Veri İşleme Eki

1. Tanımlar
   Burada özel olarak tanımlanmayan terimler, Kullanım Koşullarında kendilerine atfedilen anlama sahip olacaktır.
   Bu DPA'da, aşağıdaki terimler aşağıdaki anlamlara sahip olacaktır:
• 1.1 "Kontrolör", Kişisel Verilerin İşlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, ajans veya diğer organ anlamına gelir.
• 1.2 "Müşteri İçeriği", Müşteri tarafından Hizmetlere gönderilen veya Müşterinin Hizmetleri kullanımıyla bağlantılı olarak Müşteri hesabı aracılığıyla Müşteri adına saklanan ve elektronik veriler, e-posta gövdeleri, e-posta alıcıları, metin, ses, video, görüntü, ses veya iletişim günlüklerini içeren Kişisel Veriler anlamına gelir.
• 1.3 "Müşteri Abonelik Verileri", Müşterinin ControlHippo ile etkileşimleri ve ilişkisi ile ilgili Kişisel Veriler anlamına gelir. Bu, Müşterinin hesabına erişmek için Müşteri tarafından yetkilendirilen kişilerin adlarını ve/veya iletişim bilgilerini ve Müşterinin hesabıyla ilişkilendirdiği kişilerin fatura bilgilerini içerecektir. Müşteri Abonelik Verileri, diğer yasal yükümlülüklerin yanı sıra ControlHippo'nun kimlik doğrulama amacıyla toplaması gerekebilecek tüm verileri de içerir.
• 1.4 "Müşteri Kullanım Verileri", Müşteri İçeriğinin amaçlanan alıcıya iletilmesi amacıyla ControlHippo tarafından İşlenen Müşterinin hesap etkinliğiyle ilgili veriler anlamına gelir. Bu, Müşteri İçeriğinin kaynağını ve hedefini belirlemek için kullanılan (a) bireysel veri sahiplerinin telefon numaraları, tarih, saat, süre ve iletişim türü ile birlikte Hizmetlerin sağlanması bağlamında oluşturulan cihazın konumuna ilişkin veriler ve (b) Hizmet taleplerinin kaynağını belirlemek, sistemi iyileştirmek ve kötüye kullanımı önlemek için kullanılan iletişim günlükleri gibi verileri içerir.
• 1.5 "CCPA" 2018 tarihli Kaliforniya Tüketici Gizliliği Yasası anlamına gelecektir.
• 1.6 "Veri Koruma Yasaları" yerleşik olduğunuz ülkenin veri koruma yasaları ve (a) GDPR için geçerli yasa ve yönetmelikler, (b) Birleşik Krallık ile ilgili yasa ve yönetmelikler dahil ancak bunlarla sınırlı olmamak üzere Şartlarla bağlantılı olarak Sizin için geçerli olan tüm veri koruma yasaları anlamına gelecektir, Birleşik Krallık Avrupa Birliği (Para Çekme) Yasası 2018'in 3. bölümü ("Birleşik Krallık GDPR") ve Veri Koruma Yasası, 2019 (c) İsviçre Federal Veri Koruma Yasası ve uygulama yönetmelikleri ("İsviçre DPA") sayesinde Birleşik Krallık'a kaydedilen GDPR, her durumda değiştirilebilir, yerine geçebilir veya değiştirilebilir.
• 1.7 "Veri Sahibi" tanımlanmış veya tanımlanabilir herhangi bir gerçek kişi anlamına gelir.
• 1.8 "GDPR", Kişisel Verilerin İşlenmesine ilişkin olarak gerçek kişilerin korunması ve bu tür verilerin serbest dolaşımına ilişkin ve 95/46/EC sayılı Direktifi (Genel Veri Koruma Yönetmeliği) yürürlükten kaldıran 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Parlamentosu ve Konsey Yönetmeliği (AB) anlamına gelecektir.
