Veri İşleme Sözleşmesi
Son güncelleme: 1 Mart 2026
Bu Veri İşleme Sözleşmesi ("VİS"), flydeal.tr uçuş fırsat uyarı hizmetinin kullanıcısı ("Veri Sorumlusu", "siz" veya "sizin") ile Amerika Birleşik Devletleri'nin Delaware eyaletinde kurulmuş ve tescil edilmiş Back Hills Assets LLC şirketi ("Veri İşleyen", "flydeal.tr", "biz" veya "bizim") arasında akdedilmiştir.
Bu VİS, Veri Sorumlusu ile Veri İşleyen arasındaki Hizmet Şartları'nın ("Sözleşme") ayrılmaz bir parçasını oluşturur ve flydeal.tr uçuş fırsat uyarı hizmetinin ("Hizmet") sunulmasıyla bağlantılı olarak Veri İşleyen tarafından Veri Sorumlusu adına kişisel verilerin işlenmesini düzenler.
Bu VİS, Genel Veri Koruma Tüzüğü (AB) 2016/679'un ("GDPR") 28. Maddesi ve diğer tüm geçerli veri koruma yasalarına uyumu sağlamak üzere tasarlanmıştır ve GDPR'a uygun olarak yorumlanacaktır.
Hizmeti kullanarak, Veri Sorumlusu bu VİS'in şartlarını kabul eder. Veri Sorumlusu bu VİS'i kabul etmezse, Hizmeti kullanmamalıdır.
1. Tanımlar
Bu VİS'in amaçları doğrultusunda, aşağıdaki terimler aşağıda belirtilen anlamları taşıyacaktır. Burada tanımlanmamış tüm büyük harfle başlayan terimler, GDPR'da veya Sözleşme'de kendilerine verilen anlamları taşıyacaktır.
- "Veri Sorumlusu", kişisel verilerin işlenme amaçlarını ve vasıtalarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer kuruluş anlamına gelir; GDPR'ın 4(7). Maddesi'nde tanımlandığı şekilde. Bu VİS bağlamında Veri Sorumlusu, Hizmetin kullanıcısıdır.
- "Veri İşleyen", GDPR'ın 4(8). Maddesi'nde tanımlandığı şekilde, Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer kuruluş anlamına gelir. Bu VİS bağlamında Veri İşleyen, Back Hills Assets LLC 'dir.
- "Kişisel Veri", GDPR'ın 4(1). Maddesi'nde tanımlandığı şekilde, kimliği belirli veya belirlenebilir bir gerçek kişiye ("Veri Sahibi") ilişkin her türlü bilgi anlamına gelir. Kimliği belirlenebilir gerçek kişi, özellikle ad, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı gibi bir tanımlayıcıya ya da bu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfla doğrudan veya dolaylı olarak tanımlanabilen kişidir.
- "İşleme", GDPR'ın 4(2). Maddesi'nde tanımlandığı şekilde, kişisel veriler veya kişisel veri kümeleri üzerinde otomatik olsun ya da olmasın gerçekleştirilen her türlü işlem veya işlem dizisi anlamına gelir; toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla ifşa etme, yayma veya başka bir şekilde erişilebilir kılma, hizalama veya birleştirme, kısıtlama, silme veya imha etme gibi.
- "Veri Sahibi", kişisel verilerin ilişkin olduğu kimliği belirli veya belirlenebilir gerçek kişi anlamına gelir.
- "Alt İşleyen", Veri Sorumlusu adına kişisel verileri işlemek üzere Veri İşleyen (veya herhangi bir sonraki alt işleyen) tarafından görevlendirilen herhangi bir üçüncü taraf anlamına gelir.
- "Kişisel Veri İhlali", GDPR'ın 4(12). Maddesi'nde tanımlandığı şekilde, iletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kazara veya yasa dışı olarak imha edilmesine, kaybına, değiştirilmesine, yetkisiz ifşasına veya erişimine yol açan bir güvenlik ihlali anlamına gelir.
- "Denetim Otoritesi", GDPR'ın 51. Maddesi uyarınca bir AB Üye Devleti tarafından kurulan bağımsız bir kamu otoritesi anlamına gelir. Uygulanabilir Denetim Otoritesi, Veri Sahibinin mutad ikametgahının, çalışma yerinin veya iddia edilen ihlalin gerçekleştiği yerin bulunduğu AB Üye Devleti tarafından belirlenir.
- "Standart Sözleşme Maddeleri" (SSM), GDPR'ın 46(2)(c). Maddesi uyarınca Avrupa Komisyonu tarafından onaylanan ve yeterlilik kararından yararlanamayan Avrupa Ekonomik Alanı (AEA) dışındaki ülkelere kişisel verilerin aktarılması için kullanılan sözleşme maddeleri anlamına gelir.
