Bu Veri İşleme Ek Maddesi (“Ek Sözleşme”) siz (“Müşteri”) ve Evrensel Hizmet Koşullarına ve siz ile GoDaddy arasındaki diğer her türlü sözleşmeye (toplu olarak “Sözleşme”) taraf olan GoDaddy kuruluşu arasında ve tarafından yürütülür. GoDaddy ve Müşteri bu belgede ayrı ayrı bir “Taraf” ve toplu olarak “Taraflar” olarak anılmıştır. Bu DPA, Sözleşmenin Yürürlük Tarihi (“Yürürlük Tarihi”) itibariyle yürürlüğe girer ve Sözleşme kapsamında gerçekleşecek tüm Müşteri Kişisel Verisi İşlenmelerini kapsar.
1. Tanımlar. Geçerli Veri Koruma Yasalarında aksi tanımlanmadıkça (aşağıda tanımlandığı üzere), bu Bölümde sıralanan ilk harfi büyük harfle yazılmış terimler aşağıdaki anlamlara sahip olacaktır:
1.1 “Ortak” bir Tarafı kontrol eden veya onunla birlikte ortak kontrol altında olan bir kuruluşu ifade eder. “Kontrol”, bir kuruluşun oy haklarının yüzde elli (%50) veya daha fazlasının doğrudan veya dolaylı mülkiyeti veya kontrolünü ifade eder.
1.2. “Veri Sorumlusu” Sözleşme kapsamında Müşteri Kişisel Verilerinin işlenme amaçlarını ve yollarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, devlet makamı, kurum veya diğer organı ifade eder.
1.3 “Müşteri Kişisel Verileri” Müşterinin Hizmetleri kullanımıyla bağlantılı olarak GoDaddy tarafından Müşteri adına işlenen her türlü Kişisel Veriyi (aşağıda tanımlanan şekilde) ifade eder. Müşteri Kişisel Verileri GoDaddy şirketinin Verilerini içermez.
1.4 “Veri Koruma Yasası” Müşteri Kişisel Verilerinin Sözleşme kapsamında işlenmesinde geçerli olan herhangi yasa veya düzenlemeyi ifade eder.
1.5 “Veri Sahibi”, belirli Kişisel Verilerin ilgili olduğu, kimliği belirli veya belirlenebilir gerçek kişiyi ifade eder.
1.6 “Kimliksizleştirilmiş Veri”, belirli bir Veri Sahibini makul bir şekilde tanımlayamayan, açıklayamayan, onunla ilgili olmayan, ilişkilendirilemeyen veya doğrudan veya dolaylı olarak bağlantısı kurulamayan verileri ifade eder.
1.7 “GoDaddy Verileri”, (a) Müşteri ve Çalışanları veya temsilcilerine ilişkin Kişisel Veriler de dahil, ancak bunlarla sınırlı olmamak üzere, GoDaddy şirketinin faaliyeti ve Hizmetleri sağlamasıyla ilgili tüm bilgileri, (b) Müşterinin hesabı, işlem geçmişi, Hizmet kullanımı ve kimlik doğrulamasına ilişkin veya bunlarla ilgili diğer verileri ve (c) yürürlükteki Veri Koruma Yasaları kapsamındaki diğer tüm sınırlamalara tabi olarak, Kimliksizleştirilmiş Verileri ifade eder.
1.8 “Kişisel Veriler”, geçerli Veri Koruma Yasalarında Kişisel Veri, Kişisel Bilgi veya Kişisel Olarak Tanımlanabilir Bilgi (“PII”) olarak tanımlanan her türlü bilgi dahil olmak üzere, kimliği belirlenmiş veya belirlenebilir bir gerçek kişiyle ilgili bilgileri ifade eder. Kişisel Veriler Kimliksizleştirilmiş Verileri içermez.
1.10 “İşleyici”, Müşteri Kişisel Verilerini Sözleşme kapsamında bir Sorumlu adına işleyen bir gerçek veya tüzel kişiyi, devlet makamını, temsilciyi ve kuruluşu ifade eder.
1.9 “İşleme”, elle veya otomatik yollarla olsun veya olmasın, toplama, kullanım, depolama, açıklama, analiz, silme veya değiştirme gibi, Müşteri Kişisel Verileri üzerinde gerçekleştirilen herhangi bir işlemi ifade eder.
1.11 “Hassas Kişisel Veriler” (a) sosyal güvenlik numarası, pasaport numarası, sürücü belgesi numarası veya benzer tanımlayıcı; (b) kredi veya banka kartı numarası, finansal bilgiler, banka hesap numaraları veya hesap şifreleri; (c) istihdam, mali, genetik, biyometrik veya sağlık bilgileri; (d) ırksal, etnik, siyasi veya dini mensubiyet, sendika üyeliği veya cinsel yaşam veya cinsel yönelim hakkında bilgiler; (e) hesap şifreleri, anne kızlık soyadı, doğum tarihi ve bir kullanıcının kimliğini doğrulamak için kullanılan diğer benzeri bilgiler; (f) suç geçmişi; (g) belirli bir kişinin kimliğini belirlemek için kullanılan biyometrik veriler (örneğin parmak izleri) veya (h) herhangi bir geçerli Veri Koruma yasası kapsamında “özel veri kategorileri” tanımına giren diğer bilgiler veya bilgi kombinasyonlarını ifade eder.
1.12 “Hizmetler”, GoDaddy şirketinin Sözleşme uyarınca sağlamayı kabul ettiği ve Müşteri Kişisel Verilerinin işlenmesini içeren ürün veya hizmetleri ifade eder.
1.13 “Alt işleyici”, GoDaddy şirketinin Müşteri Kişisel Verilerini işlemek üzere sözleşme yaptığı herhangi bir gerçek veya tüzel kişi, devlet makamı, kurum veya kuruluşu ifade eder.
1.14 “Aktarım”, (a) Müşteri Kişisel Verilerinin Veri Sorumlusundan İşleyiciye fiziksel aktarım veya Veri Sorumlusu tarafından tutulan veya başka bir şekilde kontrol edilen Müşteri Kişisel Verilerine erişim sağlamak suretiyle aktarımı veya (b) Müşteri Kişisel Verilerinin bir İşleyiciden bir Alt İşleyiciye ileri aktarımını (ve bir Alt İşleyiciden başka bir Alt İşleyiciye yapılacak olan daha sonraki ileri aktarımlar) ifade eder.
2. Veri İşleme Kapsamı ve Taraflar Arası İlişki
2.1 Veri Sorumlusu veya İşleyicisi olarak Müşteri
2.1.1 Müşterinin Veri Sorumlusu olması halinde, Müşteri (a) Müşteri Kişisel Verilerinin işlenme amaçlarını ve yöntemlerini belirlemekten tek başına sorumludur, (b) Müşteri Kişisel Verilerinin GoDaddy şirketine sağlanması için gerekli tüm yetkilere, dayanaklara, haklara ve izinlere sahiptir ve (c) geçerli Veri Koruma Yasaları kapsamında Veri Sorumlusu yükümlülüklerine uyacaktır.
