Veri İşleme Eki (Müşteri)
Son Güncelleme 20 Aralık 2023
Genel Bakış
Ekleri de dahil olmak üzere bu Veri İşleme Eki ("DPA"), Sipariş Formu'nda listelenen müşteriye sağlanan tüm hizmetleri ("Müşteri"), OPSWAT Inc. ve Bağlı Kuruluşları ("OPSWAT") kişisel verilerin işlendiği ölçüde bir İşleyici veya Alt İşleyici olarak.
Müşteri ve OPSWAT 'un her biri burada "Parti" ve birlikte "Partiler".
Bu DPA, OPSWAT'un Standart Hüküm ve Koşulları, OPSWAT'un Profesyonel Hizmetler Hüküm ve Koşulları, OPSWAT'un Siber Güvenlik Değerlendirme Hizmet Şartları veya varsa diğer satış, lisans veya benzer sözleşmeler ("Sözleşme") dahil ancak bunlarla sınırlı olmamak üzere Taraflar arasındaki herhangi bir sözleşmeyi tamamlar ve bunlara dahil edilir ve Süre boyunca yürürlükte kalacaktır.
Yukarıda belirtilenlerin genelliğini sınırlamaksızın, bu DPA kapsamındaki işlemenin konusu, niteliği ve amacı Sözleşme kapsamındaki Hizmetlerin sağlanmasıdır ve kişisel veri kategorileri ve veri sahibi kategorileri Sözleşme kapsamındaki Hizmetlerin sağlanması için gerekli olanlardır.
Bu DPA, DPA Yürürlük Tarihi itibariyle yürürlüğe girecek ve daha önce geçerli olan veri işleme ve güvenlik şartlarının yerini alacaktır.
1. Tanımlar
Bu DPA'nın amaçları doğrultusunda, aşağıdaki terimler aşağıda belirtilen anlamlara sahip olacaktır. Bu DPA'da kullanılan ancak başka bir şekilde tanımlanmayan büyük harfli terimler, Sözleşmede belirtilen anlamlara sahip olacaktır.
"İştirakler" her bir tarafla ilgili olarak, söz konusu tarafı Kontrol eden, onun tarafından kontrol edilen veya onunla ortak Kontrol altında olan kuruluşlar anlamına gelir.
"Birleştirilmiş Veri", verilerin belirli bir kişi veya Müşteriye atfedilememesi için kişisel veya diğer bilgilerin çıkarılmasıyla anonim hale getirilen istatistikler, kıyaslamalar, ölçümler ve diğer bilgiler veya veriler anlamına gelir (ticari olarak makul çabalar kullanılarak veya Geçerli Yasaların gerektirdiği şekilde).
"Geçerli Kanunlar" yürürlükteki ulusal, federal, eyalet ve yerel yasalar, kurallar, yönergeler, mahkeme veya devlet kurumu kararları ve yönetmelikler anlamına gelir.
"Denetim Raporları" nitelikli bir üçüncü taraf denetçi tarafından gerçekleştirilen ISO 27001, SSAE 16 SOC II veya benzer bir denetim raporu anlamına gelir.
"Kontrol" bir kuruluştaki oy gücünün veya öz sermayenin yüzde ellisinden (%50) fazlasının intifa hakkı sahipliği anlamına gelir.
"Müşteri Kişisel Verileri", Veri Koruma Mevzuatı kapsamında korunan tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili olarak Müşterinin OPSWAT adresine sağladığı veya kullanıma sunduğu veya OPSWAT adresinin Müşteri adına başka bir şekilde işlediği bilgiler anlamına gelir; her durumda, Sözleşmenin feshine kadar herhangi bir zamanda Sözleşme uyarınca Hizmetlerin sağlanmasıyla bağlantılı olarak veya Hizmetlerin bir parçası olarak.
"Veri Sorumlusu Bağlı Kuruluşlar" Müşterinin kendi Sipariş Formunu veya OPSWAT ile Sözleşmeyi imzalamamış olan ve (a) Veri Koruma Mevzuatına tabi olan ve (b) Sözleşme uyarınca Hizmetleri kullanmasına izin verilen Bağlı Kuruluşları anlamına gelir.
"Veri Koruma Mevzuatı", AEA ve/veya üye devletlerin (GDPR gibi), Birleşik Krallık ve İsviçre yasaları dahil ancak bunlarla sınırlı olmamak üzere, Sözleşme kapsamında Müşteri Kişisel Verilerinin İşlenmesi için geçerli olan Geçerli Yasalar anlamına gelir (her durumda, değiştirildiği, yerine geçtiği veya değiştirildiği şekilde).
"Veri Sahibi" Müşteri Kişisel Verilerinin ilgili olduğu kişi anlamına gelir.
"AÇA" Avrupa Ekonomik Alanı anlamına gelir.
"GDPR" AB 2016/679 sayılı Genel Veri Koruma Yönetmeliği anlamına gelir.
"Bilgi Güvenliği Olayı"OPSWAT 'un elinde, gözetiminde veya kontrolünde bulunan Müşteri Kişisel Verilerinin kazara veya yasa dışı olarak imha edilmesine veya kazara kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali anlamına gelir. "Bilgi Güvenliği Olayları", başarısız oturum açma girişimleri, pingler, port taramaları, hizmet reddi saldırıları ve güvenlik duvarlarına veya ağa bağlı sistemlere yönelik diğer ağ saldırıları dahil olmak üzere Müşteri Kişisel Verilerinin güvenliğini tehlikeye atmayan başarısız girişimleri veya faaliyetleri içermez.
"Sipariş Formu" bir kayıt veya sipariş belgesi anlamına gelir.
"İşleme" Müşteri Kişisel Verilerinin toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, depolanması, uyarlanması veya değiştirilmesi, geri alınması, danışılması, kullanılması, iletim yoluyla ifşa edilmesi, yayılması veya başka bir şekilde kullanıma sunulması, hizalanması veya birleştirilmesi, kısıtlanması veya silinmesini kapsayan Müşteri Kişisel Verileri üzerinde gerçekleştirilen herhangi bir işlem veya işlemler dizisi anlamına gelir. "İşlem", "İşlemler" ve "İşlenen" terimleri buna göre yorumlanacaktır.
"SCC", zaman zaman değiştirilebilecek, yeniden düzenlenebilecek veya yerini alabilecek olan Avrupa Parlamentosu ve Konseyi'nin (AB) 2016/679 sayılı Tüzüğü uyarınca kişisel verilerin üçüncü ülkelere aktarılmasına ilişkin standart sözleşme hükümlerine ilişkin 4 Haziran 2021 tarihli ve (AB) 2021/914 sayılı Avrupa Komisyonu Kararı anlamına gelir.
"Güvenlik Önlemleri" OPSWAT tarafından Müşteri Kişisel Verilerini korumak için kullanılan ve Bölüm 5.1'de (OPSWAT'un Güvenlik Önlemleri) daha ayrıntılı olarak açıklanan teknik ve organizasyonel önlemler anlamına gelir.
"Hizmetler" Sözleşmede tanımlanmıştır ve ayrıca OPSWAT tarafından Müşteriye Sözleşme kapsamında bir Sipariş Formunda ayrıntılı olarak belirtildiği şekilde sağlanacak hizmetler ve/veya ürünler anlamına gelir.
"Alt işleyiciler", OPSWAT dışında, Hizmetler ile ilgili olarak Müşteri Kişisel Verilerini İşlemek için bu DPA kapsamında OPSWAT tarafından görevlendirilen ve yetkilendirilen üçüncü taraflar anlamına gelir.
"Dönem" Bölüm 2'de belirtilen anlama sahip olacaktır.
2. DPA'nın Süresi
Bu DPA, Sözleşme yürürlüğe girdiğinde yürürlüğe girecek ve Sözleşmenin feshi üzerine otomatik olarak sona erecektir.
