Veri İşleme Sözleşmesi

Bu Veri İşleme Sözleşmesi (ekler dahil) (“DPA”), Müşteri ile aramızdaki Sözleşmenin bir parçasını oluşturur ve Müşteri Kişisel Verilerinin işlenmesiyle ilgili olarak Taraflar arasındaki anlaşmayı yansıtır. Bu DPA'da, “siz”, “sizin” veya “Müşteri” terimleri, aşağıda Madde 1.2’ye tabi olarak Müşteri olarak sizi ifade eder, ve “biz”, “bize” veya “bizim” terimleri, aşağıda tanımlandığı üzere Hizmet Sağlayıcı olarak bizi ifade eder. Bu DPA’da kullanılan ancak aşağıda tanımlanmayan büyük harfli terimler, Genel Şartlar ve Koşullarımızda veya Hizmetlerin kullanımınızı düzenleyen diğer Sözleşmemizde tanımlanmıştır.

1.1 Kapsam. Bu DPA, tarafımızdan bir veri işleyici olarak Müşteri Kişisel Verilerinin işlenmesini düzenler.

1.2 Müşteri Bağlı Kuruluşları. Müşteri, bu DPA'ya hem kendi adına hem de Veri Koruma Yasaları kapsamında gerekli olduğu ölçüde, Bağlı Kuruluşlarına (Şartlar'da tanımlandığı gibi) Hizmetlere erişim sağladığı ve bizim bu Bağlı Kuruluşların veri sorumlusu olarak nitelendirildiği Müşteri Kişisel Verilerini işlediğimiz durumlarda, Bağlı Kuruluşları adına katılır (“Müşteri Bağlı Kuruluşları”). Bu DPA'nın amaçları doğrultusunda ve aksi belirtilmedikçe, “Müşteri” ve “siz” terimleri, Müşteri ve Müşteri Bağlı Kuruluşlarını kapsayacaktır.

1.3 Term Bu DPA, Sözleşmenin süresi dolmuş veya sona ermiş olsa bile, tarafımızdan bu DPA'ya tabi Müşteri Kişisel Verilerinin işlendiği sürece yürürlükte kalacaktır.

2. Tanımlar

“Hesap Verileri”, sizin tarafınızdan veya sizin adınıza Sözleşmenin yapılması ve hesabınızın yönetimi ile bağlantılı olarak bize sağlanan, iletişim bilgileri, fatura detayları ve Sözleşmenin yapılması ve yönetimi ile ilgili yazışmalar dâhil ancak bunlarla sınırlı olmamak üzere, her türlü Kişisel Veriyi ifade eder.

“CCPA”, 2018 tarihli California Tüketici Gizliliği Yasasını ve bu yasa kapsamında çıkarılan tüm yönetmelikleri, her durumda, zaman zaman yapılan değişiklikler ile birlikte ifade eder.

“Müşteri Verileri”, Sözleşme kapsamında sizin tarafınızdan veya sizin adınıza (veya Müşteri Uygulamanızın bir kullanıcısı tarafından) sunulan ve Hizmetler tarafından işlenen veya saklanan her türlü veri, bilgi veya içeriği ifade eder.

“Müşteri Kişisel Verileri”, bu DPA'da aksi belirtilmedikçe, bizim tarafımızdan bir veri işleyici olarak işlenen Müşteri Verileri içinde yer alan Kişisel Verileri ifade eder.

“Data Protection Laws” means all laws and regulations of any jurisdiction applicable to the confidentiality, privacy, security, or processing of Personal Data under the Agreement, including, for example and where applicable, the GDPR or the CCPA. .

“AEA”, bu DPA'nın amaçları doğrultusunda, Avrupa Ekonomik Alanı ve İsviçre'yi ifade eder.

“GDPR”, (i) Kişisel Verilerin işlenmesi ve bu verilerin serbest dolaşımı ile ilgili olarak gerçek kişilerin korunmasına dair Avrupa Parlamentosu ve Konseyi'nin 2016/679 sayılı Tüzüğü (Genel Veri Koruma Tüzüğü); veya (ii) yalnızca Birleşik Krallık ile ilgili olarak 2018 tarihli Veri Koruma Yasası anlamına gelir.

“Kişisel Veri”, doğrudan veya dolaylı olarak tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin herhangi bir bilgiyi ifade eder; bu, tek başına veya diğer bilgilerle kombinasyon halinde olabilir.

“Kişisel Veri İhlali”, Müşteri Kişisel Verilerinin kazara, yetkisiz veya yasadışı bir şekilde yok edilmesi, kaybolması, değiştirilmesi, ifşa edilmesi veya erişilmesi anlamına gelir ve geçerli Veri Koruma Yasaları kapsamındaki “Güvenlik İhlali” gibi benzer terimleri içerir.

“Hizmetler”, bizim veya Bağlı Kuruluşlarımızın sağladığı, (a) herhangi bir Sipariş Formu aracılığıyla sizin tarafınızdan sipariş edilen; veya (b) sizin tarafınızdan kullanılan tüm ürün ve hizmetleri ifade eder.

“Hizmet Sağlayıcı”, bu DPA'ya taraf olan sözleşme tarafımızı ifade eder ve Genel Şartlar ve Koşullararda (Sözleşme Tarafı) Madde 15'te listelenen sözleşme tarafımızdır, aksi belirtilmedikçe Sipariş Formunuzda başka bir şey belirtilmemişse. Bu DPA'da siz veya Hizmet Sağlayıcı bireysel olarak “Taraf” olarak, birlikte ise “Taraflar” olarak da anılabilirsiniz.

“Standart Sözleşme Maddeleri”, Avrupa Parlamentosu ve Konseyi'nin 2016/679 sayılı Tüzüğü uyarınca üçüncü ülkelere Kişisel Verilerin aktarımı için Avrupa Komisyonu tarafından 4 Haziran 2021 tarihinde onaylanan ve şu anda https://eurlex.europa.eu/eli/dec_impl/2021/914/oj adresinde yer alan Standart Sözleşme Maddeleri'nin Kontrolcüden Veri İşleyiciye (Modül İki) veya Veri İşleyiciden Veri İşleyiciye (Modül Üç) olan, geçerli olan versiyonlarını ifade eder.

“Alt İşleyici”, Hizmet Sağlayıcı'nın veri işleyici veya alt işleyici olarak hareket ettiği durumlarda, Müşteri Kişisel Verilerini Hizmet Sağlayıcı adına işleyen üçüncü taraf bir varlığı ifade eder.

“İngiltere Standart Sözleşme Maddeleri” şunlardan herhangi birini veya hepsini ifade eder: (i) 2018 tarihli DPA'nın 119A maddesi uyarınca İngiltere Bilgi Komiseri tarafından çıkarılan uluslararası veri transfer anlaşması; (ii) İngiltere Bilgi Komiseri tarafından 2018 tarihli DPA'nın 119A maddesi uyarınca Avrupa Komisyonu'nun uluslararası veri transferleri için standart sözleşme maddelerine ek olarak çıkarılan uluslararası veri transfer ek protokolü; veya (iii) bu maddelerin zaman zaman yerini alabilecek İngiltere Bilgi Komiseri veya Avrupa Komisyonu tarafından çıkarılan standart sözleşme hükümleri.

