Genel Ticaret Şartları – Rezervasyon Aleti

Metrostraße 1, 40235 Düsseldorf („H.d“) adresindeki Hospitality Digiatal GmbH şirketi Otel- ve Lokantacılık branşındaki şirketlere („İşveren“) sadece İnternet üzerinden sağlanan ve aşağıda geniş kapsamlı bir şekilde açıklanmakta olan ücretsiz hizmet sunmaktadır („hizmetler“ ). Bazı hizmetlere sadece işveren kendisini kayıt ettiği takdirde erişmek mümkün olmaktadır.

1. Kullanım alanı

1.1 H.d şirketi hizmetleri ve diğer yardımları sadece aşağıda belirtilmekte olan sözleşme şartları (“AGB”) esasında vermektedir.

1.2 İşverenin farklı şartları H.d tarafından kesin olarak ret edilmemiş ise ve/veya işverenin karşı şartları bulunduğunu ve/veya farklı şartları bulunduğunu bilesine rağmen hizmetleri ve/veya yardımları ön koşulsuz olarak gerçekleştirmekte ise dahi geçerli değildir.

2. Hizmetlerin kapsamı

2.1 Sözleşme süresi içerisinde H.d tarafından sunulmakta olan hizmetler aşağıdaki yardımları kapsamaktadır:

(a) H.d işverene, işverenin İnternet üzerinden ulaşabileceği H.d sistemlerinde kullanım için hafıza (“hafıza yeri”) bırakmaktadır, bakınız madde 4.

(b) H.d işveren, işverenin İnternet üzerinden ulaşabileceği, kendi İnternet sayfasına bağlantı kurabileceği bir Online Rezervasyon yazılımını (“yazılım”) kullanma ve yönetme, bakınız madde 5 ve toplanmış olan verileri hafızaya kayıt edebilme ve yönetme olanağı tanımaktadır.

2.2 H.d, ulaşım çapını genişletmek amacıyla rezervasyonlar için asıl mevcut olan mevzuları (süre, masa ve personel sayısı) üçüncü taraf sunucuların da (örn. "Google ile rezervasyon) erişimine açabilir. Fakat bu kapsamda gerçekleştirilen rezervasyon talepleri sadece H.d yazılımı üzerinden işlenir. Bazı üçüncü taraf sunucular otomatik rezervasyon alımı bağlamında asgari bir kişi sayısı istediğinden dolayı H.d, otomatik rezervasyon alımının temel ayarını dört kişi olarak belirlemiştir. Bu ayar, işveren tarafından her zaman değiştirilebilir. Fakat bu tür bir değişiklik, üçüncü taraf sunucuların artık asıl mevcut rezervasyonları göstermemesine sebep olabilir.

2.3 İşveren uygulanması beklenebilir ise H.d Hizmetleri ve diğer hizmetleri tekniği son durumuna ve teknik gelişmelere veya gereksinimlere uyumlu duruma getirebilir. H.d vermiş olduğu hizmetleri ve diğer yardımları uygun bir süre tanıyarak durdurabilir. Hizmetlerin durdurulması hakkında H.d işvereni bilgilendirecektir.

3. İşverenin görevleri

3.1 İşveren sözleşmenin yapılması esnasında vermiş olduğu ticari ve irtibat bilgilerini sözleşme süresi içerisinde daima güncel tutmakla ve her türlü değişikliği H.d şirketine derhal bildirmekle mükelleftir. İşveren ayrıca H.d şirketine bildirmiş olduğu elektronik posta adresini sözleşme ile ilgili önemli enformasyonları almak için devamlı açmakla mükelleftir.

3.2 İşveren, H.d almış olduğu erişim bilgilerini yetkisi bulunmayan üçünü şahsıların ulaşımına karşı korumakla mükelleftir. Kendisine bırakılmış olan erişim bilgilerinin amacına aykırı olarak kullanılmış olduğunun tespit edilmesi veya bu konuda gerekçeli bir şüphe bulunması durumunda işveren durumu derhal H.d’ye bildirecektir.

3.3 Online rezervasyon yazılımının kullanılmasının H.d ile bağlantı kurulabileceği işveren tarafından bilinmektedir. Bu nedenle işveren kendisinin sunmuş olduğu hizmetleri içerik bakımından H.d tarafından veya üçüncü şahsılar tarafından sunulmakta olan hizmetlerden ayırmak için gerekli olan bütün olanakları kullanacaktır.

3.4 Hizmetlerin veya diğer yardımların kullanılmasından dolayı her hangi bir hukuk ihlalinin kaynaklandığı konusunda işveren bilgi edindiği takdirde, bu hukuk ihlalini derhal durdurmak ve hukuk ihlali oluşturan içerikleri derhal silmek zorundadır.

4. Hafıza noktası hakkında özellikli hükümler

4.1 Hafıza noktası ücretsiz olarak işverenin kullanımına sunulmaktadır. Bu nedenle belirli bir hafıza kapasitesinin mevcut olması H.d tarafından garanti edilemez. Ayrıca hafıza noktası gerekli bakım çalışmaları esnasında kullanıma kapalı olabilir. H.d, bakım çalışmalarından kaynaklanan kısıtlamayı mümkün olduğu kadar kısa tutmaya gayret etmektedir. Hafıza noktasının diğer performans özelliklerini işverene H.d tarafından sözleşmenin yapılmasından önce kullanıma sunulacaktır.