3. Verilerin İşlenmesi
3.1 İşleme Kapsamı; Müşteri Talimatları; OPSWAT Müşteri Talimatlarına Uygunluk. Müşteri, bu DPA'ya girerek OPSWAT 'a Müşteri Kişisel Verilerini yalnızca Veri Koruma Mevzuatına uygun olarak İşleme talimatı verir. OPSWAT , Müşteri Kişisel Verilerini yalnızca Müşterinin talimatlarına uygun olarak İşleyecektir: (a) Hizmetleri sağlamak için; (b) bu DPA dahil olmak üzere Sözleşme tarafından yetkilendirildiği şekilde; ve (c) Müşteri tarafından sağlanan diğer yazılı talimatlarda belgelendiği ve Geçerli Yasalar tarafından aksi belirtilmedikçe, bu DPA'nın amaçları doğrultusunda talimat teşkil ettiği OPSWAT tarafından yazılı olarak kabul edildiği şekilde. İşlemenin konusu ve ayrıntıları Ek 1'de (İşlemenin Ayrıntıları) açıklanmaktadır.
3.2 Müşterinin Sorumlulukları. Müşteri, (a) OPSWAT'un Müşteri Kişisel Verilerini (Müşteri Kişisel Verilerinin OPSWAT'a aktarılması veya erişim sağlanması dahil) bu DPA'nın şartlarına uygun olarak İşlemesi için Veri Koruma Mevzuatı kapsamında gerekli tüm yetkileri, onayları ve izinleri aldığını; ve (b) Müşterinin Müşteri Kişisel Verilerinin İşlenmesine ilişkin talimatlarının, kararlarının ve eylemlerinin Veri Koruma Mevzuatı dahil olmak üzere Geçerli Yasalara uygun olacağını beyan ve garanti eder. Müşteri, işbu Bölüm 3.2'ye (Müşterinin Sorumlulukları) uyamaması halinde OPSWAT adresini gecikmeksizin bilgilendirecektir.
3.3 Analitik. OPSWAT , aşağıdakiler de dahil olmak üzere çeşitli amaçlarla Toplu Verileri toplayabilir, geliştirebilir, oluşturabilir, çıkarabilir, derleyebilir, sentezleyebilir, analiz edebilir, kullanabilir, ticarileştirebilir veya üçüncü taraflarla paylaşabilir: (i) Hizmetlerimizi sürdürmek, iyileştirmek, pazarlamak ve tanıtmak; (ii) performans ve güvenlik sorunlarını ve bunları etkileyen faktörleri belirlemek, anlamak ve öngörmek; (iii) müşterilerimize güncellemeler, iyileştirmeler ve kişiselleştirilmiş deneyimler sağlamak; ve (iv) yeni ürün ve hizmetleri araştırmak ve geliştirmek. Şüpheye mahal vermemek için, Toplu Veriler Müşteri Kişisel Verilerini veya Müşteriyi tanımlayan herhangi bir bilgiyi hariç tutacaktır.
4. Verilerin Silinmesi veya İadesi.
Bu DPA'nın yürürlükteki fesih tarihinde veya Müşterinin yazılı talebi üzerine OPSWAT , Geçerli Yasalar OPSWAT 'un Müşteri Kişisel Verilerini saklamasını gerektirmediği veya buna izin vermediği sürece (örneğin, Geçerli Yasalar OPSWAT 'un veri arşivlerinde veya yedekleme sistemlerinde elektronik olarak saklanan Müşteri Kişisel Verilerinin kopyalarını saklamasına izin verebilir), Müşteri Kişisel Verilerini (mevcut kopyalar dahil) Geçerli Yasalara uygun olarak makul olan en kısa sürede OPSWAT'un sistemlerinden silecek, Müşteriye erişim sağlayacak, düzeltecek veya iade edecektir.
5. Veri Güvenliği.
5.1 OPSWAT'un Güvenlik Önlemleri. OPSWAT , Ek 2'de (Güvenlik Önlemleri) açıklandığı gibi Müşteri Kişisel Verilerini korumak için makul ölçüde uygun Güvenlik Önlemlerini uygulayacak ve sürdürecektir. OPSWAT , bu tür güncellemelerin ve değişikliklerin Hizmetlerin genel güvenliğini önemli ölçüde azaltmaması koşuluyla Güvenlik Önlemlerini zaman zaman güncelleyebilir veya değiştirebilir.
5.2 OPSWAT Personeli Tarafından Güvenlik Uyumu. OPSWAT , Müşteri Kişisel Verilerine yalnızca performanslarının kapsamı için bu tür bir erişime ihtiyaç duyan ve OPSWAT'un Sözleşmedeki gizlilik yükümlülüklerinden daha az kısıtlayıcı olmayan gizlilik yükümlülüklerine sahip olan çalışanlara, bağımsız yüklenicilere, OPSWAT Bağlı Kuruluşlarına ve Alt işleyicilere erişim izni verecektir.
5.3 Bilgi Güvenliği Olayları
5.3.1 Bilgi Güvenliği Olayı Bildirimi. OPSWAT bir Bilgi Güvenliği Olayının farkına varırsa, OPSWAT şunları yapacaktır: (a) Bilgi Güvenliği Olayından haberdar olduktan sonra Bölüm 13 (Bildirimler) uyarınca Müşteriyi gecikmeksizin Bilgi Güvenliği Olayı hakkında bilgilendirecek ve (b) söz konusu Bilgi Güvenliği Olayının nedenini belirlemek, zararı en aza indirmek ve tekrarını önlemek için makul adımları atacaktır. Geçerli Yasaların gerektirdiği durumlar haricinde, OPSWAT Müşterinin önceden yazılı izni olmaksızın, onaylanmış Alt İşleyiciler, kolluk kuvvetleri, sigorta eksperleri ve OPSWAT'un Bilgi Güvenliği Olayı müdahale hizmeti sağlayıcıları haricinde, Müşterinin adını açıkça belirten bir Bilgi Güvenliği Olayı hakkında üçüncü taraflara herhangi bir bildirimde bulunmayacaktır.
5.3.2 Bildirim. Müşteri için geçerli olan olay bildirim yasalarına uymak ve herhangi bir Bilgi Güvenliği Olayı ile ilgili üçüncü taraf bildirim yükümlülüklerini yerine getirmek yalnızca Müşterinin sorumluluğundadır (örneğin, GDPR Madde 33 ve 34). Bu durumda, OPSWAT Müşteriye makul yardım sağlayacaktır.
5.3.3 OPSWAT Tarafından Hatanın Kabul ü Yoktur. OPSWAT'un bu Bölüm 5.3 (Bilgi Güvenliği Olayları) kapsamında bir Bilgi Güvenliği Olayını bildirmesi veya buna yanıt vermesi, OPSWAT tarafından Bilgi Güvenliği Olayı ile ilgili herhangi bir hata veya yükümlülüğün kabulü olarak yorumlanmayacaktır.
5.4 Müşterinin Güvenlik Sorumlulukları ve Değerlendirmesi.
5.4.1 Müşterinin Güvenlik Sorumlulukları. Müşteri, OPSWAT'un Bölüm 5.1 (OPSWAT'un Güvenlik Önlemleri) ve Bölüm 5.3 (Bilgi Güvenliği Olayları) kapsamındaki yükümlülüklerine halel getirmeksizin:
(a) Müşteri, aşağıdakiler de dahil olmak üzere, Hizmetlerin kullanımından tek başına sorumludur:
(i) Müşteri Kişisel Verilerine ilişkin riske uygun bir güvenlik düzeyi sağlamak için Hizmetleri uygun şekilde kullanmak;
(ii) Müşterinin Hizmetlere erişmek için kullandığı hesap kimlik doğrulama bilgilerinin, sistemlerinin ve cihazlarının güvenliğini sağlamak;
(iii) OPSWAT 'un Hizmetleri sağlamak için kullandığı Müşteri sistemlerinin ve cihazlarının güvenliğini sağlamak; ve
(iv) Müşteri Kişisel Verilerini yedeklemek.
(b)OPSWAT 'un, Müşterinin OPSWAT'un ve Alt İşleyicilerinin sistemleri dışında depolamayı veya aktarmayı seçtiği Müşteri Kişisel Verilerini koruma yükümlülüğü yoktur (örneğin, çevrimdışı veya şirket içi depolama).
5.4.2 Müşterinin Güvenlik Değerlendirmesi.
(a) Hizmetlerin, Güvenlik Önlemlerinin ve OPSWAT'un bu Bölüm 5 (Veri Güvenliği) kapsamındaki taahhütlerinin, Müşterinin Veri Koruma Mevzuatı kapsamındaki güvenlik yükümlülükleri de dahil olmak üzere, Müşterinin ihtiyaçlarını karşılayıp karşılamadığını gözden geçirme ve değerlendirme sorumluluğu yalnızca Müşteriye aittir.
