Kullanım Koşullarına EK No. 4: Standard Sözleşme Maddeleri

DÖRDÜNCÜ MODÜL: İşleyiciden kontrolöre aktarma

26 Kasım 2025 tarihi itibarıyla

Şartlara ek olarak, Tarafların bir Aboneliğin satın alınması veya edinilmesiyle ilgili Hizmetleri sağlama bağlamında bu şartların bağlayıcılığı altına girmeleri durumunda ve bir Avrupa Ekonomik Alanı dışındaki üçüncü bir ülkede bulunan bir kuruluşa kişisel verilerin aktarılması söz konusu olduğu sürece veya Avrupa Komisyonu'nun bir kararıyla yeterli olarak belirlenmediği sürece (veri aktarıcısı), aşağıda belirtildiği şekilde bu Standart Sözleşme Maddeleri (Avrupa Komisyonu'nun Standart Sözleşme Maddelerini (2021/914/EU) dahil ederek) geçerli olacaktır.

Bu Standard Sözleşme Maddelerinin belirli bir hükmünde başka bir şekilde belirtilmedikçe, burada yer alan tüm kapitalize terimlerin anlamı Şartlarda ve Ek 3'ünde - Veri İşleme Sözleşmesi'nde tanımlandığı şekilde olacaktır ("Veri İşleme Sözleşmesi").

Bulut bilgisayarları ve diğer işlevleri ile ilgili olarak alt işleyicilerimiz olarak üçüncü taraf hizmetlere güvenebiliriz. Sözleşmesel, teknik ve organizasyonel önlemlerle birlikte uygun bir veri koruması düzeyi sağlamak amacıyla bu durumlarda, hizmet sağlayıcılarımızı dikkatlice seçeriz. Bu bağlamda, geçerli yasalara uygun olarak kişisel verileri üçüncü ülkelere aktarabiliriz. Avrupa Birliği (AB) veya Avrupa Ekonomik Alanı (AEA) dışına herhangi bir veriyi aktarmadan önce, alıcı ülkenin veri koruma yasalarının yeterliliğini değerlendirir ve aşağıdakiler gibi uygun önlemleri uygulamayı dikkate alırız:

• Taraflar için sözleşmeli olarak bağlayıcı olacak şekilde onaylanmış Standard Sözleşme Maddelerini kullanmak ve/veya
• Tanınmış davranış kodlarına veya sertifikasyon mekanizmalarına güvenmek

alıcının kişisel verileri geçerli veri koruma gereksinimlerine uygun olarak işlediğinden emin olmak.

BÖLÜM I

Madde 1 Amaç ve kapsam

(a) Bu standart sözleşme maddelerinin amacı, kişisel verilerin işlenmesi ve kişisel verilerin üçüncü bir ülkeye aktarılması için bu tür verilerin serbest dolaşımı ile ilgili olarak gerçek kişilerin korunmasına ilişkin, Avrupa Parlamentosu ve Konseyi'nin 27 Nisan 2016 tarihli ve (AB) 2016/679 sayılı Yönetmeliğinin (Genel Veri Koruma Yönetmeliği) (1) gerekliliklerine uygunluğunu sağlamaktır.

(b) Taraflar:

(i) Ek I.A'da listelendiği gibi kişisel verileri aktaran gerçek veya tüzel kişi/kişiler, kamu kurumu/kurumları, devlet dairesi/daireleri veya diğer kuruluşlar (bundan sonra "kuruluş/kuruluşlar" olarak anılacaktır) (bundan sonra her biri "veri dışa aktaranı" olarak anılacaktır) ve

(ii) Ek I.A'da listelendiği gibi, bu Maddelere Taraf olan başka bir kuruluş aracılığıyla doğrudan veya dolaylı olarak veri göndericisinden kişisel verileri alan, üçüncü bir ülkede bulunan kuruluş/kuruluşlar (bundan böyle her biri "veri içe aktaranı" olarak anılacaktır)

bu standart sözleşme maddelerini kabul etmiş bulunmaktadır (bundan sonra: "Maddeler" olarak anılacaktır).

(c) Bu Maddeler, Ek I.B'de belirtildiği şekilde kişisel verilerin aktarılması hususunda geçerlidir.

(d) Atıfta bulunulan Ekleri içeren, bu Maddelerin yer aldığı Ana Belge Eki, bu Maddelerin ayrılmaz bir parçasını oluşturur.

