Veri İşleme Sözleşmesi
Kişisel verilerin işlenmesi ve bu tür verilerin serbest hareketiyle ilgili gerçek kişilerin Korunmasına dair Avrupa Parlamentosu ve Konseyi'nin 27 Nisan 2016 tarihli 2016/679 sayılı Düzenlemesi'nin, 95/46/EC sayılı ilga edici Yönetmelik şartlarına göre (buradan sonra "GDPR" olarak anılacaktır), Sağlayıcı (buradan sonra "İşleyici" olarak anılacaktır) ve Sizin (buradan sonra "Kontrolör" olarak anılacaktır) aranızda veri işlemeyle ilgili sözleşmeye dayalı bir ilişki doğmaktadır. Bu sözleşmenin amacı, kişisel verilerin işlenmesi için şartlar ve koşulları ve verileri koruma yöntemini tanımlamak, ayrıca ana sözleşme olarak bu Şartların konusunun uygulanması sırasında Kontrolör adına veri öznelerinin kişisel verilerinin işlenmesinde her iki tarafın diğer hak ve yükümlülüklerini de tanımlamaktır.
1. Kişisel Verilerin İşlenmesi. Bu Şartlara uygun olarak sağlanan hizmetler arasında, Gizlilik Politikası'nda listelenen, tanımlanmış veya tanımlanabilir gerçek bir kişiyle ilgili bilgilerin (buradan sonra "Kişisel Bilgiler" olarak anılacaktır) işlenmesi yer alır.
2. Yetkilendirme. Kontrolör Kişisel Verilerin işlenmesi için İşleyiciyi yetkilendirir ve şu talimatlar geçerlidir:
(i) "İşlemenin amacı" hizmetlerin bu Şartlara uygun olarak gerçekleştirilmesi anlamına gelir. İşleyicinin yalnızca Kontrolör tarafından istenen hizmetlerin sağlanmasıyla ilgili olarak, Kontrolör adına Kişisel Verileri işlemesine izin verilir. Ek amaçlar için toplanan tüm bilgiler, Kontrolör-İşleyici sözleşme ilişkisi dışında işlenir.
(ii) İşleme döneminden, bu Şartlar ile karşılıklı iş birliğine girildiği tarihten hizmetlerin sonlandırıldığı tarihe kadarki dönem anlaşılacaktır.
(iii) Kişisel Verilerin Kapsamı ve Kategorileri. Hizmetler yalnızca genel kişisel verilerin işlenmesi için tasarlanmıştır. Bununla birlikte, kişisel veri kapsamının belirlenmesinden yalnızca Kontrolör sorumludur.
(iv) "Veri öznesi" Kontrolörün cihazlarının yetkili kullanıcısı olarak gerçek kişi anlamına gelmektedir.
(v) Etkinliklerin İşlenmesi, işleme için gerekli olan faaliyetlerin tümü ve her biri anlamına gelmektedir.
(vi) "Belgelendirilmiş talimatlar" bu Şartlarda, Eklerinde, Gizlilik Politikası'nda ve hizmet dokümanlarında açıklanan talimatlardır. Kontrolör, veri koruma kanunun ilgili hükümlerine ilişkin olarak, Kişisel Verilerin İşleyici tarafından işlenmesinin yasal olarak kabul edilebilirliğinden sorumludur.
3. İşleyicinin Yükümlülükleri. İşleyici şunlarla yükümlüdür:
(i) Kişisel Verileri yalnızca Belgeli talimatlara uygun olarak ve Şartlar, Ekleri, Gizlilik Politikası ve hizmet dokümanlarında tanımlanan amaca yönelik olarak işleme,
(ii) Kişisel Verileri işlemeye yetkili kişilere (bundan böyle "Yetkili Kişiler" olarak anılacaktır) GDPR uyarınca hakları ve görevleri, ihlal durumunda sorumlulukları hakkında talimat vermek ve Yetkili Kişilerin gizliliği sağlama konusunda taahhüt vermiş olduklarından emin olmak ve Belgelenmiş talimatları izlemek,
(iii) Şartlar, Ekleri, Gizlilik Politikası ve hizmet dokümanlarında açıklanan önlemleri uygulama ve takip etme,
(iv) Veri Öznelerinin haklarıyla ilgili isteklerine yanıt verme konusunda Kontrolöre yardımcı olma. İşleyici, Kontrolörün talimatı olmadan Kişisel Verilerin işlenmesini düzeltemez, silemez veya kısıtlayamaz. Kontrolör adına işlenen Kişisel Verilerle ilgili Veri Öznesi tarafından gelen tüm istekler gecikmeksizin Kontrolöre iletecektir.
(v) Kontrolöre, süpervizör kurumu ve Veri Öznesine yönelik kişisel veri ihlali bildiriminde yardımcı olma, İşleyici, Kişisel Veri işlemenin veya kişisel veri güvenliğinin herhangi bir ihlalinin ortaya çıkmasından hemen sonra Kontrolör'e bildirecektir. İşleyici, bu tür bir ihlalin soruşturulması ve düzeltilmesinde makul ölçüde iş birliği yapacak ve diğer olumsuz etkileri sınırlamak amacıyla makul önlemleri alacaktır.