(b) Müşteri, (endüstri standartları, uygulama maliyetleri ve Müşteri Kişisel Verilerinin İşlenmesinin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra veri sahiplerine yönelik riskler dikkate alınarak) Ek 2'de (OPSWAT'un Güvenlik Önlemleri) belirtildiği üzere OPSWAT tarafından uygulanan ve sürdürülen Güvenlik Önlemlerinin Müşteri Kişisel Verilerine ilişkin riske uygun bir güvenlik düzeyi sağladığını kabul ve beyan eder.
5.5 Uyumluluk İncelemeleri. Denetim Raporları, Müşterinin yazılı talebi üzerine ve Sözleşmede belirtilen gizlilik yükümlülüklerine tabi olarak Müşteriye sunulur.
6. Veri Sahibi Hakları
6.1 Veri Sahibi Talepleri için Müşterinin Sorumluluğu. OPSWAT , Müşteri Kişisel Verileri ile ilgili olarak bir veri sahibinden herhangi bir talep alırsa, Geçerli Yasaların izin verdiği ölçüde, OPSWAT bu tür talepleri derhal Müşteriye bildirecektir. Müşteri, bu tür taleplere yanıt vermekten sorumlu olacaktır.
6.2 OPSWAT'un Veri Sahibi Talep Yardımı. OPSWAT (Müşteri Kişisel Verilerinin İşlenmesinin niteliğini dikkate alarak) Müşterinin Veri Koruma Mevzuatı kapsamında veri sahibi taleplerine yanıt verme yükümlülüğünü yerine getirmesi için Müşteriye gerekli makul yardımı sağlayacaktır. Müşteri, bu tür bir yardımla bağlantılı olarak ortaya çıkan her türlü ücret veya masraf için OPSWAT'un o zamanki profesyonel hizmet ücretleri üzerinden OPSWAT 'a geri ödeme yapacaktır.
7. Veri Transferleri
OPSWAT Müşteri Kişisel Verilerini OPSWAT, Bağlı Kuruluşları veya Alt işleyicilerinin faaliyetlerini sürdürdüğü her yerde, aşağıdaki Bölüm 8'de belirtildiği şekilde saklayabilir ve İşleyebilir. AEA, İsviçre ve Birleşik Krallık'taki Veri Koruma Mevzuatına tabi Müşteri Kişisel Verilerinin uluslararası aktarımları için Ek 3, Bölüm 1.10 ve/veya 1.11'in şartları geçerli olacaktır.
8. Alt işlemciler
Müşteri, OPSWAT 'u Bağlı Kuruluşlarını ve diğer üçüncü tarafları Alt işleyiciler olarak görevlendirmek üzere yetkilendirir. OPSWAT 'un Alt işleyicilerinin listesi https://www.opswat.com/legal/subprocessors adresinde mevcuttur ve Müşteri RSS beslemesi yoluyla bu listedeki güncellemelere abone olabilir. Müşterinin SCC veya diğer benzer anlaşmalara girmesi halinde, Müşterinin bu anlaşmaları imzalaması, SCC veya diğer benzer anlaşmalar kapsamında böyle bir yetkilendirme gerekiyorsa, Müşterinin OPSWAT tarafından Müşteri Kişisel Verilerinin İşlenmesinin alt yükleniciliğine önceden yazılı olarak izin verdiği anlamına gelir. OPSWAT , Alt İşleyicilerine devredilen tüm yükümlülüklerden ve Alt İşleyicilerinin tüm eylem ve ihmallerinden sorumlu olacaktır.
9. Veri Sorumlusu Bağlı Kuruluşları
9.1 İlişki ve İletişim. Müşteri, bu DPA'yı imzalayarak, bu DPA'yı kendi adına ve geçerli Veri Koruma Mevzuatı kapsamında gerekli olduğu ölçüde, Veri Denetleyicisi Bağlı Kuruluşları adına ve adına, OPSWAT 'un söz konusu Veri Denetleyicisi Bağlı Kuruluşlarının Denetleyici olarak nitelendirildiği Müşteri Kişisel Verilerini İşlediği ölçüde imzaladığını ve böylece OPSWAT ile her bir Veri Denetleyicisi Bağlı Kuruluşu arasında Sözleşme ve bu DPA hükümlerine tabi bir DPA oluşturduğunu kabul ve beyan eder. Müşteri, her bir Veri Kontrolörü Bağlı Kuruluşunun bu DPA'nın yükümlülüklerine bağlı kalmayı kabul etmesini sağlamayı kabul eder. Bununla birlikte, bir Veri Denetleyicisi Bağlı Kuruluşu Sözleşmenin tarafı değildir ve taraf haline gelmez ve yalnızca bu DPA'nın tarafıdır. Hizmetlerin Veri Kontrolörü Bağlı Kuruluş tarafından tüm erişimi ve kullanımı Sözleşmeye uygun olmalıdır ve Sözleşmenin Veri Kontrolörü Bağlı Kuruluş tarafından herhangi bir şekilde ihlal edilmesi Müşterinin ihlali olarak kabul edilecektir. Sözleşmede akit taraf olan Müşteri, bu DPA kapsamında OPSWAT ile tüm iletişimleri koordine etmekten sorumlu olmaya devam edecek ve Veri Kontrolörü Bağlı Kuruluşu adına bu DPA ile ilgili her türlü iletişimi yapma ve alma hakkına sahip olacaktır.
9.2 Veri Kontrolörü Bağlı Kuruluşlarının Hakları. Bir Veri Kontrolörü Bağlı Kuruluşunun OPSWAT ile DPA'ya taraf olması durumunda, bunu yalnızca Veri Koruma Mevzuatı kapsamında gerekli olduğu ölçüde yapacaktır. Bir Veri Kontrolörü Bağlı Kuruluşunun bu DPA kapsamında bir hakkı kullanması veya OPSWAT adresinden doğrudan kendisi tarafından bir çözüm talep etmesi için Veri Koruma Mevzuatının açıkça gerektirdiği durumlar haricinde, Taraflar aşağıdakileri kabul eder: (a) Sözleşmenin akit tarafı olan Müşteri, Veri Kontrolörü Bağlı Kuruluşu adına bu tür bir hakkı kullanma veya bu tür bir çözüm arama hakkına tek başına sahip olacaktır; ve (b) Sözleşmenin akit tarafı olan Müşteri, Veri Koruma Mevzuatı tarafından yasaklanmadığı ölçüde, bu DPA kapsamındaki bu tür hakları tüm Veri Kontrolörü Bağlı Kuruluşları için birlikte kullanacaktır.
10. Denetim Hakları
Müşterinin yazılı talebi üzerine OPSWAT , OPSWAT'un gizli bilgileri olarak Sözleşmenin gizlilik hükümlerine tabi olacak olan en son Denetim Raporunun bir kopyasını Müşteriye verecektir. OPSWAT ayrıca, Müşterinin bu hakkı yılda bir defadan fazla kullanmaması koşuluyla, Müşteri tarafından kendisine sunulan yazılı denetim sorularına yanıt verecektir.
11. Yargı Alanına Özgü Hükümler
OPSWAT Kişisel Verileri Ek 3'te listelenen bir yargı alanından işliyorsa, söz konusu İşleme ile ilgili olarak ilgili hükümler geçerli olacaktır.
12. Sorumluluk Üst Sınırı
Geçerli Yasalar tarafından yasaklanmadığı sürece, taraflardan birinin ve Bağlı Kuruluşlarının (Veri Denetleyicisi Bağlı Kuruluşları dahil) diğer tarafa ve Bağlı Kuruluşlarına karşı Sözleşme, bu DPA ve SCC kapsamında veya bunlarla bağlantılı olarak sözleşme, haksız fiil veya diğer herhangi bir sorumluluk teorisi kapsamındaki toplam birleşik sorumluluğu, Taraflarca Sözleşmede kararlaştırılan sorumluluk sınırlamaları veya diğer sorumluluk üst sınırları ile sınırlı olacaktır. OPSWAT ve OPSWAT İştiraklerinin, Müşteriden ve tüm Veri Sorumlusu İştiraklerinden Sözleşme veya herhangi bir DPA'dan kaynaklanan tüm talepler için toplam yükümlülüğü, hem Sözleşme hem de tüm DPA'lar kapsamındaki tüm talepler için toplu olarak geçerli olacak ve Müşteriye veya bu tür bir DPA'nın sözleşmeli tarafı olan herhangi bir Veri Sorumlusu İştirakine ayrı ayrı ve müteselsilen uygulanacak şekilde anlaşılmayacaktır.
