GoDaddy - VERİ İŞLEME EK SÖZLEŞMESİ

Bu Veri İşleme Ek Sözleşmesi (bu “Ek Sözleşme”) GoDaddy.com, LLC, a Delaware limited liability company ile Ortakları (“GoDaddy”) ile siz (“Müşteri”) arasında gerçekleştirilmiş olup, Evrensel Hizmet Koşulları, Gizlilik Politikası ve tüm Kapsanan Hizmetler (topluca, “Hizmet Şartları”) maddelerine ek olarak getirilmiştir ve bu maddeleri tamamlamaktadır.

1.1 Bu Ek Sözleşmede aksi belirtilmedikçe, bu Ek Sözleşmede tanımlanmayan tüm büyük harfle yazılmış terimler, Hizmet Şartlarında kendilerine verilen anlamlara sahip olacaktır.

“Ortaklar” GoDaddy tarafından kontrol edilen, kontrol eden veya ile ortak kontrolde olan herhangi bir tüzel kişi anlamına gelir.

“Kapsanan Hizmetler” Kişisel Verilerin İşlenmesini içerebilecek ve aşağıdaki Sözleşmelerin şartlar ve koşullarına tabi olan barındırılan hizmetler anlamına gelir: (1) E-posta Pazarlama Hizmetleri, (2) Hosting, (3) Online Mağaza/Hızlı Alışveriş Sepeti, (4) Web Sitesi Hizmetleri, (5) Çalışma Alanı Hizmeti.

“Müşteri Verileri” GoDaddy tarafından, GoDaddy Ağı dahilinde, Hizmet Şartları’nı takiben veya bu Şartlarla bağlantılı olarak Müşteri adına İşlenen tüm Veri Sahibi Kişisel Verileridir.

"Veri Koruma Yasaları" (i) Avustralya Gizlilik İlkeleri ve Avustralya Gizlilik Yasası (1988), (ii) Brazil’s Lei Geral de Proteção de Dados (LGPD), iii) California Tüketici Gizliliği Yasası (CCPA), (iv) Kanada Federal Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA), (v) AB (GDPR), ( vi) GDPR kapsamında veya uyarınca yapılan herhangi bir ulusal veri koruma yasası (vii) AB e-Gizlilik Yönergesi (2002/58/EC Yönergesi), (viii) Singapur Kişisel Verileri Koruma Yasası 2012 (PDPA), (ix) İsviçre 19 Haziran 1992 tarihli Federal Veri Koruma Yasası ve Yönetmeliği ve (x) Birleşik Krallık GDPR veya 2018 Veri Koruma Yasası da dahil ancak bunlarla sınırlı olmamak üzere, Sözleşme kapsamında Kişisel Verilerin İşlenmesi için geçerli ve değiştirildiği halleriyle veya yerine gelen yeni düzenlemeler dahil olmak üzere tüm veri koruma veya gizlilik yasaları ve düzenlemeleri anlamına gelir.

“AEA” Avrupa Ekonomik Alanı anlamına gelir.

"AB GDPR", Avrupa Parlamentosu ve Konseyi tarafından 27 Nisan 2016 tarihinde onaylanan (AB) 2016/679 sayılı Yönetmelik olup, kişisel verilerin işlenmesi ile söz konusu verilerin serbest dolaşımını ve 95/46/EC numaralı ilga edici Yönerge’yi ilgilendirmektedir.

“AB Standart Sözleşme Maddeleri”, buraya referans olarak dahil edilen 4 Haziran 2021 tarihli 2021/914 sayılı Avrupa Komisyonu kararıyla onaylanan standart veri koruma maddeleri anlamına gelir. Modül İki (Denetleyiciden İşleyiciye) AB Standart Sözleşme Maddeleri ve Modül Üç (İşleyiciden İşleyiciye) AB Standart Sözleşme Maddeleri EUR-Lex web sitesinden indirilebilir.

“GoDaddy Ağı, GoDaddy şirketine ait ve GoDaddy şirketinin denetiminde olan ve Kapsanan Hizmetleri sağlamak için kullanılan veri merkezi tesisleri, sunucular, ağ ekipmanları ve hosting yazılımı sistemleridir (ör. sanal güvenlik duvarları).

“Güvenlik Olayı”, GoDaddy tarafından yönetilen veya kontrol edilen sistemlerdeki herhangi bir Müşteri Verisinin kazara ya da yasa dışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya bunlara erişim ile sonuçlanan GoDaddy Güvenlik Standartlarının güvenliğinin ihlali anlamına gelir.

“Güvenlik Standartları” Ek 2 olarak bu Ek Sözleşme’ye ekli güvenlik standartları anlamına gelir.

“Hassas Veriler” (a) sosyal güvenlik numarası, pasaport numarası, sürücü belgesi numarası veya benzer tanımlayıcı (veya herhangi bir kısmı); (b) kredi veya banka kartı numarası (bir kredi veya banka kartının kısaltılmış (son dört hanesi) dışında), finansal bilgiler, banka hesap numaraları veya şifreler; (c) istihdam, mali, genetik, biyometrik veya sağlık bilgileri; (d) ırksal, etnik, siyasi veya dini mensubiyet, sendika üyeliği veya cinsel yaşam veya cinsel yönelim hakkında bilgiler; (e) hesap şifreleri, anne kızlık soyadı veya doğum tarihi; (f) suç geçmişi; veya (g) GDPR veya gizlilik ve veri korumasına ilişkin diğer geçerli yasa veya yönetmelikler kapsamında “özel veri kategorileri” tanımına giren diğer bilgiler veya bilgi kombinasyonları anlamına gelir.

