Veri İşleme Sözleşmesi

KVVK M. 4,5,6,7

• – bundan sonra DPA olarak anılacaktır –

ile

• Bedava-Sitem.com (veya platformun diğer dil sürümleri) Kullanıcısı
• – bundan sonra „veri sorumlusu“ olarak anılacaktır –

ve (lar)

• İsim/Şirket:webme GmbH
• Sokak:Strassburger Strasse 55
• Posta Kodu, Şehir, Ülke:10405 Berlin, Deutschland
• Ticaret Sicili No.:Amtsgericht Charlottenburg, HRB 244053 B
• Genel Müdür:Sven Lubek
• – bundan sonra „İşlemci“ olarak anılacaktır –
• – İşlemci ve Veri Sorumlusu bundan sonra (sözleşmeli) Taraflar olarak anılacaktır. –

Ekler

• Ek 1 "İşleme güvenliği"
• Ek 2 "Alt İşlemciler"

1. Sözleşmenin Konusu, Veri Kategorileri, Veri Konuları, İşlemin Niteliği, Kapsamı ve Amacı (KVVK M. 4,5,6,7)

1.1. DPA'nın konusu, görev kapsamında işlenen kişisel veriler (Madde, 4 No. 1 ve 2 GDPR; bundan sonra "Veri" olarak anılacaktır), ilgili veri konuları ve işlemin niteliği, kapsamı ve amaçları, sözleşme Tarafları (bundan böyle "Ana Sözleşme" olarak anılacaktır) arasında aşağıdaki yasal ilişki(ler) ile belirlenir::

Ana sayfa yapım kümesinin (Own-Free-Website.com veya platformun diğer dil sürümleri) kullanımı ve bununla ilişkili hizmet ve işlevlerle ilgili sözleşme ilişkisi.

İşbu DPA'nın hükümleri Ana Sözleşme'den önceliklidir.

1.2. Verinin Doğası:

• Envanter Verileri (örneğin, adlar, adresler).
• İletişim bilgileri (örneğin, e-posta, telefon numaraları).
• İçerik Verileri (örneğin, metin girişi, fotoğraflar, videolar).
• Sözleşme Verileri (örneğin, sözleşmenin konusu, süre).
• Ödeme Verileri (örneğin, banka bilgileri, ödeme geçmişi).
• Kullanım Verileri (örneğin, ilgi alanları, ziyaret edilen web siteleri, satın alma davranışı, erişim süreleri, günlük Verileri).
• Meta/iletişim Verileri (örneğin, cihaz kimlikleri, IP adresleri).

1.3. Özel veri kategorilerinin işlenmesi KVVK M.6:

• Genel olarak, veri sorumlusu/müşterileri, kullanıcıları veya çalışanları vb. tarafından işlenmek üzere sağlanmadıkça, hiçbir Özel Veri kategorisi işlenmez.

1.4. Veri sahiplerinin kategorileri:

• Verim sorumlusu / ilgili Taraflar / Kontrolörlerin kullanıcıları.
• Bedava-Sitem.com (veya platformun diğer dil sürümleri) ile oluşturulan web sitelerinin kullanıcıları ve ziyaretçileri.

1.5. İşlemin amacı:

• Alan sağlama.
• Hizmet Olarak Yazılım (SaaS).
• Telekomünikasyon hizmetleri.
• Alan adı tescili.
• Sunucu yönetimi / donanım bakımı.

2. Kontrolör ve Öğretim Hakkı

2.1. KVVK M.10 uyarınca sorumlu kişi olarak, veri sorumlusu, özellikle İşlemcinin, kendisine gönderilen Verilerin ve verilen talimatların seçilmesinden, veri koruma düzenlemelerine uymaktan sorumludur KVVK M.4,5,6,7.

2.2. İşlemci Verileri sadece Ana Sözleşme çerçevesinde ve Kontrolörün talimatı dahilinde (özellikle Verilerin değiştirilmesi, silinmesi veya kısıtlanması dahil) ve İşlemcinin Birlik veya Üye Devlet yasaları tarafından başka bir amaç için başka bir amaçla Veri işleme koyması gerekmedikçe işlemin kabul edilen amaç için gerekli olduğu ölçüde işleme koyabilir. İşlemcinin böyle bir durumda maruz kaldığı durumlarda, İşlemci, bu yasa kamu yararına ilişkin önemli gerekçelerle bu tür bir bilgiyi yasaklamadığı sürece işlemden önce Kontrolöre bu yasal gerekliliği bildirecektir KVVK M.4,5,6,7.

