SAP CLOUD HİZMETLERİ İÇİN VERİ İŞLEME ANLAŞMASI

Transkript

1 SAP CLOUD HİZMETLERİ İÇİN VERİ İŞLEME ANLAŞMASI 1. GİRİŞ 1.1 Çizelge. Ek 1, İlave 1 ve 2 dahil olmak üzere bu belge ( Çizelge ) Müşteri tarafından imzalanan Sipariş Formu'nda anıldığı şekliyle Anlaşma'nın ayrılmaz bir parçasını oluşturur. Bu Çizelge aşağıdaki Bölüm 1.2 uyarınca, Bulut Hizmeti kullanımıyla ilişkili Kişisel Veri sağlayan her Veri Denetleyici ve SAP arasındaki yazılı bir veri işleme anlaşması işlevi görür. Bu belge ayrıca Bulut Hizmeti'nin canlı kullanım sisteminde depolanan Kişisel Verileri korumak üzere SAP tarafından uygulanan ve sağlanan uygulanabilir teknik ve kurumsal önlemleri tanımlar. 1.2 Doğrudan Sözleşme İlişkisi. (a) Kişisel Verilerin SAP tarafından işlenmesi EEA dahilinde gerçekleştirilirse bu Çizelge, SAP ile Müşteri arasında geçerlidir. Bu durumda, Müşteri bu Çizelge'de belirtilen koşul ve şartları Bağlı Şirketlerine iletmekten sorumludur. (b) Müşteri ve/veya Bağlı Şirketleri EEA dahilinde yer alıyorsa ve SAP veya Alt İşleyicileri Kişisel Verilere EEA dışında erişiyor veya bunları işliyorsa, işbu Çizelge'nin 5.1 ve 5.2 Bölümleri geçerli olur. 1.3 Form. Bu Çizelge'yi içeren, Anlaşma'nın sonucu SAP'nin şunlardan herhangi birini aldığına ilişkin kanıt olarak kullanılır: (a) imzalanmış orijinal Sipariş Formu, (b) pdf veya benzeri biçimde, imzalanmış Sipariş Formu ya da (c) SAP'nin Müşteri'den Sipariş Formu almak için kullandığı DocuSign veya benzer bir ürünün kullanılmasıyla kabul edilen Sipariş Formu. Müşteri'nin bu Çizelge'nin yazılı bir orijinal kopyasını veya Çizelge'nin ayrı bir imzalanmış elektronik kopyasını istemesi durumunda, Müşteri SAP satış temsilcisine bir talepte bulunacaktır. 1.4 Yönetim. Müşteri, kendi Yetkili Kullanıcılarının Kişisel Verileri konusunda Veri Denetleyici rolünü üstlenir ve Müşterinin Bulut Hizmeti'ni kullanmasına izin verdiği Veri Denetleyicileri olarak kendi kapasiteleri dahilinde Bağlı Şirketleri veya üçüncü taraflar adına sorumludur. Müşteri, SAP'nin tek iletişim kişisi olarak kabul edilir ve iç koordinasyondan, incelemeden, diğer Veri Denetleyicilerinin talimatlarının ya da taleplerinin SAP'ye gönderilmesinden yalnızca Müşteri sorumludur. Bu tür bilgileri Müşteri'ye sağlaması ya da Müşteri'yi bilgilendirmesi durumunda SAP'nin Veri Denetleyici'yi bilgilendirme veya uyarma yükümlülüğü ortadan kalkar. SAP, Müşteri haricindeki bir Veri Denetleyici tarafından doğrudan sağlanan talepleri veya talimatları reddetme hakkına sahiptir. Müşteri, Anlaşma uyarınca Bulut Hizmeti kapsamında Kişisel Verileri SAP'ye ifşa etme hakkına sahip olduğunu garanti eder. Müşteri, Müşteri'nin Veri Koruma görevlerinin ihlal edilmesiyle bağlantılı olarak SAP'nin veya Alt İşleyicilerinin aleyhine sunulan tüm iddialara karşı SAP'nin zarar görmemesini sağlayacağını kabul eder. 1.5 Bölünebilirlik. Bu Çizelge'deki herhangi bir hükmün yargı yetkisine sahip mahkemeler tarafından geçersiz veya uygulanamaz olduğuna karar verilmesi durumunda söz konusu hükümlerin geçersizliği bu Çizelge'nin diğer hükümlerini etkilemez, bu tür geçersizlikten etkilenmeyen tüm hükümler tamamen yürürlükte ve etkin kalır. 2. VERİ İŞLEME AMAÇLARI 2.1 İlave 1. Müşteri ve ilgili Veri Denetleyiciler, Bulut Hizmeti'nde depolanan Kişisel Verilerin toplanma, işlenme ve kullanılma amaçlarını belirleyecektir. Anlaşma'da aksi belirtilmediği sürece, bu tür veri işlemeleri için bu Çizelge'ye ilişkin İlave 1 geçerli olur. Data Processing Agreement for SAP Cloud Services trtr.v Page 1 of 19

2 2.2 Amaçlar. Kişisel Verilerin, SAP ve Alt İşleyicileri tarafından bu Çizelge kapsamında işlenme amaçları şunlarla sınırlıdır: (a) Anlaşma'da belirtildiği şekilde Veri İşleyici ya da Alt İşleyici olarak, altyapı (donanım, yazılım, güvenli veri merkezi, bağlantı) dahil olmak üzere Bulut Hizmeti'nin kurulumu, çalıştırılması, izlenmesi ve sağlanması, (b) SAP'nin Anlaşma uyarınca esas yükümlülüklerinden biri olan teknik destek sağlaması, (c) Tarafların kabul etmesi halinde, SAP'nin esas yükümlülüklerinden biri olarak Danışmanlık Hizmetleri sağlaması, (d) Belirli bir Bulut Hizmeti ile ilişkili şartlarda açıklandığı şekilde Yetkili Kullanıcılar ile iletişim kurma ve (e) Müşterinin talimatlarını aşağıdaki 3.1 ve 3.2 Bölümleri doğrultusunda yerine getirme. 3. SAP'NİN YÜKÜMLÜLÜKLERİ 3.1 Talimatlar. SAP, Kişisel Verileri yalnızca Müşteri tarafından sunulan her Veri Denetleyici'nin talimatları doğrultusunda işler. Müşterilerin yasal açıdan zorunlu olması ve teknik olarak uygun görülmesi ve ek olarak Bulut Hizmeti'nin veya temeldeki yazılımın işlevselliğinde hiçbir materyal değişimi talebinde bulunmaması koşuluyla SAP, Müşteri'den gelen talimatlara uyma amacıyla ticari açıdan makul çabayı gösterir. SAP, Müşteri tarafından verilen bir talimatın geçerli Veri Koruma Kanunu'nu ihlal ettiğini düşünürse bunu Müşteri'ye bildirir. SAP kapsamlı bir yasal inceleme gerçekleştirmekle yükümlü olmayacaktır. SAP, bir talimata uyamaması durumunda ve uyamadığı ölçüde, Müşteri'yi bununla ilgili olarak hemen uyarır (e-postaya izin verilir). 3.2 Veri Kullanıcısı Telafilerine Dayalı Talimatlar. SAP, Müşterinin talimatı üzerine ve Müşterinin gerekli iş birliğini sağlaması yoluyla Kişisel Verileri düzeltebilir, silebilir ve/veya Bulut Hizmeti işlevselliğinin izin vermemesi durumunda Müşterinin, Veri Denetleyicilerinin veya Yetkili Kullanıcıların bunları yapmasını engelleyebilir. SAP'nin, bir talimatı yerine getirme ya da uygulama paylaşımı gibi yollarla teknik destek sağlama amacıyla Müşteri sistemlerine veya Müşteri'deki Bulut Hizmeti alanlarına uzaktan erişme gereği duyması durumunda Müşteri işbu belgeyle SAP'ye bu tür uzaktan erişim işlemleri için izin verir. Ayrıca Müşteri, (gerekirse) ihtiyaç duyulan erişim haklarını SAP'ye verecek bir irtibat kişisi belirler. 3.3 Veri Gizliliği. Kişisel Verileri işleme amacıyla, SAP ve Alt İşleyicileri yalnızca, veri gizliliğinin veya telekomünikasyon gizliliğinin Veri Koruma Kanunu'na istinaden mümkün olduğu ölçüde gözetilmesi amacıyla bağlayıcı yükümlülüklere tabi olan personelden yararlanır. SAP, veri güvenliği ve veri gizliliği konusunda Kişisel Verilere erişme izni verdikleri kişileri düzenli olarak eğitebilir veya Alt İşleyicilerinden bu kişileri eğitmesini isteyebilir. 3.4 Teknik ve Kurumsal Önlemler. (a) SAP minimum olarak, Çizelge'ye ilişkin İlave 2'de açıklanan uygun teknik ve kurumsal önlemleri uygulayacak ve sağlayacaktır. (b) İlave 2, Kişisel Verileri güvende tutmak ve bu verilerin yetkisiz veya yasa dışı işlemeye maruz kalmasını, yanlışlıkla kaybedilmesini, yok edilmesini veya zarar görmesini engellemek amacıyla Bulut Hizmeti'nin canlı kullanım sistemi için geçerli olacaktır. Canlı kullanım harici ortamlar (örneğin Bulut Hizmeti'nin bir test örneği) daha düşük düzeyde güvenlik sağlar ve SAP, Müşteri'nin Kişisel Verileri bu tip canlı kullanım harici ortamlarında depolamamasını önerir. (c) SAP, Bulut Hizmeti'ni tüm müşterilere, barındırılan, web tabanlı bir uygulama yoluyla ve aynı biçimde sağladığından, tüm uygun ve o sırada geçerli olan teknik ve kurumsal önlemler SAP'nin aynı veri merkezinde barındırılan ve aynı Bulut Hizmeti'ne abone olan tüm müşteri tabanı için geçerlidir. Müşteri, teknik ve kurumsal önlemlerin teknik ilerlemelere ve Data Processing Agreement for SAP Cloud Services trtr.v Page 2 of 19

