Veri İşleme Sözleşmesi

Bu DPA'da kullanılan terimler, GDPR'da (Yönetmelik (AB) 2016/679) verilen anlamlara sahiptir. Özellikle:

• Kişisel Veri: kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.
• Veri Sorumlusu: işlemenin amaçlarını ve araçlarını belirleyen müşteri.
• Veri İşleyen: Veri Sorumlusu adına Kişisel Verileri işleyen HummingDeck.
• Alt işleyici: HummingDeck tarafından Kişisel Verileri işlemek üzere görevlendirilen ve hummingdeck.com/sub-processors adresinde listelenen herhangi bir üçüncü taraf.
• Veri Sahibi: Kişisel Verilerin ilişkili olduğu gerçek kişi; Veri Sorumlusu'nun çalışanları, kişileri ve HummingDeck aracılığıyla paylaşılan dokümanları görüntüleyen alıcılar ("Doküman Görüntüleyiciler") dahildir.

HummingDeck, hizmetle bağlantılı olarak işlenen tüm Kişisel Veriler için Veri Sorumlusu adına Veri İşleyen olarak hareket eder; bu kapsam şunları içerir:

• Veri Sorumlusu'nun bir çalışma alanına eklediği hesap sahipleri ve ekip üyeleri.
• Veri Sorumlusu'nun içe aktardığı veya oluşturduğu kişiler ve potansiyel müşteriler.
• Veri Sorumlusu tarafından paylaşılan bağlantıları açan Doküman Görüntüleyiciler.
• Doküman Görüntüleyiciler tarafından oluşturulan etkileşim olayları (sayfa görüntülemeleri, sayfada geçirilen süre, tekrar ziyaretler, ülke düzeyinde konum, IP'den türetilen sinyaller).

İşlemenin hukuka uygunluğu, GDPR Madde 6 uyarınca hukuki dayanağın seçilmesi ve Veri Sahiplerinin haklarına ilişkin sorumluluk Veri Sorumlusu'nda kalmaya devam eder.

Veri Sorumlusu, aşağıdaki hususları beyan ve taahhüt eder:

• HummingDeck'e gerçekleştirmesi için talimat verdiği işleme için GDPR Madde 6 uyarınca geçerli bir hukuki dayanağa sahiptir.
• GDPR Madde 13 ve 14 uyarınca Veri Sahiplerine gerekli tüm bildirimleri sağlamıştır; bu, Doküman Görüntüleyicilerin HummingDeck bağlantıları aracılığıyla yapılan etkileşim takibi hakkında bilgilendirilmesini de içerir. Bu bilgilendirmeden, ister kendi gizlilik politikası, ister paylaşım bağlantısına eşlik eden e-posta veya mesaj, ister başka uygun bir kanal aracılığıyla olsun, yalnızca Veri Sorumlusu sorumludur.
• HummingDeck'e geçerli veri koruma yasalarını ihlal edecek şekilde Kişisel Verileri işlemesi için talimat vermeyecektir.

Veri Sorumlusu'nun bilgilendirme yükümlülüğünü yerine getirmesini desteklemek amacıyla HummingDeck aşağıdakileri kullanıma sunar:

• hummingdeck.com/privacy adresinde, Doküman Görüntüleyicilerden hangi bilgilerin hangi dayanakla toplandığını açıklayan kamuya açık bir gizlilik politikası.
• Veri Sorumlusu'nun kendi gizlilik politikasına uyarlayabileceği veya değiştirebileceği şablon metin; talep üzerine sunulur.
• hummingdeck.com/sub-processors adresinde kamuya açık bir alt işleyici listesi.

HummingDeck, Veri İşleyen sıfatıyla şunları yapacaktır:

• Hizmetin kullanımı yoluyla verilenler dahil olmak üzere yalnızca Veri Sorumlusu'nun belgelenmiş talimatları doğrultusunda Kişisel Verileri işlemek.
• Kişisel Verileri işlemeye yetkili kişilerin gizlilik yükümlülükleriyle bağlı olmasını sağlamak.
• Uygun teknik ve organizasyonel güvenlik tedbirlerini uygulamak (Bölüm 5).
• Alt işleyicileri yalnızca eşdeğer veri koruma yükümlülükleri getiren yazılı sözleşmeler altında görevlendirmek ve planlanan değişiklikleri Bölüm 6 uyarınca Veri Sorumlusu'na bildirmek.
• İşlemenin niteliğini dikkate alarak, GDPR Bölüm III kapsamındaki Veri Sahibi taleplerine yanıt verme yükümlülüklerini yerine getirmesinde Veri Sorumlusu'na yardımcı olmak.
• GDPR Madde 32 ila 36 kapsamındaki güvenlik, ihlal bildirimi, veri koruma etki değerlendirmeleri ve ön danışma yükümlülükleri konusunda Veri Sorumlusu'na yardımcı olmak.
• Veri Sorumlusu'nun verilerini etkileyen bir Kişisel Veri İhlalinden haberdar olduktan sonra gereksiz gecikme olmaksızın (ve mümkün olduğunda 72 saat içinde) Veri Sorumlusu'na bildirimde bulunmak.
• Veri Sorumlusu'nun tercihine bağlı olarak, hizmet sona erdiğinde tüm Kişisel Verileri silmek veya iade etmek; saklama yasal olarak gerekli olmadığı sürece mevcut kopyaları silmek.
• Bu DPA'ya uyumu göstermek için gerekli tüm bilgileri Veri Sorumlusu'na sunmak ve Veri Sorumlusu veya Veri Sorumlusu tarafından yetkilendirilen bir denetçi tarafından gerçekleştirilen denetimlere veya incelemelere izin vermek (Bölüm 7'ye tabi olarak).