- "AEA", Avrupa Birliği üye devletleri ile İzlanda, Lihtenştayn ve Norveç'i kapsayan Avrupa Ekonomik Alanı anlamına gelir.
2. İşlemenin Kapsamı ve Amacı
2.1 Kapsam
Bu VİS, Hizmetin sunulmasıyla bağlantılı olarak Veri İşleyen tarafından Veri Sorumlusu adına gerçekleştirilen tüm kişisel veri işlemelerine uygulanır. Veri İşleyen, kişisel verileri yalnızca Sözleşme kapsamındaki yükümlülüklerini yerine getirmek için gerekli olduğu ölçüde ve Veri Sorumlusu'nun belgelenmiş talimatlarına uygun olarak işleyecektir.
2.2 İşlemenin Amacı
Veri İşleyen, Veri Sorumlusu adına aşağıdaki belirli amaçlar için kişisel verileri işleyecektir:
- Kimlik doğrulama, güvenlik ve hesap kurtarma dahil olmak üzere kullanıcı hesaplarının oluşturulması, sürdürülmesi ve yönetilmesi.
- Kişiselleştirilmiş uçuş fırsat uyarıları oluşturmak için seyahat tercihlerinin (kalkış havalimanları, varış yeri tercihleri, bütçe aralıkları, seyahat tarihi esnekliği) saklanması ve işlenmesi.
- E-posta yoluyla bildirim ve uçuş fırsat uyarılarının iletilmesi.
- Yetkili ödeme işlemcileri aracılığıyla abonelik ödemelerinin işlenmesi ve faturalandırmanın yönetilmesi.
- Müşteri desteği sağlanması ve Hizmetle ilgili sorulara yanıt verilmesi.
- Hizmeti izlemek, sürdürmek ve iyileştirmek için anonimleştirilmiş ve toplu analizler üretilmesi.
- Hizmetin ve altyapısının güvenliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanması.
- Vergi, muhasebe ve düzenleyici gereksinimler dahil olmak üzere geçerli yasal yükümlülüklere uyum.
2.3 İşleme Süresi
Veri İşleyen, yazılı olarak aksi kararlaştırılmadıkça veya yürürlükteki yasalar gerektirmedikçe, Sözleşme süresince kişisel verileri işleyecektir. Sözleşme'nin feshi üzerine, Bölüm 13 (Verilerin İadesi ve Silinmesi) hükümleri uygulanacaktır.
3. Veri Sahibi Kategorileri
Bu VİS kapsamında işlenen kişisel veriler, aşağıdaki Veri Sahibi kategorileriyle ilgilidir:
- Kayıtlı kullanıcılar: Ücretsiz plan, Basic plan, Pro plan ve Ultra plan kullanıcıları dahil olmak üzere flydeal.tr platformunda hesap oluşturmuş gerçek kişiler.
- Web sitesi ziyaretçileri: flydeal.tr web sitesini ziyaret eden ve verileri Çerez Politikamızda açıklandığı şekilde çerezler ve benzeri teknolojiler aracılığıyla toplanabilen gerçek kişiler.
- Müşteri destek kişileri: Destek, sorular veya geri bildirim için flydeal.tr ile iletişime geçen ve kişisel verileri bu iletişimlerle bağlantılı olarak işlenen gerçek kişiler.
4. Kişisel Veri Türleri
Bu VİS kapsamında aşağıdaki kişisel veri kategorileri işlenmektedir:
- Kimlik verileri: E-posta adresi (hesap tanımlayıcısı olarak kullanılır).
- İletişim verileri: E-posta adresi.
- Hesap verileri: Hesap tanımlayıcısı, hashlenmiş şifre, hesap oluşturma tarihi, plan türü ve hesap durumu.
- Seyahat tercihi verileri: Tercih edilen kalkış havalimanı/havalimanları, varış yeri tercihleri (bölgeler, ülkeler veya belirli şehirler), bütçe aralıkları, seyahat tarihi esnekliği, seyahat süresi tercihleri, özel rota yapılandırmaları (Pro planı).
- İletişim tercihi verileri: Seçilen bildirim kanalları (e-posta), bildirim sıklığı ayarları, promosyon iletişimi kabul durumu.
- Ödeme ve abonelik verileri: Plan türü, abonelik başlangıç ve bitiş tarihleri, fatura döngüsü tarihleri, işlem tanımlayıcıları, ödeme kartının son dört hanesi, kart markası, kart son kullanma tarihi, fatura ülkesi. Tam ödeme kartı bilgileri yalnızca Stripe tarafından işlenir ve Veri İşleyen tarafından saklanmaz.