3 gelişmelere tabi olduğunu ve Kişisel Verilerin korunması için iyileştirmelerin otomatik olarak geçerli olacağını anlar ve kabul eder. 3.5 Doğrulama. SAP önlemleri düzenli olarak test edecektir (önlemler için bkz. İlave 2). Veri Denetleyici'nin, geçerli Veri Koruma Kanunu kapsamında ek önlemlerin alınması gerektiğini düşünmesi durumunda Müşteri, yukarıdaki Bölüm 3.1 doğrultusunda talimat gönderir. 3.6 Güvenlik İhlali Bildirimi. SAP, Kişisel Verilerin işlenmesiyle bağlantılı olarak herhangi bir Güvenlik İhlali veya işleme operasyonlarında önemli arızalar (bu ihlaller ilgili Veri Kullanıcılarının menfaatine yüksek oranda zarar verebilir) olduğunu fark ettiği anda Müşteri'yi bu konuda hemen bilgilendirir. 3.7 İş Birliği. Müşteri'nin talebine istinaden ve masrafları Müşteri'ye ait olmak üzere SAP, bu belgede belirtildiği şekilde Kişisel Verilerin işlenmesine ilişkin olarak bireysel Veri Kullanıcıları ve/veya düzenleyici otoriteden gelen talepleri ele alma konusunda Müşteri'yi veya diğer Veri Denetleyicilerini makul ölçüde destekleyecektir. 3.8 Silme. SAP, geçerli yasalar veya Anlaşma uyarınca saklanması gerekmediği sürece, Bulut Hizmeti'ni barındıran sunucularda kalan Kişisel Verileri Anlaşma'nın sonunda silecektir. Kalan veriler Anlaşmanın gizlilik hükümlerine tabi olacaktır. 4. ALT İŞLEYİCİLER 4.1 İzin Verilen Kullanım. (a) Müşteri (ayrıca Veri Denetleyicilerinin adına) bu belgeyle (ayrıca Standart Sözleşme Maddelerinin Madde 11, 1. paragrafı uyarınca) (i) bu Anlaşma kapsamındaki sözleşme yükümlülüklerini yerine getirmesi için gerekli ölçüde ve (ii) SAP'nin işbu belgede belirtildiği şekilde kendi eylem ve ihlalleri ile aynı şekilde Alt İşleyicilerinin tüm eylemleri veya ihlallerinden sorumlu kalması koşuluyla SAP'ye Kişisel Verilerin işlenmesi için alt işleyiciler ile çalışma (her bir Alt İşleyici ) yetkisi vermektedir. (b) SAP, Veri İşleyici (veya Alt İşleyici) olarak bu Çizelge'de tesis edildiği şekilde SAP'nin Müşteri ve ilgili Veri Denetleyicileri karşısında sahip olduğu yükümlülükleri Alt İşleyicilere aktarır. (c) SAP, verilerin bir çizelgeye göre işlenmesi açısından Alt İşleyici'nin güvenlik ve gizlilik uygulamalarını değerlendirmek üzere kullandığı bir seçim süreci uygulamayı taahhüt eder. Alternatif olarak Alt İşleyici SAP'ye sağlanacak hizmetleri açısından güvenlik önlemlerinin doğru olduğunu kanıtlayan bir güvenlik sertifikası bulunduracaktır. (d) SAP Müşteri'yi, talep ettiğinde, Bulut Hizmeti'ni sunmak için kullandığı ad, adres ve her bir Alt İşleyici'nin rolü ile ilgili bilgileri e-postayla göndererek bilgilendirir. 4.2 Yeni Alt İşleyiciler. (a) SAP, kendi takdirine göre ve bu Bölüm 4.2 doğrultusunda Alt İşleyicileri çıkarabilir, değiştirebilir veya uygun ve güvenilir başka Alt İşleyiciler atayabilir. (b) SAP, Alt İşleyici listesindeki tüm değişiklikleri (Bölüm 4.3 içerisindeki Acil Durum Değişiklikleri hariç) Müşteriye e-posta yoluyla önceden bildirecektir. Müşteri, SAP'nin bildirimini aldıktan sonraki otuz gün içinde Bölüm 4.2 (c) uyarınca itirazda bulunmazsa, yeni Alt İşleyiciler kabul edilmiş sayılacaktır. (c) Müşterinin, SAP'nin Alt İşleyici kullanımına karşı çıkmak için haklı bir sebebi varsa (ör. Alt İşleyici, EEA Dışı Kuruluş ise ve Müşterinin böyle bir Alt İşleyici'yi kullanmadan önce Veri Denetleyici olarak ek formaliteleri tamamlaması gerekiyorsa) Müşteri, SAP'nin uyarısını aldıktan sonra otuz gün içinde SAP'yi bu konuda yazılı olarak bilgilendirir. Müşteri, ilgili Alt İşleyici'nin kullanımına karşı çıkarsa SAP, şu seçeneklerden birini uygulayarak (SAP'nin kendi takdirine göre seçilir) itirazı ortadan kaldırma hakkına sahiptir: (i) SAP, Kişisel Veriler Data Processing Agreement for SAP Cloud Services trtr.v Page 3 of 19

4 ile ilgili Alt İşleyici kullanımına ilişkin planlarını iptal eder veya (ii) SAP, itirazıyla ilgili olarak Müşteri'nin talep ettiği düzeltici (Müşteri'nin itirazlarını ortadan kaldıracak) adımları atarak Kişisel Veriler ile ilgili Alt İşleyici kullanımına devam eder veya (iii) SAP, Kişisel Veriler ile ilgili Alt İşleyici kullanımını içeren özel Bulut Hizmeti kullanımını durdurabilir veya Müşteri bunları kullanmamayı kabul edebilir (geçici ya da kalıcı olarak). Yukarıdaki seçeneklerden hiçbiri makul ölçüde kullanılabilir değilse ve söz konusu itiraz, SAP'nin Müşterinin itirazını almasından sonraki otuz gün içinde ortadan kaldırılmadıysa taraflardan biri ilgili Bulut Hizmeti'ni yazılı bildirimden makul bir süre önce sonlandırabilir. 4.3 Acil Durum Değişikliği, SAP'nin makul kontrolü dışında gerçekleşen (ör. Alt İşleyici'nin işi durdurması, SAP'ye sunulan hizmetlerin aniden kesilmesi veya SAP'ye yükümlü olduğu sözleşme görevlerini ihlal etmesi) ani Alt İşleyici değişikliği anlamına gelmektedir. Bu tür durumlarda SAP, Alt İşleyici değişikliği hakkında Müşteriyi mümkün olduğunca kısa sürede bilgilendirir ve Bölüm 4.2 (b) uyarınca bu Alt İşleyici'yi resmi olarak atama süreci başlatır. 5. ULUSLARARASI AKTARIMLAR VE ÜLKEYE ÖZGÜ SAPMALAR 5.1 Uluslararası Aktarım. SAP'nin EEA dahilinde bulunan herhangi bir Veri Denetleyici'den aldığı Kişisel Veriler, SAP veya Alt İşleyicileri tarafından Veri Merkezi'nden dışa aktarılabilir veya söz konusu Kişisel Verilere EEA dışındaki bir ülkeden veya bölgeden erişilebilir ( Uluslararası Aktarım ) ancak bunun için (a) alıcının kendisinin veya faaliyet gösterdiği ülkenin ya da bölgenin (ör. Kişisel Verilere eriştiği veya bunları işlediği yer) Avrupa Komisyonu tarafından belirlendiği şekilde ve bu tür belirlemelerin kapsam kısıtlamalarına tabi olacak şekilde Kişisel Verilerin işlenmesiyle ilgili olarak veri kullanıcılarının hakları ve özgürlükleri için yeterli düzeyde koruma sağlayacak nitelikte bulunması ya da (b) EEA Dışı Kuruluş'a Uluslararası Aktarım'ın aşağıdaki Bölüm 5.2 uyarınca olması koşulu aranır. 5.2 Standart Sözleşme Maddeleri. Çok Katmanlı Çerçeve. (a) Bu Çizelge ve yukarıdaki Bölüm 4'e eklenen Standart Sözleşme Maddeleri ( Ek 1 ) Anlaşma'nın (i) EEA dahilindeki bir Müşteri veya (ii) AB dahilinde Müşteri Bağlı Şirketleri bulunan bir Müşteri ve EEA dışında bulunan bir SAP şirketi arasında yapılması durumunda geçerli olur. (b) SAP (SAP SE tarafından temsil edilir), SAP'nin başka EEA Dışı Kuruluşları (yukarıdaki Bölüm 4 uyarınca atanan) kullandığı diğer tüm Uluslararası Aktarımlar için, Uluslararası Aktarım yoluyla Kişisel Verileri işlemeden önce her EEA Dışı Kuruluş ile Standart Sözleşme Maddelerinin değişikliğe uğramamış versiyonunu kabul etmiştir. (c) Müşteri işbu belge ile paragraf (b) uyarınca belirlenen Standart Sözleşme Maddelerini kabul eder ve her Veri Denetleyici de bunları kabul edebilir. (d) Veri Denetleyici'nin SAP ve Müşteri tarafından belirlendiği şekilde mecburi Veri Koruma Kanunu kapsamında önceki doğrudan sözleşmeyi kullanamaması durumunda, Veri Denetleyici ilgili EEA Dışı Kuruluş (SAP SE tarafından temsil edilir) ile SAP tarafından oluşturulan Standart Sözleşme Maddelerini kabul edebilir. (e) Veri Denetleyici'nin ilgili EEA Dışı Kuruluş'a karşı Standart Sözleşme Maddelerini uygulamak üzere bu tip doğrudan haklarının olmaması veya bunlara bir Alt İşleyici tarafından başarıyla karşı çıkılması durumunda SAP, bu Çizelge'ye uygun olacak şekilde Veri Denetleyici adına Alt İşleyici'ye karşı bu tür Standart Sözleşme Maddelerini uygular. (f) Anlaşma'daki hiçbir madde, Standart Sözleşme Maddelerinin çelişkili Maddesinden üstün olacağı şeklinde yorumlanamaz. (g) Standart Sözleşme Maddeleri için EEA'daki Veri Dışa Aktaran'ın kurulmuş olduğu Üye Ülke'nin yasaları geçerli olacaktır. 5.3 Ülkeye Özgü Sapmalar. Data Processing Agreement for SAP Cloud Services trtr.v Page 4 of 19