4.2 İşveren, HTML ve diğer dokümanlar, metinler, resimler, grafikler, yazışmalar, videolar vb. (“içerikler”) dâhil olmak üzere bütün dosyaları geçerli olan hukuka uygun bir şekilde hafıza noktasına ve/veya kendisinde telif hakları açısından kullanım ve yönetim haklarının mevcut bulunduğu gerekli hakların mevcut olduğu ve üçüncü şahsıların şahsiyet haklarının ihlal edilmediği yazılım vasıtası ile kayıt etmeye, yayınlamaya ve/veya erişime açmaya mükelleftir ve taahhüt etmektedir. Ayrıca işveren hafıza noktasında ve/veya yazılım vasıtası ile ahlaka aykırı, ırkçı veya aşağılayıcı içerikleri hafıza noktası üzerine ve/veya yazılım vasıtası ile kayıt etmeyecek, yayınlamayacak ve/veya erişim sağlamayacaktır. Bu 4. Madde ihlal edilerek hafıza noktasına ve/veya yazılım vasıtası ile kayıt edilmiş olan ve H.d şirketine resmi daireler, mahkemeler, hak sahipleri veya başka üçüncü şahsılar tarafından bildirilmiş olan veya bilgi edindiği içeriklerin silinmesine H.d şirketine müsaade edilmektedir.

4.3 İşveren hafıza noktasına ve/veya bir yazılım vasıtası ile kayıt etmiş olduğu, yayınlamış olduğu ve/veya kamuya açık bulundurduğu bütün içerikler için bilhassa bu içerikleri kayıt etme, teknik açıdan uyumlu duruma getirme, kamuya açık duruma getirme ve çoğaltma da dâhil olarak bütün hakları H.d şirketine tanımaktadır. H.d şirketi sadece içeriklerin teknik açıdan hazırlanması ve/veya yayınlanması için gerekli olduğu kapsamda ve sözleşme ile kararlaştırılmış olan yetkiler çerçevesinde işverenin hafıza noktasına kayıt etmiş olduğu içeriklere erişebilecektir.

4.4 İşveren ayrıca hafıza noktası üzerinde ve/veya yazılım vasıtası ile H.d şirketinin veya üçüncü şahısların sistemlerini, şebekelerini ve/veya diğer donanımlarını veya yazılımlarını yani şebeke bileşenlerini önemli derecede etkileyebilecek olan otomatikleştirilmiş akışlar, ders dosyaları, yazılım veya başka veriler ve/veya içerikler ve/veya her türlü işlemler uygulayamaz veya uygulattıramaz. H.d şirketinin böyle bir etkilenmeden bilgi edinmesi durumunda H.d bu etkilenmeyi sonlandırmak ve/veya engellemek hakkına sahiptir.

4.5 Hafıza noktasının içeriklerinin masraf meydana getirmeden tekrar oluşturulabilmesi için işveren günlük güncel veri ikilemesi yapacaktır.

4.6 İşveren, son müşterilere / kullanıcılara karşı sorumlu taraf olarak hareket ettiği için sunulmuş olan AGB’ler ve Veri Koruma Hükümleri çerçevesinde ilgi çekilmiş olan kendi künyesini hukuka uyumlu ve güncel tutmakla yükümlüdür.

5. Yazılım hakkında özellikli hükümler

İşveren tarafından yazılıma üçüncü şahsıların erişimine veya kullanımına olanak tanınması müsaadeli değildir. İşverene bilhassa yazılımı çoğaltma, üçüncü şahsıların kullanımına sunma veya erişmelerini sağlama, yazılımı bir program ile program diline çevirme veya başka bir şekilde değiştirme hakkı verilmemektedir.

6. Sözleşme sonu, süresi ve iptal

6.1 Sözleşme, H.d tarafından sunulmakta olan hizmetler ve diğer yardımlar ile ilgili sözleşmenin işveren tarafından kabul edilmesi ile oluşmaktadır. Kabul etme genel olarak H.d şirketinin hizmetleri sunmaya başlaması ile gerçekleşmiş olmaktadır.

6.2 Özleşme belirsiz bir süre için yapılmaktadır ve müşteri tarafından her zaman, H.d tarafından iki (2) haftalık bir süre belirtilerek iptal edilebilecektir.

6.3 H.d tarafından gerçekleştirilecek olan iptal yazılı veya elektronik posta ile yapılmak zorundadır. İşveren ise iptal işlemini genel olarak kendisi tarafından yazılıma yüklenmiş olan içeriklerin silinmesi opsiyonunu seçip onaylayarak gerçekleştirmektedir.

6.4 Tarafların önemli nedenlerden dolayı sözleşmeyi iptal hakları saklı tutulmaktadır. Önemli bir neden bilhassa işverenin bu sözleşmenin 3, 4, 5, 6, 10.2 ve 10.3 maddelerini ihlal etmesi durumunda oraya çıkmaktadır.