- Kullanım verileri: Ziyaret edilen sayfalar, kullanılan özellikler, görüntülenen ve etkileşimde bulunulan fırsatlar, açılan ve tıklanan uyarılar, oturum süresi ve etkileşim zaman damgaları.
- Teknik veriler: IP adresi, tarayıcı türü ve sürümü, işletim sistemi, cihaz türü, ekran çözünürlüğü, cihaz dil ayarları ve benzersiz cihaz tanımlayıcıları.
- Destek verileri: Veri Sahibi tarafından sağlanan destek taleplerinin içeriği, yazışmalar ve geri bildirimler.
Veri İşleyen, bu VİS kapsamında özel nitelikteki kişisel veri kategorilerini (GDPR'ın 9. Maddesi'nde tanımlandığı şekilde) veya cezai mahkumiyetler ve suçlarla ilgili kişisel verileri (GDPR'ın 10. Maddesi'nde tanımlandığı şekilde) işlemez.
5. Veri İşleyenin Yükümlülükleri
Veri İşleyen:
5.1 İşleme Talimatları
- Kişisel verileri, yalnızca Veri Sorumlusu'nun belgelenmiş talimatları doğrultusunda işlemek; bu, kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasını da kapsar; ancak Veri İşleyen'in tabi olduğu Birlik veya Üye Devlet hukuku bunu gerektirmedikçe. Böyle bir durumda, Veri İşleyen, söz konusu hukuk önemli kamu yararı gerekçesiyle bu tür bir bildirimi yasaklamadıkça, işlemeden önce Veri Sorumlusu'nu bu yasal gereklilik hakkında bilgilendirecektir.
- Veri İşleyen'in görüşüne göre bir talimatın GDPR'ı veya diğer Birlik veya Üye Devlet veri koruma hükümlerini ihlal etmesi halinde Veri Sorumlusu'nu derhal bilgilendirmek.
5.2 Gizlilik
- Kişisel verileri işlemeye yetkili tüm kişilerin gizlilik taahhüdünde bulunmuş olmalarını veya uygun bir yasal gizlilik yükümlülüğü altında olmalarını sağlamak.
- Kişisel verilere erişimi, Hizmetle bağlantılı görevlerini yerine getirmek için erişime ihtiyaç duyan ve veri koruma yükümlülükleri konusunda eğitim almış çalışanlar, yükleniciler ve temsilcilerle sınırlandırmak.
5.3 Güvenlik
- GDPR'ın 32. Maddesi uyarınca ve bu VİS'in Bölüm 8'inde (Veri Güvenliği Önlemleri) ayrıntılı olarak açıklandığı şekilde, riske uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri uygulamak.
5.4 Alt İşleme
- Bu VİS'in Bölüm 7'sinde (Alt İşleyenler) açıklandığı şekilde, Veri Sorumlusu'nun önceden genel veya özel yazılı izni olmaksızın başka bir işleyici (alt işleyen) görevlendirmemek.
5.5 Veri Sorumlusuna Yardım
- İşlemenin niteliğini dikkate alarak, uygun teknik ve organizasyonel önlemlerle, mümkün olduğu ölçüde, Veri Sorumlusu'nun GDPR'ın III. Bölümü kapsamında Veri Sahibinin haklarını kullanma taleplerine yanıt verme yükümlülüğünü yerine getirmesine yardımcı olmak (erişim, düzeltme, silme, kısıtlama, taşınabilirlik ve itiraz hakkı).
- İşlemenin niteliğini ve Veri İşleyen'in elindeki bilgileri dikkate alarak, Veri Sorumlusu'nun GDPR'ın 32 ila 36. Maddeleri kapsamındaki yükümlülüklere (işleme güvenliği, kişisel veri ihlallerinin bildirilmesi, kişisel veri ihlallerinin veri sahiplerine bildirilmesi ve veri koruma etki değerlendirmeleri) uyumunu sağlamasına yardımcı olmak.
5.6 Uyumluluğun Kanıtlanması
- GDPR'ın 28. Maddesi ve bu VİS'de belirtilen yükümlülüklere uyumu göstermek için gerekli tüm bilgileri Veri Sorumlusu'na sunmak ve bu VİS'in Bölüm 10'unda (Denetimler ve Teftiçler) açıklandığı şekilde Veri Sorumlusu veya Veri Sorumlusu tarafından yetkilendirilen başka bir denetçi tarafından yürütülen denetimlere ve teftiçlere izin vermek ve katkıda bulunmak.
6. Veri Sorumlusunun Yükümlülükleri
Veri Sorumlusu:
- Kişisel verilerin işlenmesi için yasal bir dayanağa sahip olduğundan ve geçerli veri koruma yasalarına uygun olarak tüm gerekli onayların, yetkilendirmelerin ve bildirimlerin alındığından veya sağlandığından emin olmak.