2.1.2 Müşterinin İşleyici olması halinde, Müşteri (a) Müşterinin Müşteri Kişisel Verilerini adına işlediği veri Sorumlusu ile arasındaki sözleşme(ler)e uymaktan tek başına sorumludur; (b) Müşteri Kişisel Verilerinin GoDaddy şirketine sağlanması için gerekli tüm izinlere sahiptir ve (c) geçerli Veri Koruma Yasaları kapsamında İşleyici yükümlülüklerine uyacaktır.
2.2 GoDaddy İşleyici veya Alt İşleyici olarak.
2.2.1 GoDaddy, Müşterinin Veri Koruma Yasaları kapsamındaki Veri Sorumlusu ve/veya İşleyici yükümlülüklerine uymasını sağlamak için makul olarak gerekli tüm adımları, GoDaddy şirketinin sağladığı Hizmetlerin yapısı, niteliği, kapsamı ve amacıyla tutarlı bir şekilde atacaktır. Şüpheye mahal vermemek adına, GoDaddy şirketinin, GoDaddy Hizmetlerini Müşterinin özel kullanımıyla uyumlu hale getirmek veya değiştirmek için herhangi bir adım atması gerekmemektedir. Hizmetlerin Müşterinin özel kullanımıyla uyumlu olmadığının belirlenmesi durumunda Müşterinin başvurabileceği tek çözüm yolu, Sözleşmenin Müşteri Kişisel Verilerinin işlenmesiyle ilgili herhangi bir kısmının feshedilmesidir.
2.2.2 GoDaddy Müşteri Kişisel Verilerini yalnızca, Sözleşmede ve bu DPA’da açıklanan sınırlı ve özel amaçlar için veya yasaların gerektirdiği şekilde belgelendirilen talimatlar doğrultusunda işleyecektir.
2.2.3 GoDaddy Müşteri Kişisel Verilerini, Hizmetleri sağlamak dışında bir ticari amaç için satmayacak, saklamayacak, kullanmayacak veya açıklamayacaktır.
2.2.4 GoDaddy Müşteri Kişisel Verilerini, Tarafların Sözleşmede ve bu DPA’da açıklanan doğrudan iş ilişkisi dışında İşlemeyecektir.
2.2.5 GoDaddy Müşteri Kişisel Verilerini, Sözleşme kapsamında açıkça izin verilen durumlar dışında, GoDaddy şirketinin (doğrudan veya herhangi bir üçüncü taraf üzerinden) topladığı diğer verilerle birleştirmeyecektir.
2.2.6 GoDaddy, GoDaddy şirketinin: (a) bir Müşteri talimatının herhangi bir geçerli Veri İşleme Yasasını ihlal ettiğini düşünmesi (b) GoDaddy şirketinin herhangi bir geçerli Veri İşleme Yasasına veya bu DPA kapsamındaki yükümlülüklerine uyamadığını tespit etmesi halinde tüm İşlemeyi derhal durduracak ve Müşteriyi üç (3) iş günü içinde bilgilendirecektir.
2.3 Ortaklar.
2.3.1 Müşteri Ortakları. Bu DPA kapsamında, GoDaddy veya GoDaddy şirketinin Ortaklarına bir Müşteri Ortağı tarafından, Müşterinin ve/veya Müşteri Ortağının adına işlenmesi için sağlanan tüm Kişisel Verilerin, Müşteri Kişisel Verileri olarak ve Müşteri tarafından sağlandığı kabul edilecektir. Müşteri, Ortaklarının bu DPA açısından tüm Müşteri yükümlülüklerine uymasını sağlamak için makul olarak gerekli tüm önlemleri alacağını beyan eder. Ortaklarının bu DPA’nın tüm hükümlerine uyumluluğunu sağlamaktan Müşteri sorumludur.
2.3.2 GoDaddy Ortaklar. Bu DPA kapsamında, GoDaddy şirketinin Ortakları tarafından alınan tüm Müşteri Kişisel Verilerinin GoDaddy tarafından alındığı kabul edilecektir. GoDaddy, Ortaklarının bu DPA kapsamında Müşteri Kişisel Verilerinin işlenmesiyle ilgili olarak GoDaddy şirketinin yükümlülüklerine uygunluğunu sağlamak için makul olarak gerekli tüm önlemleri alacağını beyan eder. GoDaddy şirketinin Ortaklarının bu DPA’nın tüm hükümlerine uyumluluğunu sağlamaktan GoDaddy sorumludur.
3. Alt İşleme
3.1 Müşteri GoDaddy şirketine alt işleyiciler çalıştırmaya yönelik genel yetki sağlar.
3.3 GoDaddy, Müşteri Kişisel Verilerini bir Alt İşleyiciye aktarmadan önce şunları gerçekleştirecektir: (a) Alt İşleyiciyle Müşteri Kişisel Verileri için en az bu DPA kadar koruma sağlayan yazılı bir sözleşme imzalamak; (b) bu DPA’nın 5, 6 ve 8. Bölümlerinde ve 2. Tablosunda yer verilen bilgi güvenliği gereksinimleri de dahil olmak üzere, Alt İşleyicinin bu DPA’nın ve Veri Koruma Yasalarının Müşteri Verilerinin GoDaddy tarafından işlenmesiyle ilgili önemli hükümlerine uyum gösterdiğini teyit etmek için durum tespit çalışması yapmak.
3.4 GoDaddy Alt İşleyicilerinin alt işleyicileri tarafından gerçekleştirilen eylemler veya ihmaller de dahil olmak üzere, Alt İşleyicilerinin eylemlerinden ve ihmallerinden sorumludur.
3.5 Yeni İşleyiciler; İtiraz Hakkı.
3.5.1 GoDaddy şirketinin yeni bir Alt İşleyici atamak istemesi halinde GoDaddy, Müşteriye en az altmış (60) gün önceden yazılı bildirim yapmak için makul çabayı gösterecektir. Bununla birlikte, Müşteri Kişisel Verilerinin güvenliğini sürdürmek veya yürürlükteki yasalara uyum sağlamak için atamanın derhal yapılması gerekiyorsa söz konusu altmış (60) gün öncesinden bildirim zorunlu olmayacak ve GoDaddy yeni Alt İşleyici atandıktan sonra Müşteriyi gereksiz bir gecikme olmaksızın bilgilendirecektir.
