Bu DPA'de:

(a) “Veri Sorumlusu”, “Veri Sahibi”, “Kişisel Veri”, “İşleme”, “Veri İhlali” ve “Veri İşleyen” gibi terimler, GDPR Madde 4'te verilen anlamlara sahiptir.

“Uygulanabilir Veri Koruma Yasası”, Müşteri ve Constructor Technology'nin DPA kapsamında kişisel verileri işlemesine uygulanan tüm yasa ve düzenlemeleri ifade eder.

“Müşteri Hesap Verileri”, Müşteri'nin Constructor Technology ile olan ilişkisine ilişkin kişisel verileri ifade eder, bu veriler arasında Müşteri tarafından Müşteri'nin hesabına erişim izni verilen kişilerin isimleri veya iletişim bilgileri ve Müşteri'nin hesabıyla ilişkilendirdiği kişilerin fatura bilgileri bulunur. Müşteri Hesap Verileri ayrıca, Constructor Technology'nin kimlik doğrulama amacıyla veya yasal yükümlülüklerine uymak amacıyla toplaması gereken herhangi bir kişisel veriyi de içerir.

“Müşteri Kullanım Verileri”, Constructor Technology tarafından Müşteri İçeriği'ni analiz etmek ve değerlendirmek amacıyla işlenen verileri ifade eder. Müşteri Kullanım Verileri, bir iletişimin kaynağını ve varış noktasını belirlemek için kullanılan verileri içerir, örneğin (a) tarih, saat, süre ve veri alışverişi türü ve (b) Hizmet taleplerinin kaynağını belirlemek, Hizmetlerin performansını optimize etmek ve sürdürmek ve sistem kötüye kullanımını araştırmak ve önlemek için kullanılan etkinlik günlükleri.

“Müşteri İçeriği”, (a) mesaj metinleri, ses ve video medyası, görüntüler, e-posta metinleri, e-posta alıcıları, ses ve, uygulanabilir olduğunda, Müşteri'nin belirlenmiş yazılım uygulamalarından ve hizmetlerinden Hizmet(ler)e gönderdiği ayrıntılar gibi Hizmet(ler)i kullanımı sonucu değiş tokuş edilen kişisel verileri ve (b) Hizmet(ler) içinde iletişim günlükleri veya Müşteri'nin Hizmet(ler)e yüklediği veriler gibi Müşteri adına saklanan verileri ifade eder (Hizmet Anlaşması'nda tanımlandığı gibi).

“Müşteri Verileri”, Hizmet Anlaşması'nda verilen anlamı taşır. Müşteri Verileri, bu DPA'de tanımlandığı gibi Müşteri Hesap Verileri, Müşteri Kullanım Verileri, Müşteri İçeriği ve Hassas Verileri içerir.

“Hassas Veriler”, ırksal veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya sendika üyeliğini ortaya koyan kişisel verileri ve genetik verilerin işlenmesi, bir gerçek kişiyi benzersiz bir şekilde tanımlamak amacıyla biyometrik veriler, sağlıkla ilgili veriler veya bir gerçek kişinin cinsel yaşamı veya cinsel yönelimi ile ilgili verileri ifade eder.

“Alt İşleyici”, (a) Constructor Technology, Constructor Technology'nin Müşteri İçeriği'ni işlediği ve Müşteri'nin bu Müşteri İçeriği'nin işleyeni olduğu durumlarda veya (b) Constructor Technology tarafından Müşteri'ye Hizmetleri sağlamak amacıyla Müşteri İçeriği'ni işlemek için görevlendirilen herhangi bir üçüncü taraf işleyeni ifade eder.

“Üçüncü Taraf Talebi”, bir veri sahibinden, düzenleyici otoriteden veya üçüncü bir taraftan gelen herhangi bir talep, yazışma, soruşturma veya şikayeti ifade eder.

“Constructor Technology Gizlilik Bildirimi”, Hizmetler için geçerli olan gizlilik bildirimini ifade eder, güncel versiyonu https://www.constructor.tech/privacy-policy. adresinde mevcuttur.

Diğer büyük harfle başlayan terimler, Hizmet Anlaşması'nda verilen anlamlara sahiptir.

Bu “Tanımlı Terimler” Bölümü, Ek VI (Yargı Yetkisine Özgü Şartlar) ile birlikte yorumlanacaktır.

2.1 İlişki

(a) Müşteri İçeriğinin İşleyicisi Olarak Constructor Technology: Müşteri ve Constructor Technology, Ek III'te listelenen Hizmetler kullanılarak üretilen Müşteri İçeriğinin işlenmesiyle ilgili olarak, Müşteri'nin ya Veri Sorumlusu ya da İşleyici olarak hareket edeceği ve Constructor Technology'nin İşleyici olarak hareket edeceği konusunda anlaşırlar. İşleyici olarak, Constructor Technology, Müşteri'nin Kişisel Verilerini yalnızca Hizmet Sözleşmesi'nde belirtilen amaçlar doğrultusunda ve/veya Müşteri'nin yazılı talimatlarına göre işleyecektir; Constructor Technology'nin tabi olduğu Uygulanabilir Hukuka göre Müşteri'nin kişisel verilerini başka amaçlarla işlemesi gerektiği durumlar hariç; böyle bir durumda, Constructor Technology, bu yasal gerekliliği işlemeye başlamadan önce Müşteri'ye bildirecektir, ancak bu yasa önemli kamu yararı gerekçeleriyle bu bilgilendirmeyi yasaklamıyorsa. Hizmet Sözleşmesi (bu DPA dahil) Müşteri tarafından verilen bu tür ilk yazılı talimatları oluşturur.

(b) Müşteri İçeriğinin Veri Sorumlusu Olarak Constructor Technology: Müşteri ve Constructor Technology, Ek III'te listelenen Hizmetler kullanılarak üretilen Müşteri İçeriğinin işlenmesiyle ilgili olarak, Constructor Technology'nin Müşteri İçeriğinin bağımsız bir Veri Sorumlusu olduğu konusunda anlaşırlar. Constructor Technology, Müşteri İçeriğini bağımsız bir Veri Sorumlusu olarak, deneyiminizi ve hizmetlerimizi geliştirmek için veri etiketleme ve makine öğrenimi gibi amaçlarla, teknik sorunları çözmek, yardım taleplerine yanıt vermek, hata/çökme bilgilerini analiz etmek, sorun gidermek ve hizmetin entegrasyon ve iyileştirme alanlarını belirlemek, şüpheli veya sahtekar faaliyetleri izlemek ve kullanım şartları veya anlaşmaların ihlallerini tespit etmek için işleyecektir. Bağımsız bir Veri Sorumlusu olarak, Constructor Technology, işleme amaçlarını ve araçlarını yalnızca kendisi belirleyecektir.

(с) Müşteri Hesap Verilerinin Veri Sorumlusu Olarak Constructor Technology: Müşteri ve Constructor Technology, Müşteri Hesap Verilerinin işlenmesiyle ilgili olarak, Müşteri'nin bir Veri Sorumlusu ve Constructor Technology'nin bağımsız bir Veri Sorumlusu olduğunu, Müşteri ile Ortak Veri Sorumlusu olmadığını kabul ederler. Constructor Technology, Müşteri Hesap Verilerini bir Veri Sorumlusu olarak (i) Müşteri ile ilişkiyi yönetmek; (ii) Constructor Technology'nin muhasebe ve vergi beyanı gibi temel iş operasyonlarını yürütmek; (iii) güvenlik olaylarını, dolandırıcılığı ve Hizmetlerin diğer kötüye kullanımını tespit etmek, önlemek ve/veya araştırmak; (iv) kimlik doğrulaması yapmak; (v) Abone Kayıtlarını saklama yükümlülüğüne uymak; ve (vi) Uygulanabilir Veri Koruma Yasası kapsamında ve bu DPA, Hizmet Sözleşmesi ve Constructor Technology Gizlilik Bildirimi'ne uygun olarak izin verilen diğer durumlar için işleyecektir.

(d) Müşteri Kullanım Verilerinin Veri Sorumlusu Olarak Constructor Technology: Taraflar, Müşteri Kullanım Verilerinin işlenmesiyle ilgili olarak, Müşteri'nin ya Veri Sorumlusu ya da İşleyici olarak hareket edeceğini ve Constructor Technology'nin bağımsız bir Veri Sorumlusu olarak hareket edeceğini, Müşteri ile Ortak Veri Sorumlusu olmadığını kabul ederler. Constructor Technology, Müşteri Kullanım Verilerini bir Veri Sorumlusu olarak, bir hizmet sağlayıcı olarak gerekli işlevleri yerine getirmek amacıyla işleyecektir, örneğin: (a) Constructor Technology'nin muhasebe, vergi, faturalama, denetim ve uyum amaçları; (b) Hizmetleri, platformu ve güvenliği sağlamak, optimize etmek ve sürdürmek; (с) dolandırıcılığı, yanlış veya yasa dışı hizmet kullanımını araştırmak; (d) uygulanabilir yasa gereği; veya (e) Uygulanabilir Veri Koruma Yasası kapsamında ve bu DPA, Hizmet Sözleşmesi ve Constructor Technology Gizlilik Bildirimi'ne uygun olarak izin verilen diğer durumlar için.

