleşik Krallık'ta bulunan Yetkili Kuruluşlardan kaynaklanması durumunda, aşağıdakiler geçerli olacaktır:

      • İngiltere Ek Sözleşmesi. Siemens tarafından yazılı olarak aksi kararlaştırılmadıkça Birleşik Krallık Ek Sözleşmesi kullanılacaktır.
      • İngiltere Ek Sözleşmesinin 1. Bölümü. Birleşik Krallık Ek Sözleşmesinin 1. bölümü aşağıdaki şekilde uygulanır:

        1. Tablo 1: Tarafların ayrıntıları ve temel iletişim bilgileri şurada yer almaktadır: Ek I bu DPA'ya.
        2. Tablo 2: İngiltere Ek Sözleşmesinin eklendiği Onaylanmış AB SCC'lerinin (Birleşik Krallık Ek Sözleşmesi tarafından tanımlandığı şekilde) sürümü, yukarıda seçilen Modüller ve Maddelerle birlikte AB Standart Sözleşme Maddeleridir. Bölüm 9 (a) Bu DPA'nın. İthalatçıdan alınan hiçbir kişisel veri, İhracatçı tarafından toplanan kişisel verilerle birleştirilmez.
        3. Tablo 3: Birleşik Krallık Ek Sözleşmesinin Tablo 3'ünde istenen Ek Bilgileri şurada yer almaktadır: Ekler I ila III bu DPA'ya.
        4. Tablo 4: Onaylanan Ek Sözleşme (Birleşik Krallık Ek Sözleşmesinde tanımlandığı gibi) değiştiğinde taraflardan hiçbiri Birleşik Krallık Eki Sözleşmesini feshedeemez.
    • Diğer Ülkelerdeki Yetkili Kuruluşlar. Standart Sözleşme Maddelerinin AEA ve Birleşik Krallık (örneğin İsviçre) dışında bulunan Yetkili Kuruluşlardan Kısıtlı Transferleri koruması durumunda, (1) Standart Sözleşme Maddelerindeki GDPR veya AB veya Üye Devlet yasalarına genel ve özel referanslar, Yetkili Kuruluşun bulunduğu ülkenin Yürürlükteki Veri Koruma Kanunlarındaki eşdeğer referansla aynı anlama gelir; ve (2) “yetkili denetim otoritesine” yapılan atıflar, yetkili denetim makamına atıflar olarak yorumlanacaktır. veri koruma Bu ülkede otorite. Yürürlükteki yasa, forum seçimi ve yargı yetkisi aşağıdakilere tabidir: Bölüm 9 (a) (vii) ve (viii) Bu DPA'nın, ilgili Yetkili Kuruluş için geçerli yasalar tarafından aksi gerekmediği sürece, bu durumda Standart Sözleşme Maddeleri, Yetkili Kuruluşun bulunduğu ülkenin yasalarına tabi olacaktır ve yetkili “mahkemelere” yapılan atıflar söz konusu ülkedeki yetkili mahkemelere atıflar olarak yorumlanacaktır.
  • İşlemci Bağlayıcı Kurumsal Kurallar. Bir Aktarım Koruması İşlemcinin Bağlayıcı Kurumsal Kurallarına dayanıyorsa aşağıdakiler geçerli olacaktır: Sağlayıcı, söz konusu Alt İşlemciyi işbu DPA kapsamında İşlenen Kişisel Verilerle ilgili İşlemcinin Bağlayıcı Kurumsal Kurallarına uyması için sözleşmeli olarak bağlayacaktır..
  • Ek Aktarım Korumaları. Bir Transfer Korumasının Standart Sözleşme Maddelerine dayanmaması durumunda, Standart Sözleşme Maddelerine uyumu etkileyen yerel yasalar ve uygulamalar ve (ii) Standart Sözleşme Maddelerine uygunluğu etkileyen yerel yasalar ve uygulamalar ve (ii) Standart Sözleşme Maddelerinin 14 ve 15. maddelerinde yer alan kamu makamlarının erişim durumunda yükümlülükleri içermedikçe, Transfer Korumalarının 14 ve 15. Maddelerinde yer alan aynı hak ve yükümlülükleri içermedikçe, diğer Aktarım Korumaları kapsamındaki Kısıtlı Transferlere mutatis-mutandis uygulanacaktır.
  • Diğer. Sağlayıcı, yerel Yürürlükteki Veri Koruma Yasasının, bu kapsamda yer alan benzer veya ek aktarım kısıtlamaları içerebileceğini kabul ve anlar Bölüm 9. Bu durumda Sağlayıcı makul çabayı göstermeyi ve bu gereksinimleri karşılamak için Siemens ile iyi niyetle işbirliği yapmayı kabul eder.