6.5 Hangi nedenden olursa olsun sözleşmenin sonlandırılmasından sonra H.d işveren tarafından sözleşme çerçevesinde hafıza noktası üzerine kayıt edilmiş olan bütün verileri, eğer işveren kendisi yazılım üzerinden bu verileriler silmemiş ise, otuz (30) gün içerisinde silecektir.

7. Garanti, sorumluluk, muaf tutma

7.1 H.d şirketinin işveren için ücretsiz olarak vermekte olduğu hizmetler için H.d işverene sadece ardniyetli olarak bildirmediği eksiliklerden kaynaklanan hasarları karşılayacaktır. Bunun haricinde H.d ücretsiz olarak vermiş olduğu hizmetler ve yararlanmalardan dolayı işverene karşı hiçbir hukuki ve /veya maddi hasar karşılama sorumluluğu bulunmamaktadır.

7.2 H.d ve ifa yardımcıları veya yasal temsilcileri H.d tarafından işverene ücretsiz verilmekte olan hizmetler ve yararlanmalar için sorumluluklar sadece kasıtlı hareketlerden, ağır ihmal veya suçlu olarak hayatın, vücudun veya sağlığın yaralanması durumlarında ve kasti olarak bildirilmemiş olan eksikliklerde mevcuttur, bu esnada H.d’nin sorumluluğu sadece günlük veri ikilemede meydana gelmesi mümkün olabilecek veri kaybının tekrar oluşturulması için gerekli olan masraflar ile sınırlıdır. Ürün Sorumluluk Yasası ve En düşük Ücret Yasası doğrultusundaki sorumluluk bu durumdan etkilenmemektedir.

7.3 İçerikler hakkında sadece işveren sorumludur. Bu nedenle işveren H.d şirketini, yardımcı elemanlarını ve yasal temsilcilerini ve H.d şirketine bağlı olan diğer şirketleri Hisse Senetleri Kanunu – AktG – madde 15 doğrultusunda üçüncü şahsıların H.d tarafından verilmekte olan hizmetlerden ve/veya yaralanmalardan kaynaklanan taleplerinden muaf tutulmada birinci sıraya yerleştirmektedir. Bu muafiyet bilhassa markalar, telif haklar, veri koruma ve rekabet kurallarının ihlal edilmesi durumları için geçerlidir. Bu muafiyet arabuluculuk davası masrafları da dâhil olarak hukuki takibat masraflarını da kapsamaktadır.

8. Veri koruma, sır saklama

8.1 H.d is responsible for the processing of the personal data collected by the Principal. H.d processes the personal data exclusively for the execution of this agreement, for example to establish contact and to provide the services. Without the provision of this personal data, the execution of the agreement is not possible. This processing of personal data is based on Article 6 Para. 1 Clause 1 (b) of the General Data Protection Regulation (GDPR). The personal data of the Principal will be deleted after termination of the agreement, unless there are legal obligations that require the personal data to be stored for a longer period. In this case, the personal data cannot be used for other purposes and then is deleted as soon as the statutory retention period has expired. For the purposes of agreement implementation, H.d uses the support of service providers, for example in the field of hosting, for maintenance and other services. These service providers may be external companies as well as companies affiliated with H.d in accordance with Section 15 et seqq. of the German Stock Corporation Act (AktG) through contractual agreements with the service providers, H.d ensures that this personal data is processed in accordance with the requirements of the GDPR. This also applies if the personal data should be processed outside the EU/EEA. To exercise the rights of the Principal in accordance with the GDPR,

· Information about the processing of his personal data as well as a copy of this data (Art. 15 GDPR),

· Correction of incorrect data and completion of incomplete personal data (Art. 16 GDPR),

· Deletion of his personal data and, if made public, that H.d informs other persons responsible about the deletion request (Art. 17 GDPR),

· Limitation of the processing of his personal data (Art. 18 GDPR),Data portability, so that his personal data is given to him in a structured, common and machine-readable format and the right to transfer this data to another responsible person without hindrance by H.d (Article 20 GDPR) and

· to appeal against data processing (Art. 21 GDPR)

the customer can contact the data protection officer of H.d (privacy@hd.digital) at any time. The client also has the right to complain to the competent supervisory authority, as far as the client considers the data processing as incompatible with the GDPR (Art. 77 GDPR)

8.2 İşveren, yazılım ile düzenlemiş olduğu İnternet sayfası ile ilgili mevcut bulunan enformasyon yükümlülüğü de dâhil olarak ilgili veri koruma yasası hükümlerinin yerine getirilmesi konusunda üçüncü şahsılara karşı tek başına sorumludur.

8.3 Taraflar gizli tutulması gereken enformasyonları sözleşmenin bitmesinden iki sene sonrasına kadar üçüncü şahısların erişimlerini engellemekle ve sözleşmenin amacına uygun olmayan amaçlar için kullanmamakla mükelleftirler. Taraflardan birisi tarafından ekonomik değeri bulunan ve gizli tutulması gerekli olarak işaretlenmiş bulunan müşterinin erişimine sunulmuş olan bütün teknik enformasyonlar, Know-hov ve diğer enformasyonlar gizli tutulması gerekli olarak geçerlidir.