“Alt İşleyici” denetleyici adına İşleyici tarafından verileri İşlemek için iletişim kurulan her türlü işleyicidir.

“Birleşik Krallık (UK) GDPR”, 2018 Birleşik Krallık Avrupa Birliği (Çekilme) Yasası kapsamında Birleşik Krallık yasalarına değiştirilip dahil edilen AB GDPR'si ve bu Yasa uyarınca hazırlanan yürürlüğe koyulmuş ikincil mevzuat anlamına gelir.

“Birleşik Krallık Uluslararası Veri Aktarımı Eki”, Birleşik Krallık Bilgi Komisyonu tarafından yayınlanan ve 21 Mart 2022'de yürürlüğe koyulan, Sürüm B1.0, AB Standart Sözleşme Maddelerine yönelik Uluslararası Veri Aktarımı Eki anlamına gelir. Birleşik Krallık Uluslararası Veri Aktarımı Eki, Birleşik Krallık Bilgi Komisyonu Web Sitesinden indirilebilir.

1.2 Bu Ek'te kullanılan "kişisel veriler", "veri öznesi", "işleme", "denetleyici" ve "işleyici" terimleri, geçerli olan Veri Koruma Kanunları fark etmeksizin AB GDPR'de verilen anlamları yansıtır.

2.1 İşleyici olarak GoDaddy. Taraflar şu hususları onaylar ve kabul eder: (i) GoDaddy, Veri Koruma Yasaları uyarınca Müşteri Verilerinin işleyicisidir; (ii) Müşteri, geçerli Veri Koruma Yasaları uyarınca Müşteri Verilerinin bir denetleyicisi veya işleyicisidir ve (iii) her bir taraf, Müşteri Verilerinin işlenmesiyle ilgili olarak geçerli Veri Koruma Kanunları kapsamındaki yükümlülüklerine uyacaktır.

2.2 Veri İşleme Ayrıntıları. Müşteri Verilerinin GoDaddy tarafından işlenmesi konusu, Hizmet Şartları uyarınca Kapsanan Hizmetlerin yerine getirilmesidir, GoDaddy Müşteri Verilerini yalnızca Müşterinin belgelendirdiği talimatlara uygun olarak ve aşağıdaki amaçlar doğrultusunda işleyecektir: (i) Hizmet Şartlarına uygun olarak işlenmesi; (ii) Son Kullanıcılar tarafından Kapsanan Hizmetlerin kullanımında başlatılan işleme; (iii) Müşterilerin (ör. e-posta yoluyla) sağlanan diğer belgelenmiş, makul talimatları, bu talimatların Hizmet Şartlarıyla tutarlı olduğu hallerde işlenmesi. GoDaddy şirketi: (a) Hizmet Şartları uyarınca Kapsanan Hizmetleri sağlamak üzere gerekmesi veya yasalar tahtında gerekmesi dışında Müşteri Verilerini işlemeyecek, elinde tutmayacak, kullanmayacak, satmayacak veya ifşa etmeyecektir; (b) söz konusu Müşteri Verilerini herhangi bir üçüncü tarafa satmayacaktır; (c) söz konusu Müşteri Verilerini GoDaddy ve Müşteri arasındaki doğrudan iş ilişkisinin dışında elinde tutmayacak, kullanmayacak veya ifşa etmeyecektir.

Herhangi bir kuşkuya mahal vermemek üzere, Müşteri'nin Müşteri Verilerinin işlenmesine ilişkin talimatları, tüm Veri Koruma Yasalarına uygun olacaktır. Müşteri Verilerinin doğruluğundan, kalitesinden ve yasallığından ve Müşterinin Müşteri Verilerini elde etme yollarından yalnızca Müşteri sorumludur. Müşteri, Müşteri Verilerinin bir denetleyicisiyse, Müşteri şunları onaylar ve kabul eder: (i) Kapsanan Hizmetlerde gerçekleşen herhangi bir veri toplama, paylaşma ve kullanımına ilişkin açık bir şekilde ifşa etme ve onay alma için ticari olarak makul çaba göstermelisiniz ve (ii) Kapsanan Hizmetleri kullanmanızın bir sonucu olarak, Son Kullanıcı verilerinin menşe ülkelerinin dışında işlenebileceğini açıkça belirtmelisiniz. Müşteri, Müşteri Verilerinin bir işleyicisiyse, Müşteri, GoDaddy şirketinin başka bir işleyici olarak atanması da dahil olmak üzere Müşterinin Müşteri Verilerine ilişkin talimatlarının ve eylemlerinin ilgili denetleyici tarafından yetkilendirildiğini garanti eder. Bu tür talimatların Veri Koruma Yasalarını ihlal etme ihtimali bulunuyorsa GoDaddy şirketinin, Müşterinin talimatlarına uyması ya da bunları gözetmesi gerekmeyecektir. İşleme süresi, İşlemenin niteliği ve amacı, Kişisel Veri türleri ve bu Ek Sözleşme kapsamında İşlenen Veri Öznesi kategorileri, bu Ek Sözleşme’nin Ek 1'inde ('İşlemenin Ayrıntıları') ayrıca belirtilmiştir.

GoDaddy, yasalar veya yasa uygulayıcı kuruluşun geçerli ve bağlayıcı bir emrine (mahkeme celbi veya mahkeme kararı gibi) uymak için gerekli olduğu koşullar haricinde, Müşteri Verilerini herhangi bir hükümet veya başka bir üçüncü tarafa ifşa etmeyecektir. GoDaddy şirketinin geçerli bir kamusal mahkeme emri alması durumunda ve izin verildiği ölçüde, GoDaddy; Müşteri’nin koruyucu hükme veya diğer bir uygun çıkar yoluna başvurmasına olanak tanımak üzere talebini, e-posta veya fiziksel postayla göndereceği makul bir bildirimle Müşteri’ye iletmek üzere çaba gösterecektir.

