Veri İşleme Ek Sözleşmesi
Hizmet Sözleşmesi ("Hizmet Sözleşmesi") altındaki Veri İşleme Ek Sözleşmesi, Hizmet Sözleşmesinde belirtildiği şekilde İş Ortağı - "bundan böyle "Veri Sorumlusu" olarak anılacaktır" - ve Quandoo Türkiye Bilişim Pazarlama Limited Şirketi, Maslak Mah., AOS 55. Sokak, Maslak 42 B Blok, No:4, İç Kapı No:542, Sarıyer/İstanbul" - bundan böyle "Veri İşleyici" olarak anılacaktır" - her biri bir "Taraf" ve birlikte "Taraflar" olarak anılıp iki taraf arasında geçerli olacaktır.
1. Kapsam
Veri İşleyici, restoran rezervasyonu ve restoran rezervasyonlarıyla ilgili iletişimin yanı sıra restoran rezervasyonlarını ve bu tür rezervasyonlarla ilgili verileri yönetmek için bir veritabanına erişim de dâhil olmak üzere restoran rezervasyonu ve diğer ilgili hizmetlerin sağlayıcısıdır ("Veritabanı") (topluca "Hizmetler").
Veri İşleyici tamamıyla Quandoo GmbH, KulturBrauerei, Schönhauser Allee 36, 10435 Berlin'e aittir ve tüm önemli veri işleme süreçleri için ek bir işleyici görevi görür. Veri İşleyici ve Quandoo GmbH arasındaki bu ilişkiyi tanımlamak için uygun şirketler arası veri paylaşım anlaşmaları yapılmıştır.
Veri Sorumlusunun bir restoranı vardır ve Hizmet Sözleşmesini imzaladıktan sonra Veri İşleyicinin Hizmetlerine abone olmuştur. Hizmetlerin sağlanması ile ilgili olarak, Veri İşleyici, Veri Sorumlusu tarafından Veritabanına girilen kişisel verileri Veri Sorumlusu adına işler.
Bu Veri İşleme Ek Sözleşmesi ("Ek Sözleşme"), Verilerin Veri Sorumlusu adına Veri İşleyici tarafından işlenmesiyle bağlantılı olarak ortaya çıkan veri korumasına ilişkin Tarafların yükümlülüklerini içerir.
2. İşleme sürecinin açıklaması
Veri İşleyici, Veri Sorumlusunun kişisel verilerini aşağıdaki şekilde işler:
2.1 İşleme Konusu, Amacı ve Türü
İşleme konusu ve amacı, Veri Sorumlusunun rezervasyon taleplerini yönetmesi ve müşteriler ile ilgili verileri Veritabanında saklaması ve Hizmetleri sunmasını sağlamak için Veritabanının sunulmasıdır. Veri İşleyici, ilgili rezervasyonun durumu ile ilgili olarak, Veri Sorumlusu adına e-posta veya SMS yoluyla müşteriye belirli bir iletişim gönderir.
2.2 İşleme süresi
Bu Ek Sözleşmenin geçerlilik süresi, Hizmet Sözleşmesinin geçerlilik süresiyle aynı olacaktır.
2.3 Veri türü
İşlenen veriler arasında aşağıdaki veri türleri/kategoriler yer almaktadır:
• Ad ve soyadı
• E-posta adresi
• Telefon numarası
• Rezervasyon detayları
• Veri Sorumlusu tarafından girilen özel açıklamalar veya talepler
• Veritabanına erişim vermek için eklendiyse Veri Sorumlusu çalışanlarının adı ve e-posta adresi.