2.2. Amaç Sınırlaması

(a) Constructor Technology, Hizmet Sözleşmesi'ne uygun olarak Hizmetleri sağlamak amacıyla kişisel verileri işleyecektir. Bu DPA'nın Ek I'i (Kişisel Veri İşlemenin Detayları), işlemenin doğasını ve amacını, işleme faaliyetlerini, işlemenin süresini, kişisel veri türlerini ve veri konusu kategorilerini daha ayrıntılı olarak belirtir.

(b) Müşteri, Constructor Technology'yi, Müşteri İçeriğini Müşteri adına ve Müşteri'nin talimatlarına uygun olarak işlemek üzere bir İşleyici olarak atar (a) Hizmet Sözleşmesi'nde, bu DPA'da belirtilen ve Müşteri'ye Hizmetleri sağlamak için gerekli olan diğer durumlar, güvenlik olaylarını araştırmak ve sahtekar faaliyetleri ve Constructor Technology Gizlilik Bildirimi'nin ihlallerini önlemek, mevcut sürümü https://www.constructor.tech/privacy-policy adresinde bulunan ve hizmet istismarlarını veya kötüye kullanımlarını tespit etmek ve önlemek; (b) Uygulanabilir Yasalar, Uygulanabilir Veri Koruma Yasası dahil olmak üzere uyum sağlamak için gerekli olan durumlar; ve (с) Müşteri ve Constructor Technology arasında yazılı olarak başka şekilde kararlaştırılan durumlar (bundan böyle "İzin Verilen Amaçlar" olarak anılacaktır).

2.3. Tarafların Yükümlülükleri ve Hakları

(a) Müşteri, Hizmet Sözleşmesi'nin süresi boyunca sürekli olarak, Hizmet Sözleşmesi uyarınca Constructor Technology'ye işlenmek üzere sağlanan veya sunulan tüm Kişisel Verilerin Müşteri tarafından yasal olarak toplandığını ve Constructor Technology'ye Veri Koruma Yasalarına uygun olarak aktarıldığını garanti eder ve beyan eder. Bu DPA'nın süresi boyunca, Müşteri, Constructor Technology'nin Hizmet Sözleşmesi ve DPA uyarınca Kişisel Verileri işlemesini sağlamak ve bu DPA kapsamındaki haklarını kullanmak ve yükümlülüklerini yerine getirmek için her bir Veri Konusundan gerekli tüm onayları, izinleri, yetkilendirmeleri ve lisansları almak ve sürdürmekten yalnızca sorumludur.

(b) Müşteri, 2.2. Amaç Sınırlaması bölümüne göre talimatlarının Uygulanabilir Veri Koruma Yasası'na uygun olmasını sağlayacaktır. Müşteri, Constructor Technology'nin Müşteri'nin işine hangi yasaların veya düzenlemelerin uygulanacağını belirlemekten veya Constructor Technology'nin Hizmetleri sağlamasının bu tür yasaların veya düzenlemelerin gerekliliklerini karşılayıp karşılamayacağından sorumlu olmadığını kabul eder. Müşteri, Constructor Technology'nin Müşteri'nin talimatlarına uygun olarak Müşteri İçeriğini işlemesinin, Constructor Technology'nin herhangi bir Uygulanabilir Yasayı veya düzenlemeyi, Uygulanabilir Veri Koruma Yasası dahil, ihlal etmesine neden olmayacağını sağlayacaktır.

(с) Uygulanabilir Yasa tarafından kısıtlanmadıkça, Constructor Technology, Hizmet Sözleşmesi uyarınca herhangi bir işleme veya Müşteri'nin Kişisel Verilerin işlenmesiyle ilgili olarak Hizmet Sözleşmesi ve/veya Müşteri'nin yazılı talimatlarına göre verdiği bir talimatın Constructor Technology'nin yasal yükümlülükleri veya Uygulanabilir Yasa ile çeliştiği görüşündeyse, Müşteri'yi bilgilendirecektir. Müşteri'yi bilgilendirdikten sonra, Constructor Technology, yasal yükümlülüklerine ve Uygulanabilir Yasa'ya uygun olarak bu DPA kapsamındaki Kişisel Verilerin işlenmesini durduracaktır. Bu durumda, Constructor Technology ve Müşteri, Uygulanabilir Yasa'ya uygun olarak bu DPA'nın şartlarıyla birlikte okunan Hizmet Sözleşmesi'nin şartlarına dayalı olarak bir çözüm üzerinde karşılıklı olarak anlaşacaklardır.

(d) Constructor Technology, tüm Kişisel Verileri gizli olarak ele alacak ve Constructor Technology tarafından Kişisel Verileri işlemek üzere yetkilendirilmiş tüm çalışanların, ajanların ve Alt İşleyicilerin, Hizmet Sözleşmesi'nin süresini aşacak şekilde gizlilik yükümlülüklerine tabi olmasını sağlayacaktır.

(e) Constructor Technology, Müşteri'nin Veri Koruma Yasaları uyarınca gerçekleştirmesi gereken Veri Koruma Etki Değerlendirmeleri veya veri koruma otoriteleriyle önceden yapılan danışmalar konusunda Müşteri'ye makul bir yardım sağlayacaktır. Bu tür bir yardım, Taraflar arasında kararlaştırıldığı şekilde olacak ve karşılıklı kabul edilen bir ücrete tabi olabilir.

(f) Constructor Technology, Kişisel Verilerin işlenmesiyle ilgili olarak uygun bir güvenlik seviyesini sağlamak amacıyla uygun teknik ve organizasyonel önlemleri uygulayacaktır, bu önlemler, Kişisel Verilerin işlenmesinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve dayanıklılığını sağlama yeteneği ve Kişisel Verilerin işlenmesinin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve değerlendirme prosedürünü içerebilir. Her iki Taraf da, https://constructor.tech/technical-organizational-measures adresinde bulunan güvenlik önlemlerinin, Hizmet Sözleşmesi uyarınca Kişisel Verilerin işlenmesi için Uygulanabilir Yasa'ya göre uygun ve yeterli korumalar sağladığını kabul eder ve onaylar. Constructor Technology, bu güvenlik önlemlerini güncelleyebilir ve her durumda Uygulanabilir Yasa'ya göre uygun ve yeterli bir güvenlik seviyesi sağlayacak ve Müşteri'ye önemli değişiklikler hakkında bilgi verecektir.

(g) Constructor Technology, bu DPA kapsamında iletilen, depolanan veya başka bir şekilde işlenen Kişisel Verilerle ilgili bir Veri İhlali'nin meydana geldiğini makul bir kesinlikle öğrendikten sonra, Constructor Technology, Müşteri'ye Veri İhlali'ni, Constructor Technology tarafından Müşteri'nin iletişim bilgileri olarak saklanan kayıtlarda belirtildiği şekilde, gereksiz gecikme olmaksızın bildirecektir. Constructor Technology, Müşteri'nin Veri İhlali ile ilgili olarak Uygulanabilir Yasa kapsamındaki yükümlülüklerini yerine getirmesi için makul olarak talep edebileceği bilgileri sağlayacak ve Veri İhlali'ni sınırlamak ve düzeltmek için makul adımlar atacaktır. Constructor Technology, bu bilgileri mevcut oldukça aşamalı olarak sağlayabilir. Şüpheye mahal vermemek için, Constructor Technology tarafından yapılan Veri İhlali bildirimi, Constructor Technology'nin hata veya sorumluluğunu kabul ettiği veya üstlendiği şeklinde yorumlanmamalıdır.

(h) Constructor Technology, bu DPA kapsamında Kişisel Verilerin işlenmesiyle ilgili herhangi bir şikayet, bildirim veya iletişim aldığında Müşteri'yi derhal bilgilendirecektir. Müşteri'nin talebi ve masrafları karşılığında, Constructor Technology, Müşteri'nin Üçüncü Taraflardan gelen taleplerle ilgili olarak Uygulanabilir Yasa kapsamındaki yükümlülüklerini yerine getirmesi için gerekli olan makul işbirliği ve yardımı sağlayacaktır. Constructor Technology, Müşteri'nin önceden onayı olmadan herhangi bir Üçüncü Taraf Talebine yanıt vermeyecek, yasal olarak bunu yapmak zorunda olmadıkça veya bu tür bir Üçüncü Taraf Talebinin Müşteri ile ilgili olduğunu doğrulamak için yanıt vermeyecektir.