4.1 GoDaddy, bu Bölümde ve daha ayrıntılı olarak bu Ek Sözleşmenin eki olan Ek 2, Güvenlik Standartları’nda açıklandığı şekilde GoDaddy Ağı için teknik ve organizasyonel önlemleri uygulamıştır ve sürdürmektedir. Özellikle, GoDaddy şirketi, aşağıdaki konuları ele alan teknik ve organizasyonel önlemleri uygulamıştır ve bunları sürdürmektedir: (i) GoDaddy Ağı’nın güvenliği; (ii) tesislerin fiziksel güvenliği; (iii) çalışanların ve yüklenicinin (i) ve/veya (ii)’ye erişimine ilişkin kontroller; ve (iv) GoDaddy tarafından uygulanan teknik ve organizasyonel önlemlerin etkinliğini test edilmesi, ölçülmesi ve değerlendirilmesine ilişkin süreçler. Burada belirtilen yükümlülüklerimizin hiçbirini yerine getiremememiz durumunda, mümkün olan en kısa sürede yazılı bir bildirim (web sitemiz veya e-posta aracılığıyla) sunacağız.

4.2 GoDaddy Müşterinin Kapsanan Hizmetlerle ilgili olarak kullanmayı seçebileceği bir dizi güvenlik özelliği ve işlevsellik sağlar. Müşteri şunlardan sorumludur: (a) Kapsanan Hizmetlerin uygun şekilde yapılandırılması, (b) Sistemlerin ve hizmetlerin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlamak için Kapsanan Hizmetlerle (güvenlik kontrolleri dahil) bağlantılı olarak mevcut kontrolleri kullanmak, (c) fiziksel veya teknik bir olay olması durumunda Müşteri Verilerinin kullanılabilirlik ve zamanında erişilebilirliğini sağlamak için, Kapsanan Hizmetlerle (güvenlik kontrolleri dahil) bağlantılı olarak mevcut kontrolleri kullanmak (ör. Müşteri Verilerinin rutin yedeklenmesi ve arşivlenmesi), ve (d) Müşterinin Müşteri Verilerini yetkisiz erişime karşı korumak için şifreleme teknolojisinin kullanımını ve Müşteri Verilerine erişim haklarının kontrolüne yönelik tedbirleri içeren Müşteri Verilerinin uygun güvenlik, koruma ve silinmesini sağlamak için yeterli görülen bu adımları atmak.

Kapsanan Hizmetlerin doğasını göz önünde bulunduran GoDaddy, Müşterinin, Kapsanan Hizmetlerde açıklandığı şekilde Müşteri Verilerinin kullanımını ve paylaşılmasını ve paylaşımını almak, düzeltmek, silmek veya kısıtlamak için kullanmayı seçebileceği belirli denetimler sunar. Müşteri, bu kontrolleri veri öznelerinden gelen taleplere cevap vermekle ilgili yükümlülükleri de dahil olmak üzere, Veri Koruma Yasaları kapsamındaki yükümlülükleriyle bağlantılı olarak yardımcı olmak için teknik ve kurumsal önlemler olarak kullanabilir. Ticari olarak makul olduğu ve yasal olarak gerekli veya izin verildiği ölçüde, GoDaddy, geçerli bir Veri Koruma Yasaları kapsamında bu hakların kullanılması için GoDaddy şirketinin bir veri öznesinden doğrudan bir talep alması halinde Müşteriye derhal bildirimde bulunacaktır (“Veri Öznesi Talebi”). Buna ilaveten, Müşterinin Kapsanan Servisleri kullanmasının bir Veri Öznesi Talebini ele alma kabiliyetini sınırladığı hallerde, GoDaddy, yasal olarak izin verilen ve uygun olan ve Müşterinin özel talebi üzerine, talebin ele alınmasında, Müşterinin zararına (varsa) ticari olarak makul yardım sağlayabilir.

6.1 Yetkili Alt İşleyiciler. Müşteri, GoDaddy şirketinin Alt İşleyicileri, Hizmet Şartları ve bu Ek Sözleşmede bulunan sözleşme yükümlülüklerini yerine getirmek veya kendi adına destek hizmetleri sağlamak gibi belirli hizmetleri sağlamak için kullanabileceğini kabul eder. Müşteri, GoDaddy şirketinin bu Bölümde açıklandığı şekilde Alt işleyicileri kullanmasına onay verir.

6.2 Alt İşleyici Yükümlülükleri. Bölüm 6.1de açıklandığı şekilde GoDaddy tarafından yetkili alt işleyicilerin kullanıldığı durumlarda:

(i) GoDaddy alt işleyicinin Müşteri Verilerine erişimini yalnızca Kapsanan Hizmetlerin bakımını yapmak için gerekli olanlara veya Hizmet Koşullarına ilişkin olarak Müşteriye ve Son Kullanıcılara Kapsanan Hizmetlere sağlamak için kısıtlayacaktır. GoDaddy alt işleyicinin, başka bir amaçla Müşteri Verilerine erişmesini yasaklar;

(ii) GoDaddy Alt İşleyici ile yazılı bir anlaşmaya girecek ve Alt İşleyicinin GoDaddy tarafından bu Ek kapsamında sağlanan aynı veri işleme hizmetlerini gerçekleştireceği ölçüde, GoDaddy şirketinin bu Ek kapsamında sahip olduğu sözleşmeden doğan yükümlülükleri GoDaddy alt işleyiciye büyük oranda benzer şekilde uygulayacaktır ve

(iii) GoDaddy, bu Ek Sözleşmenin yükümlülüklerine ve GoDaddy şirketinin GoDaddy için bu Ek Sözleşme kapsamındaki yükümlülüklerinden herhangi birini ihlal etmesine neden olan Alt İşleyicinin herhangi bir eylemi veya ihmalinden sorumludur.