10. SAĞLAYICININ YARDIMI

Sağlayıcı, Siemens'e Geçerli Veri Koruma Yasasına uyulmasını sağlamada makul şekilde yardımcı olacaktır, özellikle Siemens'e aşağıdaki gibi yardımcı olacaktır:

  • (a) İşlemenin Düzeltilmesi, Silinmesi veya Kısıtlanması. Sağlayıcı ya (i) Hizmetlerin işlevleri aracılığıyla Kişisel Verilerin İşlenmesini düzeltme, silme veya kısıtlama olanağı sağlayacaktır ya da (ii) Siemens'in talimatı doğrultusunda Kişisel Verilerin İşlenmesini düzeltme, silme veya kısıtlama olanağı sağlayacaktır.
  • (b) Kişisel Verilere Erişim. Bir veri sahibiyle ilgili bilgilere Hizmet aracılığıyla erişilemediği ölçüde, Sağlayıcı, Siemens ve Yetkili Kuruluşların yürürlükteki Veri Koruma Kanunları kapsamındaki yükümlülüklerini yerine getirmesini sağlamak için gerektiğinde, bu bilgileri Siemens ve/veya Yetkili Kuruluşlara sunmak için yardım sağlayacaktır.
  • (c) Veri Sahibi ve Yetki Talepleri. Sağlayıcı, Siemens'i şu konularda derhal bilgilendirecektir: (i) bir kolluk kuvvetleri, devlet veya düzenleyici kurum veya kurum tarafından alınan herhangi bir talep veya şikayet veya soruşturma bildirimi; ve (ii) herhangi bir veri sahibinden Kişisel Verileri hakkında doğrudan alınan herhangi bir talep. Yukarıdaki (i) ve (ii) ile ilgili olarak, Sağlayıcı Siemens'in talimatı olmadan yanıt vermeyecektir. Bu talimat verilirse, Sağlayıcı bu tür talepleri yanıtlamada Siemens'i makul bir şekilde destekleyecektir.
  • (d) Veri Taşınabilirliği. Siemens'in talebi üzerine ve Yürürlükteki Veri Koruma Yasası uyarınca gerekiyorsa, Sağlayıcı ya (i) Hizmetin işlevlerine uygun olarak belirli bir veri sahibine atıfta bulunarak Kişisel Verileri çıkarma olanağı sağlayacaktır veya (ii) ilgili veri setini Siemens ve/veya ilgili Yetkili Kuruluşa, her durumda yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir biçimde sunacaktır.
  • (e) Veri Koruma Etki Değerlendirmeleri. Siemens tarafından talep edilmesi halinde Sağlayıcı, Geçerli Veri Koruma Yasaları kapsamında veri koruma etki değerlendirmelerini yapmak için tüm bilgileri ve makul desteği sağlayacaktır.

11. VERİ İŞLEME İLİŞKİSİNİN SONA ERMESİ

Veri İşleme ilişkisinin sona ermesi üzerine, Siemens tarafından aksi talimat verilmedikçe veya burada belirtilmedikçe, Sağlayıcı tarafından sözleşmeye dayalı olarak kabul edilen Hizmetlerle bağlantılı olarak Sağlayıcıya sunulan veya Sağlayıcı tarafından elde edilen veya üretilen tüm Kişisel Verileri Siemens'e iade edecek ve kalan verileri geri dönülmez şekilde silecek veya yok edecektir. Silme veya imha, talep üzerine Sağlayıcı tarafından yazılı olarak onaylanacaktır.