3.5.2 Müşterinin yeni bir Alt İşleyiciye makul olarak itiraz etmesi halinde, Müşteri GoDaddy şirketini, Alt İşleyicinin atanmasından sonra otuz (30) gün içinde yazılı olarak bilgilendirmelidir. GoDaddy, tamamen GoDaddy şirketinin takdirine bağlı olarak, Müşterinin itirazını ele almaya yönelik ticari anlamda makul çabaları gösterebilir. Tarafların Müşterinin itirazını otuz (30) gün içinde çözememesi durumunda, Müşteri bu DPA’yı ve Sözleşmenin Müşteri Kişisel Verilerinin işlenmesiyle ilgili herhangi bir bölümünü feshedebilir.
3.5.3 Müşteri, yeni bir Alt İşleyicinin atanmasına ilişkin bildirimden sonraki otuz (30) gün içinde Alt İşleyiciye itiraz etmezse, Müşterinin yeni Alt İşleyiciyi kabul ettiği değerlendirilecektir.
3.5.4 Yeni Alt İşleyiciye ilişkin bildirim, 3.2. Bölümde açıklanan Alt İşleyici listesi güncellenerek sunulabilir.
4. Yasal Süreç ve Müşteri Kişisel Verilerine ilişkin Diğer Üçüncü Taraf Talepleri
4.1 GoDaddy; söz konusu açıklamanın GoDaddy tarafından kendi makul takdirine bağlı olarak (a) yasalar uyarınca zorunlu olduğu, (b) GoDaddy şirketinin sistemlerini veya verilerini zarardan veya kötüye kullanımdan korumak için gerekli olduğu veya (c) GoDaddy şirketini veya diğer herhangi bir kişinin hasar veya fiziksel zarardan korumak için gerekli olduğu tespit edilmediği takdirde, mahkeme celbi, arama emri, mahkeme emri veya diğer benzer yasal süreçlere (topluca, “Yasal Süreç”) yanıt vermek hariç olmak üzere, hiçbir devlet kurumunun, emniyet teşkilatının veya diğer kişilerin Müşteri Kişisel Verileri ile ilgili resmi olmayan taleplerine yanıt vermeyecektir.
4.2 Yasalarla yasaklanmadığı takdirde, GoDaddy, GoDaddy şirketinin Müşteri Kişisel Verilerine erişim sağlamasını veya bunları açıklamasını zorunlu kılan bir Yasal Süreç alması halinde Müşteriyi derhal bilgilendirecektir.
4.3 Yasalarda aksi öngörülmediği takdirde, GoDaddy, Yasal Sürece yanıt olarak Müşteri Kişisel Verilerinin açıklanmasını önlemek için Müşteri tarafından sarf edilen tüm çabalarda Müşteriyle işbirliği yapacaktır (makul masrafları müşteriye ait olmak üzere).
5. Veri Güvenliği
5.1 GoDaddy, geçerli Veri Koruma Yasalarının öngördüğü tüm spesifik önlemler de dahil olmak üzere, Müşteri Kişisel Verilerinin Sözleşme kapsamında İşlenmesine ilişkin riske uygun bir güvenlik seviyesi sağlamaya yönelik uygun ve belgeli teknik ve organizasyonel önlemleri de içeren bir bilgi güvenliği programı sürdürmektedir.
5.2 Müşteri, GoDaddy şirketinin, Müşterinin Müşteri Kişisel Verilerini korumak için kullanabileceği güvenlik özelliklerini ve işlevleri sağladığını açıkça kabul eder. GoDaddy tarafından sağlanan güvenlik özellikleri ve işlevlerin kullanımı da dahil olmak üzere, Müşterinin kontrolündeki Müşteri Kişisel Verilerinin ve Müşteri hesabının güvenliğini korumaya yönelik, uygun risk bazlı adımları atmaktan yalnızca Müşteri sorumludur. Müşterinin Hizmetlere yerleştirdiği veya yerleştirilmesine neden olduğu içeriğin, Müşteri Kişisel Verilerinde ve GoDaddy şirketinin sistemlerinde güvenlik ihlallerine neden olabilecek, bunlarla sınırlı olmamak üzere kötü amaçlı yazılımlar da dahil güvenlik açıklarını barındırmamasını sağlamak da yalnızca Müşterinin sorumluluğundadır. GoDaddy Müşteri Kişisel Verilerini yedeklemekten sorumlu değildir.
5.3 Müşterinin tüm Ödeme Kartı Sektörü Veri Güvenliği Standardı Gereksinimlerine (“PCI-DSS”) uyması gerekmektedir ve GoDaddy şirketine yalnızca, özellikle söz konusu PCI-DSS Verilerini İşlemek için tasarlanmış GoDaddy Hizmetleriyle bağlantılı olarak kredi, banka kartı veya diğer ödeme kartı sahibi bilgilerini içeren Müşteri Kişisel Verilerini sağlayabilir. Müşterinin GoDaddy Hizmetlerini PC-DSS Verilerini GoDaddy şirketinin PCI-DSS ile uyumlu Hizmet ürünleri dışında işlemek veya saklamak için kullanması halinde, PCI-DSS gereksinimlerinin herhangi bir ihlalinden yalnızca Müşteri sorumludur.
5.4 GoDaddy şirketinin geçerli Veri Koruma Yasaları ve GoDaddy şirketinin PCI-DSS ile uyumlu Hizmetleri açısından PCI-DSS gereksinimleri kapsamındaki yükümlülüklerine uyabilmesi için gereken önlemlere ek olarak GoDaddy, bu DPA’nın 2. Tablosunda belirlenen spesifik teknik ve organizasyonel önlemleri alacaktır.
6. Veri Güvenliği Olayları
6.1 GoDaddy Müşteriye, Müşteri adına işlenen Müşteri Kişisel Verilerinin erişimi ve kontrolü konusunda geniş fırsatlar sunar. GoDaddy, Müşteri Kişisel Verilerinin GoDaddy şirketinin sistemlerindeki bir güvenlik ihlalinden kaynaklanmayan bir şekilde kazayla veya yasa dışı imhasından, kaybından, değiştirilmesinden, yetkisiz açıklanmasından veya erişiminden sorumlu değildir. GoDaddy şirketinin sorumlu olmadığı Güvenlik Olaylarına örnek olarak Müşterinin şifrelerinin gizliliğini sürdürememesi, kötü amaçlı içeriğin indirilmesi veya Hizmetlere ve Müşterinin barındırılan ortamına Müşteri tarafından getirilen veya yol açılan diğer herhangi güvenlik açığı gösterilebilir.
6.2 GoDaddy, GoDaddy sistemlerinde meydana gelen ve Müşteri Kişisel Verilerinin kazayla veya yasa dışı imhasına, kaybına, değiştirilmesine, yetkisiz açıklanmasına veya erişimine yol açan güvenlik ihlallerini (“Güvenlik Olayı”), geçerli yasalar kapsamında öngörülen süre içinde Müşteriye bildirmek için ticari olarak makul çabayı gösterecektir.
6.3 GoDaddy, bir Güvenlik olayını makul olmayan bir gecikme olmaksızın kontrol altına almak, hafifletmek ve düzeltmek için makul olarak gerekli uygun, riske dayalı adımları atacaktır.
