Veri Koruma Sözleşmesi

EU Genel Veri Koruma Yönetmeliği (EU GDPR), Avrupa Birliği’nde 25 Mayıs 2018’de yürürlüğe giren bir gizlilik ve veri koruma yönetmeliğidir.

EU GDPR’si, kişisel verileri kontrol eden veya işleyen kuruluşlara yeni yükümlülükler getiriyor ve AB vatandaşları için yeni haklar ve korumalar getiriyor.

ORdigiNAL, gizliliğinizin korunmasını sağlamaya kararlıdır ve hem EU GDPR direktifi hem de revize edilmiş Birleşik Krallık (UK) GDPR direktifi dahil olmak üzere ilgili tüm Veri Koruma Mevzuatının hükümlerine sıkı sıkıya uyuyoruz ve tüm kişisel verilerin belirtilen ilkelere uygun şekilde işlenmesini sağlıyoruz yönetmelikte bunu belirtiyor.

Birleşik Krallık GDPR’si, EU GDPR’sini yansıtmaktadır ancak Birleşik Krallık’ın kendi yeterlilik kararlarını vermesi ve Birleşik Krallık’a özgü diğer transfer önlemlerini onaylaması için yeni süreçler sunmaktadır. Birleşik Krallık GDPR direktifi, 2018 Veri Koruma Yasası ile yakından uyumludur; daha fazla bilgiyi burada bulabilirsiniz

ORdigiNAL, kişisel veri işleyicisi olarak GDPR’a uyum sağlama konusunda kararlıdır ve sürekli olarak uyumluluğun sağlanması amacıyla GDPR uygulama projemize liderlik edecek bir çalışma grubu kurmuştur.

  1. Tanımlar
    1.1. Bu DPA’nın amaçları doğrultusunda:

“Kişisel Veri”, kimliği belirli veya belirlenebilir bir gerçek kişiye (‘veri sahibi’) ilişkin her türlü bilgi anlamına gelir; Kimliği belirlenebilir bir gerçek kişi, özellikle isim, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı gibi bir tanımlayıcıya veya fiziksel, fizyolojik, genetik, zihinsel özelliklere özgü bir veya daha fazla faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilir. söz konusu gerçek kişinin ekonomik, kültürel veya sosyal kimliği;

 

“Veri Koruma Kanunu” (a) gizlilik, veri güvenliği, tüketicinin korunması, pazarlama, tanıtım ve kısa mesaj, e-posta ve diğer iletişimlerle ilgili tüm geçerli kanunlar, düzenlemeler ve diğer yasal gereklilikler anlamına gelir; ve (b) herhangi bir Kişisel Verinin kullanılması, toplanması, saklanması, saklanması, güvenliği, ifşa edilmesi, aktarılması, imha edilmesi ve diğer şekillerde işlenmesi;

 

“Şirketin Bağlı Kuruluşu”, Şirketi doğrudan veya dolaylı olarak kontrol eden, Şirket tarafından kontrol edilen veya Şirket ile ortak kontrol altında olan herhangi bir kuruluş anlamına gelir. Bu tanımın amaçları doğrultusunda “Kontrol”, söz konusu kuruluşun oy haklarının %50’sinden fazlasının doğrudan veya dolaylı mülkiyeti veya kontrolü anlamına gelir;

 

“Hizmetler” Şirket tarafından sağlanan aşağıdaki hizmetlerden herhangi biri anlamına gelir: (a) Şirketin web sitesi aracılığıyla sunulan Şirket markalı ürün teklifleri, (b) Şirket tarafından internet aracılığıyla uzaktan veya şahsen sağlanan danışmanlık veya eğitim hizmetleri ve (c) Şirketin yardım masasına erişim de dahil olmak üzere Şirket tarafından sağlanan her türlü destek hizmeti;

 

“veri denetleyicisi”, “veri işleyen”, “veri sahibi”, “kişisel veriler”, “işleme” ve “uygun teknik ve organizasyonel önlemler” terimleri, yürürlükteki Veri Koruma Kanunu kapsamında kendilerine verilen anlamları taşıyacaktır.

  1. Şirketin Kişisel Verileri İşlemesinin Konusu, Niteliği ve Amacı

2.1. Kişisel Verilerin bu DPA kapsamında işlenmesinin konusu, niteliği ve amacı, Veri Koruma Kanunu uyarınca aksi gerekmedikçe, Müşteri tarafından Hizmetlerin kullanımı sırasında yazılı olarak daha ayrıntılı şekilde belirtildiği üzere Şirketin Hizmet performansıdır. Veri Koruma Kanununun izin verdiği ölçüde Şirket, işlemeyi gerçekleştirmeden önce Müşteriyi bu yasal gereklilik konusunda bilgilendirecektir. Şirket, Kişisel Verileri yalnızca Hizmetlerin sunulduğu süre boyunca, Hizmetlerin sağlanması için gerekli olduğu ölçüde ve şekilde ve DPA ve Veri Koruma Kanununa uygun olarak toplayacak veya işleyecektir.

  1. Süre

3.1. Kişisel Verilerin işlenmesi, aksi yazılı olarak kararlaştırılmadıkça, Müşterinin Hizmet Hesabı mevcut olduğu sürece veya Şirket ile Müşteri arasındaki yükümlülük ve hakların yerine getirilmesi için gerekli olduğu sürece Şirket tarafından gerçekleştirilecektir.