“İşleme”, “veri sorumlusu”, “veri işleyici”, “veri sahibi” gibi terimler GDPR kapsamındaki anlamlarına sahip olacaktır. “Veri sorumlusu” tanımı “işletme”, “tüketici”, “kontrolcü” ve “örgüt”ü içerir; “veri işleyici” tanımı “hizmet sağlayıcı”, “işleyici” ve “veri aracı”yı içerir; “veri sahibi” tanımı “tüketici” ve “birey”i içerir; ve “Kişisel Veri” tanımı “kişisel bilgi”yi içerir, her durumda CCPA ve diğer geçerli Veri Koruma Yasaları altında tanımlandığı şekildedir. “İş amaçlı”, “ticari amaçlı”, “satmak” ve “paylaşmak” terimleri, geçerli Veri Koruma Yasaları'ndaki anlamlarına sahip olacak ve her durumda ilgili terimler buna göre yorumlanacaktır.

3. Müşteri Kişisel Verilerinin İşlenmesi

3.1 Amaçlar. Müşteri Kişisel Verilerini yalnızca aşağıdaki ölçüde işleyeceğiz: (i) Hizmetleri sağlamak için, bu, iletişimin iletilmesi, hizmetlerin güvenliğinin sağlanması, teknik ve teslimat raporlarının sağlanması, destek sağlanması ve belgelenmiş talimatlarınıza uygun olarak veri işleyici olarak geliştirme ve güncellemelerin uygulanmasını içerir; (ii) Veri sorumlusı olarak geçerli iş amaçlarımız doğrultusunda, bu DPA'nın 3.4 maddesinde belirtildiği gibi; ve (iii) geçerli yasaların gerektirdiği durumlarda.

3.2 Müşteri Talimatları. Sözleşme ve bu DPA, bu DPA'nın imzalandığı anda bize veri işleyici olarak verdiğiniz tam talimatları oluşturur. Diğer makul şekilde belgelenmiş talimatlara uyacağız, ancak bu talimatların Sözleşme şartlarıyla tutarlı olması şarttır.

3.3 İşleme Detayları. Bu DPA'nın Ek I'ine ekli Ek I, Bölüm B (Transfer Tanımı), veri işleyici veya Alt İşleyici olarak tarafımızdan yapılan işlemenin doğasını ve amacını, işleme faaliyetlerini, işlemenin süresini, Kişisel Veri türlerini ve veri sahiplerinin kategorilerini belirtir.

3.4 Meşru İş Amaçları. Müşteri Kişisel Verilerini, aşağıdaki geçerli iş amaçları için bağımsız bir veri sorumlusı olarak işlediğimizi kabul edersiniz: faturalama, hesap yönetimi, finansal ve iç raporlama, sizi, bizi veya hizmetlerimizi etkileyebilecek güvenlik tehditleri, siber saldırılar ve siber suçlarla mücadele ve bunları önleme, iş modelleme (örneğin, tahmin, kapasite ve gelir planlaması, ürün stratejisi), dolandırıcılık, spam ve kötüye kullanımın önlenmesi ve tespiti, ürün ve hizmetlerimizde iyileştirme ve yasal yükümlülüklerimize uymak.

4. Müşteri Yükümlülükleri

4.1 Yasallık. Müşteri Kişisel Verileri üzerinde veri sorumlusı olarak hareket ettiğinizde, tüm işleme faaliyetlerinin yasal olduğunu, belirli bir amaca hizmet ettiğini ve Müşteri Kişisel Verilerinin yasal aktarımını sağlamak için gerekli bildirimlerin ve onayların veya diğer uygun hukuki temellerin mevcut olduğunu garanti edersiniz. Eğer veri işleyici iseniz (bu durumda biz Alt İşleyici olarak hareket edeceğiz), ilgili veri sorumlusunun bu Bölüm 4.1'de listelenen koşulları karşıladığını sağlamayı üstleneceksiniz.

4.2 Uyumluluk. (a) Hizmetleri kullanımınız ve Müşteri Kişisel Verilerinin kendi işlenmenizle ilgili olarak geçerli Veri Koruma Yasalarına uyduğunuzdan emin olmaktan, (b) Hizmetlerin teknik ve organizasyonel önlemlerinin ihtiyaçlarınızı karşılayıp karşılamadığını bağımsız olarak değerlendirmekten ve (c) sağladığınız veya kontrol ettiğiniz bileşenler (şifreler, Hizmetlerle kullanılan cihazlar ve Müşteri Uygulamaları dahil ancak bunlarla sınırlı olmamak üzere) için gizlilik ve güvenlik önlemlerini uygulamak ve sürdürmekten yalnızca siz sorumlusunuz.

5. Güvenlik

5.1 Güvenlik Önlemleri. Teknolojinin mevcut durumu, uygulama maliyetleri, işleme faaliyetlerinin doğası, kapsamı, bağlamı ve amaçları ile doğal kişilerin hakları ve özgürlükleri için değişken olasılık ve ciddiyet riskini dikkate alarak, Müşteri Kişisel Verilerini Kişisel Veri İhlallerinden korumak ve sistemlerimizin Müşteri Kişisel Verilerini işlemek için kullandığı Müşteri Verilerinin güvenliğini, bütünlüğünü, erişilebilirliğini, dayanıklılığını ve gizliliğini korumak amacıyla uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacak ve sürdüreceğiz. Tarafımızca uygulanan güvenlik önlemleri Ek II'de açıklanmıştır.

5.2 Güvenlik Önlemlerinin Güncellenmesi. Müşteri Kişisel Verilerinin güvenliği ile ilgili tarafımızca sağlanan bilgileri gözden geçirmekten ve bu bilgilerin ihtiyaçlarınızı ve Veri Koruma Yasaları altındaki yasal yükümlülüklerinizi karşılayıp karşılamadığını bağımsız olarak değerlendirmekten siz sorumlusunuz. Güvenlik önlemlerinin teknik ilerlemelere ve gelişmelere tabi olduğunu ve zaman zaman güvenlik önlemlerimizi güncelleyebileceğimizi veya değiştirebileceğimizi kabul edersiniz, ancak bu güncellemeler ve değişiklikler Müşteri Kişisel Verilerinin genel güvenliğinin kötüleşmesine neden olmamalıdır.

5.3 Erişim Kontrolleri. “Bilgiye erişim ihtiyacı” ve “en az ayrıcalık” ilkelerini uygulayarak, Müşteri Kişisel Verilerine erişimin, Hizmetlerin sağlanması ve Sözleşme, bu DPA dahil olmak üzere, ilgili personelle sınırlı olmasını sağlarız.