6.4 GoDaddy bir Güvenlik Olayının Müşteri Kişisel Verileri üzerindeki etkisini değerlendirmek ve Müşterinin Güvenlik Olayını devlet makamlarına, etkilenen Veri Sahiplerine veya diğer herhangi bir kişiye bildirebilmesi için Müşteri tarafından makul olarak talep edilen bilgileri sağlayacaktır.
6.5 GoDaddy şirketinin bir Güvenlik Olayını kabulü veya Müşteriye bir Güvenlik Olayını bildirme kararını vermesi, hata veya sorumluluğun kabul edildiği anlamına gelmez.
7. Veri Sahibi Hakları
7.1 Müşteri Kişisel Verilerini bilme, düzeltme, silme veya bunlara erişme talepleri (“Veri Sahibinin Talepleri”) dahil ancak bunlarla sınırlı olmamak üzere, Veri Koruma Yasaları, Müşterinin gizlilik politikaları veya Müşterinin hizmet şartları kapsamında Veri Sahibinin haklarını kullanmaya yönelik her türlü talebe yanıt vermekten yalnızca Müşteri sorumludur.
7.2 GoDaddy Müşterinin belgelendirilmiş talimatlarına dayalı olmadığı veya geçerli yasalar kapsamında aksi öngörülmediği takdirde bir Veri Sahibi Talebine yanıt vermeyecektir.
7.3 GoDaddy tüm Veri Sahibi Taleplerini Müşteriye bildirecektir. Veri Sahibi Taleplerine yanıt vermekten yalnızca Müşteri sorumludur. Müşterinin bir Veri Sahibi Talebine yanıt vermek için başvurabileceği tüm yolları tüketmiş olması halinde – Müşterinin GoDaddy şirketinin makul giderlerini peşin olarak ödemeyi kabul etmesi şartıyla – GoDaddy Müşterinin Veri Sahibi Talebine yanıt vermesini sağlamak için makul olarak gerekli desteği Müşteriye sağlayacaktır.
8. Veri Koruma Etki Değerlendirmeleri, Ön Danışma ve Uyumluluk Araştırmaları
8.1 Veri Koruma Etki Değerlendirmeleri; Ön Danışma. GoDaddy, masrafları Müşteriye ait olmak üzere, Müşteri Kişisel Verilerinin işlenmesiyle ilgili olarak herhangi bir veri koruma etki değerlendirmesi ve devlet makamları veya düzenleyicilerle istişareler gerçekleştirilmesinde, Müşteriye makul desteği sağlayacaktır.
8.2 Uyumluluk Sorgulamaları. Müşteri, GoDaddy şirketinin geçerli Veri Koruma Yasaları kapsamındaki yükümlülüklerine uygunluğunu teyit etmek için makul ölçüde gerekli olan bilgileri düzenli aralıklarla talep edebilir. GoDaddy şirketinin Müşteri talebine kırk beş (45) gün içinde yanıt verememesi durumunda Müşteri Sözleşmeyi feshedebilir. Şüpheye mahal vermemek adına, bu DPA’daki hiçbir şey Müşteriye GoDaddy şirketinin faaliyetlerin, sistemlerini veya hizmetlerini denetleme hakkı vermez. GoDaddy şirketinin bu bölüm kapsamındaki yükümlülüğü, GoDaddy şirketinin geçerli Veri Koruma Yasaları kapsamındaki yükümlülükleriyle uyumlu olduğunu teyit etmek için makul ölçüde gerekli bilgileri Müşteriye sağlamakla sınırlıdır.
9. Yargı Bölgesine Özel Gereksinimler ve Kişisel Verilerin Uluslararası Veri Aktarımları
9.1 Müşteri Kişisel Verilerinin bu DPA kapsamında İşlenmesi, bir veya daha fazla Veri Koruma Yasasıyla düzenlenen İşlemeyi içerebilir ve/veya Müşteri Kişisel Verilerinin uluslararası aktarımını içerebilir.
9.2 Müşteri Kişisel Verilerinin ABD kaynaklı olması halinde, bu DPA’nın 3. Tablosunda (1. Bölüm) belirtilen ABD Veri Koruma Yasaları geçerli olacaktır.
9.3 Müşteri Kişisel Verileri Avrupa Birliği/Avrupa Ekonomik Alanı (“AB/AEA”), Birleşik Krallık (“BK”) veya İsviçre’den kaynaklanıyorsa veya Müşteri bu yargı bölgelerinden birinde veya daha fazlasında yerleşikse, bu VGÇ’nin 9.3. Tablosunda (3. Bölüm) belirtilen yürürlükteki AB/AEA, BK ve/veya İsviçre Veri Koruma Yasalarına ilişkin koşullar geçerli olur.
9.4 Müşteri Kişisel Verilerini yasalara uygun bir şekilde aktarmak için geçerli bir uluslararası veri aktarım mekanizması (“Zorunlu Aktarım Mekanizması”) öngörülüyorsa, bu DPA’nın 4. Tablosunda belirtilen koşullar geçerlidir.
10. Genel
10.1 Sözleşmenin Tamamı; Yorumlanması. Bu DPA Taraflar arasında bu DPA’nın konusuna ilişkin olarak yapılan sözleşmenin tamamını oluşturur ve Taraflar arasında bu DPA’nın konusuyla ilgili olarak daha önce veya mevcut durumda yapılan, yazılı veya sözlü tüm beyanatların, anlayışların, anlaşmaların ve iletişimlerin yerine geçer. Bu DPA ve Sözleşme (veya Taraflar arasındaki diğer herhangi bir sözleşme) arasında bir çelişki olması halinde, bu DPA’nın konusu açısından bu DPA geçerli olacak ve kontrol sağlayacaktır. Bu DPA’nın herhangi bir hükmü ve Tablo 4’de açıklanan Zorunlu Aktarım Hükümleri arasında bir çelişki olması halinde, söz konusu Zorunlu Aktarım Hükümleri geçerli olacaktır.
10.2 Tadil. Bu DPA GoDaddy tarafından, Sözleşmede öngörülen prosedürler uyarınca, tamamen kendi takdirine bağlı olarak değiştirilebilir veya tadil edilebilir. Müşterinin söz konusu tadili kabul etmemesi halinde Müşterinin tek çözüm yolu, Sözleşmenin Müşteri Kişisel Verilerine ilişkin söz konusu kısmını otuz (3) gün önceden bildirimde bulunarak feshetmektir. Taraflar arasında aksi açıkça kabul edilmedikçe, bu Sözleşmede yapılacak herhangi bir tadil yalnızca, söz konusu tadil tarihinden sonra yapılacak İşlemeler açısından geçerlidir.