• 1.9 "Standart Sözleşme Maddeleri" veya "SCC 'ler" (i) GDPR'nin geçerli olduğu durumlarda, Avrupa Komisyonu tarafından onaylanan (04 Haziran 2021 tarihli (AB) 2021/914 sayılı Uygulama Kararı) ve https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914 adresinde bulunan standart sözleşme maddeleri ("AB SCC'leri"); (ii) Birleşik Krallık GDPR'nin geçerli olduğu durumlarda, Birleşik Krallık Bilgi Komiseri tarafından yayınlanan AB SCC'lerine Uluslararası Veri Aktarımı Eki, Sürüm B1.0, Ek IV olarak belirtilen 21 Mart 2022 tarihinden itibaren yürürlüktedir ("UK SCC'ler") ve (iii) İsviçre DPA'sının geçerli olduğu durumlarda, İsviçre Federal Veri Koruma ve Bilgi Komiseri tarafından yayınlanan, onaylanan veya tanınan geçerli standart veri koruma maddeleri ("İsviçre SCC'leri") (her durumda, zaman zaman güncellendiği, değiştirildiği veya yerine geçtiği şekilde).
• 1.10 "Kişisel Veriler", Veri Sahibi ile ilgili olan ve Hizmetlerin Kontrolöre sağlanmasının bir parçası olarak İşleyici tarafından İşlenen her türlü bilgi anlamına gelecektir.
• 1.11 "Kişisel Veri İhlali", iletilen, saklanan veya başka bir şekilde İşlenen Kişisel Verilerin kazara veya yasa dışı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali anlamına gelir.
• 1.12 "Gizlilik Politikası" ControlHippo'nun https://controlhippo.com/privacy/ adresindeki gizlilik politikası anlamına gelir
• 1.13 "İşlem", toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanma, iletim yoluyla ifşa etme, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya imha etme gibi otomatik yollarla olsun veya olmasın Kişisel Veriler veya Kişisel Veri kümeleri üzerinde gerçekleştirilen herhangi bir işlem veya işlemler dizisi anlamına gelir.
• 1.14 "İşleyici", Denetleyici adına Kişisel Verileri İşleyen gerçek veya tüzel kişi, kamu otoritesi, ajans veya diğer organ anlamına gelir.
• 1.15 "Hassas Veriler" bir Veri Sahibinin ırksal veya etnik kökeni, siyasi görüşleri, dini veya felsefi inançları, sendika üyeliği, genetik verileri, gerçek bir kişiyi benzersiz bir şekilde tanımlamak amacıyla biyometrik verileri, sağlıkla ilgili verileri veya gerçek bir kişinin cinsel yaşamı veya cinsel yönelimi ile ilgili verileri içeren Kişisel Veriler anlamına gelir. Ayrıca, bir bireyin cezai suçları veya mahkumiyetleri hakkındaki bilgilerin yanı sıra geçerli veri koruma yasaları kapsamında hassas kabul edilen diğer bilgileri de içerir.
• 1.16 "Hizmetler", Müşterinin Şartlar kapsamında abone olduğu ControlHippo tarafından sağlanan bulut tabanlı senkronize iletişim platformu hizmetleri anlamına gelir.
2. Kapsam, Süre ve Sorumluluklar
• 2.1 Bu DPA, Müşteri İçeriğinin İşlenmesi için geçerlidir.
• 2.2 ControlHippo, Müşteri İçeriğini bu DPA'nın süresi boyunca ve yalnızca bu DPA'ya uygun olarak, özellikle de ilgili Ekte belirtildiği şekilde işleyecektir.
• 2.3 Şartlar kapsamında, Taraflardan her biri Veri Koruma Kanunları uyarınca Denetleyici ve İşleyici olarak kendi yükümlülüklerine uymakla sorumlu olacaktır.
3. Tarafların İlişkisi
• 3.1 Bir İşlemci Olarak ControlHippo: Taraflar, Müşteri İçeriğinin İşlenmesi ile ilgili olarak Müşterinin Kontrolör veya İşlemci olarak hareket edebileceğini ve ControlHippo'nun bir İşlemci olduğunu kabul eder ve onaylar.
• 3.2 Müşteri Abonelik Verilerinin Denetleyicisi olarak ControlHippo: Taraflar, Müşteri Abonelik Verilerinin İşlenmesi ile ilgili olarak, Müşterinin bir Denetleyici olduğunu ve ControlHippo'nun Müşteri ile ortak bir Denetleyici değil, bağımsız bir Denetleyici olduğunu kabul eder. Müşteri Abonelik Verileri, ControlHippo'nun Gizlilik Politikasına uygun olarak İşlenecektir.
