Veri İşleme Sözleşmesi (AVV]
Madde 28 paragraf 3 Veri Koruma Genel Yönetmeliği (GDPR] uyarınca
§ 1 Siparişin Konusu ve Süresi
(1] Bu sözleşme, müşterinin (sorumlu taraf] adına yüklenici (veri işleyici] tarafından kişisel verilerin işlenmesiyle bağlantılı olarak tarafların hak ve yükümlülüklerini düzenler. Yüklenicinin çalışanlarının veya onun tarafından görevlendirilen üçüncü şahısların sorumlunun kişisel verileriyle temas edebileceği tüm faaliyetlere uygulanır.
(2] Bu sözleşmenin süresi, "BusWay" yazılımının kullanımına ilişkin ana sözleşmenin süresine bağlıdır. Yasal saklama yükümlülükleri bulunmadığı sürece, ana sözleşmenin sona ermesiyle otomatik olarak sona erer.
§ 2 İşlemenin Türü ve Amacı
(1] Veri işleyen, veri sorumlusuna bir Yazılım-Olarak-Hizmet (SaaS] platformu sağlar. İşleme, operasyonel süreçleri desteklemek için verilerin toplanmasını, depolanmasını, değerlendirilmesini ve sağlanmasını içerir.
(2] İşlemenin amacı, dijital Route/Line ataması, sürüş personelinin navigasyonu, rota bilgilerinin yönetimi ve yazılımın çalışmasının teknik olarak sağlanmasıdır.
§ 3 Veri Türü ve İlgili Kişi Grubu
(1] İlgili kişi kategorileri: Müşterinin çalışanları (sürücüler, sevk görevlileri, yöneticiler].
(2] İşlenen kişisel verilerin türü:
- Kimlik verileri (kullanıcı adı, e-posta adresi, ad ve soyad].
- Konum ve hareket verileri (uygulamanın aktif kullanımı sırasında GPS koordinatları, rota geçmişleri].
- Cihaz meta verileri (IP adresi, cihaz kimliği, işletim sistemi sürümü, uygulama sürümü].
- Kullanım verileri (girişlerin zaman damgaları, oluşturulan veya gidilen rotalar, senkronizasyon günlükleri].
§ 4 Veri İşleyenin Yükümlülükleri
(1] Veri işleyen, kişisel verileri yalnızca yapılan anlaşmalar çerçevesinde ve veri sorumlusunun talimatlarına göre işler, başka bir işlemeye yasal düzenlemeler tarafından zorlanmadığı sürece.
(2] Veri işleyen, kişisel verilerin işlenmesiyle yetkilendirilen tüm kişilerin gizliliğe bağlı olduğunu veya uygun bir yasal gizlilik yükümlülüğüne tabi olduğunu garanti eder.
(3] Veri işleyen, riske uygun bir koruma düzeyi sağlamak için GDPR'nin 32. Maddesi (işleme güvenliği] uyarınca gerekli tüm önlemleri alır.
(4] Veri işleyen, veri sorumlusunu GDPR'nin 32 ila 36. Maddelerinde belirtilen yükümlülüklere uymasında (örneğin, kişisel verilerin korunmasının ihlallerinin bildirilmesi] elinden geldiğince destekler.
§ 5 Veri Sorumlusunun Yükümlülükleri
(1] Veri sorumlusu, GDPR'nin 6. Maddesinin 1. Fıkrası uyarınca işlemenin kabul edilebilirliğinin değerlendirilmesinden ve ilgili kişilerin haklarının korunmasından (örneğin, çalışanların GPS takibi hakkında bilgilendirilmesi] tek başına sorumludur.
(2] Veri sorumlusu, talimatlarını genellikle yazılım fonksiyonlarının kullanımı yoluyla verir (örneğin, kullanıcı oluşturma veya silme]. Sözlü talimatlar derhal yazılı olarak veya metin şeklinde (e-posta] teyit edilmelidir.
§ 6 Teknik ve Organizasyonel Önlemler (TOM]
(1] Veri işleyen, verileri yetkisiz erişime, kayba veya değişikliğe karşı korumak için uygun teknik ve organizasyonel önlemler almıştır.
- Gizlilik: Veri aktarımının şifrelenmesi (SSL/TLS], parola koruması (Hashing], erişim kontrolleri.
- Bütünlük: Giriş kontrolü, sistem erişimlerinin günlüğe kaydedilmesi, müşteri verilerinin ayrılması (mantıksal ayrım].
- Kullanılabilirlik: Düzenli yedeklemeler, yedekli sunucu altyapısı, acil durum planları (Afet Kurtarma].
- Dayanıklılık: Ölçeklenebilir bulut altyapılarının kullanımı ve sistem güvenliğinin düzenli olarak kontrol edilmesi.
§ 7 Alt Sözleşme İlişkileri
(1] Veri sorumlusu, veri işleyene sözleşmeden doğan yükümlülükleri yerine getirmek için başka veri işleyenleri (alt yükleniciler] dahil etme konusunda genel izin verir.
(2] Veri işleyen, diğer veri işleyenlerin dahil edilmesi veya değiştirilmesiyle ilgili her türlü planlanan değişikliği veri sorumlusuna bildirir. Veri sorumlusunun itiraz etme hakkı vardır.
(3] Şu anda kullanılan alt yükleniciler bu sözleşmenin ekinde listelenmiştir.
§ 8 Kontrol Hakları
(1] Veri sorumlusu, yasal düzenlemelere ve bu sözleşmenin hükümlerine uyulmasını veri işleyende makul ölçüde kontrol etme hakkına sahiptir. Bir SaaS çözümü olduğundan, kanıt öncelikle bağımsız üçüncü tarafların sertifikaları veya raporları ile sağlanabilir.
§ 9 Verilerin Silinmesi ve İadesi
(1] İşleme hizmetlerinin tamamlanmasının ardından, veri işleyen, depolama için yasal bir yükümlülük bulunmadığı sürece tüm kişisel verileri siler veya veri sorumlusuna iade eder.
§ 10 Son Hükümler
(1] Bu sözleşmenin bazı kısımlarının geçersiz olması, geri kalan hükümlerin geçerliliğini etkilemez.
(2] Almanya Federal Cumhuriyeti yasaları geçerlidir. Yargı yeri, veri işleyenin merkezidir.
Veri işleyen, hizmetini yerine getirmek için aşağıdaki hizmet sağlayıcıları kullanır:
| Hizmet | Hizmet Sağlayıcı | Sunucu Konumu |
|---|---|---|
| Barındırma, Veritabanı & Arka Uç | Strato AG | Berlin / Karlsruhe, DE |
| Harita Verileri & Coğrafi Kodlama | Google Cloud EMEA | Dublin, IE (AB] |
| Bayi / Kayıtlı Satıcı | Paddle.com Market Ltd | Londra, Birleşik Krallık (Yeterlilik Kararı] |