13. Bildirimler
Bir Tarafça verilmesi gereken veya verilmesine izin verilen bildirimler (a) Sözleşmenin bildirim hükümlerine uygun olarak; (b) bir Tarafın diğer Tarafla birincil iletişim noktalarına ve/veya (c) Müşteri tarafından kendisine Hizmetle ilgili iletişimler veya uyarılar sağlamak amacıyla sağlanan herhangi bir e-postaya verilebilir. Müşteri, e-postalarının güncel ve geçerli olmasını sağlamaktan tek başına sorumludur. Tüm bildirimlerin bir kopyası şu adrese e-posta ile gönderilecektir: Legal@opswat.com.
14. Bu Şartların Etkisi
Bu DPA ile yapılan değişiklikler dışında, Sözleşme ve/veya Hizmetlerle ilgili diğer anlaşmalar değişmeden ve tam olarak yürürlükte kalacaktır. Sözleşme ve bu DPA arasında bir çelişki olması durumunda, bu DPA'nın hükümleri konuyla ilgili olarak kontrol edilecek ve geçerli olacaktır. Bu DPA ile SCC arasında bir çelişki olması durumunda, SCC'nin hükümleri SCC'nin konusuyla ilgili olarak kontrol edilecek ve geçerli olacaktır.
15. Geçerli Hukuk
Bu DPA, Veri Koruma Mevzuatının bu DPA'nın başka bir yargı yetkisi hukukuna tabi olmasını gerektirdiği haller ve kapsam dışında, Sözleşme ile aynı yargı yetkisi hukukuna tabi olacaktır.
İşlem Detayları
Konu Başlığı |
OPSWAT'in Müşteriye Sözleşmede ayrıntıları verilen Hizmetleri sağlaması.
|
İşleme Süresi |
Süre artı DPA'nın geçerli fesih tarihinden DPA uyarınca OPSWAT tarafından tüm Müşteri Kişisel Verilerinin silinmesine kadar geçen süre.
|
Kişisel Veri Türleri | Müşteri çalışanlarının, bağımsız yüklenicilerin veya Hizmetlerin yetkili kullanıcılarının kimlik ve iletişim bilgileri (ör. ad, unvan, iş adresi, iş telefonu numarası, iş e-postası); Hizmetler üzerindeki müşteri satın alma ve kullanım geçmişi verileri; Bilgi teknolojisi ("IT") ile ilgili veriler (örneğin, OPSWATweb sitesini ziyaret edenlerin IP adresleri, çevrimiçi gezinme verileri, tarayıcı türü, dil tercihleri, piksel verileri, çerez verileri, web işaretçisi verileri, günlük dosyaları); ve Tarama için gönderilen veya Hizmetlerin sağlanması sırasında OPSWAT adresine sunulan herhangi bir dosya, e-posta veya diğer verilerin içeriği ve meta verileri |
İşlemenin Niteliği ve Amacı |
OPSWAT Sözleşme ve DPA uyarınca Müşteriye Hizmetlerin sağlanması amacıyla Müşteri Kişisel Verilerini İşleyecektir.
|
Özel Nitelikli Kişisel Veriler |
Taraflar arasında hiçbir özel kategori kişisel veri alışverişi yapılmayacaktır.
|
Veri Özneleri |
Müşteri ve Bağlı Kuruluşlarının Hizmetleri kullanma yetkisine sahip çalışanları veya bağımsız yüklenicileri.
|
OPSWAT 'nin Müşteri Kişisel Verilerini nasıl işlediğine ilişkin daha fazla ayrıntı için lütfen https://www.opswat.com/legal/privacy-policy adresindeki Gizlilik Politikamıza bakın.
Güvenlik Önlemleri
OPSWAT Müşteri Kişisel Verilerinin İşlenmesi ile ilgili olarak aşağıdaki Güvenlik Önlemlerini uygulamıştır:
1. Fiziksel Erişim Kontrolü.
OPSWAT yetkisiz kişilerin Müşteri Kişisel Verilerinin işlendiği veri işleme sistemlerine erişim sağlamasını önlemek için tasarlanmış güvenlik personeli, güvenli binalar ve veri merkezi tesislerinin kullanımı gibi önlemleri kullanır.
2. Sistem Erişim Kontrolü.
Diğer kontrollerin yanı sıra, sipariş edilen belirli Hizmetlere bağlı olarak aşağıdakiler uygulanabilir: parolalar ve/veya iki faktörlü kimlik doğrulama yoluyla kimlik doğrulama, belgelenmiş yetkilendirme süreçleri, belgelenmiş değişiklik yönetimi süreçleri ve erişimin çeşitli düzeylerde günlüğe kaydedilmesi. OPSWAT tarafından barındırılan Hizmetler ortamı için: (i) OPSWAT çalışanları ve Alt İşleyiciler tarafından Hizmet ortamlarına yapılan oturum açma işlemleri günlüğe kaydedilir; (ii) veri merkezlerine mantıksal erişim güvenlik duvarı/VLAN ve yönlendirme kuralları ile kısıtlanır ve korunur; ve (iii) saldırı tespit sistemleri, merkezi günlük kaydı ve uyarı ve güvenlik duvarları kullanılır. OPSWAT , Hizmet yazılımı geliştirmenin bir parçası olan her sistemi, her sistem için güvenlik politikaları ile yönetir. Politikalar OPSWAT risk sahibi tarafından onaylanır ve varlık sahipleri tarafından yönetilir. Örneğin, hiçbir bağımsız yüklenicinin bir yapı sistemine erişimi yoktur.
3. İletim Kontrolü.
Hizmetler için aksi belirtilmedikçe (Sipariş Formu, iş beyanı veya Sözleşmede atıfta bulunulan ilgili hizmet özellikleri dahil), Hizmet ortamı dışındaki veri aktarımları şifrelenir. OPSWAT , Müşteri Kişisel Verilerinin şifrelenmesini içeren uygun bir ağ güvenliği programı sürdürür. Bazı Hizmetler, şifrelenmemiş iletişim gerektiren üçüncü taraf sitelerine erişime izin verecek şekilde Müşteri tarafından yapılandırılabilir. Bazı e-posta veya mesajlaşma hizmetleri aracılığıyla gönderilen iletişimlerin içeriği (gönderen ve alıcı adresleri dahil) şifrelenmemiş olabilir. Bu tür şifrelenmemiş iletişimleri veya iletimleri kullanma kararının sonuçlarından yalnızca Müşteri sorumludur.
4. Giriş Kontrolü.
Müşteri Kişisel Verilerinin kaynağı Müşterinin kontrolü altındadır ve Müşteri Kişisel Verilerinin OPSWAT sistemine entegrasyonu OPSWAT adresinden güvenli dosya aktarımı (örn. web hizmetleri aracılığıyla veya uygulamaya girilerek) ile yönetilir. Bazı Hizmetler Müşterinin şifrelenmemiş dosya aktarım protokollerini kullanmasına izin verir. Bu gibi durumlarda, bu tür şifrelenmemiş alan aktarım protokollerini kullanma kararından yalnızca Müşteri sorumludur.
5. Veri Yedekleme.
OPSWAT tarafından barındırılan Hizmetler için: yedekler düzenli olarak alınır; yedekler, Sipariş Formunda ayrıntıları verilen Hizmetlere bağlı olarak teknik ve fiziksel kontrollerin bir kombinasyonu kullanılarak güvence altına alınır.
6. İş Sürekliliği; Felaket Kurtarma.
OPSWAT bir iş sürekliliği ve felaket kurtarma planı uygulamıştır.
7.Supply Chain Güvenliği.
