Veri İşleme Ek Sözleşmesi

1. Tanımlar

Bu VİS'te kullanılan ancak tanımlanmayan büyük harfle başlayan terimler, Ana Sözleşme'de kendilerine verilen anlamı taşır. Bu VİS'in amaçları bakımından aşağıdaki tanımlar geçerlidir. Bir terim GDPR, Birleşik Krallık GDPR'si veya KVKK'da tanımlanmışsa, bağlam aksini gerektirmedikçe orada verilen anlamı taşır.

• "Veri Sorumlusu (Controller)": Tek başına veya başkalarıyla birlikte Kişisel Veri'nin işlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. KVKK kapsamındaki karşılığı veri sorumlusudur. Müşteri, Müşteri Kişisel Verileri bakımından Veri Sorumlusudur.
• "Veri İşleyen (Processor)": Veri Sorumlusu adına Kişisel Veri işleyen gerçek veya tüzel kişidir. KVKK kapsamındaki karşılığı veri işleyendir. Ercan Technology, Müşteri Kişisel Verileri bakımından Veri İşleyendir.
• "Kişisel Veri": Kimliği belirli veya belirlenebilir bir gerçek kişiye ("İlgili Kişi") ilişkin olup, GDPR ve KVKK'da tanımlandığı şekilde, Ercan Technology tarafından Ana Sözleşme kapsamında Müşteri adına işlenen her türlü bilgidir ("Müşteri Kişisel Verileri").
• "İşleme" (ve "İşlemek"): Kişisel Veri üzerinde otomatik olsun veya olmasın gerçekleştirilen; toplama, kaydetme, düzenleme, depolama, değiştirme, geri alma, kullanma, açıklama, aktarma, kısıtlama, silme veya yok etme gibi her türlü işlem veya işlem dizisidir.
• "İlgili Kişi (Data Subject)": Kişisel Verisi işlenen, kimliği belirli veya belirlenebilir gerçek kişidir.
• "Alt İşleyen (Sub-processor)": Ercan Technology tarafından (bağlı kuruluşları dâhil) Hizmetlerle bağlantılı olarak kendisi adına Müşteri Kişisel Verilerini işlemek üzere görevlendirilen herhangi bir üçüncü taraftır.
• "Geçerli Veri Koruma Mevzuatı": Ana Sözleşme kapsamında Müşteri Kişisel Verilerinin işlenmesine uygulanan; GDPR, Birleşik Krallık GDPR'si ve KVKK dâhil olmak üzere, zaman zaman değiştirilen veya yerine geçen tüm yasa ve düzenlemelerdir.
• "Standart Sözleşme Hükümleri" veya "SCC": Avrupa Komisyonu tarafından kabul edilen, kişisel verilerin üçüncü ülkelere aktarılmasına ilişkin standart sözleşme hükümleri ve/veya ilgili aktarıma uygulanabilir olduğu ölçüde Birleşik Krallık Uluslararası Veri Aktarım Anlaşması veya Ek'idir.

2. Roller, Kapsam ve Öncelik Sırası

Taraflar, Müşteri Kişisel Verilerinin işlenmesi bakımından Müşteri'nin Veri Sorumlusu, Ercan Technology'nin ise Veri İşleyen olarak hareket ettiğini kabul ve beyan eder. Müşteri'nin bizzat üçüncü bir veri sorumlusu adına veri işleyen sıfatıyla hareket ettiği durumlarda Müşteri, Ercan Technology'ye talimat verme ve bu VİS'i akdetme yetkisine sahip olduğunu taahhüt eder; bu durumda Ercan Technology, Müşteri'nin alt işleyeni olarak hareket eder.

Bu VİS yalnızca Ercan Technology'nin Veri İşleyen sıfatıyla Müşteri Kişisel Verilerini işlemesine uygulanır. Ercan Technology'nin kendi amaçları için veri sorumlusu sıfatıyla işlediği verilere (örneğin hesap yönetimi, faturalandırma, güvenlik ve hizmet iyileştirme) uygulanmaz; bunlar Gizlilik Politikamızla düzenlenir. İşlemenin konusu, süresi, niteliği ve amacı, Kişisel Veri kategorileri ile İlgili Kişi kategorileri Ek I'de (Bölüm 13) açıklanmıştır.