• 3.3 Müşteri Kullanım Verilerinin Denetleyicisi olarak ControlHippo: Taraflar, Müşteri Kullanım Verilerinin İşlenmesi ile ilgili olarak, Müşterinin Kontrolör veya İşlemci olarak hareket edebileceğini ve ControlHippo'nun Müşteri ile ortak bir Kontrolör değil, bağımsız bir Kontrolör olduğunu kabul eder. Müşteri Kullanım Verileri, ControlHippo'nun Gizlilik Politikasına uygun olarak İşlenecektir
4. Süre ve Fesih
• 4.1 Bu DPA, Müşterinin Hizmetlere abone olmasıyla yürürlüğe girer. ControlHippo, Şartlar uyarınca Müşteri İçeriğini İşlediği sürece tam olarak yürürlükte kalmaya devam edecek ve daha sonra otomatik olarak sona erecektir.
• 4.2 Bu DPA'nın veya bir Ek'in Veri Koruma Yasalarına uygunluğunu sağlamak için değişikliklerin gerekli olduğu durumlarda, Taraflar, Denetleyicinin talebi üzerine bu tür değişiklikler üzerinde anlaşmak için makul çabayı gösterecektir. Tarafların bu tür değişiklikler üzerinde anlaşamaması durumunda, Taraflardan biri diğer Tarafa otuz (30) gün önceden yazılı bildirimde bulunarak Müşterinin Hizmetleri kullanımını sonlandırabilir.
5. İşleme Talimatları
• 5.1 ControlHippo, Müşteri İçeriğini Müşterinin talimatlarına uygun olarak işleyecektir. Bu DPA, Müşteri İçeriği ile ilgili olarak Müşterinin ControlHippo'ya verdiği ilk talimatları içerir. Taraflar, Müşterinin ilk talimatlarındaki herhangi bir değişikliği bu DPA'da değişiklik yaparak ControlHippo'ya iletebileceğini kabul eder.
• 5.2 Şüpheye mahal vermemek adına, bu DPA'nın kapsamı dışında İşleme faaliyetine yol açacak herhangi bir talimat (örneğin yeni bir İşleme amacı getirildiği için) Taraflar arasında önceden bir anlaşma yapılmasını gerektirecektir.
• 5.3 ControlHippo, ControlHippo'nun görüşüne göre bir talimatın Veri Koruma Yasalarını ihlal etmesi halinde, Denetleyiciyi gecikmeksizin yazılı olarak bilgilendirecek ve görüşünün nedenlerine ilişkin ayrıntılı bir açıklamayı yazılı olarak sunacaktır.
6. İşlemci Personeli
• 6.1 ControlHippo, personelinin yetkisi olmadan Müşteri İçeriğini İşlemesini kısıtlayacaktır. ControlHippo, personeline gizlilik, veri koruma ve veri güvenliği ile ilgili yükümlülükler de dahil olmak üzere uygun sözleşme yükümlülükleri getirecektir.
7. Üçüncü Taraflara Açıklama; Veri Sahiplerinin Hakları
• 7.1 ControlHippo, Denetleyicinin yazılı izni veya yürürlükteki zorunlu yasalara uymak için gerekli olması dışında Müşteri İçeriğini herhangi bir devlet kurumuna, mahkemeye veya kolluk kuvvetlerine ifşa etmeyecektir. ControlHippo, Müşteri İçeriğini bir kolluk kuvvetine ifşa etmek zorunda kalırsa, ControlHippo, Denetleyicinin koruyucu bir emir veya başka bir uygun çözüm aramasına izin vermek için, söz konusu erişimi sağlamadan önce Denetleyiciye erişim talebi hakkında makul bir bildirimde bulunmayı kabul eder. Bu tür bir bildirim yasal olarak yasaklanmışsa, ControlHippo, Müşteri İçeriğini, talep edilen ControlHippo'nun kendi gizli bilgileriymiş gibi gereksiz ifşadan korumak için makul önlemleri alacak ve bu tür bir yasal yasağın geçerliliğini yitirmesi durumunda Denetleyiciyi mümkün olan en kısa sürede bilgilendirecektir.
• 7.2 Denetleyicinin Veri Sahiplerinden Müşteri İçeriğinin İşlenmesiyle ilgili herhangi bir talep veya iletişim ("Ta lep ") alması durumunda, ControlHippo, Denetleyici tarafından talimat verildiği takdirde, Denetleyiciye bu tür Taleplerle ilgili olarak makul bir şekilde tam işbirliği, bilgi ve yardım ("Ya rdım" ) sağlayacaktır.
