Veri İşleme Sözleşmesi
Kişisel verilerin işlenmesi ve bu tür verilerin serbest hareketiyle ilgili gerçek kişilerin Korunmasına dair Avrupa Parlamentosu ve Konseyi'nin 27 Nisan 2016 tarihli 2016/679 sayılı Düzenlemesi'nin, 95/46/EC sayılı ilga edici Yönetmelik şartlarına göre (buradan sonra "GDPR" olarak anılacaktır), Sağlayıcı (buradan sonra "İşleyici" olarak anılacaktır) ve Sizin (buradan sonra "Kontrolör" olarak anılacaktır) aranızda veri işlemeyle ilgili sözleşmeye dayalı bir ilişki doğmaktadır. Bu sözleşmenin amacı, kişisel verilerin işlenmesi için şartlar ve koşulları ve verileri koruma yöntemini tanımlamak, ayrıca ana sözleşme olarak bu Şartların konusunun uygulanması sırasında Kontrolör adına veri öznelerinin kişisel verilerinin işlenmesinde her iki tarafın diğer hak ve yükümlülüklerini de tanımlamaktır.
1. Kişisel Verilerin İşlenmesi. Bu Şartlara uygun olarak sağlanan hizmetler arasında, Gizlilik Politikası'nda listelenen, tanımlanmış veya tanımlanabilir gerçek bir kişiyle ilgili bilgilerin (buradan sonra "Kişisel Bilgiler" olarak anılacaktır) işlenmesi yer alır.
2. Yetkilendirme. Kontrolör Kişisel Verilerin işlenmesi için İşleyiciyi yetkilendirir ve şu talimatlar geçerlidir:
(i) "İşlemenin amacı" hizmetlerin bu Şartlara uygun olarak gerçekleştirilmesi anlamına gelir. İşleyicinin yalnızca Kontrolör tarafından istenen hizmetlerin sağlanmasıyla ilgili olarak, Kontrolör adına Kişisel Verileri işlemesine izin verilir. Ek amaçlar için toplanan tüm bilgiler, Kontrolör-İşleyici sözleşme ilişkisi dışında işlenir.
(ii) İşleme döneminden, bu Şartlar ile karşılıklı iş birliğine girildiği tarihten hizmetlerin sonlandırıldığı tarihe kadarki dönem anlaşılacaktır.
(iii) Kişisel verilerin kapsam ve kategorilerine, kişisel verilerin özel kategorilerinin herhangi birini ve tamamı hariç olmak üzere genel kişisel veriler dahildir.
(iv) "Veri öznesi" Kontrolörün cihazlarının yetkili kullanıcısı olarak gerçek kişi anlamına gelmektedir.
(v) İşlemlerin işlenmesi, işleme amacına gerekli olan tüm işlemler anlamına gelmektedir.
(vi) "Belgelendirilmiş talimatlar" bu Şartlarda, Eklerinde, Gizlilik Politikası'nda ve hizmet dokümanlarında açıklanan talimatlardır. Kontrolör, veri koruma kanunun ilgili hükümlerine ilişkin olarak, Kişisel Verilerin İşleyici tarafından işlenmesinin yasal olarak kabul edilebilirliğinden sorumludur.
3. İşleyicinin Yükümlülükleri. İşleyici şunlarla yükümlüdür:
(i) Kişisel Verileri yalnızca Belgeli talimatlara uygun olarak ve Şartlar, Ekleri, Gizlilik Politikası ve hizmet dokümanlarında tanımlanan amaca yönelik olarak işleme,
(ii) Kişisel Verileri işlemekle yetkilendirilen kişilerin gizlilik taahhüdünde bulunmalarını ve Belgeli talimatları uygulamalarını sağlama,
(iii) Şartlar, Ekleri, Gizlilik Politikası ve hizmet dokümanlarında açıklanan önlemleri uygulama ve takip etme,
(iv) Veri Öznelerinin haklarıyla ilgili isteklerine yanıt verme konusunda Kontrolöre yardımcı olma. İşleyici, Kontrolörün talimatı olmadan Kişisel Verilerin işlenmesini düzeltemez, silemez veya kısıtlayamaz. Kontrolör adına işlenen Kişisel Verilerle ilgili Veri Öznesi tarafından gelen tüm istekler gecikmeksizin Kontrolöre iletecektir.
(v) Kontrolöre, süpervizör kurumu ve Veri Öznesine yönelik kişisel veri ihlali bildiriminde yardımcı olma,
(vi) Tüm Kişisel Verileri İşleme Süresinin sonunda silme veya Kontrolöre iade etme,
(vii) Kontrolör adına gerçekleştirdiği işleme etkinliklerinin tüm kategorilerinin güncel kayıtlarını tutma,
(d) Şartların, Eklerinin, Gizlilik Politikasının ve hizmet dokümanlarının parçası olarak uyumluluğu sağlamak için gerekli olan tüm bilgileri Kontrolöre sağlama.
4. Başka Bir İşleyicinin Dahil Edilmesi. İşleyici, bulut depolaması ve hizmet için altyapı gibi belirli işleme etkinliklerinin gerçekleştirilmesi için başka bir işleyiciyi bu Şartlara, Eklerine, Gizlilik Politikasına ve hizmet dokümanlarına uygun olacak şekilde sürece dahil etme yetkisine sahiptir. Şu anda Microsoft, Azure Bulut Hizmeti'nin parçası olarak bulut hizmeti ve altyapı sağlamaktadır. Bu durumda bile İşleyici sözleşmenin yegane iletişim noktası ve uyumluluktan sorumlu yegane tarafı olarak kalmaya devam edecektir.
5. İşleme Alanı. İşleyici, veri işlemenin Avrupa Ekonomik Alanı'nda veya Kontrolörün kararına dayalı olarak, Avrupa Komisyonu kararıyla güvenli addedilen bir ülkede gerçekleştirilmesini garanti eder. Aktarmalar olması ve işlemenin Kontrolörün talebi üzerine Avrupa Ekonomik Alanı'nın veya Avrupa Komisyonu kararıyla güvenli addedilen bir ülkenin dışında gerçekleşmesi durumunda Standart Sözleşme Maddeleri uygulanır.
6. Güvenlik. İşleyici ISO 27001:2013 sertifikalıdır ve ağ katmanında, işletim sistemlerinde, veri tabanlarında, uygulamalarda, kişisel ve işleme süreçlerinde güvenlik kontrolleri yaparken katmanlı bir güvenlik stratejisi uygulamak için ISO 27001 çerçevesini kullanır. Düzenleme ve sözleşme gereksinimleriyle uyumluluk düzenli olarak değerlendirilir ve İşleyicinin diğer altyapı ve faaliyetlerine benzer şekilde incelenir ve uyumluluğun sürekli olarak temin edilmesi için gerekli adımlar atılır. İşleyici, ISO 27001 temelinde ISMS kullanarak veri güvenliğini düzenlemiştir. Güvenlik dokümanları temel olarak bilgi güvenliği, fiziksel güvenlik ve donanım güvenliği, olay yönetimi, veri sızıntılarının ve güvenlik olaylarının yönetimi vs. için politika dokümanlarını içerir.
7. İşleyicinin İletişim Bilgileri. Tüm bildirimler, istekler, talepler ve kişisel veri korumasıyla ilgili diğer iletişimler şu birimin dikkatine ESET, spol. s.r.o. şirketine iletilecektir: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.