Bu VİS ile Ana Sözleşme arasında herhangi bir çelişki veya tutarsızlık olması hâlinde, veri koruma konusu bakımından bu VİS önceliklidir. Bu VİS ile uygulanabilir Standart Sözleşme Hükümleri arasında çelişki olması hâlinde Standart Sözleşme Hükümleri önceliklidir. Bu VİS ile açıkça değiştirilmediği sürece Ana Sözleşme tüm hüküm ve sonuçlarıyla yürürlükte kalır.

3. Veri İşleyenin Yükümlülükleri ve Belgelenmiş Talimatlar

Ercan Technology, Müşteri Kişisel Verilerini, uluslararası aktarımlar dâhil olmak üzere yalnızca Müşteri'nin belgelenmiş talimatları doğrultusunda işler; tâbi olduğu bir hukuk bunu gerektirmedikçe başka türlü işlemez. Böyle bir durumda Ercan Technology, ilgili hukuk önemli bir kamu yararı gerekçesiyle bunu yasaklamadıkça, İşleme'den önce Müşteri'yi söz konusu yasal gereklilik hakkında bilgilendirir.

Ana Sözleşme, bu VİS (Ek I dâhil) ve Müşteri'nin Hizmetler içinde sunulan yapılandırma seçeneklerini kullanması, İşleme'ye ilişkin Müşteri'nin eksiksiz ve nihai belgelenmiş talimatlarını oluşturur. Ek veya farklı talimatların yazılı olarak kararlaştırılması gerekir. Ercan Technology, Müşteri'nin talimatlarının hukuka uygunluğuna ilişkin bir hukuki inceleme yapma yükümlülüğü bulunmaksızın, bir talimatın Geçerli Veri Koruma Mevzuatını ihlal ettiği kanaatine varırsa Müşteri'yi derhâl bilgilendirir.

Personelin Gizliliği

Ercan Technology, Müşteri Kişisel Verilerini işlemeye yetkili kişilerin gizlilik taahhüdünde bulunmasını veya uygun bir yasal gizlilik yükümlülüğü altında olmasını ve Müşteri Kişisel Verilerine erişimin yalnızca Ana Sözleşme'yi yerine getirmek için erişime ihtiyaç duyan personelle sınırlı olmasını sağlar.

4. İşlemenin Güvenliği (Teknik ve İdari Tedbirler)

Ercan Technology; en son teknolojiyi, uygulama maliyetlerini, İşleme'nin niteliğini, kapsamını, bağlamını ve amaçlarını ve İlgili Kişilerin hak ve özgürlüklerine yönelik riskleri dikkate alarak, GDPR'nin 32. maddesi ve KVKK'nın 12. maddesi uyarınca riske uygun bir güvenlik düzeyi sağlamak için uygun teknik ve idari tedbirleri uygular. Bu tedbirlerin bir özeti Ek II'de (Bölüm 14) belirtilmiştir.

• Müşteri Kişisel Verilerinin aktarım sırasında TLS kullanılarak ve altyapının desteklediği yerlerde beklemede şifrelenmesi;
• İşleme sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, erişilebilirliğini ve dayanıklılığını sağlamaya yönelik tedbirler;
• Rol tabanlı erişim kontrolleri, en az yetki ilkesi ve yönetimsel erişim için güçlü kimlik doğrulama (çok faktörlü kimlik doğrulama dâhil);
• Fiziksel veya teknik bir olay durumunda Müşteri Kişisel Verilerine erişimi ve erişilebilirliğini zamanında geri yükleyebilme yeteneği;
• Teknik ve idari tedbirlerin etkinliğini düzenli olarak test etme, değerlendirme ve gözden geçirme süreci;
• Kayıt tutma ve izleme, denetimden geçmiş Alt İşleyenler ile güvenli yazılım geliştirme ve değişiklik yönetimi uygulamaları.