  1. İşlenen Kişisel Verilerin Türü

4.1. Müşteri, kapsamı Müşteri tarafından tamamen kendi takdirine bağlı olarak belirlenen ve kontrol edilen ve aşağıdaki Kişisel Veri kategorilerini içerebilen, ancak bunlarla sınırlı olmayan Müşteri Kişisel Verilerini Hizmetlere gönderebilir:

  • Hesap Bilgileri. Müşteri bir Hizmet Hesabına kaydolduğunda, ad ve e-posta gibi belirli bilgiler istenir. Müşteri, istediği zaman Hizmetler Hesabını ziyaret ederek bilgilerini ve e-posta tercihlerini güncelleyebilir veya düzeltebilir. Şirket, Müşterinin bilgilerine erişmesi, bunları düzeltmesi, silmesi veya değiştirmesi için Müşteriye ek destek sağlayabilir.

Şirkete sağlanan ve Müşterinin Hizmet Hesabıyla ilişkilendirilen. Güvenliği korumak amacıyla Şirket, düzeltme yapmadan önce Müşterinin kimliğini doğrulamak için makul adımları (her türlü hukuki bilgiyi talep etmek gibi) atar. Müşteri, Müşteri Hizmetleri Hesabının şifresinin ve bilgilerinin gizliliğini her zaman korumaktan sorumludur.

  • Ek Profil Bilgileri. Müşteri, profilinin bir parçası olarak ek bilgi sağlamayı seçebilir. Profil bilgileri Müşterinin Hizmetlerden daha fazla yararlanmasına yardımcı olur. Profiline hassas bilgilerin dahil edilip edilmeyeceği Müşterinin tercihidir.
  • Diğer bilgiler. Müşteri bir formu doldurduğunda, arama yaptığında, Hizmetler Hesabını güncellediğinde veya bilgi eklediğinde, anketlere yanıt verdiğinde, topluluk forumlarında gönderi paylaştığında, promosyonlara katıldığında veya Şirketin diğer özelliklerini kullandığında Şirkete bilgi sağlamayı tercih edebilir. Hizmetler platformu.3. Şirket Yükümlülükleri 3.1. Şirket aşağıdakileri kabul eder ve/veya garanti eder:
  1. (a) Kişisel Verileri yalnızca Müşteri adına ve talimatlarına ve DPA’ya uygun olarak işlemek; Herhangi bir nedenle bu tür bir uyumluluğu sağlayamazsa, Müşteriye bu uyumsuzluğu derhal bildirmeyi kabul eder; bu durumda Müşteri, veri aktarımını askıya alma ve/veya Hizmetleri feshetme hakkına sahiptir;
  2. (b)  Müşteri adına işlenen tüm Kişisel Verilerin Müşterinin ve/veya ilgili Veri sahiplerinin mülkiyetinde kalması;
  3. (c)  Uygulanacak mevzuatın, Müşteri’den aldığı talimatları ve DPA kapsamındaki yükümlülüklerini yerine getirmesini engellediğine inanmak için hiçbir nedeni olmadığını ve bu mevzuatta önemli bir olumsuz etki yaratması muhtemel bir değişiklik olması durumunda, DPA tarafından sağlanan garantiler ve yükümlülükler uyarınca, değişikliği öğrendiği anda derhal Müşteriye bildirecektir; bu durumda Müşteri, veri aktarımını askıya alma ve/veya Hizmetleri feshetme hakkına sahiptir.;
  4. (d)  aktarılan Kişisel Verileri işlemeden önce Ek 1’de belirtilen teknik ve organizasyonel güvenlik önlemlerini uyguladığını;
  5. (e)  Müşteriyi derhal bilgilendireceğini:
    1. kolluk kuvvetleri soruşturmasının gizliliğini korumak amacıyla ceza hukuku kapsamındaki bir yasak gibi aksi yasaklanmadıkça, Kişisel Verilerin bir kolluk kuvveti tarafından ifşa edilmesine yönelik yasal olarak bağlayıcı herhangi bir talep;
    2. kazara veya yetkisiz erişim; Ve
    3. aksi yönde yetki verilmediği sürece, söz konusu talebe yanıt vermeden veri sahiplerinden doğrudan alınan herhangi bir talep;
  6. (f)  Aktarıma konu olan Kişisel Verilerin işlenmesine ilişkin olarak Müşteriden gelen tüm soruları derhal ve doğru bir şekilde ele almak ve aktarılan verilerin işlenmesine ilişkin denetleyici makamın tavsiyelerine uymak;
  7. (g)  Müşterinin veri işleme tesislerini DPA kapsamındaki işleme faaliyetlerinin denetimi için gönderme talebi üzerine;

 

(h) Alt işleme yapılması durumunda Müşteriyi daha önceden bilgilendirdiğini ve önceden yazılı onayını aldığını;

(i) alt işleyicinin işleme hizmetlerinin Bölüm 7’ye uygun olarak gerçekleştirileceğini;

(j) Veri Koruma Kanununa uygun olarak görevlerini yerine getiren bir veri koruma görevlisi atamak. Veri koruma görevlilerinin iletişim bilgileri Şirket web sayfasında mevcuttur.