Hizmetler için alt işleyiciler veya üçüncü taraf bileşenleri, Hizmetlerin bir parçası olarak kullanılmadan önce bir OPSWAT yetkilisi ve OPSWAT Legal tarafından incelenir.
8. Güvenlik Açığı Taramaları.
Bu ortam için düzeltilen risk tehditlerini sürekli olarak belirlemek için güvenlik açığı taramaları haftalık olarak gerçekleştirilir.
9.OPSWAT Alt işlemciler.
OPSWAT OPSWAT Ürünleri için kullanılan alt işleyiciler güvenlik riskleri açısından değerlendirilir ve GDPR kapsamındaki asgari güvenlik gerekliliklerine ve hizmet seviyelerine uyulmasını sağlamak için ile Veri İşleme Ekleri (DPA'lar) ve/veya Standart Sözleşme Maddeleri imzalanması gerekir. OPSWAT
10.Software Geliştirme.
Hizmet yazılımı geliştirme, OPSWAT Ürün Yöneticisi ("PM") gereksinimlerin belirlenmesi ve yürütülmesi, tasarım, uygulama, birim testi, kod incelemesi, otomatik test, manuel Kalite Güvence ("QA") testi ve kabul testi dahil olmak üzere katı Sistem Geliştirme Yaşam Döngüsü ("SDLC") prosedürlerini takip eder.
11.Secure SDLC.
OPSWAT , güvenli SDLC için OWSAP SAMMSoftware Güvencesi Olgunluk Modeli) ve OWASP ASVS'yi (Uygulama Güvenliği Doğrulama Standardı) benimsemiştir.
12.IT Güvenlik.
OPSWAT güvenli kimlik doğrulama için Çok Faktörlü Kimlik Doğrulama ("MFA") kullanır ve NIST 800-63B standartlarını takip eder: https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver.
Yargı Alanına Özel Hükümler
1. Avrupa Ekonomik Alanı, İsviçre ve Birleşik Krallık
1.1 Kapsam. Aşağıdaki hükümler yalnızca OPSWAT'un EEA, İsviçre ve Birleşik Krallık'taki Veri Koruma Mevzuatına tabi Müşteri Kişisel Verilerini İşlemesi ile ilgili olarak uygulanacaktır.
1.2 Tanımlar.
(a) "Kontrolör", "İşlemci" ve "Denetim Makamı" terimleri GDPR'de verilen anlamlara sahip olacaktır.
(b) "Birleşik Krallık Eki" Birleşik Krallık Bilgi Komiserliği tarafından yayınlanan SCC Uluslararası Veri Transferi Eki, Sürüm B1.0 anlamına gelir.
1.3 İşleyici ve Kontrolör Sorumlulukları. Taraflar aşağıdakileri kabul eder ve onaylar:
(a)OPSWAT , Veri Koruma Mevzuatı kapsamında Müşteri Kişisel Verilerinin bir İşleyicisi veya uygun olduğu şekilde Alt İşleyicisidir;
(b) Müşteri, Veri Koruma Mevzuatı kapsamında Müşteri Kişisel Verilerinin, uygun olduğu şekilde, Denetleyicisi veya İşleyicisidir;
(c) Müşteri Kişisel Verilerinin doğruluğu, kalitesi ve yasallığı ve Müşterinin Müşteri Kişisel Verilerini elde etme yolları konusunda tek sorumluluk Müşteriye ait olacaktır; ve
(d) Taraflardan her biri, Müşteri Kişisel Verilerinin İşlenmesine ilişkin olarak Veri Koruma Mevzuatı kapsamında kendisi için geçerli olan yükümlülüklere uyacaktır.
1.4 Üçüncü Taraf Denetleyici Tarafından Yetkilendirme. Müşteri bir İşlemci ise, Müşteri OPSWAT 'a OPSWAT 'u İşlemci olarak ataması da dahil olmak üzere Müşterinin Müşteri Kişisel Verilerine ilişkin talimatlarının ve eylemlerinin ilgili Kontrolör tarafından yetkilendirildiğini beyan ve garanti eder. Müşteri, OPSWAT adresinin Müşteri Kişisel Verilerinin İşlenmesi için onay veya yetki toplamaktan sorumlu olmadığını kabul eder.
1.5 OPSWAT Tarafından Geçerli Yasalara Uymak için İşleme. OPSWAT 'un Müşteri Kişisel Verilerini Müşterinin talimatlarına aykırı olarak veya Geçerli Yasalara uymak için Sözleşme (bu DPA dahil) tarafından yetkilendirildiği şekilde İşlemesi gerekiyorsa, Geçerli Yasalar kamu yararına ilişkin önemli gerekçelerle bu tür bir bildirimi yasaklamadığı sürece, OPSWAT Müşteriyi İşlemeden önce Geçerli Yasalar hakkında bilgilendirecektir.
1.6 Güvenlik Önlemleri. OPSWAT (teknolojinin geldiği noktayı, uygulama maliyetlerini ve İşleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra veri sahiplerinin hak ve özgürlüklerine yönelik değişen olasılık ve ciddiyetteki riskleri dikkate alarak) Ek 2'de ayrıntıları verilen Güvenlik Önlemleri de dahil olmak üzere ve uygun olduğu şekilde riske uygun bir güvenlik düzeyi sağlamak için uygun Güvenlik Önlemlerini uygulayacaktır:
(a) Müşteri Kişisel Verilerinin takma isimlendirilmesi ve şifrelenmesi;
(b) aşağıdaki özel önlemler ve uygulamalar da dahil olmak üzere işleme sistemlerinin ve Hizmetlerin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlama becerisi;
(c) fiziksel veya teknik bir olay durumunda Müşteri Kişisel Verilerinin kullanılabilirliğini ve bunlara erişimi zamanında geri yükleme yeteneği; ve
(d) Müşteri Kişisel Verilerinin İşlenmesinin güvenliğini sağlamaya yönelik teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etmeye, değerlendirmeye ve değerlendirmeye yönelik bir süreç.
1.7 Makul Yardım. OPSWAT , Müşterinin GDPR Madde 35 kapsamında bir veri koruma etki değerlendirmesi gerçekleştirme yükümlülüklerine uyması için OPSWAT'un İşleyici olarak rolü için geçerli olan Geçerli Yasaların gerektirdiği şekilde Müşteriye makul yardım sağlayacaktır. Müşterinin Müşteri Kişisel Verilerini İşlemesinin veri sahiplerinin hakları ve özgürlükleri açısından yüksek risk oluşturduğu durumlarda OPSWAT , GDPR Madde 36 uyarınca bir Denetleyici Makamdan ön danışmanlık talep ederken Müşteriye makul yardım sağlayacaktır.
1.8 Bilgi Güvenliği Olayının Detayları. DPA Bölüm 5.3 (Bilgi Güvenliği Olayları) uyarınca yapılan bildirimler
(a) mümkünse, ilgili veri sahiplerinin kategorileri ve yaklaşık sayısı ve ilgili kişisel veri kayıtlarının kategorileri ve yaklaşık sayısı da dahil olmak üzere Bilgi Güvenliği Olayının niteliğini açıklar;
(b) veri koruma görevlisinin veya daha fazla bilgi alınabilecek diğer irtibat noktasının adını ve iletişim bilgilerini iletir;
(c) Bilgi Güvenliği Olayının olası sonuçlarını tanımlamak; ve
(d) OPSWAT tarafından Bilgi Güvenliği Olayını ele almak için alınan veya alınması önerilen önlemleri, uygun olduğu durumlarda olası olumsuz etkilerini azaltmaya yönelik önlemler de dahil olmak üzere açıklar.
Bilgilerin aynı anda verilmesinin mümkün olmadığı hallerde ve ölçüde, bilgiler gereksiz yere daha fazla gecikme olmaksızın aşamalı olarak verilebilir.
1.9 Uygunluk Denetimleri.
1.9.1Müşteri, kırk beş (45) günden az olmamak kaydıyla makul bir süre önceden yazılı talepte bulunarak, Veri Koruma Mevzuatının gerekliliklerini yerine getirmek için Sözleşme süresi boyunca her on iki (12) ayda bir OPSWAT'un bu DPA kapsamındaki yükümlülüklerine uygunluğunu denetleyebilir. Müşteri, tüm denetimleri normal OPSWAT çalışma saatleri içinde gerçekleştirmelidir ve OPSWAT iş faaliyetlerine makul olmayan bir şekilde müdahale edemez. Veri Koruma Mevzuatının gerektirdiği ölçüde, Müşterinin Denetim Otoritesi tarafından zorunlu kılındığı durumlar da dahil olmak üzere, Müşteri veya Müşterinin Denetim Otoritesi sık sık denetimler gerçekleştirebilir.