2.3. Veri sorumlusu verilerin işlenmesi ve güvenlik önlemleriyle ilgili olarak herhangi bir zamanda ek talimatlar verme hakkına sahiptir.

2.4. İşlemci, bir veri sorumlusu talimatının geçerli veri koruma yasasını ihlal ettiği kanısındaysa, derhal bunu veri sorumlusuna belirtecektir. İşbu durumda, İşlemci, talimatın uygulanmasının açıkça yasadışı olup olmadığını kontrol edene kadar ve veri sorumlusunun talimatı reddetme hakkına sahip olduğunu onaylayana kadar talimatın yürütülmesini askıya alma hakkına sahiptir.

2.5.İşlemci, İşlemci için mümkün değilse veya makul olmadıkça talimatları reddedebilir (özellikle bunlara uygunluk sağlarken orantısız çabayı engelleyeceğinden veya İşlemcinin teknik olanaklarının bulunmamasından dolayı). Reddedilme, yalnızca ilgili veri konularının Verilerinin korunmasının uygun şekilde göz önünde bulundurulmasıyla kabul edilir ve vei sorumlusu için devam etmesi makul değilse veri sorumlusuna Ana Sözleşmenin zorlayıcı bir nedeni hakkında bildirimde bulunmaksızın fesih hakkı verir. Ana Sözleşmenin kararlaştırılan sözleşme süresinin bitiminden önce fesih yapılması durumunda veri sorumlusu, fesih işlemine neden olan talimatın İşlemciye atfedilebildiği veya İşlemcinin risk alanı içinde olmadığı sürece, üzerinde anlaşmaya varılan ücreti ödemeye devam etmek zorundadır.

2.6. Eğer veri sorumlusunun ek talimatları, Ana Sözleşme uyarınca İşlemcinin sözleşmeden doğan görevinin ötesine geçerse ve İşlemci kısmındaki suistimali temel almıyorsa, o zaman veri sorumlusu bundan kaynaklanan ek süre ve çaba için ayrı olarak tazmin edecektir.

2.7. Akit Taraflar talimat vermeye ve almaya hak kazanan kişileri tayin edebilir (özellikle Ana Sözleşmenin bir sonucu olmadıklarında) ve herhangi bir değişikliğin sözleşmeye taraf taraflarını gecikmeden bildirmek zorundadırlar.

3. İşleme Güvenliği ve İlgili Borçlar

Veri sorumlusu KVVK kurulu verilerinin gizliliği, bütünlüğü ve kullanılabilirliği, maddenin durumunun ve işlemin niteliği, kapsamı, içeriği ve amaçlarının yanı sıra, veri konularının hak ve özgürlükleri için değişkenlik olasılığının ve ciddiyet riskinin dikkate alınması ve korunmalarını sağlamak gibi hususları dikkate alarak organizasyonel önlemleri alacaktır.

3.1. KVVK M.12, KVVK M.4,KVVK M.10 Teknik ve organizasyonel önlemler özellikle şunları içerir; fiziksel erişim kontrolü, işleme sistemlerine erişim, Veriye erişim ve Veri girişi kontrolü, Veri aktarım kontrolü, siparişlerin ve görevlerin kontrolü, kullanılabilirlik ve bütünlük kontrolü, verilerin amacı/ayrıştırılması ve etkilenen veri konularının haklarının güvence altına alınması ilkesinin garantisi.

3.2. İşbu DPA'nın dayandığı teknik ve örgütsel önlemler Ek 1 "İşlem Güvenliği" de verilmiştir. Teknik gelişmeler ışığında daha da iyileştirilebilirler ve yerine konan önlemlerin emniyet seviyesinin altına düşmemesi ve Kontrolöre önemli değişikliklerden haberdar edilmesi şartıyla yeterli koruyucu önlemler alınabilir.

3.3. İşlemci, kişisel verileri işlemeye yetkili kişilerin kendilerini gizlilik taahhüdünde bulunduğunu garanti eder KVVK M.12 M.10 veri koruma düzenlemelerinde belirtilmiş veya uygun bir gizlilik yükümlülüğüne tabi tutulmuştur.