(k) yalnızca gizliliğe bağlı olan ve işleriyle ilgili veri koruma hükümlerine daha önceden aşina olan bu Veri Koruma Anlaşmasında belirtilen veri işleme görevini üstlenmek. Şirket ve onun yetkisi altında hareket eden ve Kişisel Verilere erişimi olan herhangi bir kişi, Veri Koruma Yasası gerektirmedikçe, Müşterinin talimatı olmadığı sürece bu verileri işlemeyecektir;

(l) Şirketin sorumluluk alanı dahilindeki işlemlerin Veri Koruma Kanununun gerekliliklerine ve veri sahibinin haklarının korunmasına uygun olmasını sağlamak amacıyla iç süreçleri periyodik olarak izlemek.

  1. Müşteri Yükümlülükleri

5.1. Müşteri kabul eder ve/veya garanti eder:

  1. (a)  Kişisel Verilerin aktarımının kendisi de dahil olmak üzere işlenmesinin Verilerin Korunması Kanunu’nun ilgili hükümlerine uygun olarak gerçekleştirildiğini ve yürütülmeye devam edeceğini ve ilgili hükümleri ihlal etmediğini;
  2. (b)  talimat verdiğini ve kişisel veri işleme hizmetlerinin süresi boyunca Şirkete, aktarılan Kişisel Verileri yalnızca Müşteri adına ve Veri Koruma Kanunu ve Kişisel Verilerin Korunması Kanunu’na uygun olarak işlemesi için talimat vereceğini;
  3. (c)  Şirketin bu DPA’nın Ek 1’inde belirtilen teknik ve organizasyonel güvenlik önlemlerine ilişkin yeterli garantileri sağlayacağını;

 

(d) Veri Koruma Kanununun gereklilikleri değerlendirildikten sonra, özellikle işlemenin verinin bir ağ üzerinden iletilmesini içerdiği durumlarda, Kişisel Verileri kazara veya yasa dışı imhaya veya kazara kaybolmaya, değiştirilmeye, izinsiz ifşa edilmeye veya erişime karşı korumak için güvenlik önlemlerinin uygun olduğu ve diğer tüm yasa dışı işleme biçimlerine karşı olduğunu ve bu tedbirlerin, en son teknoloji ve uygulama maliyeti göz önünde bulundurularak, işlemenin sunduğu risklere ve korunacak verilerin niteliğine uygun bir güvenlik düzeyi sağladığını garanti eder;

  1. (e)  güvenlik tedbirlerine uyulmasını sağlayacağını;
  2. (f)  Hizmetlere yalnızca yasal, yetkili ve kabul edilebilir amaçlarla erişme ve bunları kullanma. Müşteri, Hizmetleri aşağıdaki şekillerde kullanmayacak (veya başkalarının kullanmasına yardımcı olmayacak): (a) Şirketin, kullanıcılarının veya diğerlerinin gizlilik, tanıtım, fikri mülkiyet veya diğer mülkiyet hakları da dahil olmak üzere haklarını ihlal edecek, kötüye kullanacak veya ihlal edecek şekilde kullanmayacak veya başkalarının kullanmasına yardımcı olmayacaktır. Haklar; (b) yasa dışı, müstehcen, karalayıcı, tehdit edici, gözdağı verici, taciz edici, nefret dolu, ırksal veya etnik açıdan saldırgan veya yasa dışı veya başka bir şekilde uygunsuz olabilecek davranışları teşvik eden veya teşvik eden; (c) yalanların, yanlış beyanların veya yanıltıcı beyanların yayınlanmasını içeren; (d) birinin kimliğine bürünmek; (e) toplu mesajlaşma, otomatik mesajlaşma, otomatik arama ve benzeri gibi yasa dışı veya izin verilmeyen iletişimlerin gönderilmesini içeren; veya (f) Şirket tarafından aksi yönde izin verilmedikçe, bu Veri Gizliliği Anlaşmasında belirtilen Hizmetlerin başka herhangi bir şekilde kullanılmasını içermek;
  3. (g)  Hizmetler platformuna izin verilmeyen veya izin verilmeyen şekillerde erişmeyecek, onu kullanmayacak, kopyalamayacak, uyarlamayacak, değiştirmeyecek, buna dayalı türev çalışmalar hazırlamayacak, dağıtmayacak, lisanslamayacak, alt lisans vermeyecek, aktarmayacak, görüntülemeyecek, gerçekleştirmeyecek veya başka bir şekilde istismar etmeyecek veya başkalarına yardımcı olmayacak veya Şirkete, Hizmetler platformuna, sistemlere, diğer kullanıcılara veya diğerlerine yük oluşturacak, zarar verecek veya zarar verecek şekillerde; Müşterinin doğrudan veya otomatik araçlarla: (a) tersine mühendislik yapmayacak, değiştirmeyecek, tadil etmeyecek, türev çalışmalar oluşturmayacak şekilde Hizmetler platformundan kod çözme, kaynak koda dönüştürme veya kod çıkarma; (b) virüsleri veya diğer zararlı bilgisayar kodlarını Hizmetler platformu üzerinden veya Platformun üzerine göndermek, depolamak veya iletmek; (c) Hizmetler platformuna veya sistemlerine yetkisiz erişim sağlamak veya elde etmeye teşebbüs etmek; (d) Hizmetler platformunun bütünlüğüne veya performansına müdahale etmek veya bozmak; (e) Yetkisiz veya otomatik yöntemlerle Hizmetler platformu için hesaplar oluşturmak; (f) diğer kullanıcılara ait veya onlar hakkındaki bilgileri izin verilmeyen veya yetkisiz bir şekilde toplamak; (g) Hizmetler platformunu satmak, yeniden satmak, kiralamak veya ücretlendirmek; veya (h) Hizmetler platformunu aynı anda birden fazla cihaz tarafından kullanılabilecek bir ağ üzerinden dağıtmak veya kullanıma sunmak;