Madde 2 Maddelerin Etkisi ve Değişmezliği

(a) Bu Maddeler, uygun Modülü/Modülleri seçmek veya Ana Belge Ekinde bilgi eklemek veya güncellemek dışında değiştirilmemeleri şartıyla; (AB) 2016/679 sayılı Yönetmeliğin 46(1) Maddesi ve 46(2)(c) Maddesi uyarınca ve kontrolörlerden işleyicilere ve/veya işleyicilerden işleyicilere veri aktarımları ile ilgili olarak da (AB) 2016/679 sayılı Yönetmeliğin 28(7) Maddesi uyarınca standart sözleşme maddelerine uygun olarak, uygulanabilir veri öznesi hakları ve geçerli yasal yollar dahil olmak üzere uygun güvenceleri belirler. Bu, Tarafların bu Maddelerde belirtilen standart sözleşme maddelerini daha geniş bir sözleşmeye dahil etmelerini ve/veya bu Maddelerle doğrudan veya dolaylı olarak çelişmemeleri veya veri öznelerinin temel hak veya özgürlüklerine zarar vermemeleri koşuluyla başka maddeler veya ek güvenceler eklemelerini engellemez.

(b) Bu Maddeler, (AB) 2016/679 sayılı Yönetmelik uyarınca veri dışa aktaranının tabi olduğu yükümlülüklere halel getirmez.

Madde 3 Üçüncü taraf lehtarlar

(a) Veri özneleri, üçüncü taraf lehtarlar olarak, aşağıdaki istisnalar dışında, veri dışa aktaranına ve/veya veri içe aktaranına karşı bu Maddeleri uygulayabilir ve yürürlüğe koyabilir:

(i) Madde 1, Madde 2, Madde 3, Madde 6, Madde 7;

(ii) Madde 8 – Birinci Modül: Madde 8.5 (e) ve Madde 8.9(b); İkinci Modül: Madde 8.1(b), 8.9(a), (c), (d) ve (e); Üçüncü Modül: Madde 8.1(a), (c) ve (d) ve Madde 8.9(a), (c), (d), (e), (f) ve (g); Modül Dört: Madde 8.1(b) ve Madde 8.3(b);

(iii) Madde 9 – İkinci Modül: Madde 9(a), (c), (d) ve (e); Üçüncü Modül: Madde 9(a), (c), (d) ve (e);

(iv) Madde 12 – Birinci Modül: Madde 12(a) ve (d); Modül İki ve Üç: Madde 12(a), (d) ve (f);

(v) Madde 13;

(vi) Madde 15.1(c), (d) ve (e);

(vii) Madde 16(e);

(viii) Madde 18 – Modül Bir, İki ve Üç: Madde 18(a) ve (b); Modül Dört: Madde 18.

(b) Paragraf (a), (AB) 2016/679 sayılı Yönetmelik kapsamındaki veri özneleri haklarına halel getirmez.

Madde 4 Yorumlama

(a) Bu Maddelerin (AB) 2016/679 sayılı Yönetmelikte tanımlanan terimleri kullandığı durumlarda, bu terimler söz konusu Yönetmeliktekiyle aynı anlama sahip olacaktır.

(b) Bu Maddeler, (AB) 2016/679 sayılı Yönetmelik hükümleri ışığında okunacak ve yorumlanacaktır.

(c) Bu Maddeler, (AB) 2016/679 sayılı Yönetmelikte belirtilen hak ve yükümlülüklerle çelişecek şekilde yorumlanamaz.

Madde 5 Hiyerarşi

Bu Maddeler ile Taraflar arasındaki ilgili anlaşmaların hükümleri arasında, bu Maddelerin kabul edildiği veya kabulün ardından yürürlüğe girdiği tarihte mevcut olan bir çelişki olması durumunda, bu Maddeler geçerli olacaktır.

Madde 6 Aktarımların açıklaması

Aktarımların ayrıntıları ve özellikle aktarılan kişisel verilerin kategorileri ve bunların aktarılma amaçları Ek I.B'de belirtilmiştir.

Madde 7 – İsteğe Bağlı Yerleştirme maddesi

(a) Bu Maddelere Taraf olmayan bir kuruluş, Tarafların mutabakatı ile, Ana Belge Ekini doldurarak ve Ek I.A'yı imzalayarak, herhangi bir zamanda, bir veri dışa aktaranı veya veri içe aktaranı olarak bu Maddeleri kabul edebilir.