(i) Müşteri, yetkili bir veri koruma otoritesinden bir denetim veya soruşturmaya tabi olduğu ölçüde, Constructor Technology, gerektiğinde, bilgi taleplerine yanıt verecek ve/veya tesislerini ve operasyonlarını denetimlere, Müşteri ve/veya yetkili veri koruma düzenleyicisi tarafından yapılacak denetimlere, her durumda bu DPA'ya uyumunu kanıtlamak amacıyla açacaktır, ancak:

• Müşteri, herhangi bir bilgi talebi, denetim veya inceleme ile bağlantılı olarak elde edilen veya üretilen tüm bilgilerin Uygulanabilir Yasa'ya uygun olarak kesinlikle gizli tutulmasını sağlayacaktır;
• Müşteri, herhangi bir bilgi talebi, denetim veya incelemenin normal iş saatleri içinde (yetkili bir veri koruma otoritesi tarafından başka bir zaman zorunlu kılınmadıkça) ve Constructor Technology'nin işine en az kesintiyle gerçekleştirilmesini sağlayacaktır.
• Böyle bir bilgi talebi, denetim veya inceleme, Constructor Technology'nin gizli şirket bilgileri veya Constructor Technology'nin diğer müşterileriyle ilgili bilgileri sağlamasını veya erişim izni vermesini zorunlu kılmayacaktır;
• Constructor Technology ile ilgili bir talep, denetim veya inceleme durumunda, Müşteri, Constructor Technology'nin veri ve tesislerinin güvenliğini ve gizliliğini korumak amacıyla Constructor Technology'nin makul politikalarına, prosedürlerine veya talimatlarına tabi olacaktır;
• Müşteri, bir bilgi talebi ve/veya denetim veya inceleme için Constructor Technology'ye en az 30 gün önceden yazılı bildirimde bulunacaktır, ancak yetkili veri koruma düzenleyicisi Müşteri'ye 30 günden az bir bildirim süresi verirse, Müşteri, Constructor Technology'yi derhal ve gereksiz gecikme olmaksızın bilgilendirecektir.
• Herhangi bir bilgi talebi, denetim veya inceleme, Constructor Technology'nin Alt İşleyicilerinin sağladığı sistemlerle veya tesislerinde ilgiliyse, bu tür bilgi talebi, denetim ve/veya incelemenin kapsamı, Constructor Technology ile ilgili Alt İşleyici arasında yürürlükte olan ilgili anlaşma kapsamında izin verilen ölçüde olacaktır.
• Müşteri, herhangi bir on iki (12) aylık dönemde en fazla bir bilgi talebi, denetim ve/veya inceleme talep edebilir, ancak yetkili bir veri koruma otoritesi tarafından yazılı olarak ek bir bilgi talebi, denetim ve/veya inceleme zorunlu kılınmadıkça.
• Müşteri, tüm bilgi talebi, denetim ve/veya inceleme masraflarını karşılayacak ve Constructor Technology'nin talep, denetim ve/veya inceleme desteğiyle ilgili olarak katlandığı tüm masrafları tazmin edecektir.
• Müşteri, DPIA veya denetimi gerçekleştirmek için üçüncü tarafları görevlendirdiğinde, Müşteri, DPIA veya denetimi gerçekleştirmek için nitelikli, Constructor Technology ile rekabet etmeyen ve Veri Alt İşleyicisinin gizli verileriyle ilgili olarak gizliliğe yasal olarak bağlı olan üçüncü tarafları seçer.

(j) Hizmet Sözleşmesi'nin süresi dolduğunda veya daha önce sona erdiğinde veya Müşteri'nin yazılı talebi üzerine, Constructor Technology, Constructor Technology'nin elinde bulunan tüm Müşteri Kişisel Verilerini silecektir, ancak Constructor Technology, Uygulanabilir Yasa kapsamındaki yükümlülüklerini yerine getirmek için Müşteri Kişisel Verilerini saklamak zorunda değilse. Constructor Technology, Hizmet Sözleşmesi'nin süresi dolduğunda veya daha önce sona erdiğinde veya Müşteri'nin yazılı talebi üzerine, elinde bulunan tüm Müşteri Kişisel Verilerini silme yükümlülüğünü ilgili tüm Alt İşleyicilere bildirecektir. Alt İşleyiciler, bu tür Alt İşleyiciler ve Constructor Technology arasında sonuçlandırılan DPA'nın 3. BÖLÜMÜ'nde belirtilen yükümlülüklerine göre tüm Müşteri Kişisel Verilerini silmekle yükümlü olacaktır.

(k) Bu DPA ve Uygulanabilir Veri Koruma Yasası'nın gerekliliklerine tabi olarak, Constructor Technology, Hizmet Sözleşmesi kapsamındaki işleme yükümlülüklerini yerine getirmek için gerekli araçların seçimi ve kullanımı konusunda kendi takdirini kullanacaktır.

2.4. Ek Talimatlar

Hizmet Sözleşmesi veya bu DPA kapsamı dışındaki ek talimatlar, Müşteri ve Constructor Technology arasında yazılı olarak kararlaştırılacak ve bu tür ek talimatların yerine getirilmesi için Müşteri tarafından Constructor Technology'ye ödenmesi gereken ek ücretler dahil olabilir.

(a) Müşteri, bu DPA'nın Yürürlük Tarihi itibarıyla Ek IV'te belirtilen Alt İşlemcileri atamak için Constructor Technology'ye genel yetki verir. Constructor Technology, bu DPA'da belirtilen veri koruma yükümlülüklerinin Alt İşlemcilerine sözleşme yoluyla yüklenmesini sağlayacaktır, özellikle de işleme faaliyetinin Geçerli Yasalara uygun olmasını sağlamak için uygun teknik ve organizasyonel önlemleri uygulamak adına yeterli garantiler sunacaktır.

(b) Constructor Technology, Müşteri'ye, Constructor Technology Alt İşlemci Listesi'nde yapılan herhangi bir değişikliği, Müşteri'nin Constructor Technology'de saklanan iletişim bilgilerini kullanarak bir bildirim göndererek bildirecektir. Müşteri, Geçerli Yasalara göre meşru bir nedeni olması koşuluyla, bildirim tarihinden itibaren en geç on beş (15) gün içinde e-posta yoluyla bu tür bir değişikliğe itiraz edebilir. Taraflar, Müşteri'nin itirazına makul bir çözüm üzerinde karşılıklı olarak anlaşamazlarsa, Taraflardan herhangi biri diğer Tarafa yazılı bildirimde bulunarak Hizmet Sözleşmesini feshedebilir.

(с) Müşteri, Constructor Technology'ye, işleme sırasında belirli kısıtlamalar ve ek güvenceler gerektiren hassas verilerin beklenen işlenmesi hakkında önceden yazılı olarak bilgi verecektir.

(d) Müşteri, Constructor Technology'nin bir Alt İşlemci atamasına veya değiştirmesine, bu itirazın yazılı olması ve Geçerli Yasalara göre makul gerekçelere dayanması koşuluyla itiraz edebilir. Böyle bir durumda, Müşteri ve Constructor Technology, ticari olarak makul alternatif çözümleri iyi niyetle tartışmayı kabul eder. Müşteri ve Constructor Technology, Constructor Technology'nin Müşteri'nin yazılı itirazını aldığı tarihten itibaren doksan (90) gün içinde bir çözüm bulamazlarsa, Müşteri, etkilenen Hizmetlerin kullanımını Constructor Technology'ye yazılı bildirimde bulunarak durdurabilir. Bu durdurma, Müşteri'nin etkilenen Hizmetlerin durdurulmasından önceki dönemde oluşan ücretlere halel getirmeyecektir. Constructor Technology'nin yeni bir Alt İşlemci atamasına veya değiştirmesine karşı bir itirazda bulunulmadıysa, Constructor Technology, Müşteri'nin yeni Alt İşlemciyi yetkilendirdiğini kabul edecektir.

Constructor Technology, Hizmetler aracılığıyla Müşteriye, Müşteri İçeriğini silme, bir kopyasını alma veya kullanımını kısıtlama yeteneği de dahil olmak üzere bir dizi özellik sunar. Müşteri, Hizmetler aracılığıyla veri sahiplerinden gelen Üçüncü Taraf Taleplerine yanıt verme konusunda Geçerli Hukuk kapsamındaki yükümlülüklerine uymak için bu özellikleri ek bir maliyet olmaksızın kullanabilir. Müşterinin talebi üzerine, Constructor Technology, Müşteriye, Hizmetler aracılığıyla sunulan özellikler aracılığıyla bir veri sahibinden gelen Üçüncü Taraf Talebini çözme yeteneğine sahip olmadığı ölçüde, Geçerli Hukuk kapsamındaki veri sahibi haklarıyla ilgili veri koruma yükümlülüklerine uymasında makul ek ve zamanında yardım sağlayacaktır.

Uygulanabilir Hukuk sorumluluğu yönetecektir.

(a) Constructor Technology'nin, bu DPA'nın Ek VI'sında (Yargı Yetkisine Özgü Şartlar) listelenen yargı bölgelerinden birinde geçerli Veri Koruma Yasası tarafından korunan ve bu yasadan kaynaklanan kişisel verileri işlemesi ölçüsünde, ilgili yargı bölgesiyle ilgili olarak Ek VI'da belirtilen şartlar, bu DPA'nın şartlarına ek olarak uygulanır.

(b) Müşterinin Hizmetleri kullanımı, kişisel verilerin bir yargı bölgesinden (yani, Avrupa Ekonomik Alanı, İsviçre veya bu DPA'nın Ek VI'sında (Yargı Yetkisine Özgü Şartlar) listelenen herhangi bir yargı bölgesi) Constructor Technology'ye, bu yargı bölgesi dışında bulunan bir yere yasal olarak aktarılması için bir ileriye aktarım mekanizması gerektiriyorsa, bu DPA'nın Ek V'sinde (Sınır Ötesi Aktarım Mekanizmaları) belirtilen şartlar uygulanacaktır.

(a) Aşağıdaki belgeler arasında herhangi bir çelişki veya tutarsızlık durumunda, öncelik sırası şu şekilde olacaktır: (1) Bu DPA'nın Ek VI'sinde (Yargı Alanına Özgü Şartlar) belirtilen geçerli şartlar; (2) Ek VI (Yargı Alanına Özgü Şartlar) dışındaki bu DPA'nın şartları; (3) Hizmet Sözleşmesi; ve (4) Constructor Technology Gizlilik Bildirimi (https://constructor.tech/privacy-policy). Bu DPA ile bağlantılı olarak getirilen herhangi bir iddia, Hizmet Sözleşmesinde belirtilen şartlar ve koşullara, sınırlamalar ve istisnalar dahil olmak üzere tabi olacaktır.

