GoDaddy

VERİ İŞLEME EK SÖZLEŞMESİ (MÜŞTERİLER)

Son Güncelleme: 27.09.2021

Bu Veri İşleme Ek Sözleşmesi (bu “Ek Sözleşme”) GoDaddy.com, LLC, a Delaware limited liability company ile Ortakları (“GoDaddy”) ile siz (“Müşteri”) arasında gerçekleştirilmiş olup, Evrensel Hizmet Koşulları, Gizlilik Politikası ve tüm Kapsanan Hizmetler (topluca, “Hizmet Şartları”) maddelerine ek olarak getirilmiştir ve bu maddeleri tamamlamaktadır.  Bu Ek Sözleşmede aksi belirtilmedikçe, bu Ek Sözleşmede tanımlanmayan tüm büyük harfle yazılmış terimler, Hizmet Şartlarında kendilerine verilen anlamlara sahip olacaktır.

1. Tanımlar

Ortaklar” GoDaddy tarafından kontrol edilen, kontrol eden veya ile ortak kontrolde olan herhangi bir tüzel kişi anlamına gelir.

CCPA”, Kaliforniya Tüketici Gizliliği Yasası, (Cal. Civ. Code 1798.100 et seq.) anlamına gelmekte olup, söz konusu yasada gerçekleştirilen ve işbu Veri İşleme Ek Sözleşmesi’nin yürürlüğe girdiği tarihte veya sonrasında geçerli olan her türlü tadili ve uygulanmakta olan düzenlemeyi içermektedir.

Kapsanan Hizmetler” Kişisel Verilerin İşlenmesini içerebilecek ve aşağıdaki Sözleşmelerin şartlar ve koşullarına tabi olan barındırılan hizmetler anlamına gelir: (1) E-posta Pazarlama Hizmetleri, (2) Hosting, (3) Online Mağaza/Hızlı Alışveriş Sepeti, (4) Web Sitesi Hizmetleri, (5) Çalışma Alanı Hizmeti.

“Müşteri Verileri” GoDaddy tarafından, GoDaddy Ağı dahilinde, Hizmet Şartları’nı takiben veya bu Şartlarla bağlantılı olarak Müşteri adına İşlenen tüm Veri Sahibi Kişisel Verileridir.

Veri Denetleyicisi” Kişisel Verilerin İşlenmesi amaçları ve yöntemlerini belirleyen tüzel kişi olarak Müşteri anlamına gelir.

Veri İşleyicisi”, Veri Denetçisi adına Kişisel Verileri İşleyen tüzel kişi veya CCPA tarafından tanımlanan terim olan hizmet sağlayıcısı olarak GoDaddy şirketi anlamına gelir.

Veri Koruma Yasaları” (i) Avustralya Gizlilik İlkeleri ve Avustralya Gizlilik Yasası (1988), (ii) Brazil’s Lei Geral de Proteção de Dados (LGPD), iii) California Tüketici Gizliliği Yasası (CCPA), (iv) Kanada Federal Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA), (v) Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR), ( vi) GDPR (vii) AB e-Gizlilik Yönergesi (2002/58/EC Yönergesi), (viii) Singapur Kişisel Verileri Koruma Yasası 2012 (PDPA), (ix) İsviçre 19 Haziran 1992 tarihli Federal Veri Koruma Yasası ve Yönetmeliği, (x) Birleşik Krallık GDPR veya 2018 Veri Koruma Yasası da dahil olmak üzere, Sözleşme kapsamında Kişisel Verilerin İşlenmesi için geçerli ve değiştirildiği halleriyle veya yerine gelen yeni düzenlemeler dahil olmak üzere tüm veri koruma veya gizlilik yasaları ve düzenlemeleri anlamına gelir.

Veri Sahibi”, Kişisel Verilerin ilgili olduğu kişi anlamına gelir.

AEA” Avrupa Ekonomik Alanı anlamına gelir.

GDPR”, Avrupa Parlamentosu ve Konseyi tarafından 27 Nisan 2016 tarihinde onaylanan (AB) 2016/679 sayılı Yönetmelik olup, kişisel verilerin işlenmesi ile söz konusu verilerin serbest dolaşımını ve 95/46/EC numaralı ilga edici Yönerge’yi (Genel Veri Koruma Yönetmeliği) ilgilendirmektedir.

GoDaddyAğ, GoDaddy şirketine ait ve GoDaddy şirketinin denetiminde olan ve Kapsanan Hizmetleri sağlamak için kullanılan veri merkezi tesisleri, sunucular, ağ ekipmanları ve hosting yazılımı sistemleridir (ör. sanal güvenlik duvarları).

Kişisel Veriler”, Veri Koruma Yasaları kapsamında tanımlanmış veya tanımlanabilir bir kişi ya da hane halkı ile ilgili herhangi bir bilgi anlamına gelir.

İşleme”; Kişisel Veriler üzerinde gerçekleştirilen, toplama, kayıt, organizasyon, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, istişare, kullanım, iletimle bildirme, yayma veya kullanıma hazır hale getirme, hizalama ya da birleştirme, kısıtlama, silme veya yok etme gibi yollarla, otomatik araçlarla olsun veya olmasın, Kişisel Veriler üzerinde gerçekleştirilen herhangi bir işlem veya işlem kümesi anlamına gelir. “İşlem”, “işlemler” ve “işlenen” ifadeleri bu doğrultuda yorumlanacaktır. İşleme ayrıntıları Ek 1’de belirtilmiştir.

Güvenlik Olayı” (a) Herhangi bir Müşteri Verisinin kazayla veya yasa dışı bir şekilde imha edilmesi, kaybolması, değiştirilmesi, yetkisiz bir şekilde ifşa edilmesi veya bunlara erişimin yasaklanması ile sonuç bulan, GoDaddy Güvenlik Standartları güvenliğinin ihlali; veya (b) her iki durumda da Müşteri Verilerinin imha edilmesi, kaybolması, yetkisiz bir şekilde ifşa edilmesi ya da değiştirilmesi ile sonuçlanan GoDaddy ekipman ya da tesislerine herhangi bir izinsiz erişim.

Güvenlik Standartları” Ek 2 olarak bu Ek Sözleşme’ye ekli güvenlik standartları anlamına gelir.

Hassas Veriler” (a) sosyal güvenlik numarası, pasaport numarası, sürücü belgesi numarası veya benzer tanımlayıcı (veya herhangi bir kısmı); (b) kredi veya banka kartı numarası (bir kredi veya banka kartının kısaltılmış (son dört hanesi) dışında), finansal bilgiler, banka hesap numaraları veya şifreler; (c) istihdam, mali, genetik, biyometrik veya sağlık bilgileri; (d) ırksal, etnik, siyasi veya dini mensubiyet, sendika üyeliği veya cinsel yaşam veya cinsel yönelim hakkında bilgiler; (e) hesap şifreleri, anne kızlık soyadı veya doğum tarihi; (f) suç geçmişi; veya (g) GDPR veya gizlilik ve veri korumasına ilişkin diğer geçerli yasa veya yönetmelikler kapsamında “özel veri kategorileri” tanımına giren diğer bilgiler veya bilgi kombinasyonları anlamına gelir.

Standart Sözleşme Maddeleri” veya “SCC'ler”, 4 Haziran 2021 tarihli 2021/914 sayılı Avrupa Komisyonu kararıyla onaylandığı şekliyle GDPR'nin 46. Maddesinde açıklandığı gibi, kişisel verilerin bir denetleyiciden üçüncü ülkelerde kurulmuş ve yeterli düzeyde veri koruması sağlamayan bir işleyiciye aktarılmasına yönelik standart veri koruma maddeleri anlamına gelir. Modül İki (Denetleyiciden İşleyiciye) Standart Sözleşme Maddeleri Ek 4'tedir.

Alt İşleyici” Veri Denetleyicisi adına İşleyici tarafından verileri İşlemek için iletişim kurulan her türlü Veri İşleyicidir.

Birleşik Krallık Standart Sözleşme Maddeleri”, Birleşik Krallık GDPR'nin 46. Maddesinde açıklandığı ve Avrupa Komisyonu'nun 2010/87/EU kararı ile onaylandığı gibi, kişisel verilerin üçüncü ülkelerde kurulmuş olan ve yeterli düzeyde veri koruması sağlamayan işleyicilere aktarılmasına yönelik standart veri koruma maddeleri anlamına gelir. Birleşik Krallık Standart Sözleşme Maddeleri Ek 4'tedir.                            

2. Veri İşleme

2.1 Kapsam ve Roller. Bu Ek Sözleşme, Müşteri Verileri GoDaddy tarafından işlendiğinde geçerlidir; burada GoDaddy Müşteri Verileri ile ilgili olarak Veri Denetleyicisi olarak Müşteri adına Veri İşleyicisi olarak hareket eder.

2.2 Veri İşleme Ayrıntıları. Müşteri Verilerinin GoDaddy tarafından işlenmesi konusu, Hizmet Şartları uyarınca Kapsanan Hizmetlerin yerine getirilmesidir, GoDaddy Müşteri Verilerini yalnızca Müşterinin belgelendirdiği talimatlara uygun olarak ve aşağıdaki amaçlar doğrultusunda İşleyecektir: (i) Hizmet Şartlarına uygun olarak işlenmesi; (ii) Son Kullanıcılar tarafından Kapsanan Hizmetlerin kullanımında başlatılan İşleme; (iii) Müşterilerin (ör. e-posta yoluyla) sağlanan diğer belgelenmiş, makul talimatları, bu talimatların Hizmet Şartlarıyla tutarlı olduğu hallerde işlenmesi. GoDaddy şirketi: (a) Hizmet Şartları uyarınca Kapsanan Hizmetleri sağlamak üzere gerekmesi veya yasalar tahtında gerekmesi dışında Müşteri Verilerini işlemeyecek, elinde tutmayacak, kullanmayacak, satmayacak veya ifşa etmeyecektir; (b) söz konusu Müşteri Verilerini herhangi bir üçüncü tarafa satmayacaktır; (c) söz konusu Müşteri Verilerini GoDaddy ve Müşteri arasındaki doğrudan iş ilişkisinin dışında elinde tutmayacak, kullanmayacak veya ifşa etmeyecektir.

Herhangi bir kuşkuya mahal vermemek üzere, Müşteri’nin Kişisel Verilerin İşlenmesine ilişkin talimatları, yürürlükteki veri gizliliği yasalarına uygun olacaktır. Kişisel Verilerin doğruluğu, niteliği ve yasalara uygunluğuna ilişkin yegane sorumluluk, Müşteri’ye aittir. Müşteri’nin sunduğu talimatların Veri Koruma Yasalarını ihlal etmesi halinde, GoDaddy söz konusu talimatlara uymakla veya bunlara riayet etmekle yükümlü olmayacaktır. İşleme süresi, İşlemenin niteliği ve amacı, Kişisel Veri türleri ve bu Ek Sözleşme kapsamında İşlenen Veri Sahiplerinin kategorileri, bu Ek Sözleşme’nin Ek 1'inde ('İşlemenin Ayrıntıları') ayrıca belirtilmiştir.