(h) Müşterinin, Müşterinin Hizmet Hesabını güvende ve emniyette tutmaktan sorumlu olduğunu ve Müşterinin, Müşterinin Hesabının veya Hizmetler platformunun herhangi bir yetkisiz kullanımı veya güvenlik ihlali durumunda Şirketi derhal bilgilendireceğini;

(i) Şirketin Müşteriye Hizmetler platformunu kullanması için sınırlı, geri alınabilir, münhasır olmayan, alt lisansı verilemez ve devredilemez bir lisans verdiğini. Bu lisans yalnızca Müşterinin Hizmetler platformunu bu DPA’nın izin verdiği şekilde kullanmasını sağlama amacına yöneliktir. Hiçbir lisans veya hak yoktur

Müşteriye açıkça verilen lisanslar ve haklar hariç, Müşteriye zımnen veya başka bir şekilde verilen lisanslar ve haklar.

  1. Teknik ve Organizasyonel Önlemler

6.1. Şirket, Ek 1’de açıklanan Kişisel Verileri kazara veya yasa dışı imha, kayıp, değişiklik, yetkisiz ifşa veya Kişisel Verilere erişime karşı yeterli şekilde korumak için uygun teknik ve organizasyonel önlemleri alacaktır. Bu önlemler, fiziksel ve bunlarla sınırlı olmamak üzere, aşağıdakileri içerir: BT önlemleri ve organizasyonel önlemler:

  1. (a) Kişisel Veri işleme sistemlerine yetkisiz kişilerin erişiminin engellenmesi (fiziksel erişim kontrolü),
  2. (b) Kişisel Veri işleme sistemlerinin izinsiz kullanılmasının engellenmesi (mantıksal erişim kontrolü),
  3. (c) Kişisel Veri işleme sistemini kullanma hakkına sahip kişilerin yalnızca erişim haklarına uygun olarak erişim hakkına sahip oldukları Kişisel Verilere erişmelerinin ve işleme veya kullanma sırasında ve saklama sonrasında, Kişisel Veriler izinsiz olarak okunamaz, kopyalanamaz, değiştirilemez ve silinemez (veri erişim kontrolü),

(d)Kişisel Verilerin elektronik ortamda iletilmesi, taşınması veya saklama ortamlarında saklanması sırasında izinsiz olarak okunmaması, kopyalanmaması, değiştirilmemesi, silinmemesi ve Kişisel Verilerin veri iletim imkanları vasıtasıyla aktarımı için hedef kurumların oluşturulabilmesinin sağlanması ve doğrulandı (veri aktarım kontrolü),

  1. (e) Kişisel Verilerin, Kişisel Veri işleme sistemlerine girilip girilmediğini, değiştirilip değiştirilmediğini veya bu sistemlerden çıkarılıp çıkarılmadığını (giriş kontrolü) ve kimler tarafından belgelendirecek bir denetim takibinin oluşturulmasını sağlamak,
  2. (f) Kişisel Verilerin kazara yok olmasına veya kaybolmasına karşı korunmasının sağlanması (kullanılabilirlik kontrolü).

6.2. Teknik ve organizasyonel önlemler teknik ilerlemeye ve daha fazla gelişmeye tabidir. Bu bağlamda Şirket alternatif yeterli önlemi uygulayabilir ancak tanımlanan önlemlerin güvenlik düzeyi asla azaltılmamalıdır. Büyük değişiklikler belgelenmelidir.

  1. Alt İşleyiciler

7.1. Müşteri, Şirketin Müşteri adına Hizmetleri sunmasına yardımcı olmak amacıyla Şirketin Bağlı Şirketlerini veya üçüncü tarafları Kişisel Verileri işlemesi için görevlendirebileceğini kabul eder (“Alt İşleyiciler”). Şirket, her bir Alt İşleyici ile, söz konusu Alt İşleyici tarafından sağlanan Hizmetlerin niteliğine uygun olduğu ölçüde, bu Veri Koruma Anlaşmasındakilerden daha az koruyucu olmayan veri koruma yükümlülükleri içeren yazılı bir anlaşma yapmıştır veya yapacaktır. Alt İşleyicinin Hizmetleri AB/AEA dışında işlemesi durumunda Şirket, aktarımın, Müşterinin Şirkete kendi adına girmesine izin verdiği Kişisel Verilerin aktarımına ilişkin Avrupa Komisyonu onaylı standart sözleşme hükümleri uyarınca yapılmasını sağlayacaktır. veya diğer uygun yasal veri aktarım mekanizmalarının kullanıldığı.