5 (a) Avustralya. (i) Bu Çizelge'nin amaçları doğrultusunda - APP Gizlilik Yasası 1988 üzerinde değişikliğe neden olan ve Gizlilik Değişikliği (Gizliliği Korumayı Geliştirme) Yasası 2012'nin Çizelge 1 bölümünden alınan Avustralya Gizlilik İlkeleri; Veri Denetleyici Kişisel Verilerin işlendiği veya işleneceği şekli ve buna yönelik amaçları kendi başına ya da başka kişilerle birlikte belirleyen kişi; Veri İşleyici Veri Denetleyici adına Kişisel Verileri işleyen kişi (Veri Denetleyici'nin çalışanları hariç) kişi anlamına gelecektir. (ii) Avustralya'daki bir Veri Denetleyici'nin veya Yetkili Kullanıcılarının Bulut Hizmeti içinde Kişisel Veriler girmeyi amaçladığı ölçüde Müşteri öncelikle, Avustralya'daki geçerli veri koruma kanunu kapsamında gerekli olması durumunda ve ölçüsünde bu Çizelge'de öngörüldüğü şekilde Uluslararası Aktarım için her bir Veri Kullanıcısı'nın iznini almayı kabul eder. İşbu belge ile Müşteri, Kişisel Verileri aldığını, APP ve Gizlilik Yasası 1988 doğrultusunda Kişisel Verilerin ifşa edilmesi hususundaki ilgili Veri Kullanıcılarını bilgilendirdiğini onaylayıp kabul eder. Benzer bir şekilde ve bu doğrultuda, APP 8.1 karşılanır ve APP 8.2(b) ( Bilgilendirilmiş Olur ) kapsamındaki "bilgilendirilmiş olur" istisnasına istinaden aksi şekilde uygulanamaz. Bilgilendirilmiş Olur'un uygulanamayacağı ölçüde, bu Çizelge genel olarak söz konusu bilgilerin korunmasına yönelik APP koruması ile önemli oranda benzerlik taşıyan ve SAP'nin söz konusu Kişisel Verilere ilişkin olarak bu Çizelge'nin Bölüm 2, 3 ve 6 numaralı kısımlarında belirlendiği şekilde benzer düzeyde koruma sağlamayı (APP 8.2(a) kapsamındaki "önemli ölçüde benzer yasa" istisnasına istinaden) ( Önemli Ölçüde Benzer Yasa ) kabul ettiği ve benzer bir şekilde ve bu doğrultuda APP 8.1'in karşılandığı ve Önemli Ölçüde Benzer Yasa'ya istinaden aksi şekilde uygulanmayacağı şekilde Avustralyalı Veri Kullanıcılarının Kişisel Verilerinin korunmasına yönelik bir çerçeve sağlar. (b) Avusturya. Avusturya'daki bir Veri Denetleyici'nin veya bunun Yetkili Kullanıcılarının Bulut Hizmeti içinde tüzel kişiliklerin kişisel verilerini (Kişisel Verilerin Korunması ile ilgili Federal Yasa (DSG 2000) kapsamında kişisel veriler olarak kabul edilir) girmeyi amaçladığı ölçüde Müşteri, öncelikle (bu tür Veri Kullanıcıları için, bu belgede açıklandığı şekilde) Bulut Hizmeti'ni kullanmadan önce bu tüzel kişiliğin (Veri Kullanıcısı) iznini almayı kabul eder (DSG 2000'e ilişkin 12 paragraf 3 uyarınca). SAP, bu Çizelge'nin 2, 0 ve 6 numaralı Bölümlerinde belirtildiği şekilde, bunun gibi kişisel veriler için benzer düzeyde koruma sağlayacağını kabul eder. (c) Rusya Federasyonu. Müşteri veya Veri Denetleyicileri olarak Müşteri Bağlı Şirketleri, SAP'ye işlenmek üzere gönderilen, Rus vatandaşlarının Kişisel Verilerinin operatörleri olmaya devam eder ve (i) Müşteri'nin, Rus vatandaşının Kişisel Verilerinin işlenmesini içeren Bulut Hizmeti kullanımına ilişkin geçerli Rus gizlilik yasasına uyup uyamayacağına ve (ii) Bulut Hizmeti'nin Rusya Federasyonu içinde veya dışında kullanılıp kullanılamayacağına karar vermekten sorumludur. (d) Singapur. Kişisel Verileri Koruma Mevzuatı 2014'ün 10(2) (b) numaralı düzenlemesi uyarınca, Sipariş Formu'nda aksi belirtilmediği sürece SAP'nin Anlaşma kapsamında Bulut Hizmeti'nin gerçekleştirilmesi sırasında Müşteri Verilerinde yer alan Kişisel Verileri aktarabileceği ülkeler (Müşteri tarafından imzalanan Sipariş Formu'nun geçerlilik tarihi itibarıyla) Avustralya, Avusturya, Brezilya, Bulgaristan, Kanada, Şili, Çin, Çin/Hong Kong, Çek Cumhuriyeti, Fransa, Almanya, Macaristan, Hindistan, İrlanda, İsrail, Malezya, Meksika, Hollanda, Peru, Filipinler, Polonya, Rusya Federasyonu, Singapur, Slovakya, Güney Afrika, Güney Kore, İspanya, İsveç, Birleşik Krallık ve Amerika Birleşik Devletleri şeklindedir. SAP, yukarıdaki Bölüm (d) ile belirlendiği şekilde SAP'nin Alt İşleyici listesindeki tüm değişiklikleri Müşteri'ye bildirme işlemi aracılığıyla ve bu bildirimde yeni Alt İşleyici'nin bulunduğu ülke yer alacak şekilde yukarıda yer alan ülkeler listesine yeni ülkeler ekleyebilir. Bu Bölüm, Müşteri'nin, Yetkili Kullanıcılarının veya Müşteri'nin İş Ortaklarının Bulut Hizmeti'ne erişebileceği ülkeler veya Müşteri doğrultusunda SAP'nin Müşteri Verilerini aktarabileceği tüm ülkeleri içermeyebilir. Data Processing Agreement for SAP Cloud Services trtr.v Page 5 of 19

6 (e) Güney Kore. Kore Cumhuriyeti'ndeki bir Veri Denetleyici'nin veya Yetkili Kullanıcılarının Bulut Hizmeti içinde Kişisel Veriler girmeyi amaçladığı ölçüde Müşteri öncelikle, Kore Cumhuriyeti'ndeki geçerli Kişisel Verileri Koruma Yasası kapsamında gerekli olması durumunda ve ölçüsünde bu Çizelge'de öngörüldüğü şekilde Uluslararası Aktarım için her bir Veri Kullanıcısı'nın iznini almayı kabul eder. İşbu belge ile Müşteri, Kişisel Verileri aldığını, geçerli yasa doğrultusunda Kişisel Verilerin aktarımı/işlenmesiyle ilgili olarak ilgili kişileri bilgilendirdiğini onaylayıp kabul eder. (f) İsviçre. İsviçre'deki bir Veri Denetleyici'nin veya Yetkili Kullanıcılarının Bulut Hizmeti içinde tüzel kişiliklerin kişisel verilerini (İsviçre Federal Veri Koruma Kanunu kapsamında kişisel veriler olarak kabul edilir) girmeyi amaçladığı ölçüde Müşteri, öncelikle (bu tür Veri Kullanıcıları için, bu belgede açıklandığı şekilde) Bulut Hizmeti'ni kullanmadan önce bu tüzel kişiliğin ("Veri Kullanıcısı") iznini almayı kabul eder (İsviçre Federal Veri Koruma Kanunu'nun Madde 6 paragraf 2, b maddesi uyarınca). SAP, bu Çizelge'nin 2, 0 ve 6 numaralı Bölümlerinde belirtildiği şekilde, bunun gibi kişisel veriler için benzer düzeyde koruma sağlayacağını kabul eder. (g) Türkiye. Türkiye'deki bir Veri Denetleyici'nin veya Yetkili Kullanıcılarının Bulut Hizmeti içinde Kişisel Veriler girmeyi amaçladığı ölçüde Müşteri öncelikle, Türkiye'deki geçerli veri koruma kanunu kapsamında gerekli olması durumunda ve ölçüsünde bu Çizelge'de öngörüldüğü şekilde Uluslararası Aktarım için her bir Veri Kullanıcısı'nın iznini almayı kabul eder. İşbu belge ile Müşteri, Kişisel Verileri aldığını, geçerli yasa doğrultusunda Kişisel Verilerin aktarımı/işlenmesiyle ilgili olarak ilgili kişileri bilgilendirdiğini onaylayıp kabul eder. (h) Amerika Birleşik Devletleri. SAP ve Müşteri, Bulut Hizmeti ile ilgili olarak, Amerika Birleşik Devletleri 1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'nda tanımlandığı şekilde korunan sağlık bilgilerinin ( PHI ) alışverişi için İş Ortağı anlaşması adı verilen bir anlaşmayı imzalamadığı sürece, Müşteri işbu belge ile PHI'yı Bulut Hizmeti'ne göndermeyeceğini, Bulut Hizmeti kullanımının bir parçası olarak iş ortaklarından veya müşterilerden bu tür bilgileri talep etmeyeceğini kabul etmiş olur. 6. SERTİFİKALAR VE DENETİMLER 6.1 Sertifikalar ve Denetim Raporları. Anlaşma süresi boyunca Bulut Hizmeti'ni çalıştıran canlı kullanım sistemleri için SAP, masrafları kendisine ait olmak üzere ilgili sertifikaları veya denetim raporlarını bulunduracaktır: (a) SAP minimum olarak Bulut Hizmetlerinin korunmasında yerleşik ölçümleri incelemesi için ulusal çapta tanınan, bağımsız bir üçüncü taraf denetçi ile birlikte çalışır: (i) Sertifikalar için ISO veya diğer standartlar temel alınabilir (kapsam, sertifikada belirtildiği şekildedir). (ii) Belirli SAP Cloud Hizmetleri için, SAP ek olarak geçerli bir ISAE3402 veya SSAE16-SOC 1 Tip 2 ve/veya ISAE3000 ya da SSAE16-SOC 2 Tip 2 raporu sağlar. Müşteri nin talebi üzerine SAP, ilgili Bulut Hizmeti için kullanılabilen sertifikalar ve denetim raporları hakkında Müşteri'yi bilgilendirecektir. (b) Müşteri'nin talebi üzerine, SOC Denetim raporları veya ISO sertifikaları üçüncü taraf denetçi veya SAP (hangisi geçerli ise) aracılığıyla sunulabilir. 6.2 Müşteri Denetimleri. Aşağıdaki Bölüm 6.4 kısmına tabi olacak ve mecburi Veri Koruma Kanunu kapsamında gerektiği şekilde, Müşteri (veya Anlaşmadakilerle uyumlu gizlilik yükümlülüklerine tabi olan kendi adına görev alan bağımsız bir üçüncü taraf denetçi), Müşteri için işbu belge kapsamında işlenen Kişisel Veriler ile ilgili olarak SAP'nin denetim ortamını ve güvenlik uygulamalarını aşağıdaki durumlarda denetleyebilir: (a) SAP'nin Bölüm 6.1 kapsamında uyum gösterdiğine dair yeterli kanıt sağlamaması, Data Processing Agreement for SAP Cloud Services trtr.v Page 6 of 19