5.4 İşlemenin Gizliliği. Müşteri Kişisel Verilerini işlemeye yetkili olan herhangi bir kişi veya tarafın (personelimiz, ajanlarımız ve Alt İşleyicilerimiz dahil) bu verilerin gizli doğası hakkında bilgilendirileceğini ve angajmanlarının sona ermesinden sonra da geçerli olan uygun bir gizlilik yükümlülüğüne tabi olacağını sağlayacağız (bu yükümlülük sözleşmeye dayalı veya yasal olabilir).

5.5 Kişisel Veri İhlaline Yanıt ve Bildirim. Kişisel Veri İhlalini fark ettiğimizde, derhal (i) sizi bilgilendirecek, (ii) Kişisel Veri İhlalini araştıracak, (iii) Kişisel Veri İhlali hakkında bilinen veya makul şekilde talep edilen bilgileri zamanında sağlayacak ve (iv) Kişisel Veri İhlalinin etkilerini hafifletmek ve tekrarlamasını önlemek için ticari olarak makul adımlar atacağız.

6. Yardım

6.1 Veri Koruma Yardımı. Veri Koruma Yasaları altındaki yükümlülüklerinizi yerine getirmenize yardımcı olmak için makul şekilde talep edilen desteği sağlayacağız. Bu destek, Kişisel Veri İhlalini bildirme, işleme güvenliğinin uygun seviyesini değerlendirme ve ilgili bir veri koruma etki değerlendirmesi yapmanıza yardımcı olmayı içerir.

6.2 Veri Sahiplerinin Haklarına Yardım. Veri Koruma Yasaları kapsamında haklarını kullanan veri sahipleriyle ilgili yükümlülüklerinizi yerine getirmenize yardımcı olmak amacıyla, hesabınız aracılığıyla teknik ve organizasyonel önlemler sağlayacağız. Şüpheye mahal vermemek için, veri denetleyicisi olarak veri sahiplerinin Müşteri Kişisel Verileri ile ilgili olarak yapacağı talepler veya şikayetler ile ilgilenmek sizin sorumluluğunuzdadır.

7. İfşa ve İfşa Talepleri

7.1 İfşa ve Erişim Sınırlamaları. Müşteri Kişisel Verilerine erişim sağlamayacak veya bu verileri açıklamayacağız, ancak (i) sizin talimatlarınız doğrultusunda, (ii) Sözleşme ve bu DPA'da belirtilen şekilde veya (iii) yasal olarak gerekli olduğunda.

7.2 İfşa Talepleri. Bir hükümet veya düzenleyici kuruluştan Müşteri Kişisel Verilerini açıklamaya yönelik bir talep alırsak, yasal olarak böyle bir bildirim yasağı bulunmadığı sürece, size makul bir şekilde mümkün olan en kısa sürede bildireceğiz. Açıklama taleplerini, web sitemizde burada bulunan açıklama talep politikamıza uygun olarak ele alacağız.

8. Alt İşleyiciler

8.1 Mevcut Alt İşleyicilerin Listesi. Hizmetlerle ilgili olarak, alt işleyicilerin kullanımıyla ilgili olarak, Sub-işleyicilerimizle ilgili genel bakışta listelenmiş olan alt işleyicilerin kullanımıyla ilgili olarak sizinle anlaşmaya varırsınız. Bu genel bakışta, alt işleyicilerin kullanımındaki değişikliklere ilişkin bildirimlere abone olmanız için bir prosedür de bulunmaktadır. Böyle bir bildirimlere abone olursanız ve bu DPA'nın Bölüm 8.3'ünü dikkate alarak, alt işleyicilerdeki herhangi bir değişikliğin ayrıntılarını makul bir şekilde mümkün olan en kısa sürede paylaşacağız.

8.2 Alt İşleyicilerin Atanması. Bu DPA aracılığıyla, size, bu DPA’nın Bölüm 8.3’üne ve aşağıdaki gereksinimlere tabi olarak, Müşteri Kişisel Verilerini işlemek için alt işleyicilerle çalışma konusunda genel bir yazılı yetki veriyorsunuz:

  • Alt işleyicilerin Müşteri Kişisel Verilerine erişimini, alt işleyici sözleşmesinde belirtilen hizmetleri sağlamak için kesinlikle gerekli olanla sınırlayacağız;
  • Alt işleyici ile, bu DPA kapsamındaki yükümlülüklerle esasen aynı olan veri koruma yükümlülükleri üzerinde anlaşacağız; ve
  • Alt işleyicinin veri koruma yükümlülüklerinin yerine getirilmesinden bu DPA kapsamında size karşı sorumlu olmaya devam edeceğiz.

8.3 Alt İşleyicilerdeki Değişikliklerin Bildirimi ve İtiraz Hakkı. Yeni alt işleyicilerle değişim yapmadan önce ("Alt İşleyici Değişikliği"), size Alt İşleyici Değişikliğine itiraz etme seçeneği sunacağız. Bir Alt İşleyici Değişikliğine itiraz edebilirsiniz, şartlar şu şekildedir: (i) itiraz, Alt İşleyici Değişikliği bildirimimizi aldığınız tarihten itibaren on (10) iş günü içinde yazılı olarak yapılmalıdır ve (ii) itiraz, Müşteri Kişisel Verilerinin korunmasıyla ilgili makul gerekçeleri açıkça belirtmelidir. Bir önerilen Alt İşleyici Değişikliğine itiraz ettiğinizde, size, ilgili Alt İşleyicinin kullanımını önleyen ticari olarak makul bir değişiklik yapma konusunda iyi niyetle çalışacağız. Eğer böyle bir değişiklik, itiraz bildiriminizi aldığımız tarihten itibaren otuz (30) iş günü içinde makul bir şekilde yapılamazsa veya değişiklik bizim için ticari olarak makul değilse, her iki taraf da ilgili Alt İşleyicinin kullanılmadığı özelliklerin hizmetlerini sonlandırabilir. Bu sonlandırma hakkı, Alt İşleyici Değişikliğine itiraz ettiğinizde size sunulan tek ve münhasır çaredir.

9. Müşteri Kişisel Verilerinin Sınır Ötesi Aktarımları

9.1 Müşteri Kişisel Verilerinin Aktarımı. We can transfer Customer Personal Data only if all necessary safeguards mandated by Data Protection Laws are implemented. This may involve conducting a prior data transfer impact assessment, adopting, monitoring, and evaluating additional technical, organizational, and legal measures, ensuring enforceable data subject rights, and providing effective legal remedies for data subjects.