12. BİLDİRİM YÜKÜMLÜLÜKLERİ

  • (a) Sağlayıcı, Sağlayıcının herhangi bir Veri İhlalini tespit etmesi veya makul bir şekilde şüphelenmesi durumunda Siemens'i derhal ancak 48 saat içinde bilgilendirecektir.
  • (b) Siemens'e yapılan bildirimde Sağlayıcı, Siemens'e şu bilgileri sağlayacaktır: (i) daha fazla bilginin alınabileceği (veya kimden) elde edilebileceği bir iletişim noktasının ayrıntıları, (ii) ihlalin niteliğinin bir açıklaması (mümkünse ilgili veri sahipleri ve kişisel veri kayıtlarının isimleri, kategorileri ve yaklaşık sayısı dahil), (iii) olası sonuçlar ve ihlali gidermek için alınan veya önerilen önlemler, uygun olduğunda olası önlemler de dahil olmak üzere yan etkileri. Tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı ölçüde, ilk bildirim o zaman mevcut olan bilgileri içerecek ve daha fazla bilgi, mevcut olduğunda, daha sonra gereksiz bir gecikme olmaksızın sağlanacaktır.
  • (c) Bunun altındaki herhangi bir bildirim Bölüm 12 (i) Sözleşmede belirtilen ilgili irtibat noktasına ve (ii) dataprotection@siemens.com.
  • (d) Sağlayıcı, Sağlayıcının masrafları ve masrafları ile (i) Veri İhlalinin soruşturulmasında Siemens ile tam işbirliği yapacak; (ii) etkilenen kişilere (bireysel iletişim, medya aracılığıyla kamuya açık iletişim yoluyla veya benzer önlemlerle), kolluk kuvvetlerine, düzenleyicilere ve/veya diğer üçüncü taraflara yasal olarak gerekli olan bildirimler veya açıklamalar konusunda Siemens ile işbirliği yapacak ve işbirliği yapacak ve (iii) Siemens'in söz konusu Veri İhlali ve herhangi bir anlaşmazlık, soruşturma veya iddiayla ilgili gerekli gördüğü diğer işlemleri gerçekleştirecektir. Bu, Veri İhlali ile ilgilidir.
  • (e) Yürürlükteki yasalar veya yetkili bir düzenleyicinin emri aksini gerektirmedikçe, Siemens tamamen kendi takdirine bağlı olarak (i) bir Veri İhlalinin bildirim gerektirip gerektirmediğini ve (ii) bildirimin şekli hakkında nihai kararı verecektir. Sağlayıcının bir Veri İhlali ile ilgili bu tür bildirimler vermesi durumunda, bu tür bildirimlerin Siemens tarafından önceden onaylanması gerekir.
  • (f) Sağlayıcı, olumsuz etkilerini hafifletmeye yönelik tedbirler de dahil olmak üzere Veri İhlalini gidermek için uygun önlemleri alacaktır (işletim ortamını koruma adımları dahil). Sağlayıcı ayrıca, Geçerli Veri Koruma Yasasının gerektirdiği herhangi bir işlem de dahil olmak üzere, herhangi bir Veri İhlalinin tekrarlanmasını önlemek için tasarlanmış hızlı adımlar atacaktır.
  • (g) Sağlayıcı, Kişisel Verileri Veri İhlalinden etkilenen kişilere kredi takibi sağlama maliyetleri dahil ancak bunlarla sınırlı olmamak üzere, Sağlayıcının neden olduğu söz konusu Veri İhlali nedeniyle oluşan tüm masraf ve masrafları Siemens'e geri ödeyecektir. Sözleşme kapsamında Sağlayıcı lehine sorumluluk sınırlamaları bu açıdan geçerli olmayacaktır.

13. DOKÜMANTASYON VE DENETİMLER

  • (a) Sağlayıcı (i) bu DPA ve Yürürlükteki Veri Koruma Kanunu kapsamındaki veri koruma yükümlülüklerine uygun yollarla uymasını izleyecek; (ii) ilgili periyodik (en az yıllık) ve duruma dayalı raporlar oluşturacaktır (her biri a”Rapor”); ve (iii) Raporları talep üzerine Siemens ve Yetkili Kuruluşlara sunmak. Sağlayıcı tarafından uygulanan bir kontrol standardı ve çerçevesinin kontrolleri sağladığı durumlarda, bu tür kontroller, geçerli her bir kontrol standardı veya çerçevesi için düzenleyici veya akreditasyon kuruluşunun standartlarına ve kurallarına göre gerçekleştirilecektir.
  • (b) Geçerli Veri Koruma Yasası, yürürlükteki Aktarım Önlemleri kapsamındaki denetim hak ve yükümlülüklerini yeterli şekilde yerine getirmesi gerekiyorsa veya yetkili bir veri koruma makamı veya başka bir yetkili devlet kurumu veya kurumu tarafından talep edilmesi halinde Sağlayıcı, Raporlara ek olarak Siemens veya Yetkili Kuruluşlar tarafından yürütülen denetimler dahil olmak üzere tüm bilgileri Siemens ve Yetkili Kuruluşlar tarafından yürütülen denetimlere izin verecek ve bunlara katkıda bulunacaktır. Bu amaçla, Siemens, Yetkili Kuruluşlar veya Siemens veya Yetkili Kuruluşlar tarafından görevlendirilen başka bir denetçi de, Sağlayıcının iş faaliyetlerini aksatmadan ve makul bir önceden bildirimde bulunarak normal çalışma saatleri içinde yerinde denetimler yapma hakkına sahip olacaktır.

14. ÇEREZLERİN KULLANIMI

Hizmet çerezleri veya benzer teknolojileri kullanıyorsa, aşağıdakiler geçerli olacaktır: Sağlayıcı, Siemens tarafından buna atıfta bulunularak aksi kararlaştırılmadığı sürece sağlayacaktır. Bölüm 14, yalnızca bir elektronik iletişim ağı üzerinden iletişimin iletimini gerçekleştirmek amacıyla veya Sağlayıcının Hizmetlerin temel işlevlerini sağlaması için kesinlikle gerekli olan Hizmet kullanıcısının terminal ekipmanında zaten depolanan bilgilere (örneğin, bir çerez aracılığıyla) depolamak (örneğin, bir çerez aracılığıyla) bilgi depolamak (örneğin, bir çerez aracılığıyla) depolamak (örneğin, bir çerez aracılığıyla) saklamak (örneğin, bir çerez aracılığıyla).

15. ÇEŞİTLİ

Sağlayıcı, işbu DPA'daki gerekliliklerin Sözleşmenin ayrılmaz bir parçası olduğunu ve bu gerekliliklerden herhangi birinin önemli bir ihlali Sözleşmenin Sağlayıcısı tarafından önemli bir ihlali olarak kabul edileceğini ve Siemens'in Sözleşmede yer alan ihlalle ilgili maddi yollara hakkı vereceğini anlar ve kabul eder.