(b) Constructor Technology, bu DPA'nın şartlarını zaman zaman güncelleyebilir; ancak, Constructor Technology, (a) Geçerli Veri Koruma Yasasındaki değişiklikler; (b) bir birleşme, devralma veya benzeri başka bir işlem; veya (c) yeni ürün veya hizmetlerin piyasaya sürülmesi veya mevcut Hizmetlerdeki önemli değişiklikler sonucunda bir güncelleme gerektiğinde, Müşteriye en az otuz (30) gün önceden yazılı bildirimde bulunacaktır.

(c) İngilizce, başka bir dile çevrilmiş karşılıklarının var olma olasılığına bakılmaksızın, yetkili metin olarak kullanılacaktır.

(d) Her Taraf, bu DPA'nın veya kişisel veri koruma ile ilgili Geçerli Yasaların herhangi bir ihlali nedeniyle diğer Tarafa verdiği zararlardan diğer Tarafa karşı sorumlu olacaktır.

(e) Bu DPA ile değiştirilenler dışında, Hizmet Sözleşmesinin şartları tam olarak yürürlükte kalacaktır. Bu DPA kapsamında ortaya çıkan herhangi bir iddia, Hizmet Sözleşmesinin istisnalarına, sınırlamalarına ve diğer şartlarına tabi olacaktır. Hizmet Sözleşmesi ve bu DPA çelişirse, bu DPA, ancak yalnızca Kişisel Verilerin işlenmesiyle ilgili şartlar açısından geçerli olacaktır. Bu DPA, Hizmet Sözleşmesinin sona ermesi veya daha önceki herhangi bir feshi ya da Constructor Technology'nin artık Kişisel Veri işlememesi durumunda, hangisi daha önce gerçekleşirse, sona erecektir.

1. İşlemenin Doğası ve Amacı

Constructor Technology, bu DPA'nın 2.1 İlişki Bölümüne göre Kontrolör veya İşleyici olarak hareket ederek Ek III'te detaylandırıldığı gibi Hizmet Sözleşmesi kapsamında Hizmetleri sağlamak için gerekli olduğu ölçüde Kişisel Verileri işleyecektir.

2. İşleme faaliyetleri

Müşteri İçeriği, Müşteri Hesap Verileri ve Müşteri Kullanım Verileri, Constructor Technology tarafından Müşteriye özelleştirilebilir hizmetler sağlamak amacıyla toplanacak, saklanacak ve kullanılacaktır:

• Müşteri, öğrenme ve araştırma ile ilgili özelleştirilebilir hizmetler alacaktır.
• Müşteriye, web tabanlı uygulamalara ve altyapıya erişim ve eşzamanlı veri paylaşımını kolaylaştıran hizmetlere erişim sağlanacaktır.
• Müşteri, seçilen Hizmete göre Kişisel Veriler ve/veya öğrenenlerin katılımı, bireysel gelişimleri, test ve sınav sonuçları ile kurslara katılım ve ilgi analizi hakkında toplu veriler içeren analitik raporlar alacaktır.
• Müşteri, veri konularından toplanan davranışsal ve çevresel verilerin bir dizi beklentiye karşı analizi ve değerlendirmesini alacak ve bu, okuma, yazma, matematik becerileri veya bir sınav sırasında elde edilen bir puan gibi belirli bir konuda kişisel gelişim değerlendirmesine yol açacaktır.

Müşteri, seçilen Hizmete göre son kullanıcılar veya araştırma projesi üyeleri gibi diğer katılımcılarla ilgili verilerini entegre etme, yönetme ve kontrol etme konusunda tek başına karar verir.

3. İşlemenin Süresi

Kişisel verilerin saklanacağı süre ve bu süreyi belirlemek için kullanılan kriterler aşağıdaki gibidir:

3.1. Müşteri içeriği

Hizmet Sözleşmesinin sona ermesinden önce, Constructor Technology, Müşteri İçeriğini, Müşterinin Hizmetler aracılığıyla bu Müşteri İçeriğini silmeyi seçene kadar 2.2. Amaç Sınırlaması uyarınca İzin Verilen Amaçlar için işleyecektir. Müşteri, Hizmetler aracılığıyla Müşteri İçeriğini silmekten yalnızca kendisinin sorumlu olduğunu kabul eder.

Hizmet Sözleşmesinin sona ermesinden sonra, Müşterinin seçimine bağlı olarak, Constructor Technology, işleme ile ilgili hizmetlerin sona ermesinden sonra tüm kişisel verileri Müşteriye silecek veya iade edecek ve geçerli yasa Kişisel Verilerin saklanmasını gerektirmedikçe mevcut kopyaları silecektir.

3.2. Müşteri Hesap Verileri

Constructor Technology, Müşteri Hesap Verilerini aşağıdaki durumlarda gerektiği sürece işleyecektir,

(a) Müşteriye Hizmetleri sağlamak için;

(b) Constructor Technology'nin meşru iş ihtiyaçları için; veya,

(с) geçerli yasa veya düzenleme tarafından.

3.3. Müşteri Kullanım Verileri

Hizmet Sözleşmesinin sona ermesinden sonra, Constructor Technology, bu DPA'nın 2.1 İlişki bölümünde belirtilen amaçlar doğrultusunda Müşteri Kullanım Verilerini saklayabilir, kullanabilir ve açıklayabilir, Hizmet Sözleşmesinde belirtilen gizlilik yükümlülüklerine tabi olarak. Constructor Technology, bu DPA'nın 2.1 İlişki bölümünde belirtilen amaçlar için artık gerekmediğinde Müşteri Kullanım Verilerini anonimleştirecek veya silecektir.

4. Veri Konularının Kategorileri

4.1. Müşteri İçeriği

• Müşterinin son kullanıcıları;
• Constructor Technology'nin izin verilen kullanıcıları.

4.2. Müşteri Hesap Verileri

• Müşterinin çalışanları;
• Müşterinin Constructor Technology hesabına erişim izni verilen bireyler;

• Constructor Technology'nin izin verilen kullanıcıları.

   

4.3. Müşteri Kullanım Verileri

• Müşterinin son kullanıcıları;

• Constructor Technology'nin izin verilen kullanıcıları.

   

5. Kişisel Veri Kategorileri

Müşterinin çalışanlarının kişisel verileri: Constructor Technology'nin kayıtlarında saklanan ad, adres, iletişim verileri.

Müşterinin son kullanıcıları ve İzin verilen kullanıcıların kişisel verileri:

Dijital profil: kullanıcı kimliği, kullanıcı adı, şifre, profil fotoğrafı, iletişim bilgileri (e-posta adresi, ad, soyad, telefon numaraları), eğitim içeriği, e-posta yanıtları ve cevapları, cihaz spesifik ve işletim sistemi verileri;

Hizmet(ler)in kullanımından elde edilen veriler: IP adresi, denetim günlükleri, tarayıcı türü ve dili, saat dilimleri, talebinizin tarihi ve saati ve yönlendirme URL'leri, çerezler, ayar tercihleri, puanlar, performans sonuçları, öğrenme sonuçları, başarılar, sertifikalar, kayıtlı ve geçen kurslar, yapılandırma verileri, eğitim geçmişi, kimlik kanıtı (kimlik kartı, pasaport), fotoğrafik ve video görüntüleme, göz takibi, eğitim rotası, kurs konu haritalama, hizmetle etkileşim günlükleri, karar verme verileri, yapılandırma verileri.

6. Özel Veri Kategorileri

Özel Veri Kategorileri, zaman zaman, Müşteri veya son kullanıcılarının Hizmetleri kullanarak ilettiği sağlık verileri veya biyometrik tanımlama verileri gibi Özel Veri Kategorilerini içermeyi seçtiği durumlarda Hizmetler aracılığıyla işlenebilir. Müşteri, herhangi bir Hassas Veriyi Hizmetler aracılığıyla iletmeden veya işlemeye başlamadan önce uygun önlemlerin alındığından emin olmaktan sorumludur. Müşteri, özel veri kategorilerini işlemeye başlamadan önce kullanıcılardan açık rıza toplamaktan sorumludur.

Constructor Technology, Hizmet Sözleşmesi uyarınca işlenen Kişisel Verilerin güvenliğini, gizliliğini ve bütünlüğünü sağlamak için uygun ve yeterli teknik ve organizasyonel önlemleri sürdürecektir. Daha fazla bilgi için https://constructor.tech/technical-organizational-measures adresine bakınız.

Constructor Technology AG, tüm Alt İşleyicilerden yukarıda belirtilenlere en az eşdeğer ve her durumda daha az koruyucu olmayan teknik ve organizasyonel önlemleri uygulamalarını sözleşmesel olarak talep etmektedir.

1. Hizmetlerin Tanımı

2. Hizmetlere Dayalı İlişki

Hizmete bağlı olarak, Constructor Technology ile Müşteri arasındaki ilişki, bu DPA'nın 2.1 Maddesi altında tanımlanan rollere göre bölünebilir. Constructor Technology'nin her veri işleme faaliyeti için rolü, bu bağlantı üzerinden yayınlanan veri işleme envanterinde listelenmiştir.