1.9.2Denetimi üçüncü bir taraf yapacaksa, OPSWAT denetçinin OPSWAT'un makul görüşüne göre uygun niteliklere sahip veya bağımsız olmaması veya OPSWAT rakibi olması durumunda denetçiye itiraz edebilir. OPSWAT tarafından yapılan bu tür bir itiraz, Müşterinin başka bir denetçi atamasını veya denetimi kendisinin yapmasını gerektirecektir.
1.9.3Bir denetim talep etmek için Müşteri, önerilen denetim tarihinden en az iki (2) hafta önce OPSWAT adresine ayrıntılı bir denetim planı sunmalıdır. Önerilen denetim planı, denetimin önerilen kapsamını, süresini ve başlangıç tarihini açıklamalıdır. OPSWAT , önerilen denetim planını inceleyecek ve Müşteriye endişelerini veya sorularını (örneğin, OPSWAT güvenliğini, gizliliğini, istihdamını veya diğer ilgili politikaları tehlikeye atabilecek herhangi bir bilgi talebi) iletecektir. OPSWAT , nihai bir denetim planı üzerinde anlaşmak için Müşteri ile işbirliği içinde çalışacaktır. Bu Bölüm 1.9'da (Uygunluk Denetimleri) yer alan hiçbir husus OPSWAT 'un gizlilik yükümlülüklerini ihlal etmesini gerektirmez.
1.9.4Talep edilen denetim kapsamı Müşterinin denetim talebinden sonraki on iki (12) ay içinde Denetim Raporlarında ele alınırsa ve OPSWAT denetlenen kontrollerde bilinen önemli bir değişiklik olmadığını teyit ederse, Müşteri Denetim Raporlarının kapsadığı kontrollerin denetimini talep etmek yerine Denetim Raporlarını kabul etmeyi kabul eder.
1.9.5Denetimlerin masrafları Müşteriye aittir. Müşteri, bu Bölüm 1.9 (Uyumluluk Denetimleri) kapsamındaki herhangi bir denetimle bağlantılı olarak OPSWAT veya Alt işleyicileri tarafından harcanan zaman için OPSWAT'un o zamanki profesyonel hizmet ücretleri üzerinden OPSWAT 'a geri ödeme yapacaktır. Müşteri, bu tür bir denetimi yürütmek üzere Müşteri tarafından atanan herhangi bir denetçi tarafından alınan tüm ücretleri ödeyecektir.
1.9.6Taraflar, bu Bölüm 1.9'un (Uyumluluk Denetimleri) OPSWAT'un Madde 5(f) kapsamında veri ithalatçısına ve Madde 11 ve Madde 12(2) kapsamındaki tüm Alt işleyicilere uygulanan SCC'nin denetim gereklilikleri kapsamındaki yükümlülüklerini karşılayacağını kabul eder.
1.10 Verilerin AEA veya İsviçre Dışına Aktarılması. Müşteri Kişisel Verilerinin saklanması ve/veya İşlenmesi, Müşteri Kişisel Verilerinin AEA veya İsviçre dışına aktarılmasını içeriyorsa ve söz konusu Müşteri Kişisel Verilerinin aktarılması için Veri Koruma Mevzuatı geçerliyse, aktarım Avrupa Komisyonu'nun yeterlilik kararının mevcut olduğu bir AEA ülkesine yapılmadığı sürece aşağıdakiler geçerli olacaktır:
1.10.1Ek 4 geçerli olacaktır ve OPSWAT bir İşleyici ve Müşteri Veri Koruma Mevzuatı kapsamında Müşteri Kişisel Verilerinin Denetleyicisi ise OPSWAT bu tür aktarımları burada atıfta bulunulan denetleyiciden işleyiciye SCC'ye uygun olarak yapacaktır.
1.10.2Ek 5 geçerli olacaktır ve OPSWAT bir Alt İşleyici ve Müşteri Veri Koruma Mevzuatı kapsamında Müşteri Kişisel Verilerinin İşleyicisi ise OPSWAT bu tür aktarımları burada atıfta bulunulan işleyiciden işleyiciye SCC'ye uygun olarak yapacaktır.
1.11 Verilerin Birleşik Krallık Dışına Aktarılması. Müşteri Kişisel Verilerinin depolanması ve/veya İşlenmesi, Müşteri Kişisel Verilerinin Birleşik Krallık dışına aktarılmasını içeriyorsa ve söz konusu Müşteri Kişisel Verilerinin aktarımı için Veri Koruma Mevzuatı geçerliyse, Ek 6 geçerli olacaktır ve OPSWAT , aktarım bir AEA ülkesine veya Birleşik Krallık hükümeti tarafından tanınan bir Avrupa Komisyonu yeterlilik kararının bulunduğu bir ülkeye yapılmadığı sürece, söz konusu aktarımları burada atıfta bulunulan SCC'ye uygun olarak yapacaktır.
1.12 Alt İşleyici Anlaşmaları. OPSWAT , Müşterinin SCC Madde 9(c) uyarınca bir Alt İşleyici anlaşmasının kopyasını talep etmesine yanıt vermeden önce Alt İşleyicilerle yaptığı anlaşmalardaki tüm gizli ticari veya yasal terimleri redakte edebilir.
1.13 Alt İşleyici Değişikliklerine İtiraz Etme Fırsatı. Süre boyunca yeni bir Alt İşleyici görevlendirildiğinde, OPSWAT , yeni Alt İşleyici herhangi bir Müşteri Kişisel Verisini İşlemeden en az on beş (15) gün önce, h ttps://www.opswat.com/legal/subprocessors adresinde bulunan Alt İşleyici listesini güncelleyerek görevlendirmeyi Müşteriye yazılı olarak bildirecektir. Müşteri, OPSWAT'un bildirimindeki tarihten itibaren beş (5) iş günü içinde OPSWAT adresine yazılı bildirimde bulunarak yeni bir Alt İşleyiciye itiraz edebilir. Müşterinin yeni bir Alt İşleyiciye itiraz etmesi durumunda, Müşteri ve OPSWAT bu itirazı ele almak üzere karşılıklı olarak kabul edilebilir bir çözüm bulmak için iyi niyetle birlikte çalışacaktır. Taraflar makul bir süre içinde karşılıklı olarak kabul edilebilir bir çözüme ulaşamazsa, Müşteri, tek ve münhasır çözüm yolu olarak, OPSWAT adresine yazılı bildirimde bulunarak söz konusu Alt İşleyiciyi kullanan Hizmetler için geçerli Sipariş Formunu feshedebilir.
1.14 İşleme Kayıtları. Müşteri, GDPR kapsamında OPSWAT 'un aşağıdakileri yapması gerektiğini kabul eder: (a) GDPR Madde 30 (2) uyarınca, OPSWAT 'un adına hareket ettiği her bir İşleyici ve/veya Denetleyicinin adı ve iletişim bilgileri ve uygun olduğu hallerde söz konusu İşleyici veya Denetleyicinin yerel temsilcisi ve veri koruma görevlisinin adı ve iletişim bilgileri de dahil olmak üzere belirli bilgilerin kayıtlarını toplamak ve muhafaza etmek; ve (b) GDPR Madde 30 (4) uyarınca söz konusu bilgileri Denetim Makamlarının kullanımına sunmak. GDPR'nin Müşteri Kişisel Verilerinin İşlenmesi için geçerli olması halinde Müşteri, talep edilmesi halinde bu tür bilgileri OPSWAT adresine sağlayacak ve sağlanan tüm bilgilerin doğru ve güncel tutulmasını sağlayacaktır.