6.3 Yeni Alt İşleyiciler.  Zaman zaman, bu Ek Sözleşme’nin şartlarına tabi olarak yeni Alt İşleyicilerden yararlanabiliriz.  Bu durumda, herhangi bir Müşteri Verisi elde eden yeni bir alt işleyici ile ilgili olarak 30 gün önceden haber vereceğiz (web sitemiz veya e-posta yoluyla). Müşterinin yeni bir Alt İşleyiciyi onaylamaması durumunda Müşteri, 10 gün içinde veya bizden bildirim aldıktan sonra, herhangi bir Kapsanan Hizmeti onaylamama nedenlerinizi açıklayan bir sona erme yazılı bildirimi ileterek herhangi bir ceza olmaksızın feshedebilir. Kapsanan Hizmetler bir paketin veya paket halinde satın alınan bir ürünün parçası ise, fesih tüm pakete uygulanacaktır.

7.1 Güvenlik Olayı. GoDaddy tarafının Güvenlik Olayını fark etmesi durumunda, GoDaddy gecikme olmadan: (a) Müşteriyi Güvenlik Olayı ile ilgili bilgilendirir; ve (b) Güvenlik Olayı’ndan kaynaklanan her türlü zararın etkisini en aza indirmek için makul adımları atar.

7.2 GoDaddy Desteği. Müşteri’nin Veri Koruma Yasaları kapsamında yapmak zorunda olduğu herhangi bir kişisel veri ihlali bildirimi ile ilgili Müşteri’ye yardımcı olmak için GoDaddy, Kapsanan Hizmetlerin niteliğini, GoDaddy şirketine sunulan bilgileri ve bilgilerin açıklanmasıyla ilgili gizlilik gibi herhangi bir kısıtlamayı göz önünde bulundurarak GoDaddy şirketinin Müşteri ile makul bir şekilde paylaşabileceği, Güvenlik Olayı’na ilişkin bilgileri söz konusu bildirime ekleyecektir.

7.3 Başarısız Güvenlik Olayları. Müşteri, başarısız bir Güvenlik Olayının, bu Ek Sözleşmenin şartlarına tabi olmayacağını kabul eder. Başarısız bir Güvenlik Olayı, Müşteri Verilerine veya Müşteri Verilerini depolayan GoDaddy şirketinin Ağına, ekipmanına veya tesislerine herhangi bir yetkisiz erişime yol açmayan Güvenlik Olaylarıdır ve güvenlik duvarları veya kenar sunucularda ping ve diğer yayın saldırılarını, port taramalarını, başarısız oturum açma girişimlerini, hizmet saldırılarının reddini, paket süzme işlemlerini (veya başlıkların ötesine erişmeyecek şekilde trafik verisine farklı yollarla izinsiz erişimi) veya benzer olayları bunlarla sınırlı kalmaksızın içerebilir.

7.4 Bildirim Varsa, Güvenlik Olaylarının Bildirimi, e-posta yoluyla da dahil olmak üzere GoDaddy şirketinin seçtiği herhangi bir yolla bir veya daha fazla Müşteri yöneticisine teslim edilecektir. Müşteri yöneticilerinin, GoDaddy yönetim konsolu hakkında doğru iletişim bilgilerini sürdürmesini ve aktarımın her zaman güvenli bir şekilde gerçekleşmesini sağlamak, sadece Müşterinin sorumluluğundadır.

7.5 Hatanın GoDaddy tarafından Onaylanmaması: GoDaddy'nin bu Bölüm kapsamında bir Güvenlik Olayını bildirme veya buna yanıt verme yükümlülüğü, GoDaddy tarafından Güvenlik Olayıyla ilgili olarak GoDaddy'nin herhangi bir hatası ya da yükümlülüğünün kabul edildiği anlamına gelmez ve gelmeyecektir.

8.1 Bağımsız Belirleme. Müşteri, GoDaddy şirketinin veri güvenliği ve Güvenlik Standartları ile ilgili olarak sunduğu bilgileri gözden geçirmek ve Kapsanan Hizmetlerin Müşterinin gerekliliklerini ve yasal yükümlülüklerini ve ayrıca bu Ek Sözleşmenin altındaki Müşteri yükümlülüklerini yerine getirip getirmediğine ilişkin bağımsız bir belirleme gerçekleştirmek ile sorumludur. Sağlanan bilgiler ile, Müşterinin geçerli Veri Koruma Yasaları kapsamındaki yükümlülüklerine uymasında Müşteriye yardımcı olmak amaçlanmaktadır. Müşteri, GoDaddy tarafından Kapsanan Hizmetler ve uygulanıp sürdürülen Güvenlik Standartlarının kişisel verilere yönelik riske uygun bir güvenlik düzeyi (tekniğin son durumu, uygulama maliyetleri ve kişisel verilerin işlenmesinin niteliği, kapsamı, bağlamı ve amaçları ile bireylere yönelik riskler dikkate alınarak) sağladığını kabul eder.