2.4 Etkilenen kişilerin kategorileri
Aşağıdaki kişiler veri işlemeden etkilenir:
• Müşteriler
• Veri Sorumlusu Çalışanları
3. Veri Sorumlusunun Hak ve Yükümlülükleri
3.1. Veri Sorumlusu ve Veri İşleyicinin her biri, işlenecek verilerle ilgili olarak yürürlükteki veri koruma yasalarına uymaktan sorumludur ve bunlara uyacaktır. Özellikle, Veri Sorumlusu ile ilgili olarak, Veri Sorumlusu şunları kabul eder:
3.1.1 Veri İşleyicinin Hizmet Sözleşmesi ve bu Ek Sözleşmeye bağlı olarak hangi kişisel verileri işleyebileceğini belirlemek ve Veri İşleyiciye yazılı olarak açık talimatlar sağlamak için münhasır kontrol ve sorumluluğa sahiptir;
3.1.2. Veri sahiplerine, kişisel verilerinin işlenmesiyle ilgili olarak geçerli tüm veri koruma yasalarına uygun olarak yeterli bilgi verilmesinden sorumludur; ve
3.1.3 Gerektiğinde tüm gerekli izinlerin alınması da dâhil olmak üzere, veri sahiplerinin kişisel verilerinin veri koruma yasalarına uygun olarak işlenmesi için yasal bir dayanak bulunmasından sorumludur.
3.2. Veri Sorumlusu, veri işlemenin geçerlilik süresi boyunca geçerli veri koruma yasalarına ilişkin herhangi bir hata ve/veya usulsüzlük tespit ederse Veri İşleyicisini derhal bilgilendirecektir.
4. Veri İşleyicinin Yükümlülükleri
4.1. Veri İşleyici, verileri yalnızca sözleşmeyle kararlaştırıldığı şekilde Veri Sorumlusunun talimatları kapsamında işleyecektir:
4.1.1 Veri İşleyici tarafından gerçekleştirilen İşleme, Veri Sorumlusunun talimatlarına göre tamamlanacaktır. Bu Ek Sözleşme ve Hizmet Sözleşmesinde genel olarak Veri Sorumlusunun talimatları yer alır. Bununla birlikte, Veri Sorumlusu, veri işlemenin niteliği, kapsamı ve yöntemi hakkında yazılı olarak makûl ek talimatlar verme hakkını saklı tutar. Veri İşleyicinin bu ek talimatlara uymadığı veya uymaya istekli olmadığı durumlarda, Veri İşleyici, Veri Sorumlusuna yazılı bildirimde bulunarak bu Ek Sözleşmeyi ve Hizmet Sözleşmesini feshetme hakkına sahiptir.
4.1.2 Kişisel verilerin Veri İşleyici ve Alt İşleyiciler tarafından işlenmesi, (i) Avrupa Birliği veya AEA sınırları içinde ve (ii) AB hukuku ile yeterince karşılaştırılabilir düzeyde bir veri koruması sunan üçüncü ülkelerin topraklarında gerçekleştirilecektir veya (iii) kişisel verilerin işlenmesinin AB standart sözleşme maddeleri veya bağlayıcı şirket kuralları gibi sözleşmeye dayalı güvencelere dayandığı durumlarda üçüncü bir ülkeye yapılacak diğer herhangi bir aktarım, önceden izin ve Veri Sorumlusundan alınan ilgili talimatın yanı sıra üçüncü bir ülkeye veri aktarımı için yasal gerekliliklere uyulmasını gerektirir. Veri İşleyici, kanunen üçüncü ülkeye veri aktarmakla yükümlü olduğu durumlarda bir istisna yapılacaktır. Bu durumda Veri İşleyici, (ilgili yasanın bu tür iletişimi yasaklamaması kaydıyla) işleme başlamadan önce bu tür yasal gereklilikleri Veri Sorumlusuna bildirecektir. Bir Alt İşleyici görevlendirilecekse, bu gereksinimler, 8. bölümdeki hükümlere ek olarak uygulanacaktır.