3. Müşteri Verilerinin Gizliliği

GoDaddy, yasalar veya yasa uygulayıcı kuruluşun geçerli ve bağlayıcı bir emrine (mahkeme celbi veya mahkeme kararı gibi) uymak için gerekli olduğu koşullar haricinde, Müşteri Verilerini herhangi bir hükümet veya başka bir üçüncü tarafa ifşa etmeyecektir. GoDaddy şirketinin geçerli bir kamusal mahkeme emri alması durumunda ve izin verildiği ölçüde, GoDaddy; Müşteri’nin koruyucu hükme veya diğer bir uygun çıkar yoluna başvurmasına olanak tanımak üzere talebini, e-posta veya fiziksel postayla göndereceği makul bir bildirimle Müşteri’ye iletmek üzere çaba gösterecektir.

4. Güvenlik

4.1 GoDaddy, GoDaddy Ağı için bu Bölümde açıklandığı gibi ve bu Ek Sözleşme, Güvenlik Standartları Ek 2'de daha ayrıntılı olarak açıklandığı gibi teknik ve organizasyonel önlemleri uygulamıştır ve sürdürecektir. Özellikle, GoDaddy şirketi, aşağıdaki konuları ele alan teknik ve organizasyonel önlemleri uygulamıştır ve bunları sürdürmektedir: (i) GoDaddy Ağı’nın güvenliği; (ii) tesislerin fiziksel güvenliği; (iii) çalışanların ve yüklenicinin (i) ve/veya (ii)’ye erişimine ilişkin kontroller; ve (iv) GoDaddy tarafından uygulanan teknik ve organizasyonel önlemlerin etkinliğini test edilmesi, ölçülmesi ve değerlendirilmesine ilişkin süreçler. Burada belirtilen yükümlülüklerinin hiçbirini yerine getiremememiz durumunda, mümkün olan en kısa sürede yazılı bir bildirim (web sitemiz ve e-posta aracılığıyla) sunacağız.

4.2 GoDaddy Müşterinin Kapsanan Hizmetlerle ilgili olarak kullanmayı seçebileceği bir dizi güvenlik özelliği ve işlevsellik sağlar. Müşteri şunlardan sorumludur: (a) Kapsanan Hizmetlerin uygun şekilde yapılandırılması, (b) Sistemlerin ve hizmetlerin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlamak için Kapsanan Hizmetlerle (güvenlik kontrolleri dahil) bağlantılı olarak mevcut kontrolleri kullanmak, (c) fiziksel veya teknik bir olay olması durumunda Müşteri Verilerinin kullanılabilirlik ve zamanında erişilebilirliğini sağlamak için, Kapsanan Hizmetlerle (güvenlik kontrolleri dahil) bağlantılı olarak mevcut kontrolleri kullanmak (ör. Müşteri Verilerinin rutin yedeklenmesi ve arşivlenmesi), ve (d) Müşterinin Müşteri Verilerini yetkisiz erişime karşı korumak için şifreleme teknolojisinin kullanımını ve Müşteri Verilerine erişim haklarının kontrolüne yönelik tedbirleri içeren Müşteri Verilerinin uygun güvenlik, koruma ve silinmesini sağlamak için yeterli görülen bu adımları atmak.

5. Veri Öznesi Hakları

Kapsanan Hizmetlerin doğasını göz önünde bulunduran GoDaddy, bu Ek Sözleşmenin Güvenlik bölümünde açıklanan ve Müşterinin, Kapsanan Hizmetlerde açıklandığı şekilde Müşteri Verilerinin kullanımını ve paylaşılmasını ve paylaşımını almak, düzeltmek, silmek veya kısıtlamak için kullanmayı seçebileceği belirli denetimler sunar. Müşteri, bu kontrolleri Veri Konularından gelen taleplere cevap vermekle ilgili yükümlülükleri de dahil olmak üzere, yürürlükteki gizlilik yasaları kapsamındaki yükümlülükleriyle bağlantılı olarak yardımcı olmak için teknik ve kurumsal önlemler olarak kullanabilir. Ticari olarak makul olduğu ve yasal olarak gerekli veya izin verildiği ölçüde, GoDaddy, geçerli bir veri gizliliği yasaları kapsamında bu hakların kullanılması için GoDaddy şirketinin bir Veri Konusundan doğrudan bir talep alması halinde Müşteriye derhal bildirimde bulunacaktır (“Veri Öznesi Talebi”). Buna ilaveten, Müşterinin Kapsanan Servisleri kullanmasının bir Veri Konusu Talebini ele alma kabiliyetini sınırladığı hallerde, GoDaddy, yasal olarak izin verilen ve uygun olan ve Müşterinin özel talebi üzerine, talebin ele alınmasında, Müşterinin zararına (varsa) ticari olarak makul yardım sağlayabilir.

6. Alt İşleme

6.1 Yetkili Alt İşleyiciler. Müşteri, GoDaddy şirketinin Alt İşleyicileri, Hizmet Şartları ve bu Ek Sözleşmede bulunan sözleşme yükümlülüklerini yerine getirmek veya kendi adına destek hizmetleri sağlamak gibi belirli hizmetleri sağlamak için kullanabileceğini kabul eder. Müşteri, GoDaddy şirketinin bu Bölümde açıklandığı şekilde Alt işleyicileri kullanmasına onay verir. Bu Bölümde belirtilen veya sizin tarafınızdan açıkça yetkilendirildiği durumlar haricinde, GoDaddy başka herhangi bir alt işleme faaliyetine izin vermeyecektir.

6.2 Alt İşleyici Yükümlülükleri. Bölüm 6.1de açıklandığı şekilde GoDaddy tarafından yetkili Alt işleyicilerin kullanıldığı durumlarda:

(i) GoDaddy Alt İşleyicinin Müşteri Verilerine erişimini yalnızca Kapsanan Hizmetlerin bakımını yapmak için gerekli olanlara veya Kapsanan Hizmetlere ilişkin olarak Müşteriye ve Son Kullanıcılara Kapsanan Hizmetlere sağlamak için kısıtlayacaktır. GoDaddy Alt İşleyicinin, başka bir amaçla Müşteri Verilerine erişmesini yasaklar;

(ii) GoDaddy Alt İşleyici ile yazılı bir anlaşmaya girecek ve Alt İşlemcinin GoDaddy tarafından bu Ek kapsamında sağlanan aynı veri işleme hizmetlerini gerçekleştireceği ölçüde, GoDaddy şirketinin bu Ek kapsamında sahip olduğu sözleşmeden doğan yükümlülükleri GoDaddy alt işleyiciye aynı şekilde uygulayacaktır ve

(iii) GoDaddy, bu Ek Sözleşmenin yükümlülüklerine ve GoDaddy şirketinin GoDaddy için bu Ek Sözleşme kapsamındaki yükümlülüklerinden herhangi birini ihlal etmesine neden olan Alt İşleyicinin herhangi bir eylemi veya ihmalinden sorumludur.

6.3 Yeni Alt İşleyiciler.  Zaman zaman, bu Ek Sözleşme’nin şartlarına tabi olarak yeni Alt İşleyicilerden yararlanabiliriz.  Bu durumda, herhangi bir Müşteri Verisi elde eden yeni bir Alt İşleyici ile ilgili olarak 30 gün önceden haber vereceğiz (web sitemiz ve e-posta yoluyla). Müşterinin yeni bir Alt İşleyiciyi onaylamaması durumunda Müşteri, 10 gün içinde veya bizden bildirim aldıktan sonra, herhangi bir Kapsanan Hizmeti onaylamama nedenlerinizi açıklayan bir sona erme yazılı bildirimi ileterek herhangi bir ceza olmaksızın feshedebilir. Kapsanan Hizmetler bir paketin veya paket halinde satın alınan bir ürünün parçası ise, fesih tüm pakete uygulanacaktır.

7. Güvenlik Olayı.

7.1 Güvenlik Olayı. GoDaddy tarafının Güvenlik Olayını fark etmesi durumunda, GoDaddy gecikme olmadan: (a) Müşteriyi Güvenlik Olayı ile ilgili bilgilendirir; ve (b) Güvenlik Olayı’ndan kaynaklanan her türlü zararın etkisini en aza indirmek için makul adımları atar.

7.2 GoDaddy Desteği.  Müşteri’nin yürürlükteki herhangi bir gizlilik yasası kapsamında yapmak zorunda olduğu herhangi bir kişisel veri ihlali bildirimi ile ilgili Müşteri’ye yardımcı olmak için GoDaddy, Kapsanan Hizmetlerin niteliğini, GoDaddy şirketine sunulan bilgileri ve bilgilerin açıklanmasıyla ilgili gizlilik gibi herhangi bir kısıtlamayı göz önünde bulundurarakGoDaddyşirketinin Müşteri ile makul bir şekilde paylaşabileceği, Güvenlik Olayı’na ilişkin bilgileri söz konusu bildirime ekleyecektir.  

7.3 Başarısız Güvenlik Olayları. Müşteri şunları kabul eder:

(i) Başarısız bir Güvenlik Olayı, bu Ek Sözleşmenin şartlarına tabi olmayacaktır. Başarısız bir Güvenlik Olayı, Müşteri Verilerine veya Müşteri Verilerini depolayan GoDaddy şirketinin Ağına, ekipmanına veya tesislerine herhangi bir yetkisiz erişime yol açmayan Güvenlik Olaylarıdır ve güvenlik duvarları veya kenar sunucularda ping ve diğer yayın saldırılarını, port taramalarını, başarısız oturum açma girişimlerini, hizmet saldırılarının reddini, paket süzme işlemlerini (veya başlıkların ötesine erişmeyecek şekilde trafik verisine farklı yollarla izinsiz erişimi) veya benzer olayları bunlarla sınırlı kalmaksızın içerebilir ve

(ii) GoDaddy şirketinin bu Bölüm kapsamındaki bir Güvenlik Olayını bildirme veya yanıtlama yükümlülüğü, GoDaddy tarafından Güvenlik Olayı ile ilgili herhangi bir kusur veya GoDaddy yükümlülüğünün onaylanması olarak kabul edilmeyecek ve yorumlanmayacaktır.