Bu DPA'nın Bölüm 3. ALT İŞLEMCİLER'e göre, bu DPA'nın yürürlük tarihi itibarıyla Müşteri, Constructor Technology AG'ye

• https://constructor.tech/subprocessors adresinde listelenen Alt-işlemcilere ve
• Aşağıda listelenen Constructor Technology Grubu'na ait Alt-işlemcilere

Constructor Technology adına Kişisel Verileri işleme yetkisi verir:

1. Tanımlar

• “AEA” Avrupa Ekonomik Alanı anlamına gelir
• “AB Standart Sözleşme Maddeleri” Avrupa Komisyonu tarafından 2021/914[1] kararında onaylanan Standart Sözleşme Maddeleri anlamına gelir.
• “Birleşik Krallık Uluslararası Veri Transferi Ek Sözleşmesi” 21 Mart 2022 tarihinde yürürlüğe giren, Birleşik Krallık Bilgi Komiseri tarafından yayımlanan AB Komisyonu Standart Sözleşme Maddelerine ek Uluslararası Veri Transferi Ek Sözleşmesi anlamına gelir.
• “AB-ABD Yeterlilik Kararı” 2023 yılında Avrupa Komisyonu tarafından Veri Gizliliği Çerçevesi kapsamında AB-ABD arasında kişisel verilerin transferine ilişkin kabul edilen yeterlilik kararı anlamına gelir.
• "Veri Gizliliği İlkeleri" Veri Gizliliği Çerçevesi ilkeleri (Ek İlkeler ile desteklenmiş olarak) anlamına gelir.

2. Sınır Ötesi Veri Transfer Mekanizmaları

2.1. Öncelik Sırası. Hizmetler birden fazla Transfer Mekanizması ile kapsanıyorsa, Kişisel Verilerin transferi, geçerli olan bir veya daha fazla Transfer Mekanizmasına tabi olacak ve aşağıdaki öncelik sırasına göre yapılacaktır: (a) Avrupa Komisyonu tarafından verilen bir yeterlilik kararı, detaylar burada[2] (b) bu Ek V'nin 2.3 AB Standart Sözleşme Maddeleri Bölümünde belirtilen AB Standart Sözleşme Maddeleri; (с) İsviçre veri koruma yasası uyarınca değiştirilmiş ve uygulanabilir AB Standart Sözleşme Maddeleri (d) bu Ek V'nin 2.10 Bölümünde belirtilen Birleşik Krallık Uluslararası Veri Transferi Ek Sözleşmesi; ve, eğer (a), (b), (с), (d) geçerli değilse, o zaman (e) Geçerli Veri Koruma Yasası kapsamında izin verilen diğer geçerli veri Transfer Mekanizmaları.

2.2. AB-ABD Yeterlilik Kararı: Müşteri Amerika Birleşik Devletleri'nde bulunuyorsa ve Veri Gizliliği Çerçevesi altında kendi kendine sertifikalandırılmışsa, Constructor Technology ayrıca (i) herhangi bir kişisel veriye Veri Gizliliği İlkeleri tarafından gerektirdiği kadar en az aynı düzeyde koruma sağlamayı kabul eder; (ii) yazılı bildirim üzerine, kişisel verilerin yetkisiz işlenmesini durdurmak ve düzeltmek için Müşteri ile makul ve uygun adımlar atmayı kabul eder. Aynı durum, Veri Gizliliği Çerçevesi altında sertifikalandırılmış Alt İşleyiciler için de geçerli olacaktır. Müşteri, Veri Gizliliği Çerçevesi'ne kendi kendine sertifikalandırmasının geri çekilmesi, sona erdirilmesi, iptal edilmesi veya başka bir şekilde geçersiz hale gelmesi durumunda, Constructor Technology'yi yazılı olarak, gereksiz gecikme olmaksızın bilgilendirmeyi kabul eder (bu durumda, alternatif bir Transfer Mekanizması, bu Ek V'nin 2.1 Öncelik Sırası Bölümündeki öncelik sırasına göre uygulanacaktır).

2.3. AB Standart Sözleşme Maddeleri. AB Standart Sözleşme Maddeleri[3], Hizmet Anlaşması ve bu DPA'ya göre Hizmetlerin sağlanması amacıyla AEA ve/veya İsviçre'den, doğrudan veya ileriye doğru transfer yoluyla, AEA ve/veya İsviçre dışında, Kişisel Verilerin yeterli düzeyde koruma sağlamadığı kabul edilen herhangi bir ülkeye veya alıcıya transfer edilen Kişisel Verilere uygulanacaktır. AB Standart Sözleşme Maddelerine tabi olan veri transferleri için, AB Standart Sözleşme Maddeleri, bu DPA'nın 2.1 Bölümüne göre geçerli olduğu şekilde bu DPA'ya referansla dahil edilmiş ve tamamlanmış olarak kabul edilecektir.

2.4. Her Modül için, uygulanabilir olduğunda:

• AB Standart Sözleşme Maddelerinin 7. Maddesinde, isteğe bağlı yanaşma maddesi uygulanmayacaktır;
• AB Standart Sözleşme Maddelerinin 9. Maddesinde, Seçenek 2 uygulanacak ve alt işleyici değişiklikleri için önceden yazılı bildirim süresi, ALT İŞLEYİCİLER Bölümünde belirtildiği gibi olacaktır;
• AB Standart Sözleşme Maddelerinin 11. Maddesinde, isteğe bağlı dil uygulanmayacaktır;
• 17. Madde (Seçenek 1) kapsamında, AB Standart Sözleşme Maddeleri İsviçre yasalarına tabi olacaktır;
• AB Standart Sözleşme Maddelerinin 18(b) Maddesinde, anlaşmazlıklar İsviçre mahkemelerinde çözülecektir;
• AB Standart Sözleşme Maddelerinin Ek I, Bölüm A'sında;

2.5. Veri İhracatçısı: Müşteri

2.6. İletişim bilgileri: Müşterinin bildirim tercihleri aracılığıyla Müşteri hesabında belirttiği e-posta adres(ler)i.

2.7. Veri İhracatçısı Rolü: Veri İhracatçısının rolü, bu DPA'nın 2.1 İlişki Bölümünde belirtilmiştir.

2.8. İmza ve Tarih: Hizmet Anlaşmasına girilmesiyle, Veri İhracatçısı, bu AB Standart Sözleşme Maddelerini, Ekleri dahil olmak üzere, Hizmet Anlaşmasının yürürlük tarihi itibarıyla imzalamış kabul edilir.

2.9. Veri İthalatçısı: Constructor Technology

• İletişim bilgileri: Constructor Technology Gizlilik Ekibi - privacy@constructor.tech
• Veri İthalatçısı Rolü: Veri İthalatçısının rolü, bu DPA'nın 2.1 İlişki Bölümünde belirtilmiştir.
• İmza ve Tarih: Hizmet Anlaşmasına girilmesiyle, Veri İthalatçısı, bu AB Standart Sözleşme Maddelerini, Ekleri dahil olmak üzere, Hizmet Anlaşmasının yürürlük tarihi itibarıyla imzalamış kabul edilir;
• (vii) AB Standart Sözleşme Maddelerinin Ek I, Bölüm B'sinde:
• Veri konularının kategorileri, bu DPA'nın Ek I, Bölüm 4'ünde (GDPR Madde 28(3) uyarınca Kişisel Veri İşleme Detayları) belirtilmiştir.
• Aktarılan özel veri kategorileri, bu DPA'nın Ek I, Bölüm 6'sında (GDPR Madde 28(3) uyarınca Kişisel Veri İşleme Detayları) belirtilmiştir.
• Transfer sıklığı, Hizmet Anlaşmasının süresi boyunca sürekli bir temeldir.
• İşlemenin doğası, bu DPA'nın Ek I, Bölüm 1'inde (GDPR Madde 28(3) uyarınca Kişisel Veri İşleme Detayları) belirtilmiştir.
• İşlemenin amacı, bu DPA'nın Ek I, Bölüm 1'inde (GDPR Madde 28(3) uyarınca Kişisel Veri İşleme Detayları) belirtilmiştir.
• Kişisel Verilerin saklanacağı süre, bu DPA'nın Ek I, Bölüm 3'ünde (GDPR Madde 28(3) uyarınca Kişisel Veri İşleme Detayları) belirtilmiştir.
• Alt işleyicilere yapılan transferler için, işlemenin konusu, doğası ve süresi Ek IV'te belirtilmiştir.
• AB Standart Sözleşme Maddelerinin Ek I, Bölüm C'sinde: İsviçre Federal Veri Koruma ve Bilgi Komiseri (FDPIC) yetkili denetim otoritesi olacaktır; ve,
• Bu DPA'nın Ek II'si (Teknik ve Organizasyonel Güvenlik Önlemleri), AB Standart Sözleşme Maddelerinin Ek II'si olarak hizmet eder.

2.10. Birleşik Krallık Uluslararası Veri Transferi Ek Sözleşmesi. Müşteri ve Constructor Technology, Birleşik Krallık veri koruma yasası kapsamında Hizmetler aracılığıyla Birleşik Krallık'tan, doğrudan veya ileriye doğru transfer yoluyla, Birleşik Krallık dışında, Birleşik Krallık yetkili düzenleyici otoritesi veya hükümet organı tarafından kişisel veriler için yeterli düzeyde koruma sağladığı kabul edilmeyen herhangi bir ülkeye veya alıcıya transfer edilen kişisel verilere Birleşik Krallık Uluslararası Veri Transferi Ek Sözleşmesi'nin (Ek VIII) uygulanacağını kabul eder. Birleşik Krallık'tan yapılan ve Birleşik Krallık Uluslararası Veri Transferi Ek Sözleşmesi'ne tabi olan veri transferleri için, Birleşik Krallık Uluslararası Veri Transferi Ek Sözleşmesi, Ek VIII'de bu DPA'ya dahil edilmiş ve tamamlanmış olarak kabul edilecektir.