• 7.3 ControlHippo bir Talep aldığında, ControlHippo (i) bu Talebe doğrudan yanıt vermeyecek, (ii) Talebin Kontrolörle ilgili olduğunu belirledikten sonra on (10) iş günü içinde talebi Kontrolöre iletecek ve (iii) Kontrolörden gelen talimatlara göre Yardım sağlayacaktır.
8. Teknik ve Organizasyonel Tedbirler
• 8.1 ControlHippo, Müşteri İçeriğinin bu DPA'ya göre İşlenmesini sağlamak, yardım sağlamak ve Müşteri İçeriğini bir Kişisel Veri İhlaline ("TOM ' lar") karşı korumak için uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacak ve sürdürecektir. Bu önlemler, Ek 2'de belirtilen önlemleri içerecektir.
9. Veri Koruma Etki Değerlendirmesi konusunda yardım
• 9.1 Müşteri İçeriğinin İşlenmesi için geçerli Veri Koruma Yasaları kapsamında bir Veri Koruma Etki Değerlendirmesinin ("DP IA ") gerekli olduğu durumlarda, ControlHippo, talep edilen bilgi veya yardım ControlHippo'nun bu DPA kapsamındaki yükümlülükleriyle ilgili olmadığı sürece, talep üzerine Müşteriye DPIA için makul olarak gerekli olan her türlü bilgi ve yardımı ve gerektiğinde veri koruma yetkilileriyle her türlü iletişim için yardımı sağlayacaktır.
• 9.2 Müşteri, ControlHippo'ya bu madde 9'da belirtilen yardımın sağlanması için, söz konusu yardımın Hizmetlerin normal sağlanması kapsamında makul bir şekilde yerine getirilemediği ölçüde makul ücretler ödeyecektir.
10. Bilgi Hakları ve Denetim
• 10.1 ControlHippo, Veri Koruma Yasalarına uygun olarak, ControlHippo'nun Veri Koruma Yasaları kapsamındaki yükümlülüklerine uyduğunu göstermek için gerekli olan bilgileri talep üzerine Müşteriye zamanında sunacaktır.
• 10.2 ControlHippo, makul bir bildirim üzerine, ControlHippo'nun Müşteri İçeriğini İşlemesinin yanı sıra TOM'ların (veri İşleme sistemleri, politikaları, prosedürleri ve kayıtları dahil) normal çalışma saatleri içinde ve ControlHippo'nun ticari faaliyetlerinde minimum kesinti ile denetlenmesine izin verecek ve katkıda bulunacaktır. Bu tür denetimler, Müşteri, bağlı kuruluşları veya Müşteri adına (İşleyicinin rakibi olmayacak) makul gizlilik yükümlülüklerine tabi bağımsız bir üçüncü tarafça gerçekleştirilecektir.
• 10.3 Müşteri, Müşterinin 12 ayda birden fazla denetim veya teftiş yapmak istediği durumlarda, madde 10 (b) uyarınca denetimlere veya teftişlere izin vermenin veya katkıda bulunmanın makul masraflarını ControlHippo'ya ödeyecektir. ControlHippo, ControlHippo'nun Müşteri İçeriğini İşlemesi ile ilgili olarak ulusal veri koruma yetkililerinden alınan tüm talepleri derhal Müşteriye iletecektir.
• 10.4 ControlHippo, ulusal veri koruma yetkilileri ile ilişkilerinde ve ulusal veri koruma yetkililerinden gelen denetim taleplerinde Denetleyici ile işbirliği yapmayı taahhüt eder.
11. Kişisel Veri İhlali Bildirimi
• 11.1 Bir Kişisel Veri İhlali (gerçek veya makul ölçüde şüphelenilen) ile ilgili olarak, ControlHippo
• (a) ControlHippo veya bir alt yüklenicinin dahil olduğu bir Kişisel Veri İhlalini Müşteriye gecikmeksizin bildirmek ve ControlHippo tarafından bildirildikten sonra 72 saat içinde Denetim Makamını bu tür bir ihlalden haberdar etmek Denetleyicinin sorumluluğunda olacaktır;
• (b) Kişisel Veri İhlalinin Veri Sahiplerine ve ulusal veri koruma makamlarına iletilmesi de dahil olmak üzere Veri Koruma Yasaları kapsamında bir Kişisel Veri İhlaline yanıt olarak gerçekleştirilecek herhangi bir eylemle ilgili olarak Müşteriye makul bilgi, işbirliği ve yardım sağlayacaktır.