8.2 Müşteri Denetim Hakları. Müşteri, Hizmet Şartlarında belirtilen adrese makul aralıklarla yazılı olarak belirli bir talepte bulunarak GoDaddy şirketinin Kapsanan Hizmetler için geçerli olan bu Ek Sözleşme’ye uygunluğunu onaylama hakkına sahiptir. GoDaddy, Müşteri tarafından talep edilen ve denetlenen bir denetim veya teftiş ile ilgili talep edilen herhangi bir talimatı takip etmeyi reddederse, Müşteri bu Ek Sözleşme ve Hizmet Şartlarını feshetme hakkına sahiptir.

9.1 ABD Konumundaki İşleme. Hizmet Şartlarında özel olarak belirtilen durumlar dışında, Müşteri Verileri Birleşik Krallık veya AEA dışına aktarılacak ve Amerika Birleşik Devletleri'nde işlenecektir.

9.2 AB Standart Sözleşme Maddelerinin Uygulanması. Modül İki (Denetleyiciden İşleyiciye) AB Standart Sözleşme Maddeleri veya Modül Üç (İşleyiciden İşleyiciye) AB Standart Sözleşme Maddeleri, Avrupa Komisyonu tarafından tanınmayan herhangi bir ülkeye, Müşteri Verileri için yeterli düzeyde koruma sağlayarak, doğrudan ya da ileriye dönük aktarım şeklinde, AEA dışında aktarılan Müşteri Verileri için geçerli olacaktır. İşbu AB Standart Sözleşme Maddeleri, AEA dışına doğrudan veya ileriye dönük aktarım yoluyla aktarılmayan Müşteri Verileri için geçerli olmayacaktır. Yukarıdakilere bakılmaksızın, işbu AB Standart Sözleşme Maddeleri; Hizmet Şartları veya izniniz uyarınca Kapsanan Hizmetlerin ifası için gerekmesi gibi örneklerde AEA dışındaki Kişisel Verilerin yasal olarak aktarılması için tanınan uyum standardına uygun olarak aktarıldığı durumlarda geçerli olmayacaktır.

1. Uygunsa her Modül için:
   1. AB Standart Sözleşme Maddelerinin 7. Maddesinde, isteğe bağlı yerleştirme maddesi uygulanmayacaktır;
   2. AB Standart Sözleşme Maddelerinin 9. Maddesinde, Seçenek 2 geçerli olacak ve alt işleyici değişikliklerinin önceden yazılı olarak bildirilmesi için verilen süre, bu Ek Sözleşme'nin Bölüm 6.3'ünde (Yeni Alt İşleyiciler) belirtildiği gibi olacaktır;
   3. AB Standart Sözleşme Maddelerinin 11. Maddesinde isteğe bağlı dil geçerli olmayacaktır;
   4. Madde 17'de (Seçenek 1), AB Standart Sözleşme Maddeleri, Alman yasalarına tabi olacaktır;
   5. AB Standart Sözleşme Maddelerinin 18(b) Maddesi uyarınca, anlaşmazlıklar Federal Almanya Cumhuriyeti mahkemelerinde çözülecektir;
   6. AB Standart Sözleşme Maddeleri Ek I, Kısım A'da:
      • Taraflar Listesi
        
        Verileri Veren Taraflar: Verileri veren taraf, Ek Sözleşme'de Müşteri olarak tanımlanan tüzel kişidir.
        İmza ve tarih: Verileri Veren Taraf'ın Verileri Alan Taraf'ın Hizmet Şartlarını elektronik olarak kabul ettiği tarih itibariyle, Verileri Veren Taraf bu AB Standart Sözleşme Maddelerini imzalamış sayılır.
        Rol: Denetleyici (İkinci Modülün altında) veya İşleyici (Üçüncü Modülün altında)
        
        Verileri alan taraflar: GoDaddy.com, LLC
        İletişim bilgileri: Veri Koruma Görevlisi Ofisi: privacy@godaddy.com
        İmza ve tarih: Verileri Veren Taraf'ın Verileri Alan Taraf'ın Hizmet Şartlarını elektronik olarak kabul ettiği tarih itibariyle, Verileri Veren Taraf bu AB Standart Sözleşme Maddelerini imzalamış sayılır.
        Rol: AB Standart Sözleşme Maddeleri Ek I, Kısım B'deki İşleyici
   7. :
      • Aktarım İfadesinin Tanımı
        
        Kişisel verileri aktarılan ilgili öznelerin kategorileri Ek Sözleşme'nin Ek 1'inde açıklanmıştır.
        Aktarılan kişisel verilerin kategorileri Ek Sözleşme’nin Ek 1'inde açıklanmıştır. Aktarılan hassas veriler bu Ek Sözleşme'nin Ek 1'inde açıklanmıştır.
        Aktarımın sıklığı, Hizmet Koşullarının süresi boyunca sürekli bir temelde olacaktır.
        İşlemenin doğası, Ek Sözleşme’de Bölüm 2.2 ve Ek 1'de açıklanmıştır.
        Veri aktarımının ve sonraki işlemlerin amaçları, bu Ek Sözleşme'nin Bölüm 2.2 ve Ek 1'inde açıklanmıştır.
        Kişisel verilerin saklanacağı süre, bu Ek Sözleşme'nin Ek 1'inde açıklanmıştır.
        (Alt) işleyicilere yapılan aktarımlar için, işlemenin konusu, niteliği ve süresi, Standart Sözleşme Maddelerinin Ek III kısmında belirtilmiştir.
   8. AB Standart Sözleşme Maddeleri Ek I, Kısım C'de:
      • Yetkili Denetim Makamı
        Kuzey Ren-Vestfalya Eyaleti Veri Koruma ve Bilgi Özgürlüğü Komisyonu ('LDI NRW') yetkili denetim makamıdır.
   9. AB Standart Sözleşme Maddeleri Ek II'de:
      