7 (b) Yukarıdaki Bölüm 3.6 ile belirlenen bir olayın gerçekleşmesi, (c) Müşterinin veya başka bir Veri Denetleyici'nin, SAP'nin bu Çizelge kapsamındaki yükümlülüklerine uymadığı konusunda şüphe duymak için haklı nedenlere sahip olması, (d) Müşteri'nin veya başka bir Veri Denetleyici'nin veri koruma yetkilisi veya düzenleyicisi tarafından daha fazla denetim yapılmasının gerekli görülmesi (ör. Kişisel Veriler, Veri Denetleyici'nin tesisinde işlenmişse bir yasa yürütme yetkilisinin Veri Denetleyici'yi denetleme hakkının bulunması durumunda). 6.3 İş Birliği. SAP, Veri Koruma Kanunu kapsamında gereken doğrulama işlemleri boyunca Müşteri'yi makul düzeyde destekleyecek ve Müşteri'ye gerekli bilgileri sağlayacaktır. 6.4 Denetim Kısıtlamaları. (a) Mecburi Veri Koruma Kanunu tarafından gerekli kılınmadığı sürece Bölüm (b) uyarınca her on iki aylık dönem içerisinde bir denetim sınırlaması bulunmaktadır. (b) Denetim, üç iş gününden fazla olamaz. (c) Müşteri, SAP'ye makul bir süre önce yazılı bildirim sunacaktır (mecburi Veri Koruma Kanunu kapsamında bir veri koruma yetkilisinin Müşteri'den daha erken denetim yapmasını talep etmediği sürece en az 60 gün). (d) Müşteri ve SAP, önceden karşılıklı olarak kapsam üzerinde anlaşma sağlayacak ve denetim gündemini belirleyecektir. Denetim için mümkün olduğu ölçüde, SAP'nin bu Çizelge'ye uyup uymadığını onaylamak üzere kullanılabilir sertifikalar ve denetim raporları veya diğer doğrulamalar temel alınacak ve mükerrer denetimler hariç tutulacaktır. (e) Müşteri, denetimi makul bir zaman, yer ve durum koşulları içerisinde gerçekleştirecek ve SAP'ye denetim raporunun bir kopyasını sağlayacaktır. (f) Müşterinin aynı zamanda Bölüm 6.2 (d) veya mecburi Veri Koruma Kanunu kapsamında herhangi bir denetimi gerçekleştirmek üzere gereken SAP'nin iç kaynaklarının masraflarını üstlenmesi istisnasıyla birlikte her bir taraf Bölüm (b) uyarınca denetim için kendi masraflarını karşılayacaktır. SAP'nin dahili maliyetleri, Müşteri için uygun olan şekilde o sırada geçerli günlük profesyonel hizmet ücretlerine veya böyle bir anlaşmanın bulunmaması durumunda SAP fiyat listesine göre hesaplanacaktır. (g) Denetimde SAP'nin bu Çizelge kapsamındaki yükümlülüklerini ihlal ettiğinin belirlenmesi durumunda ( Bulgu ) SAP söz konusu Bulgu'ya yönelik derhal çözüm bulacaktır. Bu Çizelge çerçevesinde uyum sağlamak üzere en uygun önlemleri belirlemek, SAP'nin kendi takdirine bağlıdır. 7. TANIMLAR İşbu belgede kullanılan büyük harfle başlayan Bağlı Şirketler, Anlaşma, Müşteri, Yetkili Kullanıcı (zaman zaman Kullanıcı veya Adlandırılmış Kullanıcı olarak adlandırılır), Sipariş Formu veya Bulut Hizmeti (zaman zaman Hizmet olarak adlandırılır) gibi terimler kendilerine Anlaşma'da verilen anlamları taşır. 7.1 Veri Merkezi Müşteri için barındırılan Bulut Hizmeti'nin canlı kullanım örneğinin bulunduğu konum anlamına gelir ve bu konum adresinde yayınlanır veya Müşteri'ye bildirilir ya da Sipariş Formu'nda belirtilir. 7.2 Veri Denetleyici geçerli Veri Koruma Kanunu'nda bu terime verilen anlamı taşır. 7.3 Veri Dışa Aktaran, Standart Sözleşme Maddelerinde kullanıldığı şekilde, Sipariş Formu'nda belirtildiği üzere Müşteri veya Müşteri'nin Veri Denetleyicileri anlamına gelir. 7.4 Veri İçe Aktaran, Standart Sözleşme Maddelerinde tanımlandığı şekilde geçerli EEA Dışı Kuruluş anlamına gelir. 7.5 Veri İşleyici geçerli Veri Koruma Kanunu'nda bu terime verilen anlamı taşır. Data Processing Agreement for SAP Cloud Services trtr.v Page 7 of 19

8 7.6 Veri Koruma Kanunu kişilerin Anlaşma kapsamında Kişisel Verilerin işlenmesine ilişkin temel haklarını ve özgürlüklerini ve özellikle gizlilik hakkını koruyan yasalar anlamına gelir. SAP, Veri İşleyici olarak SAP için geçerli zorunlu yerel veri koruma kanunları kapsamında gerekli olup Sipariş Formu'nda belirlenen ek yükümlülüklere uyacaktır. 7.7 Veri Kullanıcısı, kimliği belirlenmiş veya belirlenebilir birey ya da tüzel kişilik anlamına gelir (geçerli Veri Koruma Kanunu'nda tanımlandığı şekilde). 7.8 EEA, Avrupa Komisyonu'nun adresindeki gibi yayınladığı bir yeterlilik kararına konu olan ülkeler ve Avrupa Ekonomik Alanı anlamına gelir. 7.9 Avrupa Alt İşleyicisi AB, İzlanda, Lihtenştayn, Norveç veya İsviçre'de fiziksel olarak Kişisel Veri işleyen Alt İşleyici anlamına gelir EEA Dışı Kuruluş EEA dışında, yani Avrupa Komisyonu tarafından belirlendiği şekilde yeterli düzeyde veri koruma sunmayan bir ülkede bulunan SAP şirketi veya Alt İşleyici anlamına gelir Kişisel Veriler Veri Koruma Kanunu'nda, bu Çizelge amaçları doğrultusunda bu ifadeye verilen anlamı taşır. Anlaşma doğrultusunda destek sağlamak üzere SAP veya Alt İşleyicileri tarafından sağlanan veya erişilen ya da Bulut Hizmeti kullanımlarından kaynaklanan veya Müşteri'nin ya da Yetkili Kullanıcılarının girdiği bu tür kişisel verileri içerir. Kişisel Veriler, Müşteri Verilerinin bir alt kümesidir ve işbu belgede Veri Koruma Kanunu'nun geçerli olduğu durumlarda kullanılır SAP bu Çizelge'yi içeren Sipariş Formu'nun bir tarafını oluşturan SAP şirketi anlamına gelir Güvenlik İhlali, SAP veya Alt İşleyicileri tarafından yapılan, İlave 2 içinde belirtilen önlemlerin ihlaliyle Kişisel Verilerin yetkisiz ifşasına yol açan işlemler veya ihlaller ya da Veri Denetleyici'nin Veri Kullanıcısı'na veya ilgili veri koruma yetkilisine uyarıda bulunmasını yasal olarak gerektiren benzer olaylar anlamına gelir Standart Sözleşme Maddeleri veya zaman zaman adlandırıldığı şekilde AB Model Maddeleri, Kişisel Verilerin 95/46/EC Direktifi (belge numarası C(2010) 593 olarak tebliğ edilen) veya bununla ilgili olarak Komisyon tarafından sunulan sonraki versiyon (otomatik olarak geçerli olur) ve bu belgeye iliştirilmiş olan İlave 1 ve 2 uyarınca diğer ülkelerde bulunan işleyicilere aktarılmasına yönelik standart sözleşme maddelerine ilişkin 5 Şubat 2010 tarihli Komisyon Kararına göre Standart Sözleşme Maddeleri (işleyiciler) anlamına gelir Alt İşleyici, Standart Sözleşme Maddelerinde ve bu Çizelge'de kullanıldığı haliyle SAP Bağlı Şirketleri ve Bölüm 4 uyarınca SAP veya SAP Bağlı Şirketlerinin çalıştığı üçüncü taraf alt işleyiciler anlamına gelir. 8. AB ERİŞİMİ (SEÇENEK) 8.1 Uygun Bulut Hizmeti. Bu Çizelge'nin Bölüm 5.1 kısmına ilişkin bir sapma olması durumunda SAP, Sipariş Formu'nda kabul edilmesi halinde Bulut Hizmeti için AB Erişimi sağlamayı kabul eder. Müşteri, AB Erişimi'nin yalnızca AB'de SAP tarafından barındırılan AB Erişimi'ne uygun hizmetler için zaman zaman SAP'nin belirlediği şekilde sağlanacağını anlar. 8.2 Veri Merkezinin Konumu. Sipariş Formu'nun Geçerlilik Tarihi'nden itibaren ve Sipariş Formu'ndaki herhangi bir çelişkili hükme ilişkin sapma olması durumunda, sipariş verilen Bulut Hizmeti'ndeki Kişisel Verileri barındırmak için kullanılan Veri Merkezleri EEA veya İsviçre bölgesinde bulunur. SAP, Müşteri örneğini Müşteri'nin önceden yazılı izni (e-postaya izin verilir) olmaksızın EEA veya İsviçre bölgesi dışında bir Veri Merkezi'ne taşımayacağını taahhüt eder. SAP, Müşteri örneğini EEA veya İsviçre içinde bir veri merkezine taşımayı planlıyorsa, planlanan geçişten önceki otuz gün içinde Müşteri'yi yazılı olarak (e-postaya izin verilir) bilgilendirecektir. 8.3 AB Erişimi. Data Processing Agreement for SAP Cloud Services trtr.v Page 8 of 19