HummingDeck, aşağıdakiler dahil olmak üzere uygun teknik ve organizasyonel tedbirleri uygular ve sürdürür:

• Kişisel Verilerin aktarım sırasında (TLS 1.2+) ve durağan halde (Google Cloud Storage varsayılan şifrelemesi) şifrelenmesi.
• En az ayrıcalık ilkelerine dayalı erişim kontrolleri ve yönetimsel erişimin günlüğe kaydedilmesi.
• Güvenli oturum yönetimiyle Google Firebase aracılığıyla kimlik doğrulama.
• Etkileşim analitiğinden otomatik trafiği filtrelemek için bot ve kötüye kullanım tespit sistemleri.
• Yedekleme ve felaket kurtarma prosedürleri.
• Güvenlik uygulamalarının düzenli olarak gözden geçirilmesi.

HummingDeck şu anda SOC 2 sertifikalı değildir. Resmi sertifikasyon gerektiren müşteriler, mevcut güvenlik anketi ve takvim için hello@hummingdeck.com ile iletişime geçmelidir.

Veri Sorumlusu, HummingDeck'in hummingdeck.com/sub-processors adresinde listelenen alt işleyicileri görevlendirmesine yetki verir. HummingDeck, Veri Sorumlusu'nun Kişisel Verilerini işleyen herhangi bir alt işleyiciyi eklemeden veya değiştirmeden önce Veri Sorumlusu'na en az 30 gün öncesinden bildirimde bulunacaktır; bu bildirim şu yollarla gerçekleştirilir:

• Kamuya açık alt işleyici listesinin güncellenmesi ve
• Değişikliğin işlemeyi önemli ölçüde etkilemesi durumunda çalışma alanı sahibine e-posta yoluyla bildirim yapılması.

Veri Sorumlusu, bildirimden itibaren 30 gün içinde yeni bir alt işleyiciye veri koruma gerekçesiyle iyi niyetli olarak itiraz ederse, taraflar endişeyi gidermek için iyi niyetle çalışacaktır. Çözüme ulaşılamazsa Veri Sorumlusu, hizmetin etkilenen kısmını uygunluk gerekçesiyle sona erdirebilir.

HummingDeck, makul bir bildirimle ve 12 aylık bir dönemde birden fazla olmamak üzere (veya bir düzenleyici tarafından gerekli görülmesi halinde daha sık) aşağıdakileri sunacaktır:

• Mevcut Kişisel Veri İşleme Faaliyetleri Kayıtlarını (Madde 30 belgeleri).
• Güvenlik tedbirleri ve üçüncü taraf değerlendirmeleri hakkında bilgi.
• Veri Sorumlusu'nun masrafları kendisine ait olmak üzere uzaktan denetim olanağı (anket bazlı veya video konferans).

Yerinde incelemelere yalnızca geçerli yasalar veya bağlayıcı düzenleyici emir gerektirdiği durumlarda, makul bir bildirimle ve Veri Sorumlusu'nun masrafları kendisine ait olmak üzere izin verilir.

Veri Sorumlusu, bazı alt işleyicilerin Avrupa Ekonomik Alanı dışında, ağırlıklı olarak Amerika Birleşik Devletleri'nde bulunduğunu kabul eder. Bu tür transferler için HummingDeck, ilgili alt işleyicilerle yapılan sözleşmelere dahil edilen Avrupa Komisyonu'nun Standart Sözleşme Hükümlerine (Modül İki, Veri Sorumlusu'ndan Veri İşleyen'e) ve Bölüm 5'te açıklanan teknik ve organizasyonel tedbirlere dayanmaktadır.

Hizmetin sona ermesi üzerine Veri Sorumlusu, 30 gün içinde uygulama veya destek aracılığıyla verilerinin yapılandırılmış bir dışa aktarımını talep edebilir. 30 günden sonra HummingDeck, yasanın saklamayı gerektirdiği durumlar (örneğin faturalandırma kayıtları) hariç olmak üzere, Veri Sorumlusu'na ait tüm Kişisel Verileri sonraki 30 gün içinde üretim sistemlerinden silecektir. Yedek kopyalar standart yedekleme rotasyon programlarına göre saklanır ve zamanı geldiğinde üzerine yazılır.

Bu DPA kapsamında her bir tarafın sorumluluğu, taraflar arasındaki esas sözleşmede belirtilen sorumluluk sınırlamalarına tabidir.

Bu DPA ile esas sözleşme (HummingDeck'in Hizmet Şartları dahil) arasında bir çelişki olması durumunda, çelişkinin kapsamı ölçüsünde ve yalnızca Kişisel Verilerin işlenmesiyle ilgili olarak bu DPA üstün gelir.

HummingDeck, geçerli yasalardaki veya işleme uygulamalarımızdaki değişiklikleri yansıtmak için bu DPA'yı zaman zaman güncelleyebilir. Önemli değişiklikler, yürürlüğe girmeden en az 30 gün önce çalışma alanı sahibine e-posta yoluyla bildirilecektir. Yürürlük tarihinden sonra hizmetin kullanılmaya devam edilmesi kabul anlamına gelir.

Bu DPA hakkındaki sorular, imzalı bir nüsha talepleri veya resmi Veri Sahibi talepleri hello@hummingdeck.com adresine gönderilmelidir.