- Veri İşleyen'e kişisel verilerin işlenmesine ilişkin belgelenmiş talimatlar sağlamak ve bu talimatlardaki değişiklikleri derhal Veri İşleyen'e bildirmek.
- Veri İşleyen'e sağlanan kişisel verilerin doğru, eksiksiz ve güncel olmasını sağlamak.
- GDPR ve geçerli veri koruma yasaları kapsamında Veri Sorumlusu olarak yükümlülüklerini yerine getirmek.
- Veri İşleyen'in işleme faaliyetleriyle doğrudan ilgili olan herhangi bir Veri Sahibi talebini derhal Veri İşleyen'e bildirmek.
7. Alt İşleyiciler
7.1 Genel Yetkilendirme
Veri Sorumlusu, bu Bölüm 7'de belirtilen koşullara tabi olarak, işbu VİS kapsamında kişisel verilerin işlenmesi için alt işleyiciler görevlendirmesine ilişkin Veri İşleyen'e genel yazılı yetki vermektedir.
7.2 Mevcut Alt İşleyiciler
Aşağıdaki alt işleyiciler şu anda Veri İşleyen tarafından görevlendirilmiştir:
- Amazon Web Services, Inc. (AWS)
Amaç: Bulut altyapısı, barındırma, veri depolama ve bilgi işlem hizmetleri.
İşlenen veriler: Bölüm 4'te listelenen tüm kişisel veri kategorileri, AWS altyapısında depolanır ve işlenir.
Konum: Avrupa Birliği (EU-West bölgesi, ağırlıklı olarak İrlanda).
Güvenceler: AWS GDPR Veri İşleme Eki; ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 sertifikaları. - Stripe, Inc.
Amaç: Abonelik faturalandırması için ödeme işleme (Basic, Pro ve Ultra planları).
İşlenen veriler: Ödeme kartı bilgileri (doğrudan Stripe tarafından işlenir), fatura bilgileri, işlem tanımlayıcıları, abonelik meta verileri.
Konum: Avrupa Birliği ve Amerika Birleşik Devletleri.
Güvenceler: Stripe Veri İşleme Sözleşmesi; PCI DSS Seviye 1 sertifikası; AB-ABD Veri Gizliliği Çerçevesi; Standart Sözleşme Maddeleri. - Postmark (ActiveCampaign, LLC)
Amaç: Uçuş fırsat uyarıları ve hizmetle ilgili e-postalar dahil olmak üzere işlemsel ve bildirim e-postalarının teslimi.
İşlenen veriler: E-posta adresi, ad, e-posta içeriği (fırsat uyarı ayrıntıları), teslimat ve etkileşim meta verileri.
Konum: Amerika Birleşik Devletleri, AB verileri için veri işleme taahhütleri ile.
Güvenceler: Veri İşleme Sözleşmesi; Standart Sözleşme Maddeleri; SOC 2 Tip II sertifikası.
7.3 Değişiklik Bildirimi
Veri İşleyen, alt işleyicilerin eklenmesi veya değiştirilmesi dahil olmak üzere alt işleyiciler listesinde yapılması planlanan herhangi bir değişikliği, değişikliğin yürürlüğe girmesinden en az 14 takvim günü önce Veri Sorumlusu'na yazılı olarak (e-posta dahil) bildirecektir. Bildirim, alt işleyicinin adını, işlemenin niteliğini ve veri işleme konumunu içerecektir.
7.4 İtiraz Hakkı
Veri Sorumlusu, Bölüm 7.3'te açıklanan bildirimi aldıktan sonra 14 takvim günü içinde Veri İşleyen'e yazılı olarak bildirimde bulunarak yeni veya yedek bir alt işleyicinin görevlendirilmesine itiraz edebilir. İtiraz, veri korumayla ilgili makul gerekçelere dayanmalıdır. Veri Sorumlusu itiraz ederse:
- Veri İşleyen, itiraz edilen alt işleyicinin kullanılmasından kaçınan alternatif bir çözüm sunmak için makul çaba gösterecektir.
- Makul bir alternatif mevcut değilse ve Veri İşleyen alt işleyicinin Hizmetin sunumu için gerekli olduğunu makul olarak belirlerse, taraflardan herhangi biri 30 gün önceden yazılı bildirimde bulunarak Sözleşmeyi feshedebilir.
7.5 Alt İşleyici Yükümlülükleri
Veri İşleyen bir alt işleyici görevlendirdiğinde, Veri İşleyen:
- Alt işleyicinin bu VİS ve GDPR tarafından gerektirilen veri koruma düzeyini sağlayabilecek kapasitede olduğundan emin olmak için yeterli durum tespiti yapmak.