7.2. Hizmetlere ilişkin mevcut Alt İşleyiciler, Şirketin web sitesinde (“Alt İşleyici Listesi”) belirtilmektedir ve Müşteri, Şirketin bu tür Alt İşleyicileri, Kişisel Verileri listede belirtildiği şekilde işlemesi için görevlendirdiğini kabul ve tasdik eder. . Şirket, ilgili Hizmetin sağlanmasıyla bağlantılı olarak Kişisel Verileri işlemek üzere herhangi bir yeni Alt İşleyici(ler)i yetkilendirmeden önce yeni Alt İşleyici(ler) hakkında bildirimde bulunacaktır.

7.3. Şirket, herhangi bir Alt İşleyicinin eklenmesi veya değiştirilmesiyle ilgili amaçlanan değişiklikleri otuz (30) gün önceden Müşteriye bildirecektir; bu süre zarfında Müşteri, Alt İşleyicinin atanmasına itiraz edebilir. Her türlü itiraz derhal (ve her halükarda Şirketin amaçlanan değişikliklere ilişkin bildirimini takip eden on dört (14) günü geçmeyecek şekilde) yapılmalıdır. Şirketin, itiraz edilen Alt İşleyiciyi alıkoymayı seçmesi halinde, Şirket, Alt İşleyicinin Kişisel Verileri işlemesine izin vermeden en az on dört (14) gün önce müşteriye bildirimde bulunacak ve ardından Müşteri, Hizmetlerin ilgili bölümünü kullanmayı derhal bırakabilecektir. ve Hizmetlerin ilgili bölümünü sonlandırabilir.

7.4. Şüpheye mahal vermemek için, herhangi bir Alt İşleyicinin herhangi bir alt işleme sözleşmesi veya geçerli yasa kapsamındaki yükümlülüklerini yerine getirmemesi durumunda Şirket, bu DPA kapsamındaki yükümlülüklerinin yerine getirilmesi konusunda Müşteriye karşı tamamen sorumlu kalacaktır.

  1. Denetim

8.1. Müşteri, bu DPA’ya uygunluğu teyit etmek amacıyla, bu konuda gizliliğe uymakla yükümlü bağımsız bir üçüncü tarafı görevlendirerek denetim yapma özgürlüğüne sahip olacaktır. Bu tür bir denetim, Şirketin normal çalışma saatleri içinde gerçekleştirilmelidir ve yalnızca Müşterinin, Şirketin bu DPA’ya uygunluğunu değerlendirmesi için gerekli olduğu ölçüde izin verilecektir. Bu tür bir denetimle bağlantılı olarak Müşteri, denetçinin: (a) Şirketin tesislerindeki her türlü bilgiyi incelemesini; (b) Şirket tarafından makul düzeyde uygulanan makul saha erişimine ve diğer kısıtlamalara uymak; (c) Şirketin politika ve prosedürlerine uymak ve (d) Şirketin iş faaliyetlerine makul olmayan bir şekilde müdahale etmemek. Şirket, işbu Bölüm 8’de belirtilen koşulların ihlali durumunda herhangi bir denetimi kısıtlama veya askıya alma hakkını saklı tutar.

8.2. Müşterinin, bir düzenleyicinin veya veri koruma otoritesinin Hizmetlerle ilgili ek bilgi veya denetim talep etmesi durumunda Şirket, Kişisel Verilerin işlenmesi için gerekli olan veri işleme olanaklarını, veri dosyalarını ve belgelerini Müşteri tarafından denetlenmek üzere sunmayı kabul eder. (veya Müşteri tarafından seçilen denetim acenteleri veya denetçiler gibi herhangi bir üçüncü taraf) bu Veri Gizliliği Anlaşması’na uygunluğu doğrulamak için, bildirimde bulunulması ve denetçinin doğrudan Şirket ile bir gizlilik sözleşmesi imzalaması şartıyla. Şirket, Kişisel Verilerin işlenmesi de dahil olmak üzere Hizmetlerin yerine getirilmesi için kullanılan tüm ilgili bilgilerin sağlanması ve tüm ekipman, yazılım, veri, dosya, bilgi sistemleri vb.’ye erişim dahil olmak üzere bu tür işlemler sırasında Müşteri ile makul işbirliği sağlamayı kabul eder. . Bu tür denetimler masraf ve masrafları Müşteriye ait olmak üzere gerçekleştirilecektir.

8.3. Denetim yalnızca Kişisel Verilerin kötüye kullanıldığından şüphelenmek için belirli nedenler olduğunda ve Müşterinin Şirkete yazılı bildirimde bulunmasından en geç iki hafta sonra gerçekleştirilebilir.

8.4. Gerçekleştirilen denetime ilişkin bulgular taraflarca tartışılıp değerlendirilecek ve duruma göre taraflardan biri tarafından veya her iki tarafça müştereken uygulanacaktır. Denetim masrafları Müşteri tarafından karşılanacaktır.

  1. Veri İhlalinin Bildirilmesi

9.1. Şirketin, Kişisel Verilerin kazara, yetkisiz veya yasa dışı imhası veya yetkisiz ifşa edilmesi veya erişilmesiyle sonuçlanan herhangi bir güvenlik ihlalinden haberdar olması durumunda, Şirket, elinden gelen en iyi şekilde, bu durumu Müşteriye aşırı gecikmeyle bildirecektir. Veri sahiplerini ve/veya ilgili düzenleyici makam(lar)ı bilgilendirip bilgilendirmeyeceğini Müşteri belirleyecektir. Bu raporlama görevi, sızıntının etkisine bakılmaksızın geçerlidir. Şirket, sağlanan bilgilerin tam, doğru ve doğru olması için çaba gösterecektir.