Müşteri, güvenlik tedbirlerinin teknik ilerleme ve gelişmelere tâbi olduğunu ve Ercan Technology'nin, Hizmetlerin genel güvenlik düzeyini esaslı şekilde düşürmemek kaydıyla bu tedbirleri zaman zaman güncelleyebileceğini veya değiştirebileceğini kabul eder.

5. Alt İşleyenler

Müşteri, bu Bölümdeki koşullara tâbi olmak kaydıyla, Ercan Technology'nin Müşteri Kişisel Verilerini işlemek üzere Alt İşleyenler görevlendirmesine genel bir yetki verir. Ercan Technology, güncel bir Alt İşleyen listesi tutar ve bu listeyi talep üzerine [email protected] adresinden Müşteri'ye sunar.

Ercan Technology bir Alt İşleyen görevlendirdiğinde, yazılı bir sözleşme yoluyla, özellikle uygun teknik ve idari tedbirlerin uygulanmasına ilişkin yeterli güvenceleri sağlamak suretiyle, bu VİS'te belirtilenlerden daha az koruyucu olmayan veri koruma yükümlülüklerini söz konusu Alt İşleyene yükler. Ercan Technology, her bir Alt İşleyenin yükümlülüklerinin yerine getirilmesinden Müşteri'ye karşı tam olarak sorumlu kalır.

Ercan Technology, planlanan herhangi bir Alt İşleyen eklemesi veya değişikliği hakkında Müşteri'ye önceden bildirimde bulunarak Müşteri'ye makul veri koruma gerekçeleriyle itiraz etme imkânı tanır. Müşteri makul bir şekilde itiraz ederse, taraflar karşılıklı kabul edilebilir bir çözüm bulmak için iyi niyetle birlikte çalışır; çözüm bulunamazsa Müşteri, tek başvuru yolu olarak, Hizmetlerin etkilenen kısmını Ana Sözleşme uyarınca sonlandırabilir.

6. İlgili Kişi Taleplerine Yardım

Ercan Technology, İşleme'nin niteliğini dikkate alarak, mümkün olduğu ölçüde, Müşteri'nin Geçerli Veri Koruma Mevzuatı kapsamında haklarını kullanan İlgili Kişilerin taleplerine yanıt verme yükümlülüğünü yerine getirmesinde uygun teknik ve idari tedbirlerle Müşteri'ye yardımcı olur. Bu haklar; erişim, düzeltme, silme, kısıtlama, veri taşınabilirliği ve itiraz haklarını (ve KVKK'nın 11. maddesi kapsamındaki ilgili hakları) içerir.

Ercan Technology, Müşteri Kişisel Verilerine ilişkin bir talebi doğrudan bir İlgili Kişiden alırsa, yasal olarak yasaklanmadıkça Müşteri'yi derhâl bilgilendirir ve Müşteri'nin belgelenmiş talimatı veya yasal zorunluluk olmadıkça talebe kendisi yanıt vermez. İzin verilen ölçüde Ercan Technology, İlgili Kişiyi Müşteri'ye yönlendirebilir.

7. Güvenlik, İhlal Bildirimi ve VİED'lere Yardım

Ercan Technology, İşleme'nin niteliğini ve kendisine sunulan bilgileri dikkate alarak; İşleme güvenliği, kişisel veri ihlallerinin denetim makamlarına ve İlgili Kişilere bildirilmesi ile veri koruma etki değerlendirmeleri (VİED) ve ön istişareye ilişkin GDPR'nin 32 ila 36. maddeleri ve KVKK'nın eşdeğer hükümleri kapsamındaki yükümlülüklere uyum sağlanmasında Müşteri'ye yardımcı olur.

Kişisel Veri İhlali Bildirimi

Ercan Technology, Müşteri Kişisel Verilerini etkileyen bir kişisel veri ihlalinden haberdar olduktan sonra gecikmeksizin Müşteri'yi bilgilendirir. Bu bildirim, mevcut olduğu ölçüde, ihlalin niteliğini, etkilenen İlgili Kişilerin ve kayıtların kategorilerini ve yaklaşık sayısını, olası sonuçlarını ve ihlali ele almak ve etkilerini azaltmak için alınan veya önerilen tedbirleri açıklar. Ercan Technology, uygulanabilir olduğu durumlarda Müşteri'nin denetim makamlarına (Kişisel Verileri Koruma Kurumu dâhil) ve etkilenen İlgili Kişilere yönelik kendi bildirim yükümlülüklerini yerine getirmesine yardımcı olmak için makul iş birliğinde bulunur.