9.2 Alt İşleyici Standart Sözleşme Maddeleri. Aksi takdirde uygunluk kararı veya alternatif transfer mekanizması uygulanmadıkça, örneğin AB-ABD Veri Gizliliği Çerçevesi, EEA dışındaki Sub-işlemciler (ve buna bağlı kuruluşlarımız) ile Standart Sözleşme Maddeleri'ne girmiş ve bunları sürdüreceğiz, bu DPA'nın 9.1 Bölümünde belirtilen şartlara tabi olarak.

9.3 Transfer Mechanisms for Customer Personal Data Transfers. Müşteri Kişisel Verilerinin bir yetki bölgesinden (örneğin EEA, California, Singapur, İsviçre veya Birleşik Krallık) bize, o yetki bölgesinin dışında bulunan bir sağlayıcıya yasal olarak aktarılması gereken bir sınır ötesi veri transfer mekanizmasını gerektiriyorsa, bu bölüm uygulanacaktır. Hizmetlerin sağlanması sırasında, GDPR veya bu DPA'ya uygulanan diğer bireylerin korunması veya gizliliği ile ilgili yasalar kapsamında olan Müşteri Kişisel Verileri, veri koruma yasalarının anlamında yeterli bir veri koruma düzeyini sağlamayan ülkelere aktarıldığında, aşağıda listelenen transfer mekanizmaları bu tür aktarımlar için geçerli olacaktır ve bu aktarımlar Veri Koruma Yasalarına tabi olduğu ölçüde taraflar tarafından doğrudan uygulanabilir.

9.3.1 Taraflar, Standart Sözleşme Maddeleri'nin, EEA veya İsviçre'den doğrudan veya dolaylı olarak, Avrupa Komisyonu (veya İsviçre'den yapılan transferler durumunda İsviçre'nin yetkili makamı) tarafından kişisel veriler için yeterli koruma düzeyi sağlamadığı kabul edilen bir ülkeye yerleşik bir Sağlayıcı varlığına aktarılan Müşteri Kişisel Verileri için uygulanacağını kabul ederler.

9.3.1.1 When you are acting as a data controller and we are a data processor, the EU Controller-to-Processor (Module Two) of the Standard Contractual Clauses will apply to any transfer of Customer Personal Data from the EEA. Conversely, when you are acting as a data processor and we are a sub-processor, the Processor-to-Processor (Module Three) of the Standard Contractual Clauses will apply to such transfers of Customer Personal Data from the EEA.

9.3.1.2 We will be deemed the data importer and you will be deemed the data exporter under the Standard Contractual Clauses. Each party’s signing of this DPA will be treated as signing of the applicable Standard Contractual Clauses, which will be deemed incorporated into this DPA. Details required under Annex 1 and Annex 2 to the Standard Contractual Clauses are available in Appendix I and Appendix II to this DPA. In the event of any conflict or inconsistency between this DPA and the Standard Contractual Clauses, the Standard Contractual Clauses shall prevail solely with respect to a transfer of Customer Personal Data from the EEA.

9.3.1.3 Standart Sözleşme Maddeleri tarafların opsiyonel maddeler arasında seçim yapmasını ve bilgi girmesini gerektirdiğinde, taraflar aşağıda belirtilen şekilde hareket etmiştir:

i. Opsiyonel Madde 7 “Bağlama Maddesi” benimsenmeyecektir.

ii. Madde 9 “Alt işleyicilerin kullanımı” için taraflar aşağıdaki seçeneği tercih eder: “Seçenek 2 Genel yazılı yetki: Veri ithalatçısının, kabul edilen listeye dayalı olarak alt işleyicileri devreye alma için denetleyicinin genel yetkisi bulunmaktadır. Veri ithalatçısı, alt işleyicilerin eklenmesi veya değiştirilmesi ile ilgili olarak listeye yapılacak herhangi bir değişikliği yazılı olarak en az 10 iş günü önceden denetleyiciye bildirecektir, böylece denetleyici alt işleyicilerin devreye alınmasından önce bu değişikliklere itiraz edebilmek için yeterli zamana sahip olacaktır. Veri ithalatçısı, veri ihracatçısına itiraz hakkını kullanabilmesi için gerekli bilgileri sağlayacaktır. Veri ithalatçısı, alt işleyicilerin devreye alınması hakkında veri ihracatçısını bilgilendirecektir.”

iii. Madde 11 (a) “Tazminat” için taraflar Seçeneği benimsememektedir.

iv. Madde 17 “Geçerli Hukuk” için taraflar aşağıdaki seçeneği tercih eder: “Seçenek 1. Bu Maddeler, üçüncü taraf yararlanıcı haklarını tanıyan bir AB Üye Devletinin yasaları tarafından yönetilecektir. Taraflar, bunun Hollanda yasaları olacağını kabul eder.”

v. Madde 18 (b) “Forum ve Yetki Seçimi” için taraflar aşağıdaki seçeneği tercih eder: “Taraflar, yetkili mahkemelerin Hollanda mahkemeleri olacağını kabul eder.”

9.3.2 Taraflar, İngiltere Standart Sözleşme Maddeleri'nin, İngiltere'den doğrudan veya ileri transfer yoluyla Sağlayıcı bir varlığa aktarılan Müşteri Kişisel Verileri için geçerli olacağını kabul ederler. Bu varlık, İngiltere dışındaki ve İngiltere'deki yetkili düzenleyici otorite veya hükümet organı tarafından kişisel veriler için yeterli bir koruma seviyesi sağladığı kabul edilmeyen bir ülkede bulunmaktadır.

9.3.2.1 Birleşik Krallık Standart Sözleşme Maddeleri uyarınca, biz veri ithalatçısı ve siz veri ihracatçısı olarak kabul edileceksiniz. Her bir tarafın bu DPA'yı imzalaması, Birleşik Krallık Standart Sözleşme Maddeleri'ni imzaladığını kabul edecek ve bu maddeler, bu DPA'ya dahil edilmiş sayılacaktır. Birleşik Krallık Standart Sözleşme Maddeleri altında gerekli ayrıntılar, bu DPA'nın Ek I ve Ek II'sinde mevcuttur. Bu DPA ile Birleşik Krallık Standart Sözleşme Maddeleri arasında herhangi bir çelişki veya tutarsızlık durumunda, Birleşik Krallık Standart Sözleşme Maddeleri yalnızca Birleşik Krallık'tan Müşteri Kişisel Verileri transferi ile ilgili olarak geçerli olacaktır.

10. Denetim

10.1 Denetim Raporu. İletişim platformumuz düzenli olarak ISO 27001 standardına (veya eşdeğerine) göre denetlenecektir. Denetim, tamamen bizim takdirimize bağlı olarak, iç denetim veya üçüncü bir taraf tarafından gerçekleştirilen bir denetim olabilir. Yazılı talep üzerine, denetim standartlarına ve bu DPA'ya uyumumuzu doğrulamanız için size denetim raporlarının (“Denetim Raporu”) bir özetini sağlayacağız. Bu tür Denetim Raporları ve içinde belirtilen herhangi bir sonuç veya bulgu, bizim Gizli Bilgilerimizdir.