9.2. Kanun ve/veya düzenlemelerin gerektirmesi halinde Şirket, ilgili makamlara ve/veya Veri sahiplerine bildirimde bulunulması konusunda işbirliği yapacaktır. Müşteri bununla ilgili her türlü yasal yükümlülükten sorumlu taraf olmaya devam edecektir.

9.3. Rapor etme görevi, her halükarda, aşağıdakilerle ilgili ayrıntılar da dahil olmak üzere bir sızıntının meydana geldiği gerçeğini rapor etme görevini içerir:

sızıntının (şüphelenilen) nedeni;

bunun (şu anda bilinen ve/veya beklenen) sonuçları; (önerilen) çözüm;

zaten alınmış olan önlemler.

 

  1. Kişisel Verilerin Silinmesi ve İadesi

10.1. Taraflar, veri işleme hizmetlerinin sağlanmasının sona ermesi üzerine Şirket ve alt yüklenicilerinin, Müşterinin tercihine göre, aktarılan tüm Kişisel Verileri ve bunların kopyalarını Müşteriye iade edeceğini veya tüm Kişisel Verileri imha edeceğini kabul eder. ve Şirkete uygulanan mevzuat, aktarılan Kişisel Verilerin tamamını veya bir kısmını iade etmesini veya yok etmesini engellemediği sürece, bunu yaptığını Müşteriye tasdik edecektir. Bu durumda Şirket, aktarılan Kişisel Verilerin gizliliğini garanti edeceğini ve aktarılan Kişisel Verileri aktif olarak işlemeyeceğini garanti eder.

artık değil. Şirket ve alt yüklenicileri, Müşterinin ve/veya denetleyici makamın talebi üzerine, Bölüm 8’de atıfta bulunulan önlemlerin denetimi için veri işleme tesislerini sunacağını garanti eder.

  1. Geçerli Kanun/Forum

11.1. Bu Veri Koruma Sözleşmesi, yürürlükteki Veri Koruma Kanunları aksini gerektirmediği sürece, Sözleşmedeki geçerli kanun ve yargı hükümlerine uygun olarak yönetilecek ve yorumlanacaktır.

11.2. Taraflar, tahkim yargılamasının ve tahkim kararının tüm ayrıntılarını kesinlikle gizli tutmayı kabul ederler ve yargılamanın, bununla bağlantılı olarak ifşa edilen bilgilerin ve verilen kararın izinsiz olarak ifşa edilmesini önlemek için uygun olabilecek önlemleri almak için tüm makul çabayı göstereceklerdir.

Ek No. 1

Şirket tarafından uygulanan teknik ve organizasyonel önlemlerin açıklaması:

Şirket, bu ekte açıklanan önlemleri, Şirketin Hizmetlerinin Müşteriye sunulduğu süre boyunca Kişisel Verilerin korunmasına doğrudan veya dolaylı olarak katkıda bulunması veya katkıda bulunabilmesi koşuluyla uygulayacaktır. Şirketin ilgili Hizmet veya onun bir kısmı için bir önlemin gerekli olmadığına inanması halinde, Şirket bunu gerekçelendirecek ve Müşteri ile bir anlaşmaya varacaktır.

Teknik ve organizasyonel önlemler teknik ilerleme ve gelişmeye tabidir. Bu bağlamda Şirketin alternatif yeterli önlemleri uygulamasına izin verilmektedir. Güvenlik düzeyi, sektördeki en iyi güvenlik uygulamalarıyla uyumlu olmalı ve burada belirtilen önlemlerden daha az olmamalıdır. Tüm önemli değişiklikler Müşteri ile mutabakata varılmalı ve belgelenmelidir.

  1. Risk yönetimi

1.1. Güvenlik riski yönetimi

  1. Şirket gizlilik, bütünlük ve kullanılabilirliğe ilişkin güvenlik risklerini tanımlayacak ve değerlendirecek ve bu değerlendirmeye dayanarak riske uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri uygulayacaktır.
  2. Şirket, operasyonları kapsamındaki riskleri ele almak için belgelenmiş süreçlere ve rutinlere sahip olacaktır.
  3. Şirket, bilgi sistemleri ve bilginin işlenmesi, saklanması ve iletilmesine ilişkin riskleri periyodik olarak değerlendirecektir.

1.2. Kişisel veriler için güvenlik riski yönetimi

1.2.1. Şirket, gizlilik, bütünlük ve kullanılabilirliğe ilişkin güvenlik risklerini belirleyecek ve değerlendirecek ve bu değerlendirmeye dayanarak, belirli Kişisel Veri türleri ve amaçlarına ilişkin risklere uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri uygulayacaktır. Şirket, diğer hususların yanı sıra, uygun olduğu şekilde:

  • Kişisel Verilerin takma ad kullanılması ve şifrelenmesi;
  • İşleme sistemleri ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve dayanıklılığını sağlama yeteneği;
  • Fiziksel veya teknik bir olay durumunda Müşteri Verilerinin kullanılabilirliğini ve erişimini zamanında yeniden sağlama yeteneği;
  • İşlemenin güvenliğini sağlamaya yönelik teknik ve organizasyonel tedbirlerin etkililiğinin düzenli olarak test edilmesine, değerlendirilmesine ve değerlendirilmesine yönelik bir süreç.