(b) Ana Belge Ekini doldurduktan ve Ek I.A'yı imzaladıktan sonra, maddeleri kabul eden kuruluş bu Maddelere Taraf olacak ve Ek I.A'da belirtilen şekilde bir veri dışa aktaranı veya veri içe aktaranının hak ve yükümlülüklerine sahip olacaktır.

(c) Maddeleri kabul eden kuruluşun, Taraf olmadan önceki dönemden bu Maddeler uyarınca doğan hiçbir hak veya yükümlülüğü olmayacaktır.

BÖLÜM II – TARAFLARIN YÜKÜMLÜLÜKLERİ

Madde 8 Veri koruma önlemleri

Verileri dışa aktaran taraf, verileri içe aktaran tarafın, uygun teknik ve organizasyonel önlemlerin uygulanması yoluyla bu Maddeler kapsamındaki yükümlülüklerini yerine getirebilmesini sağlamak için makul çabayı gösterdiğini garanti eder.

8.1  Talimatlar

(a) Veri göndericisi, kişisel verileri yalnızca kontrolörü olarak hareket eden veri alıcısından gelen belgelenmiş talimatlarına göre işleyecektir.

(b) Veri göndericisi, bu talimatların (AB) 2016/679 sayılı Yönetmeliği veya diğer Birlik veya Üye Devlet veri koruma yasalarını ihlal edip etmemesi de dahil olmak üzere bu talimatları uygulayamaması durumunda veri alıcısını derhal bilgilendirecektir.

(c) Veri alıcısı, alt işleme bağlamı da dahil olmak üzere veya yetkili denetim makamlarıyla iş birliğiyle ilişkili olarak veri göndericisinin (AB) 2016/679 sayılı Yönetmelik kapsamındaki yükümlülüklerini yerine getirmesini engelleyecek herhangi bir eylemden kaçınacaktır.

(d) İşleme hizmetlerinin sağlanmasının sona ermesinin ardından veri göndericisi, veri alıcısının tercihine bağlı olarak, veri alıcısı adına işlenen tüm kişisel verileri silecek ve bunu yaptığını veri alıcısına onaylayacak veya kendi adına işlenen tüm kişisel verileri veri alıcısına iade edecek ve mevcut kopyaları silecektir.

8.2  İşleme güvenliği

(a) Taraflar iletme süreci ve kazara veya yasa dışı imha, kayıp, değişiklik, yetkisiz ifşa veya erişime yol açan bir güvenlik ihlaline (bundan böyle "kişisel veri ihlali" olarak anılacaktır) karşı koruma da dahil olmak üzere verilerin güvenliğini sağlamak için uygun teknik ve organizasyonel önlemleri uygulayacaktır. Uygun güvenlik seviyesini değerlendirirken en son teknolojiyi, uygulama maliyetlerini, kişisel verilerin niteliğini (2), işlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve veri özneleri için işlemeye dahil olan riskleri dikkate alacaklardır ve özellikle de işleme amacının bu şekilde yerine getirilebileceği iletim süreci de dahil olmak üzere, şifreleme veya takma ad kullanma yöntemlerinden yararlanmayı düşüneceklerdir.

(b) Veri göndericisi paragraf (a)'ya uygun olarak verilerin uygun güvenliğini sağlamada veri alıcısına yardımcı olacaktır. Bu Maddeler kapsamında veri göndericisi tarafından işlenen kişisel verilerle ilgili bir kişisel veri ihlali olması durumunda veri göndericisi,ihlalin farkına vardıktan sonra veri alıcısını gecikmeksizin bilgilendirecek ve ihlali ele almada veri alıcısına yardımcı olacaktır.

(c) Veri göndericisi, kişisel verileri işlemeye yetkili kişilerin gizlilik taahhüdünde bulunduklarından veya uygun bir yasal gizlilik yükümlülüğü altında olduklarından emin olacaktır.

8.3  Dokümantasyon ve uyumluluk

(a) Taraflar bu Maddelere uygunluğu gösterebilmelidirler.

(b) Veri göndericisi, bu Maddeler kapsamındaki yükümlülüklerine uygunluğunu göstermek ve denetimlere izin vermek ve bu süreçlere katkıda bulunmak için gerekli tüm bilgileri veri alıcısına sunacaktır.