16. SİEMENS VERİLERİ İLE İLGİLİ EK GEREKSİNİMLER

Sağlayıcı, Amerika Birleşik Devletleri'nde kurulmuş bir Siemens grubu şirketinden alınan Kişisel Verilere erişirse ve bu ölçüde erişirse (”Siemens ABD Şirketi”) veya Amerika Birleşik Devletleri'nde ikamet eden bir veri sahibinin, yukarıdakilere ek olarak Sağlayıcı: (i) Sağlayıcı, söz konusu Kişisel Veriler ve bu Kişisel Verilerin sahipleri veya denetleyicileri için geçerli olan Kişisel Verilerle ilgili ABD federal, eyalet ve yerel yasalarına uyacaktır; yukarıdakiler geçerli olduğunda, burada kullanılan “Geçerli Veri Koruma Yasası” terimi yukarıdaki yasaları içerecektir; (ii) burada özel olarak belirtilmediği sürece Sözleşme satmaz, paylaşmaz, kiralamaz, serbest bırakmaz, ifşa etmez, yaymaz veya kullanıma sunmaz Kişisel Veriler üçüncü taraflara; ve Kişisel Verileri diğer bilgilerle birleştirmeyecektir; (iii) Sağlayıcının bundan böyle yükümlülüklerini yerine getiremeyeceğine karar verirse Siemens'i bilgilendirecek; (iv) Kişisel Verileri işleyen her kişinin Kişisel Verilerle ilgili gizlilik yükümlülüğüne tabi olmasını sağlayacaktır; (v) Geçerli Veri Koruma Yasası kapsamında bir “hizmet sağlayıcı” olarak kabul edilecek ve hareket edecektir (California Tüketici Gizliliği Yasası, uygulama düzenlemeleri ve değişiklikleri); ve (vii) burada yer alan kısıtlamaları anladığını ve bunlara uyacağını onaylar.

DPA'nın Ek I (ve uygulanabilir olduğu durumlarda Standart Sözleşme Maddeleri)

A.PARTİLERİN LİSTESİ

Hizmet alıcısı/veri ihracatçısı:

İsim:

Yürütme Formunda belirtilen Siemens kuruluşu

Adres:

İcra Formunda belirtildiği gibi

İletişim adı, pozisyonu ve iletişim bilgileri

Siemens Veri Koruma Görevlisi Ofisi

Werner-von-siemens-Straße 1, 80333 Münih, Almanya

E-Posta: datapotection@siemens.com

Aktarılan/işlenen verilerle ilgili faaliyetler

İş Ortağı, Sözleşmeye uygun olarak İş Ortağı Yetkilendirme Formunda belirtildiği şekilde Müşterilere müşteri başarı hizmetleri ve/veya bakım ve destek sağlayacaktır. Bu hizmetleri yerine getirirken, İş Ortağı Siemens son müşteri sistemlerine ve ağlarına da erişebilir ve kişisel verilere erişim hariç tutulamaz.

Rol (Denetleyici/İşlemci)

Siemens, Sağlayıcı tarafından Siemens karşısında sağlanan işleme faaliyetleri için Controller olarak ve Sağlayıcı tarafından Yetkili Kuruluşlar karşısında sağlanan işleme faaliyetleri için Yetkili Kuruluşlarının talimatları doğrultusunda İşleyici olarak hareket eder.

Sağlayıcı/veri içe aktarıcı:

İsim:

Yürütme Formunda belirtilen sağlayıcı varlığı

Adres:

İcra Formunda belirtildiği gibi

İletişim adı, pozisyonu ve iletişim bilgileri

İş Ortağı Yetkilendirme Formunda belirtildiği gibi

Aktarılan/işlenen verilerle ilgili faaliyetler

Yukarıdaki tabloya bakın

Rol (Denetleyici/İşlemci)

Sağlayıcı, Siemens adına ve duruma göre Yetkili Kuruluşlar adına Kişisel Verileri İşleyen İşleyici olarak hareket eder.

B. TRANSFER/İŞLEME İŞLEMLERİNİN TANIMI

Kişisel Verileri Aktarılan/İşlenen Veri Sahipleri Kategorileri:

☒ Çalışanlar ve personel (başvuru sahipleri, düzenli, geçici, yarı zamanlı, kursiyerler, yükleniciler ve acenteler dahil)

☒ İş ortakları, tedarikçiler, satıcılar ve diğer işbirliği ortaklarındaki irtibat kişileri

☒ Müşteri (ler) ve/veya çalışanları ve personeli (başvuru sahipleri, düzenli, geçici, yarı zamanlı, kursiyerler, yükleniciler ve acenteler dahil)

☒ Siemens yazılım ürünleri/hizmetlerinin kullanıcıları

☐ Diğer, lütfen listeleyin:

Sağlanan Hizmetler kapsamında yer alan bir uygulama veya BT sisteminde kişisel verileri yer alan diğer veri sahipleri.