      Veri Alan Kişi tarafından uygulanan teknik ve kurumsal güvenlik önlemleri, Ek Sözleşme'nin Ek 2'sinde belirtildiği gibidir.
   10. AB Standart Sözleşme Maddelerinin Ek III'ünde:
       
       Alt işleyicilerin listesi bu Ek Sözleşme'nin Ek 3'ünde yer almaktadır.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Birleşik Krallık'tan Birleşik Krallık Uluslararası Veri Aktarımı Eki'ne tabi olan veri aktarımları için, Birleşik Krallık Uluslararası Veri Aktarımı Eki, eklenmiş (ve bu referansla bu Ek Sözleşme'ye dahil edilmiş) ve aşağıdaki şekilde tamamlanmış kabul edilecektir:
   1. Birleşik Krallık Uluslararası Veri Aktarımı Eki Tablo 1'de, tarafların ayrıntıları ve önemli iletişim bilgileri bu Ek Sözleşme'nin Bölüm 9.2 (i)(f)'sinde yer almaktadır.
   2. Birleşik Krallık Uluslararası Veri Aktarımı Eki'nin Tablo 2'sinde, bu Birleşik Krallık Uluslararası Veri Aktarımı Eki'nin eklendiği AB Standart Sözleşme Maddeleri, modüller ve seçili maddeler hakkındaki bilgiler, bu Ek'in Bölüm 9.2'sinde (AB Standart Sözleşme Maddeleri) yer almaktadır.
   3. Birleşik Krallık Uluslararası Veri Aktarımı Eki Tablo 3'te:
      1. Taraflar listesi, bu Ek Sözleşme'nin 9.2 (i)(f) Bölümünde yer almaktadır.
      2. Aktarım ifadesinin açıklaması, bu Ek Sözleşme'nin Ek 1'deki (İşleme Ayrıntıları) Bölüm 1'de (İşlemenin Niteliği ve Amacı) belirtilmiştir.
      3. Ek II, bu Ek Sözleşmenin Ek 2'sinde (Güvenlik Standartları) yer almaktadır.
      4. Alt işleyicilerin listesi bu Ek Sözleşme'nin Ek 3'ünde yer almaktadır.
   4. Birleşik Krallık Uluslararası Veri Aktarımı Eki Tablo 4'te, hem Verileri Alan hem de Verileri Veren Özneler, Birleşik Krallık Uluslararası Veri Aktarımı Eki şartlarına uygun olarak Birleşik Krallık Uluslararası Veri Aktarımı Eki'ni sonlandırabilir.

Bu Ek, Hizmet Şartlarımız uyarınca işlemimizin sona ermesine kadar yürürlükte kalacaktır (“Fesih Tarihi”).   

Kapsanan Hizmetlerde açıklandığı gibi, Müşteriye, Müşteri Verilerini almak veya silmek için kullanabilecek kontroller sağlanabilir. Müşteri Verilerinin silinmesi, belirli Kapsanan Hizmetlerin koşullarına tabi olarak, Fesih Tarihinden otuz (30) gün sonra gerçekleştirilecektir. Müşteri, Fesih Tarihinden sonra saklamak istediğiniz Müşteri Verilerini Fesih Tarihinden önce dışa aktarmanın Müşterinin sorumluluğunda olduğunu kabul eder.

Her bir tarafın bu Ek Sözleşme kapsamındaki yükümlülüğü, Hizmet Şartlarında belirtilen yükümlülüklerin istisnalarına ve sınırlamalarına tabi olacaktır. Müşteri, Müşterinin bu Ek Sözleşme kapsamında yer alan yükümlülüklerini yerine getirmemesi nedeniyle veya GoDaddy şirketinin Müşteri Verileri ile ilgili olarak düzenlediği yasal cezaların; ve yürürlükteki herhangi bir Veri Koruma Yasası, GoDaddy şirketinin Hizmet Şartları kapsamındaki yükümlülüğüne, Müşterinin Hizmet Şartları’nın sorumluluğunda olduğu gibi düşecek ve azaltacaktır.

Bu Ek Sözleşme, Müşteri ile GoDaddy arasında bu Ek Sözleşme’nin konusuyla ilgili olarak yazılı veya sözlü tüm önceki veya eşzamanlı beyanların, mutabakatların, anlaşmaların veya iletişimlerin ve bunlarla ilgili olarak Müşteri ile GoDaddy arasında girilen kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı hakkında herhangi bir veri işleme eki de dahil olmak üzere bunların tamamının yerine geçer.  AB Standart Sözleşme Maddeleri veya Birleşik Krallık Uluslararası Veri Aktarımı Eki ile bu Ek ya da Hizmet Şartlarındaki diğer şartlar arasında herhangi bir çelişki ya da tutarsızlık olması durumunda, uygun şekilde, AB Standart Sözleşme Maddeleri veya Birleşik Krallık Uluslararası Veri Aktarımı Eki geçerli olacaktır. Bu Ek Sözleşme tarafından değiştirilenler hariç, Hizmet Şartları tam olarak yürürlükte kalacaktır.  Hizmet Şartları ile bu Ek Sözleşme arasında bir çelişki varsa, bu Ek Sözleşme’nin şartları geçerli olacaktır.

 İŞLEMENİN AYRINTILARI

 1. İşlemenin Niteliği ve Amacı. GoDaddy, Müşteri Verilerini, Hizmet Şartları uyarınca Kapsanan Hizmetleri gerçekleştirmek için gerektiği şekilde ve Kapsanan Hizmetlerin kullanımı boyunca Müşteri tarafından ayrıca talimat verildiği şekilde İşleyecektir.