10.2 Müşteri Bilgi Talepleri. Bu DPA'da belirtilen yükümlülüklere uyumumuzu göstermek için makul olarak gerekli olan tüm bilgileri size sağlayacağız. Bilgi güvenliği ve denetim anketleri gibi kapsamı makul ve bu DPA'ya uyumu doğrulamak için gerekli olan bilgilere ilişkin makul taleplere yazılı yanıtlar vereceğiz, ancak siz (i) öncelikle talep edilen bilgileri Dokümantasyon, Denetim Raporları ve bizim sağladığımız veya kamuya açıkladığımız diğer bilgilerden elde etmeye makul bir çaba göstermiş olmalısınız ve (ii) bu hakkı yılda bir defadan fazla kullanmayacaksınız, aksi takdirde, kişisel veri ihlali veya Hizmetlerle ilgili işleme faaliyetlerimizde önemli bir değişiklik varsa, ek bir anketin yapılması gerekebilir. Sağlanan tüm yanıtlar bizim Gizli Bilgilerimizdir.

10.3 Müşteri Denetimi. Eğer tarafımızca sağlanan bir Denetim Raporu, yükümlülüklerimizi ihlal ettiğimize dair geçerli nedenler sunduysa ve bu ihlal, size sağlanan Müşteri Kişisel Verileri ile ilgiliyse, bağımsız ve nitelikli bir üçüncü taraf denetçisinin sizin tarafınızdan atanıp bizim onayımızla denetim yapmasına izin vereceğiz, ancak uygulanabilir yasanın izin verdiği ölçüde aşağıdaki gereklilikler karşılanmalıdır:

  • Denetim hakkını kullanmadan önce bize en az altmış (60) gün makul önceden haber vermelisiniz;
  • Denetçi, bizimle pazar standartlarına uygun gizlilik yükümlülükleri kabul etmelidir;
  • Siz ve denetçi, iş operasyonlarımızda kesintiyi en aza indirmek için önlemler almalıdır;
  • Denetim normal iş saatleri içinde yapılacaktır;
  • Başka müşterilerin verilerine veya Hizmetlerin sağlanmasıyla ilgili olmayan sistemlere erişim sağlama yükümlülüğümüz bulunmamaktadır;
  • Denetimin tüm maliyetlerini siz karşılayacaksınız.

11. Müşteri Kişisel Verilerinin Silinmesi ve İadesi.

Sözleşmenin sona ermesi veya süresinin dolması durumunda, sizin tercihinize bağlı olarak, sahip olduğumuz veya kontrolümüzde bulunan tüm Müşteri Kişisel Verilerini (kopyalar dahil) sileceğiz veya size geri döndüreceğiz. Ancak, bu gereklilik, yasal olarak bazı veya tüm Müşteri Kişisel Verilerini saklama zorunluluğumuzun olduğu durumlarda geçerli olmayacaktır. Müşteri Kişisel Verilerini silmemizi talep ederseniz, yedekleme sistemlerimizde arşivlenen Müşteri Kişisel Verileri daha fazla işlenmekten korunacak ve gerekli saklama süresi geçtiğinde silinecektir.

12. Müşteri Bağlı Kuruluşları İletişimi ve Hakları.

Bu DPA'nın Bölüm 1.2'de belirtilen bir Müşteri Bağlı Kuruluşunun adına ve onun adına imzalanması, bizimle o Müşteri Bağlı Kuruluşu arasında ayrı bir DPA oluşturur, aşağıdaki şartlara tabi olarak:

12.1. İletişim. Sözleşmeye taraf olan Müşteri, bu DPA kapsamında bizimle tüm iletişimi koordine etmekten sorumlu olacak ve Müşteri Bağlı Kuruluşları adına bu DPA ile ilgili herhangi bir iletişim yapma ve alma hakkına sahip olacaktır.

12.2 Müşteri Bağlı Kuruluşlarının Hakları. Bir Müşteri Bağlı Kuruluşu bizimle bu DPA'ya taraf olduğunda, Veri Koruma Kanunları uyarınca gerekli olduğu ölçüde bu DPA kapsamındaki hakları kullanma ve çözüm arama hakkına sahip olacaktır, aşağıdaki şartlara tabi olarak:

(i) Veri Koruma Kanunları, Müşteri Bağlı Kuruluşu'nun bu DPA kapsamında doğrudan bizimle bir hak kullanmasını veya çözüm aramasını gerektirmedikçe, taraflar anlaşır ki (i) sadece Anlaşmanın tarafı olan Müşteri, Müşteri Bağlı Kuruluşu adına herhangi bir hakkı kullanacak veya çözüm arayacaktır ve (ii) Anlaşmanın tarafı olan Müşteri, bu DPA kapsamındaki hakları her bir Müşteri Bağlı Kuruluşu için ayrı ayrı değil, kendisi ve tüm Müşteri Bağlı Kuruluşları için topluca kullanacaktır.

(ii) Taraflar, Anlaşmanın tarafı olan Müşteri'nin, bu DPA'nın 10.3 maddesinde belirtilen müşteri kişisel verilerinin korunmasıyla ilgili prosedürlerin yerinde denetimi gerçekleştirilirken, kendisi ve tüm Müşteri Bağlı Kuruluşları adına yapılan birden fazla denetim talebini tek bir denetim altında birleştirerek, makul ölçüde mümkün olduğunca bizim üzerimizdeki etkiyi sınırlamak için tüm makul önlemleri alacağını kabul ederler. Açıklık getirmek gerekirse, bir Müşteri Bağlı Kuruluşu Anlaşmanın tarafı olmaz.

13. California Tüketici Gizliliği Yasası (CCPA).

Geçerli olduğu ölçüde, CCPA kapsamındaki Müşteri Kişisel Verilerinin işlenmesi ile ilgili olarak size aşağıdaki ek taahhütleri veriyoruz.

13.1 ABD Veri Koruma Yasaları Altındaki Yükümlülüklerimiz. Bu Bölüm 13.1'de kullanılan “iş amaçlı”, “ticari amaçlı”, “tüketici”, “satış” ve “paylaşım” terimleri, CCPA'da verilen anlamlara sahiptir. Geçerli olduğu ölçüde, CCPA'ya uyarız ve CCPA ve diğer geçerli ABD Veri Koruma Yasaları (“ABD Kişisel Verileri”) kapsamındaki tüm Müşteri Kişisel Verilerini CCPA ve diğer ABD Veri Koruma Yasaları hükümlerine uygun olarak işleriz. ABD Kişisel Verileri ile ilgili olarak, biz CCPA kapsamında bir hizmet sağlayıcı ve diğer ABD Veri Koruma Yasaları kapsamında bir veri işleyicisiyiz. ABD Kişisel Verilerini satmayacağız. ABD Kişisel Verilerini (i) Sözleşme'de belirtilen iş amaçları dışında herhangi bir amaç için (bu amaçla ABD Kişisel Verilerini Sözleşme'de belirtilen iş amacının dışında bir ticari amaç için veya CCPA veya geçerli yasaların izin verdiği şekilde) saklamayacak, kullanmayacak veya açıklamayacağız; veya (ii) sizinle ve bizim aramızdaki doğrudan iş ilişkisi dışında saklamayacak, kullanmayacak veya açıklamayacağız.