4.1.3. Veri İşleyici, Veri Sorumlusu tarafından verilen bir talimatın yasal hükümlere aykırı olduğunu düşünmesi halinde yazılı olarak (Hizmet Sözleşmesinde belirtilen e-posta adresine e-posta gönderilmesi yeterlidir) Veri Sorumlusuna bildirecektir. Veri İşleyici, Veri Sorumlusunun bu ifadeleri Veri İşleyici için yazılı olarak onaylayana veya değişiklik yapana kadar ilgili talimatların yürütülmesini askıya alma hakkına sahiptir.
4.1.4. Veri İşleyici, verileri münhasıran Hizmet Sözleşmesi amaçları doğrultusunda ve talimatlar çerçevesinde işler. Veri İşleyici, yasal bir zorunluluk gerektirmedikçe, verileri kendi amaçları için kullanamaz veya üçüncü taraflara aktaramaz.
4.2. Veri İşleyici, kendi iç süreçlerini, Veri İşleyicinin sorumluluk alanı dâhilindeki özel veri koruma gereksinimlerine uygunluğu ve etkilenen veri sahiplerinin haklarının korunmasını sağlayacak şekilde tasarlayacaktır. Veri İşleyici, verileri kötüye kullanım ve kayıptan yeterince korumak için işbu Sözleşmenin 5. Bölümünde belirtilen teknik ve kurumsal önlemleri uygulayacaktır.
4.3. Veri İşleyici, yasalarca gerekli görülmesi halinde bir veri gizliliği görevlisi atayacaktır.
4.4. Veri İşleyici, yalnızca bu Ek Sözleşmede belirtilen veri işlemeyi, gizliliğe bağlı olan ve daha önce çalışmalarıyla ilgili veri koruma hükümlerine aşina olan bu tür çalışanlara emanet eder.
4.5. Veri İşleyici, bu Ek Sözleşme kapsamında Veri Sorumlusu verilerinin işlenmesiyle ilgili veri ihlalleri olması durumunda Veri Sorumlusunu derhal bilgilendirecektir.
4.6. Veri İşleyici ve Veri Sorumlusu, bu Ek Sözleşmede belirtilen hususlar üzerinde yargı yetkisine sahip herhangi bir denetim makamı ile işbirliği yapacaktır. Veri Sorumlusu, bir denetim makamının denetimine, idari veya özet suç ya da cezai prosedüre, bir veri sahibi veya üçüncü bir şahıs tarafından bir sorumluluk iddiasına ya da Veri İşleyici tarafından veri işleme ile bağlantılı herhangi bir başka iddiaya tabi olduğu sürece, Veri İşleyici, masrafları Veri Sorumlusuna ait olmak üzere, Veri Sorumlusu için tüm makûl işbirliğini sağlayacaktır.
4.7. Bu Ek Sözleşmenin geçerliliğinin sona ermesinden sonraki 30 gün içinde ve/veya Veri Sorumlusunun talebi üzerine, Veri İşleyici bu Ek Sözleşme kapsamında sağlanan tüm kişisel verileri silecektir.
4.8. Veri İşleyici, kişisel verilerin işlenmesinin güvenliği, veri ihlallerinin ilgili makama veya veri sahiplerine rapor edilmesi, veri koruma etki değerlendirmeleri ve önceden gerçekleştirilen istişarelere ilişkin yükümlülüklere uymasında Veri Sorumlusuna yardımcı olacaktır.
4.9. Veri İşleyici, Hizmetlerin tanımına dâhil olmayan destek hizmetleri, özellikle veri koruma etki değerlendirmeleri ve ön istişareler için makûl bir tazminat talep edebilir ve bu, Veri İşleyicinin başarısızlıklarından kaynaklanamaz.