Aktarılan/İşlenen Kişisel Veri Kategorileri

☒ İletişim bilgileri (ad, adres, telefon veya faks numarası, e-posta adresi vb.)

☒ Örgütsel organizasyon (iş pozisyonu, departman vb.)

☒ Konum verileri (GPS vb.)

☐ Resmi ve kişisel tanımlayıcılar (sosyal güvenlik numarası, ehliyet numarası, sosyal sigorta numarası vb.)

☐ Finansal veriler (gelir, kredi dosyaları, işlemler, kredi bilgileri, satın alma ve tüketim alışkanlıkları, iflas durumu vb.)

☐ İstihdama verileri (işe alım verileri ve yeterlilik, tazminat ve bordro verileri, çalışan kimlik verileri, çalışan durumu, katılım verileri, iş geçmişi verileri vb.)

☒ Kullanıcı hesabı verileri (kullanıcı adı/kimlik ve şifre vb.)

☒ Veri sahibinin BT varlıklarını kullanmasıyla ilgili bilgiler (IP adresi, oturum açma bilgileri, kimlik bilgileri vb.)

☐ Finansal hesap bilgileri (bankacılık/kredi kartı verileri, hesap numaraları, kredi kartı numaraları vb.)

☐ Diğer; lütfen listeleyin:

Sağlanan Hizmetler kapsamında yer alan bir uygulama veya BT sisteminde yer alan diğer kişisel veriler.

Erişilecek veya İşlenecek Kişisel Verilerin Özel Kategorileri

☐ Irksal veya etnik köken hakkında bilgi

☐ Siyasi görüşler hakkında bilgi

☐ Dini veya felsefi inançlar hakkında bilgi

☐ Sendika üyeliği hakkında bilgi

☐ Cinsel yaşam veya cinsel yönelim hakkında bilgi

☐ Biyometrik veriler

☐ Genetik veriler

☐ Sağlık verileri (zihinsel veya fiziksel engeller, aile tıbbi öyküsü, kişisel tıbbi geçmiş, tıbbi kayıtlar, reçeteler vb.)

☐ Diğer; lütfen listeleyin:

Bu tür hassas Kişisel Verilere uygulanan kısıtlamalar veya önlemler aşağıda açıklanmıştır: Ek II bu DPA'ya

Aktarımın sıklığı (erişim/işleme)

☐ Sağlayıcı, Siemens ve duruma göre Yetkili Kuruluşlar adına Kişisel Verileri barındırır

☒ Sağlayıcı, hizmetleri sağlarken Kişisel Verilere uzaktan erişir

☒ tek seferlik

☒ sürekli olarak

☐ Sağlayıcı, hizmetleri sağlarken Kişisel Verileri başka şekilde işler

☐ tek seferlik

☐ sürekli olarak

İşlemenin Doğası

☐ Koleksiyon

☒ Kayıt

☒ Organizasyon

☒ Yapılandırma

☐ Depolama

☒ Adaptasyon veya değişiklik

☐ Geri alma

☒ Danışma

☒ Kullan

☐ İletim yoluyla açıklama

☐ Yayılma

☐ Aksi takdirde kullanılabilir hale getirme

☐ Hizalama veya kombinasyon

☐ Kısıtlama

☐ Verilerin silinmesi veya imhası

☒ Uzaktan erişim

☐ Diğer:

Aktarılan/işlenen verilerle ilgili amaç/faaliyetler

☒ Sağlayıcı sağlar bakım ve destek hizmetleri ve Kişisel Verilere uzaktan erişim de dahil olmak üzere erişime sahip olabilir.

☐ Sağlayıcı sağlar profesyonel hizmetler Kurulum, yapılandırma veya veri geçişi veya diğer ilgili BT hizmetleri gibi bir uygulama/sistem veya ağ ile bağlantılı hizmetler gerçekleştirerek ve Kişisel Verilere uzaktan erişim de dahil olmak üzere erişime sahip olabilir.

☐ Sağlayıcı sağlar yönetilen hizmetlerVeri merkezi ve altyapı yönetimi, yedekleme ve kurtarma yönetimi dahil olmak üzere Kişisel Verilere uzaktan erişim de dahil olmak üzere erişime sahip olabilir.

☐ Sağlayıcı sağlar XaaS (Hizmet Olarak Yazılım, Platform veya Altyapı) barındırma, işletme, yönetim ve bakım ve destek hizmetleri sağlayarak.

☒ Diğer: Sağlayıcı müşteri başarı hizmetleri sağlar ve Kişisel Verilere uzaktan erişim de dahil olmak üzere erişebilir.

Süre

☐ Kişisel Veriler Sözleşme süresi boyunca saklanacaktır.

☐ Kişisel Veriler aşağıdaki bir süre boyunca saklanacaktır:

☒ Diğer: Kişisel veriler, aksi belirtilmedikçe Sipariş süresi boyunca saklanacaktır.