13.2 Müşteri Yükümlülükleri. Kişisel Verilerin geçerli Veri Koruma Yasaları uyarınca kullanıldığı veya paylaşıldığı konusunda Son Kullanıcıya bildirimde bulunduğunuzu beyan ve taahhüt edersiniz. Veri Kontrolcüsü olarak size uygulanabilir Veri Koruma Yasalarının gerekliliklerine uyum sağlama sorumluluğu size aittir.

14. Geçerli Hukuk ve Uyuşmazlık Çözümü.

Bu DPA'dan kaynaklanan veya bu DPA ile ilgili herhangi bir uyuşmazlık, iddia veya anlaşmazlık (“Uyuşmazlıklar”) Hollanda yasalarına tabidir ve bu yasalar doğrultusunda yorumlanacaktır. Her Bir Taraf, Amsterdam'ın yetkili mahkemelerinin bu DPA'dan kaynaklanan veya bu DPA ile ilgili uyuşmazlıkları çözme konusunda münhasır yargı yetkisine sahip olacağını kabul eder.

EK I - İŞLEME DETAYLARI

Geçerli olduğu yerlerde, bu Ek I, EEA Standart Sözleşmesel Maddeleri için Ek I olarak hizmet edecektir.

Ek I, Bölüm A. Tarafların Listesi

Veri ihracatçısı: Müşteri

Veri ihracatçısının iletişim bilgileri: Müşteri'nin hesabında listelenen adres, Müşteri'nin hesap sahibi e-posta adresi veya Müşteri'nin Sözleşme kapsamında bildirim almak için seçtiği e-posta adres(leri).

Veri ihracatçısının rolü: Veri ihracatçısının rolü, DPA'nın Bölüm 4'ünde açıklanmıştır.

İmza ve tarih: Geçerli olduğunda, veri ihracatçısının, işbu DPA'nın Yürürlük Tarihi itibariyle burada yer alan Standart Sözleşme Maddeleri'ni imzaladığı kabul edilecektir.

Veri ithalatçısının iletişim bilgileri: Veri Koruma Görevlisi - privacy@bird.com

Veri ithalatçısının rolü: Veri ithalatçısı veri işleyici olarak hareket eder.

İmza ve tarih: Geçerli olduğunda, veri ithalatçısının, işbu DPA'nın Yürürlük Tarihi itibariyle burada yer alan Standart Sözleşme Maddeleri'ni imzaladığı kabul edilecektir.

Ek I, Bölüm B. Transfer Açıklaması

1. Aktarılan Kişisel Verileri olan Veri Sahiplerinin Kategorileri.

  • Kullanıcılar. Hizmetleri kullanan Müşteri’nin irtibat kişileri (gerçek kişiler) veya çalışanlar, yükleniciler veya geçici işçiler (mevcut, aday, eski) (“Kullanıcılar”);
  • Son Kullanıcılar. (i) Müşteri’nin irtibat listelerinde yer alan birey; (ii) Bilgilerinin Hizmetler üzerinde saklandığı veya toplandığı birey; veya (iii) Müşteri’nin Hizmetler aracılığıyla ileti gönderdiği veya iletişim kurduğu bireyler (toplu olarak, “Son Kullanıcılar”). Müşteri olarak, yalnızca iletişim platformumuz üzerinden gönderilen iletişimlerde veri sahiplerinin kategorilerini belirlersiniz.

2. Aktarılan Kişisel Veri Kategorileri.

Müşteri Kişisel Verileri, iletişim içeriği, trafik verileri, Son-Kullanıcı verileri ve müşteri kullanım verilerini içerir.

  • İletişim içeriği, sizin (Müşteri olarak) belirlediğiniz iletişim içeriğine bağlı olarak Kişisel Veri veya diğer kişiselleştirilmiş özellikleri içerebilir.
  • Trafik verileri, bir birey veya şirketle ilgili olup olmadığına bakılmaksızın, bir iletişimin yönlendirilmesi, süresi veya zamanlaması hakkında Müşteri Kişisel Verilerini içerebilir; sesli arama, SMS veya e-posta gibi.
  • Son-Kullanıcı verileri, telefon numarası, e-posta adresi, adı, soyadı, profil adı, ülke, kanal tanımlayıcısı gibi bilgileri içerir.
  • Müşteri kullanım verileri, sizinle ilişkilendirilebilecek verileri içerebilir; bu veriler istatistiksel verilere ve hesabınızla ve hizmet aktivitelerinizle ilgili bilgilere, iletişim gönderimleri ve müşteri destek ile ilgili hizmete yönelik içgörüler ve analiz raporlarına dair bilgileri içerebilir.

3. Hassas veri transferi(varsa) ve veri türünü ve ilgili riskleri tam olarak dikkate alan uygulanacak kısıtlamalar veya koruma önlemleri, örneğin sıkı amaç sınırlamaları, erişim kısıtlamaları (özel eğitim almış personel için erişim dahil), verilere erişim kayıtlarının tutulması, sonraki transferler için kısıtlamalar veya ek güvenlik önlemleri.

a. İletişim içeriği.Hassas veriler, zaman zaman, hizmetler aracılığıyla işlenebilir, bu durumda siz veya Son Kullanıcılarınız hassas verileri hizmetler aracılığıyla iletilen iletişimlere dahil etmeyi seçebilirsiniz. Herhangi bir hassas veriyi hizmetler aracılığıyla iletmeden veya işlemeye başlamadan önce uygun koruma önlemlerinin mevcut olduğundan emin olmak sizin sorumluluğunuzdadır; ayrıca Son Kullanıcılarınızın hassas verileri iletmelerine veya işlemelerine izin vermeden önce de bu önlemlerin alındığından emin olmalısınız, bu, Sözleşme’nin 3.2 Bölümüne uygun olarak.

b. Trafik verileri, Son Kullanıcı verileri ve müşteri kullanım verileri.Trafik verilerinde, Son Kullanıcı verilerinde veya müşteri kullanım verilerinde hassas veri bulunmamaktadır.

4. Aktarım sıklığı(örneğin, verilerin tek seferlik veya sürekli olarak mı aktarıldığı): Müşteri Kişisel Verileri, Anlaşma süresince sürekli olarak aktarılır.

5. İşlemenin doğası: Hizmetleri sağlamak için gerekli olduğu ölçüde Müşteri Kişisel Verilerini işleyeceğiz. Kişisel Verileri, Müşteri Kişisel Verileri dahil olmak üzere, satmıyoruz ve Kişisel Verileri üçüncü taraflarla, üçüncü taraflarla, karşılık veya bu üçüncü tarafların kendi ticari çıkarları için paylaşmıyoruz.