5. Teknik ve organizasyonel önlemler
5.1 Veri İşleyici, uygun veri işleme ilkelerini gözetecek ve Veri Sorumlusuna ait kişisel verilerin sözleşmeye bağlı olarak işlenmesiyle ilgili mutabık kalınan tüm önlemleri alacaktır. Veri İşleyici, işlenen verileri diğer veri envanterinden ayırır. Veri İşleyici, yasaların gerektirdiği uygun sözleşmeye dayalı, teknik ve organizasyonel önlemleri alacak ve böylece veri işlemenin yasal gerekliliklere uygun olmasını ve ilgili kişilerin haklarının korunmasını sağlayacaktır. Önlemler, sistemin gizliliği, bütünlüğü, kullanılabilirliği ve esnekliği ile ilgili riske uygun bir koruma düzeyi sağlamak için özellikle yeterli veri güvenliği kontrollerini içermeli ve en iyi uygulamayı, uygulama maliyetlerini ve işlemenin niteliğini, kapsamını ve amacını, gerçek kişilerin hak ve özgürlükleri için farklı oluşma olasılığı ve riskin ciddiyeti gibi, dikkate almalıdır. Ek 1'de açıklanan teknik ve organizasyonel önlemler bu Ek Sözleşmenin bir parçasını oluşturur ve bağlayıcı kabul edilir.
5.2 Teknik ve organizasyonel önlemler, teknik ve organizasyonel gelişime bağlı olarak, sözleşme ilişkisi sırasında Veri İşleyici tarafından ayarlanabilir. Veri İşleyici, bu amaç için alternatif yeterli önlemleri uygulayabilir. Bu bakımdan alternatif tedbirlerin güvenlik seviyesi en az belirtilen tedbirler kadar yüksek olmalıdır.
6. Veri Sorumlusunun Denetim Hakkı
6.1. En az 30 iş günü öncesinde haber vermek ve sözleşme yılı başına bir defadan fazla olmamak kaydıyla, Veri Sorumlusu, Veri İşleyici tarafından Veri İşleyicinin tesislerinde normal çalışma saatleri içinde alınan teknik ve organizasyonel önlemlerin yeterliliğini, ticari faaliyetleri kesintiye uğratmadan ve önceden yapılan bir gizlilik anlaşması çerçevesinde denetleyebilir. Veri Sorumlusu, bu tarz yerinde bir denetim için harcanan herhangi bir süre için Veri İşleyicinin masraflarını karşılamak zorundadır. Bu tarz yerinde bir denetimin başlamasından önce, Veri Sorumlusu ve Veri İşleyici, Veri Sorumlusunun sorumlu olacağı telafi ücretine ek olarak söz konusu denetimin kapsamı, zamanlaması ve süresi konusunda karşılıklı olarak anlaşmaya varacaktır.
6.2. Veri Sorumlusu, yukarıdaki bölüm 6.1'den sapma olarak, Veri İşleyicinin, Veri Sorumlusuna ait kişisel verilerin işlenmesi için geçerli olan geçerli veri güvenliği standartlarına uygunluğunu gösteren sertifikaların veya raporların kopyalarını Veri Sorumlusunun incelemesi için sunabileceğini kabul eder.
7. Veri sahiplerinin hakları
7.1 Veri Sorumlusu, kişisel verilerinin açıklanması, silinmesi veya işaretlenmesi/engellenmesi ve aktarılması dâhil ancak bunlarla sınırlı olmamak üzere, etkilenen kişilerin yasal haklarının yerine getirilmesinden münhasıran sorumludur. Veri İşleyici, Veri Sorumlusu tarafından talep edilmediği sürece, etkilenen kişiler tarafından kendilerine yöneltilen taleplere karar veremez veya bunları yerine getiremez.
7.2 Bir veri sahibi, Veri İşleyici ile doğrudan iletişime geçerse, Veri İşleyici, talebi derhal Veri Sorumlusuna iletecektir. Veri Koruma Yasası hükümleri uyarınca, Veri Sorumlusunun bir bireye kişisel verilerin toplanması, işlenmesi veya kullanılması hakkında bilgi vermek zorunda olması durumunda, Veri Sorumlusunun talep etmesi koşuluyla bu bilgilerin sağlanmasında Veri Sorumlusuna yardımcı olacaktır. Veri İşleyici, bunu yazılı olarak yapacak ve ortaya çıkan masrafları tazmin edecektir.