7.4 Bildirim Varsa, Güvenlik Olaylarının Bildirimi, e-posta yoluyla da dahil olmak üzere GoDaddy şirketinin seçtiği herhangi bir yolla bir veya daha fazla Müşteri yöneticisine teslim edilecektir. Müşteri yöneticilerinin, GoDaddy yönetim konsolu hakkında doğru iletişim bilgilerini sürdürmesini ve aktarımın her zaman güvenli bir şekilde gerçekleşmesini sağlamak, sadece Müşterinin sorumluluğundadır.

8. Müşteri Hakları

8.1 Bağımsız Belirleme. Müşteri, GoDaddy şirketinin veri güvenliği ve Güvenlik Standartları ile ilgili olarak sunduğu bilgileri gözden geçirmek ve Kapsanan Hizmetlerin Müşterinin gerekliliklerini ve yasal yükümlülüklerini ve ayrıca bu Ek Sözleşmenin altındaki Müşteri yükümlülüklerini yerine getirip getirmediğine ilişkin bağımsız bir belirleme gerçekleştirmek ile sorumludur. Sağlanan bilgiler, Müşterinin, veri koruma etki değerlendirmeleri ve önceden danışmaya ilişkin olarak, GDPR de dahil olmak üzere, yürürlükteki gizlilik yasaları kapsamındaki Müşterinin kendi yükümlülüklerine uyma konusunda Müşteriye yardımcı olmayı amaçlamaktadır.

8.2 Müşteri Denetim Hakları. Müşteri, Hizmet Şartlarında belirtilen adrese makul aralıklarla yazılı olarak belirli bir talepte bulunarak GoDaddy şirketinin Kapsanan Hizmetler için geçerli olan bu Ek Sözleşme’ye uygunluğunu onaylama hakkına sahiptir. GoDaddy, Müşteri tarafından talep edilen ve denetlenen bir denetim veya teftiş ile ilgili talep edilen herhangi bir talimatı takip etmeyi reddederse, Müşteri bu Ek Sözleşme ve Hizmet Şartlarını feshetme hakkına sahiptir.

9. Müşteri Verilerinin Aktarılması

9.1 ABD Konumundaki İşleme. Hizmet Şartlarında özel olarak belirtilen durumlar dışında, Müşteri Verileri Birleşik Krallık veya AEA dışına aktarılacak ve Amerika Birleşik Devletleri'nde işlenecektir.

9.2 Standart Sözleşme Maddelerinin Uygulanması. Standart Sözleşme Maddeleri, Avrupa Komisyonu tarafından tanınmayan herhangi bir ülkeye, Müşteri Verileri için yeterli düzeyde koruma sağlayarak, doğrudan ya da ileriye dönük aktarım şeklinde, AEA dışında aktarılan Müşteri Verileri için geçerli olacaktır. Standart Sözleşme Maddeleri, AEA dışına doğrudan veya ileriye dönük aktarım yoluyla aktarılmayan Müşteri Verileri için geçerli olmayacaktır. Yukarıdakilere bakılmaksızın, Standart Sözleşme Maddeleri; Hizmet Şartları veya izniniz uyarınca Kapsanan Hizmetlerin ifası için gerekmesi gibi örneklerde AEA dışındaki Kişisel Verilerin yasal olarak aktarılması için tanınan uyum standardına uygun olarak aktarıldığı durumlarda geçerli olmayacaktır.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Ek Sözleşmenin Feshi

Bu Ek, Hizmet Şartlarımız uyarınca işlemimizin sona ermesine kadar yürürlükte kalacaktır (“Fesih Tarihi”).   

11. Müşteri Verilerinin İade Edilmesi veya Silinmesi

Kapsanan Hizmetlerde açıklandığı gibi, Müşteriye, Müşteri Verilerini almak veya silmek için kullanabilecek kontroller sağlanabilir. Müşteri Verilerinin silinmesi, belirli Kapsanan Hizmetlerin koşullarına tabi olarak, Fesih Tarihinden otuz (30) gün sonra gerçekleştirilecektir.

12. Sorumluluğun Sınırlandırılması

Her bir tarafın bu Ek Sözleşme kapsamındaki yükümlülüğü, Hizmet Şartlarında belirtilen yükümlülüklerin istisnalarına ve sınırlamalarına tabi olacaktır. Müşteri, Müşterinin bu Ek Sözleşme kapsamında yer alan yükümlülüklerini yerine getirmemesi nedeniyle veya GoDaddy şirketinin Müşteri Verileri ile ilgili olarak düzenlediği yasal cezaların; ve yürürlükteki herhangi bir gizlilik kanunu, GoDaddy şirketinin Hizmet Şartları kapsamındaki yükümlülüğüne, Müşterinin Hizmet Şartları’nın sorumluluğunda olduğu gibi düşecek ve azaltacaktır.

13. Tüm Hizmet Koşulları; Çelişki

Bu Ek Sözleşme, Müşteri ile GoDaddy arasında bu Ek Sözleşme’nin konusuyla ilgili olarak yazılı veya sözlü tüm önceki veya eşzamanlı beyanların, mutabakatların, anlaşmaların veya iletişimlerin ve bunlarla ilgili olarak Müşteri ile GoDaddy arasında girilen kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı hakkında herhangi bir veri işleme eki de dahil olmak üzere bunların tamamının yerine geçer.  Bu Ek Sözleşme tarafından değiştirilenler hariç, Hizmet Şartları tam olarak yürürlükte kalacaktır.  Hizmet Şartları ile bu Ek Sözleşme arasında bir çelişki varsa, bu Ek Sözleşme’nin şartları geçerli olacaktır.

Ek 1

 İŞLEMENİN AYRINTILARI

 1. İşlemenin Niteliği ve Amacı. GoDaddy, Müşteri Verilerini, Hizmet Şartları uyarınca Kapsanan Hizmetleri gerçekleştirmek için gerektiği şekilde ve Kapsanan Hizmetlerin kullanımı boyunca Müşteri tarafından ayrıca talimat verildiği şekilde İşleyecektir.

 2. İşlemenin Süresi. Bu Ek Sözleşme’nin 10. ve 11. Bölümlerine tabi olarak, GoDaddy Hizmet Şartlarının yürürlük tarihi boyunca Müşteri Verilerini İşleyecektir. Yukarıda belirtilenlere bakılmaksızın, GoDaddy Müşteri Verilerini veya bunların herhangi bir bölümünü, yürürlükteki Veri Koruma Yasaları da dahil olmak üzere yürürlükteki yasalar veya düzenlemelerin gerektirmesi durumunda, söz konusu Müşteri Verilerinin bu Ek Sözleşme ve geçerli Veri Koruma Yasaları uyarınca korunması şartıyla elinde tutabilir.

3. Veri Öznesi Kategorileri. Müşteri, kendi takdirine bağlı olarak, Müşteri tarafından belirlenen ve kontrol edilen ve kapsamı dahilinde ve aşağıdaki Kişisel Veriler kategorilerini içerebilen ancak bunlarla sınırlı olmayan Kapsanan Hizmetlerin kullanımı sırasında Veri Özneleri ile ilişkili Kişisel Verileri yükleyebilir:

  • Müşteri adayları, müşteriler, iş ortakları ve satıcılar (gerçek kişilerdir)
  • Çalışanlar veya Müşterinin potansiyel müşterileri, müşterileri, iş ortakları ve satıcıları ile irtibat kurulacak kişiler
  • Çalışanlar, acenteler, danışmanlar, Müşterinin serbest çalışanları (gerçek kişiler)
  • Müşterinin Kullanıcı tarafından Kapsanan Hizmetleri kullanmak için yetkilendirilmiş Kullanıcıları

4. Kişisel Veri Kategorileri. Müşteri, kendi takdirine bağlı olarak, Müşteri tarafından belirlenen ve kontrol edilen ve kapsamı dahilinde ve aşağıdaki Kişisel Veriler kategorilerini içerebilen ancak bunlarla sınırlı olmayan Kapsanan Hizmetlerin kullanımı sırasında Sahiplerinin Kişisel Verileri yükleyebilir: 

  • Ad
  • Adres
  • Telefon numarası
  • Doğum tarihi
  • E-posta adresi
  • Veri sahiplerini doğrudan veya dolaylı olarak tanımlayabilecek toplanan diğer veriler.

5. Hassas Veriler veya Özel Veri Kategorileri. Müşteri, Kapsanan Hizmetlerin kullanımı sırasında, türü ve kapsamı Müşteri tarafından tamamen kendi takdirine bağlı olarak belirlenen ve kontrol edilen Hassas Verileri yükleyebilir. Müşteri, Kapsanan Hizmetler aracılığıyla herhangi bir Hassas Veriyi iletmeden veya işlemeden önce verilerin yapısını ve içerdiği riskleri tamamen dikkate alan kısıtlamalar veya önlemler uygulamakla sorumludur.

Ek 2

Güvenlik Standartları

I.  Teknik ve Organizasyonel Önlemler  

Müşterilerimizin bilgilerini korumaya kendimizi adamış durumdayız.  En iyi uygulamaları, uygulama maliyetleri ve işlemenin niteliği, kapsamı, koşulları ve amaçlarının yanı sıra gerçek kişilerin hak ve özgürlüklerine ilişkin riskin ortaya çıkma ve ciddiyet olasılığının farklı olmasını göz önünde bulundurarak, aşağıdaki teknik ve organizasyonel önlemleri alıyoruz.  Önlemler seçilirken sistemlerin gizlilik, bütünlük, kullanılabilirlik ve esnekliliği de göz önünde bulundurulmaktadır. Fiziksel veya teknik bir olaydan sonra hızlı bir iyileşme garanti edilir.

II.  Veri Gizliliği Programı  

Veri Gizliliği Programımız, global veri yönetim yapısını korumak ve yaşam döngüsü boyunca bilgi güvenliğini sağlamak için kurulmuştur. Bu program, gizlilik uygulamaları ve güvenlik önlemlerinin uygulanmasını denetleyen veri koruma görevlisinin ofisi tarafından yürütülmektedir. Düzenli olarak, Veri Gizliliği Programı ve Güvenlik Standartlarının etkinliğini test ediyoruz.

1. Gizlilik. “Gizlilik, kişisel verilerin yetkisiz ifşaya karşı korunması anlamına gelir.”  

Müşterilerinin kişisel bilgilerinin gizliliğini korumak için çeşitli fiziksel ve makul önlemler kullanıyoruz. Bu önlemler şunları içerir:   

  Fiziksel Güvenlik  

  • Fiziksel erişim denetimleri uygulanır (İşaret erişim kontrolü, Güvenlik olayı izleme vb.) 
  • Alarmlar dahil olmak üzere gözetim sistemleri ve uygun olarak kapalı devre TV izleme  
  • Temiz masa politikaları ve denetimlerinin uygulanması (gözetimsiz bilgisayarların kilitlenmesi, kilitli dolaplar vb.)  
  •  Ziyaretçi Erişim Yönetimi 
  • Fiziksel ortam ve belgelerdeki verilerin imha edilmesi (kağıt parçalama, manyetizmayı nötrleştirme vb.)