9 Müşteri, Bulut Hizmeti nin canlı kullanım sistemlerine ilişkin destek sağlanması konusunda, böyle bir destek için Kişisel Verilere erişimin gerekmesi halinde, erişimin gerçekleşip gerçekleşmemesinden bağımsız olarak, Avrupa Alt İşleyicileri haricindeki Alt İşleyicilerden yararlanılmamasını talep etmiş ve SAP, bunu kabul etmiştir. 8.4 Hariç Tutulanlar. Aşağıdaki Kişisel Veriler AB Erişimi'ne tabi değildir: (a) Destek ve/veya olay çağrısı açılırken destek ve/veya olay çağrısını, bildirimini veya iletisini gönderenin irtibat bilgileri (b) Destek ve/veya olay çağrısı açılırken Müşteri tarafından gönderilen diğer tüm Kişisel Veriler. Müşteri, destek ve/veya olay çağrısı açarken bu Kişisel Veriler'i iletmemeyi tercih edebilir. Olay yönetim süreci için bu veriler gerekliyse Müşteri, olay iletisini SAP'ye iletmeden önce bu Kişisel Verileri anonimleştirmeyi tercih edebilir (c) Canlı kullanım haricindeki sistemlerde yer alan Kişisel Veriler. Bölüm 5 uyarınca, AB Erişimi'ne tabi olmayan Kişisel Veriler yalnızca SAP veya onun Alt İşleyicileri tarafından aktarılabilir ya da bu Kişisel Verilere yalnızca SAP veya onun Alt İşleyicileri erişebilir. Ek 1 STANDART SÖZLEŞME MADDELERİ (İŞLEYİCİLER) 1 Kişisel verilerin yeterli düzeyde veri korumasına sahip olmayan üçüncü ülkelerdeki işleyicilere aktarılmasıyla ilgili 95/46/EC numaralı Direktifin 26(2) numaralı maddesi uyarınca VERİ İŞLEME ANLAŞMASI Bölüm 1.2 (b) uyarınca AB'de yer alan Müşteri ve/veya Müşteri Bağlı Şirketleri (buradan sonraki Maddelerde veri dışa aktaran olarak adlandırılır) ve VERİ İŞLEME ANLAŞMASI Bölüm 5.2 uyarınca EEA Dışı Kuruluşların temsilcisi olarak SAP SE (buradan sonraki Maddelerde veri içe aktaran olarak adlandırılır) ikisi tek tek "taraf", birlikte "taraflar", İlave 1'de belirtilen kişisel verilerin veri dışa aktaran tarafından veri içe aktarana aktarılmasıyla ilgili olarak, bireylerin kişisel ve temel haklarının ve özgürlüklerinin korunması konusundaki yeterli güvenliği sağlamak üzere aşağıdaki Sözleşme Maddeleri (Maddeler) üzerinde ANLAŞMAYA VARMIŞLARDIR. Madde 1 Tanımlar Bu Maddelerde: (a) kişisel veriler, kişisel veri kategorileri, işlem/işleme, denetçi, işlemci, veri kullanıcısı ve gözetim yetkilisi, Avrupa Parlamentosu'nun 95/46/EC sayılı direktifi ve 24 Ekim 1995 tarihli Konseyinin kişisel verilerin korunması ve bu verilerin serbest hareketiyle ilgili olarak bireylerin korunması belgelerindeki anlamlarına sahip olacaktır; (b) veri dışa aktaran kişisel verileri aktaran denetçidir; 1 5 Şubat 2010 (2010/87/EU) Komisyon Kararı Uyarınca Data Processing Agreement for SAP Cloud Services trtr.v Page 9 of 19

10 (c) veri içe aktaran, veri dışa aktarandan kişisel verileri adına işlemek üzere talimatları ve Maddelerin şartları çerçevesinde almayı kabul eden ve 95/46/EC Direktifinin 25(1) Maddesi uyarınca yeterli koruma sağlayan bir üçüncü ülkenin sistemine tabi olmayan işleyiciyi ifade eder; (d) alt işleyici, veri içe aktaran tarafından veya veri içe aktaranın herhangi bir alt işleyicisi tarafından iş verilen ve veri içe aktarandan veya veri içe aktaranın herhangi bir alt işleyicisinden kişisel verileri yalnızca veri dışa aktaranın adına ve talimatlarına, Maddelerin şartlarına ve yazılı alt sözleşmenin şartlarına uygun bir şekilde işleme faaliyetleri gerçekleştirmek üzere almayı kabul eden tarafı ifade eder; (e) ilgili veri koruma kanunları, bireylerin temel hak ve özgürlüklerini ve özellikle kişisel verilerinin işlenmesiyle ilgili gizliliklerini koruyan ve veri dışa aktaranın kurulu olduğu Üye Ülke'deki veri denetleyici için geçerli olan yasaları ifade eder; (f) teknik ve kurumsal güvenlik önlemleri, kişisel verilerin kaza sonucu veya yasalara aykırı bir şekilde silinmesini veya kaza sonucu kaybedilmesini, değiştirilmesini, yetkisiz ifşa veya erişime maruz kalmasını ve özellikle işlemenin verilerin ağ üzerinden iletilmesinin söz konusu olduğu ve diğer her türlü yasa dışı işleme şekillerine karşı uygulanan tüm önlemleri ifade eder. Madde 2 Aktarımın ayrıntıları Aktarımın ayrıntıları ve özellikle kişisel verilerin özel kategorileri, Maddelerin ayrılmaz bir parçasını oluşturan İlave 1 belgesinde belirtilmiştir. Madde 3 Üçüncü taraf lehtar maddesi 1. Veri kullanıcısı, veri dışa aktarana bu Madde, Madde 4(b) - (i), Madde 5(a) - (e) ve (g) - (j), Madde 6(1) ve (2), Madde 7, Madde 8(2) ve Madde 9-12 uyarınca üçüncü taraf lehtar olarak işlem yapabilir. 2. Veri kullanıcısı, veri içe aktarana bu Madde, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9-12 uyarınca, veri dışa aktaranın halefinin veri dışa aktaranın tüm yasal yükümlülüklerini sözleşme veya yasalar aracılığıyla üzerine aldığı ve bunun sonucu olarak veri dışa aktaranın haklarını ve yükümlülüklerini üzerine aldığı ve bu durumda veri kullanıcısının bu kuruluşa karşı işlem yapabileceği durumlar haricinde veri dışa aktaranın yasalar karşısında varlık gösteremediği durumlarda işlem yapabilir. 3. Veri kullanıcısı, alt işleyiciye bu Madde, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9-12 uyarınca, veri dışa aktaranın halefinin veri dışa aktaranın tüm yasal yükümlülüklerini sözleşme veya yasalar aracılığıyla üzerine aldığı ve bunun sonucu olarak veri dışa aktaranın haklarını ve yükümlülüklerini üzerine aldığı ve bu durumda veri kullanıcısının bu kuruluşa karşı işlem yapabileceği durumlar haricinde veri dışa aktaranın ve veri içe aktaranın yasalar karşısında varlık gösteremediği veya çözüme ulaşamadığı durumlarda işlem yapabilir. Alt işleyicinin bu üçüncü taraf yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır. 4. Taraflar veri kullanıcısının açıkça belirttiği ve ulusal yasaların izin verdiği durumda veri kullanıcısının bir kuruluş veya başka bir kurum tarafından temsil edilmesine karşı çıkmaz. Madde 4 Veri dışa aktaranın yükümlülükleri Veri dışa aktaran şu maddeleri kabul ve garanti eder: Data Processing Agreement for SAP Cloud Services trtr.v Page 10 of 19

11 (a) kişisel verilerin aktarılması dahil olmak üzere işlenmesi ilgili veri koruma kanunlarının ilgili hükümleri çerçevesinde gerçekleştirilecek (ve uygun olduğu durumlarda veri dışa aktaranın kurulu olduğu Üye Ülkenin yetkilileri bilgilendirilecektir) ve söz konusu Devletin ilgili hükümlerini ihlal etmeyecektir; (b) kişisel veri işleme hizmetlerinin süresi boyunca veri içe aktaranı kişisel verilerin yalnızca veri dışa aktaranın adına ve ilgili veri koruma kanunları ve Maddeler çerçevesinde yapılacağını belirtecektir; (c) veri içe aktaran, bu sözleşmenin İlave 2 belgesinde belirtilen teknik ve kurumsal güvenlik önlemleriyle ilgili yeterli garantileri verecektir; (d) İlgili veri koruma kanunlarının gereksinimlerinin değerlendirilmesinin ardından kişisel verileri kaza sonucu veya yasa dışı yok etme veya kaza sonucu kayıp, değiştirme, yetkisiz ifşa veya erişime karşı korumak için alt işleyici tarafından gerekli güvenlik önlemleri alınacaktır, özellikle işlemenin verilerin bir ağ üzerinden aktarıldığı durumlar ve diğer tüm yasa dışı işleme biçimleri buna dahil edilecektir ve bu önlemler, veriler ve işlenmesi sonucunda ortaya çıkan risklere karşı yeterli düzeyde koruma sağlayacaktır ve korunacak veriler için gerekli olan son teknoloji sistemler ve bunların uygulaması makul şekilde yapılacaktır; (e) güvenlik önlemlerine uyacaktır; (f) veri aktarımının özel veri kategorilerini içermesi halinde veri kullanıcısının verilerin 95/46/EC Direktifine uygun yeterli koruma sağlamayan üçüncü ülkelere iletilebileceği konusunda önceden veya aktarımın hemen ardından bilgilendirilmesini sağlayacaktır; (g) veri dışa aktaranın aktarımın devam etme veya askıya alınma durumunu kaldırma kararı vermesi halinde veri içe aktarandan veya alt işleyicilerden gelen bildirimleri Madde 5(b) ve Madde 8(3) uyarınca veri koruma gözetim yetkililerine iletecektir; (h) veri kullanıcılarına istek üzerine Maddelerin İlave 2 hariç bir kopyasını ve güvenlik önlemlerinin açıklamalarının yanı sıra Maddelere uygun şekilde yapılması gereken alt işleme hizmetleriyle ilgili sözleşmelerin kopyasını sunacaktır, Maddelerin veya sözleşmenin ticari bilgi içerdiği durumda söz konusu ticari bilgiler kaldırılabilir; (i) alt işleme durumunda, işleme faaliyetlerinin Madde 11 uyarınca kişisel verilerin korunması için en az aynı düzeyde koruma sağlayan bir alt işleyici tarafından yapılmasını ve veri kullanıcısının haklarının veri içe aktaran olarak Maddeler çevresinde gözetilmesini sağlayacaktır ve (j) Madde 4(a) - (i) hükümlerine uygun hareket edecektir. Madde 5 Veri içe aktaranın yükümlülükleri Veri içe aktaran şu maddeleri kabul ve garanti eder: (a) kişisel verileri yalnızca veri dışa aktaranın adına ve onun talimatlarına ve Maddelere uygun olarak işleyecektir; herhangi bir nedenden dolayı bu uygunluğu sağlayamaması durumunda veri dışa aktaranı bu uyumsuzluk hakkında anında bilgilendirmeyi ve bu durumda veri dışa aktaranın verilerin aktarılmasını askıya alabileceğini ve/veya sözleşmeyi feshedebileceğini kabul eder; (b) kendisi için geçerli olan yasaların, veri dışa aktarandan aldığı talimatları ve sözleşme çerçevesindeki yükümlülüklerini yerine getirme konusunda herhangi bir engel teşkil oluşturmadığını ve yasalarda Maddeler çerçevesindeki garantilerini ve yükümlülüklerini önemli ölçüde etkileyecek değişiklikler olması durumunda söz konusu değişikliği veri dışa aktarana anında bildirmeyi ve bu durumda veri dışa aktaranın verilerin aktarılmasını askıya alabileceğini ve/veya sözleşmeyi feshedebileceğini kabul eder; Data Processing Agreement for SAP Cloud Services trtr.v Page 11 of 19