8.4 Gizli tutma mükellefiyeti taraflardan birisinin gizli tutma mükellefiyetini ihlal etmeden diğer tarafın ulaştığı veya herkesin ulaşabileceği şekilde ulaşmış olduğu veya ulaşacağı veya yasal veya mahkeme veya resmi daire talimatıyla üçüncü şahsılara ulaştırılması gereken veya bir şirketin satılması amacı ile gizli tutması mecburi kılınmış yükümlü üçüncü şahsılar tarafından bakılmak suretiyle elde edilmiş olan enformasyonları kapsamamaktadır.

9. Ücret

9.1 H.d tarafından verilmekte olan hizmetler için işveren herhangi bir ücret ödememektedir. Hizmetler ücretsiz olarak verilmektedir.

9.2 Genişletilmiş hizmetler çerçevesinde üçüncü şahsılardan alınan hizmetler madde 9.1 den etkilenmemektedir.

10. Diğer düzenlemeler

10.1 H.d bu sözleşme çerçevesinde verecek olduğu münferit veya bütün yararlanmaları, bilhassa hizmetleri taşeron şirketler üzerinden sağlayabilir. H.d bu hizmetleri gelecekte kendisine bağlı olan Hospitality.Systems GmbH şirketi üzerinden vermeyi planlamaktadır.

10.2 H.d bu AGB’leri, bilhassa yapılmak istenilen değişiklikleri önceden haber vererek işverene karşı değiştirebilir. H.d AGB’deki değişiklikleri sadece işverenden beklenebilecek şekilde, değişikliklerin sözleşmenin önemli noktalarını kapsamayacak şekilde, sözleşmeden kaynaklanan önemli mükellefiyetleri kapsamayacak şekilde veya işverenin toplam olarak eskisinden daha kötü bir duruma düşürülmeyeceği bir şekilde yapabilir. Burada bugün belirtilmiş olan hakların H.d şirketine bağlı olan Hospitality.Systems GmbH şirketine devir edilmesi beklenebilir olarak geçerlidir. İşveren AGB’de yapılacak olan değişikliklere kendisine bildirildikten sonraki dört (4) hafta itiraz edebilir veya herhangi bir süre beklemeden sözleşmeyi iptal edebilir. İşverenin AGB’de yapılmak istenilen değişikliklere itiraz etmemesi veya itiraz süresi içerisinde itiraz etmemesi durumunda AGB’de yapılacak olan değişiklikleri kabul etmiş olacaktır. İtiraz etmemenin neticeleri ve sözleşmenin bir süre beklemeden iptal edilebilme hakkı AGB’de yapılmak istenilen değişikliklerin bildirilmesinde H.d tarafından işverene bildirilecektir.

10.3 Bu sözleşmenin bir maddesinin kısmen veya tamamen geçersiz, uygulanamaz veya icra edilemez olması veya ileride bu duruma gelmesi durumunda (“hatalı madde”) sözleşmenin diğer maddelerinin geçerliliği ve uygulanabilirliği bu durumdan etkilenmemektedir. Taraflar şimdiden hatalı maddenin yerine, maddenin hatalı olduğunu sözleşmenin yapılması esnasında fark etmiş olsalardı sözleşmenin amacına ve anlamına en yakın kararlaştırmış olacakları bir maddenin hukuki olanaklar çerçevesinde kararlaştırılmış olarak kabul edildiğini şimdiden kararlaştırmaktadırlar. Bir maddedeki hata içerisinde sabitlenmiş olan bir ölçü veya bir hizmet veya bir zaman (süre veya vade) ile ilgili ise, bu madde eski ölçüye en yakın, hukuki açıdan müsaadeli olan bir ölçü ile kararlaştırılacaktır. Aynı durum sözleşmede mevcut olan düzenleme boşlukları için de geçerlidir. Bu zarar kuralının sadece ispat yükü tersi neticesini meydana getirmemesi, bilakis Alman Medeni Kanunu – BGB – madde 139 doğrultusunda toplam olarak yürürlükten kaldırma olduğu tarafların kesin isteğidir.

10.4 Sözleşme ve sözleşmeden kaynaklanan veya sözleşme ile ilgili olan bütün talepler ve haklar için kanunların ihtilafı hukuku uygulama harici bırakılarak kesinlikle Alman Hukuku doğrultusunda yorumlanacak ve uygulanacaktır. Birleşmiş Milletlerin enternasyonal ürün ticareti hakkındaki sözleşmeleri (CISG) uygulanmadan hariç tutulmaktadır.

10.5 Bu sözleşmeden kaynaklanan veya bu sözleşme ilgili olan veya uygulanması hakkındaki bütün anlaşmazlıklar için mahkeme yeri – hukuken müsaadeli olduğu derecede – Düsseldorf mahkemeleridir.

Stand: Febr. 2019/AG



SİPARİŞ İŞLEME

Topluca "Taraflar", tek başına ise "Taraf" olarak anılacak olan İşveren ("Sorumlu Kişi") ve H.d ("İşleyici"), yukarıda yer alan Genel Şart ve Koşulları onaylayarak aşağıdaki Veri İşleme Anlaşmasını ("DPA") akdetmiş olacaktır.

Giriş

İşleyici, ticari faaliyetleri bağlamında ve yukarıda yer alan Genel Şartlar ve Koşullar uyarınca Sorumlu Kişinin mesul olduğu kişisel verileri almaktadır. Taraflar sahip oldukları veri koruma yükümlülüklerini yerine getirmek için özellikle de Genel Veri Koruma Tüzüğü (GDPR Madde 28) olmak üzere Avrupa veri koruma yasaları uyarınca bu DPA'nın hükümlerini kabul etmektedir.