  Erişim Denetimi ve Yetkisiz Erişimi Önleme 

  • Uygulanan kullanıcı erişim kısıtlamaları ve görev ilkelerinin ayrıştırılmasına dayalı olarak sağlanan/gözden geçirilen rol tabanlı erişim izinleri  
  • Güçlük kimlik denetimi ve yetkilendirme yöntemleri (Çoklu faktörlü kimlik denetimi, yetkilendirme tabanlı sertifikasyon, otomatik devre dışı bırakma/oturum kapatma vb.) 
  • Merkezileştirilmiş şifre yönetimi ve güçlü/karmaşık şifre politikaları (minimum uzunluk, karakterlerin karmaşıklığı, şifrelerin sona ermesi vb.)   
  • E-postalara ve internete kontrollü erişim 
  • Anti virüs yönetimi  
  • Yetkisiz Erişim Önleme Sistemi yönetimi

Şifreleme   

  • Güçlü kriptografik protokollerle dış ve iç iletişimin şifrelenmesi  
  • PII/SPII verilerini şifreleme (veri tabanları, paylaşılan sözlükler vb.)   
  • Şirket PC’leri ve dizüstü bilgisayarları için tam disk şifreleme   
  • Depolama ortamının şifrelenmesi  
  • Şirket ağlarına uzaktan bağlantılar VPN ile şifrelenir  
  • Şifreleme anahtarlarının kullanım döngüsünü güvence altına alma

 Veri Minimizasyonu    

  • PII/SPI uygulama, hata ayıklama ve güvenlik kayıtlarında minimizasyonu  
  • Bir bireyin doğrudan tanımlanmasını önlemek için kişisel verilerin taklit edilmesi 
  • Kayıtlı verilerin işleve göre ayrılması (test, safhalandırma, canlı) 
  • Erişim haklarına göre role dayalı olarak verilerin mantıksal ayrılması 
  • Kişisel veriler için tanımlanmış veri saklama dönemleri

Güvenlik Testi     

  • Kritik şirket ağları ve kişisel verileri barındıran platformlar için Sızma Testi 
  • Düzenli ağ ve güvenlik açığı taramaları

2. Bütünlük. “Bütünlük, verilerin doğruluğunu (sağlamlığını) ve sistemlerin doğru çalışmasını sağlamayı ifade eder. ‘Veri’ terimi ile bağlantılı olarak bütünlük terimi kullanıldığında, verilerin eksiksiz ve değişmemiş olduğunu ifade eder.”  

Kişisel verilerin bütünlüğünü koruyabilmesi için erişim kontrollerine ek olarak uygun değişiklik ve günlük yönetim kontrolleri de mevcuttur, örneğin:    

Değişim ve Feragat Yönetimi    

  • Etki analizi, onaylar, testler, güvenlik incelemeleri, evreleme, izleme vb. dahil olmak üzere değişim ve feragat yönetimi süreci  
  • Üretim ortamlarında Rol ve İşlev tabanlı (Görevlerin Ayrımı) erişim sağlanması

Günlük Oluşturma ve İzleme

  • Erişim ve veri değişiklikleri günlüğü oluşturma  
  • Merkezileştirilmiş denetim ve güvenlik günlükleri   
  • Veri aktarımının eksiksizliği ve doğruluğunun izlenmesi (uçtan uca kontrol)

3. Kullanılabilirlik. “Hizmetlerin ve BT sistemlerinin, BT uygulamalarının ve BT ağ işlevlerinin veya bilgilerinin kullanılabilirliği, kullanıcı bunları her zaman ve amaçlandığı şekilde kullanabiliyorsa garanti edilir.”    

Hizmetlerin ve bu hizmetlerin içinde yer alan verilerin kullanılabilirliğini sürdürmek için uygun süreklilik ve güvenlik önlemleri uygulamaktayız:    

  • Kritik hizmetler için uygulanan düzenli hata testleri  
  • Önemli sistemler için kapsamlı performans/kullanılabilirlik izleme ve raporlama  
  • Güvenlik Olayı Müdahalesi  
  • Çoğaltılan veya yedeklenen kritik öneme sahip veriler (Bulut Yedeklemeleri/Sabit Sürücüler/Veritabanı kopyalama vb.) 
  • Planlı yazılım, altyapı ve güvenlik bakımı uygulanır (Güvenlik güncellemeleri, güvenlik yamaları vb.)   
  • Yerinde ve/veya coğrafi olarak ayrılmış konumlarda bulunan yedekli ve esnek sistemler (sunucu kümeleri, yansıtılmış veri tabanları, yüksek kullanılabilirlik ayarları vb.)    
  • Kesintisiz güç kaynakları kullanımı, fazla yedekli donanım ve ağ sistemleri  
  • Alarm ve güvenlik sistemleri kullanılır  
  • Kritik alanlar için fiziksel Koruma önlemleri uygulanır (akım koruması, yüksek zeminler, soğutma sistemleri, yangın ve/veya duman dedektörleri, yangın söndürme sistemleri vb.) 
  • Kullanılabilirliği sürdürmek için DDOS koruması   
  • Yük ve Stres Testleri

4Veri İşleme Talimatları. “Veri İşleme Talimatları kişisel verilerin yalnızca veri denetleyicisinin yönergelerine ve ilgili şirket önlemlerine uygun olarak işleneceğini garanti eder”  

Şirket içi gizlilik politikaları, sözleşmeler oluşturduk ve çalışanların kişisel tercihlerinin müşterinin tercihleri ve talimatları doğrultusunda işlenmesini sağlamaya yönelik düzenli gizlilik eğitimleri düzenliyoruz.   

  • İş sözleşmeleri dahilinde yürürlükte olan mahremiyet ve gizlilik şartları 
  • Çalışanlar için düzenli veri gizliliği ve güvenliği eğitimleri 
  • Talimatlar ile ilgili denetim haklarını korumak için alt yüklenicilerle yapılan anlaşmalara uygun sözleşme hükümleri 
  • Harici hizmet sağlayıcıları için düzenli gizlilik denetimleri 
  • Müşterilere verilerinin işlenmesi tercihleri ile ilgili tam kontrol sağlama 
  • Düzenli güvenlik denetimleri 

Ek 3: GoDaddy Alt İşleyicileri

Şirket Adı
Şirketin Bulunduğu Ülke
Hizmet Açıklaması
Veri Kategorileri
Acronis International GmbH İsviçre Müşteri yedeklemeleri Yedek anlık görüntüler.
Automattic Inc Amerika Birleşik Devletleri E-ticaret WordPress içindeki WooCommerce eklentisi ve eklentileri. Müşteri WordPress kullanıcı profilleri (ad ve e-posta adresi dahil) ve tüm çalışanların/yüklenicilerin profilleri.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Birleşik Krallık, Almanya, Amerika Birleşik Devletleri Meta veri analizi dahil olmak üzere, ağımızın bir parçası olarak ağ çözümleri sağlanması ve yönetilmesi. IP adreslerinin, zaman damgalarının ve ağ trafiğinin meta verilerinin işlenmesi
cPanel Inc Amerika Birleşik Devletleri Hosting ve Sunucu ürünleri için cPanel yönetim yazılımı. cPanel içinde tutulan tüm müşteri verileri.
DENIC eG Almanya .de alan adlarının kaydı Alan adını oluşturmak için gerekli tüm hesap bilgileri. Whois Bilgileri.
Equinix Netherlands BV Hollanda Hollanda'daki veri merkezi ortak yerleşim tesisleri. Hiçbir kişisel veri kasıtlı olarak işlenmez.
EURid vzw Belçika .eu alan adlarının kaydı Alan adını oluşturmak için gerekli tüm hesap bilgileri. Whois Bilgileri.
Juniper Networks Inc Amerika Birleşik Devletleri Meta veri analizi dahil olmak üzere, ağımızın bir parçası olarak ağ çözümleri sağlanması ve yönetilmesi. IP adresleri, zaman damgaları, ağ trafiği
LivePerson Inc Amerika Birleşik Devletleri Web sitemizdeki sohbet aracı “LiveEngage”. Sohbet dökümleri, IP adresi, işletim sistemi ve cihaz türü gibi otomatik olarak oluşturulmuş bilgiler.
LvivIT Ukrayna Operasyonel platform desteği sağlamak. Tüm müşteri hesap bilgileri.
OVH Grouppe SAS Fransa Almanya'daki veri merkezi ortak yerleşim tesisleri, sunucu ürünlerinin yeniden satışı. Web siteleri, uygulamalar ve müşterinin müşterilerinden gelen veriler dahil ancak bunlarla sınırlı olmamak üzere müşteri tarafından barındırılan veriler. Buna ağ trafiği de dahil olabilir.
Plesk International GmbH Almanya VPS ve Kiralık Sunucu için Plesk kontrol paneli ve Hazır Web Sitesi Plus. Plesk kontrol panelinde tutulan tüm müşteri verilerinin yanı sıra barındırılan bir web sitesinde tutulan müşteri verileri.
Datadock SARL Fransa Fransa'daki veri merkezi ortak yerleşim tesisleri. Donanım ve ağ hizmetleri. Hiçbir kişisel veri kasıtlı olarak işlenmez.
GoDaddy Media Temple Inc d/b/a Sucuri Amerika Birleşik Devletleri
SAAS Product: Müşteri web sitelerini kötü amaçlı yazılımlardan koruyun
Web sitesinin sağlanması için gereken tüm hesap bilgilerinin yanı sıra barındırılan web sitesinde depolanan müşteri verileri.
GoDaddy Media Temple Inc d/b/a Sucuri Amerika Birleşik Devletleri Dahili: Markanın BT ve müşteri verilerini korumak için marka web sitelerimizde ve müşteri kontrol panellerinde Web Uygulaması Güvenlik Duvarı. Web sitesi trafik denetimi. IP adreslerinin, zaman damgalarının ve ağ trafiğinin meta verileri.
Starfield Technologies LLC Amerika Birleşik Devletleri SSL Sertifikaları. Bir SSL sertifikası için gereken tüm müşteri hesabı bilgileri.
DomainsByProxy LLC Amerika Birleşik Devletleri Alan adı gizliliği hizmetleri. Alan adı kaydı ve iletişim bilgileri.
GoDaddy Sellbrite, Inc. Amerika Birleşik Devletleri Çevrimiçi perakende satış aracı Çevrimiçi mağazadan işlem ve ürün verileri.
GoDaddy Payments LLC Amerika Birleşik Devletleri Ödeme işleme araçları.  