8. Alt işleyiciler
8.1. Veri Sorumlusu, Hizmetlerin sağlanmasıyla bağlantılı olarak Veri İşleyicinin, Alt İşleyiciler görevlendirebileceğini kabul eder ve onaylar.
8.2. Alt İşleyicilere izin vermenin bir koşulu olarak, Veri İşleyici, her Alt İşleyici ile bu Ek Sözleşmedekilerle en az aynı düzeyde koruma sağlayan veri koruma yükümlülüklerini içeren yazılı bir anlaşma yapacaktır.
8.3. Güncel Alt İşleyici listesine Alt İşleyiciler adresinden erişilebilir. Veri Sorumlusu, yukarıda belirtilen ana sayfada belirtildiği gibi Alt İşleyicilerle işbirliğine açıkça izin verir. Veri İşleyici bu listeyi zaman zaman güncelleyebilir. Veri Sorumlusu listeyi sürekli gözden geçirmekle yükümlüdür. Yukarıda bahsedilen sayfada bir Alt İşleyicinin belirtilip işleme başlamasından en geç iki hafta öncesinde dataprotection@quandoo.com adresine Veri Sorumlusu tarafından e-posta yoluyla bir itiraz gönderilmezse Alt İşleyici onaylanmış kabul edilir.
8.4. Veri Sorumlusu, yalnızca önemli nedenlerle herhangi bir yeni Alt İşleyicinin görevlendirilmesine itiraz etme hakkına sahiptir ve bu nedenleri Veri İşleyiciye yukarıda belirtilen bildirim yoluyla belirtecektir. Veri İşleyici, bu durumda Hizmet Sözleşmesinin yanı sıra bu Ek Sözleşmeyi feshetme hakkına sahiptir.
8.5. Veri İşleyici, Alt İşleyicilerin eylem ve ihmallerinden, Veri İşleyicinin, her bir Alt İşleyicinin hizmetlerini doğrudan bu Ek Sözleşmenin koşulları kapsamında yerine getirmesi durumunda sorumlu olacağı ölçüde sorumlu olacaktır.
9. Yükümlülük
9.1 Veri İşleyici, yasal düzenlemeler ve yasal kurallar uyarınca, bu Ek Sözleşmenin kendi kusurlu ihlalinden veya Veri Sorumlusunun veri koruma gereklilikleri kapsamındaki yasal yükümlülüklerin ihlalinden kaynaklanan her türlü zarardan Veri Sorumlusuna karşı sorumludur. Veri İşleyici, Veri Sorumlusu, çalışanları veya sözleşmeye dayalı hizmetleri sağlarken kendi adına hareket eden üçüncü taraflar tarafından sağlanan verileri münhasıran Veri Sorumlusunun talimatlarına ve İşleyiciye özel olarak dayatılan geçerli veri koruma yasaları kapsamındaki yükümlülüklere uygun olarak işlediğini kanıtlayabilirse sorumlu değildir.
9.2 Veri Sorumlusu, Veri Sorumlusunun bu Ek Sözleşmeyi veya geçerli veri koruma gerekliliklerini kusurlu ihlaline dayalı olarak, üçüncü taraflar tarafından kendisine karşı ileri sürülen tüm iddialara karşı İşleyiciyi tazmin edecek ve masun tutacaktır.