Alt İşleyici/İşleyenlere aktarımlar için, İşlemenin konusunu, niteliğini ve süresini de belirtin

İşlemenin konusu, niteliği ve süresi Alt İşleyici başına belirtilmiştir. Ek III bu DPA'ya.

C.YETKİLİ DENETİM OTORİTESİ

Siemens'in bir AB Üye Devletinde kurulduğu durumlarda, veri aktarımı konusunda Siemens'in GDPR'ye uygunluğunu sağlamaktan sorumlu denetim otoritesi yetkili denetim otoritesi olarak hareket edecektir. Siemens Aktiengesellschaft, Almanya için denetim otoritesi:

Bayerisches Landesamt for Verenschutzaufsicht (BayLDA)

Gezinti Yolu 18

91522 Ansbach

Almanya

Siemens'in bir AB Üye Devletinde kurulmadığı, ancak GDPR'nin 3 (2) maddesi uyarınca bölgesel uygulama kapsamına girmesi durumunda, GDPR'nin Madde 27 (1) anlamında temsilcinin kurulduğu Üye Devletin denetleyici otoritesi yetkili denetim otoritesi olarak hareket edecektir; yani:

Bayerisches Landesamt for Verenschutzaufsicht (BayLDA)

Gezinti Yolu 18

91522 Ansbach

Almanya

DPA'nın Ek II (ve uygulanabilir olduğu durumlarda Standart Sözleşme Maddeleri)

Teknik ve Organizasyonel Önlemler (Verilerin Güvenliğini Sağlamak için Teknik ve Organizasyonel Önlemler Dahil)

Aşağıdaki önlemler, yalnızca temel BT sistemleri, ağlar ve uygulamalar Sağlayıcının sorumluluğunda ve/veya sağlayıcının gözetiminde veya kontrolü altında olduğu sürece Sağlayıcı için geçerli olacaktır. Sağlayıcı ve Alt İşleyicileri tarafından uygulanan teknik ve organizasyonel güvenlik önlemlerinin açıklaması:

#

Önlemler

SferA

Kural Kimliği

Fiziksel ve Çevresel Güvenlik

Sağlayıcı, yetkisiz kişilerin veri işleme ekipmanlarına (yani veritabanı ve uygulama sunucuları ve ilgili donanım) erişmesini önlemek için uygun önlemleri uygular. Bu, aşağıdakilerle gerçekleştirilecektir:

güvenlik alanlarının oluşturulması;

erişim yollarını korumak ve kısıtlamak;

merkezi olmayan veri işleme ekipmanlarının ve kişisel bilgisayarların güvenliğini sağlamak;

ilgili belgeler de dahil olmak üzere çalışanlar ve üçüncü taraflar için erişim izinlerinin oluşturulması;

erişim kartları ile ilgili düzenlemeler;

erişim kartlarında kısıtlamalar;

Kişisel Verilerin barındırıldığı veri merkezine tüm erişim kaydedilecek, izlenecek ve izlenecektir;

Kişisel Verilerin barındırıldığı veri merkezi, kısıtlı erişim kontrolleri ve diğer uygun güvenlik önlemleri ile güvence altına alınmıştır; ve

BT alanlarında ve veri merkezlerinde destekleyici ekipmanların bakımı ve muayenesi sadece yetkili personel tarafından yapılacaktır.

11.1.1-02

Erişim Kontrolü (BT sistemleri ve/veya BT uygulaması)

Sağlayıcı bir rol ve sorumluluk kavramı uygular.

06.1.1-01

Sağlayıcı, aşağıdaki unsurları içeren ancak bunlarla sınırlı olmamak üzere bir yetkilendirme ve kimlik doğrulama çerçevesi uygular:

uygulanan rol tabanlı erişim denetimleri;

Uygulanan hesapları oluşturma, değiştirme ve silme işlemi;

BT sistemlerine ve uygulamalarına erişim kimlik doğrulama mekanizmaları tarafından korunur;

BT sisteminin veya uygulamasının özelliklerine ve teknik seçeneklerine göre uygun kimlik doğrulama yöntemleri kullanılır;

BT sistemlerine ve uygulamalarına erişim, ayrıcalıklı hesaplar için en az iki faktörlü kimlik doğrulama gerektirir;

Kişisel Verilere tüm erişim kaydedilir, izlenir ve izlenir;

BT sistemlerine ve uygulamalarına gelen ağ bağlantıları için yetkilendirme ve günlüğe kaydetme önlemleri (gelen ağ bağlantılarına izin vermek veya reddetmek için güvenlik duvarları dahil) uygulanır;

BT sistemlerine, uygulamalarına ve ağ hizmetlerine ayrıcalıklı erişim hakları yalnızca görevlerini yerine getirmek için ihtiyaç duyan kişilere verilir (en az ayrıcalık ilkesi);

BT sistemlerine ve uygulamalarına ayrıcalıklı erişim hakları belgelenir ve güncel tutulur;

BT sistemlerine ve uygulamalarına erişim hakları düzenli olarak gözden geçirilir ve güncellenir;

şifre karmaşıklığı, minimum uzunluk ve yeterli süre sonra sona erme, yakın zamanda kullanılan parolaların yeniden kullanılmaması ile ilgili gereksinimler dahil olmak üzere uygulanan parola politikası;

BT sistemleri ve uygulamaları teknik olarak şifre politikasını uygular;

çalışanların ve harici personelin BT sistemlerine ve uygulamalarına erişim hakları, iş veya sözleşmenin feshi üzerine derhal kaldırılır; ve

Güvenli son teknoloji kimlik doğrulama sertifikalarının kullanımı sağlanır.