1. Tanımlar

1.1 Kişisel Veriler tanımlanmış veya tanımlanabilir gerçek bir kişiye ("İlgili Kişi") ilişkin olan tüm bilgilerdir. Gerçek kişi, özellikle de bir isim, kimlik numarası, konum verisi, çevrimiçi kimlik tanıtıcı veya söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel ya da sosyal kimliğini ifade eden bir veya daha fazla özgün özellik (buradan itibaren "Veriler") gibi bir tanımlayıcıyla ilişkilendirilerek doğrudan veya dolaylı olarak tanımlanması mümkün olduğu zaman tanımlanabilir kabul edilir.

1.2 Biri adına veri işleme, İşleyicinin Sorumlu Kişi adına veri toplamasını, işlemesini veya kullanmasını ifade eder.

2. Siparişin konusu ve içeriği

2.1 Sipariş konusu ve süresi

Siparişin ayrıntıları ve süresi yukarıda yer alan Genel Şartlar ve Koşullardan doğar.

2.2 Veri türü

Veri türü, Genel Şartlar ve Koşullar ile Gizlilik Politikasında daha ayrıntılı olarak tanımlanmaktadır.

2.3 Verinin toplanmasının, işlenmesinin ve kullanılmasının amacı

Verinin toplanmasının, işlenmesinin ve kullanılmasının amacı Genel Şartlar ve Koşullar ile Gizlilik Politikasında daha ayrıntılı olarak tanımlanmaktadır.

2.4 Verinin toplanmasının, işlenmesinin ve kullanılmasının niteliği ve kapsamı

Verinin toplanmasının, işlenmesinin ve kullanılmasının niteliği ve kapsamı Genel Şartlar ve Koşullar ile Gizlilik Politikasında daha ayrıntılı olarak tanımlanmaktadır.

2.5 İlgili Kişiler Kategorisi

(a) İşverenin kendi verileri

(b) Müşteriler

2.6 Teknik ve örgütsel tedbirler

(a) İşleyici tarafından uygulanacak teknik ve örgütsel tedbirler bu DPA'nın Ekinde (aşağı bakınız) belirlenecektir. Kararlaştırılan koruma seviyesinin düşürülmemesi ve Sorumlu Kişilerin derhal haberdar edilmesi şartıyla İşleyici bu tedbirleri düzenli olarak ve masraflar kendisine ait olmak üzere buluş öncesi teknik durumlara uyarlayacaktır.

(b) İşleyicinin bu sözleşme kapsamındaki işleme faaliyetlerine başlamadan önce Sorumlu Kişi tarafından teknik ve örgütsel tedbirlere yerinde uyumun teyit edilmesine izin vermesi gereklidir. Sorumlu Kişinin Madde 2.10 çerçevesindeki denetim hakkı bundan etkilenmez. (c) İşleyici, DPA çerçevesinde kullanılan veri işleme sistemlerinin buluş öncesi teknik durumlar uyarınca "kasten gizlilik" ve "hükmen gizlilik" standartlarına uymasını sağlayacaktır.

2.7 Verilerin düzeltilmesi, silinmesi ve bloke edilmesi, veri taşınabilirliği hakkı ve itiraz hakkı

(a) Özellikle de düzeltme, silme ve bloke etmeye, veri taşınabilirliğine ve itiraza ilişkin haklar olmak üzere İşleyici tarafından veri işlemesiyle bağlantısı olan kişilerin hakları veri sorumlusundan talep edilecektir. Söz konusu hakların korunmasından yalnızca veri sorumlusu mesuldur.

(b) İşleyici, Sorumlu Kişi için yaptığı iş esnasında etkilenen kişilerce kendisine yöneltilen tüm istekleri gecikme olmadan uygun şekilde işleme alınmaları için Sorumlu Kişiye iletmekle yükümlüdür. Sorumlu Kişinin ve İşleyicinin sorumlu dış kişiler olarak müşterek hareket etmesi durumunda İşleyici söz konusu istekleri bağımsız olarak yanıtlama hakkına sahiptir.

(c) İşleyicinin aynı zamanda Sorumlu Kişinin ilgili kişilere yanıt verme yükümlülüğünü yerine getirebilmesi için uygun teknik ve örgütsel tedbirler konusunda Sorumlu Kişiye yardım etmesi gerekmektedir.

(d) İşleyici, Sorumlu Kişinin talimatları uyarınca verileri hemen düzeltecek, askıya alacak ve/veya silecek, bunu en fazla beş (5) gün içinde gerçekleştirecek ve Sorumlu Kişiye bu süre içerisinde haber verecektir.

2.8 İşleyicinin Görevleri

(a) İşleyici, verileri yalnızca sipariş ve Sorumlu Kişinin belgelenmiş talimatları bağlamında toplayabilir, işleyebilir ve kullanabilir.

(b) İşleyici bu DPA'da yer alan Madde 2.6'da tanımlanan şekilde teknik ve örgütsel tedbirlere düzenli olarak uymakla ve talep üzerine bunları sunmakla yükümlüdür.