Ek 4

Bu SCC'lerin uygulanabilirliği için Ek Sözleşme'de yer alan Bölüm 9.2’ye bakın

Standart Sözleşme Maddeleri (Denetleyiciden İşleyicilere)

BÖLÜM I

Madde 1

Amaç ve kapsam

  1. Bu standart sözleşme maddelerinin amacı, işleme ile ilgili olarak gerçek kişilere ilişkin kişisel verilerin ve verilerin üçüncü bir ülkeye aktarılması için bu tür verilerin serbest dolaşımı (Genel Veri Koruma Yönetmeliği). korunmasına dair 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi'nin (AB) 2016/679 (AB) gerekliliklerine uygunluğu sağlamaktır.
  2. Taraflar:
    1. Ek I.A'da listelendiği gibi kişisel verileri aktaran gerçek veya tüzel kişi/kişiler, kamu makamları, ajanslar veya diğer organlar (bundan böyle 'kuruluş/kuruluşlar) (bundan böyle her 'verileri veren taraf' olarak anılacaktır) ) ve
    2. üçüncü bir ülkede bulunan ve verileri veren taraftan kişisel verileri doğrudan veya dolaylı olarak Ek I.A'da listelendiği üzere bu Maddelere Taraf olan başka bir tüzel kişi aracılığıyla alan kuruluş/kuruluşlar (bundan böyle her biri 'verileri alan taraf' olarak anılacaktır) bu standart sözleşme maddelerini kabul etmiştir (bundan sonra: “Maddeler” olarak anılacaktır).
  3. Bu Maddeler, Ek I.B'de belirtilen kişisel verilerin aktarımı ile ilgili olarak geçerlidir.
  4. Burada atıfta bulunulan Ekleri içeren bu Maddelere Ek, bu Maddelerin ayrılmaz bir parçasını oluşturur.

Madde 2

Maddelerin Etkisi ve Değişmezliği

  1. Bu Maddeler, 2016/679 (AB) Yönetmeliğinin 46(1) ve 46(2)(c) Maddeleri uyarınca uygulanabilir veri sahibi hakları ve etkili yasal yollar dahil uygun güvenceleri ortaya koyar ve denetçiden işleyicilere ve/veya işleyicilerden işleyicilere veri aktarımları ile ilgili olarak, uygun Modül(ler)in seçilmesi veya Ek'e bilgi eklenmesi veya güncellenmesi amacının dışında değiştirilmemeleri koşuluyla (AB) 2016/679 Yönetmeliğinin 28(7) Maddesi uyarınca standart sözleşme maddelerini ortaya koyar. Bu, Tarafların bu Maddelerde belirtilen standart sözleşme maddelerini daha geniş bir sözleşmeye dahil etmelerini ve/veya bu Maddelerle doğrudan veya dolaylı olarak çelişmemeleri veya temel haklara veya veri sahiplerinin özgürlüklerine halel getirmemeleri koşuluyla başka maddeler veya ek güvenceler eklemelerini engellemez.
  2. Bu Maddeler, 2016/679 (AB) Düzenlemesi uyarınca verileri veren tarafın tabi olduğu yükümlülüklere halel getirmez.

Madde 3

Üçüncü taraf lehtarlar

  1. Veri sahipleri, aşağıdaki istisnalar dışında, üçüncü taraf lehtar olarak bu Maddeleri verileri veren tarafa ve/veya verileri alan tarafa karşı ileri sürebilir ve uygulayabilir:
    1. Madde 1, Madde 2, Madde 3, Madde 6, Madde 7;
    2. Madde 8.1(b), 8.9(a), (c), (d) ve (e);
    3. Madde 9(a), (c), (d) ve (e);
    4. Madde 12(a), (d) ve (f);
    5. 13. madde;
    6. Madde 15.1(c), (d) ve (e);
    7. Madde 16(e); (viii) Madde 18(a) ve (b).
  2. (a) paragrafı, veri sahiplerinin 2016/679 (AB) Tüzüğü kapsamındaki haklarına halel getirmez.

Madde 4

Yorum

  1. Bu Maddelerin 2016/679 (AB) Tüzüğünde tanımlanan terimleri kullandığı durumlarda, bu terimler o Tüzük ile aynı anlama sahip olacaktır.
  2. Bu Maddeler, 2016/679 (AB) Tüzüğü hükümleri ışığında okunacak ve yorumlanacaktır.
  3. Bu Maddeler, 2016/679 (AB) Yönetmeliğinde belirtilen hak ve yükümlülüklerle çelişecek şekilde yorumlanmayacaktır.

Madde 5

Hiyerarşi

Bu Maddeler ile Taraflar arasındaki ilgili anlaşmaların hükümleri arasında, bu Maddelerin kabul edildiği veya daha sonra yürürlüğe girdiği tarihte mevcut olan bir çelişki olması durumunda, işbu Maddeler geçerli olacaktır.

Madde 6

Aktarım(lar)ın açıklanması

Aktarım(lar)ın detayları ve özellikle aktarılan kişisel veri kategorileri ve aktarım amaç(lar)ı Ek I.B'de belirtilmiştir.

Madde 7: BİLİNÇLİ OLARAK ÇIKARILMIŞTIR

BÖLÜM II: TARAFLARIN YÜKÜMLÜLÜKLERİ

Madde 8

Veri koruma önlemleri

Verileri veren taraf, verileri alan tarafın uygun teknik ve organizasyonel önlemlerin uygulanması yoluyla bu Maddeler kapsamındaki yükümlülüklerini yerine getirebileceğini belirlemek için makul çabayı sarf ettiğini garanti eder.

8.1 Talimatlar

  1. Verileri alan taraf, kişisel verileri yalnızca verileri veren tarafın belgelenmiş talimatları doğrultusunda işlemelidir. Verileri veren taraf, sözleşme süresi boyunca bu tür talimatları verebilir.
  2. Verileri alan taraf, bu talimatları yerine getiremiyorsa, verileri veren tarafı derhal bilgilendirecektir.

8.2 Amaç sınırlaması

Verileri alan taraf, kişisel verileri, verileri veren taraf tarafından ek talimat alınmadıkça, Ek I.B'de belirtildiği gibi yalnızca aktarımın belirli amaçları için işler.

8.3 Şeffaflık

Talep üzerine, verileri veren taraf, Taraflarca tamamlandığı şekliyle Ek de dahil olmak üzere bu Maddelerin bir kopyasını veri sahibinin kullanımına ücretsiz olarak sunacaktır. Ek II'de açıklanan önlemler ve kişisel veriler de dahil olmak üzere ticari sırları veya diğer gizli bilgileri korumak için gerekli olduğu ölçüde, verileri veren taraf bir kopyasını paylaşmadan önce bu Maddelerin Ek metninin bir kısmını düzeltebilir, ancak veri sahibinin başka şekilde içeriğini anlayamayacağı veya haklarını kullanamayacağı anlamlı bir özet sunmalıdır. Taraflar, talep üzerine, mümkün olduğu ölçüde, düzeltilmiş bilgileri ifşa etmeden veri sahibine düzeltmelerin nedenlerini açıklayacaklardır. Bu Madde, verileri veren tarafın 2016/679 (AB) Yönetmeliğinin 13 ve 14. Maddeleri kapsamındaki yükümlülüklerine halel getirmez.

8.4 Doğruluk

Verileri alan taraf, aldığı kişisel verilerin yanlış olduğunu veya güncelliğini yitirdiğini fark ederse, verileri veren tarafı gecikmeksizin bilgilendirecektir. Bu durumda, verileri alan taraf, verileri silmek veya düzeltmek için verileri veren tarafla işbirliği yapacaktır.

8.5 İşleme süresi ve verilerin silinmesi veya iade edilmesi

Verileri alan taraf tarafından işleme, yalnızca Ek I.B'de belirtilen süre boyunca gerçekleştirilecektir. İşleme hizmetlerinin sağlanmasının sona ermesinden sonra, verileri alan taraf, verileri veren tarafın tercihine göre, verileri veren taraf adına işlenen tüm kişisel verileri silecek ve verileri veren tarafa bunu yaptığını tasdik edecek veya onun adına işlenen tüm kişisel verileri, verileri veren tarafa iade edecek ve mevcut kopyaları silecektir. Veriler silinene veya iade edilene kadar, verileri alan taraf bu Maddelere uygunluğu sağlamaya devam edecektir. Verileri alan taraf için kişisel verilerin iadesini veya silinmesini yasaklayan geçerli yerel yasalar olması durumunda, verileri alan taraf bu Maddelere uygunluğu sağlamaya devam edeceğini ve bunları yalnızca bahse konu yerel yasa kapsamında ve gerekli olduğu ölçüde ve süre boyunca işleyeceğini garanti eder. Bu, Madde 14'e, özellikle Madde 14(e) kapsamındaki verileri alan tarafın, 14(a) maddesindeki gerekliliklere aykırı kanun ve uygulamalara tabi olması veya buna inanmak için bir nedeni olması durumlarında, sözleşme süresi boyunca verileri veren tarafa bildirimde bulunması gerekliliğine halel getirmez.