8. Uluslararası Veri Aktarımları

Müşteri Kişisel Verileri, Ercan Technology'nin veya Alt İşleyenlerinin faaliyet gösterdiği Amerika Birleşik Devletleri'nde ve diğer ülkelerde işlenebilir. Bu tür bir İşleme, Müşteri Kişisel Verilerinin Avrupa Ekonomik Alanı, Birleşik Krallık, İsviçre veya Türkiye'den yeterli düzeyde koruma sağladığı kabul edilmemiş bir ülkeye aktarılmasını içeriyorsa, taraflar aktarımın Geçerli Veri Koruma Mevzuatı uyarınca uygun güvencelere tâbi olmasını sağlar.

• GDPR'ye tâbi aktarımlar için, Avrupa Komisyonu'nun Standart Sözleşme Hükümleri işbu belgeye atıf yoluyla dâhil edilmiştir ve Müşteri veri ihracatçısı, Ercan Technology ise veri ithalatçısı olarak hareket etmek suretiyle uygulanır;
• Birleşik Krallık GDPR'sine tâbi aktarımlar için Birleşik Krallık Uluslararası Veri Aktarım Anlaşması veya AB SCC'lerine ilişkin Birleşik Krallık Ek'i uygulanır;
• KVKK'ya tâbi Kişisel Verilerin yurt dışına aktarımı için taraflar, gerektiğinde Müşteri'nin açık rızası, Kişisel Verileri Koruma Kurulu tarafından onaylanan bir taahhütname veya KVKK'nın 9. maddesi ve ilgili ikincil mevzuat kapsamında izin verilen standart sözleşmeler dâhil olmak üzere KVKK uyarınca hukuka uygun bir aktarım mekanizmasına dayanır.

Gerektiğinde Ercan Technology, herhangi bir aktarım etki değerlendirmesi yapılmasında Müşteri'ye makul yardımda bulunur ve aktarıma uygun ek teknik ve idari tedbirleri uygular.

9. Denetimler ve Bilgi Edinme Hakları

Ercan Technology, GDPR'nin 28. maddesinde ve Geçerli Veri Koruma Mevzuatının eşdeğer hükümlerinde belirtilen yükümlülüklere uyumu göstermek için makul ölçüde gerekli tüm bilgileri Müşteri'ye sunar ve Müşteri veya Müşteri tarafından yetkilendirilen başka bir denetçi tarafından yürütülen denetimlere (yerinde incelemeler dâhil) izin verir ve katkıda bulunur.

Müşteri, bu denetim haklarının, mevcut olduğu ölçüde, öncelikle Ercan Technology'nin ilgili sertifikaları, üçüncü taraf denetim raporlarını veya teknik ve idari tedbirlerinin özetlerini sunması yoluyla karşılanabileceğini kabul eder. Herhangi bir yerinde denetim; makul bir süre öncesinden yazılı bildirimde bulunularak, on iki aylık dönemde en fazla bir kez (denetim makamının gerektirdiği veya bir kişisel veri ihlalini takip eden durumlar hariç), normal çalışma saatleri içinde, gizlilik yükümlülüklerine tâbi olarak ve Ercan Technology'nin operasyonlarını makul olmayan şekilde aksatmayacak biçimde yürütülür. Müşteri kendi masraflarını ve yerinde denetimi desteklemek için Ercan Technology'nin katlandığı makul masrafları karşılar.