9.3 Veri Sorumlusunun Veri İşleyiciye karşı sorumluluğu, Veri Sorumlusunun veri koruma yükümlülüklerini ihlal etmesine dayandığı sürece, Veri İşleyiciye uygulanan para cezalarını da kapsar. Veri Sorumlusunun bu tür bir görev ihlali sonucunda Veri İşleyiciye bir para cezası uygulanması halinde, Veri Sorumlusu, tazmin tutarının bireysel sorumluluk durumu kotasına dayandığı cezaya karşı Veri İşleyiciyi tazmin edecektir. Veri Sorumlusu, cezanın müeyyide ettiği ihlal için sorumluluk payına eşit miktarda sorumludur. Yaptırılan ihlalin Veri Sorumlusunun görev ihlaline dayanmadığını ve Veri Sorumlusunun ihlalden sorumlu olmadığını ispat yükü Veri Sorumlusuna aittir.
9.4 Bölüm 3 uyarınca Veri Sorumlusunun yukarıda belirtilen sorumluluğu, sorumluluğu tetikleyen herhangi bir olay, Veri İşleyicinin iddia edilen ihlali tanıyamaması/kabul edememesi ve Veri İşleyicinin, yargısal veya yargı dışı herhangi bir anlaşmazlık Veri İşleyicinin yalnızca Veri Sorumlusu ile karşılıklı rıza ile, yazılı olarak, Veri Sorumlusuna derhal bildirimde bulunmasına tabidir. Özellikle, Veri Sorumlusu, Veri İşleyicinin verilen ceza bildirimlerini kontrol etmesi için mahkemeleri aramasını talep edebilir, bu suretle Veri Sorumlusu, bu tür işlemler için yapılan masraf ve masrafları Veri İşleyiciye yasal ücretler tutarında tazmin etmekle yükümlüdür.
10. Muhtelif
10.1. Bir icra veya müsadere, iflas davası veya diğer benzer olaylar nedeniyle Veri Sorumlusunun verilerinin tehlikeye girmesi durumunda, Veri İşleyici Veri Sorumlusunu derhal bilgilendirecektir.
10.2. Bu Ek Sözleşmede yapılacak tüm değişiklikler ve/veya düzeltmeler yazılı olarak yapılmalı ve her iki Tarafça imzalanmalıdır.
10.3. Bu Ek Sözleşmenin herhangi bir hükmü geçersiz veya uygulanamaz hale gelirse, kalan hükümlerin geçerliliği etkilenmeyecektir. Geçersiz veya uygulanamaz olan hüküm, anlam ve amacına en yakın olan bir hükümle değiştirilir.
10.4. Hizmet Sözleşmesi ile bu Ek Sözleşme arasında bir çelişki olması durumunda, bu Ek Sözleşme geçerli olacaktır.
10.5. Bu Ek Sözleşme, Türkiye yasalarına tabi olacak ve bu yasalara göre yorumlanacak ve Türkiye mahkemeleri münhasır yargı yetkisine sahip olacaktır.
Ek Sözleşmeye Ek 1: Teknik ve organizasyonel önlemler
Veri İşleyici tarafından uygulanan teknik ve organizasyonel güvenlik önlemlerinin açıklaması:
1. Giriş Kontrolü
Yetkisiz kişilerin kişisel verileri işleyen veya kullanan veri işleme sistemlerine erişmesini önlemeye yönelik önlemler
☒ Alarm sistemi
☒ Otomatik giriş kontrol sistemi
☒ Kod bariyerli kilitleme sistemi
☐ Biyometrik kilitleme sistemi
☐ Işık bariyerleri/hareket dedektörleri
☒ Anahtar kuralı (anahtar verme vb.)
☐ Ziyaretçilerin kaydedilmesi
☐ Koruma personelinin dikkatli seçimi
☒ Ziyaretçi kartı
☒ Bina tablalarının korunması
☒ Çipli kart/aktarıcı kilitleme sistemi
☒ Manuel kilitleme sistemi
☐ Girişlerin video gözetimi
☒ Güvenlik kilitleri
☒ Kapı görevlisi/girişlerde kişi kontrolü
☐ Temizlik personelinin dikkatli seçimi
☐ Yetkilendirme izinlerinin zorunlu olarak takılması
2. Erişim Kontrolü
Bilgi işlem sistemlerinin izinsiz kullanılmasını önleyici önlemler
☒ Kullanıcı izinlerinin atanması
☒ Şifre ataması
☒ Kullanıcı adı ve şifre ile kimlik doğrulaması
☒ Muhafaza kilitleri
☒ Harici arayüzleri kilitleme (USB vb.)