1.2.2.

Müşteri adına Kişisel Veriler.

Şirket, işleme sırasında riskleri ele almak için belgelenmiş süreçlere ve rutinlere sahip olacaktır.

1.2.3. Şirket, bilgi sistemleri ve Kişisel Verilerin işlenmesi, saklanması ve iletilmesine ilişkin riskleri periyodik olarak değerlendirecektir.

1.3. Bilgi güvenliği politikaları

1.3.1. Şirket, Şirket yönetimi tarafından onaylanacak, yürürlükteki bilgi güvenliği politikası ve prosedürlerini içeren, tanımlanmış ve belgelenmiş bir bilgi güvenliği yönetim sistemine sahip olacaktır. Şirket bünyesinde yayınlanacak ve ilgili Şirket personeline iletilecektir.

1.3.2. Şirket, Şirketin güvenlik politikalarını ve prosedürlerini periyodik olarak inceleyecek ve bu Ek’e uygunluklarını sağlamak için gerekirse bunları güncelleyecektir.

 

  1. Bilgi güvenliği organizasyonu
  • Şirket, organizasyonu içindeki güvenlik rollerini ve sorumluluklarını tanımlamış ve belgelendirmiş olacaktır.
  • Şirket, uygun güvenlik yeterliliğine sahip, bu Ek kapsamındaki güvenlik önlemlerinin uygulanmasından genel sorumluluğa sahip olan ve Müşterinin güvenlik personelinin irtibat kişisi olacak en az bir veri koruma görevlisi atayacaktır.
  1. İnsan kaynakları güvenliği
  • Şirket, Şirket personelinin bilgileri DPA kapsamında gereken gizlilik düzeyine uygun şekilde kullanmasını sağlayacaktır.
  • Şirket, ilgili Şirket personelinin DPA kapsamındaki bilgi, tesis ve sistemlerin onaylı kullanımından (duruma göre kullanım kısıtlamaları dahil) haberdar olmasını sağlayacaktır.
  • Şirket, Sözleşme kapsamında görev yapan tüm Şirket personelinin güvenilir olmasını, belirlenen güvenlik kriterlerini karşılamasını ve görev süresi boyunca uygun tarama ve özgeçmiş doğrulamasına tabi tutulmasını ve tabi olmaya devam etmesini sağlayacaktır.
  • Şirket, güvenlik sorumluluklarına sahip Şirket personelinin güvenlikle ilgili görevleri yerine getirmek üzere yeterli eğitime sahip olmasını sağlayacaktır.
  • Şirket, ilgili Şirket personeline periyodik olarak güvenlik farkındalığı eğitimi verecek veya sağlayacaktır. Söz konusu Şirket eğitimi, sınırlama olmaksızın aşağıdakileri içerecektir:
  1. (a) Müşteri bilgi güvenliğinin nasıl ele alınacağı (yani bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunması);
  2. (b) Müşteri bilgilerini ve sistemlerini korumak için bilgi güvenliğine neden ihtiyaç duyulduğu;
  3. (c) Yaygın güvenlik tehdidi türleri (kimlik hırsızlığı, kötü amaçlı yazılım, bilgisayar korsanlığı, bilgi sızıntısı ve içeriden gelen tehdit gibi);
  4. (d) Bilgi güvenliği politikalarına uymanın ve ilgili standart/prosedürleri uygulamanın önemi;
  5. (e) Bilgi güvenliğine ilişkin kişisel sorumluluk (müşterinin gizliliğiyle ilgili bilgilerinin korunması ve gerçek ve şüphelenilen veri ihlallerinin raporlanması gibi).
  6. Erişim kontrolü

Şirket; tesisler, siteler, ağ, sistem, uygulama ve bilgi/veri erişimi (fiziksel, mantıksal ve uzaktan erişim kontrolleri dahil) için tanımlanmış ve belgelenmiş bir erişim kontrol politikasına, kullanıcı erişimi ve ayrıcalıkları için bir yetkilendirme sürecine, erişimin iptal edilmesine yönelik prosedürlere sahip olacaktır. Şirket personeli için haklar ve erişim ayrıcalıklarının kabul edilebilir kullanımı mevcuttur.

Şirket, erişim haklarının atanmasını sağlamak için resmi ve belgelenmiş bir kullanıcı kayıt ve kayıt silme sürecini uygulayacaktır.

Şirket, tüm erişim ayrıcalıklarını bilmesi gereken ilkesi ve en az ayrıcalık ilkesine göre atayacaktır.

Şirket, uzaktan erişim kullanıcıları ve güvenilmeyen bir ağdan bağlanan kullanıcılar için güçlü kimlik doğrulama (çok faktörlü) kullanacaktır.

Şirket, Şirket personelinin kişisel ve benzersiz bir tanımlayıcıya (kullanıcı kimliği) sahip olmasını ve kullanıcıların kimliğini doğrulayan ve güvence altına alan uygun bir kimlik doğrulama tekniği kullanmasını sağlayacaktır.

  1. Fiziksel ve çevresel güvenlik

Şirket, bilgi işlem tesislerini, güç/kablolama arızaları ve yardımcı hizmetlerdeki arızalardan kaynaklanan diğer kesintiler dahil olmak üzere dış ve çevresel tehditlere ve tehlikelere karşı koruyacaktır. Buna fiziksel çevre ve erişim koruması da dahildir.