- Alt işleyiciye, yazılı bir sözleşme ile bu VİS'de belirtilen aynı veri koruma yükümlülüklerini, özellikle uygun teknik ve organizasyonel önlemleri uygulamak için yeterli garantileri sağlamayı dayatmak.
- Alt işleme sözleşmesi kapsamında alt işleyicinin yükümlülüklerinin yerine getirilmesinden Veri Sorumlusu'na karşı tam olarak sorumlu kalmak.
8. Veri Güvenliği Önlemleri
Veri İşleyen, kişisel verileri kazara veya yasadışı imhaya, kayba, değişikliğe, yetkisiz ifşaya veya erişime karşı korumak için GDPR'ın 32. Maddesi uyarınca aşağıdaki teknik ve organizasyonel güvenlik önlemlerini uygulayacak ve sürdürecektir:
8.1 Teknik Önlemler
- Aktarımda şifreleme: Kullanıcılar ile Hizmet arasında iletilen tüm veriler Transport Layer Security (TLS) 1.3 kullanılarak şifrelenir.
- Beklemede şifreleme: Sunucularda ve veritabanlarında depolanan tüm kişisel veriler, AES-256 şifreleme kullanılarak beklemede şifrelenir.
- Parola karma: Kullanıcı parolaları, yüksek maliyet faktörüne sahip bcrypt kriptografik karma kullanılarak saklanır ve parolaların düz metin olarak kurtarılamayacağı garanti edilir.
- Güvenlik duvarı ve ağ güvenliği: Üretim sistemleri güvenlik duvarları ve ağ segmentasyonu ile korunmaktadır. İç ağlara erişim, çok faktörlü kimlik doğrulama ile VPN üzerinden yetkili personelle sınırlandırılmıştır.
- Saldırı tespiti ve izleme: Potansiyel güvenlik tehditlerini gerçek zamanlı olarak tespit etmek ve yanıt vermek için sürekli izleme ve saldırı tespit sistemleri uygulanmaktadır.
- Zafiyet yönetimi: Düzenli zafiyet taramaları ve sızma testleri yapılmaktadır. Güvenlik yamaları tüm sistem ve yazılımlara derhal uygulanmaktadır.
- Otomatik yedeklemeler: Otomatik, şifreli yedeklemeler düzenli olarak yapılmaktadır. Yedekler AB içinde yedekli olarak saklanır ve verilerin geri yüklenebilmesini sağlamak için periyodik olarak test edilir.
- Günlük kaydı ve denetim izleri: Kişisel verilere erişim günlüğe kaydedilir ve yetkisiz erişimi veya anormal etkinliği tespit etmek için denetim izleri tutulur.
- Güvenli geliştirme: Hizmet, kod incelemeleri, statik analiz, bağımlılık taraması ve güvenlik testleri dahil olmak üzere güvenli yazılım geliştirme uygulamalarına uygun olarak geliştirilmektedir.
8.2 Organizasyonel Önlemler
- Erişim kontrolleri: En az ayrıcalık ilkesine uygun olarak rol tabanlı erişim kontrolü (RBAC) uygulanmaktadır. Kişisel verilere erişim, yalnızca belirlenen görevleri için buna ihtiyaç duyan personele verilmektedir.
- Gizlilik sözleşmeleri: Kişisel verilere erişimi olan tüm çalışanlar ve yükleniciler yazılı gizlilik yükümlülükleriyle bağlıdır.
- Veri koruma eğitimi: Kişisel verilerin işlenmesinde görev alan personel, veri koruma ilkeleri, GDPR ve Veri İşleyen'in iç veri koruma politikaları hakkında düzenli eğitim almaktadır.
- Olay müdahale planı: Kişisel veri ihlallerine ve diğer güvenlik olaylarına hızlı ve etkili müdahale sağlamak için belgelenmiş bir olay müdahale planı sürdürülmekte ve test edilmektedir.
- İş sürekliliği ve felaket kurtarma: İşleme sistemlerinin kullanılabilirliğini ve dayanıklılığını sağlamak için iş sürekliliği ve felaket kurtarma planları sürdürülmekte ve periyodik olarak test edilmektedir.
- Tedarikçi risk yönetimi: Alt işleyiciler, yeterli veri koruma ve güvenlik standartlarını sürdürdüklerinden emin olmak için durum tespiti değerlendirmelerine ve sürekli izlemeye tabidir.