☒ Anahtar kuralı (anahtar verme vb.)
☐ Ziyaretçilerin kaydedilmesi
☒ Koruma personelinin dikkatli seçimi
☐ İzinsiz giriş tespit sistemlerinin kullanılması
☒ Akıllı telefonların içeriğinin şifrelenmesi
☒ Anti-virüs yazılımı kullanımı
☐ Donanım güvenlik duvarı kullanımı
☒ Kullanıcı profilleri oluşturulması
☐ Biyometrik prosedürlerle kimlik doğrulaması
☒ Kullanıcı profillerinin BT sistemlerine atanması
☒ VPN teknolojisinin kullanımı
☒ Güvenlik kilitleri
☒ Kapı görevlisi/girişlerde kişi kontrolü
☐ Temizlik personelinin dikkatli seçimi
☐ Yetkilendirme izinlerinin zorunlu olarak takılması
☒ Mobil veri taşıyıcılarının şifrelenmesi
☐ Merkezi akıllı telefon yönetim yazılımının kullanımı (örneğin, verilerin harici olarak silinmesi için)
☒ Dizüstü bilgisayarlarda veri taşıyıcılarının şifrelenmesi
☒ Yazılım güvenlik duvarı kullanımı
3. İzin Kontrolü
Bir veri işleme sistemini kullanmaya yetkili kişilerin yalnızca erişim hakkına sahip oldukları verilere erişiminin olmasını ve kişisel verilerin işlenmesi veya kullanılması sırasında ve depolamadan sonra izinsiz olarak okunamaması, kopyalanamaması, değiştirilememesi veya kaldırılamamasına ilişkin önlemler
☒ Yetkilendirme konsepti oluşturma
☒ Yönetici sayısını "en gerekli" seviyesine düşürme
☒ Özellikle veri girerken, değiştirirken ve silerken uygulamalara erişimin günlüğe kaydedilmesi
☒ Yeniden kullanımdan önce veri taşıyıcılarının fiziksel olarak silinmesi
☒ Parçalayıcıların veya hizmet sağlayıcıların kullanımı (mümkünse veri koruma etiketi ile)
☒ Veri taşıyıcılarının şifrelenmesi
☒ Sistem yöneticisi tarafından hak yönetimi
☒ Şifre uzunluğu ve şifre değişikliğini içeren şifre kılavuzu
☒ Veri taşıyıcılarının güvenli depolanması
☒ Veri taşıyıcılarının uygun şekilde imha edilmesi (EN 15713 veya DIN 32757)
☒ İmha kaydı
4. İletim Kontrolü
Elektronik iletim veya taşıma sırasında kişisel verilerin izinsiz olarak okunamamasının, kopyalanamamasının, değiştirilememesinin veya kaldırılamamasının ve kişisel verilerin veri aktarım olanakları vasıtasıyla hangi kurumlara aktarılmasının öngörülebileceğinin kontrol ve tespit edilebilmesine yönelik önlemler
☒ Kiralık hatların veya VPN tünellerinin kullanımı
☐ E-postaların şifrelenmesi
☐ Veri alıcılarının ve planlanan transferin zaman periyotlarının ve üzerinde anlaşmaya varılan izin periyotlarının belgelenmesi
☐ Fiziksel nakliye ile: nakliye personelinin ve araçlarının dikkatli seçimi
☒ Anonimleştirilmiş veya takma adlı biçimde veri aktarımı
☐ Normal yoklama ve aktarım süreçlerine ilişkin bir genel bakış oluşturma
☐ Fiziksel nakliye ile: güvenli taşıma kapları/ambalajları
5. Girdi Kontrolü