Madde 9 Alt işlemcilerin kullanımı

İlgili modül ve aktarımın niteliği için geçerli değildir.

Madde 10 Veri öznesi hakları

Taraflar, veri alıcısı için geçerli olan yerel yasalar kapsamında veya (AB) 2016/679 sayılı Yönetmelik uyarınca AB'deki veri göndericisi tarafından veri işleme için veri özneleri tarafından gönderilen sorgu ve taleplere yanıt vermede birbirlerine yardımcı olacaktır.

Madde 11 Tazmin

(a) Veri alıcısı, şikayetleri ele almaya yetkili bir irtibat noktası hakkında bireysel bildirim yoluyla veya web sitesi aracılığıyla veri öznelerini şeffaf ve kolay erişilebilir bir formatta bilgilendirecektir. Bir veri öznesinden aldığı şikayetleri derhal ele alacaktır.

Madde 12 Sorumluluk

(a) Taraflardan her biri, bu Maddelerin herhangi bir ihlali nedeniyle diğer Tarafa/Taraflara verdiği zararlardan diğer Tarafa/Taraflara karşı sorumlu olacaktır.

(b) Taraflardan her biri, veri öznesine karşı sorumlu olacak ve veri öznesi, Tarafın bu Maddeler kapsamındaki üçüncü taraf lehtar haklarını ihlal etmesiyle veri öznesinin uğradığı maddi veya manevi zararlar için tazminat alma hakkına sahip olacaktır. Bu, (AB) 2016/679 sayılı Yönetmelik kapsamındaki veri göndericisinin sorumluluğuna halel getirmez.

(c) Bu Maddelerin ihlali sonucunda veri öznesinin uğradığı herhangi bir zarardan birden fazla Tarafın sorumlu olması durumunda, tüm sorumlu Taraflar müştereken ve müteselsilen sorumlu tutulacaktır ve veri öznesi bu Taraflardan herhangi birine karşı mahkemede dava açma hakkına sahiptir.

(d) Taraflar, Taraflardan birinin paragraf (c) uyarınca sorumlu tutulması hâlinde, tazminatın zarara ilişkin sorumluluğuna tekabül eden kısmını diğer Taraftan/Taraflardan geri talep etme hakkına sahip olacağını kabul eder.

(e) Veri alıcısı, kendi sorumluluğundan kaçmak için bir işleyicinin veya alt işleyicinin tutumuna başvuramaz.

Madde 13 Denetim

İlgili modül ve aktarımın niteliği için geçerli değildir.

BÖLÜM III – KAMU MAKAMLARININ ERİŞİMİ DURUMUNDA YEREL YASALAR VE YÜKÜMLÜLÜKLER

Madde 14  Maddelere uyumu etkileyen yerel yasalar ve uygulamalar

DÖRDÜNCÜ MODÜL: İşleyiciden kontrolöre aktarma (AB işleyicisinin üçüncü ülke kontrolöründen alınan kişisel verileri AB'deki işleyici tarafından toplanan kişisel verilerle birleştirdiği durumlarda)

(a) Taraflar, kişisel verilerin ifşa edilmesine ilişkin gereklilikler veya kamu makamlarının erişimine izin veren önlemler de dahil olmak üzere, kişisel verilerin alıcısı tarafından kişisel verilerin işlenmesi için geçerli olan üçüncü varış ülkesindeki yasaların ve uygulamaların, veri alıcısının bu Maddeler kapsamındaki yükümlülüklerini yerine getirmesini engellediğine inanmak için hiçbir nedenleri olmadığını garanti eder. Bu; temel hak ve özgürlüklerin özüne saygı duyan ve (AB) 2016/679 sayılı Yönetmeliğin 23(1) Maddesinde listelenen amaçlardan birini korumak için demokratik bir toplumda gerekli ve orantılı olanı aşmayan yasa ve uygulamaların bu Maddelerle çelişmediği anlayışına dayanmaktadır.