9. Veri İhlali Bildirimi
9.1 Veri Sorumlusuna Bildirim
Kişisel Veri İhlali durumunda, Veri İşleyen, ihlalden haberdar olduktan sonra gereksiz gecikme olmaksızın ve her halükarda en geç 48 saat içinde Veri Sorumlusu'nu bilgilendirecektir. Bildirim, Veri Sorumlusu'nun kayıtlı e-posta adresine e-posta yoluyla sağlanacak ve şunları içerecektir:
- Kişisel Veri İhlalinin niteliğinin bir açıklaması; mümkün olduğunda, ilgili Veri Sahiplerinin kategorileri ve yaklaşık sayısı ile ilgili kişisel veri kayıtlarının kategorileri ve yaklaşık sayısı dahil.
- Daha fazla bilgi alınabilecek Veri İşleyen'in veri koruma irtibat noktasının adı ve iletişim bilgileri.
- Kişisel Veri İhlalinin olası sonuçlarının bir açıklaması.
- Veri İşleyen tarafından Kişisel Veri İhlalini ele almak için alınan veya alınması önerilen önlemlerin, uygun durumlarda olası olumsuz etkilerini azaltmaya yönelik önlemler dahil olmak üzere bir açıklaması.
9.2 Devam Eden İşbirliği
Tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı durumlarda, Veri İşleyen bilgileri gereksiz gecikme olmaksızın aşamalar halinde sağlayacaktır. Veri İşleyen:
- Veri Sorumlusu ile işbirliği yapmak ve ihlalin soruşturulması, azaltılması ve giderilmesine yardımcı olmak için tüm makul adımları atmak.
- İhlalin etkisini kontrol altına almak ve en aza indirmek için derhal adımlar atmak.
- Adli soruşturma amacıyla ihlalle ilgili delilleri korumak.
- GDPR'ın 33. Maddesi kapsamında Denetim Otoritesine ve GDPR'ın 34. Maddesi kapsamında Veri Sahiplerine bildirim yükümlülüklerini yerine getirmesinde Veri Sorumlusu'na yardımcı olmak, uygulanabilir olduğunda.
- Geçerli yasa tarafından gerekli kılınmadıkça, Veri Sorumlusu'nun önceden yazılı onayı olmadan ihlalle ilgili herhangi bir kamuoyu açıklaması veya bildirimi yapmamak.
9.3 Kayıt Tutma
Veri İşleyen, GDPR'ın 33(5). Maddesi uyarınca, ihlalle ilgili olgular, etkileri ve alınan düzeltici eylemler dahil olmak üzere tüm Kişisel Veri İhlallerinin kaydını tutacaktır.
10. Veri Sahibi Talepleri
10.1 Yardım
Veri İşleyen, Veri Sahiplerinin GDPR'ın III. Bölümü kapsamındaki haklarını kullanma taleplerine yanıt verme yükümlülüğünü yerine getirmesinde Veri Sorumlusu'na yardımcı olacaktır; bu haklar arasında erişim, düzeltme, silme, işlemenin kısıtlanması, veri taşınabilirliği ve itiraz hakları bulunmaktadır.
10.2 Bildirim
Veri İşleyen, Veri Sorumlusu adına işlenen kişisel verilerle ilgili bir Veri Sahibinden talep alırsa, Veri İşleyen derhal (ve her halükarda 5 iş günü içinde) Veri Sorumlusu'nu bilgilendirecek ve Veri Sorumlusu tarafından yetkilendirilmedikçe veya geçerli yasa tarafından gerekli kılınmadıkça talebe doğrudan yanıt vermeyecektir.
10.3 Teknik Önlemler
Veri İşleyen, Veri Sorumlusu'nun Veri Sahibi taleplerine verimli bir şekilde yanıt vermesini sağlamak için uygun teknik ve organizasyonel önlemleri uygulayacaktır; bu, Veri Sorumlusu'nun talimatı üzerine kişisel verileri arama, alma, dışa aktarma, düzeltme ve silme yeteneğini içerir.
11. Denetimler ve Teftiş
11.1 Denetim Hakkı
Veri İşleyen, GDPR'ın 28. Maddesinde ve bu VİS'da belirtilen yükümlülüklere uyumu göstermek için gerekli tüm bilgileri Veri Sorumlusu'na sunacak ve Veri Sorumlusu veya Veri Sorumlusu tarafından yetkilendirilen bağımsız bir denetçi tarafından gerçekleştirilen denetimler ve teftişlere izin verecek ve katkıda bulunacaktır.
11.2 Denetim Prosedürleri
Denetimler aşağıdaki koşullara tabi olarak gerçekleştirilecektir:
- Veri Sorumlusu, planladığı herhangi bir denetim hakkında Veri İşleyen'e en az 30 takvim günü önceden yazılı bildirimde bulunacaktır.
- Denetimler normal çalışma saatleri içinde ve Veri İşleyen'in faaliyetlerinde kesinti en aza indirecek şekilde gerçekleştirilecektir.