2.10. AB Standart Sözleşme Maddeleri veya İsviçre yasasına göre değiştirilmiş AB Standart Sözleşme Maddeleri veya Birleşik Krallık Uluslararası Veri Transferi Ek Sözleşmesi ile bu DPA'daki diğer herhangi bir terim, Ek VI (Yargı Yetkisine Özgü Şartlar), Hizmet Anlaşması veya Constructor Technology Gizlilik Bildirimi arasında herhangi bir çelişki veya tutarsızlık olması durumunda, geçerli olduğu şekilde, AB Standart Sözleşme Maddeleri veya İsviçre yasasına göre değiştirilmiş AB Standart Sözleşme Maddeleri veya Birleşik Krallık Uluslararası Veri Transferi Ek Sözleşmesi hükümleri geçerli olacaktır.

1. Avustralya:

1.1. “Uygulanabilir Veri Koruma Yasası” tanımı, Avustralya Gizlilik İlkeleri ve Avustralya Gizlilik Yasası (1988) dahil olmak üzere tanımlanır.

1.2. “Kişisel Veri” tanımı, Uygulanabilir Veri Koruma Yasası kapsamında tanımlanan “Kişisel Bilgi”yi içerir.

1.3. “Hassas Veri” tanımı, Uygulanabilir Veri Koruma Yasası kapsamında tanımlanan “Hassas Bilgi”yi içerir.

2. Brezilya:

2.1. “Uygulanabilir Veri Koruma Yasası” tanımı, Lei Geral de Proteção de Dados (Genel Kişisel Veri Koruma Yasası) dahil olmak üzere tanımlanır.

2.2. “Güvenlik Olayı” tanımı, veri sahiplerine herhangi bir ilgili risk veya zarar verebilecek bir güvenlik olayını içerir.

2.3. “İşleyici” tanımı, Uygulanabilir Veri Koruma Yasası kapsamında tanımlanan “operatör”ü içerir.

3. Kanada:

3.1 “Uygulanabilir Veri Koruma Yasası” tanımı, Federal Kişisel Bilgi Koruma ve Elektronik Belgeler Yasası dahil olmak üzere tanımlanır.

3.2 Constructor Technology’nin Alt-İşleyicileri, bu DPA’nın Ek IV: Alt-İşleyiciler Listesi’nde belirtildiği gibi, Uygulanabilir Veri Koruma Yasası kapsamında üçüncü taraflardır ve Constructor Technology, bu Alt-İşleyicilere bu DPA’da belirtilen aynı veri koruma yükümlülüklerini sözleşme ile yüklemiştir. Constructor Technology, Alt-İşleyicileri üzerinde uygun bir durum tespiti yapmıştır.

3.3 Constructor Technology, bu DPA’nın Ek II: Teknik ve Organizasyonel Önlemler’de belirtilen teknik ve organizasyonel önlemleri uygulayacaktır.

4. Avrupa Ekonomik Alanı (EEA):

4.1 “Uygulanabilir Veri Koruma Yasası” tanımı, Genel Veri Koruma Yönetmeliği (EU 2016/679) (“GDPR”) dahil olmak üzere tanımlanır.

4.2 Constructor Technology, bu DPA’nın Ek IV: Alt-İşleyiciler Listesi kapsamında bir Alt-İşleyici ile çalıştığında, şunları yapacaktır:

(a) Atanan herhangi bir Alt-İşleyiciden, Uygulanabilir Veri Koruma Yasası tarafından gerektiren standartta kişisel verileri korumasını talep edecek, GDPR’nin 28(3) Maddesi’nde belirtilen aynı veri koruma yükümlülüklerini sözleşme ile yükleyecek, özellikle uygun teknik ve organizasyonel önlemleri uygulamak için yeterli garantiler sağlayacak ve,

(b) Atanan herhangi bir Alt-İşleyiciden, (i) yalnızca Komisyon tarafından yeterlilik kararı verilen bir ülkede Kişisel Verileri işlemesini yazılı olarak kabul etmesini veya (ii) yalnızca GDPR’nin V. Bölümü şartlarına tabi olarak Kişisel Verileri işlemesini talep edecektir.

4.3 Bu DPA veya Hizmet Anlaşması’nda (her iki tarafın tazminat yükümlülükleri dahil ancak bunlarla sınırlı olmamak üzere) aksine herhangi bir şey olmasına rağmen, hiçbir taraf, diğer tarafın GDPR’yi ihlal etmesiyle bağlantılı olarak bir düzenleyici otorite veya hükümet organı tarafından diğer tarafa karşı verilen veya uygulanan GDPR para cezalarından sorumlu olmayacaktır.

4.4 Müşteri, Constructor Technology’nin bir Kontrolör olarak, Uygulanabilir Veri Koruma Yasası kapsamında Kişisel Verileri içeren Veri İhlallerini bir düzenleyici otoriteye bildirmesi gerekebileceğini kabul eder. Bir düzenleyici otorite, Constructor Technology’den doğrudan bir ilişkisi olmayan etkilenen veri sahiplerini (örneğin, Müşteri’nin son kullanıcıları) bilgilendirmesini talep ederse, Constructor Technology bu gerekliliği Müşteri’ye bildirecektir. Müşteri, etkilenen Veri Sahiplerini bilgilendirmek için Constructor Technology’ye makul bir yardım sağlayacaktır.

5. İsrail:

5.1 “Uygulanabilir Veri Koruma Yasası” tanımı, Gizlilik Koruma Yasası dahil olmak üzere tanımlanır.

5.2 “Kontrolör” tanımı, Uygulanabilir Veri Koruma Yasası kapsamında tanımlanan “Veritabanı Sahibi”ni içerir.

5.3 “İşleyici” tanımı, Uygulanabilir Veri Koruma Yasası kapsamında tanımlanan “tutucu”yu içerir.

5.4 Constructor Technology, kişisel verileri işlemeye yetkili herhangi bir personelin veri gizliliği ilkesine uymasını ve Uygulanabilir Veri Koruma Yasası hakkında uygun şekilde bilgilendirilmesini talep edecektir. Bu personel, bu DPA’nın Bölüm 2.3 Tarafların Yükümlülükleri ve Hakları’na uygun olarak gizlilik yükümlülüğüne tabi olacaktır.

5.5 Constructor Technology, bu DPA’nın Ek II: Teknik ve Organizasyonel Önlemler’de belirtilen güvenlik önlemlerini uygulayarak ve Hizmet Anlaşması’nın şartlarına uyarak veri sahiplerinin gizliliğini sağlamak için yeterli adımları atmalıdır.

5.6 Constructor Technology, Müşteri Kişisel Verilerinin bir Alt-İşleyiciye aktarılmayacağını, bu Alt-İşleyicinin bu DPA’nın Bölüm 3. ALT-İŞLEYİCİLER uyarınca Constructor Technology ile bir anlaşma yapmadıkça sağlamalıdır.

6. Meksika:

6.1 “Uygulanabilir Veri Koruma Yasası” tanımı, Özel Taraflar Tarafından Tutulan Kişisel Verilerin Korunması için Federal Yasa ve Yönetmelikleri dahil olmak üzere tanımlanır.

6.2 Bir İşleyici olarak hareket ederken, Constructor Technology şunları yapacaktır:

(a) Kişisel Verileri, bu DPA’nın Bölüm 2.2. Amaç Sınırlaması’nda belirtilen Müşteri talimatlarına uygun olarak işleyecek;

(b) Hizmetleri sağlamak için gerekli olan ölçüde Kişisel Verileri işleyecek;

(с) Uygulanabilir Veri Koruma Yasası ve bu DPA’nın Bölüm 2.3 Tarafların Yükümlülükleri ve Hakları’na uygun olarak güvenlik önlemleri uygulayacak;

(d) Hizmet Anlaşması’na uygun olarak işlenen Kişisel Veriler hakkında gizliliği koruyacak;

(e) Hizmet Anlaşması’nın sona ermesi üzerine tüm Kişisel Verileri bu DPA’nın Bölüm 2.3 Tarafların Yükümlülükleri ve Hakları’na uygun olarak silecek; ve,

(f) yalnızca bu DPA’nın Bölüm 3. ALT-İŞLEYİCİLER uyarınca Alt-İşleyicilere kişisel veri aktaracak.

7. Singapur:

7.1 “Uygulanabilir Veri Koruma Yasası” tanımı, Kişisel Veri Koruma Yasası 2012 (“PDPA”) dahil olmak üzere tanımlanır.

7.2 Constructor Technology, bu DPA’nın Bölüm 2.3 Tarafların Yükümlülükleri ve Hakları’nda belirtilen yeterli teknik ve organizasyonel önlemleri uygulayarak ve Hizmet Anlaşması’nın şartlarına uyarak PDPA’ya uygun bir koruma standardında Kişisel Verileri işleyecektir.

8. İsviçre:

8.1 “Uygulanabilir Veri Koruma Yasası” tanımı, İsviçre Federal Veri Koruma Yasası, revize edilmiş haliyle (“revFADP”) dahil olmak üzere tanımlanır.