12 (c) kişisel verilerin aktarılmasına başlamadan önce İlave 2'de belirtilen teknik ve kurumsal güvenlik önlemlerini uygulayacaktır; (d) veri dışa aktaranı aşağıdaki konularda anında bilgilendirecektir: (i) ceza kanunları çerçevesinde bir hukuki yaptırımın gizliliğini ihlal etme gibi bir yasağın söz konusu olmadığı durumlarda kanunlar çerçevesinde kişisel verilerin ifşasının talep edildiği durumlar; (ii) kaza sonucu veya yetkisiz erişim ve (iii) doğrudan veri kullanıcılarından alınan isteklere, yetki verilmediği sürece söz konusu isteklere yanıt verilmeden önce; (e) veri dışa aktaranın, aktarılacak kişisel verileri işlemesiyle ilgili tüm talepleriyle anında ve makul şekilde ilgilenecek ve aktarılan verilerin işlenmesiyle ilgili olarak gözetim yetkilisinin tavsiyelerine uyacaktır; (f) veri dışa aktaranın isteği üzerine veri işleme tesislerini, veri dışa aktaran veya gizlilik şartlarını yerine getiren gerekli uzmanlar tarafından oluşturulan bağımsız üyelerden oluşan ve veri dışa aktaran tarafından seçilen, ilgili durumlarda gözetim yetkilileriyle anlaşma yapılan Maddelerin kapsamındaki işleme faaliyetlerinin denetimi için açacaktır; (g) veri kullanıcısına istek üzerine Maddelerin İlave 2 hariç bir kopyasını veya alt işleme sözleşmesinin kopyasını sunacaktır, Maddelerin veya sözleşmenin ticari bilgi içerdiği durumda söz konusu ticari bilgiler kaldırılabilir; İlave 2 yerine ise veri kullanıcısının veri dışa aktarandan bir kopya temin edemediği durumlarda güvenlik önlemlerinin bir özeti verilecektir; (h) alt işleme durumunda veri dışa aktaranı önceden bilgilendirecek ve önceden yazılı iznini alacaktır; (i) alt işleyici tarafından gerçekleştirilen işleme hizmetleri Madde 11'e uygun şekilde yapılacaktır; (j) Maddeler çerçevesinde yaptığı alt işleyici anlaşmalarının kopyalarını en kısa sürede veri dışa aktarana gönderecektir. Madde 6 Yükümlülük 1. Taraflar Madde 3 veya Madde 11 ile belirtilen yükümlülüklerin herhangi bir taraf veya alt işleyici tarafından ihlal edilmesi durumunda, bu durumdan zarar gören veri kullanıcısının söz konusu zararı veri dışa aktarandan tazmin etme hakkının bulunduğunu kabul eder. 2. Bir veri kullanıcısı veri içe aktaran veya alt işleyicilerin Madde 3 veya Madde 11 kapsamındaki yükümlülüklerini ihlalden kaynaklanan bir hak talebini veri dışa aktaranın yasalar nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle 1. paragraf uyarınca tazminat amaçlı olarak veri dışa aktaranın aleyhine gündeme getiremiyorsa veri içe aktaran, veri kullanıcısının veri içe aktarana karşı olarak veri dışa aktaran olarak kabul etmek suretiyle hak talebinde bulunabileceğini, halef kurumların sözleşme veya yasalar ile veri dışa aktaranın tüm yasal yükümlülüklerini devralması durumunun hariç tutulacağını ve bu durumda veri kullanıcısının haklarını bu kuruluştan talep edebileceğini kabul eder. Veri içe aktaran, bir alt işleyicinin yükümlülüklerini ihlal etmesini kendi yükümlülüklerinden kaçınma amacıyla kullanamaz. Data Processing Agreement for SAP Cloud Services trtr.v Page 12 of 19

13 3. Bir veri kullanıcısı veri içe aktaran veya alt işleyicilerin Madde 3 veya Madde 11 kapsamındaki yükümlülüklerini ihlalden kaynaklanan bir hak talebini veri dışa aktaranın yasalar nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle 1. ve 2. paragraflar uyarınca tazminat amaçlı olarak veri dışa aktaranın aleyhine gündeme getiremiyorsa alt işleyici, veri kullanıcısının veri alt işleyicisine karşı olarak veri dışa aktaran veya veri içe aktaran olarak kabul etmek suretiyle hak talebinde bulunabileceğini, halef kurumların sözleşme veya yasalar ile veri dışa aktaranın veya veri içe aktaranın tüm yasal yükümlülüklerini devralması durumunun hariç tutulacağını ve bu durumda veri kullanıcısının haklarını bu kuruluştan talep edebileceğini kabul eder. Alt işleyicinin bu yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır. Madde 7 Arabuluculuk ve yargı bölgesi 1. Veri içe aktaran, veri kullanıcısının kendisine karşı üçüncü taraf lehtar haklarını kullanması ve/veya Maddeler çerçevesindeki zararları için tazminat talebinde bulunması halinde veri içe aktaranın veri kullanıcısının şu kararlarını kabul edeceğini beyan eder: (a) anlaşmazlığa, bağımsız bir kişi veya uygun olduğu durumda gözetim yetkilisi tarafından arabuluculuk yapılması; (b) veri dışa aktaranın kurulu olduğu Üye Ülke mahkemelerinde anlaşmazlığa çözüm aranması. 2. Taraflar, veri kullanıcısı tarafından yapılan seçimin diğer ulusal veya uluslararası hukuk hükümleri çerçevesindeki sabit ve adli haklarına halel getirmeyeceğini kabul eder. Madde 8 Gözetim yetkilileriyle işbirliği 1. Veri dışa aktaran, talep edilmesi veya ilgili veri koruma kanunlarının gerektirmesi durumunda bu anlaşmanın bir kopyasını gözetim yetkilisine vermeyi kabul eder. 2. Taraflar, gözetim yetkilisinin veri içe aktaran ve alt işleyicileri için denetim gerçekleştirebileceğini ve bu denetim kapsamının ilgili veri koruma kanunları çerçevesinde veri dışa aktaran denetimi için geçerli olanla aynı olabileceğini kabul eder. 3. Veri içe aktaran, veri dışa aktaranı 2. paragraf uyarınca veri içe aktarana veya alt işleyicilerine denetim yapılmasını engelleyen ve kendisi ya da alt işleyicilerinden biri için geçerli bir yasa olması halinde bilgilendirecektir. Böyle bir durumda veri dışa aktaran, Madde 5(b) ile belirtilen önlemleri alma hakkına sahip olacaktır. Madde 9 Geçerli yasalar Bu Maddeler için veri dışa aktaranın kurulmuş olduğu Üye Ülkenin yasaları geçerli olacaktır. Madde 10 Anlaşmanın değiştirilmesi Taraflar, Maddeleri değiştirmemeyi taahhüt eder. Bu, tarafların Maddelerle çelişmemesi koşuluyla işle ilgili sorunlarla bağlantılı maddeler eklemesini engellemez. Data Processing Agreement for SAP Cloud Services trtr.v Page 13 of 19