12. Taşeronluk
• 12.1 Müşteri, ControlHippo'nun herhangi bir alt işleyicinin atanmasından veya değiştirilmesinden önce Müşterinin hesap yöneticisine en az on beş (15) gün önceden bildirimde bulunması koşuluyla, ControlHippo'nun Sözleşme kapsamındaki yükümlülüklerini yerine getirmek üzere Müşteri İçeriğini İşlemek için Ek 1'de belirtilen üçüncü taraf alt işleyicileri görevlendirmesine izin verir. Müşteri, ControlHippo'nun bir alt işleyiciyi atamasından veya değiştirmesinden önce, söz konusu itirazın veri korumayla ilgili makul gerekçelere dayanması koşuluyla, itiraz edebilir. Böyle bir durumda, ControlHippo alt işleyiciyi atamaz veya değiştirmez ya da bu mümkün değilse, Müşteri Hizmetleri askıya alabilir veya feshedebilir (Müşterinin söz konusu askıya alma veya fesihten önce maruz kaldığı ücretler saklı kalmak kaydıyla).
• 12.2 ControlHippo'nun Müşterinin rızasıyla bu DPA kapsamındaki yükümlülüklerini ve haklarını taşerona verdiği durumlarda, bunu yalnızca alt işleyici ile Madde 28 GDPR uyarınca esasen aynı yükümlülükleri getiren bağlayıcı bir yazılı sözleşme yoluyla yapacaktır. 28 GDPR uyarınca özellikle talimatlar ve TOM'lar ile ilgili olarak alt işleyiciye bu DPA kapsamında ControlHippo'ya yüklenen yükümlülüklerin aynısını yükler.
• 12.3 Alt işleyicinin alt sözleşme kapsamındaki veri koruma yükümlülüklerini yerine getirmemesi durumunda, ControlHippo bu DPA kapsamındaki yükümlülüklerinin yerine getirilmesinden ve alt işleyicinin yükümlülüklerinin yerine getirilmesinden Müşteriye karşı tamamen sorumlu olmaya devam edecektir.
13. Uluslararası Veri Aktarımları
• 13.1 Taraflar, Müşteri İçeriğinin Denetleyiciden İşleyiciye aktarımı Kısıtlı Aktarım olduğunda ve geçerli Veri Koruma Yasaları uygun önlemlerin alınmasını gerektirdiğinde, söz konusu aktarımın aşağıdaki şekilde bu DPA'ya dahil edilmiş ve bir parçasını oluşturmuş sayılacak olan uygun Standart Sözleşme Maddelerine tabi olacağını kabul eder:
• a. EEA kaynaklı ve GDPR'ye tabi Müşteri İçeriğinin aktarımlarıyla ilgili olarak, aşağıdaki şekilde tamamlanan AB SCC'leri uygulanacaktır:
• i. Modül 2 (Kontrolörden İşlemciye) Sizin Kontrolör ve Bizim İşlemci olduğumuz durumlarda geçerli olacaktır;
• ii. 7. Maddede isteğe bağlı yerleştirme hükmü uygulanacaktır;
• iii. 11. Maddede, isteğe bağlı dil geçerli olmayacaktır;
• iv. 17. Maddede 1. Seçenek uygulanacak ve AB SCC'leri İrlanda hukukuna tabi olacaktır;
• v. 18(b) Maddesinde, anlaşmazlıklar İrlanda mahkemeleri önünde çözülecektir;
• vi. AB SCC'lerinin Ek I'i, bu DPA'nın Ek I'inde belirtilen bilgilerle tamamlanmış sayılacaktır;
• vii. AB SCC'lerinin Ek II'si, bu DPA'nın Ek II'sinde belirtilen bilgilerle tamamlanmış sayılacaktır; ve
• viii. AB SCC'lerinin Ek III'ü, bu DPA'nın Ek III'ünde belirtilen bilgilerle tamamlanmış sayılacaktır.