10.3 Feragat. Bu DPA’nın herhangi bir ihlalinden feragat yalnızca söz konusu ihlalden feragat eden Tarafın yetkili temsilcisi tarafından yazılı olarak yapılırsa geçerli olacak ve söz konusu hiçbir feragat daha sonraki bir ihlalden feragat olarak yorumlanmayacaktır.
10.4 Bölünebilirlik. Bu DPA’nın herhangi bir hükmünün uygulanamaz olduğu tespit edilirse, söz konusu hüküm uygulanabilir hale gelmesi için gerekli ölçüde değiştirilecek ve bu DPA’nın diğer kısımları yazıldığı şekilde yürürlükte kalmayı sürdürecektir. Bununla birlikte, uygulanamaz durumdaki bir hükmün değiştirilmesi DPA’nın esas amacına ulaşılamamasına yol açıyorsa, 10.2. Bölüm uyarınca değiştirilmediği takdirde DPA’nın tamamı hükümsüz sayılacaktır.
10.5 Bildirimler. Burada açıkça belirtilmediği sürece, bu DPA kapsamında gereken bildirimler, Sözleşmede belirtilen Bildirim gereksinimlerine uygun olarak sağlanacaktır.
10.6 Yükümlülük. Bu VGÇ, Taraflardan herhangi birinin veya başka bir kişinin, burada belirtilen tüm sınırlamalara tabi olarak ve Sözleşmede belirtilenler dışında herhangi bir türdeki zararları tazmin etmesi için herhangi bir dayanak sağlamaz.
10.7 Uygulama. Bu DPA’nın hükümleri Taraflarca, Sözleşmede belirtilen anlaşmazlıkların çözümü hükümleri uyarınca, yalnızca kendi adlarına ve ilgili Ortaklarının adına uygulanabilir. Ancak bu uygulama sınırlamasının, bireysel bir Veri Sahibinin Veri Koruma Yasaları kapsamındaki haklarını uygulama becerisi üzerinde bir etkisi olmayacaktır.
10.8 Fesih. Sözleşme veya bu DPA’nın diğer herhangi bir geçerli hükmü veya herhangi bir geçerli Veri Koruma Yasası uyarınca daha önce feshedilmediği takdirde, bu VGÇ, İşlemenin tamamlanması veya Sözleşmenin feshi (hangisi daha sonra ise) feshedilecektir. Bu DPA’nın feshinin ardından GoDaddy şirketinin Müşteri Kişisel Verilerini geçerli yasalar uyarınca elde tutması gerekmiyorsa, Müşteri Kişisel Verileri bu Sözleşme ve bu DPA hükümleri uyarınca GoDaddy tarafından iade edilecek, silinecek veya kimliksizleştirilecektir. GoDaddy şirketinin Müşteri Kişisel Verilerini Sözleşmenin feshinden sonra da elde tutması gerekiyorsa, GoDaddy, bu DPA kapsamında Müşteri Kişisel Verilerinin İşlenmesine ilişkin yükümlülüklerine uymaya devam edecek ve verilerin saklanması yasal olarak zorunlu olmadığında söz konusu Müşteri Kişisel Verilerini derhal iade edecek veya silecektir.
10.9 Geçerli Yasalar ve Yargı Bölgesi. Bu Veri İşleme Ek Maddesi (DPA), Veri Koruma Yasalarında aksi öngörülmediği takdirde (ki bu durumda Veri Koruma Yasalarında öngörülen yargı bölgesinin yasaları geçerli olacaktır) Sözleşmede belirtilen yasalara tabidir. Bu DPA’nın hiçbir hükmünün, herhangi bir kişinin geçerli Veri Koruma Yasaları kapsamındaki haklarını veya yükümlülüklerini sınırladığı kabul edilmeyecektir.
Tablo 1: Müşteri Kişisel Verilerinin İşlenmesine İlişkin Ayrıntılar
Bu Tablo 1’de, Veri Koruma Yasaları Kapsamında Öngörülen Müşteri Kişisel Verilerinin İşlenmesine ilişkin ayrıntılara yer verilmiştir.
Müşteri Kişisel Verilerinin İşlenme konusu ve süresi:
Müşteri Kişisel Verilerinin İşlenme konusu ve süresi Sözleşmede açıklanmıştır.
Müşteri Kişisel Verilerinin İşlenme niteliği ve amacı:
Müşteri Kişisel Verilerinin GoDaddy tarafından işlenmesi, Hizmetleri Sözleşmede açıklanan şekilde sağlamak için makul olarak gereklidir.
Kişisel Veri Türleri ve Veri Sahipleri Kategorileri:
Müşteri Kişisel Verilerinin türleri ve Veri Sahiplerinin kategorileri, Müşterinin ve/veya Müşteri Kişisel Verilerini Müşteriye tamamen kendi takdirine bağlı olarak sağlayan Veri Sorumlusunun kontrolündedir.
Hassas Veriler veya Özel Veri Kategorileri:
Sözleşme uyarınca zaman zaman Hassas Veriler işlenebilir. Sözleşme kapsamında İşlenen Hassas Veri türleri Müşteri ve/veya Hassas Verileri tamamen kendi takdirine bağlı olarak Müşteriye sağlayan Veri Sorumlusu tarafından belirlenir.
Veri Sorumlusunun Yükümlülükleri ve Hakları:
Müşterinin yükümlülükleri ve hakları Sözleşmede ve bu DPA’da açıklanmıştır.
Ek 2: Teknik ve Organizasyonel Güvenlik Önlemleri
1. Uygulanabilirlik
1.1 Bu Tablo 2’nin gereksinimleri, GoDaddy ve GoDaddy şirketinin Hizmetleri sağlamak ve/veya Müşteri Kişisel Verilerini İşlemek için kullandığı herhangi bir Alt İşleyici (herhangi bir bulut hizmeti sağlayıcısı da dahil, ancak bununla sınırlı olmamak üzere) için geçerlidir.
1.2 GoDaddy şirketinin Hizmetleri sağlamak ve/veya Müşteri Kişisel Verilerini İşlemek için herhangi bir Alt İşleyiciden faydalanması halinde, GoDaddy, ilgili Alt İşleyicinin bu Ek’in her bir gereksinimine uyum göstermesini sağlayacaktır.
2. Bilgi Gizliliği ve Veri Güvenliği Yönetimi
2.1 Risk Yönetim Süreci. GoDaddy Müşteri Kişisel Verilerinin çerçevesini oluşturmak, bunları değerlendirmek, yanıtlamak ve takip etmek için GoDaddy şirketinin Sözleşme kapsamındaki yükümlülükleri, DPA ve yürürlükteki yasalarla tutarlı, uygun bir risk yönetim sürecini uygulayacaktır.