8.2 Constructor Technology, bu DPA’nın Bölüm 3. ALT-İŞLEYİCİLER kapsamında bir Alt-İşleyici ile çalıştığında, şunları yapacaktır:

(a) Atanan herhangi bir Alt-İşleyiciden, Müşteri Kişisel Verilerini Uygulanabilir Veri Koruma Yasası tarafından gerektiren standartta korumasını talep edecek, bu Alt-İşleyiciye GDPR’nin 28(3) Maddesi’nde belirtilen aynı veri koruma yükümlülüklerini sözleşme ile yükleyecek, özellikle uygun teknik ve organizasyonel önlemleri uygulamak için yeterli garantiler sağlayacak ve,

(b) Atanan herhangi bir Alt-İşleyiciden, (i) yalnızca İsviçre’nin “yeterli” koruma seviyesine sahip olduğunu ilan ettiği bir ülkede Kişisel Verileri işlemesini yazılı olarak kabul etmesini veya (ii) yalnızca GDPR’nin V. Bölümü tarafından öngörülen şartlarda Kişisel Verileri işlemesini talep edecektir.

8.3 İsviçre’den yapılan Kişisel Veri aktarımlarının, Ek V’in 2.3 Bölümü uyarınca AB Standart Sözleşme Maddelerine tabi olduğu ölçüde, Ek VII’de gösterildiği gibi AB Standart Sözleşme Maddelerine aşağıdaki değişiklikler uygulanacaktır:

(a) “AB Üye Devleti” ve “Üye Devlet” referansları İsviçre’yi içerecek şekilde yorumlanacaktır ve,

(b) aktarımlar veya ileriye dönük aktarımlar revFADP’ye tabi olduğu sürece:

(i) “Regulation (EU) 2016/679” referansları revFADP’ye referans olarak yorumlanacaktır;

(ii) Ek I, Bölüm C’deki “yetkili denetim otoritesi” İsviçre Federal Veri Koruma ve Bilgi Komiseri olacaktır;

(iii) Madde 17 (Seçenek 1)’de, AB Standart Sözleşme Maddeleri İsviçre yasalarına tabi olacaktır; ve,

(iv) AB Standart Sözleşme Maddeleri’nin Madde 18(b)’sinde, anlaşmazlıklar İsviçre mahkemelerinde çözülecektir.

9. Birleşik Krallık (UK):

9.1 Bu DPA’daki “GDPR” referansları, Birleşik Krallık’ın ilgili yasaları ve düzenlemeleri, sınırlama olmaksızın, UK GDPR ve Veri Koruma Yasası 2018 dahil olmak üzere, referanslar olarak kabul edilecektir.

9.2 Constructor Technology, bu DPA’nın Bölüm 3. ALT-İŞLEYİCİLER kapsamında bir Alt-İşleyici ile çalıştığında, şunları yapacaktır:

(a) Atanan herhangi bir Alt-İşleyiciden, Müşteri Kişisel Verilerini Uygulanabilir Veri Koruma Yasası tarafından gerektiren standartta korumasını talep edecek, bu Alt-İşleyiciye GDPR’nin 28(3) Maddesi’nde belirtilen aynı veri koruma yükümlülüklerini sözleşme ile yükleyecek, özellikle uygun teknik ve organizasyonel önlemleri uygulamak için yeterli garantiler sağlayacak ve,

(b) Atanan herhangi bir Alt-İşleyiciden, (i) yalnızca Birleşik Krallık’ın “yeterli” koruma seviyesine sahip olduğunu ilan ettiği bir ülkede Kişisel Verileri işlemesini yazılı olarak kabul etmesini veya (ii) yalnızca UK Uluslararası Veri Transferi Ek’i veya yetkili Birleşik Krallık veri koruma otoriteleri tarafından verilen Bağlayıcı Kurumsal Kurallar onayı uyarınca Kişisel Verileri işlemesini talep edecektir.

9.3 Bu DPA veya Hizmet Anlaşması’nda (her iki tarafın tazminat yükümlülükleri dahil ancak bunlarla sınırlı olmamak üzere) aksine herhangi bir şey olmasına rağmen, hiçbir taraf, diğer tarafın UK GDPR’yi ihlal etmesiyle bağlantılı olarak bir düzenleyici otorite veya hükümet organı tarafından diğer tarafa karşı verilen veya uygulanan UK GDPR para cezalarından sorumlu olmayacaktır.

9.4 Müşteri, Constructor Technology’nin bir Kontrolör olarak, Uygulanabilir Veri Koruma Yasası kapsamında Müşteri Kişisel Verilerini içeren Veri İhlallerini bir düzenleyici otoriteye bildirmesi gerekebileceğini kabul eder. Bir düzenleyici otorite, Constructor Technology’den doğrudan bir ilişkisi olmayan etkilenen veri sahiplerini (örneğin, Müşteri’nin son kullanıcıları) bilgilendirmesini talep ederse, Constructor Technology bu gerekliliği Müşteri’ye bildirecektir. Müşteri, etkilenen veri sahiplerini bilgilendirmek için Constructor Technology’ye makul bir yardım sağlayacaktır.

10. Amerika Birleşik Devletleri:

10.1 “ABD Eyalet Gizlilik Yasaları”, Amerika Birleşik Devletleri’nde yürürlükte olan, Kişisel Verilerin korunması ve işlenmesi ile ilgili tüm eyalet yasalarını ifade eder ve sınırlama olmaksızın, Kaliforniya Tüketici Gizlilik Yasası, Kaliforniya Gizlilik Hakları Yasası (“CCPA”) tarafından değiştirildiği şekliyle, Virginia Tüketici Veri Koruma Yasası, Colorado Gizlilik Yasası, Connecticut Veri Gizliliği Yasası ve Utah Tüketici Gizlilik Yasası dahil olabilir.

10.2 “Uygulanabilir Veri Koruma Yasası” tanımı, ABD Eyalet Gizlilik Yasalarını içerir.

10.3 Constructor Technology’nin CCPA’ya tabi kişisel verileri işlemesi durumunda aşağıdaki terimler geçerli olacaktır:

(a) Bu Ek VI’nın 10.3 Bölümünde kullanılan “kişisel bilgi” terimi, CCPA’da sağlanan anlamı taşıyacaktır;

(b) Constructor Technology, Kişisel Verileri işlerken bir hizmet sağlayıcıdır. Constructor Technology, yalnızca Hizmet Anlaşması’nda belirtilen iş amaçları için, bu DPA’da belirtilen işleme amacı ve işleme faaliyetleri dahil olmak üzere, herhangi bir kişisel bilgiyi işleyecektir. Bir hizmet sağlayıcı olarak, Constructor Technology, Müşteri İçeriğini satmayacak veya paylaşmayacak ya da Müşteri İçeriğini (i) Amaç dışında herhangi bir ticari amaç için veya CCPA tarafından izin verilen başka bir şekilde saklamayacak, kullanmayacak veya açıklamayacak; veya (ii) Müşteri ve Constructor Technology arasındaki doğrudan iş ilişkisi dışında saklamayacak, kullanmayacak veya açıklamayacaktır;

(с) Constructor Technology, (i) CCPA kapsamında bir hizmet sağlayıcı olarak kendisine uygulanan yükümlülüklere uyacak ve (ii) kişisel bilgileri CCPA tarafından gerektiren aynı gizlilik koruma seviyesinde sağlayacaktır. Müşteri, Hizmetleri kullanırken ve kendi kişisel bilgi işleme faaliyetlerinde CCPA gerekliliklerine uyduğundan emin olmakla sorumludur;

(d) Müşteri, Constructor Technology’nin kişisel bilgileri Müşteri’nin CCPA kapsamındaki yükümlülüklerine uygun bir şekilde kullanmasını sağlamak için makul ve uygun adımlar atma hakkına sahip olacaktır;

(e) Constructor Technology, bir hizmet sağlayıcı olarak CCPA kapsamındaki yükümlülüklerini artık yerine getiremeyeceğine karar verirse Müşteri’yi bilgilendirecektir;

(f) Bildirim üzerine, Müşteri, Hizmet Anlaşması’na uygun olarak kişisel bilgilerin yetkisiz kullanımını durdurmak ve düzeltmek için makul ve uygun adımlar atma hakkına sahip olacaktır;

(g) Constructor Technology, Hizmet Anlaşması’nda belirtilen tüketici talepleriyle ilgili yükümlülüklerini yerine getirmesi için Müşteri’ye makul ve zamanında yardım sağlayacaktır;

(h) Constructor Technology tarafından CCPA’ya tabi kişisel bilgileri işlemek üzere görevlendirilen herhangi bir Alt-İşleyici için, Constructor Technology, bu Alt-İşleyici ile yaptığı anlaşmanın CCPA’ya uygun olmasını, sınırlama olmaksızın, hizmet sağlayıcılar ve yükleniciler için sözleşme gerekliliklerini içermesini sağlayacaktır;

(i) Constructor Technology, Müşteri’den aldığı veya Müşteri adına aldığı Müşteri İçeriğini, başka bir kişi veya kişilerden aldığı veya kendi tüketici etkileşimlerinden topladığı kişisel bilgilerle birleştirmeyecek, bu tür bir birleşim, CCPA tarafından izin verilen herhangi bir iş amacı için gerekli olmadıkça, CCPA’ya tabi herhangi bir düzenleme veya Kaliforniya Gizlilik Koruma Ajansı tarafından benimsenen düzenlemeler dahil olmak üzere; ve,