(c) İşleyicide veri koruması için irtibat yetkilisi olarak Veri Koruma Görevlisi gösterilmiştir. Bu görevliye privacy@hd.digital adresi üzerinden ulaşılabilir. Gerekli olması durumunda İşleyici aynı zamanda GDPR Madde 27 gereklilikleri uyarınca bir temsilci de atayabilir.

(d) İşleyici gizliliği korumakla yükümlüdür. Sorumlu Kişinin verilerine erişim yetkisi olan İşleyicideki tüm şahısların bir gizlilik yükümlülüğü ile bağlanması veya makul bir mesleki gizliliğe taraf edilmesi ve bu DPA'dan doğan özel veri koruma yükümlülükleri ile mevcut talimatlar ve amaç hakkında bilgilendirilmesi gerekli olacaktır. İşleyici söz konusu yükümlülükleri yazılı olarak belgelendirecek ve talep üzerine Sorumlu Kişiye sunacaktır.

2.9 Alt yüklenicilik koşullarının gerekçelendirilmesi

(a) Alt yüklenicilik ilişkilerinin gerekçelendirilmesine izin verilmektedir. İşleyici, Sorumlu Kişiyi ilgili değişiklikten önce haberdar edecektir. Sorumlu Kişinin buna itiraz etme hakkı vardır.

(b) Başka işleyicilere görev verilmesi durumunda İşleyici bu DPA kapsamında İşleyiciye ait yükümlülüklerin diğer işleyiciler için de geçerli olmasını sözleşmesel olarak sağlayacaktır.

(c) İşleyici, sağladığı verileri korumak için alt yüklenicilik süresi boyunca diğer işleyiciler tarafından alınan teknik ve örgütsel tedbirleri belirli bir amaca yönelik ve düzenli olarak kontrol edecektir. Veri aktarımına, yalnızca diğer işleyicilerin gerekli teknik ve örgütsel tedbirleri en az bu DPA'nın şartları uyarınca uygulamakta olması durumunda izin verilir.

(d) İşleyici iş verdiği alt yüklenicilerden tamamen mesul olacaktır.

2.10 Sorumlu Kişinin denetim hakları

Sorumlu Kişi ilgili veri koruma mevzuatlarına ve DPA'ya uyumu normal mesai saatleri içinde doğrulama yetkisine sahiptir. İşleyici, Sorumlu Kişiye denetimin makul bir süre içinde gerçekleştirilmesi için makul derecede gerekli olan tüm bilgileri sağlamayı kabul eder. Sorumlu Kişinin İşleyici için yerinde denetim gerektiğine karar vermesi durumunda, İşleyici, denetimi yapmakla görevli şahsın, İşleyicinin ofisine ve depolanmış veriler ile veri işleme programlarına yerinde denetim için erişebilmesini sağlayacaktır. Sorumlu Kişi her bir durumda belirtilmek üzere testleri üçüncü bir tarafa (inceleyici) yaptırma hakkına sahiptir. Sorumlu Kişi bu tür bir denetimin gerçekleştirileceğini en az yirmi (20) gün önceden haber vermelidir. Denetime ilişkin maliyetler ve İşleyici için normal piyasa fiyatları üzerinden ortaya çıkan maliyetler Sorumlu Kişi tarafından karşılanacaktır.

2.11 İşleyici Tarafından İhlal Bildirimleri

(a) İşleyicinin veya İşleyici tarafından görevlendirilen şahısların ya da alt yüklenicilerin Sorumlu Kişinin verilerinin korunması ilişkin kuralları veya bu DPA'da belirlenen koşulları ihlal ettiği tüm durumlarda İşleyici gecikme olmadan ve en geç kırk sekiz (48) saat içinde Sorumlu Kişiye bildirimde bulunacaktır.

(b) Sorumlu Kişi sebep ne olursa olsun kayıp ya da üçüncü taraflara yasa dışı aktarım veya üçüncü taraflarca yasa dışı alım olaylarında haberdar edilecektir. İşleyici, Sorumlu Kişiye danışarak verileri muhafaza etmek ve ilgili kişiler için olası olumsuz etkileri azaltmak amacıyla uygun tedbirler alacaktır. Sorumlu kişilerin bildirim yükümlülüklerine uyduğu derecede olmak üzere İşleyici, Sorumlu Kişiye bu yükümlülüklerin yerine getirilmesinde yardımcı olacaktır.

2.12 Sorumlu Kişinin Talimatları

(a) Sorumlu Kişinin verilerinin İşleyici tarafından işlenmesi yalnızca DPA ve İşleyici tarafından bildirilen spesifik talimatlar bağlamında gerçekleştirilecektir.

(b) İşleyici gecikme olmadan işlemenin niteliğine, kapsamına ve yöntemine ilişkin (münferit) talimatlara veya varsa Sorumlu Kişi tarafından belirlenmiş süre kısıtlamasına uyacaktır.

(c) İşleyici, Sorumlu Kişi tarafından verilen talimatların veri koruma mevzuatlarını ihlal ettiğini düşünmesi durumunda Sorumlu Kişiye gecikme olmadan haber verecektir. İşleyici, ilgili talimat Sorumlu Kişi tarafından doğrulanana veya değiştirilene kadar bunun ifasını askıya alma hakkına sahip olacaktır.