(b) Taraflar, paragraf (a)'da belirtilen garantiyi verirken, özellikle aşağıdaki unsurları dikkate aldıklarını beyan ederler:

(i) İşleme zincirinin uzunluğu, sürece dahil olan aktörlerin sayısı ve kullanılan iletme kanalları dahil olmak üzere aktarımın spesifik koşulları; amaçlanan yeniden aktarımlar; alıcının türü; işleme amacı; aktarılan kişisel verilerin kategorileri ve formatı; aktarımın gerçekleştiği ekonomik sektör; aktarılan verilerin depolama yeri;

(ii) Verilerin kamu makamlarına ifşasını veya bu makamların erişimine izin verilmesini gerektiren yasa ve uygulamalar da e dahil olmak üzere, aktarımın spesifik koşulları ve geçerli sınırlamalar ve güvenceler ışığında söz konusu üçüncü varış ülkesinin yasaları ve uygulamaları (3);

(iii) İletim sırasında ve varış ülkesinde kişisel verilerin işlenmesi sırasında uygulanan önlemler de dahil olmak üzere; bu Maddeler kapsamındaki önlemleri tamamlayıcı nitelikte uygulamaya konulan ilgili sözleşmeye dayalı, teknik veya organizasyonel önlemlerin tümü.

(c) Veri alıcısı, paragraf (b) kapsamındaki değerlendirmeyi gerçekleştirirken, veri göndericisine ilgili bilgileri sağlamak için elinden gelen en iyi çabayı gösterdiğini garanti eder ve bu Maddelere uygunluğu sağlamak için veri göndericisiyle iş birliğine devam edeceğini kabul eder.

(d) Taraflar, paragraf (b) uyarınca değerlendirmeyi belgelemeyi ve talep üzerine yetkili denetim makamına sunmayı kabul ederler.

(e) Veri alıcısı, bu Maddeleri kabul ettikten sonra ve sözleşme süresi boyunca, üçüncü ülke yasalarında yapılan bir değişikliğin veya paragraf (a)'daki gerekliliklerle uyumlu olmayan bir uygulamaya işaret eden bir önlemin yürürlüğe girmesi de dahil olmak üzere, paragraf (a)'daki gerekliliklerle uyumlu olmayan yasalara veya uygulamalara tabi olduğuna veya tabi hâle geldiğine inanmak için bir nedeni varsa veri göndericisini derhal bilgilendirmeyi kabul eder.

(f) Paragraf (e) uyarınca yapılan bir bildirimi takiben veya veri göndericisinin başka bir şekilde, veri alıcısının bu Maddeler kapsamındaki yükümlülüklerini artık yerine getiremeyeceğine inanmak için bir nedeni varsa veri göndericisi, durumu ele almak için veri göndericisi ve/veya veri alıcısı tarafından benimsenecek uygun önlemleri (örneğin, güvenlik ve gizliliği sağlamak için teknik veya organizasyonel önlemler) derhal belirleyecektir. Veri göndericisi, bu tür bir aktarım için uygun önlemlerin sağlanamayacağını düşünürse veya yetkili denetim makamı tarafından talimat verilirse veri aktarımını askıya alacaktır. Bu durumda, veri göndericisi, kişisel verilerin bu Maddeler uyarınca işlenmesiyle ilgili olduğu sürece sözleşmeyi feshetme hakkına sahip olacaktır. Sözleşme ikiden fazla Tarafı içeriyorsa Taraflar aksini kararlaştırmadıkça, veri göndericisi bu fesih hakkını yalnızca söz konusu Tarafa yönelik olarak kullanabilir. Sözleşmenin bu Madde uyarınca feshedilmesi durumunda, Madde 16(d) ve (e) uygulanacaktır.

Madde 15 Kamu makamlarının erişimi durumunda veri alıcısının yükümlülükleri

DÖRDÜNCÜ MODÜL: İşleyiciden kontrolöre aktarma (AB işleyicisinin üçüncü ülke kontrolöründen alınan kişisel verileri AB'deki işleyici tarafından toplanan kişisel verilerle birleştirdiği durumlarda)

15.1   Bildirim

(a) Veri alıcısı, aşağıdaki durumlarda veri göndericisini ve mümkünse veri öznesini derhal (gerekirse veri ihracatçısının yardımıyla) bilgilendirmeyi kabul eder:

(i) Bu Maddeler uyarınca aktarılan kişisel verilerin ifşa edilmesi için varış ülkesinin yasaları uyarınca adli makamlar da dahil olmak üzere bir kamu makamından yasal olarak bağlayıcı bir talep aldığında; bu bildirim, talep edilen kişisel veriler, talep eden makamla, talebin yasal dayanağı ve verilen yanıtla ilgili bilgileri içerecektir veya

(ii) Kamu makamlarının bu Maddeler uyarınca aktarılan kişisel verilere varış ülkesinin yasalarına uygun olarak doğrudan erişiminden haberdar olduğunda; bu bildirim, alıcının elindeki tüm bilgileri içerecektir.