8.6 İşleme güvenliği

  1. Verileri alan taraf ve iletim sırasında, aynı zamanda verileri veren taraf, kazara veya yasa dışı imha, kayıp, değiştirme, yetkisiz tahribat, bu verilerin ifşa olmasına veya erişilmesine (bundan böyle 'kişisel veri ihlali' olarak anılacaktır) yol açan bir güvenlik ihlaline karşı koruma dahil olmak üzere verilerin güvenliğini sağlamak için uygun teknik ve organizasyonel önlemleri uygulayacaktır. Taraflar, uygun güvenlik düzeyini değerlendirirken, en son durumu, uygulama maliyetlerini, işlemenin niteliğini, kapsamını, bağlamını ve amaç(lar)ını ve veri sahipleri için işlemeye dahil olan riskleri gerektiği gibi dikkate alacaklardır. Taraflar, özellikle, işleme amacının bu şekilde yerine getirilebileceği iletimler dahil olmak üzere, şifreleme ve takma adlaştırma yöntemlerine başvurmayı değerlendirecektir. Takma adlaştırma durumunda, kişisel verilerin belirli bir veri sahibine atfedilmesine yönelik ek bilgiler, mümkün olduğunda, verileri veren tarafın münhasır kontrolü altında kalacaktır. Bu paragraf kapsamındaki yükümlülüklerine uygun olarak, verileri alan taraf en azından Ek II'de belirtilen teknik ve organizasyonel önlemleri uygulayacaktır. Verileri alan taraf, bu önlemlerin uygun bir güvenlik düzeyi sağlamaya devam etmesi için düzenli kontroller gerçekleştirecektir.
  2. Verileri alan taraf, kişisel verilere yalnızca sözleşmenin uygulanması, yönetimi ve izlenmesi için kesinlikle gerekli olduğu ölçüde personelinin üyelerine erişim sağlayacaktır. Kişisel verileri işlemeye yetkili kişilerin bu gizliliğe uymayı taahhüt etmelerini veya uygun bir yasal gizlilik yükümlülüğü altında olmalarını sağlayacaktır.
  3. Bu Maddeler uyarınca verileri alan taraf tarafından işlenen kişisel verilerle ilgili bir kişisel veri ihlali olması durumunda, verileri alan taraf, olumsuz etkilerini azaltmak için önlemler de dahil olmak üzere ihlali yönetmek için uygun önlemleri alacaktır. Verileri alan taraf, ihlalin farkına vardıktan sonra fazla gecikme olmaksızın durumu verileri veren tarafa da bildirecektir. Bu bildirim, daha fazla bilginin elde edilebileceği bir irtibat noktasının ayrıntılarını, ihlalin niteliğinin bir tanımını (mümkün olduğunda, kategoriler ve ilgili veri sahiplerinin yaklaşık sayısı ve ilgili kişisel veri kayıtları dahil), olası sonuçları ve uygun olduğu hallerde olası olumsuz etkilerini hafifletmeye yönelik önlemler de dahil olmak üzere, ihlali yönetmek için alınan veya önerilen önlemleri içerecektir. Tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı durumlarda ve mümkün olduğu ölçüde, ilk bildirim o sırada mevcut olan bilgileri içerecek ve mevcut olduğunda daha fazla bilgi daha sonra gereksiz gecikme olmaksızın sağlanacaktır.
  4. Verileri alan taraf, verileri veren tarafın 2016/679 sayılı Tüzük (AB) kapsamındaki yükümlülüklerini yerine getirmesi ve verileri alan tarafın erişimindeki bilgiler ve işlemenin doğası da hesaba katılarak, özellikle yetkili denetim makamını bilgilendirme yükümlülüğünü yerine getirebilmesi için verileri veren tarafla işbirliği yapacak ve ona yardımcı olacaktır.

8.7 Hassas veriler

Aktarımın ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya sendika üyeliği, genetik veriler veya gerçek bir kişiyi benzersiz bir şekilde tanımlama amacına yönelik biyometrik verileri, sağlık veya bir kişinin cinsel yaşamıyla ilgili verileri veya cinsel yönelim veya cezai hükümler ve suçlarla ilgili verileri (bundan böyle 'hassas veriler' olarak anılacaktır) içerdiği durumlarda, verileri alan taraf Ek I.B'de açıklanan belirli kısıtlamaları ve/veya ek önlemleri uygular.

8.8 İleriye dönük aktarımlar

Verileri alan taraf, kişisel verileri yalnızca verileri veren tarafın belgelenmiş talimatları doğrultusunda üçüncü bir tarafa ifşa edecektir. Ek olarak, veriler yalnızca Avrupa Birliği dışında (verileri alan tarafla aynı ülkede veya başka bir üçüncü ülkede, bundan sonra 'ileriye dönük aktarım' olarak anılacaktır) bulunan bir üçüncü tarafa ifşa edilebilir eğer ki üçüncü taraf, uygun Modül kapsamında bu Maddelere bağlıysa veya

  1. bu Maddelere bağlı kalmayı kabul ederse; veya ileriye dönük aktarım, ileriye dönük aktarımı kapsayan 2016/679 (AB) Yönetmeliğinin 45. Maddesi uyarınca bir yeterlilik kararından yararlanan bir ülkeye yapılıyorsa;
  2. üçüncü taraf, başka şekillerde söz konusu işlemeyle ilgili olarak (AB) 2016/679'un 46 veya 47. Maddeleri uyarınca uygun güvenceleri sağlıyorsa;
  3. belirli idari, düzenleyici veya adli işlemler bağlamında yasal iddiaların oluşturulması, uygulanması veya savunulması için ileriye dönük aktarım gerekliyse; veya (iv) veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerini korumak için ileriye dönük aktarım gerekliyse.
  4. Herhangi bir ileriye dönük aktarım, verileri alan tarafın bu Maddeler kapsamındaki diğer tüm güvencelere, özellikle amaç sınırlamasına uymasına tabidir.

8.9 Dokümantasyon ve uygunluk

  1. Verileri alan taraf, bu Maddeler kapsamındaki işleme ile ilgili olarak verileri veren taraftan gelen soruları derhal ve yeterli bir şekilde ele alacaktır.
  2. Taraflar, bu Maddelere uyacaklardır. Özellikle, verileri alan taraf, verileri veren taraf adına yürütülen işleme faaliyetlerine ilişkin uygun dokümantasyonu yapacaktır.
  3. Verileri alan taraf, bu Maddelerde belirtilen yükümlülüklere uygunluğu göstermek için gerekli tüm bilgileri ve verileri veren tarafın talebi üzerine, verileri veren tarafa makul aralıklarla veya uygunsuzluk belirtileri varsa bu Maddeler kapsamındaki işleme faaliyetlerinin denetlenmesine izin verecek ve katkıda bulunacaktır. Bir inceleme veya denetime karar verirken, verileri veren taraf, verileri alan tarafın sahip olduğu ilgili sertifikaları dikkate alabilir.
  4. Verileri veren taraf, denetimi kendisi yürütmeyi seçebilir veya bağımsız bir denetçi görevlendirebilir. Denetimler, verileri alan tarafın tesislerinde yapılacak olan teftişleri içerebilir ve uygun olduğu durumlarda, makul bir bildirimle gerçekleştirilir.
  5. Taraflar, herhangi bir denetimin sonuçları da dahil olmak üzere (b) ve (c) paragraflarında atıfta bulunulan bilgileri talep üzerine yetkili denetim makamına sunacaklardır.

Madde 9

Alt işleyicilerin kullanımı

  1. Verileri alan taraf, üzerinde anlaşmaya varılan bir listeden alt işleyici(ler)in devreye alınması için verileri veren tarafın genel yetkisine sahiptir. Verileri alan taraf, alt işleyicilerin eklenmesi veya değiştirilmesi yoluyla bu listede yapılacak herhangi bir değişikliği en az on beş (15) gün önceden verileri veren tarafa özel olarak ve yazılı şekilde bildirecek ve böylece alt işleyicinin/işleyicilerin devreye girmesinden önce verileri veren tarafa bu tür değişikliklere itiraz edebilmesi için yeterli süre tanıyacaktır. Verileri alan taraf, verileri veren tarafın itiraz hakkını kullanabilmesi için gerekli bilgileri verileri veren tarafa sağlayacaktır.
  2. Verileri alan taraf, (verileri veren taraf adına) belirli işleme faaliyetlerini yürütmek için bir alt işleyiciyi görevlendirdiğinde, bunu, özünde, sahipleri için üçüncü taraf lehtar hakları da dahil olmak üzere, bu Maddeler kapsamında verileri alan taraf için bağlayıcı olan aynı veri koruma yükümlülüklerini sağlayan yazılı bir sözleşme yoluyla yapacaktır. Taraflar, bu Maddeye uyarak verileri alan tarafın Madde 8.8 kapsamındaki yükümlülüklerini yerine getirdiğini kabul eder. Verileri alan taraf, alt işleyicinin, bu Maddeler uyarınca verileri alan tarafın tabi olduğu yükümlülüklere uymasını sağlayacaktır.
  3. Verileri alan taraf, verileri veren tarafın talebi üzerine, bu tür bir alt işleyici sözleşmesinin bir kopyasını ve sonraki değişiklikleri verileri veren tarafa sağlayacaktır. Kişisel veriler de dahil olmak üzere ticari sırları veya diğer gizli bilgileri korumak için gerekli olduğu ölçüde, verileri alan taraf bir kopyasını paylaşmadan önce anlaşma metnini düzeltebilir.
  4. Verileri alan taraf, alt işleyicinin verileri alan tarafla yaptığı sözleşme kapsamındaki yükümlülüklerini yerine getirmesinden verileri veren tarafa karşı tamamen sorumlu olmaya devam edecektir. Verileri alan taraf, alt işleyicinin bu sözleşme kapsamındaki yükümlülüklerini yerine getirmemesi halinde, durumu verileri veren tarafa bildirecektir.
  5. Verileri alan taraf, alt işleyici ile bir üçüncü taraf lehtar maddesi üzerinde anlaşmaya varacaktır, verileri alan tarafın fiilen ortadan kaybolması, kanunen varlığının sona ermesi veya iflas etmesi durumunda, verileri veren taraf alt işleyici sözleşmesini feshetme ve alt işleyiciye kişisel verileri silme veya iade etme talimatı verme hakkına sahip olacaktır.

Madde 10

Veri sahibi hakları

  1. Verileri alan taraf, bir veri sahibinden aldığı herhangi bir talebi verileri veren tarafa derhal bildirecektir. Verileri veren taraf tarafından yetkilendirilmediği sürece, bu talebe kendisi yanıt vermeyecektir.
  2. Verileri alan taraf, verileri veren tarafa, 2016/679 (AB) Düzenlemesi kapsamındaki haklarını kullanma konusunda veri sahiplerinin taleplerine yanıt verme yükümlülüklerini yerine getirmede yardımcı olacaktır. Bu bağlamda, Taraflar, yardımın sağlanacağı işlemenin niteliğini ve gerekli yardımın kapsamını ve kapsamını dikkate alarak, Ek II'de uygun teknik ve organizasyonel önlemleri belirleyeceklerdir.
  3. (a) ve (b) paragrafları kapsamındaki yükümlülüklerini yerine getirirken, verileri alan taraf, verileri veren tarafın talimatlarına uyacaktır.