(vi) Kontrolörün tercihine bağlı olarak, İşleme Süresinin bitiminden sonra tüm Kişisel Verileri silmek veya Kontrolöre iade etmek. Kontrolör, İşlem Süresinin bitiminden itibaren on (10) gün içinde İşleyiciyi kararı hakkında bilgilendirmekle yükümlüdür. Bu şart, İşleyicinin Kişisel Verileri kamu yararına arşivleme amaçları, bilimsel araştırma amaçları, istatistiksel amaçlar veya yasal taleplerin oluşturulması, uygulanması veya savunulması amacıyla gerekli ölçüde saklama hakkını etkilemeyecektir.
(vii) Kontrolör adına gerçekleştirdiği işleme etkinliklerinin tüm kategorilerinin güncel kayıtlarını tutma,
(d) Şartların, Eklerinin, Gizlilik Politikasının ve hizmet dokümanlarının parçası olarak uyumluluğu sağlamak için gerekli olan tüm bilgileri Kontrolöre sağlama. Kişisel Verilerin işlenmesinin Kontrolör tarafından denetlenmesi veya kontrol edilmesi durumunda Kontrolör, planlanan denetim veya kontrolden en az otuz (30) gün önce İşleyiciyi yazılı olarak bilgilendirmekle yükümlüdür.
4. Başka Bir İşleyicinin Dahil Edilmesi. İşleyici, bulut depolaması ve hizmet için altyapı gibi belirli işleme etkinliklerinin gerçekleştirilmesi için başka bir işleyiciyi bu Şartlara, Eklerine, Gizlilik Politikasına ve hizmet dokümanlarına uygun olacak şekilde sürece dahil etme yetkisine sahiptir. Şu anda Microsoft, Azure Bulut Hizmeti'nin parçası olarak bulut hizmeti ve altyapı sağlamaktadır. Bu durumda bile İşleyici sözleşmenin yegane iletişim noktası ve uyumluluktan sorumlu yegane tarafı olarak kalmaya devam edecektir. İşleyici, işbu belgeyle, bu tür bir değişikliğe itiraz etme olanağının sağlanması amacıyla, başka bir işleyicinin eklenmesi veya değiştirilmesi hakkında Kontrolörü bilgilendirmeyi taahhüt eder.
5. İşleme Alanı. İşleyici, veri işlemenin Avrupa Ekonomik Alanı'nda veya Kontrolörün kararına dayalı olarak, Avrupa Komisyonu kararıyla güvenli addedilen bir ülkede gerçekleştirilmesini garanti eder. Aktarmalar olması ve işlemenin Kontrolörün talebi üzerine Avrupa Ekonomik Alanı'nın veya Avrupa Komisyonu kararıyla güvenli addedilen bir ülkenin dışında gerçekleşmesi durumunda Standart Sözleşme Maddeleri uygulanır.
6. Güvenlik. İşleyici ISO 27001:2013 sertifikalıdır ve ağ katmanında, işletim sistemlerinde, veri tabanlarında, uygulamalarda, kişisel ve işleme süreçlerinde güvenlik kontrolleri yaparken katmanlı bir güvenlik stratejisi uygulamak için ISO 27001 çerçevesini kullanır. Düzenleme ve sözleşme gereksinimleriyle uyumluluk düzenli olarak değerlendirilir ve İşleyicinin diğer altyapı ve faaliyetlerine benzer şekilde incelenir ve uyumluluğun sürekli olarak temin edilmesi için gerekli adımlar atılır. İşleyici, ISO 27001 temelinde ISMS kullanarak veri güvenliğini düzenlemiştir. Güvenlik dokümanları temel olarak bilgi güvenliği, fiziksel güvenlik ve donanım güvenliği, olay yönetimi, veri sızıntılarının ve güvenlik olaylarının yönetimi vs. için politika dokümanlarını içerir.
7. Teknik ve Organizasyonel Önlemler. İşleyici, Kişisel Verileri gelişigüzel ve hukuka aykırı hasar ve imha, gelişigüzel kayıp, değişiklik, yetkisiz erişim ve ifşaya karşı koruyacaktır. Bu amaçla, İşleyici GDPR'nin gerekliliklerine uygun olarak Veri Öznelerinin hakları için işleme şekline ve işlemeden kaynaklı riske karşılık gelen yeterli teknik ve organizasyonel önlemleri alacaktır. Teknik ve organizasyonel önlemlerin ayrıntılı bir açıklaması Güvenlik Politikası'nda belirtilmiştir.
8. İşleyicinin İletişim Bilgileri. Tüm bildirimler, istekler, talepler ve kişisel veri korumasıyla ilgili diğer iletişimler şu birimin dikkatine ESET, spol. s.r.o. şirketine iletilecektir: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.