14 Madde 11 Alt işleme 1. Veri içe aktaran, Maddeler çerçevesinde veri dışa aktaran adına gerçekleştirdiği işleme operasyonlarının hiçbirini veri dışa aktaranın önceden yazılı iznini almadan alt yüklenicilere veremez. Veri içe aktaranın Maddeler çerçevesindeki yükümlülüklerini veri dışa aktaranın onayıyla alt yüklenicilere vermesi durumunda bunu yalnızca alt işleyici ile yazılı anlaşma yaparak ve alt işleyicinin Maddeler çerçevesinde veri içe aktaranın tabi olduğu yükümlülüklere tabi olmasını sağlayarak gerçekleştirebilir. Alt işleyicinin ilgili yazılı anlaşmalar çerçevesindeki veri koruma yükümlülüklerini yerine getirmemesi halinde veri içe aktaran alt işleyicinin söz konusu anlaşma çerçevesindeki yükümlülüklerini veri dışa aktarana karşı yerine getirmesi konusunda tek yükümlü olacaktır. 2. Bir veri kullanıcısının, hiçbir halef kurumun sözleşme veya yasalar ile veri dışa aktaranın veya veri içe aktaranın tüm yasal yükümlülüklerini devralmaması ve veri dışa aktaran ile veri içe aktaranın yasalar nezdinde yok olması veya ortadan kalkması veya çözüm bulamaması nedeniyle Madde 6, 1. paragraf uyarınca tazminat amaçlı olarak veri dışa aktaranın veya veri içe aktaranın aleyhine gündeme getirememesi durumunda veri içe aktaran ve alt işleyici arasındaki önceden yazılı sözleşme de Madde 3'te belirtilen üçüncü taraf lehtar durumlarından sayılacaktır. Alt işleyicinin bu üçüncü taraf yükümlülüğü, Maddeler çerçevesinde kendi işleme faaliyetleriyle sınırlı olacaktır paragrafta belirtilen sözleşmenin alt işleme tabi tutulmasının veri korumayla ilgili hükümleri için veri dışa aktaranın kurulmuş olduğu Üye Ülke'nin, örneğin Almanya, yasaları geçerli olacaktır. 4. Veri dışa aktaran, Maddeler çerçevesinde yapılan alt işleme anlaşmalarının bir listesini tutacak ve veri içe aktaranı Madde 5(j) uyarınca bilgilendirecektir, bu liste yılda en az bir kere güncellenecektir. Liste, veri dışa aktaranın veri koruma gözetim yetkilisinin kullanımına da sunulacaktır. Madde 12 Kişisel veri işleme hizmetlerinin feshinden sonraki yükümlülük 1. Taraflar, veri işleme hizmetleri hükümlerinin feshedilmesi durumunda veri içe aktaranın ve veri işleyicisinin veri dışa aktaranın tercihine göre aktarılan tüm kişisel verileri ve kopyalarını veri dışa aktarana iade edecek veya kişisel verilerin tüm kopyalarını imha edecek ve veri dışa aktarana bu durumu belgeleyecektir, veri içe aktaran için geçerli olan yasaların, aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya imha etmesini engellediği durumlar dikkate alınacaktır. Bu durumda veri içe aktaran, aktarılan kişisel verilerin gizliliğinin korunacağını garanti edeceğini ve aktarılan kişisel verileri aktif olarak işlemeyi durduracağını garanti eder. 2. Veri içe aktaran ve alt işleyici, veri dışa aktaranın ve/veya gözetim yetkilisinin isteği üzerine veri işleme tesislerini 1. paragrafta belirtilen önlemlerin denetlenmesi için açacağını garanti eder. Data Processing Agreement for SAP Cloud Services trtr.v Page 14 of 19

15 VERİ İŞLEME ANLAŞMASI VE STANDART SÖZLEŞME MADDELERİNE İLİŞKİN İLAVE 1 Taraflar, gerekirse veya Müşteri tarafından aşağıda açıklandığı şekilde bir Sipariş Formu'nda veya Ek'te daha fazla ayrıntı sağlayabilir. Veri Dışa Aktaran Veri Dışa Aktaran, Yetkili Kullanıcılarının Anlaşma kapsamında belirtilen Kişisel Verileri girmek, değiştirmek, kullanmak, silmek veya başka şekilde işlemek için bir SAP Cloud Hizmeti'ne abone olur. Veri İçe Aktaran SAP ve Alt İşleyicileri, aşağıdaki Destek hususlarını içeren Bulut Hizmeti'ni sağlar: Dünya genelindeki SAP Bağlı Şirketleri, SAP Cloud Hizmeti veri merkezlerine SAP tesislerinden uzaktan destek sağlar, ör. SAP'nin Operations/Cloud Delivery işlevinde personel çalıştırdığı St. Leon/Rot (Almanya), Hindistan ve diğer konumlar. Destek aşağıdakileri içerir ancak bunlarla sınırlı değildir: Bulut Hizmeti'ni ve altyapısını izleme Bulut Hizmeti'nde depolanan Müşteri Verilerini yedekleme ve geri yükleme Bulut Hizmeti ve altyapısına yönelik yamaları, yeni güncellemeleri ve yükseltmeleri yayınlama ve geliştirme Sunucular, depo, ağ ekipmanlarına yönelik sorun giderme Canlı kullanım veritabanı boyutunu belirleme, dizin oluşturma, performans ayarlama, yama yönetimi dahil olmak üzere günlük veritabanı yönetimi faaliyetleri, veritabanı izleme, sorun giderme. Yedek veritabanı yönetimi ve veritabanı işlevleriyle ilgili projeler Güvenlik izleme, ağ tabanlı izinsiz giriş algılama desteği, sızma testlerini yürütme SAP Bağlı Şirketleri, Müşteri'nin Bulut Hizmeti'nin bazı veya tüm Yetkili Kullanıcılar için beklendiği şekilde çalışmaması ya da kullanılamaması (olay) sebebiyle bir destek çağrısı oluşturduğunda da destek sağlar: SAP telefonları yanıtlar ve temel sorun giderme işlemlerini gerçekleştirir, destek çağrılarını Bulut Hizmeti'nin canlı kullanım örneğinden ayrı bir takip sistemine yönlendirir ve yönetir. Veri kullanıcıları Aktarılan Kişisel Veriler aşağıdaki veri kullanıcılarını ilgilendirir: Veri Dışa Aktaran tarafından aksi belirtilmedikçe, Veri Kullanıcıları çalışanları, yüklenicileri, iş ortaklarını veya Kişisel Verileri Bulut Hizmeti'nde depolanan diğer bireyleri kapsar. Veri kategorileri Aktarılan Kişisel Veriler aşağıdaki veri kategorileri ile ilgilidir: Müşteri, abone olunan Bulut Hizmeti başına veri kategorilerini belirler. Müşteri'nin veri alanları Bulut Hizmeti'nin uygulanması kapsamında veya Bulut Hizmeti için izin verilen başka bir biçimde konfigüre edilebilir. Aktarılan Kişisel Veriler genellikle şu veri kategorilerini (alt küme) ilgilendirir: ad, telefon numaraları, e-posta adresi, saat dilimi, adres verileri, sistem erişimi/kullanımı/yetkilendirme verileri, şirket adı, sözleşme verileri, fatura verilerinin yanı sıra banka hesap verileri, kredi veya banka kartı verileri dahil olmak üzere Yetkili Kullanıcıların Bulut Hizmeti içinde girdiği uygulamaya özel veriler. Özel veri kategorileri (varsa) Aktarılan Kişisel Veriler aşağıdaki özel veri kategorileri ile ilgilidir: Varsa, Sipariş Formu'nda belirlendiği şekilde. İşleme faaliyetleri Aktarılan Kişisel Veriler aşağıdaki temel işleme aktivitelerine tabidir: Bulut Hizmeti'ni sağlamak için Kişisel Verilerin kullanılması (Operasyonel ve Teknik Destek dahil) Kişisel Verilerin belirlenen Veri Merkezlerinde depolanması (çok kiracılı mimari) her türlü yamanın, güncellemenin, yükseltmenin/yeni sürümün Bulut Hizmeti'ne yüklenmesi Kişisel Verilerin yedeklenmesi Kişisel Verilerin veri iletimi, veri alımı ve veri erişimi dahil olmak üzere bilgisayarda işlenmesi Kişisel Verilerin aktarımına izin vermek için ağ erişimi (gerekliyse) Data Processing Agreement for SAP Cloud Services trtr.v Page 15 of 19

16 VERİ İŞLEME ANLAŞMASI VE STANDART SÖZLEŞME MADDELERİNE İLİŞKİN İLAVE 2 1. GİRİŞ 1.1 Sapmalar. Bazı Bulut Hizmetleri farklı destek koşullarına tabidir ve bu koşullar Ek veya Sipariş Formu'nda belirtilmiştir. 1.2 Kapsam. Diğer tüm durumlarda, Bulut Hizmeti'nin canlı kullanım sisteminde depolanan Kişisel Verilere ilişkin Veri İçe Aktaran tarafından uygulanan teknik ve kurumsal güvenlik önlemlerinin aşağıdaki Bölüm 2 kapsamında belirlenen tanımı (Standart Sözleşme Maddeleri, Madde 4(d) ve 5(c) uyarınca) geçerli olacaktır. 2. TEKNİK VE KURUMSAL ÖNLEMLER Aşağıdaki bölümlerde SAP tarafından oluşturulan geçerli güvenlik önlemleri tanımlanmıştır. 2.1 Fiziksel Erişim Denetimi. Yetkisiz kişilerin, Kişisel Verileri işleyen ve/veya kullanan veri işleme sistemlerinin bulunduğu tesislere, binalara veya odalara fiziksel erişimi önlenir. Önlemler: Tüm Veri Merkezleri, ekipmanların ve Veri Merkezi tesislerinin zarar görmesini önleme amacıyla korumalar, gözetleme kameraları, hareket detektörleri, erişim denetim mekanizmaları ve diğer önlemler ile zorunlu kılınan sıkı güvenlik önlemlerine bağlı kalır. Yalnızca yetkili temsilciler Veri Merkezi tesislerindeki sistemlere ve altyapıya erişebilir. Uygun işlevselliğin sağlanması için fiziksel güvenlik ekipmanlarının (ör. hareket detektörleri, kameralar vb.) bakımı düzenli olarak yapılır. Ayrıntılı olarak, tüm Veri Merkezlerinde aşağıdaki fiziksel güvenlik önlemleri uygulanır: (a) SAP, dahili bir güvenlik departmanı tarafından yürütülen güvenlik sınıflandırmasını temel alan uygun önlemleri uygulayarak kendi varlıklarını ve tesislerini korur. (b) Genelde binalar erişim denetim sistemleri (akıllı kart erişim sistemi) aracılığıyla korunur. (c) Minimum gereksinim olarak binanın en dış katmanı, modern etkin anahtar yönetimini içeren sertifikalı bir anahtar sistemi teçhizatına sahip olmalıdır. (d) Güvenlik sınıflandırmasına bağlı olarak binalar, bireysel alanlar ve çevredeki tesisler ek önlemlerle daha fazla korunur. Bunlara özel erişim profilleri, kamera, hırsız alarm sistemleri ve biyometrik erişim denetim sistemleri dahildir. (e) Aşağıda belirtilen Sistem ve Veri Erişim Denetimi önlemleri doğrultusunda bireysel olarak yetkili kişilere erişim hakları verilir. Bu aynı zamanda ziyaretçi erişimi için de geçerlidir. SAP binalarına gelen misafirler ve ziyaretçiler resepsiyona adlarını kaydettirmeli ve yetkili SAP personeli tarafından bu kişilere eşlik edilmelidir. SAP ve üçüncü taraf Veri Merkezi sağlayıcıları, Veri Merkezlerinde SAP'nin gizli alanlarına giren kişilerin adlarını ve girdikleri zamanı kaydeder. (f) SAP çalışanları ve şirket dışı personel kimlik kartlarını tüm SAP lokasyonlarında takmalıdır. 2.2 Sistem Erişim Denetimi. Bulut Hizmeti sağlamak için kullanılan veri işleme sistemlerinin yetkisiz kullanımı önlenmelidir. Önlemler: (a) Kişisel Verileri depolayan ve işleyenler dahil olmak üzere hassas sistemlere erişime izin vermek için birden fazla yetkilendirme düzeyi kullanılır. Yetkili kullanıcıların gereken kullanıcı ekleme, silme ve değiştirme yetkilerine sahip olduğundan emin olmak için süreçlerden yararlanılır. (b) Tüm kullanıcılar SAP sistemlerine benzersiz tanıtıcı (kullanıcı kimliği) ile erişir. (c) SAP, talep edilen yetki değişikliklerinin yalnızca kılavuzlara uygun şekilde uygulandığından Data Processing Agreement for SAP Cloud Services trtr.v Page 16 of 19