Madde 11

Çözüm

  1. Verileri alan taraf, veri sahiplerini kişisel bildirim yoluyla veya web sitesinde, şikayetleri ele almaya yetkili bir irtibat noktası konusunda şeffaf ve kolay erişilebilir bir formatta bilgilendirecektir. Bir veri sahibinden aldığı herhangi bir şikayeti derhal işleme koyacaktır.
  2. Bir veri sahibi ile Taraflardan biri arasında bu Maddelere uygunluk konusunda bir anlaşmazlık olması durumunda, söz konusu Taraf sorunu uygun bir sürede ve dostane bir şekilde çözmek için elinden gelen çabayı gösterecektir. Taraflar, bu tür anlaşmazlıklar hakkında birbirlerini bilgilendirecek ve uygun olduğunda, bunları çözmek için işbirliği yapacaklardır.
  3. Veri sahibinin 3. Madde uyarınca bir üçüncü taraf lehtar hakkı talep etmesi durumunda, verileri alan taraf, veri sahibinin kararını aşağıdaki koşullara uygun olarak kabul eder:
    1. Mutad meskeninin veya iş yerinin Üye Devletteki denetim makamına veya 13. madde uyarınca yetkili denetim makamına şikayette bulunmak;
    2. anlaşmazlığın 18. madde kapsamında yetkili mahkemelere havale edilmiş olması.
  4. Taraflar, veri sahibinin 2016/679 sayılı Tüzüğün (AB) 80(1) Maddesinde belirtilen koşullar altında kar amacı gütmeyen bir kurum, kuruluş veya dernek tarafından temsil edilebileceğini kabul eder.
  5. Verileri alan taraf, geçerli AB veya Üye Devlet yasaları kapsamında bağlayıcı olan bir karara uyacaktır.
  6. Verileri alan taraf, veri sahibi tarafından yapılan seçimin, geçerli yasalara uygun olarak çözüm arama konusunda maddi ve usule ilişkin haklarına halel getirmeyeceğini kabul eder.

Madde 12

Sorumluluk

  1. Taraflardan her biri, bu Maddelerin ihlali nedeniyle diğer Tarafa/taraflara neden olduğu zararlardan diğer Tarafa/taraflara karşı sorumlu olacaktır.
  2. Verileri veren taraf, veri sahibine karşı sorumlu olacak ve veri sahibi, bu Maddeler kapsamında üçüncü taraf lehtar hakları ihlal edilerek verileri alan tarafın veya alt işleyicisinin kendisinde neden olduğu her türlü maddi veya manevi zarar için tazminat alma hakkına sahip olacaktır.
  3. (b) paragrafına bakılmaksızın, verileri veren taraf veri sahibine karşı sorumlu olacaktır ve veri sahibi, bu Maddeler kapsamında üçüncü taraf lehtar hakları ihlal edilerek verileri veren tarafın veya verileri alan tarafın (veya alt işleyicisinin) kendisinde neden olduğu her türlü maddi veya manevi zarar için tazminat alma hakkına sahip olacaktır. Bu, verileri veren tarafın yükümlülüğüne ve verileri veren tarafın bir denetçi adına hareket eden bir işleyici olması durumunda, uygulanabilir olduğu ölçüde 2016/679 sayılı Tüzük veya (AB) 2018/1725 sayılı Tüzük uyarınca kontrolörün sorumluluğuna halel getirmez.
  4. Taraflar, verileri veren tarafın (c) paragrafı uyarınca verileri alan tarafın (veya alt işleyicisinin) neden olduğu zararlardan sorumlu tutulması durumunda, verileri veren tarafın, verileri alan tarafın sorumlu olduğu zarara tekabül eden kısmı verileri alan taraftan talep etme hakkı olduğunu kabul ederler.
  5. Bu Maddelerin ihlali nedeniyle veri sahibine verilen herhangi bir zarardan birden fazla Tarafın sorumlu olduğu durumlarda, tüm sorumlu Taraflar müştereken ve müteselsilen sorumlu olacak ve veri sahibi bu Taraflardan herhangi birine karşı mahkemede dava açma hakkına sahip olacaktır.
  6. Taraflar, bir Tarafın (e) paragrafı uyarınca sorumlu tutulması durumunda, tazminatın kendi sorumluluğuna tekabül eden kısmını diğer Taraftan/Taraflardan geri talep etme hakkına sahip olacağını kabul ederler.
  7. Verileri alan taraf, kendi sorumluluğundan kaçınmak için bir alt işleyicinin davranışını hukuki bahane olarak sunamaz.

Madde 13

Denetim

  1. Verileri veren tarafın, Ek I.C'de belirtildiği gibi veri aktarımına ilişkin olarak 2016/679 sayılı Düzenlemeye (AB) uygunluğunu sağlamaktan sorumlu olan denetim makamı, yetkili denetim makamı olarak hareket eder.
  2. Verileri alan taraf, bu Maddelere uygunluğu sağlamaya yönelik her türlü prosedürde yetkili denetim makamının yargı yetkisine tabi olmayı ve onunla işbirliği yapmayı kabul eder. Özellikle, verileri alan taraf, sorguları yanıtlamayı, denetimlere uymayı ve düzeltici ve telafi edici önlemler de dahil olmak üzere denetim makamı tarafından kabul edilen önlemlere uymayı kabul eder. Denetim makamına gerekli eylemlerin ifa edildiğine dair yazılı onay verecektir.

BÖLÜM III: KAMU YETKİLERİNİN ERİŞİMİ HALİNDE YEREL YASALAR VE YÜKÜMLÜLÜKLER

Madde 14

Maddelere uyumu etkileyen yerel yasalar ve uygulamalar

  1. Taraflar, ifşa etme gereklilikleri de dahil olmak üzere, üçüncü varış ülkesindeki kişisel verileri alan taraf tarafından işlenmesi için geçerli olan yasa ve uygulamalarda kişisel verilerin ifşa edilmesini gerektirecek veya kamu kurumlarının erişimine izin verecek, verileri alan tarafın bu Maddeler kapsamındaki yükümlülüklerini yerine getirmesini engelleyecek bir durum olduğuna inanmak için hiçbir nedenlerinin olmadığını garanti ederler. Bu, yasaların ve uygulamaların temel hak ve özgürlüklerin özüne saygı duyduğu ve 2016/679 numaralı Tüzüğün (AB) 23(1) Maddesinde listelenen hedeflerden birini korumak için demokratik bir toplumda gerekli ve orantılı olanı aşmadığı ve bu Maddeler ile çelişmediği anlayışına dayanmaktadır.
  2. Taraflar, (a) paragrafındaki garantiyi sağlarken, özellikle aşağıdaki unsurları dikkate aldıklarını beyan ederler:
    1. işleme zincirinin uzunluğu, dahil olan aktörlerin sayısı ve kullanılan iletim kanalları dahil olmak üzere aktarımın özel koşulları; ileriye dönük aktarımlar; alıcı türü; işleme amacı; aktarılan kişisel verilerin kategorileri ve formatı; aktarımın gerçekleştiği ekonomik sektör; aktarılan verilerin saklama yeri;
    2. üçüncü varış ülkesinin yasaları ve uygulamaları, verilerin kamu makamlarına ifşa edilmesini veya bu makamlar tarafından erişime izin verilmesini gerektirenler de dahil olmak üzere, aktarımın özel koşulları ve geçerli sınırlamalar ve güvencelerin ışığında ilgili olan;
    3. İletim sırasında uygulanan önlemler ve varış ülkesinde kişisel verilerin işlenmesi de dahil olmak üzere, bu Maddeler kapsamındaki güvenceleri tamamlamak için uygulanan herhangi bir ilgili sözleşmeye bağlı, teknik veya organizasyonel güvenlik önlemi.
  3. Verileri alan taraf, (b) paragrafı kapsamındaki değerlendirmeyi gerçekleştirirken, verileri veren tarafa ilgili bilgileri sağlamak için elinden gelen çabayı gösterdiğini ve bu Maddelere uygunluğun sağlanmasında verileri veren taraf ile işbirliğine devam edeceğini kabul eder.
  4. Taraflar, (b) paragrafı kapsamında yapılan değerlendirmeyi belgelemeyi ve talep üzerine yetkili denetim makamına sunmayı kabul ederler.
  5. Verileri alan taraf, bu Maddeleri kabul ettikten sonra ve sözleşme süresi boyunca, paragraf kapsamındaki gerekliliklere uygun olmayan yasalara veya uygulamalara tabi olduğuna veya tabi hale geldiğine inanmak için nedeni varsa, üçüncü ülkenin yasalarındaki bir değişikliğin veya (a) paragrafındaki gerekliliklerle uyumlu olmayan bu tür yasaların uygulamada uygulandığını gösteren bir önlemin (ifşa talebi gibi) takip edilmesi dahil olmak üzere, verileri veren tarafı derhal bilgilendirmeyi kabul eder.
  6. (e) paragrafı uyarınca bir bildirimin ardından veya verileri veren tarafın verileri alan tarafın bu Maddeler kapsamındaki yükümlülüklerini artık yerine getiremeyeceğine inanmak için başka bir nedeni varsa, verileri veren taraf, kendisi veya verileri alan tarafça benimsenmesi ve uygulanması için derhal uygun önlemleri belirleyecektir (Örneğin, güvenlik ve gizliliği sağlamak için teknik veya organizasyonel önlemler). Verileri veren taraf, bu tür bir aktarım için uygun güvencelerin sağlanamayacağını düşünürse veya yetkili denetim makamı tarafından talimat verilmişse, veri aktarımını askıya alacaktır. Bu durumda, verileri veren taraf, bu Maddeler uyarınca kişisel verilerin işlenmesiyle ilgili olduğu sürece sözleşmeyi feshetme hakkına sahip olacaktır. Sözleşme ikiden fazla Tarafı içeriyorsa, verileri veren taraf bu fesih hakkını, Taraflar aksini kararlaştırmadıkça, yalnızca ilgili Taraf için kullanabilir. Sözleşmenin bu Madde uyarınca feshedilmesi durumunda, Madde 16(d) ve (e) uygulanacaktır.

Madde 15

Kamu otoritelerinin erişimi durumunda verileri alan tarafın yükümlülükleri

15.1 Bildirim

  1. Verileri alan taraf, aşağıdaki durumlarda verileri veren tarafa ve mümkünse veri sahibine (gerekirse verileri veren tarafın yardımıyla) derhal bildirimde bulunmayı kabul eder. Eğer:
    1. bu Maddeler uyarınca aktarılan kişisel verilerin ifşası için varış ülkesi kanunları uyarınca adli makamlar dahil bir kamu makamından yasal olarak bağlayıcı bir talep alırsa; bu bildirim, talep edilen kişisel veriler, talepte bulunan makam, talebin yasal dayanağı ve verilen yanıt hakkında bilgileri içerecektir veya
    2. varış ülkesinin yasalarına uygun olarak bu Maddeler uyarınca aktarılan kişisel verilere kamu makamları tarafından herhangi bir doğrudan erişimden haberdar olursa; bu bildirim, verileri alan tarafa sunulan tüm bilgileri içerecektir.
  2. Verileri alan tarafın verileri veren tarafa ve/veya veri sahibine varış ülkesinin yasaları uyarınca bildirimde bulunması yasaklanmışsa, verileri alan taraf, mümkün olan en çok bilgiyi en kısa sürede aktarma bakış açısıyla iletişim kurmak amacıyla yasaktan feragat etmek için elinden gelenin en iyisini yapmayı kabul eder. Verileri alan taraf, verileri veren tarafın taleplerini yerine getirebilmek için belgeleme konusunda elinden gelenin en iyisini yapmayı kabul eder.
  3. Varış ülkesinin yasalarının izin verdiği durumlarda, verileri alan taraf, sözleşme süresi boyunca düzenli aralıklarla, alınan talepler (özellikle talep sayısı, talep edilen veri türü, talepte bulunan makam/lar, taleplere itiraz edilip edilmediği ve bu tür itirazların sonucu vb.) ile ilgili mümkün olduğunca fazla bilgiyi verileri veren tarafa sunmayı kabul eder.
  4. Verileri alan taraf, (a) ila (c) paragrafları uyarınca bilgileri sözleşme süresince saklamayı ve talep üzerine yetkili denetim makamına sunmayı kabul eder.
  5. (a) ila (c) arasındaki paragraflar, Madde 14(e) ve Madde 16 uyarınca verileri alan tarafın bu Maddelere uymadığı durumlarda verileri veren tarafı derhal bilgilendirme yükümlülüğüne halel getirmez.