2.2 Bilgi Güvenlik Programının Kapsamı. Asgari olarak, tüm geçerli gizlilik ve koruma politikaları da dahil olmak üzere, GoDaddy şirketinin bilgi güvenliği programı, aşağıdaki amaçlar için tasarlanacaktır:
2.2.1 GoDaddy şirketinin mülkiyetinde veya kontrolünde bulunan veya GoDaddy şirketinin erişim sahibi olduğu Müşteri Kişisel Verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak ve
2.2.2 Müşteri Kişisel Verilerinin gizliliğine, bütünlüğüne ve kullanılabilirliğine yönelik makul olarak beklenen tehditlere veya tehlikelere karşı koruma sağlamak.
2.3 Bilgi Güvenliği Programındaki Güncellemeler. GoDaddy, bilgi güvenlik programını, GoDaddy tarafından işlenen Müşteri Kişisel Verilerinin türü, hacmi ve hassasiyetine uygun, sektör standardı uygulamaları ve çerçeveleriyle uyumlu şekilde, düzenli olarak inceleyecek ve güncelleyecektir.
2.4 Risk Değerlendirmeleri ve Testler. GoDaddy, Müşteri Kişisel Verilerini işleyen tüm sistemler için düzenli olarak risk değerlendirmeleri gerçekleştirecek ve GoDaddy tarafından makul olarak gerekli görüldüğü durumlarda, Hizmetleri sağlamak için kullanılan uygulamalar ve altyapı üzerinde düzenli aralıklarla üçüncü taraf sızma testleri gerçekleştirecektir.
2.5 Süreklilik ve Dayanıklılık. GoDaddy, Müşteri Kişisel Verilerini işleyen sistemlerinin bütünlüğünü ve kullanılabilirliğini korumaya yönelik olarak, performans ve kullanılabilirlik takibi, yedekli ve dayanıklı sistemlerin tasarımı, kesintisiz güç kaynaklarının kullanımı, DDoS korumaları, yük ve stres testleri ve diğer benzeri önlemler de dahil olmak üzere uygun önlemleri uygulayacaktır.
3. Organizasyonel Güvenlik
3.1 Sorumluluk. GoDaddy, GoDaddy şirketinin bilgi güvenlik programının yönetilmesinden ve Müşteri Kişisel Verilerinin korunmasından sorumlu olacak bir veya daha fazla belirli kişinin atanması da dahil olmak üzere, Müşteri Kişisel Verilerinin GoDaddy bünyesinde korunmasına ilişkin sorumluluğu açıkça tanımlayan yazılı bilgi güvenliği politikaları ve prosedürleri geliştirecek ve uygulayacaktır.
3.2 Varlık Yönetimi ve Kontrolleri. GoDaddy, Hizmetleri sağlamak ve/veya Müşteri Kişisel Verilerini işlemek için kullanılan cihaz ve sistemlerden oluşan bir envanter ile varlık sınıflandırması da dahil olmak üzere, bir varlık yönetim politikasını ve varlık kontrollerini sürdürecektir.
3.3 Fiziksel Güvenlik. GoDaddy ayrıca, GoDaddy şirketinin elektronik cihazlarına, ağına, kritik sistemlerine, uygulamalarına, sunucu odasına, iletişim odalarına ve çalışma ortamlarına yalnızca yetkili kullanıcıların erişim sahibi olmasını sağlamak için makul önlemlerin uygulanması da dahil olmak üzere, tesislerinin fiziksel güvenliğini sürdürmeye yönelik risk bazlı kontrolleri uygulayacaktır. GoDaddy şirketinin kullanabileceği önlemler, bunlarla sınırlı olmamak üzere, uygun durumlarda, CCTV izleme, ziyaretçi erişim yönetimi ve fiziksel cihazlardaki Kişisel Verilerin atılmadan/geri dönüştürülmeden önce imhasını içerir.
4. Güvenlik Operasyonları
4.1 Güvenli Sistem Yapılandırması. GoDaddy, Hizmetleri sağlamak ve/veya Müşteri Kişisel Verilerini İşlemek için kullanılan sistemlerin güvenli bir şekilde yapılandırılmasını sağlamak için kontroller oluşturacaktır..
4.2 Güvenlik Açığı ve Yama Yönetimi. GoDaddy, Hizmetleri sağlamak ve/veya Müşteri Kişisel Verilerini İşlemek için kullanılan sistemlere, güvenlik açıklarına karşı yamanın kritikliği ve Müşteri Kişisel Verilerinin hassasiyetine dayalı olarak makul bir süre içinde yama uygulanmasını sağlayan bir güvenlik açığı ve yama yönetim sistemini oluşturacak ve sürdürecektir.
4.3 Kötü Amaçlı Yazılım Önleme. GoDaddy, kötü amaçlı yazılımlara karşı koruma sağlamak için tespit, önleme ve iyileştirme kontrolleri (uygun kullanıcı farkındalığı programları dahil) uygulayacaktır.
4.4 Günlüğe Kaydetme ve Denetleme. GoDaddy, riske dayalı endüstri standartlarını kullanarak günlüklerin kapsamını, oluşturulmasını, saklanmasını, analizini ve elden çıkarılmasını tanımlayan bir günlük yönetimi programı kullanacaktır.
4.5 Güvenlik Olayının Tespiti ve Yanıtlandırılması. GoDaddy, izinsiz giriş tespit ve izinsiz giriş önleme sistemlerinin kullanımı da dahil olmak üzere, Güvenlik Olaylarını Sözleşmenin 6. Bölümünde öngörülen şekilde tespit etmek için risk bazlı sistemleri sürdürecektir.
5. Eğitim
GoDaddy, personelinin Müşteri Kişisel Verileriyle ilgili veri koruma yükümlülükleri ve gizlilik konusunda düzenli eğitim almasını sağlayacaktır.
6. Erişim Kontrolleri
6.1 Benzersiz Tanımlama. GoDaddy yönetim erişimine sahip personel dahil ancak bunlarla sınırlı olmamak üzere, Müşteri Kişisel Verilerine erişimi olan personele bireysel benzersiz kullanıcı kimlik bilgileri atayacaktır.
6.2 Şifre Yönetimi. GoDaddy merkezi şifre yönetimi ve şifre politikaları da dahil olmak üzere, şifre yönetimine ilişkin politika ve prosedürleri uygulayacaktır.
6.3 Çok Faktörlü Kimlik Doğrulama. GoDaddy Müşteri Kişisel Verilerini İşlemek ve/veya depolamak için kullanılan ağlara, sistemlere veya uygulamalara uzaktan erişim için çok faktörlü kimlik doğrulama uygulayacaktır.
6.4 En Düşük Erişim Hakkı. GoDaddy uygun gizlilik yükümlülüklerine tabi olan ve Hizmetleri sağlamak için “bilme ihtiyacı” veya “erişim ihtiyacı” olan personelin Müşteri Kişisel Verilerine erişimini kısıtlayacaktır.