6. Veri transferi ve daha fazla işleme amaçları: Müşteri Kişisel Verilerini, bu DPA'da belirtilen Müşteri talimatlarına göre veri işleyici olarak işleyeceğiz, ancak işleme, tabi olduğumuz yasal bir yükümlülüğü yerine getirmek için gerekli ise, bu durumda veri denetleyicisi olarak sınıflandırılacağız.

İletişim içeriği, trafik verileri, Son-Kullanıcı verileri ve müşteri kullanım verileri. İletişim içeriğinde, trafik verilerinde, Son-Kullanıcı verilerinde ve müşteri kullanım verilerinde yer alan Kişisel Veriler aşağıdaki temel işleme faaliyetlerine tabi olacaktır:

a. İletişim içeriği. Müşteriye, uygulama programlama arayüzleri (API’ler) veya Gösterge Paneli aracılığıyla sunulan programlanabilir iletişim ürünleri ve hizmetlerinin sağlanması, Müşteri’nin yazılım uygulamasından veya iletişim platformumuzdan diğer iletişim ağlarına iletim dahil.

b. Trafik verileri. Trafik verileri, bir elektronik iletişim ağında iletişimi iletme veya bu iletişimle ilgili faturalama amacıyla işlenir. Bu, sesli arama, SMS veya e-posta gibi bir iletişimin yönlendirilmesi, süresi veya zamanlaması hakkında Müşteri Kişisel Verilerini içerebilir, bu bireyler veya şirketlerle ilgili olabilir.

c. Son-Kullanıcı verileri. Son-Kullanıcıların Kişisel Verileri, Hizmetlerin sağlanması için gereklidir ve sadece iletişim iletimi, müşteri desteği ve yasal yükümlülüklerimizi yerine getirme amaçlarıyla işlenecektir.

d. Müşteri kullanım verileri. Müşteri kullanım verilerinde yer alan Kişisel Veriler, Hizmetlerin sağlanması amacıyla işlenir ve bu veriler, Müşteriye iletişim, müşteri desteği ve Hizmetlerin sürekli iyileştirilmesi ile ilgili bilgiler ve analiz raporları sağlama amacıyla kullanılır.

7. Kişisel Verilerin saklanma süresi: veya bu sürenin belirlenmesinde kullanılan kriterler:

a. İletişim içeriği ve trafik verileri:

  • SMS ve Sesli Arama Hizmetlerinde iletişim içeriği ve trafik verileri için saklama süresi altı aydır.
  • Video Hizmetlerinde iletişim içeriği ve trafik verileri en az 30 gün saklanır, sizinle anlaşmaya varılan süreye kadar saklanabilir.
  • E-posta hizmetlerinde iletişim içeriği ve trafik verileri 72 saat saklanır.
  • Diğer hizmetlerde iletişim içeriği ve trafik verileri, Hizmetlerin süresi boyunca saklanır, ancak siz iletişim içeriğini veya trafik verilerini Hizmetler aracılığıyla sağlanan teknik ve örgütsel önlemlerle silmediğiniz sürece.

b. Son-Kullanıcı verileri: Son-Kullanıcı verileri, Müşteri tarafından belirlenen süre boyunca işlenecektir. Son-Kullanıcı verileri sizin iletişim profillerinizde yer alıyorsa, varsayılan saklama süresi Hizmetlerin süresi boyunca olacaktır, bu da Bu Ek I, Bölüm B’nin 6(c) Maddesi’ne tabidir.

c. Müşteri kullanım verileri: Anlaşmanın sona ermesinin ardından, Müşteri Kullanım Verilerini Bu Ek I, Bölüm B’nin 6(d) Maddesi’nde belirtilen amaçlarla saklayabilir, kullanabilir ve açıklayabiliriz, anlaşmada belirtilen gizlilik yükümlülüklerine tabi olarak. Müşteri kullanım verilerini, Bu Ek I, Bölüm B’nin 6(d) Maddesi’nde belirtilen amaçlar için artık ihtiyaç duymadığımızda anonimleştirecek veya sileceğiz.

8. Alt işlemcilere yapılan transferler içinişleme konusu, doğası ve süresini de belirtin: Alt işlemcilere yapılan transferlerde, işleme konusu ve doğası Alt İşlemcilerimiz hakkındaki genel bakışımızda belirtilmiştir ve süre, Sözleşmenin süresidir.

Ek I, Bölüm C. Yetkili Denetim Makamı

Hollanda Veri Koruma Kurumu (Autoriteit Persoonsgegevens) yetkili denetim makamı olacaktır.

EK II - TEKNİK VE ORGANİZASYONEL GÜVENLİK ÖNLEMLERİ

Geçerli olduğu yerlerde, bu Ek II, Standart Sözleşme Maddeleri'ne Ek II olarak hizmet edecektir. Aşağıda belirtilen teknik ve organizasyonel güvenlik önlemlerimizle ilgili daha fazla bilgi aşağıda sağlanmıştır.

Teknik ve Organizasyonel Güvenlik Önlemleri:

Kişisel Verilerin depolama ve iletimde takma adlandırma ve korunma önlemleri: Tüm Kişisel Veriler, iletimde ve dinlenme durumunda şifrelenir ve güvenlik açısından ilgili olduğu ölçüde hassas veri olarak muamele edilir. Bilgiler her zaman güncel şifreleme yöntemleriyle TLS üzerinden iletilir.

Sürekli gizliliğin, bütünlüğün, erişilebilirliğin ve işleme sistemleri ve hizmetlerinin dayanıklılığının sağlanması için alınan önlemler: Çalışanlarımız, yüklenicilerimiz, tedarikçilerimiz ve Alt İşlemcilerimiz ile gizlilik hükümleri içeren anlaşmalar yapıyoruz. İş sürekliliği politikamız, kontrolümüz dışındaki faktörlerden kaynaklanan uzun süreli kesintilere karşı işimizi ve hizmetlerimizi hazırlamak ve hizmetleri mümkün olan en kısa sürede en geniş ölçüde geri yüklemektir. Sağladığımız hizmetlerin müşterilerimiz için kritik öneme sahip olduğunu anlıyoruz ve bu nedenle hizmet kesintilerine karşı çok az toleransımız var. Kurtarma sürelerimiz, tüm müşterilerimize olan yükümlülüklerimizi yerine getirebilecek şekilde tasarlanmıştır.

Teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve ölçme süreçleri: Bilgi güvenliğinin ve Bilgi Güvenliği Yönetim Sistemi'mizin (ISMS) amacı, organizasyon, çalışanlar, ortaklar, müşteriler ve (yetkili) bilgi sistemleri için bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak ve güvenlik olaylarını önleyerek, güvenlik tehditleri ve zayıflıkları yöneterek zarar riskini en aza indirmektir. Hukuk ekibimiz, Veri Koruma Görevlimiz ve Güvenlik Ekibimiz, geçerli düzenlemelerin ve standartların güvenlik çerçevelerimize dahil edilmesini sağlar.