- Veri Sorumlusu (veya denetçisi), Veri İşleyen'in makul güvenlik ve gizlilik gereksinimlerine uyacaktır.
- Denetimler, bu VİS'nın veya GDPR'ın önemli bir ihlalinden şüphelenilmesi için makul gerekçeler bulunmadıkça veya bir Denetim Otoritesi tarafından denetim talep edilmedikçe, takvim yılına en fazla bir ile sınırlıdır.
- Denetim maliyetleri Veri Sorumlusu tarafından karşılanacaktır; ancak denetim sonucunda Veri İşleyen'in önemli bir uyumsuzluğu tespit edilirse, bu durumda makul maliyetler Veri İşleyen tarafından karşılanacaktır.
11.3 Sertifikalar ve Raporlar
Yerinde denetim yerine, Veri İşleyen kendi takdirine bağlı olarak Veri Sorumlusu'na ilgili üçüncü taraf denetim raporları, sertifikalar (ISO 27001 veya SOC 2 gibi) veya bu VİS'nın veri koruma gereksinimlerine uyumu gösteren diğer belgeler sağlayabilir.
12. Uluslararası Veri Aktarımları
12.1 Genel İlke
Veri İşleyen, kişisel verileri öncelikli olarak Avrupa Ekonomik Alanı (AEA) içinde depolayacak ve işleyecektir. Veri İşleyen, GDPR'ın V. Bölümü uyarınca uygun güvenceler sağlanmadıkça kişisel verileri AEA dışındaki bir ülkeye veya uluslararası kuruluşa aktarmayacaktır.
12.2 Aktarım Mekanizmaları
Kişisel veriler AEA dışına aktarıldığında (örneğin, Amerika Birleşik Devletleri'nde bulunan alt işleyicilere), Veri İşleyen aşağıdaki güvencelerden bir veya daha fazlasının mevcut olmasını sağlayacaktır:
- Yeterlilik kararı: Avrupa Komisyonu, üçüncü ülkenin veya uluslararası kuruluşun GDPR'ın 45. Maddesi uyarınca yeterli düzeyde veri koruması sağladığını belirlemiştir.
- Standart Sözleşme Maddeleri: Aktarım, GDPR'ın 46(2)(c) Maddesi uyarınca Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Maddelerinin en güncel sürümüne tabidir.
- AB-ABD Veri Gizliliği Çerçevesi: Uygulanabilir olduğunda, alıcı Avrupa Komisyonu tarafından yeterli düzeyde koruma sağladığı kabul edilen AB-ABD Veri Gizliliği Çerçevesine katılımını sertifikalandırmıştır.
- Ek önlemler: Alıcı ülkedeki koruma seviyesinin değerlendirmesi gerektirdiğinde, Veri İşleyen aktarılan verilerin AEA içinde garanti edilene esas olarak eşdeğer bir koruma seviyesi almasını sağlamak için ek teknik önlemler (şifreleme ve takma adlandırma gibi) ve organizasyonel önlemler uygulayacaktır.
12.3 Aktarım Etki Değerlendirmesi
Veri İşleyen, her uluslararası aktarım için bir aktarım etki değerlendirmesi yapacak ve belgeleyecek, alıcı ülkenin yasalarını ve uygulamalarını değerlendirerek esas olarak eşdeğer bir veri koruma seviyesi sağlamak için ek önlemlerin gerekli olup olmadığını belirleyecektir.
13. Süre ve Fesih
13.1 Süre
Bu VİS, Veri Sorumlusu'nun Sözleşmeyi kabul etmesiyle yürürlüğe girer ve Veri İşleyen'in Veri Sorumlusu adına kişisel veri işlemesinin süresi boyunca yürürlükte kalır.
13.2 Süregelen Yükümlülükler
Veri İşleyen'in bu VİS kapsamındaki yükümlülükleri, kişisel verilerin iade veya silinmesini tamamlamak ve geçerli yasalara uymak için gerekli olduğu ölçüde Sözleşmenin feshinden sonra da devam edecektir.
14. Verilerin İadesi ve Silinmesi
14.1 Veri Sorumlusunun Seçimi
Sözleşmenin feshi veya Veri Sorumlusu'nun yazılı talebi üzerine, Veri İşleyen, Veri Sorumlusu'nun tercihine göre:
- Tüm kişisel verileri Veri Sorumlusu'na yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta (JSON veya CSV gibi) iade etmek; veya
- Birlik veya Üye Devlet yasaları kişisel verilerin saklanmasını gerektirmedikçe, tüm kişisel verileri ve mevcut tüm kopyaları silmek.