7. Veri Güvenliği Kontrolleri
7.1 Veri Ayrıştırma. GoDaddy Müşteri Kişisel Verilerini mantıksal olarak ayrı ve güvenli ortamlarda tutacaktır.
7.2 Şifreleme ve Diğer Önlemler. GoDaddy, şifreleme, takma ad kullanma ve Müşteri Kişisel Verilerini içeren sistemlere erişmek için kullanılan API belirteçleri ve şifreler dahil, sırları karıştırmaya yönelik algoritmalar kullanmak gibi diğer uygun önlemler de dahil olmak üzere, Müşteri Kişisel Verilerini Korumak için uygun, risk bazlı önlemleri kullanacaktır
Tablo 3: Yargı Bölgesine Özgü Terimler
1. Amerika Birleşik Devletleri
1.1 Kaliforniya.
1.1.1 Tanımlar.
1.1.1.1 Aşağıdaki terimler, Kaliforniya Veri Koruma Yasalarında öngörülen tanımlara göre özel olarak tanımlanmıştır: “İşletme”, “Ticari Amaç”, “Hizmet Sağlayıcı”, “Satış”, “Paylaşma” ve “Üçüncü Taraf”.
1.1.1.2 “Müşteri Kişisel Verileri” terimi, kimliği belirli veya belirlenebilir bir gerçek kişiye veya haneye ait Kişisel Bilgileri kapsar.
1.1.2 Tarafların Rolleri.
1.1.2.1 Bir Müşterinin yürürlükteki Kaliforniya Veri Koruma Yasaları kapsamında İşletme olduğu kabul edilirse, bu DPA kapsamında Müşterinin Veri Sorumlusu olarak hak ve yükümlülüklerine yapılan tüm atıfların, Müşterinin bir İşletme olarak hak ve yükümlülüklerine de yapıldığı kabul edilecektir. Müşterinin yürürlükteki Kaliforniya Veri Koruma Yasaları kapsamında Hizmet Sağlayıcı olduğu kabul edilirse, bu DPA kapsamında Müşterinin Veri Sorumlusu olarak hak ve yükümlülüklerine yapılan tüm atıfların, Müşterinin bir Hizmet Sağlayıcı olarak hak ve yükümlülüklerine de yapıldığı kabul edilecektir.
1.1.2.2 GoDaddy şirketinin Kaliforniya Veri Koruma Yasaları Kapsamında bir Hizmet Sağlayıcı veya Üçüncü Taraf olduğu kabul edilirse, bu DPA kapsamında GoDaddy şirketinin İşleyici veya Alt İşleyici olarak hak ve yükümlülüklerine yapılan tüm atıfların, GoDaddy şirketinin duruma göre bir Hizmet Sağlayıcı veya Üçüncü Taraf olarak hak ve yükümlülüklerine de yapıldığı kabul edilecektir.
1.2 Tüm ABD Eyaletleri (Kaliforniya dahil).
1.2.1 GoDaddy (a) Müşteri Kişisel Verilerini satamaz veya paylaşamaz, (b) Müşteri Kişisel Verilerini Sözleşmede belirtilen iş amaçları dışında herhangi bir amaçla saklayamaz, kullanamaz veya açıklayamaz veya (c) herhangi bir Müşteri Kişisel Verisini GoDaddy ve Şirket arasındaki doğrudan iş ilişkisi haricinde saklayamaz, kullanamaz veya açıklayamaz.
1.2.2 GoDaddy şirketinin Müşteri Kişisel Verilerine Erişimi, Tarafların Sözleşme kapsamında alıp verdiği ücretin bir parçası değildir.
1.2.3 Müşteri, şunları gerçekleştirmeye yönelik makul adımlar atma hakkına sahip olacaktır: (a) GoDaddy şirketinin Müşteri Kişisel Verilerini, DPA’nın 8. Bölümünde belirtilen hakların kullanımı da dahil olmak üzere, bu DPA’ya uygun bir şekilde işlediğini doğrulamak; (b) GoDaddy şirketinin DPA hükümlerine aykırı bir şekilde gerçekleştirilen İşleme faaliyetlerinin durdurulmasını ve düzeltilmesini talep etmek ve (c) GoDaddy şirketinin bu DPA ile uyumluluğunu sağlamak için diğer herhangi makul adımı atmak (tamamen Müşterinin kendi takdirine göre belirlenen). GoDaddy şirketinin bu 1.2.3. Bölüm uyarınca Müşterinin makul taleplerine uyamaması veya uymak istememesi halinde, Müşterinin başvurabileceği tek çözüm yolu bu DPA’yı ve Sözleşmenin Müşteri Kişisel Verilerinin işlenmesiyle ilgili kısmını feshetmektir.
1.2.4 GoDaddy, Müşteri Kişisel Verilerinin İşlenmesi üzerindeki tüm kısıtlamalar da dahil olmak üzere, Veri Koruma Yasaları ve bu DPA kapsamındaki yükümlülüklerini anladığını ve bunlara uyacağını onaylar.
2. Avrupa Birliği/Avrupa Ekonomik Alanı
2.1 Alt İşleyiciler
2.1.1 GoDaddy bir Alt İşleyiciyi görevlendirdiğinde, aşağıdakileri gerçekleştirecektir:
2.1.1.1 Alt İşleyicinin AB Genel Veri Koruma Yönetmeliği’nin (“GDPR”) 28. maddesinde öngörülen tüm teknik ve organizasyonel önlemler de dahil, ancak bunlarla sınırlı olmamak üzere, Veri İşleme Ek Maddesi’nin (DPA) 5, 6 ve 8. bölümlerinde ve 2. Tablosunda düzenlenen ve Alt İşleyici tarafından gerçekleştirilen işlemenin niteliğine uygun olan teknik ve organizasyonel önlemlere uymasını gerekli kılmak ve
2.1.1.2 Alt İşleyicinin Müşteri Kişisel Verilerini yalnızca (a) AB/AEA’da, (b) Avrupa Komisyonu tarafından “yeterli” bir veri koruma seviyesine sahip olduğu beyan edilen bir ülkede veya (c) Müşteri Kişisel Verilerinin Uluslararası Aktarımlarına ilişkin Tablo 4’de öngörülen koşullar uyarınca işleyeceğini yazılı olarak kabul etmesini gerekli kılmak.
2.2 Düzenleyici Cezalarına İlişkin Sorumluluk. Bu DPA’da veya Sözleşmede belirtilen diğer herhangi bir koşula bakılmaksızın (her bir Tarafın Sözleşme kapsamındaki tazminat yükümlülükleri de dahil), taraflardan hiçbiri, AB GDPR’nin 83. Maddesi kapsamındaki para cezaları da dahil olmak üzere, herhangi bir düzenleyici kurum veya devlet makamının diğer Tarafa düzenlediği veya uyguladığı hiçbir para cezasından sorumlu olmayacaktır.