Kullanıcı tanımlama ve yetkilendirme önlemleri: "Bilmesi gerekenler" ve "en az ayrıcalık" prensiplerini takip ediyoruz. Rol tabanlı erişim kontrolünü teşvik ediyoruz. Erişim sağlama ve erişimi kaldırma, güvenlik ekibi tarafından denetlenir ve varsayılan olarak Tek Oturum Açma (SSO) ve İki Faktörlü Kimlik Doğrulama (2FA) kullanılır. Her bilgi varlığı için erişimin uygun olduğundan ve düzenli olarak gözden geçirildiğinden emin olan sahipler belirlenmiştir. Hassas bilgilerle ilgilenirken veya kritik eylemler gerçekleştirirken dört göz prensibini kullanıyoruz.

Olayların kaydedilmesini sağlama önlemleri: Denetim günlükleri merkezi olarak depolanır ve güvenlik olayları için düzenli olarak izlenir ve müdahale riskini önlemek için güvenli tutulur. Olay Yönetimi Politikası, olay yanıt planı ve prosedürlerini uygular. Herhangi bir güvenlik veya teknik olayı meydana geldiğinde bu yönergeler takip edilir.

Sistem yapılandırmasını sağlama önlemleri, varsayılan yapılandırma dahil: İletişim Platformu Hizmeti'nin üretim ortamındaki tüm değişiklikler için tutarlı bir değişiklik yönetimi süreci takip ediyoruz. Daha ayrıntılı olarak, tüm değişiklik talepleri (RFC) belirlenmiş bir taraf tarafından onaylanmalı ve resmi değişiklik kontrol sürecine göre uygulanmalıdır. Kontrol süreci, önerilen değişikliklerin gözden geçirildiğini, yetkilendirildiğini, test edildiğini, uygulandığını ve kontrol edilen bir şekilde serbest bırakıldığını sağlar; ayrıca her önerilen değişikliğin durumu izlenir. Sistemleri en iyi uygulamaları takip ederek güvenli bir şekilde yapılandırmak için yapılandırma temel çizgileri takip edilir. Ayrıca, Mühendislik departmanında, geliştirme sırasında benimsenmesi gereken veya kaçınılması gereken teknolojileri (diller, platform araçları, veritabanları ve veri yönetim araçları) tanımlamak için bir teknoloji radarından yararlanılır.

Fiziksel güvenlik önlemleri: Çalışanlarımızın istedikleri herhangi bir yerden çalışabilmesi için "Her Yerden Çalış" politikalarını aktif olarak teşvik ediyoruz. Ancak, ofis alanlarımız hala mevcut. Tamamen bulut tabanlı bir şirket olduğumuz için ofisimizde güvenli alanlar/veri merkezleri bulunmamaktadır. Ofis katlarımız fiziksel erişim kontrolü, CCTV ve personelli güvenlik ile korunmaktadır.

İç IT ve IT güvenliği yönetimi ve denetimi için alınan önlemler: Hizmetleri ve Müşteri Verilerinin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için idari, organizasyonel, teknik ve fiziksel koruma önlemleri içeren risk bazlı bir güvenlik programı sürdürmekteyiz. Bilgi güvenliği programımız sistematik ve iyi organize edilmiş bir şekilde kurulmuştur. Ayrıca, organizasyon, çalışanlar, ortaklar ve müşteriler için bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak amacıyla yasal ve düzenleyici gereklilikler geçerlidir. Tüm bunlar, bilgi güvenliği politikalarımız, prosedürlerimiz ve yönergelerimize dönüştürülmüştür. Bilgi güvenliğinin taktiksel seviyesinden sorumlu olan bir Güvenlik Yönlendirme Komitemiz bulunmaktadır. Bu, bilgi güvenliği aktivitelerinin koordinasyonunu ve stratejik faaliyetlerin güvenlik operasyonlarına dönüştürülmesini ve düzenleyici uyumluluğun sürekli bakımını içerir. Tüm çalışanlar şirket varlıklarını korumaktan sorumludur. Tüm çalışanlarımız, uzmanlık, deneyim ve bütünlük açısından taranır. Çalışanlar, işe alım aşamasında ve düzenli ekip spesifik eğitimler ile veri koruma ve güvenlik uyumunun önemi hakkında diğer şirket çapında genel toplantılarla bilgilendirilir. ISO 27001 sertifikasına sahibiz; bu, Bilgi Güvenliği Yönetim Sistemleri (ISMS) için küresel olarak tanınan bilgi güvenliği standartlarıdır.

  • Tüm barındırma sağlayıcılarımız ISO 27001 sertifikasına sahiptir.
  • Ayrıca, Hollanda Tüketiciler ve Pazarlar Otoritesi’ne kayıtlıyız. Bu, müşterilerimizle her zaman hesap verebilir ve tamamen şeffaf olduğumuz anlamına gelir.
  • Groupe Speciale Mobile Association (GSMA) üyesiyiz. GSMA, mobil operatörlerin küresel çapta çıkarlarını temsil eder.
  • Geçerli tüm yasalar ve düzenlemeler, Genel Veri Koruma Yönetmeliği ve AB-ABD Veri Koruma Çerçevesi dahil olmak üzere güncel olarak takip edilmektedir.

Sertifikasyonlar/uygunluk süreçlerinin ve ürünlerin güvence altına alınması için alınan önlemler: ISO/IEC 27001 uyumluluğumuz kapsamında titiz denetimlere ve sertifikasyon denetimlerine tabi tutuluyoruz ve düzenli olarak uygulama güvenlik açığı ve penetrasyon testleri gerçekleştiriyoruz.

Hesap verebilirliği sağlama önlemleri: Uygulanabilir yasalara uygun olarak bilgi güvenliği ve veri koruma politikalarını uyguluyor ve ISMS ile ilgili bilgilerin genel bir özetini yayınlıyoruz (bağlantı). Güvenlik, Bilgi Güvenliği Görevlisi, Uyum Görevlisi ve Veri Koruma Görevlisi olarak atanmış yetkili bir yönetici bulunmaktadır ve işleme faaliyetlerimizin dokümantasyonunu, ilgili yerlerde Kişisel Verileri içeren güvenlik olaylarını kaydetme ve raporlama dahil olmak üzere sürdürmekteyiz.

Veri silme önlemleri: İletişim ve altyapı ortamımızda otomatik bir silme süreci aracılığıyla veri silmeyi sağlıyoruz. Bu veri silme süreci, belirli bir amacı yerine getirmek için artık gerekli olmayan tüm verilerin işleme tamamlandıktan sonra sistemlerimizden kaldırılmasını garanti eder.