• b. İsviçre kaynaklı ve İsviçre DPA'sına tabi Müşteri İçeriğinin aktarımlarıyla ilgili olarak, yukarıdaki (a) alt paragrafı kapsamında uygulanan AB SCC'leri aşağıdaki değişikliklerle uygulanacak ve İsviçre SCC'lerini oluşturacaktır:
• i. 2016/679 sayılı Yönetmeliğe (AB) yapılan atıflar; İsviçre DPA'sına yapılan atıflar olarak yorumlanacaktır;
• ii. 2016/679 sayılı Tüzüğün (AB) belirli Maddelerine yapılan atıflar; İsviçre DPA'sının eşdeğer bölümü ile değiştirilecektir;
• iii. "AB", "Birlik", "Üye Devlet" ve "Üye Devlet hukuku "na yapılan atıflar, "İsviçre" veya "İsviçre hukuku "na yapılan atıflarla değiştirilecektir;
• iv. "üye devlet" terimi, İsviçre'deki veri sahiplerini mutat ikamet yerlerinde (yani İsviçre'de) hakları için dava açma imkanından mahrum bırakacak şekilde yorumlanmayacaktır;
• v. 13(a) Maddesi ve Ek I'in C Bölümü kullanılmaz ve "yetkili denetleyici" İsviçre Federal Veri Koruma Bilgi Komiseridir;
• vi. "yetkili denetim makamı" ve "yetkili mahkemeler "e yapılan atıflar "İsviçre Federal Veri Koruma Bilgi Komiseri" ve "İsviçre'nin geçerli mahkemeleri "ne yapılan atıflarla değiştirilecektir;
• vii. 17. Maddede, Standart Sözleşme Maddeleri İsviçre kanunlarına tabi olacaktır; ve
• viii. Madde 18(b), anlaşmazlıkların İsviçre'nin geçerli mahkemeleri önünde çözüleceğini belirtecektir.
• ix. İsviçre SCC'lerinin Ek I'i, bu DPA'nın Ek I'inde belirtilen bilgilerle tamamlanmış sayılacaktır;
• x. İsviçre SCC'lerinin Ek II'si, bu DPA'nın Ek II'sinde belirtilen bilgilerle tamamlanmış sayılacaktır; ve
• xi. İsviçre SCC'lerinin Ek III'ü, bu DPA'nın Ek III'ünde belirtilen bilgilerle tamamlanmış sayılacaktır.
• c. Birleşik Krallık menşeli ve Birleşik Krallık GDPR'ye tabi Kişisel Verilerin aktarımıyla ilgili olarak Birleşik Krallık SCC'leri geçerli olacaktır.
• 13.2 SCC'lerdeki açıklamaların amaçları doğrultusunda, Sizin "veri ihracatçısı" ve Bizim de "veri ithalatçısı" olduğumuzu kabul edersiniz.
• 13.3 Taraflar, Standart Sözleşme Maddelerinin değiştirilmesi, tadil edilmesi veya Veri Koruma Yasaları kapsamında artık geçerli kabul edilmemesi veya bir Denetim Makamının ve/veya Veri Koruma Yasalarının alternatif bir aktarım çözümünün benimsenmesini gerektirmesi halinde, veri aktaran ve veri alan tarafların (i) işlemenin Veri Koruma Yasaları ile uyumlu olmaya devam etmesini sağlamak için alternatif bir aktarım mekanizmasının devreye sokulması da dahil olmak üzere talep edilen adımları derhal atacak veya (ii) Müşteri İçeriğinin aktarımını durduracak ve verileri aktaranın tercihine bağlı olarak Müşteri İçeriğini silecek veya verileri aktarana iade edecektir.
14. Kişisel Verilerin Silinmesi veya İadesi
• 14.1 Koşulların sona ermesinin ardından ControlHippo, Kişisel Veriler de dahil olmak üzere tüm Müşteri İçeriğini iki (2) yıl içinde silecektir. Söz konusu saklama süresi içinde Müşteri, [email protected] adresinden ControlHippo'ya yazarak Müşteri İçeriğini dışa aktarabilir. Bu gereklilik, bir İşleyici olarak ControlHippo'nun yürürlükteki yasalar uyarınca Kişisel Verilerin bir kısmını veya tamamını saklaması gerektiği ölçüde geçerli olmayacaktır; bu durumda ControlHippo, Kişisel Verileri, söz konusu yasanın gerektirdiği kapsam dışında başka herhangi bir İşleme tabi tutulmaktan izole edecek ve koruyacaktır.