3.4. DPA kapsamında Veri ve veri taşıyıcıları ve bunlardan yapılan tüm kopyalar Kontrolörün mülkiyetinde kalır, İşlemci tarafından dikkatlice depolanır, yetkisiz üçüncü şahıslar tarafından erişime karşı korunur ve yalnızca Kontrolörün izniyle ve sonra yalnızca veri koruma yasasına uygun olarak silinebilir. Verilerin kopyaları ancak İşlemcinin Kontrolöre karşı ana ve ikincil sözleşme yükümlülüklerini yerine getirmeleri gerekiyorsa yapılabilir (örneğin yedeklemeler).

3.5. KVVK veya ek yönetmeliklerle, özellikle ulusal yönetmeliklerle belirtilmişse, İşlemci yasal gerekliliklere uygun bir veri koruma görevlisi atayacak ve Kontrolörü buna göre bilgilendirecektir M.19 M.21 KVVK.

4. Bilgilendirme Görevleri ve İşbirliği Yapma Görevleri

4.1. Veri konularının hakları Kontrolör tarafından yerine getirilir, bu sayede İşlemci veri sorumlusunun. KVVK m.12 göre kontrolünü destekler ve özellikle İşlemci tarafından alınan veri konularının sorgulanması hakkında onu bilgilendirir.

4.2. Veri sorumlusu Verilerin işlenmesiyle ilgili veya işbu DPA hükümlerine veya ilgili veri koruma yönetmeliklerine uygunluk konusunda hata ya da düzensizlikler tespit ederse İşlemciyi derhal ve eksiksiz olarak bilgilendirmelidir.

4.3. İşlemcinin, Denetleyici için işlenen Verilerin korunmasının ihlal edildiği varsayımını haklı kılan gerçekleri tespit etmesi durumunda; İşlemci derhal ve tamamen Denetleyiciye bilgi vermeli, gerekli koruyucu önlemleri gecikmeden almalı ve KVVK M.14. Maddeleri uyarınca Denetçinin üstündeki yükümlülüklerin yerine getirilmesine yardımcı olmalıdır.

4.4. Kontrolörün Verilerinin güvenliğinin üçüncü taraf eylemleri tarafından tehlikeye atılması durumunda (örneğin, alacaklılar, yetkililer, el koyma, haciz, iflas davası vb.), İşlemci derhal üçüncü taraflara hakimiyet olduğunu bildirir ve Verilerin mülkiyeti yalnızca Kontrolöre aittir ve Kontrolöre danışıldıktan sonra gerekirse gerekli koruyucu önlemleri (örneğin, dosya itirazları, uygulamalar vb.) alacaktır.

4.5. Gerekli bilgilerin sağlanması ve işbirliği, Ana Sözleşme uyarınca İşlemcinin görevlerinin ötesine geçiyorsa ve İşlemci kısmındaki suiistimali temel almıyorsa, Kontrolör İşlemciyi bundan kaynaklanan ek iş ve masraflar için ayrı olarak geri ödeyecektir.

5. Denetimler ve Teftişler

5.1. Kontrolör, İşlemcinin yasal gerekliliklere ve işbu DPA'nın düzenlemelerine, özellikle de teknik ve organizasyonel önlemlere uygunluğunu istediği zaman denetleme hakkına sahiptir KVKK M. 4,5,6,7.

5.2. Yerinde denetimler normal iş saatleri içerisinde gerçekleştirilmekte, Kontrolör tarafından makul bir süre (acil durumlar hariç en az 14 gün) içinde ilan edilmeli ve İşlemci tarafından desteklenmelidir (örneğin gerekli personelin sağlanması ile).

5.3. Denetimler gerekli kapsamla sınırlıdır ve İşlemcinin ticari ve ticari sırlarını ve üçüncü şahısların kişisel verilerinin korunmasını (örneğin diğer İşlemcilerin diğer Kontrolörleri veya çalışanları) dikkate almalıdır. İşlemcinin iş ve ticari sırları ve süreçleriyle ve üçüncü şahısların kişisel bilgileri veya diğer kişisel bilgileri ile ilgili olarak kendilerini tanımlayabilen ve gizliliğe bağlı olan muayeneyi yalnızca nitelikli denetçiler yapabilir.

5.4. Kontrolörlerin denetimlerindeki kabul veya işbirliğinin veya uygun alternatif önlemlerin İşlemcinin Ana Sözleşmeye uygun sözleşme yükümlülüklerini aşması halinde ve İşlemci adına suistimal edilmemesine dayanmayan Kontrolör, İşlemciye bundan kaynaklanan ek süre ve çaba için ayrı olarak tazmin edecektir.