  1. Operasyon güvenliği

Şirketin iş süreçlerinde, bilgi işlem tesislerinde ve sistemlerinde değişiklik yapmak için yerleşik bir değişiklik yönetim sistemi bulunacaktır. Değişiklik yönetimi sistemi, değişiklikler uygulanmadan önce, acil değişiklikleri ele almaya yönelik prosedürler, başarısız değişikliklerden kurtulmak için geri alma prosedürleri, neyin, ne zaman ve kim tarafından değiştirildiğini gösteren günlükler gibi testleri ve incelemeleri içerecektir.

Şirket, Hizmetlerin Müşteriye sağlanması için kullanılan tüm yazılımların kötü amaçlı yazılımlara karşı korunmasını sağlamak için kötü amaçlı yazılımlara karşı koruma uygulayacaktır.

Şirket, bilgilerin Müşteri ile mutabakata varıldığı şekilde geri yüklenebilmesini sağlamak için kritik bilgilerin yedek kopyalarını oluşturacak ve yedek kopyaları test edecektir.

Şirket, işlenen verilerin oluşturulması, okunması, kopyalanması, değiştirilmesi, silinmesi gibi faaliyetleri, istisnaları, hataları ve bilgi güvenliği olaylarını kayıt altına alacak, takip edecek ve bunları düzenli olarak gözden geçirecektir. Ayrıca Şirket, log bilgilerini (en az 6 ay veya Veri Koruma Kanunu’nun belirlediği süre/süreler boyunca) koruyacak ve saklayacak ve talep edilmesi halinde izleme verilerini Müşteriye iletecektir. Anormallikler/olaylar/güvenlik ihlali göstergeleri, aşağıdaki madde 9’da belirtilen veri ihlali yönetimi gerekliliklerine göre rapor edilecektir.

Şirket, işletim sistemleri, veri tabanları, uygulamalar gibi ilgili tüm teknolojilerdeki açıkları proaktif olarak ve zamanında yönetecektir.

Şirket, işletim sistemleri, veritabanları, uygulamalar gibi ilgili tüm teknolojiler için güvenlik temelleri (sertleştirme) oluşturacaktır.

Şirket, geliştirmenin test ve üretim ortamından ayrıldığından emin olacaktır.

  1. İletişim güvenliği

Şirket, bilgi sistemlerini korumak için hizmet seviyesi, güvenlik duvarı ve ayırma gibi ağ güvenliği kontrollerini uygulayacaktır.

  1. Alt tedarikçilerle şirket ilişkileri

Şirket, bu Ekin içeriğini DPA kapsamında verilen görevleri yerine getiren Alt İşleyicilerle yaptığı anlaşmalara yansıtacaktır.

Şirket, Alt İşleyicinin bu Ek’e uygunluğunu düzenli olarak izleyecek, inceleyecek ve denetleyecektir.

Şirket, Müşterinin talebi üzerine, Alt İşleyicinin bu Ek’e uygunluğuna ilişkin Müşteriye kanıt sağlayacaktır.

  1. Veri ihlali yönetimi

Şirket, veri ihlali yönetimine yönelik prosedürler oluşturacaktır.

Şirket, herhangi bir veri ihlali konusunda (Kişisel Verilerin işlenmesiyle ilgili olaylar dahil ancak bunlarla sınırlı olmamak üzere) Müşteriyi mümkün olan en kısa sürede, ancak veri ihlalinin tespit edilmesinden sonraki 36 saat içinde bilgilendirecektir.

Güvenlikle ilgili olayların tüm raporları gizli bilgi olarak ele alınacak ve endüstri standardı şifreleme yöntemleri kullanılarak şifrelenecektir.

Veri ihlali raporu en azından aşağıdaki bilgileri içerecektir:

(a) (b) (c) (d) (e) (f) (g)

Veri ihlalinin niteliği,

Etkilenen Kişisel Verilerin niteliği,

İlgili veri sahiplerinin kategorileri ve sayısı,

İlgili Kişisel Veri kayıtlarının sayısı,

Veri ihlaline yönelik tedbirler alınır,

Veri ihlalinin olası sonuçları ve olumsuz etkileri ve

Müşterinin ilgili düzenleyici kuruma veya veri sahibine bildirmesi gereken diğer bilgiler.

 

Bunlar Şirket tarafındaki arızalara atfedilemez.

Yasal olarak mümkün olduğu ölçüde Şirket, bu madde 9 kapsamındaki destek hizmetleri için tazminat talep edebilir.

  1. İş sürekliliği yönetimi

Şirket, iş sürekliliği risklerini belirleyecek ve bu riskleri kontrol etmek ve azaltmak için gerekli aksiyonları alacaktır.

Şirket, iş sürekliliğini idare etmek için belgelenmiş süreçlere ve rutinlere sahip olacaktır.

Şirket, bilgi güvenliğinin iş sürekliliği planlarına dahil edilmesini sağlayacaktır.

Şirket, iş sürekliliği yönetiminin verimliliğini ve (varsa) kullanılabilirlik gerekliliklerine uyumu periyodik olarak değerlendirecektir.

Daha fazla bilgi için lütfen bu adreslmizle iletişime geçin: [email protected]

Cookie Policy
GDPR
pRIVACY pOLICY