15. CCPA taahhütleri
• 15.1 Müşteri, Müşteri İçeriğinin bir parçasını oluşturan Tüketicilerin Kişisel Bilgileri (bu terimler CCPA kapsamında anlaşıldığı şekliyle) ile ilgili olarak Müşterinin İşletme ve ControlHippo'nun Hizmet Sağlayıcı olduğunu kabul ve beyan eder. ControlHippo, ControlHippo'nun Şartlar kapsamında Hizmetleri sağlarken Müşteri adına işlediği Tüketicilerin Kişisel Bilgilerini, Şartlara uygun olarak ve ControlHippo ile Müşteri arasındaki doğrudan ilişkinin bir parçası olarak Hizmetleri sağlamanın özel amacı dışında herhangi bir amaçla satmayacak, saklamayacak, kullanmayacak veya ifşa etmeyecektir. ControlHippo, bu madde 15'teki kısıtlamaları anladığını ve bu kısıtlamalara uyacağını onaylar.
16. Analitik için Müşteri İçeriğinin Kullanımı
• 16.1 Müşteri, ControlHippo'ya söz konusu Müşteri İçeriğini toplama, kullanma, kopyalama, saklama ve iletme hakkını, her durumda yalnızca makine öğrenimi için analitik gerçekleştirme dahil ancak bununla sınırlı olmamak üzere Müşteri tarafından amaçlanan amaçları gerçekleştirmek için gerekli olduğu ölçüde verdiğini kabul eder ve verir.
17. Çeşitli
• 17.1 Herhangi bir ihtilaf durumunda, bu DPA'nın hükümleri, ControlHippo ile yapılan diğer herhangi bir sözleşmenin hükümlerine göre öncelikli olacaktır.
• 17.2 Hiçbir Taraf, burada veya başka bir sözleşmede açıkça belirtilmedikçe, bu DPA kapsamındaki yükümlülüklerini yerine getirmek için herhangi bir ücret almayacaktır.
• 17.3 Bu DPA'nın "yazılı bildirim" gerektirdiği durumlarda, söz konusu bildirim diğer Tarafa e-posta yoluyla da iletilebilir. Bildirimler [email protected] adresinden ControlHippo'ya ve kayıt oldukları e-posta adresinden Müşteriye gönderilecektir.
• 17.4 Bu DPA'ya ilişkin her türlü ek anlaşma veya değişiklik yazılı olarak yapılmalı ve her iki Tarafça imzalanmalıdır.
• 17.5 Bu DPA'nın münferit hükümlerinin geçersiz, hükümsüz veya uygulanamaz hale gelmesi, bu sözleşmenin geri kalan koşullarının geçerliliğini etkilemeyecektir.

1. ControlHippo'da aşağıdaki politikalar belirlenmiş, yönetim tarafından onaylanmış ve belgelenmiştir. Politikalar sürekli olarak geliştirilmeli, en az yılda bir kez gözden geçirilmeli ve tüm ControlHippo çalışanlarının, yüklenicilerinin ve stajyerlerinin her yıl gözden geçirmesi ve onaylaması gerekmektedir. Politikaların kanıtı gereklidir.
• 1.1 Bilgi Güvenliği Politikası
• 1.2 Kabul Edilebilir Kullanım Politikası
2. ControlHippo'da aşağıdaki politikalar belirlenmiş, yönetim tarafından onaylanmış ve belgelendirilmiştir. Politikalar sürekli olarak geliştirilmeli ve en az yılda bir kez gözden geçirilmelidir. Politikaların kanıtı gereklidir.
• 2.1 Erişim Kontrol Politikası
• 2.2 Değişim Yönetimi Politikası
• 2.3 Mobil Cihaz Yönetimi Politikası
• 2.4 Uzaktan / Tele Çalışan Politikası
3. Güvenlik Farkındalığı ve Eğitim Programı
• 3.1 ControlHippo, tüm çalışanların işe alınırken ve daha sonra en az yılda bir kez tamamlaması gereken bir Güvenlik Farkındalık Programı uygulamaktadır.
4. Fiziksel Güvenlik
• 4.1 ControlHippo, Kontrolör verilerinin İşlendiği alanlara erişimi sınırlandıracak ve erişimin denetim günlüklerini tutacaktır.
• 4.2 ControlHippo güvenlik protokolleri uygulayacaktır.
5. Varlık Yönetimi
• 5.1 ControlHippo, İşlemcinin sahip olduğu veya yönettiği tüm varlıkları yönetmek ve izlemek için bir sisteme sahiptir

1. İşletim Sistemi / Yazılım / Uygulamalar
• 1.1 ControlHippo, ortamlarında dağıtılan işletim sistemleri, yazılımlar ve uygulamalar için güvenlik yaması güncellemelerini iletmek ve/veya göndermek için bir yönteme sahiptir.