 2. İşlemenin Süresi. Bu Ek Sözleşme’nin 10. ve 11. Bölümlerine tabi olarak, GoDaddy Hizmet Şartlarının yürürlük tarihi boyunca Müşteri Verilerini İşleyecektir. Yukarıda belirtilenlere bakılmaksızın, GoDaddy Müşteri Verilerini veya bunların herhangi bir bölümünü, yürürlükteki Veri Koruma Yasaları da dahil olmak üzere yürürlükteki yasalar veya düzenlemelerin gerektirmesi durumunda, söz konusu Müşteri Verilerinin bu Ek Sözleşme ve geçerli Veri Koruma Yasaları uyarınca korunması şartıyla elinde tutabilir.

3. Veri Öznesi Kategorileri. Müşteri, kendi takdirine bağlı olarak, Müşteri tarafından belirlenen ve kontrol edilen ve kapsamı dahilinde ve aşağıdaki Kişisel Veriler kategorilerini içerebilen ancak bunlarla sınırlı olmayan Kapsanan Hizmetlerin kullanımı sırasında Veri Özneleri ile ilişkili Kişisel Verileri yükleyebilir:

• Müşteri adayları, müşteriler, iş ortakları ve satıcılar (gerçek kişilerdir)
• Çalışanlar veya Müşterinin potansiyel müşterileri, müşterileri, iş ortakları ve satıcıları ile irtibat kurulacak kişiler
• Çalışanlar, acenteler, danışmanlar, Müşterinin serbest çalışanları (gerçek kişiler)
• Müşterinin Kullanıcı tarafından Kapsanan Hizmetleri kullanmak için yetkilendirilmiş kullanıcıları

4. Kişisel Veri Kategorileri. Müşteri, kendi takdirine bağlı olarak, Müşteri tarafından belirlenen ve kontrol edilen ve kapsamı dahilinde ve aşağıdaki Kişisel Veriler kategorilerini içerebilen ancak bunlarla sınırlı olmayan Kapsanan Hizmetlerin kullanımı sırasında Sahiplerinin Kişisel Verileri yükleyebilir: 

• Ad
• Adres
• Telefon numarası
• Doğum tarihi
• E-posta adresi
• Veri sahiplerini doğrudan veya dolaylı olarak tanımlayabilecek toplanan diğer veriler.

5. Hassas Veriler veya Özel Veri Kategorileri. Müşteri, Kapsanan Hizmetlerin kullanımı sırasında, türü ve kapsamı Müşteri tarafından tamamen kendi takdirine bağlı olarak belirlenen ve kontrol edilen Hassas Verileri yükleyebilir. Müşteri, Kapsanan Hizmetler aracılığıyla herhangi bir Hassas Veriyi iletmeden veya işlemeden önce verilerin yapısını ve içerdiği riskleri tamamen dikkate alan kısıtlamalar veya önlemler uygulamakla sorumludur.

Güvenlik Standartları

I.  Teknik ve Organizasyonel Önlemler  

Müşterilerimizin bilgilerini korumaya kendimizi adamış durumdayız.  En iyi uygulamaları, uygulama maliyetleri ve işlemenin niteliği, kapsamı, koşulları ve amaçlarının yanı sıra gerçek kişilerin hak ve özgürlüklerine ilişkin riskin ortaya çıkma ve ciddiyet olasılığının farklı olmasını göz önünde bulundurarak, aşağıdaki teknik ve organizasyonel önlemleri alıyoruz.  Önlemler seçilirken sistemlerin gizlilik, bütünlük, kullanılabilirlik ve esnekliği de göz önünde bulundurulmaktadır.

II.  Veri Gizliliği Programı  

Veri Gizliliği Programımız, global veri yönetim yapısını korumak ve yaşam döngüsü boyunca bilgi güvenliğini sağlamak için kurulmuştur. Bu program, gizlilik uygulamaları ve güvenlik önlemlerinin uygulanmasını denetleyen veri koruma görevlisinin ofisi tarafından yürütülmektedir. Düzenli olarak, Veri Gizliliği Programı ve Güvenlik Standartlarının etkinliğini test ediyoruz.

1. Gizlilik. “Gizlilik, kişisel verilerin yetkisiz ifşaya karşı korunması anlamına gelir.”  

Müşterilerinin kişisel bilgilerinin gizliliğini korumak için çeşitli fiziksel ve makul önlemler kullanıyoruz. Bu önlemler şunları içerir:   

  Fiziksel Güvenlik  

• Fiziksel erişim denetimleri uygulanır (İşaret erişim kontrolü, Güvenlik olayı izleme vb.) 
• Alarmlar dahil olmak üzere gözetim sistemleri ve uygun olarak kapalı devre TV izleme  
• Temiz masa politikaları ve denetimlerinin uygulanması (gözetimsiz bilgisayarların kilitlenmesi, kilitli dolaplar vb.)  
•  Ziyaretçi Erişim Yönetimi 
• Fiziksel ortam ve belgelerdeki verilerin imha edilmesi (kağıt parçalama, manyetizmayı nötrleştirme vb.)