(b) Veri alıcısının, varış ülkesinin yasaları uyarınca veri göndericisine ve/veya veri öznesine bildirimde bulunması yasaklanmışsa veri alıcısı, mümkün olan en kısa sürede mümkün olduğunca fazla bilgi iletmek amacıyla yasaktan feragat etmek için elinden gelen en iyi çabayı göstermeyi kabul eder. Veri alıcısı, veri göndericisinin talebi üzerine bu en iyi çabaları gösterebilmek için elinden gelenin en iyisini yapmayı kabul eder.

(c) Varış ülkesinin yasalarının izin verdiği durumlarda veri alıcısı, sözleşme süresi boyunca düzenli aralıklarla veri göndericisine, alınan talepler hakkında mümkün olduğunca fazla alakalı bilgi sağlamayı kabul eder (özellikle, talep sayısı, talep edilen veri türü, talep makamı/makamları, taleplere itiraz edilip edilmediği ve bu tür itirazların sonucu, vb.).

(d) Veri alıcısı, (a) ila (c) paragrafları uyarınca bilgileri sözleşme süresi boyunca saklamayı ve talep üzerine yetkili denetim makamına sunmayı kabul eder.

(e) (a) ila (c) paragrafları, Madde 14(e) ve Madde 16 uyarınca veri alıcısının, bu Maddelere uyamadığı durumlarda veri göndericisini derhal bilgilendirme yükümlülüğüne halel getirmez.

15.2   Yasallığın gözden geçirilmesi ve veri minimizasyonu

(a) Veri alıcısı, ifşa talebinin yasallığını, özellikle talepte bulunan kamu makamına verilen yetkiler dahilinde kalıp kalmadığını gözden geçirmeyi ve dikkatli bir değerlendirmeden sonra, talebin varış ülkesinin yasalarına ve uluslararası hukuk ve uluslararası nezaket ilkeleri kapsamında uygulanabilir yükümlülüklere göre kanunsuz olduğuna kanaat getirmek için makul gerekçeler olduğu sonucuna varırsa talebe itiraz etmeyi kabul eder. Veri alıcısı, aynı koşullar altında itiraz yollarını takip edecektir. Bir talebe itiraz ederken veri alıcısı, yetkili yargı makamı liyakate dayalı olarak karar verene kadar talebin etkilerini askıya almak amacıyla geçici tedbirler alınmasını isteyecektir. Talep edilen kişisel verileri, yürürlükteki usul kuralları uyarınca gerekli olmadıkça ifşa etmeyecektir. Bu gereklilikler, veri alıcısının Madde 14(e) kapsamındaki yükümlülüklerine halel getirmez.

(b) Veri alıcısı, yasal değerlendirmesini ve ifşa talebine yönelik tüm itirazlarını belgelemeyi ve varış ülkesinin yasalarının izin verdiği ölçüde, belgeleri veri göndericisine sunmayı kabul eder. Ayrıca, talep üzerine belgeleri yetkili denetim makamına da sunacaktır.

(c) Veri alıcısı, talebin makul bir yorumuna dayalı olarak, bir ifşa talebine yanıt verirken izin verilen minimum miktarda bilgi sağlamayı kabul eder.

BÖLÜM IV – SON HÜKÜMLER

Madde 16 Maddelere uyulmaması ve fesih

(a) Veri alıcısı, herhangi bir nedenle bu Maddelere uyamaması durumunda veri göndericisini derhal bilgilendirecektir.

(b) Veri alıcısının bu Maddeleri ihlal etmesi veya bu Maddelere uymaması durumunda veri göndericisi uyum tekrar sağlanana veya sözleşme feshedilene kadar kişisel verilerin veri alıcısına aktarılmasını askıya alacaktır. Bu, Madde 14(f)'ye halel getirmez.