6. Alt İşlemcilerin Katılımı

6.1. İşlemci, Kontrolör adına belirli işlem faaliyetlerini yürütmek için bir alt işlemcinin hizmetlerini kullanıyorsa, işbu DPA'da veya veri sorumlusuile İşlemci arasındaki diğer yasal işlemlerde belirtilen veri koruma yükümlülükleri, alt işlemciye Türkiye Cumhuriyeti yasası uyarınca bir sözleşme veya başka bir yasal işlem yoluyla özellikle, işlemin işbu DPA ve yürürlükteki veri koruma kanununun (özellikle veri sorumlusunun talimatlarına uyma, teknik ve kurumsal önlemlere uyma, bilgi sağlama ve denetimlerin hoşgörü ile ilgili olarak) gereklerini yerine getireceği şekilde uygun teknik ve örgütsel önlemleri uygulamak için yeterli güvenceyi sağlayarak uygulanacaktır. Ayrıca, İşlemci, alt işlemciyi dikkatlice seçmeli, güvenilirliğini kontrol etmeli ve işbu DPA ve veri koruma kanununun gereklerine uygunluğunu izlemelidir KVVK M.4, 5, 6, 7.

6.2. Ana Sözleşmenin kısıtlamalarına halel getirmeksizin veri sorumlusu genellikle İşlemcinin Verilerin işlenmesi için alt işlemcileri kullanabileceğini kabul eder.

6.3. İşbu DPA'nın sona ermesi sırasında zaten var olan alt işleme ilişkileri, ABD’deki İşlemci tarafından listelenmiştir. Ek 2 "Alt İşlemciler" ve İşlemci tarafından yetkilendirilmiş sayılır.

6.4. İşlemci, Verilerin işlenmesiyle ilgili alt işlemcilerde yapılan herhangi bir değişikliği veri sorumlusuna bildirecektir veri sorumlusu değişikliklere veya yeni alt işlemcilere yalnızca iyi niyet, adalet ve eşitlik ilkelerine uygun olarak itiraz etme hakkını kullanır.

6.5. İşlemcinin, üçüncü tarafların hizmetlerini, iş faaliyetlerini yürütmek amacıyla (örneğin, temizlik, güvenlik veya ulaşım hizmetleri), yalnızca yardımcı bir hizmet olarak kullandığı sözleşme ilişkileri, işbu DPA'nın yukarıdaki hükümleri kapsamında alt işlem yapmaz. Bununla birlikte, İşlemci, örneğin sözleşmeye bağlı anlaşmalar veya bilgi ve talimatlarla, Verilerin güvenliğinin tehlikeye atılmadığından ve işbu DPA'nın ve veri koruma yasalarının şartlarına uyulduğundan emin olmalıdır.

7. İşlemin Süresi, Sözleşmenin Feshi ve Verilerin Silinmesi

7.1. İşbu DPA, yürürlüğe girdikten sonra geçerli olur, belirsiz bir süre için sonuçlandırılır ve en geç ana sözleşme ile sona erer.

7.2. Zorlayıcı bir sebeple bildirimde bulunmaksızın fesih yapma hakkı, Akit Taraflarca, özellikle işbu DPA hükümlerinin ve ilgili veri koruma yasasının hükümlerinin ciddi bir şekilde ihlal edilmesi durumunda mevcuttur. Olağanüstü fesih, genel olarak makul bir ihbar süresi ile ihlalin uyarısı ile yapılmalıdır. Bu nedenle, itiraz edilen ihlallerin giderilme ihtimalinin düşük olması veya bu kadar şiddetli olması durumunda fesih sözleşmesinin tarafının işbu DPA'ya uymasını beklemenin mantıksız olması durumunda uyarı gerekli değildir.

7.3. İşbu DPA kapsamında işleme hizmetlerinin tamamlanmasından sonra, İşlemci, kişisel verilerin Birlik yasası veya Üye Devletlerin yasası kapsamında saklanması zorunluluğu bulunmadıkça, Kontrolörün seçiminde tüm kişisel verileri ve kopyalarını (ayrıca sözleşmeye dayalı ilişki, elde edilen işlem ve işlem sonuçları ve veri setleri ile bağlantılı olarak elde edilen tüm belgeler) ya silecek ya da iade edecektir (KVVK M.4,5,6,7). Muhafaza hakkı, işlenmiş Veri ve ilgili veri taşıyıcıları ile ilgili değildir. Verilerin iptali veya iadesi ile ilgili olarak, Kontrolörün bilgi, dokümantasyon ve inceleme hakları işbu DPA'ya göre uygulanır..