  Erişim Denetimi ve Yetkisiz Erişimi Önleme 

• Uygulanan kullanıcı erişim kısıtlamaları ve görev ilkelerinin ayrıştırılmasına dayalı olarak sağlanan/gözden geçirilen rol tabanlı erişim izinleri  
• Güçlük kimlik denetimi ve yetkilendirme yöntemleri (Çoklu faktörlü kimlik denetimi, yetkilendirme tabanlı sertifikasyon, otomatik devre dışı bırakma/oturum kapatma vb.) 
• Merkezileştirilmiş şifre yönetimi ve güçlü/karmaşık şifre politikaları (minimum uzunluk, karakterlerin karmaşıklığı, şifrelerin sona ermesi vb.)   
• E-postalara ve internete kontrollü erişim 
• Anti virüs yönetimi  
• Yetkisiz Erişim Önleme Sistemi yönetimi

Şifreleme   

• Güçlü kriptografik protokollerle dış ve iç iletişimin şifrelenmesi  
• Kişisel veri ve hassas verileri şifreleme (veri tabanları, paylaşılan dizinler vb.)   
• Şirket PC’leri ve dizüstü bilgisayarları için tam disk şifreleme   
• Depolama ortamının şifrelenmesi  
• Şirket ağlarına uzaktan bağlantılar VPN ile şifrelenir  
• Şifreleme anahtarlarının kullanım döngüsünü güvence altına alma

 Veri Minimizasyonu    

• PII/SPI uygulama, hata ayıklama ve güvenlik kayıtlarında minimizasyonu  
• Bir bireyin doğrudan tanımlanmasını önlemek için kişisel verilerin taklit edilmesi 
• Kayıtlı verilerin işleve göre ayrılması (test, safhalandırma, canlı) 
• Erişim haklarına göre role dayalı olarak verilerin mantıksal ayrılması 
• Kişisel veriler için tanımlanmış veri saklama dönemleri

Güvenlik Testi     

• Kritik şirket ağları ve kişisel verileri barındıran platformlar için Sızma Testi 
• Düzenli ağ ve güvenlik açığı taramaları

2. Bütünlük. “Bütünlük, verilerin doğruluğunu (sağlamlığını) ve sistemlerin doğru çalışmasını sağlamayı ifade eder. ‘Veri’ terimi ile bağlantılı olarak bütünlük terimi kullanıldığında, verilerin eksiksiz ve değişmemiş olduğunu ifade eder.”  

Kişisel verilerin bütünlüğünü koruyabilmesi için erişim kontrollerine ek olarak uygun değişiklik ve günlük yönetim kontrolleri de mevcuttur, örneğin:    

Değişim ve Feragat Yönetimi    

• Etki analizi, onaylar, testler, güvenlik incelemeleri, evreleme, izleme vb. dahil olmak üzere değişim ve feragat yönetimi süreci  
• Üretim ortamlarında Rol ve İşlev tabanlı (Görevlerin Ayrımı) erişim sağlanması

Günlük Oluşturma ve İzleme

• Erişim ve veri değişiklikleri günlüğü oluşturma  
• Merkezileştirilmiş denetim ve güvenlik günlükleri   
• Veri aktarımının eksiksizliği ve doğruluğunun izlenmesi (uçtan uca kontrol)

3. Kullanılabilirlik. “Hizmetlerin ve BT sistemlerinin, BT uygulamalarının ve BT ağ işlevlerinin veya bilgilerinin kullanılabilirliği, kullanıcı bunları her zaman ve amaçlandığı şekilde kullanabiliyorsa garanti edilir.”    

Hizmetlerin ve bu hizmetlerin içinde yer alan verilerin kullanılabilirliğini sürdürmek için uygun süreklilik ve güvenlik önlemleri uygulamaktayız:    

• Kritik hizmetler için uygulanan düzenli hata testleri  
• Önemli sistemler için kapsamlı performans/kullanılabilirlik izleme ve raporlama  
• Güvenlik Olayı Müdahalesi  
• Çoğaltılan veya yedeklenen kritik öneme sahip veriler (Bulut Yedeklemeleri/Sabit Sürücüler/Veritabanı kopyalama vb.) 
• Planlı yazılım, altyapı ve güvenlik bakımı uygulanır (Güvenlik güncellemeleri, güvenlik yamaları vb.)   
• Yerinde ve/veya coğrafi olarak ayrılmış konumlarda bulunan yedekli ve esnek sistemler (sunucu kümeleri, yansıtılmış veri tabanları, yüksek kullanılabilirlik ayarları vb.)    
• Kesintisiz güç kaynakları kullanımı, fazla yedekli donanım ve ağ sistemleri  
• Alarm ve güvenlik sistemleri kullanılır  
• Kritik alanlar için fiziksel Koruma önlemleri uygulanır (akım koruması, yüksek zeminler, soğutma sistemleri, yangın ve/veya duman dedektörleri, yangın söndürme sistemleri vb.) 
• Kullanılabilirliği sürdürmek için DDOS koruması   
• Yük ve Stres Testleri

4. Veri İşleme Talimatları. “Veri İşleme Talimatları kişisel verilerin yalnızca veri denetleyicisinin yönergelerine ve ilgili şirket önlemlerine uygun olarak işleneceğini garanti eder”  

Şirket içi gizlilik politikaları, sözleşmeler oluşturduk ve çalışanların kişisel tercihlerinin müşterinin tercihleri ve talimatları doğrultusunda işlenmesini sağlamaya yönelik düzenli gizlilik eğitimleri düzenliyoruz.   

• İş sözleşmeleri dahilinde yürürlükte olan mahremiyet ve gizlilik şartları 
• Çalışanlar için düzenli veri gizliliği ve güvenliği eğitimleri 
• Talimatlar ile ilgili denetim haklarını korumak için alt yüklenicilerle yapılan anlaşmalara uygun sözleşme hükümleri 
• Harici hizmet sağlayıcıları için düzenli gizlilik denetimleri 
• Müşterilere verilerinin işlenmesi tercihleri ile ilgili tam kontrol sağlama 
• Düzenli güvenlik denetimleri