2. Kaliforniya
2.1 Kapsam. Aşağıdaki hükümler yalnızca OPSWAT'un 2018 Kaliforniya Tüketici Gizliliği Yasasına tabi Müşteri Kişisel Verilerini İşlemesi ile ilgili olarak uygulanacaktır, Cal. Civil Code §1798.100 et seq., California Privacy Rights Act tarafından değiştirildiği şekliyle ve zaman zaman daha da değiştirilebilecek ilgili düzenlemeler (topluca "CCPA").
2.2 Tanımlar. "Satış","paylaşım " ve " hizmet sağlayıcı " terimleri CCPA kapsamında tanımlanan anlamlara sahip olacaktır.
2.3 Hizmet Sağlayıcı. OPSWAT , Müşteri için bir hizmet sağlayıcıdır. OPSWAT , Müşteri Kişisel Verilerini yalnızca Hizmetleri sağlamak amacıyla işleyecektir. Sözleşme veya CCPA kapsamında aksi yönde izin verilmedikçe:
(a) OPSWAT , Müşteri Kişisel Verilerini ticari bir amaçla veya Sözleşmede öngörülen amacı gerçekleştirmek dışında herhangi bir amaçla daha fazla toplamayacak, saklamayacak, kullanmayacak veya ifşa etmeyecektir;
(b) OPSWAT Müşteri Kişisel Verilerini Taraflar arasındaki doğrudan iş ilişkisi dışında tutmayacak, kullanmayacak veya ifşa etmeyecektir; ve
(c) OPSWAT , Müşteriden veya Müşteri adına alınan Müşteri Kişisel Verilerini, Sözleşme kapsamındaki Hizmetleri sağlamak için gerekli olanlar dışında, diğer kişilerden alınan veya Müşteri ile kendi etkileşiminden toplanan Kişisel Verilerle birleştirmeyecektir.
2.4 Satış veya Paylaşım Yok. OPSWAT Müşteri Kişisel Verilerini satmayacak veya paylaşmayacaktır.
2.5 CCPA ile Uyumluluk. OPSWAT , bu Sözleşme uyarınca İşlenen Müşteri Kişisel Verileri ile ilgili olarak CCPA kapsamında gerekli olan aynı düzeyde gizlilik koruması sağlamak da dahil olmak üzere CCPA'nın geçerli tüm bölümlerine uyacaktır.
2.6 CCPA Denetimleri.
2.6.1 Müşteri, kırk beş (45) günden az olmamak kaydıyla makul bir süre önceden yazılı talepte bulunarak Sözleşme süresi boyunca her on iki (12) ayda bir OPSWAT'un bu DPA kapsamındaki yükümlülüklerine uygunluğunu denetleyebilir. Müşteri tüm denetimleri normal OPSWAT çalışma saatleri içinde gerçekleştirmelidir ve OPSWAT iş faaliyetlerine makul olmayan bir şekilde müdahale edemez. Kaliforniya Gizlilik Koruma Ajansı tarafından zorunlu kılındığı durumlar da dahil olmak üzere CCPA'nın gerektirdiği ölçüde, Müşteri sık sık denetimler gerçekleştirebilir.
2.6.2 Denetimi üçüncü bir taraf yapacaksa, OPSWAT denetçinin OPSWAT'un makul görüşüne göre uygun niteliklere sahip veya bağımsız olmaması veya OPSWAT rakibi olması durumunda denetçiye itiraz edebilir. OPSWAT tarafından yapılan bu tür bir itiraz, Müşterinin başka bir denetçi atamasını veya denetimi kendisinin yapmasını gerektirecektir.
2.6.3 Bir denetim talep etmek için Müşteri, önerilen denetim tarihinden en az iki (2) hafta önce OPSWAT adresine ayrıntılı bir denetim planı sunmalıdır. Önerilen denetim planı, denetimin önerilen kapsamını, süresini ve başlangıç tarihini açıklamalıdır. OPSWAT , önerilen denetim planını inceleyecek ve Müşteriye endişelerini veya sorularını (örneğin, OPSWAT güvenliğini, gizliliğini, istihdamını veya diğer ilgili politikaları tehlikeye atabilecek herhangi bir bilgi talebi) iletecektir. OPSWAT , nihai bir denetim planı üzerinde anlaşmak için Müşteri ile işbirliği içinde çalışacaktır. Bu Bölüm 2.6'da (CCPA Denetimleri) yer alan hiçbir husus OPSWAT 'un gizlilik yükümlülüklerini ihlal etmesini gerektirmez.
2.6.4 Talep edilen denetim kapsamı Müşterinin denetim talebinden sonraki on iki (12) ay içinde Denetim Raporlarında ele alınırsa ve OPSWAT denetlenen kontrollerde bilinen önemli bir değişiklik olmadığını teyit ederse, Müşteri Denetim Raporlarının kapsadığı kontrollerin denetimini talep etmek yerine Denetim Raporlarını kabul etmeyi kabul eder.
2.6.5 Denetimlerin masrafları Müşteriye aittir. Müşteri, bu Bölüm 2.6 (CCPA Denetimleri) kapsamındaki herhangi bir denetimle bağlantılı olarak OPSWAT veya Alt işleyicileri tarafından harcanan zaman için OPSWAT'un o zamanki profesyonel hizmet ücretleri üzerinden OPSWAT 'a geri ödeme yapacaktır. Müşteri, bu tür bir denetimi yürütmek üzere Müşteri tarafından atanan herhangi bir denetçi tarafından alınan tüm ücretleri ödeyecektir.
2.6. 6 Taraflar, bu Bölüm 2.6'nın (CCPA Denetimleri) OPSWAT'un CCPA kapsamındaki yükümlülüklerini yerine getireceğini ve Müşteriye OPSWAT'un bu Sözleşme kapsamında Müşteri Kişisel Verilerini İşlemesinin OPSWAT'un CCPA kapsamındaki yükümlülükleriyle tutarlı olmasını sağlamak için makul ve uygun adımları atma hakkı sağlayacağını kabul eder.
2.7 Bildirim. OPSWAT CCPA kapsamındaki yükümlülüklerini artık yerine getiremeyeceğini tespit ederseOPSWAT Müşteriyi bilgilendirecektir. OPSWAT 'un bu Bölüm 2.7 kapsamındaki bildirimi üzerine, taraflar OPSWAT 'un CCPA kapsamındaki yükümlülüklerini yerine getirmesini sağlamak için bu Sözleşmede veya Hizmetlerde yapılacak değişiklikleri iyi niyetle müzakere edecektir. Söz konusu müzakerenin otuz (30) günü aşması halinde Müşteri, OPSWAT'un Kişisel Verileri İşlemesini gerektiren ilgili Sipariş Formunu feshedebilir.
2.8 Kişisel Verilerin Yetkisiz Kullanımının Düzeltilmesi. Müşterinin yazılı talebi üzerine, OPSWAT İşlemeyi durduracak ve DPA'nın 4. Bölümü (Verilerin Silinmesi veya İadesi) uyarınca Müşteri Kişisel Verilerini silecek veya iade edecektir. OPSWAT Müşteriye, OPSWAT'un Müşterinin yazılı talebine uyduğunu kanıtlayan bir sertifika sağlayacaktır. Taraflar, bu Bölüm 2.8'in OPSWAT'un Müşteriye OPSWAT'un Müşteri Kişisel Verilerini yetkisiz kullanımını durdurmak ve düzeltmek için makul ve uygun adımları atma hakkını sağlama yükümlülüklerini yerine getireceğini kabul eder.
2.9 Makul Güvenlik. Taraflar, Bölüm 5'in (Veri Güvenliği) OPSWAT'un CCPA kapsamındaki veri güvenliğine ilişkin yükümlülüklerini karşılayacağını kabul eder.
2.10 CCPA Veri Sahibi Talepleri. Taraflar, DPA'nın 6. Bölümünün (Veri Sahibi Hakları) OPSWAT'un CCPA kapsamındaki Veri Sahibi Taleplerine ilişkin yükümlülüklerini karşılayacağını kabul eder.
2.11 Alt işleyiciler. Taraflar, DPA'nın 8. Bölümünün (Alt işleyiciler) OPSWAT'un CCPA kapsamındaki Alt işleyicilere ilişkin yükümlülüklerini karşılayacağını kabul eder.