7.4. Her halükarda, görevde işlenen Veriler ile ilgili olarak işbu DPA'dan doğan yükümlülükler, DPA'nın sona ermesinden sonra bile yürürlükte kalacaktır.

7.5. Verilerin silinmesi veya iadesi, Ana Sözleşmeye göre İşlemcinin görevlerini aşarsa ve İşlemci kısmındaki suistimali temel almazsa, Kontrolör İşlemciyi bundan kaynaklanan ek süre ve çaba için ayrı olarak geri ödeyecektir.

8. Ücretlendirme

8.1. İşbu DPA kapsamında kararlaştırılan ücret aynı zamanda, İşlemci tarafından kullanılan personelin çalışma saatlerinin yanı sıra gerekli masrafları (örneğin seyahat ya da maddi masraflar) için gider ödeneği içerir. Mümkünse, öngörülebilir ve makul olması durumunda, İşlemci, Ücretlendirme tutarını Kontrolöre uygun bir tahminle bildirir.

8.2. İşlemcinin işbu DPA'ya göre ücret almaya hakkı varsa, ücret net bir saatlik 100 Avro karşılığına denk gelen Türk Lirası tahsil edilir. Diğer tüm açılardan, Ana Sözleşmenin ücret hükümleri uygulanacaktır.

9. Sorumluluk

9.1. İşlemci ile olan iç ilişkide, zararlardan sorumlu olduğu veya yasal olarak veya sözleşmeden dolayı bunları kabul etmek zorunda olduğu sürece Kontrolör, veri işleme yasaları uyarınca kabul edilemez veya yanlış olan işleme talimatları kapsamında Veri işleme veya kullanım nedeniyle maruz kalınan verilerin tazmin edilmesine tabi olan verinin sorumluluğuna tek başına sorumlu olacaktır.

9.2. Akit Taraflar, bir veri tarafındaki zararın meydana geldiği durumdan hiçbir şekilde sorumlu olmadığını kanıtlarsa, Akit Taraflar birbirlerini borçtan tazmin edecektir.

10. Nihai Hükümler, Değişiklikler, İletişim Şekli, Hukuk Seçimi, Yargı Yeri

10.1. İşbu DPA'daki değişiklikler, ek anlaşmalar ve ilaveler ve ekler; yazılı bir anlaşma ve işbu DPA’nın değiştirilmiş veya ekleme yapılmış olduğuna dair açık bir not gerektirir. Bu aynı zamanda işbu resmi gereklilikten feragat için de geçerlidir.

10.2. İşbu DPA, veri işleyicisi ancak yasal yükümlülüklerini yerine getirmek için gerekli olduğu sürece, özellikle de KVVK M.4,5,6,7. uyarınca zorunlu kılacak ve İşlemci hakkında başka herhangi bir görevde bulunmayacaktır.

10.3. İşbu DPA ve ana sözleşmede aksi belirtilmediği sürece, işbu DPA çerçevesinde (özellikle talimatlar ve bilgi sağlanması ile ilgili olarak) İşlemci ile veri sorumlusu arasındaki iletişim en azından metin şeklinde olacaktır (örneğin, e-posta). Metin formu yerine (örneğin acil bir durumda) şartlar altında daha az bir forma (örneğin sözlü) izin verilebilir, ancak derhal en azından metin şeklinde onaylanmalıdır. Yazılı form isteniyorsa, yazılı form KVVK nın anlamında anlaşılır.

10.4. İşbu DPA ile ilgili bütün ihtilaflar da T.C mahkemeleri yetkilidir. İşlemci iddialarını yasal yargılama yerine getirme hakkını saklı tutar.