• 1.2 Kritik yamalar ve / veya güncellemeler yayınlandıktan sonraki 30 gün içinde dağıtılır.
2. Erişim Kimlik Bilgileri
• 2.1 Kontrolör verilerine erişimi olan veya bu verileri muhafaza eden tüm çalışanlar:
• a. Benzersiz bir kullanıcı kimliğine/hesabına sahip olun
• b. Kullanıcı kimliğini/hesabını diğer kullanıcılarla paylaşmayın
• c. İkinci bir faktör ile kimlik doğrulaması yapmaları gerekir
• 2.2 Kullanıcı hesaplarının şunları yapması gerekir:
• a. Bir kullanıcı hesabını 5 veya daha az başarısız denemeden sonra kilitleme
• b. En az 15 dakika boyunca kilitli kalın
3. Şifreleme
• 3.1 ControlHippo, tüm kurumsal yönetilen cihazlarda tam disk şifrelemesi kullanacaktır.
• 3.2 ControlHippo, tüm Denetleyici verilerini aktarım sırasında ve beklemede şifreleyecektir.
4. Yedeklemeler
• 4.1 ControlHippo Denetleyici verilerinin yedeklemesini gerçekleştirirse:
• a. Yedeklemelerin yapılması ve güvenli bir yerde saklanması gerekmektedir.
• b. Yedekler şifrelenmelidir.
5. İzinsiz Giriş Tespit ve Önleme
• 5.1 ControlHippo, tüm kurumsal ve üretim konumlarında bir saldırı tespit ve önleme sistemine sahiptir.

Ek III - Alt İşleyicilerin Listesi

Ek I'de belirtildiği gibi.

Ek IV: Birleşik Krallık SCC'leri

Bu Birleşik Krallık SCC'leri, bu DPA'nın 12.1 (a) Maddesi kapsamında uygulanan AB SCC'lerine bir ek olarak dahil edilecektir.

Bölüm 1: Tablolar

Birleşik Krallık'tan Birleşik Krallık SCC'lerine tabi olan veri aktarımları için, Birleşik Krallık SCC'leri aşağıdaki şekilde girilmiş (ve bu referansla bu Veri İşleme Eki'ne dahil edilmiş) ve tamamlanmış sayılacaktır:

1. Birleşik Krallık SCC'lerinin Tablo 1'inde Tarafların detayları ve kilit iletişim bilgileri Çizelge A.A'da belirtildiği gibi olacaktır.
2. Birleşik Krallık SCC'lerinin Tablo 2'sinde, Onaylanmış AB SCC'lerinin versiyonu, modüller ve bu Birleşik Krallık SCC'nin eklendiği seçilmiş maddeler hakkındaki bilgiler, bu DPA'nın 11.1 ve 12.1(a)(i), (ii), (iii), (iv) Maddelerinde belirtildiği gibi olacaktır.
3. Birleşik Krallık SCC'lerinin Tablo 3'ünde:
• 3.1 Ek 1A: Tarafların Listesi: Taraflar Ek I.A'da belirtildiği gibidir.
• 3.2 Ek 1B: Transferin Tanımı: Transferin Tanımı Ek I.B'de belirtildiği gibidir.
• 3.3 Ek II: Verilerin güvenliğini sağlamaya yönelik teknik ve organizasyonel tedbirleri içeren teknik ve organizasyonel tedbirler: TOM'lar Ek II'de belirtildiği gibidir.
• 3.4 Ek III: Alt işleyicilerin listesi: Alt işleyiciler Ek I.B'de belirtildiği gibidir.
4. Birleşik Krallık SCC'lerinin Tablo 4'ünde, hem veri ithalatçısı hem de veri ihracatçısı Birleşik Krallık SCC'lerini Birleşik Krallık SCC'lerinin şartlarına uygun olarak sonlandırabilir.

Bölüm 2: Zorunlu Maddeler

ICO tarafından yayınlanan ve 2 Şubat 2022 tarihinde 2018 Veri Koruma Yasası s119A uyarınca Parlamentoya sunulan şablon Ek B.1.0 olan Onaylı Ek'in Zorunlu Maddeleri, bu Zorunlu Maddelerin 18. Bölümü uyarınca revize edildiği şekliyle.