17 emin olmak için prosedürlerden (örneğin, yetki olmadan herhangi bir hak sağlanmaması) yararlanır. Kullanıcı için rol değişikliği olursa veya kullanıcı şirketten ayrılırsa erişim hakları da iptal edilir. (d) SAP, parolaların paylaşılmasını yasaklayan, bir parola ifşa edildiğinde ne yapılması gerektiğini belirten, parolaların düzenli olarak değiştirilmesini ve varsayılan parolaların değiştirilmesini gerektiren bir parola ilkesine sahiptir. Kişisel kullanıcı kimlikleri kimlik doğrulama için atanır. Tüm parolalar belirtilen minimum gereksinimleri karşılamalıdır ve şifrelenmiş biçimde depolanırlar. Etki alanı parolaları konusunda sistem, karmaşık parola gereksinimlerine uyacak şekilde her altı ayda bir parola değişikliği yaptırır. Her bilgisayarın parola korumalı bir ekran koruyucusu vardır. (e) Bulut Hizmeti teslimat ortamına uzaktan erişim için minimum olarak güçlü kimlik doğrulama mekanizmaları gereklidir (örneğin bir parola ve ek bir güvenlik özelliğinin birleşimi). Güvenliğin kritik önem taşıdığı IT sistemlerinin yönetici hesapları ve hizmet hesapları için en az on beş (15) karakter uzunluğunda parolalar kullanılmalıdır. Yeni parolalar bir Yetkili Kullanıcı'nın son beş (5) parolasından farklı olmalıdır. Şirket ağı, ortak ağdan güvenlik duvarıyla korunur. (f) SAP, şirket ağına erişim noktalarında, tüm dosya sunucularında ve tüm çalışma istasyonlarında (e-posta hesapları için) güncel virüsten koruma yazılımı kullanır. (g) İlgili güvenlik güncellemelerinin dağıtımını sağlamak üzere bir güvenlik yaması yönetimi uygulanır. (h) SAP kurumsal ağına ve önemli altyapısına tam uzaktan erişim, güçlü kimlik doğrulamasıyla korunur. 2.3 Veri Erişim Denetimi. Veri işleme sistemleri kullanmaya yetkili kişilerin yalnızca erişim hakkına sahip olduğu Kişisel Verilere erişmesi ve Kişisel Verilerin işlem, kullanım ve depolama sırasında yetki verilmeden okunmaması, kopyalanmaması, değiştirilmemesi veya silinmemesi gerekir. Önlemler: (a) Kişisel, gizli ve hassas bilgilere erişim bilinmesi gereken (need-to-know) temelinde sağlanır. Yani, çalışanlar ve şirket dışındaki taraflar işlerini tamamlamaları için gerekli olan bilgilere erişebilir. SAP, yetkilerin nasıl atanacağını ve hangi yetkilerin atanacağını belirten yetkilendirme konseptlerinden yararlanır. Tüm kişisel, gizli veya hassas veriler SAP güvenlik ilkelerine ve standartlarına uygun şekilde korunur. (b) SAP Cloud Hizmeti'ne ilişkin tüm canlı kullanım sunucuları ilgili Veri Merkezlerinde/sunucu odalarında çalıştırılır. Kişisel, gizli veya hassas bilgileri işleyen uygulamaları koruyan güvenlik önlemleri düzenli olarak denetlenir. SAP bu amaçla IT sistemlerinde şirket içi ve şirket dışı denetimler ve sızma testleri gerçekleştirir. (c) SAP, kendisinin onaylamadığı kişisel yazılımların veya diğer yazılımların Bulut Hizmetleri tarafından kullanılan sistemlere kurulmasına izin vermez. (d) SAP güvenlik standardı, veri ve veri taşıyıcıların nasıl silineceğini veya imha edileceğini belirler. 2.4 Veri İletim Denetimi. Kişisel Veriler, aktarım sırasında kimlik doğrulaması olmadan okunmamalı, kopyalanmamalı, değiştirilmemeli veya silinmemelidir. Önlemler: (a) Veri taşıyıcılar fiziksel olarak taşınırken kabul edilen hizmet düzeylerinin sağlanabilmesi için gereken önlemler (örneğin, şifreleme, kurşun kaplamalı muhafaza kutuları) alınmalıdır. (b) Kişisel Verilerin SAP dahili ağları üzerinden aktarımı, SAP Güvenlik İlkesi doğrultusunda Data Processing Agreement for SAP Cloud Services trtr.v Page 17 of 19

18 (c) diğer gizli veriler gibi korunur. Veriler SAP ve müşterileri arasında aktarılırken, aktarılan Kişisel Veriler ile ilgili koruma önlemleri üzerinde karşılıklı olarak anlaşmaya varılır. Bu, hem fiziksel hem de ağ tabanlı veri iletimi için geçerlidir. Her koşulda Müşteri, SAP Bağlantı Noktası'ndan veri aktarımlarının sorumluluğunu kabul eder (ör. Bulut Hizmeti'ni barındıran SAP Veri Merkezi'nin giden güvenlik duvarı) 2.5 Veri Giriş Denetimi. Geriye dönük olarak, SAP Kişisel Verilerinde giriş, değiştirme işlemlerinin yapılıp yapılmadığı veya verilerin Bulut Hizmeti sağlamak için kullanılan veri işleme sistemlerinden silinip silinmediği ve bunları yapanlar incelenip bulunabilir. Önlemler: SAP, işlerini yerine getirmek amacıyla yalnızca yetkili kişilerin Kişisel Verilere erişmesine izin verir. SAP, Kişisel Verilerin SAP veya Alt İşleyicileri tarafından Bulut Hizmeti'nin sağladığı destek ölçüsünde engellenmesi, silinmesi, değiştirilmesi ve girilmesi için bir kayıt sistemi uygulamıştır. 2.6 İş Denetimi. İşlenen Kişisel Verilerin yalnızca Anlaşma ve Müşteri'nin ilgili talimatları doğrultusunda işlenmesi gerekir. Önlemler: (a) SAP, SAP ve müşterileri, Alt İşleyicileri veya diğer hizmet sağlayıcıları arasındaki sözleşmelere uygun hareket etmek için denetimlerden ve süreçlerden yararlanır. (b) SAP Güvenlik İlkesi'nin bir parçası olarak Müşteri Verileri için, SAP'nin Bilgi Sınıflandırma standardına göre gizli bilgiler ile en az aynı koruma düzeyi gereklidir. (c) Tüm SAP çalışanları ve sözleşmeli iş ortakları sözleşme gereğince SAP müşterilerinin ve iş ortaklarının ticari sırları da dahil olmak üzere hassas bilgilere ilişkin gizliliğe uygun şekilde hareket etmek zorundadır. 2.7 Kullanılabilirlik Denetimi. Kişisel Veriler kaza sonucu veya yetkisiz imha veya kayıp durumlarına karşı korunacaktır. Önlemler: (a) SAP işletme açısından kritik önem taşıyan sistemlerin gerektiği gibi ve gerektiği zaman derhal geri yüklenmesini sağlayan yedekleme süreçlerinden ve diğer önlemlerden yararlanır. (b) SAP, Veri Merkezlerinde elektrik olmasını sağlamak üzere kesintisiz güç kaynaklarından (örneğin: UPS, pil, jeneratörler vb.) yararlanır. (c) SAP, Bulut Hizmetleri için iş ve olağanüstü durum kurtarma stratejilerinin yanı sıra beklenmedik durum planları da belirlemiştir. (d) Acil durum süreçleri ve sistemleri düzenli olarak test edilir. 2.8 Veri Ayırma Denetimi. Kişisel Veriler farklı amaçlar için toplanır ve ayrı işlenebilir. Önlemler: (a) SAP, dağıtılan yazılımın teknik özelliklerini kullanarak (örneğin: çoklu kiralama veya ayrı sistem altyapısı) bir veya başka herhangi bir müşteriden alınan Kişisel Veriler arasında veri ayrımı yapar. Data Processing Agreement for SAP Cloud Services trtr.v Page 18 of 19

19 (b) SAP, her Müşteri için özel alanlar (mantıksal veya fiziksel ayırma ile) sağlar. (c) Müşteriler (Bağlı Şirketleri dahil) yalnızca kendi Müşteri alanlarına erişebilir. 2.9 Veri Bütünlüğü Denetimi. Kişisel Verilerin işleme aktiviteleri sırasında dokunulmamış, eksiksiz ve geçerli kalmasını sağlar: Önlemler: SAP, yetkisiz değişikliklere karşı koruma olarak çeşitli katmanlarda bir savunma stratejisi uygulamıştır. Bu, yukarıda denetim alanında ve önlem bölümlerinde belirtilen denetimlerle ilgilidir. Özellikle: (a) Güvenlik duvarları; (b) Güvenlik İzleme Merkezi; (c) Virüsten koruma yazılımı; (d) Yedekleme ve kurtarma; (e) Harici ve dahili sızma testleri; (f) Güvenlik önlemlerini sınayacak düzenli harici denetimler. Data Processing Agreement for SAP Cloud Services trtr.v Page 19 of 19