Veri İşleme Sözleşmesi

Ek 1 "İşleme güvenliği"

KVKK M12 uyarınca teknik ve örgütsel önlemler

1. Veri Koruma Yönetimi, Veri Sahiplerinin Hakları, Tasarım Gizliliği ve Çalışanlara İlişkin Veri Koruma

Veri konularının haklarının korunmasını amaçlayan temel önlemler, acil durumlarda anında tepki verilmesi, tasarım konusunda mahremiyet gereklilikleri ve çalışanlara yönelik veri koruma:

• Uyumluluk durum bazında ve en az altı ayda bir sürekli olarak izlenip değerlendirilen bir şirket içi veri koruma yönetim sistemi vardır.
• Yasal süre içerisinde veri konularının (bilgi, düzeltme, silme veya kısıtlama, Veri aktarımı, iptal ve itirazlar) haklarının korunmasını garanti eden bir güvenlik konsepti vardır. Oluşturulan formları, talimatları ve uygulama prosedürlerini ve uygulamadan sorumlu kişilerin atanmasını içerir.
• Yasal gerekliliklere uygun olarak veri ihlallerine (değerlendirme, dokümantasyon, raporlama) anında tepki vermeyi garanti eden bir güvenlik konsepti mevcuttur. Oluşturulan formları, talimatları ve uygulama prosedürlerini ve ayrıca uygulamadan sorumlu kişilerin tanımlanmasını içerir.
• Tasarım yoluyla ve varsayılan olarak veri koruma ilkesine uygun olarak, işleme tabi tutulan gerçek kişilerin hak ve özgürlükleri için değişen olasılık ve ciddiyet risklerinin yanı sıra, kişisel verilerin korunması, teknolojinin durumu, uygulama maliyeti ve işlemin niteliği, kapsamı, kapsamı ve amacını dikkate alarak donanım, yazılım ve işlemlerin geliştirilmesi veya seçilmesinde zaten mevcuttur (KVVK).
• Çalışanlar kendilerini gizlilik taahhüdünde bulundular ve verilerin korunmasına ilişkin olası sorumluluk sonuçları hakkında bilgilendirilmelerin yanı sıra talimat verdiler. Çalışanlar şirketin binası dışında çalışıyorsa veya Veri işleme için özel ekipman kullanıyorsa, bu gruplaşmalardaki Verilerin korunmasına ve KVVK ilgili maddesiyle ile bağlantılı olarak veri konularının ve Kontrolörlerinin haklarının korunmasına yönelik özel düzenlemeler vardır.
• Çalışanlara verilen anahtarlar, erişim kartları veya kodların yanı sıra kişisel verilerin işlenmesiyle ilgili verilen yetkiler, şirketten ayrıldıktan veya sorumluluk alanındaki bir değişiklikten sonra çekilir veya iptal edilir.
• Temizlik personeli, güvenlik görevlileri ve yardımcı iş görevlerinin yerine getirilmesinde yer alan diğer hizmet sağlayıcılar özenle seçilir ve kişisel verilerin korunmasına uymaları sağlanır.

2. Fiziksel Erişim Kontrolü

Yetkisiz kişilerin, kişisel verilerin işlendiği veri işleme tesislerine erişmesini önleyici tedbirler:

• İş istasyonları ve mobil cihazlar dışında, şirket bünyesinde hiçbir veri işleme sistemi bulunmamaktadır. Müşterinin verileri, harici hosting sağlayıcıları tarafından sipariş işleme şartnamelerine uygun olarak depolanır.
• Şirket tarafından istihdam edilmeyen kişilerin erişim kuralları vardır.
• Ziyaretçiler resepsiyona rapor vermeli, bir çalışan tarafından kaydedilmeli ve alınmalıdır (sunucu odaları).
• Sunucu odalarının ziyaretçileri belgelenmelidir.
• İşlemcinin veri işleme sistemlerine (sunucu odaları) erişim yetkisiz kişilere karşı tamamen reddedilir ve sadece yetkili çalışanlara verilir.
• Sunucu odalarında bir alarm sistemi kuruludur.
• Erişim, güvenlik kilitlerine sahip manuel bir kilitleme sistemi ile güvence altına alınmıştır.
• Verilen anahtarlar veya erişim kartları için bir program vardır.
• Girişler CCTV (sunucu odaları) ile izlenir.