SCC - Denetleyiciden İşlemciye
Taraflar, burada referans olarak verilen ve bir kopyası https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en adresinde bulunabilecek olan SCC'nin 2. Modülüne uyacaklarını kabul ederler. Müşteri ayrıca privacy@opswat.com adresinden ilgili maddelerin bir kopyasını talep edebilir.
Taraflar aşağıdaki şartların geçerli olduğunu kabul ederler:
1. Madde 7: Taraflar Madde 7'yi eklemeyi tercih etmişlerdir.
2. Madde 9(a): Taraflar, 15 günlük bir süre ile 2. Seçeneği (Genel yazılı izin) dahil etmeyi tercih etmişlerdir.
3. Madde 11(a): Taraflar, bir veri sahibinin bağımsız bir uyuşmazlık çözüm organına veri sahibine hiçbir ücret ödemeden şikayette bulunmasına izin veren isteğe bağlı dili dahil etmemektedir.
4. Madde 17: Bu Maddeler, söz konusu hukukun üçüncü taraf lehtar haklarına izin vermesi koşuluyla, AB Üye Devletlerinden birinin hukukuna tabi olacaktır. Taraflar, bunun veri ihracatçısının bulunduğu Üye Devletin hukuku olacağını kabul eder. Veri aktarıcısının AB'de bulunmaması halinde, taraflar bunun İrlanda hukuku olacağını kabul ederler.
5. Madde 18(b): Taraflar, bu mahkemelerin veri aktarıcısının bulunduğu AB Üye Devletinin mahkemeleri olacağını kabul eder. Veri ihracatçısının AB'de bulunmaması halinde, taraflar bu mahkemelerin İrlanda mahkemeleri olacağını kabul ederler.
Taraflar, SCC'nin 2. Modülünün, bu Maddelerin akdedildiği tarihten önce veya sonra akdedilmiş olsun, taraflar arasındaki diğer tüm anlaşmalara göre öncelikli olduğunu kabul eder. Herhangi bir yargı alanının yasaları veya düzenleyici prosedürleri tarafından gerekli görülmesi halinde, Taraflar SCC'nin 2. Modülünü ayrı bir belge olarak yürütecek veya yeniden yürütecektir.
Ek 1 Ek 4
A. Tarafların listesi
Veri aktaran(lar): Müşteri
Rol (kontrolör/işlemci): Denetleyici
Veri içe aktaran(lar): OPSWAT
Rol (denetleyici/işlemci): İşlemci
B. Transferin tanımı
Veri sahibi kategorileri: bkz. KVKK Ek 1
Aktarılan Kişisel Veri Kategorileri: bkz. KVKK Ek 1
Hassas/Özel Veri Kategorileri: yok
Aktarım sıklığı: Hizmetlerin sağlanması için gerektiği kadar sürekli
Veri aktarımının niteliği veya işleme ve amaç(lar)ı: bkz. KVKK Ek 1
Kişisel Verilerin saklanacağı süre: bkz.
C. Yetkili Denetim Otoritesi
Veri ihracatçısının bulunduğu AB Üye Devleti. Eğer veri ihracatçısı AB'de yerleşik değilse, bu İrlanda olacaktır.
Ek 4'e Ek 2
Verilerin Güvenliğini Sağlamak için Teknik Organizasyonel Önlemler Dahil Teknik ve Organizasyonel Önlemler
DPA'nın Ek 2'sine bakınız. Alt işleyicilere yapılan aktarımlar için OPSWAT , söz konusu Alt işleyicilerin DPA Ek 2'de listelenen Güvenlik Önlemlerine maddi olarak uymasını sağlayacaktır.
SCC - İşlemciden İşlemciye
Taraflar, burada referans olarak verilen ve bir kopyası https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en adresinde bulunabilecek olan SCC'nin 3. Modülüne uyacaklarını kabul ederler. Müşteri ayrıca privacy@opswat.com adresinden ilgili maddelerin bir kopyasını talep edebilir.
Taraflar aşağıdaki şartların geçerli olduğunu kabul ederler:
1. Madde 7: Taraflar Madde 7'yi eklemeyi tercih etmişlerdir.
2. Madde 9(a): Taraflar, 15 günlük bir süre ile 2. Seçeneği (Genel yazılı izin) dahil etmeyi tercih etmişlerdir.
3. Madde 11(a): Taraflar, bir veri sahibinin bağımsız bir uyuşmazlık çözüm organına veri sahibine hiçbir ücret ödemeden şikayette bulunmasına izin veren isteğe bağlı dili dahil etmemektedir.
4. Madde 17: Bu Maddeler, söz konusu hukukun üçüncü taraf lehtar haklarına izin vermesi koşuluyla, AB Üye Devletlerinden birinin hukukuna tabi olacaktır. Taraflar, bunun veri ihracatçısının bulunduğu Üye Devletin hukuku olacağını kabul eder. Veri aktarıcısının AB'de bulunmaması halinde, taraflar bunun İrlanda hukuku olacağını kabul ederler.
5. Madde 18(b): Taraflar, bu mahkemelerin veri aktarıcısının bulunduğu AB Üye Devletinin mahkemeleri olacağını kabul eder. Veri aktarıcısının AB'de bulunmaması halinde, taraflar bu mahkemelerin İrlanda mahkemeleri olacağını kabul ederler.
6. Ek I A. Müşteri ve OPSWAT 'un her ikisi de işlemci olarak hareket ettiği DPA Ek 4 Ek 1'e bakınız.
7. Ek I B ve C: DPA Ek 4 Ek 1'e bakınız.
8. Ek II: DPA Ek 4 Ek 2'ye bakınız.
Taraflar, SCC'nin 3. Modülünün, bu Maddelerin akdedildiği tarihten önce veya sonra akdedilmiş olsun, taraflar arasındaki diğer tüm anlaşmalara göre öncelikli olduğunu kabul eder. Herhangi bir yargı alanının yasaları veya düzenleyici prosedürleri gerektiriyorsa, Taraflar SCC'nin 2. Modülünü ayrı bir belge olarak yürütecek veya yeniden yürütecektir.
Müşteri Kişisel Verilerinin Birleşik Krallık Dışına Aktarılması
Taraflar, Ek 4 veya Ek 5 (sırasıyla) tarafından tamamlanan ve bir kopyası Bilgi Komisyonu Ofisi'nin web sitesinde (https://ico.org.uk/media/for-organisations/documents/4019535/addendum-international-data-transfer.docx) bulunabilecek olan referans olarak dahil edilen Birleşik Krallık Eki tarafından değiştirilen SCC'nin Modül 2 veya Modül 3'üne (uygun olduğu şekilde) uyacaklarını kabul ederler. Müşteri ayrıca privacy@opswat.com adresinden ilgili maddelerin bir kopyasını talep edebilir.
1. Tablo 1: Taraflar
Veri aktarıcı: Müşteri
Veri aktarıcı: OPSWAT
2. Tablo 2: Seçilen SCC'ler, Modüller ve Seçilen Maddeler
Ek 4 veya Ek 5 ile tamamlandığı şekilde SCC'nin Modül 2 veya Modül 3'ü
3. Tablo 3: Ek Bilgiler
Ek 1A: DPA Ek 4 Ek 1'e bakınız
Ek 1B: DPA Ek 4 Ek 1'e bakınız
Ek II: DPA Ek 4 Ek 2'ye bakınız
Ek III: OPSWAT'un Alt işleyicilerinin listesi https://www adresinde mevcuttur. opswat.com/legal/subprocessors
4. Tablo 4: Onaylanan Zeyilname Değiştiğinde Bu Zeyilnamenin Sona Ermesi
İthalatçı veya İhracatçı
Taraflar, Birleşik Krallık Zeyilnamesi ile tadil edildiği şekliyle SCC'nin Modül 2 veya Modül 3'ünün (hangisi geçerliyse), bu Maddelerin akdedildiği tarihten önce veya sonra akdedilmiş olsun, taraflar arasındaki diğer tüm anlaşmalara göre öncelikli olduğunu kabul eder. Herhangi bir yargı alanının yasaları veya düzenleyici prosedürleri tarafından gerekli görülmesi halinde, Taraflar, Birleşik Krallık Eki ile değiştirilen SCC'nin Modül 2 veya Modül 3'ünü (uygulanabilir olduğu şekilde) ayrı bir belge olarak yürütecek veya yeniden yürütecektir.