(c) Veri göndericisi, aşağıdaki durumlarda bu Maddeler uyarınca kişisel verilerin işlenmesiyle ilgili olduğu sürece sözleşmeyi feshetme hakkına sahiptir:

(i) Veri göndericisi, paragraf (b) uyarınca kişisel verilerin veri alıcısına aktarımını askıya aldığında ve bu Maddelere uyumun makul bir süre içinde ve her halükârda askıya alındıktan sonraki bir ay içinde yeniden sağlanmadığında;

(ii) Veri alıcısının bu Maddeleri önemli ölçüde veya sürekli olarak ihlal etmesi durumunda veya

(iii) Veri alıcısının, bu Maddeler kapsamındaki yükümlülüklerine ilişkin olarak yetkili bir mahkeme veya denetim makamının bağlayıcı bir kararına uymaması durumunda.

Bu durumlarda, yetkili denetim makamını bu tür bir uyumsuzluk hakkında bilgilendirecektir. Sözleşmenin ikiden fazla Tarafı içermesi durumunda; Taraflar aksini kararlaştırmadıkça veri göndericisi bu fesih hakkını yalnızca söz konusu Tarafa yönelik olarak kullanabilir.

(d) AB'deki veri göndericisi tarafından toplanan ve (c) paragrafı uyarınca sözleşmenin feshinden önce aktarılmış olan kişisel veriler, bunların tüm kopyaları da dahil olmak üzere derhal bütünüyle silinecektir. Veri alıcısı, verilerin silinmesini veri göndericisine onaylayacaktır. Veriler silinene veya iade edilene kadar, veri alıcısı bu Maddelere uygunluğu sağlamaya devam edecektir. Veri alıcısı için geçerli olan ve aktarılmış olan kişisel verilerin iadesini veya silinmesini yasaklayan yerel yasalar söz konusu olduğunda veri alıcısı, bu Maddelere uygunluğu sağlamaya devam edeceğini ve yalnızca söz konusu yerel yasanın gerektirdiği ölçüde ve sürece verileri işleyeceğini garanti eder.

(e) Taraflardan herhangi biri, (i) Avrupa Komisyonu (AB) 2016/679 sayılı Yönetmeliğin 45(3) Maddesi uyarınca bu Maddelerin uygulandığı kişisel verilerin aktarımını kapsayan bir karar aldığında veya (ii) (AB) 2016/679 sayılı Yönetmeliği, kişisel verilerin aktarıldığı ülkenin yasal çerçevesinin bir parçası hâline geldiğinde bu Maddelerin bağlayıcılığı altına girme anlaşmasını feshedebilir. Bu, (AB) 2016/679 sayılı Yönetmelik kapsamında söz konusu işleme için geçerli olan diğer yükümlülüklere halel getirmez.

Madde 17 Geçerli Kanun

Bu Maddeler, üçüncü taraf lehtar haklarına izin veren bir ülkenin yasalarına tabi olacaktır. Taraflar, bunun Slovak Cumhuriyeti yasaları olacağını kabul eder.

Madde 18 Forum ve yargı yetkisi seçimi

Bu Maddelerden kaynaklanan herhangi bir anlaşmazlık, Slovak Cumhuriyeti'nin mahkemeleri tarafından çözülecektir.

ANA BELGE EKİ

EK I

A.  TARAFLARIN LİSTESİ

Veri göndericileri: Veri göndericisi, Veri İşleme Sözleşmesine dayalı olarak İşleyici olarak ESET'tir (Şartlar'da belirtildiği gibi).

Veri alıcısı(ları): Veri İşleme Sözleşmesi uyarınca Kontrolör olmanız durumunda veri alıcısı sizsiniz (Şartlarda belirtildi).

B.  AKTARIMIN TANIMI

Kişisel verileri aktarılan veri öznelerinin kategorileri: Gizlilik Politikasında ve/veya Veri İşleme Sözleşmesi'nde tanımlandığı şekilde.

Aktarılan kişisel veri kategorileri: Gizlilik Politikasında ve/veya Veri İşleme Sözleşmesi'nde tanımlandığı şekilde.

Aktarılan hassas veriler (varsa) ve verilerin niteliğini ve içerdiği riskleri tam olarak hesaba katan geçerli kısıtlamalar veya önlemler, örneğin katı amaç sınırlaması, erişim kısıtlamaları (yalnızca uzmanlık eğitimi almış personel için erişim dahil), verilere erişimin kaydının tutulması, yeniden aktarımlar için kısıtlamalar veya ek güvenlik önlemleri: Gizlilik Politikasında ve/veya Veri İşleme Sözleşmesi'nde tanımlandığı şekilde.

Aktarımın sıklığı (ör. verilerin bir defaya mahsus mu yoksa süreklilik temelinde mi aktarıldığı): Süreklilik temelinde.