09.1.1-02

09.1.1-03

09.2.3-01

09.4.2-02

BT sistemleri ve uygulamaları, makul bir tanımlanmış boşta kalma süresi sınırını aştıktan sonra otomatik olarak kilitlenir veya oturumu sonlandırır.

11.2.9-03

11.2.9-04

Sağlayıcı, bulut varlıklarına ayrıcalıklı erişimi tek veya belirli IP adresi aralıklarıyla sınırlar.

ST002-0008

Bulut varlıklarına ayrıcalıklı erişim, bir burç ana bilgisayarı aracılığıyla yapılır.

ST002-0009

Sağlayıcı, şüpheli oturum açma faaliyetlerine karşı (örn. kaba kuvvet ve şifre tahmin saldırılarına karşı) önlemler alarak BT sistemlerinde oturum açma prosedürlerini sürdürür.

09.4.2-02

Kullanılabilirlik Denetimi

Sağlayıcı, uygun ve son teknoloji kötü amaçlı yazılım önleme çözümlerini uygulayarak sistemleri ve uygulamaları kötü amaçlı yazılımlara karşı korur.

12.2.1-01

Sağlayıcı, aşağıdaki teknik ve organizasyonel unsurları içeren BT sistemleri için bir yedekleme konseptini tanımlar, belgeler ve uygular:

yedekleme depolama ortamı yetkisiz erişime ve çevresel tehditlere (örneğin, ısı, nem, yangın) karşı korunur;

tanımlanmış yedekleme aralıkları; ve

yedeklemelerden verilerin geri yüklenmesi, BT sisteminin veya uygulamasının kritikliğine göre düzenli olarak test edilir.

12.3.1-01

Sağlayıcı, yedekleri üretken sistemin barındırıldığı konumdan farklı bir fiziksel konumda depolar.

ST002-0013

Üretim dışı ortamlardaki BT sistemleri ve uygulamaları, BT sistemlerinden ve üretim ortamlarındaki uygulamalardan mantıksal veya fiziksel olarak ayrılır.

12.1.4-01

Kişisel Verilerin depolandığı veya işlendiği veri merkezleri doğal afetlere, fiziksel saldırılara veya kazalara karşı korunmaktadır.

11.1.4-02

Kablolar, elektrik, telekomünikasyon tesisleri, su temini veya klima sistemleri gibi BT alanlarındaki ve veri merkezlerindeki destek ekipmanları kesintilere ve yetkisiz manipülasyonlara karşı korunur.

11.1.4-02

Operasyon Güvenliği

Sağlayıcı, burada açıklanan önlemleri yansıtan, düzenli olarak gözden geçirilen ve güncellenen bir Bilgi Güvenliği Çerçevesini korur ve uygular.

05.1.1-01

Sağlayıcı, kullanıcı yönetimi etkinlikleri (örn. oluşturma, silme), başarısız oturum açmaları, BT sistemlerinde ve uygulamalarında sistemin güvenlik yapılandırmasında değişiklikler gibi güvenlikle ilgili olayları günlüğe kaydeder.

12.4.1-01

Sağlayıcı, ilgili BT sistemlerini ve uygulama günlük verilerini anormallikler, düzensizlikler, tehlike göstergeleri ve diğer şüpheli faaliyetler için sürekli olarak analiz eder.

12.4.1-03

Sağlayıcı, BT sistemlerini ve uygulamalarını güvenlik açıklarına karşı düzenli olarak tarar ve test eder.

12.6.1-01

Sağlayıcı, BT sistemleri ve uygulamaları için bir değişiklik yönetimi süreci uygular ve sürdürür.

12.1.2-01

Sağlayıcı, ilgili BT sistemleri ve uygulamalarında satıcı güvenlik düzeltmelerini ve güncellemelerini güncellemek ve uygulamak için bir süreç sürdürür.

12.6.1-03

Sağlayıcı, bir BT sistemini elden çıkarmadan veya yeniden kullanmadan önce verileri geri alınamaz şekilde siler veya veri depolama ortamını fiziksel olarak yok eder.

11.2.7-01

Şanzıman Kontrolleri

Sağlayıcı ağ topolojilerini ve güvenlik gereksinimlerini düzenli olarak belgeler ve günceller.