15.2 Yasallığın gözden geçirilmesi ve veri minimizasyonu

  1. Verileri alan taraf, ifşa talebinin yasallığını, özellikle talepte bulunan kamu makamının yetkisi dahilinde kalıp kalmadığını gözden geçirmeyi ve dikkatli bir değerlendirmeden sonra, talebin varış ülkesinin yasalarına, uluslararası hukuka göre geçerli yükümlülüklere ve uluslararası nezaket ilkelerine göre hukuka aykırı olduğu sonucuna varmak için makul nedenler olduğu sonucuna varırsa talebe itiraz etmeyi kabul eder. Verileri alan taraf, aynı koşullar dahilinde, temyiz olanaklarını takip edecektir. Bir talebe itiraz ederken, verileri alan taraf, yetkili adli makam esasa ilişkin karar verene kadar talebin etkilerini askıya almak amacıyla geçici tedbirler alınması için çabalayacaktır. Talep edilen kişisel verileri yürürlükteki usul kuralları gerektirmedikçe ifşa etmeyecektir. Bu gereklilikler, verileri alan tarafın Madde 14(e) kapsamındaki yükümlülüklerine halel getirmez.
  2. Verileri alan taraf, yasal değerlendirmesini ve ifşa talebine yönelik herhangi bir itirazı belgelendirmeyi ve varış ülkesinin yasalarının izin verdiği ölçüde, belgeleri verileri veren tarafın kullanımına sunmayı kabul eder. Ayrıca, talep üzerine yetkili denetim makamına sunacaktır.
  3. Verileri alan taraf, bir açıklama talebine yanıt verirken, talebin makul bir yorumuna dayanarak izin verilen minimum miktarda bilgiyi sağlamayı kabul eder.

BÖLÜM IV: SON HÜKÜMLER

Madde 16

Maddelere uyulmaması ve fesih

  1. Verileri alan taraf, herhangi bir nedenle bu Maddelere uyum sağlayamıyorsa, verileri veren tarafı derhal bilgilendirecektir.
  2. Verileri alan tarafın bu Maddeleri ihlal etmesi veya bu Maddelere uymaması durumunda, verileri veren taraf, uygunluk tekrar sağlanana veya sözleşme feshedilene kadar kişisel verilerin verileri alan tarafa aktarılmasını askıya alacaktır. Bu, Madde 14(f)'ye halel getirmez.
  3. Verileri veren taraf, bu Maddeler uyarınca kişisel verilerin işlenmesiyle ilgili olduğu sürece, aşağıdaki durumlarda sözleşmeyi feshetme hakkına sahiptir:
    1. Verileri veren taraf, (b) paragrafı uyarınca kişisel verilerin verileri alan tarafa aktarımını askıya aldığında ve bu maddelere uyumsuzluk makul bir süre içinde veya her durumda askıya alınma tarihinden itibaren 1 ay içinde ortadan kalkmadığında;
    2. verileri alan taraf bu Maddeleri önemli ölçüde veya sürekli olarak ihlal ediyorsa veya
    3. verileri alan taraf, bu Maddeler kapsamındaki yükümlülüklerine ilişkin olarak yetkili bir mahkeme veya denetim makamının bağlayıcı kararına uymazsa. Bu durumlarda, yetkili denetim makamını bu tür bir uyumsuzluk konusunda bilgilendirecektir. Sözleşmenin ikiden fazla Tarafı kapsadığı durumlarda, verileri veren taraf, Taraflar aksini kararlaştırmadıkça, bu fesih hakkını yalnızca ilgili Taraf ile ilgili olarak kullanabilir.
  4. (c) paragrafı uyarınca sözleşmenin sona ermesinden önce aktarılan kişisel veriler, verileri veren tarafın tercihine göre derhal verileri veren tarafa iade edilir veya tamamı silinir. Aynısı verilerin herhangi bir kopyası için de geçerlidir. Verileri alan taraf, verilerin silinmesini verileri veren tarafa onaylayacaktır. Veriler silinene veya iade edilene kadar, verileri alan taraf bu Maddelere uygunluğu sağlamaya devam edecektir. Verileri alan taraf için aktarılan kişisel verilerin iadesini veya silinmesini yasaklayan geçerli yerel kanunların olması durumunda, verileri alan taraf bu Maddelere uygunluğu sağlamaya devam edeceğini ve verileri yalnızca yerel yasada gerekli olduğu şekliyle belirtilen kapsamda ve sürece işleyeceğini garanti eder.
  5. Taraflardan herhangi biri, (i) Avrupa Komisyonu, bu Maddelerin uygulandığı kişisel verilerin aktarılmasını kapsayan (AB) 2016/679 sayılı Tüzüğün 45(3) Maddesi uyarınca bir karar aldığında veya (ii) 2016/679 (AB) Tüzüğü, kişisel verilerin aktarıldığı ülkenin yasal çerçevesinin bir parçası haline geldiğinde, bu maddelere olan hukuki bağlılığını feshedebilir. Bu, 2016/679 (AB) Tüzüğü kapsamında söz konusu işleme için geçerli olan diğer yükümlülüklere halel getirmez.

Madde 17

Tabi Olunan Hukuk

Bu Maddeler, söz konusu yasanın üçüncü şahıs lehtar haklarına izin vermesi koşuluyla, AB Üye Devletlerinden birinin yasalarına tabi olacaktır. Taraflar, bunun Federal Almanya Cumhuriyeti hukuku olacağını kabul ederler.

Madde 18

Mahkeme ve yargı yetkisi seçimi

  1. Bu Maddelerden kaynaklanan herhangi bir anlaşmazlık, bir AB Üye Devletinin mahkemeleri tarafından çözülecektir.
  2. Taraflar, bu mahkemelerin Federal Almanya Cumhuriyeti mahkemeleri olacağını kabul ederler.
  3. Bir veri sahibi, aynı zamanda, verileri veren taraf ve/veya verileri alan taraf aleyhine, mutad meskeninin bulunduğu Üye Devletin mahkemelerinde yasal işlem başlatabilir.
  4. Taraflar, kendilerini bu mahkemelerin yargı yetkisi ile bağlı gördüklerini kabul ederler.

Standart Sözleşme Maddelerine Ek I

A. TARAFLARIN LİSTESİ
Verileri Veren Taraf(lar): Verileri veren taraf, Ek Sözleşme’de Müşteri olarak tanımlanan tüzel kişidir
İmza ve tarih: Verileri Veren Taraf'ın Verileri Alan Taraf'ın Hizmet Şartlarını elektronik olarak kabul ettiği tarih itibariyle, Verileri Veren Taraf bu standart sözleşme maddelerini imzalamış sayılır.
Rol: Denetleyici

Verileri alan taraf(lar): GoDaddy.com, LLC
İletişim detayları: Veri Koruma Görevlisi Ofisi: privacy@godaddy.com
İmza ve tarih: Verileri Veren Taraf'ın Verileri Alan Taraf'ın Hizmet Şartlarını elektronik olarak kabul ettiği tarih itibariyle, Verileri Alan Taraf bu standart sözleşme maddelerini imzalamış sayılır.
Rol: İşleyici

B. AKTARIMIN AÇIKLAMASI Kişisel verileri aktarılan ilgili kişilerin kategorileri Ek Sözleşme’nin Ek 1'inde açıklanmıştır.

Aktarılan kişisel verilerin kategorileri Ek Sözleşme’nin Ek 1'inde açıklanmıştır.

Aktarılan hassas veriler, Ek Sözleşme’nin Ek 1'inde açıklanmıştır.

Aktarımın sıklığı, Hizmet Koşullarının süresi boyunca sürekli bir temelde olacaktır.

İşlemenin doğası, Ek Sözleşme’de Bölüm 2.2 ve Ek 1'de açıklanmıştır.

Veri aktarımının ve sonraki işlemlerin amacı/amaçları Ek Sözleşme’de Bölüm 2.2 ve Ek 1'de açıklanmıştır.

Kişisel verilerin saklanacağı süre, Ek Sözleşme’nin Ek 1'inde açıklanmıştır.

(Alt) işleyicilere yapılan aktarımlar için, işlemenin konusu, niteliği ve süresi, Standart Sözleşme Maddelerinin Ek III kısmında belirtilmiştir.

C. YETKİLİ DENETİM MAKAMI Kuzey Ren-Vestfalya Eyaleti Veri Koruma ve Bilgi Özgürlüğü Komiseri ('LDI NRW') yetkili denetim makamıdır.

Standart Sözleşme Maddelerine Ek II

Verileri Alan Taraf tarafından uygulanan teknik ve kurumsal güvenlik önlemleri, Ek Sözleşme’nin Ek 2'sindeki gibidir.

Standart Sözleşme Maddelerine Ek III

Alt işleyicilerin listesi Ek Sözleşme’nin Ek 3'ündedir.

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


Yasal sözleşmelerin ve politikaların çevrilmiş sürümleri, yalnızca İngilizce sürümlerin okunmasını ve anlaşılmasını kolaylaştırmak için sunulmuştur. Yasal sözleşmelerin ve politikaların çevrilmiş sürümlerinin sunulmasının amacı, yasal olarak bağlayıcı bir sözleşme oluşturmak değildir ve İngilizce sürümler yasal olarak geçerli olacaktır. Herhangi bir anlaşmazlık veya sorun olması halinde, sizinle olan ilişkimiz için yasal sözleşmelerin ve politikaların İngilizce sürümleri geçerli olacak ve diğer dillerdeki sürümleri geçersiz kılacaktır.