3. İşleme Sistemlerine Erişim Kontrolü

Yetkisiz kişilerce veri işleme sistemlerinin kullanılmasını önleyici tedbirler:

• Çalışanların, temsilcilerin ve diğer kişilerin (örn. Sistem içindeki kullanıcılar) erişim yetkilerinin tanımlandığı ve yalnızca belirtilen amaç için gerekli olduğu ölçüde ulaşabileceği bir hak yönetimi konsepti vardır.
• Tüm veri işleme sistemleri şifre korumalıdır.
• Parolaların, teknolojinin durumuna ve güvenlik gereksinimlerine karşılık gelen en az uzunlukta ve karmaşık olması gerektiğini belirten bir parola politikası vardır.
• Şifre yönetimi yazılımı uygulanmaktadır.
• İşleme sistemindeki kayıtlar günlüğe kaydedilir.
• Anti-virüs yazılımı uygulanmaktadır.
• Donanım güvenlik duvarları uygulanmaktadır.
• Yazılım güvenlik duvarları uygulanmaktadır.
• Web sitesi ve/veya çevrimiçi yazılım servislerine erişim, güncel bir TLS/SSL şifrelemesi ile korunmaktadır.
• Dahili sistemler güvenlik duvarı, kullanıcı adı ve şifre ve/veya müşteri sertifikaları ile yetkisiz erişime karşı korunmaktadır.
• Mobil veri taşıyıcıları şifrelenir.

4. Veriye Erişim Kontrolü ve Veri Girişi

Veri işleme sistemi kullanma hakkına sahip olanların yalnızca erişim yetkilerinin kapsadığı Verilere erişebileceklerini ve kişisel verilerinizin işleme, kullanım sırasında ve depolamadan sonra izinsiz girilemez, eklenemez, okunamaz, kopyalanamaz, değiştirilemez veya kaldırılamaz ve işleme operasyonlarının daha sonra yeniden inşa edilmesini sağlayacak tedbirler:

• Çalışanların, temsilcilerin ve diğer kişilerin (örn. Sistem içindeki kullanıcılar) erişim yetkilerinin tanımlandığı ve yalnızca belirtilen amaç için gerekli olduğu ölçüde ulaşabileceği bir hak yönetimi konsepti vardır.
• Her bir Veri işleme aşamasının kaydedilmesi, özellikle uygulamalara, Veri girişi, değiştirilmesi ve silinmesi sırasında erişim sağlar.
• Çalışanların Verilere erişimi güvenlik açısından kritik alanlarda kaydedilmiştir. Bireysel erişimler kaydedilmezse, hangi Verilere ve ne zaman erişebileceklerinin şeffaf olması sağlanmıştır (örneğin, erişim zamanından ve yetkilendirme konseptinden yazılım kullanımı veya sonuçları günlüğe kaydederek).
• Her adımın kaydedilmesi, özellikle uygulamalara, giriş yaparak, değiştirilmesi ve silinmesi sırasında erişim sağlar.
• Güvenlik açısından kritik bilgileri veya kişisel verileri içeren veri taşıyıcıları güvenli bir şekilde saklanır.
• Tanımlanmış sorumlulukları ve raporlama yükümlülüklerini içeren bir söndürme ve elden çıkarma konsepti vardır. Çalışanlar, yasal gereklilikler, silme süreleri ve Veri imha servis sağlayıcıları tarafından Verilerin silinmesi veya ekipmanın elden çıkarılması için şartnameler hakkında bilgilendirildi.
• Silinmemiş Verilerin işlenmesi (örneğin yasal arşivleme zorunluluklarının bir sonucu olarak) kısıtlama notları ve ayrıştırma ile sınırlandırılmıştır.
• Verilerin otomatik işlemeye aktarıldığı kağıt formlar, bu formun yasal olarak uygun olması durumunda, Kontrolörlerin talimatlarına dayanıyorsa korunur.

5. Veri aktarım kontrolü

Kişisel verilerin elektronik aktarım sırasında veya veri taşıyıcılarında taşınması veya depolanması sırasında izinsiz olarak okunamamasını, kopyalanmamasını, değiştirilememesini veya kaldırılamamasını ve kişisel verilerin veri aktarım cihazları tarafından hangi noktalara iletileceğini kontrol etmenin ve tespit etmenin mümkün olup olmadığına dair önlemler:

• Veri taşıyıcılarını teslim etmeye yetkili kişiler ve onları almaya yetkili kişiler belirlenir.
• Veri taşıyıcılarının kontrollü bir envanteri var.
• Verilere erişimin mümkün olduğu süre belirlenir.
• Fiziksel taşıma söz konusu olduğunda, güvenli nakliye konteynerleri veya ambalajları seçilir veya Verilerin risklerini göz önünde bulundurmak için yeterli olması koşuluyla, Verilerin güvenliği kişisel denetim ile güvence altına alınır.
• Verilere uzaktan erişim durumunda, protokol önlemleri Veri iletimi veya açıklamalarının hesap verebilir olmasını sağlar.
• Periyodik alım ve iletim işlemlerine genel bir bakış oluşturulmuş ve izlenmiştir.
• Gerekirse, muhtemel ve makul ise, Veri anonim formda veya sahte ad biçiminde iletilecektir.