(j) Constructor Technology, CCPA kapsamındaki yükümlülüklerini anladığını ve bunlara uyacağını beyan eder.

revFADP'ye uymak için Standart Sözleşme Maddelerinin yerelleştirilmesi amacıyla, taraflar aşağıdakileri kabul eder:

1. Taraflar, tüm veri transferleri için GDPR standardını benimser.
2. “Kişisel veri” terimi, revize edilmiş Federal Veri Koruma Yasası kapsamında tanımlanan kişisel verileri içerecektir. Standart Sözleşme Maddeleri ile ilgili veri sahipleri ve veri kategorileri listesi, bu maddeye tabi olan kişisel verilere Standart Sözleşme Maddelerinin uygulanmasını kısıtladığı şeklinde yorumlanmayacaktır.
3. AB Genel Veri Koruma Yönetmeliği 2016/679'daki (maddelere) atıflar, revFADP'deki (ilgili maddelere) atıf olarak kabul edilecektir.
4. Madde 13 ve Ek I(С): Madde 13 ve Ek I(С) kapsamındaki yetkili makamlar, Federal Veri Koruma ve Bilgi Komiseri ve eşzamanlı olarak yukarıda belirtilen AEA üye devleti otoritesidir.
5. Madde 17: Taraflar, yönetici yargı yetkisinin İsviçre olduğunu kabul eder.
6. Madde 18: “Bu Maddelerden doğan herhangi bir uyuşmazlık İsviçre mahkemeleri tarafından çözülecektir. Taraflar, İsviçre'deki Veri Sahiplerinin İsviçre'de hakları için dava açabilmelerini sağlamak amacıyla Standart Sözleşme Maddelerini Madde 18(с) uyarınca yorumlamayı kabul eder.
7. Taraflar, revize edilmiş Federal Veri Koruma Yasası yürürlüğe girene kadar Standart Sözleşme Maddelerini “Veri Sahipleri”nin İsviçre tüzel kişileri hakkındaki bilgileri içerecek şekilde yorumlamayı kabul eder.
8. Üye Devlet(ler)/AB Üye Devlet(ler)i/AB/Birlik'e yapılan atıflar İsviçre'ye atıf olarak kabul edilecektir.
9. AB'deki ihracatçıya yapılan atıf, İsviçre'deki ihracatçıya atıf olarak kabul edilecektir.
10. Avrupa Birliği'ne yapılan atıf, İsviçre'ye atıf olarak kabul edilecektir.
11. Maddelerde AB Genel Veri Koruma Yönetmeliği 2016/679'de tanımlanan terimler kullanıldığında, bu terimler revFADP'de tanımlanan eşdeğer terimlerle aynı anlama sahip olarak kabul edilecektir.

In reference to the DPA made by and between the Parties set out at the beginning of the DPA, such DPA includes the UK Addendum as follows:

1.Each Party agrees to be bound by the terms and conditions set out in this Addendum issued by the Information Commissioner, in exchange for the other Party also agreeing to be bound by this Addendum.

2. Although Annex 1A and Clause 7 of the Approved EU SCCs require signature by the Parties, for the purpose of making Restricted Transfers, the Parties may enter into this Addendum in any way that makes them legally binding on the Parties and allows data subjects to enforce their rights as set out in this Addendum. Entering into this Addendum will have the same effect as signing the Approved EU SCCs and any part of the Approved EU SCCs.

3. Where this Addendum uses terms that are defined in the Approved EU SCCs those terms shall have the same meaning as in the Approved EU SCCs.

4. This Addendum must always be interpreted in a manner that is consistent with UK Data Protection Laws and so that it fulfills the Parties’ obligation to provide the Appropriate Safeguards.

5. If the provisions included in the Addendum EU SCCs amend the Approved SCCs in any way which is not permitted under the Approved EU SCCs or the Approved Addendum, such amendment(s) will not be incorporated in this Addendum and the equivalent provision of the Approved EU SCCs will take their place.

6. If there is any inconsistency or conflict between UK Data Protection Laws and this Addendum, UK Data Protection Laws apply.

7. If the meaning of this Addendum is unclear or there is more than one meaning, the meaning which most closely aligns with UK Data Protection Laws applies.

8. Any references to legislation (or specific provisions of legislation) means that legislation (or specific provision) as it may change over time. This includes where that legislation (or specific provision) has been consolidated, re-enacted and/or replaced after this Addendum has been entered into.

9. Although Clause 5 of the Approved EU SCCs sets out that the Approved EU SCCs prevail over all related agreements between the parties, the parties agree that, for Restricted Transfers, the hierarchy in Section 10 will prevail.

10. Where there is any inconsistency or conflict between the Approved Addendum and the Addendum EU SCCs (as applicable), the Approved Addendum overrides the Addendum EU SCCs, except where (and in so far as) the inconsistent or conflicting terms of the Addendum EU SCCs provides greater protection for data subjects, in which case those terms will override the Approved Addendum.

11. Where this DPA incorporates Addendum EU SCCs which have been entered into to protect transfers subject to the General Data Protection Regulation (EU) 2016/679 then the Parties acknowledge that nothing in this Addendum impacts those Addendum EU SCCs.

12. This Addendum incorporates the Addendum EU SCCs which are amended to the extent necessary so that:

a) together they operate for data transfers made by the data exporter to the data importer, to the extent that UK Data Protection Laws apply to the data exporter’s processing when making that data transfer, and they provide Appropriate Safeguards for those data transfers;

b) Sections 9 to 11 override Clause 5 (Hierarchy) of the Addendum EU SCCs; and

c) this Addendum (including the Addendum EU SCCs incorporated into it) is (1) governed by the laws of England and Wales and (2) any dispute arising from it is resolved by the courts of England and Wales, in each case unless the laws and/or courts of Scotland or Northern Ireland have been expressly selected by the Parties.

13. Unless the Parties have agreed alternative amendments which meet the requirements of Section 11, the provisions of Section 14 will apply.

14. No amendments to the Approved EU SCCs other than to meet the requirements of Section 11 may be made.

15. The following amendments to the Addendum EU SCCs (for the purpose of Section 11) are made:

a) References to the “Clauses” means this Addendum, incorporating the Addendum EU SCCs;

b) In Clause 2, delete the words:

“and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679”;

c) Clause 6 (Description of the transfer(s)) is replaced with:

“The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter’s processing when making that transfer.”;

d) Clause 8.7(i) of Module 1 is replaced with:

“it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer”;

e) Clause 8.8(i) of Modules 2 and 3 is replaced with:

“the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;”

f) References to “Regulation (EU) 2016/679”, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” and “that Regulation” are all replaced by “UK Data Protection Laws”. References to specific Article(s) of “Regulation (EU) 2016/679” are replaced with the equivalent Article or Section of UK Data Protection Laws;

g) References to Regulation (EU) 2018/1725 are removed;

h) References to the “European Union”, “Union”, “EU”, “EU Member State”, “Member State” and “EU or Member State” are all replaced with the “UK”;

i) The reference to “Clause 12(с)(i)” at Clause 10(b)(i) of Module one, is replaced with “Clause 11(с)(i)”;

j) Clause 13(a) and Part C of Annex I are not used;

k) The “competent supervisory authority” and “supervisory authority” are both replaced with the “Information Commissioner”;

l) In Clause 16(e), subsection (i) is replaced with:

“the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;”;

m) Clause 17 is replaced with:

“These Clauses are governed by the laws of England and Wales.”;

n) Clause 18 is replaced with:

“Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts.”; and

o) The footnotes to the Approved EU SCCs do not form part of the Addendum, except for footnotes 8, 9, 10 and 11.

16. The Parties may agree to change Clauses 17 and/or 18 of the Addendum EU SCCs to refer to the laws and/or courts of Scotland or Northern Ireland.

17. If the Parties wish to change the format of the information included in Part 1: Tables of the Approved Addendum, they may do so by agreeing to the change in writing, provided that the change does not reduce the Appropriate Safeguards.

18. From time to time, the ICO may issue a revised Approved Addendum which:

a) makes reasonable and proportionate changes to the Approved Addendum, including correcting errors in the Approved Addendum; and/or

b) reflects changes to UK Data Protection Laws;

19. The revised Approved Addendum will specify the start date from which the changes to the Approved Addendum are effective and whether the Parties need to review this Addendum including the Appendix Information. This Addendum is automatically amended as set out in the revised Approved Addendum from the start date specified.

If the ICO issues a revised Approved Addendum under Section 18, if any Party selected in Table 4 “Ending the Addendum when the Approved Addendum changes”, will as a direct result of the changes in the Approved Addendum have a substantial, disproportionate and demonstrable increase in:

a) its direct costs of performing its obligations under the Addendum; and/or

b) its risk under the Addendum,

and in either case it has first taken reasonable steps to reduce those costs or risks so that it is not substantial and disproportionate, then that Party may end this Addendum at the end of a reasonable notice period, by providing written notice for that period to the other Party before the start date of the revised Approved Addendum.

20. The Parties do not need the consent of any third party to make changes to this Addendum, but any changes must be made in accordance with its terms.

21. The Parties hereby, acknowledge that SCHEDULE D shall be updated for transfers from the UK to countries outside the EEA shall be fully bound by, and subject to, all the requirements provided by the updated references included within this AMENDMENT.

Table 1: Parties

Table 2: Selected SCCs, Modules and Selected Clauses[4]

Table 3: Appendix Information

“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:

Table 4: Ending this Addendum when the Approved Addendum Changes

Table 5: Terminology