Kişisel verilerin veri işleme sistemlerine girilip girilmediğini, değiştirilip değiştirilmediğini veya kaldırılıp kaldırılmadığını kontrol etmenin ve belirlemenin mümkün olmasını sağlayacak önlemler
☒ Veri girişi, değiştirilmesi ve silinmesinin kaydedilmesi
☒ Bireysel kullanıcılar (kullanıcı grupları değil) tarafından verilerin girilmesi, değiştirilmesi ve silinmesinin anlaşılabilirliği
☒ Yetkilendirme konsepti temelinde veri girme, değiştirme ve silme haklarının atanması
☐ Hangi uygulamalarla hangi verilerin girilebileceği, değiştirilebileceği ve silinebileceğine dair bir genel bakış oluşturun
☐ Verilerin otomatik işlemeye aktarıldığı formların depolanması
6. İş Kontrolü (sadece alt yüklenicilere talimat verilmişse)
Kişisel verilerin görevlendirilmiş olarak işlenmesi durumunda, verilerin kesinlikle müdür veya »Sorumlu« talimatlarına uygun olarak işlenmesini sağlamak için önlemler
☒ Durum tespiti kapsamında alt yüklenici seçimi (özellikle veri güvenliği ile ilgili)
☒ Alt yükleniciye yönelik yazılı talimatlar (örn. Adına Veri İşleme ile ilgili bir sözleşme ile)
☒ Alt yüklenici tarafından atanan veri koruma görevlisi
☒ Anlaşmaya varılan alt yüklenicilere karşı etkin kontrol hakları
☐ İhlaller için ceza
☒ Alt yüklenici tarafından alınan teknik ve organizasyonel önlemlerin önceden incelenmesi ve belgelenmesi
☒ Alt yüklenici çalışanlarının veri gizliliği yükümlülüğü
☒ Sipariş tamamlandıktan sonra verilerin imha edilmesini sağlamak
☐ Alt yüklenicinin ve faaliyetlerinin sürekli gözden geçirilmesi
7. Kullanılabilirlik Kontrolü
Kişisel verilerin kazara imha veya kayıptan korunmasını sağlamak için önlemler
☒ Kesintisiz güç kaynağı (UPS)
☒ Sunucu odalarında sıcaklık ve nemi izlemek için cihazlar
☒ Yangın ve duman alarm sistemleri
☐ Sunucu odalarına yetkisiz erişim için alarm mesajı
☐ Veri kurtarmayı test etme
☒ Veri yedeklemesinin güvenli, uzak bir yerde saklanması
☐ Taşkın alanlarında: su seviyesinin üzerinde sunucu odaları
☒ Sunucu odalarında klima
☒ Sunucu odalarında koruma prizleri
☒ Sunucu odalarında yangın söndürücüler
☒ Yedekleme ve kurtarma konsepti oluşturma
☐ Acil durum planı oluşturma
☒ Sıhhi tesisler altında olmayan sunucu odaları
8. Ayırma Gereksinimi
Farklı amaçlarla toplanan verilerin ayrı ayrı işlenmesini sağlayacak önlemler
☒ Belirli sistemlerde veya birimlerde fiziksel olarak ayrı depolama
☒ Yetkilendirme konseptinin oluşturulması
☐ Veri kayıtlarının amaç nitelikleri/veri alanları ile sağlanması
☒ Veritabanı izinlerinin tanımı
☐ Mantıksal istemci ayrımı (yazılım tarafı)
☐ Aynı amaçla işlenen kayıtların şifrelenmesi
☒ Takma isimle adlandırılmış verilerle: atama dosyasının ve depolamanın ayrı, güvenli bir BT sisteminde ayrılması
☒ Üretken ve test sisteminin ayrılması