6. Siparişlerin ve Atamaların Kontrolü

Veri sorumlusuadına işlenen kişisel verilerin yalnızca veri sorumlusunun talimatlarına uygun olarak işlenebilmesini sağlayacak önlemler:

• Çalışanların ve temsilcilerin Kontrolörün talimatlarına uyma yükümlülüğü.
• Yazılı şartname ve talimatların dokümantasyonu.
• Alt işlemcilerin devreye alınması için yapılan sözleşmeye bağlı ve yasal gereklilikler, DPA'ların karara bağlanması ve gerekli teminatların güvence altına alınması ve izlenmesi ile yerine getirilmektedir.
• Atama tamamlandıktan sonra Verilerin iade edilmesi veya silinmesi sağlanır.

7. Kullanılabilirlik ve Bütünlük Kontrolü

Kişisel verilerin kazara imha veya kayba karşı korunmasını sağlayacak önlemler:

• Yük testi ve donanım testlerine tabi olarak, çoğul veya birden fazla durumda tasarlanan, güvenli güvenlikli sunucu sistemleri ve hizmetleri, DDoS korumasına sahiptir ve kesintisiz bir güç kaynağı sağlar (örn. RAID, HA güç kaynakları).
• Güvenilir ve kontrollü bir yedekleme ve geri yükleme konsepti sunan sunucu sistemleri ve hizmetleri kullanılır. Yedeklemeler günlük olarak yapılır.
• İş istasyonları ve mobil cihazlarda (sunucu veya bulut depolama) Veri işleme için yedeklemeler de oluşturulur ve kontrol edilir.

8. Amaç/Veri Ayrıştırma İlkesinin Teminatı

Farklı amaçlar için toplanan verilerin ayrı olarak işlenmesini sağlayacak önlemler:

• Gerektiğinde, mümkün ve makul, Veri fiziksel olarak ayrılır (örneğin, farklı sunucular kullanarak). Fiziksel ayrılma yoksa, Veri mantıksal olarak ayrılır (örneğin, farklı veritabanlarında veya uygun amaç nitelikleri veya Veri alanlarıyla işaretlenerek).
• Verilere yetkisiz erişim bir yetkilendirme kavramı ile engellenir.
• Amaç ve prensibi korumak için gerekli ise, üretken ve test sistemleri birbirinden ayrılır.

Veri İşleme Sözleşmesi

Ek 2 "Alt İşlemciler"

• Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, İrlanda;
  Amaç: Google Analytics, Google Suite;
  Sözleşme temeli: 3/26/2018 DPA;
  Üçüncü ülkeler için garanti: Privacy Shield.
• IP Exchange GmbH, Am Tower 5, 90475 Nürnberg, Deutschland;
  Amaç: Kendi web sunucusunun konumu, İnternet bağlantısı, güvenlik hizmetleri, teknik bakım hizmetleri;
  Sözleşme temeli: 5/23/2018 DPA;
• LeaseWeb Deutschland GmbH, Kleyerstraße 75-87, 60326 Frankfurt am Main, Deutschland;
  Amaç: Depolama ve veritabanı hizmetleri, güvenlik hizmetleri, teknik bakım hizmetleri;
  Sözleşme temeli: 4/16/2018 DPA;
• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland;
  Amaç: Depolama ve veritabanı hizmetleri, güvenlik hizmetleri, teknik bakım hizmetleri;
  Sözleşme temeli: 3/16/2018 DPA;
• Binect GmbH, Robert-Koch-Str. 9, 64331 Weiterstadt, Deutschland;
  Amaç: Posta gönderimi;
  Sözleşme temeli: 4/17/2018 DPA;
• InterNetX GmbH, Johanna-Dachs-Str. 55, 93055 Regensburg, Deutschland;
  Amaç: Domain-Provider;
  Sözleşme temeli: 6/5/2018 DPA;