10. Verilerin İadesi ve Silinmesi

Ana Sözleşme'nin sona ermesi veya feshi üzerine, Müşteri'nin tercihine bağlı olarak Ercan Technology, tâbi olduğu bir hukuk saklamayı gerektirmedikçe, tüm Müşteri Kişisel Verilerini siler veya Müşteri'ye iade eder ve mevcut kopyaları siler. Müşteri makul bir süre içinde tercihte bulunmazsa, Ercan Technology Müşteri Kişisel Verilerini standart veri saklama uygulamaları uyarınca silebilir.

Ercan Technology, Geçerli Veri Koruma Mevzuatının veya diğer geçerli yasaların gerektirdiği ölçüde ve süre boyunca Müşteri Kişisel Verilerini saklayabilir; ancak bu süre boyunca söz konusu verilerin gizliliğini ve güvenliğini sağlamaya devam eder ve verileri yalnızca ilgili yasanın belirttiği amaç için gerekli olduğu ölçüde işler. Talep üzerine Ercan Technology, bu Bölüme uyduğunu yazılı olarak teyit eder.

11. Sorumluluk

Her bir tarafın bu VİS'ten kaynaklanan veya bununla ilgili sorumluluğu; ister sözleşmeden, ister haksız fiilden, ister başka bir sorumluluk teorisinden doğsun, Ana Sözleşme'de belirtilen sorumluluk sınırlamalarına ve istisnalarına tâbidir ve Ana Sözleşme'deki bir tarafın sorumluluğuna yapılan her atıf, o tarafın Ana Sözleşme ve bu VİS kapsamındaki toplam sorumluluğunu ifade eder.

Bu VİS'teki hiçbir hüküm, Geçerli Veri Koruma Mevzuatı kapsamında sınırlandırılamayan veya hariç tutulamayan herhangi bir sorumluluğu (bir İlgili Kişinin emredici hukuk kapsamında sahip olabileceği hak veya başvuru yolları dâhil) sınırlandırmaz veya hariç tutmaz. SCC'lerin uygulandığı durumlarda, bu Bölümdeki hiçbir hüküm bir İlgili Kişinin SCC'ler kapsamındaki haklarını sınırlandırmaz.

12. Süre, Uygulanacak Hukuk ve İmza

Bu VİS, Ana Sözleşme tarihinde (veya daha sonraysa, bu VİS'in kabul veya imza edildiği tarihte) yürürlüğe girer ve Ercan Technology'nin Müşteri adına Müşteri Kişisel Verilerini işlediği süre boyunca yürürlükte kalır. Nitelikleri gereği sona ermeden sonra da geçerli olması gereken hükümler yürürlükte kalır.

Bu VİS, ABD New Mexico Eyaleti hukukuna tâbidir ve taraflar ABD New Mexico Eyaleti yargı yerini kabul eder; ancak yukarıdaki hüküm (a) uygulanabilir Standart Sözleşme Hükümlerinin gerektirdiği uygulanacak hukuk ve yetki hükümlerini ve (b) bir İlgili Kişinin veya Müşteri'nin kendi ülkesinde Geçerli Veri Koruma Mevzuatı (GDPR, Birleşik Krallık GDPR'si ve KVKK dâhil) kapsamında sahip olduğu emredici veri koruma haklarını ve başvuru yollarını ortadan kaldırmaz; bunlar saklıdır.

Bu VİS, hukuk müşavirleriniz tarafından gözden geçirilmesi ve Ana Sözleşme ile birlikte imzalanması amaçlanan bir taslak şablondur. Karşılıklı imzalı bir versiyon talep etmek veya kendi İşleme gereksinimlerinizi görüşmek için [email protected] adresinden bizimle iletişime geçin.

13. Ek I — İşlemenin Tanımı

Konu ve Süre

Konu: Ercan Technology'nin Ana Sözleşme kapsamında Hizmetleri sunmak için gerekli olduğu ölçüde Müşteri Kişisel Verilerini işlemesi (örneğin, içerik üreticileri için yapay zekâ destekli video üretim platformu Forgevid). Süre: Ana Sözleşme'nin süresi boyunca ve Müşteri Kişisel Verilerinin Bölüm 10 uyarınca saklandığı her türlü ek süre.