13.1.1-02

Sağlayıcı, kötü niyetli ve anormal ağ etkinliklerini tespit etmek için BT sistemlerini, uygulamalarını ve ilgili ağ bölgelerini sürekli ve sistematik olarak izler

Güvenlik duvarları (örn. Durumsal güvenlik duvarları, uygulama güvenlik duvarları);

Proxy sunucuları;

İzinsiz Giriş Tespit Sistemleri (IDS) ve/veya İzinsiz Giriş Önleme Sistemleri (IPS);

URL filtreleme; ve

Security Information and Event Management (SIEM) sistemleri

13.1.1-06

Sağlayıcı, BT sistemlerini ve uygulamalarını son teknoloji şifreli bağlantıları kullanarak yönetir.

13.1.3-09

Sağlayıcı, TLS gibi son teknoloji ağ protokolleri ile iletim sırasında içeriğin bütünlüğünü korur.

13.2.3-05

Sağlayıcı, genel ağlar üzerinden iletilen Sağlayıcı verilerini şifreler veya Sağlayıcılarının şifrelemesini sağlar.

ST002-0017

Sağlayıcı, gizli anahtarları bulutta depolamak için güvenli Anahtar Yönetim Sistemleri (KMS) kullanır.

ST002-0018

Security Olayları

Sağlayıcı aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere bir olay işleme sürecini sürdürür ve uygular:

güvenlik ihlallerinin kayıtları;

Sağlayıcı bildirim süreçleri; ve

Olay anında aşağıdakileri ele alan bir olay müdahale şeması: (i) bir uzlaşma durumunda roller, sorumluluklar ve iletişim ve iletişim stratejileri (ii) belirli olay müdahale prosedürleri ve (iii) tüm kritik sistem bileşenlerinin kapsamı ve yanıtları.

06.1.3-01

Varlık Yönetimi, Sistem Edinme, Geliştirme ve Bakım

Sağlayıcı, yeni BT sistemlerinin ve uygulamalarının geliştirilmesi ve edinilmesinden önce ve mevcut BT sistemleri ve uygulamalarında iyileştirmeler yapmadan önce bilgi güvenliği gereksinimlerini tanımlar ve belgeler.

14.1.1-01

Sağlayıcı, geliştirilen uygulamalarda değişiklikleri kontrol etmek ve gerçekleştirmek için resmi bir süreç oluşturur.

14.2.2-01

Sağlayıcı, BT sistemlerinin ve uygulamalarının Sistem Geliştirme Yaşım Döngüsüne güvenlik testlerini planlar ve dahil eder.

14.2.8-01

Sağlayıcı aşağıdakileri içeren yeterli bir güvenlik yama işlemi uygular:

potansiyel zayıflıklar (CVE'ler) için bileşenlerin izlenmesi;

düzeltmenin öncelik derecesi;

düzeltmenin zamanında uygulanması; ve

güvenilir kaynaklardan yamaların indirilmesi.

88.1.1-01

PR001-0001

İnsan Kaynakları Güvenliği

Sağlayıcı, insan kaynakları güvenliği alanında aşağıdaki önlemleri uygular:

Kişisel Verilere erişimi olan çalışanlar gizlilik yükümlülüklerine tabidir; ve

Kişisel Verilere erişimi olan çalışanlar, geçerli veri koruma yasaları ve düzenlemeleri konusunda düzenli olarak eğitilmektedir.

07.1.1-01

Sağlayıcı, Sağlayıcı çalışanları ve harici satıcılar için bir offboarding süreci uygular.

07.3.1-02

88.1.4-01

Kriptografi (ağ hizmetleri bağlamında DP ile ilgili)

Sağlayıcı, güvenli son teknoloji sertifikaları kullanır ve aşağıdakileri uygular:

dijital sertifikalar yalnızca dijital sertifika güvenilir bir sertifika yetkilisi tarafından verilmişse kabul edilir ve güvenilir;

sertifikalar özel BT sistemlerine ve uygulamalarına kullanılır ve tahsis edilir; ve

dijital sertifikaların geçerliliği doğrulanır.

07.1.1-01

Sağlayıcı, şifreleme anahtarlarını oluşturmak, depolamak, yedeklemek, dağıtmak ve iptal etmek için kurallar ve gereksinimler dahil olmak üzere şifreleme anahtarlarının yönetimi ve uygulanması için bir süreç uygular.

07.3.1-02

88.1.4-01

DPA'nın Ek III (ve uygulanabilir olduğu durumlarda Standart Sözleşme Maddeleri)

ALT İŞLEMCİLERİN VE VERİ MERKEZİ KONUMLARININ LİSTESİ

'İş Ortağı Yetkilendirme Formu' şunları belirtir:

Kişisel verilerin depolanması/barındırılmasıyla uğraşan kuruluşlar (Ortak ve alt işlemciler dahil),

Uygulanabilir Veri Merkezi Konumları,

Kişisel verilerin depolanması/barındırma amaçları için işlenmesiyle uğraşan alt işlemciler,

Bu referansla buraya dahil edilmiştir.

Sağlayıcı, Siemens'in izni olmadan ilgili Veri Merkezi Konumundan Kişisel Verileri aktarmayacaktır. İçerdiği bildirim ve itiraz mekanizması Bölüm 8 Bu konuda geçerli olmayacaktır.