2.13 Siparişin tamamlanmasından sonra silme

İşleyici, sözleşmesel işin tamamlanmasından sonra Sorumlu Kişi için işlediği tüm verileri teslim etmeli veya Sorumlu Kişinin önceden rızası alınması şartıyla bunları veri koruma mevzuatı uyarınca imha etmeli ya da buluş öncesi teknik durum uyarınca silmelidir. Avrupa Birliği yasalarının veya AB üyesi bir ülkenin yasalarının verilerin saklanmasını gerektirdiği durumlar hariç olmak üzere, belgelere, verilere, işlemeye ve kullanıcı sonuçları ile bağlantılı veri taşıyıcılarına ilişkin olarak saklama hakkı verilmemektedir.

3. İşleyicinin diğer yükümlülükleri

3.1 İşleyici, veri işlemesi için sağlanan verileri başka hiçbir amaç için kullanamaz. DPA ile istenen hizmetler hariç olmak üzere, Sorumlu Kişinin bilgisi dışında ve önceden yazılı onayı alınmadan kopyalama veya çoğaltma yapılamaz. İşleyici, Sorumlu Kişi için işlediği verilerin diğer verilerden ayrı tutulmasını sağlayacaktır. Sorumlu Kişinin önceden yazılı onayı alınmadan Sorumlu Kişinin verileri İşleyici tarafından üçüncü taraflara aktarılamaz.

3.2 İşleyici, veri koruma gerekliliklerinin gerçek veya sözde ihlaline dayalı hak taleplerine karşı savunmada sorumlu olanlara makul şekilde yardım sağlayacaktır. Sorumlu Kişi, veri sahiplerinin şikayetlerini Sorumlu Kişinin veri koruma yükümlülüğü bağlamında uygun bir şekilde soruşturacak ve veri sahiplerinin şikayetlerini işleme alacaktır.

3.3 İşleyici, bilgilerin etkilenen kişilere bilgi alma hakkına dayalı olarak yalnızca Sorumlu Kişi veya Sorumlu Kişinin yetkilendirdiği bir şahıs tarafından verileceğini kabul eder. İşleyici gerekli bilgileri Sorumlu Kişiye zamanında vermekle ve Sorumlu Kişiye destek olmakla yükümlüdür. İşleyicinin aynı zamanda dış Sorumlu Kişi olarak hareket ediyor olması durumunda söz konusu sorgulara buna uygun şekilde cevap verilebilir ve Sorumlu Kişi yine uygun şekilde bilgilendirilebilir.

3.4 İşleyici mümkün olan durumlarda veri sorumlusuna gerekli prosedür dizinlerinin hazırlanmasında yardımcı olacaktır.

3.5 İşleyici, bir işleme türünün gerçek kişilerin haklarına ve özgürlüklerine yönelik olarak yüksek riskle sonuçlanmasının muhtemel olduğu durumlarda Sorumlu Kişiye veri koruma etki değerlendirmelerini gerçekleştirmede yardımcı olacaktır.

3.6 İşleyici, veri koruma denetimi mercileri tarafından yapılan denetimlerin sonuçlarını bunların bu DPA ile ilgili olması durumunda gecikme olmadan Sorumlu Kişiye bildirmeyi kabul eder. İşleyici, mesul olanları, veri koruma denetimi mercilerinin İşleyicinin sorumluluk alanına ilişkin olan tüm şikayetleri hakkında bilgilendirecek ve tüm belirlenmiş şikayetlere yasalarca gerektirilen şekilde çözüm getirecektir.

4. Yükümlülük

4.1 Sorumlu Kişi veri işlemesinin cevazıyla ve veri sahiplerinin haklarının korunmasıyla yükümlüdür.

4.2 Bölüm 4.1'i tadil etmek suretiyle, İşleyici ilgili yasal hükümlerden veya DPA'nın ilgili hükümlerinden kaynaklanan veri sahibi hak taleplerinden sorumludur.

4.3 Sorumlu Kişiye ilişkin olarak, İşleyici yasal olarak izin verilen şekilde yükümlülük ve sınırlamalardan muaf tutulma çerçevesinde yalnızca kasıtlı ve ağır ihmalden yükümlüdür.

5. Nihai hükümler

5.1 Veri Sorumlusu, denetim esnasında İşleyicinin veri işlemesinde hata veya düzensizlik bulması durumunda derhal ve tam kapsamlı olarak İşleyiciyi bilgilendirecektir.

5.2 Bu DPA yukarıdaki Genel Şartlar ve Koşullarla aynı şart ve koşullara uygun olarak değiştirilebilir ve feshedilebilir.

5.3 Bu DPA'nın bir veya daha fazla hükmünün geçersiz olması DPA'nın geçerliliğini etkilemeyecektir. Bu DPA'nın bir veya daha fazla hükmünün geçersiz olması durumunda, Taraflar geçersiz olan hükme ekonomik açıdan mümkün olduğunca yakın olan ikame bir hüküm oluşturacaktır. Bu, yasal boşluklar için de geçerlidir.