İşlemenin niteliği: Otomatik.

Veri aktarımının ve daha fazla işlemenin amaçları: Şartlarda tanımlandığı ve Ekler, Gizlilik Politikası ve Belgelerde belirtildiği şekilde bir Abonelik satın alma veya alınması bağlamında Hizmetlerin sağlanması.

Kişisel verilerin saklanacağı süre veya bu mümkün değilse bu sürenin belirlenmesinde kullanılan kriterler: Gizlilik Politikasında ve/veya Veri İşleme Sözleşmesi'nde tanımlandığı şekilde.

Referanslar:

(1)  Bu Maddeler ve (AB) 2018/1725 sayılı Yönetmeliğin 29(3) Maddesi uyarınca kontrolör ile işleyici arasındaki sözleşmede veya diğer yasal işlemlerde belirtildiği şekilde veri koruma yükümlülüklerinin uyumlu olduğu ölçüde; veri göndericisinin, kontrolör olarak bir Birlik kurumu veya organı adına hareket eden (AB) 2016/679 sayılı Yönetmeliğe tabi bir işleyici olması durumunda, (AB) 2016/679 sayılı Yönetmeliğe tabi olmayan başka bir işleyiciyi (alt işleme) görevlendirirken bu Maddelere itimat, Avrupa Parlamentosu ve Konseyi'nin Birlik kurumları, organları, ofisleri ve teşkilatları tarafından kişisel verilerin işlenmesiyle ilgili olarak gerçek kişilerin korunması ve bu tür verilerin serbest dolaşımı hakkındaki 23 Ekim 2018 tarihli (AB) 2018/1725 sayılı Yönetmeliğinin 29(4) Maddesine ve ilga edici (AB) 45/2001 sayılı Yönetmeliğe ve 1247/2002/EC (OJ L 295, 21.11.2018, p. 39) sayılı Karara uygunluğu da temin eder. Bu, özellikle kontrolör ve işleyicinin 2021/915 sayılı Kararda yer alan standart sözleşme maddelerine dayandığı durumlarda geçerli olacaktır.

(2)  Bu; aktarımın ve daha fazla işlemenin ırk veya etnik kökeni, siyasi görüşleri, dini veya felsefi inançları ya da sendika üyeliğini ortaya çıkaran kişisel verileri, genetik verileri veya gerçek bir kişiyi benzersiz bir şekilde tanımlamak amacıyla biyometrik verileri, sağlık veya bir kişinin cinsel yaşamı ya da cinsel yönelimi ile ilgili verileri veya cezai hükümler ve suçlarla ilgili verileri içerip içermediğini kapsar.

(3) Bu tür yasa ve uygulamaların bu Maddelere uyum üzerindeki etkisine ilişkin olarak, genel bir değerlendirmenin parçası olarak farklı unsurlar dikkate alınabilir. Bu tür unsurlar, kamu makamlarından gelen açıklama taleplerinin önceki örnekleri veya yeterince temsili bir zaman dilimini kapsayan bu tür taleplerin yokluğu ile ilgili ve belgelenmiş pratik deneyimi içerebilir. Bu, özellikle, durum tespitine uygun olarak sürekli olarak hazırlanan ve bu bilgilerin üçüncü taraflarla yasal olarak paylaşılabilmesi koşuluyla üst yönetim düzeyinde sertifikalandırılan dahili kayıtlara veya diğer belgelere atıfta bulunur. Veri alıcısının bu Maddelere uymasının engellenmeyeceği sonucuna varmak için bu pratik deneyime güvenildiği durumlarda, diğer ilgili, nesnel unsurlarla desteklenmesi gerekir ve Tarafların, bu unsurların birlikte, güvenilirlikleri ve temsil edilebilirlikleri açısından bu sonucu desteklemek için yeterli ağırlığa sahip olup olmadıklarını dikkatlice değerlendirmeleri gerekir. Taraflar, özellikle, pratik deneyimlerinin desteklenip desteklenmediğini ve aynı sektördeki taleplerin varlığı veya yokluğu ve/veya içtihat hukuku ve bağımsız gözetim organlarının raporları gibi yasanın pratikte uygulanması hakkında kamuya açık veya başka bir şekilde erişilebilir, güvenilir bilgilerle çelişip çelişmediğini dikkate almalıdır.