İşlemenin Niteliği ve Amacı

Nitelik ve amaç: Müşteri Kişisel Verilerinin barındırılması, depolanması ve işlenmesi, hesap ve kullanıcı yönetimi ve Hizmetlerin Müşteri'nin talimatları doğrultusunda sağlanması, sürdürülmesi, güvenliğinin sağlanması ve desteklenmesi. Belirli işlemler, Müşteri'nin Hizmetleri yapılandırmasına ve kullanımına bağlıdır.

İlgili Kişi ve Kişisel Veri Kategorileri

İlgili Kişi kategorileri (Müşteri tarafından belirlenir): Müşteri'nin yetkili kullanıcıları, çalışanları, yüklenicileri, son kullanıcıları ve Kişisel Verisi Müşteri tarafından veya adına Hizmetlere iletilen diğer bireyler.

• Kimlik ve iletişim verileri (örneğin adlar, e-posta adresleri, kullanıcı adları ve hesap tanımlayıcıları);
• Hizmetlerin kullanımı yoluyla oluşturulan hesap, profil ve kullanım verileri;
• Müşteri veya kullanıcıları tarafından Hizmetlere iletilen ve tesadüfen Kişisel Veri içerebilecek içerik verileri (örneğin komutlar, yüklenen medya ve üretilen çıktılar);
• Hizmetlerin sağlanması ve güvenliğinin sağlanması ile bağlantılı olarak işlenen IP adresleri, cihaz ve kayıt bilgileri gibi teknik veriler.

Özel nitelikli Kişisel Veriler: Hizmetler, özel nitelikli Kişisel Verilerin (GDPR veya KVKK kapsamındaki hassas veriler) işlenmesi için tasarlanmamıştır. Müşteri, yazılı olarak açıkça kararlaştırılmadıkça ve ek güvencelere tâbi olmadıkça bu tür verileri iletmemekten sorumludur. İşleme sıklığı: Ana Sözleşme süresince sürekli.

14. Ek II — Teknik ve İdari Güvenlik Tedbirleri

Ercan Technology, genel güvenlik düzeyini esaslı şekilde düşürmemek kaydıyla zaman zaman güncellenebilecek aşağıdaki teknik ve idari tedbirleri uygular. Bu tedbirler, Bölüm 4'te açıklanan güvenlik yükümlülüklerini tamamlar niteliktedir.

• Erişim kontrolü: rol tabanlı erişim, en az yetki ilkeleri, benzersiz kullanıcı hesapları ve yönetimsel ve ayrıcalıklı erişim için çok faktörlü kimlik doğrulama;
• Şifreleme ve takma adlandırma: verilerin aktarım sırasında (TLS) ve desteklenen yerlerde beklemede şifrelenmesi; uygun olduğunda takma adlandırma veya veri minimizasyonu kullanımı;
• Ağ ve altyapı güvenliği: güvenilir bulut altyapısı sağlayıcıları, güvenlik duvarları, ortamların ayrıştırılması ve zafiyet ile yama yönetimi;
• Gizlilik ve bütünlük: personel için gizlilik taahhütleri, güvenli yazılım geliştirme uygulamaları, değişiklik yönetimi ve bütünlük kontrolleri;
• Erişilebilirlik ve dayanıklılık: yedeklemeler, uygulanabilir olduğunda yedeklilik ve bir olaydan sonra verilere erişimi ve erişilebilirliği geri yükleme prosedürleri;
• Kayıt tutma ve izleme: şüpheli faaliyetleri tespit etmek ve yanıt vermek için güvenlik kayıtları, izleme ve uyarı;
• Olay müdahalesi: kişisel veri ihlallerinin Bölüm 7 uyarınca tespiti, değerlendirilmesi, yükseltilmesi ve bildirilmesine ilişkin belgelenmiş prosedürler;
• Alt İşleyen yönetimi: Alt İşleyenlere yönelik durum tespiti ve veri koruma yükümlülüklerinin sözleşmeyle aktarılması;
• Yönetişim ve test: veri koruma için iç sorumluluk atanması, personel farkındalığı ve bu tedbirlerin etkinliğinin periyodik olarak test edilmesi ve gözden geçirilmesi.