5.4 Bu DPA, yukarıda yer alan Genel Şartlar ve Koşullar ile aynı hakka tabidir.

5.5 Bu DPA ile taraflar arasındaki diğer anlaşmalar arasında çelişkiler olması durumunda bu DPA'nın hükümleri geçerli olacaktır.

Durum: 2018/ AG


Teknik ve örgütsel tedbirler

Buluş öncesi teknik durumlar, uygulama maliyetleri, işlemenin niteliği, kapsamı, koşulları, amaçları ve gerçek kişilerin haklarına ve özgürlüklerine riskin olasılığı ve şiddeti göz önünde bulundurularak, İşleyici, riskle orantılı bir koruma seviyesi sağlamak için uygun teknik ve örgütsel tedbirler uygulayacaktır. Bu tedbirlerden bazıları aşağıdadır:

• verilerin anonimleştirilmesi ve şifrelenmesi,

• işleme sistemlerinin ve hizmetlerinin gizliliğini, doğruluğunu, erişilebilirliğini ve sağlamlığını kalıcı olarak sağlama yetisi,

• fiziksel veya teknik bir olay olması durumunda veri mevcudiyetini ve erişilebilirliğini hızlı bir şekilde tekrar sağlama yetisi,

• işlemenin güvenliğini sağlamak için teknik ve örgütsel tedbirlerin etkinliğini incelemek, değerlemek ve değerlendirmek amaçlı bir süreç.

Yukarıdakilere halel getirmeksizin, aşağıdaki spesifik tedbirler alınacaktır:

1. Erişim kontrolü

Yetkisi olmayan kişilerin verilerin işlenmesi için kullanılan veri işleme sistemine erişimini engelleme amaçlı tedbirler:

• Yetkili kişi gruplarının ve ilgili belgelerin belirlenmesi,

• Elektronik erişim kontrolü,

• Erişim kimlikleri verilmesi,

• Dışarıdan gelen bireylere kuralların iletilmesi,

• Mesai saatleri dışında çalışan alarmlar ve güvenlik,

• Mülklerin farklı güvenlik bölgelerine dağıtılması,

• Anahtarların (kartların) kullanımına ilişkin kurallar konulması,

• Güvenlikli kapılar (elektronik kapı açıcı, kimlik okuyucu, kapalı devre kamera sistemi),

• Tesiste güvenlik için tedbirler (izinsiz giriş saptama/bildirme) alınması.

2. Erişim kontrolü

Yetkisi olmayan kişilerin, veri işleme sistemini ve prosedürlerini kullanmasını engelleme amaçlı tedbirler:

• Veri işleme sistemlerine erişimi olan kişi gruplarının belirlenmesi,

• Dışarıdan gelen bireylere kuralların iletilmesi,

• Şahsi bilgisayarlar için şifre koruması.

3. Erişim kontrolü

Veri işleme tekniklerini kullanma yetkisi olan kişilerin yalnızca yetkileri olan verilere ulaşabilmelerini sağlayan tedbirler:

• İlgili verilere ve işlevlere dayalı olarak kısıtlı erişim hakları uygulanması,

• Veri işleme ekipmanlarını tanıma yükümlülüğü (örneğin kimlik ve doğrulama aracılığıyla),

• Erişim ve kullanıcı rollerine yönelik politikalar uygulama,

• Zararlı bir olay olması durumunda protokollerin değerlendirilmesi.

4. Aktarım kontrolü

Verilerin elektronik iletim veya veri taşıyıcılarda taşınma ya da depolama esnasında okunamamasını, kopyalanamamasını, değiştirilememesini ve silinememesini, veri iletimi yoluyla aktarımda veri iletiminin hangi noktada gerçekleştiğini kontrol etmeyi ve belirlemeyi sağlayacak tedbirler.

• Şifreleme

5. Giriş kontrolü

Verilerin BT sistemlerinde girilip girilmediğini, değiştirilip değiştirilmediğini, silinip silinmediğini ve bu işlemleri kimin yaptığını sonradan doğrulama ve belirlemeyi mümkün kılacak tedbirler.

• Veri girişlerinin kaydedilmesi.

6. Sipariş kontrolü

Sipariş üzerine işlenen verilerin yalnızca Sorumlu Kişinin talimatları uyarınca işlenebilmesini sağlayacak tedbirler.

• Sorumlu Kişi ve İşleyici arasındaki farklı yetkinliklerin ve yükümlülüklerin belgelendirilmesi,

• Resmi görevlendirme,

• İş sonuçlarının kontrolü.

7. Mevcudiyet kontrolü

Verilerin kazaen imha edilmeye veya kaybedilmeye karşı korunmasını sağlayan tedbirler.

• Düzenli yedeklemeler için bir plan uygulanması,

• Veri yedeklerinin yangına ve suya dayanıklı dolaplarda güvenli şekilde saklanması,

• Bir acil durum enerji sisteminin ve aşırı gerilim koruma sisteminin uygulanması ve düzenli kontrolü.

• Bir acil durum planının oluşturulması,

• Kriz ve/veya acil durum yönetimi protokolü oluşturulması.

8. Ayırma kontrolü

Farklı amaçlarla toplanan verilerin ayrı şekilde işlenmesini sağlayan tedbirler.

• İşleyicinin ilgili müşterilerinin verilerinin ayrılması.

Durum: Mayıs 2018/ AG