14.2 Zaman Çerçevesi
Veri İşleyen, kişisel verilerin iadesini veya silinmesini Veri Sorumlusu'nun talimatını aldıktan sonra 30 takvim günü içinde veya belirli talimatların yokluğunda Sözleşmenin feshinden itibaren 30 takvim günü içinde tamamlayacaktır.
14.3 Silme Sertifikası
Silme işleminin tamamlanmasının ardından, Veri İşleyen, geçerli yasaların saklamayı gerektirdiği durumlar dışında, yedekler ve arşivlenmiş sistemler dahil olmak üzere tüm kişisel verilerin güvenli bir şekilde silindiğine dair Veri Sorumlusu'na yazılı bir sertifika sağlayacaktır. Yasal saklama gereksinimleri geçerli olduğunda, Veri İşleyen, Veri Sorumlusu'nu saklanan belirli veriler, saklamanın yasal dayanağı ve beklenen saklama süresi hakkında bilgilendirecektir.
14.4 Yedek Silme
Rutin yedekleme sistemlerindeki kişisel veriler, 90 takvim gününü aşmayacak olan Veri İşleyen'in standart yedekleme rotasyon programına uygun olarak silinecektir. Saklama süresi boyunca, bu yedek veriler bu VİS uyarınca korunmaya devam edecek ve aktif olarak işlenmeyecektir.
15. Sorumluluk
15.1 Veri İşleyenin Sorumluluğu
Veri İşleyen, GDPR'ın özellikle işleyicilere yönelik yükümlülüklerine uymayan işlemeden veya Veri İşleyen'in Veri Sorumlusu'nun yasal talimatlarının dışında veya aksine hareket ettiği durumlarda, GDPR'ın 82. Maddesine uygun olarak ortaya çıkan herhangi bir zarardan sorumlu olacaktır.
15.2 Sınırlama
Bu VİS'nın sorumluluk hükümleri, geçerli yasanın (GDPR dahil) bu tür bir sınırlamaya izin vermediği durumlar haricinde, Sözleşmede belirtilen sınırlamalara tabidir.
15.3 Tazminat
Her bir taraf, diğer tarafı, birinci tarafın veya çalışanlarının, temsilcilerinin ya da alt işleyenlerinin bu VİS veya GDPR kapsamındaki yükümlülüklerinden herhangi birine uymaması nedeniyle diğer tarafın maruz kaldığı veya sorumlu hale gelebileceği her türlü maliyet, talep, zarar veya masrafa karşı tazmin edecektir.
16. Değişiklikler
Bu VİS, veri işleme uygulamaları, alt işleyenler, yasal gereklilikler veya güvenlik önlemlerindeki değişiklikleri yansıtmak için Veri İşleyen tarafından zaman zaman değiştirilebilir. Veri İşleyen, herhangi bir önemli değişikliği yürürlüğe girmesinden en az 30 takvim günü önce Veri Sorumlusu'na bildirecektir. Veri Sorumlusu değişiklikleri kabul etmezse, Sözleşmeyi şartlarına uygun olarak feshedebilir. Veri Sorumlusu'nun değişikliklerin yürürlük tarihinden sonra Hizmeti kullanmaya devam etmesi, revize edilmiş VİS'nın kabulünü oluşturur.
17. Sözleşme ile İlişki
Bu VİS'nın hükümleri ile Sözleşme arasında herhangi bir çelişki veya tutarsızlık olması durumunda, veri koruma konularında bu VİS'nın hükümleri geçerli olacaktır. Diğer tüm konularda Sözleşme şartları uygulanmaya devam edecektir.
18. Geçerli Hukuk
Bu VİS, kanunlar ihtilafı prensipleri dikkate alınmaksızın, ABD Delaware Eyaleti yasalarına tabi olacak ve bunlara uygun olarak yorumlanacak, ancak GDPR'ın ve diğer geçerli AB veri koruma mevzuatının zorunlu hükümlerine tabidir. Bu VİS kapsamında veya bağlantılı olarak ortaya çıkan herhangi bir uyuşmazlık, AB hukukundaki zorunlu tüketici koruma hükümlerine tabi olarak, ABD Delaware'deki yetkili mahkemelerin münhasır yargı yetkisine tabi olacaktır.
19. İletişim
Bu Veri İşleme Sözleşmesi hakkında herhangi bir soru, talep veya iletişim için lütfen iletişime geçin:
- E-posta: [email protected]
- Şirket: Back Hills Assets LLC
- Adres: 30 N GOULD ST STE R,SHERIDAN, WY 82801,USA
Veri koruma endişeleriniz için yerel Veri Koruma Otoritenize de başvurabilirsiniz. Yerel otoritenizi Avrupa Veri Koruma Kurulu web sitesinde bulabilirsiniz.