3. İsviçre
3.1 GoDaddy bir Alt İşleyiciyi görevlendirdiğinde, aşağıdakileri gerçekleştirecektir:
3.1.1 Alt İşleyicinin GDPR’nin 28. maddesinde öngörülen tüm Teknik ve Organizasyonel önlemler de dahil, ancak bunlarla sınırlı olmamak üzere, Veri İşleme Ek Maddesi’nin (DPA) 5, 6 ve 8. bölümlerinde ve 2. Tablosunda düzenlenen ve Alt İşleyici tarafından gerçekleştirilen işlemenin niteliğine uygun olan Teknik ve Organizasyonel Önlemlere uymasını gerekli kılmak ve
3.1.2 Alt İşleyicinin Müşteri Kişisel Verilerini yalnızca (a) İsviçre’de, (b) AB/AEA’da, (c) Avrupa Komisyonu tarafından “yeterli” bir veri koruma seviyesine sahip olduğu beyan edilen başka bir ülkede veya (d) Müşteri Kişisel Verilerinin Uluslararası Aktarımlarına ilişkin 4. Tabloda öngörülen koşullar uyarınca işlemeyi yazılı olarak kabul etmesini gerekli kılmak.
3.2 İsviçre’den gerçekleştirilen Müşteri Kişisel Veri Aktarımlarının AB Standart Sözleşme Maddelerine (Tablo 4’te tanımlandığı gibi) tabi tutulması halinde, aşağıdaki değişiklikler geçerlidir:
3.2.1 “Üye Ülke”ye yapılan atıfların İsviçre’yi içerdiği kabul edilecektir ve
3.2.2 Aktarımların Federal Veri Koruma Kanunu’na (“FADP”) tabi olması halinde, “(EU) 2016/679 Sayılı Yönetmelik”e yapılan atıfların FADP’ye yapıldığı kabul edilecektir.
3.3 FADP kapsamında zorunlu kılınması halinde, AB Standart Sözleşme Maddelerinin Müşteri Kişisel Verileri olarak tüzel kişilere ilişkin verileri içerdiği kabul edilecektir.
4. Birleşik Krallık
4.1 GDPR’ye yapılan atıflar, BK GDPR ve 2018 yılına ait BK Veri Koruma Kanunu dahil ancak bunlarla sınırlı olmamak üzere, Birleşik Krallık’taki ilgili yasalara ve düzenlemelere yapılan atıflar olarak kabul edilecektir.
4.2 Şirket bir Alt İşleyici görevlendirdiğinde, aşağıdakileri gerçekleştirecektir:
4.2.1 Alt İşleyicinin BK GDPR’nin 28. maddesinde öngörülen tüm teknik ve organizasyonel önlemler de dahil, ancak bunlarla sınırlı olmamak üzere, Veri İşleme Ek Maddesi’nin (DPA) 5, 6 ve 8. bölümlerinde ve 2. Tablosunda düzenlenen ve Alt İşleyici tarafından gerçekleştirilen işlemenin niteliğine uygun olan teknik ve organizasyonel önlemlere uymasını gerekli kılmak ve
4.2.2 Alt İşleyicinin Müşteri Kişisel Verilerini yalnızca (a) BK, (b) AB/AEA, (c) Birleşik Krallık tarafından “yeterli” bir veri koruma seviyesine sahip olduğu beyan edilen başka bir ülke veya (d) Müşteri Kişisel Verilerinin Uluslararası Aktarımlarına ilişkin 4. Tabloda öngörülen koşullar uyarınca işlemeyi yazılı olarak kabul etmesini gerekli kılmak.
Ek 4: Uluslararası Zorunlu Sınır Ötesi Aktarım Mekanizmaları
1. Tanımlar
1.1 “Veri Gizliliği Çerçevesi (‘VGÇ’)” ABD Ticaret Bakanlığı [www.dataprivacyframework.gov](www.dataprivacyframework.gov) tarafından yürütülen AB-ABD, İsviçre-ABD veya BK-ABD Veri Gizliliği Çerçevesi sertifikasyon programlarını ifade eder.
1.2 “BK-ABD Veri Köprüsü”, AB-ABD Veri Gizliliği Çerçevesi’nin Birleşik Krallık uzantısını ifade eder.
1.3 “AB Standart Sözleşme Maddeleri” Avrupa Komisyonu tarafından onaylanan ve Haziran 2021 tarihli 2021/914 sayılı karar ekinde yer alan standart sözleşme maddelerini ifade eder.
1.4 BK Bilgi Komiseri tarafından düzenlenen Birleşik Krallık Uluslararası Veri Aktarım Sözleşmesi (“BK IDTA”) B1.0 Sürümünün Taraflarca Sözleşmenin Yürürlük Tarihi itibariyle yürürlüğe konduğu ve AB Standart Sözleşme Maddelerinin Birleşik Krallık’tan yapılacak veri aktarımlarıyla ilgili olarak BK IDTA’da belirtilen şekilde değiştirildiği kabul edilir.
2. Öncelik Sırası
2.1 Aktarım söz konusu Müşteri Kişisel Verilerinin aktarıldığı ülkenin Veri Koruma Yasalarına göre yeterli seviyede veri koruması sunduğu kabul edilen bir ülkeye yapılıyorsa, hiçbir Zorunlu Aktarım Mekanizması kullanılmaz.
2.2 Bir Aktarımın zorunlu olması ve söz konusu Aktarımın birden fazla Zorunlu Aktarım Mekanizması kapsamında olması halinde, Aktarım, aşağıdaki öncelik sırasına uygun olarak, tek bir Zorunlu Aktarım Mekanizmasına tabi olacaktır: (a) geçerli AB veya İsviçre VGÇ; (b) BK-ABD Veri Köprüsü; (c) AB Standart Sözleşme Maddeleri; (d) BK IDTA veya (e) geçerli Veri Koruma Yasası kapsamında izin verilen diğer herhangi geçerli Zorunlu Aktarım Mekanizması.
2.3 Bu Sözleşmenin yürütülmesinden sonra bir Zorunlu Aktarım Mekanizmasının geçersiz olduğu kabul edilirse, gelecekteki tüm Aktarımların bir sonraki geçerli Zorunlu Aktarım Mekanizması ile gerçekleştirildiği kabul edilecektir.
3. Veri Gizliliği Çerçevesi
3.1 Uygunluğun Belgelendirilmesi.
3.1.1 GoDaddy şirketinin Belgelendirmesi. GoDaddy, VGÇ kapsamında uygunluğunu kendi nezdinde belgelendirmiştir. GoDaddy, (a) Müşteri Kişisel Verileri için VGÇ’nin Veri Gizlilik İlkeleri kapsamında öngörülenle en az aynı seviyede koruma sağlamayı; (b) GoDaddy şirketinin VGÇ kapsamında belgelendirmesinin iptali, feshi, geri alınması veya başka bir şekilde geçersiz hale gelmesi durumunda, Müşteriyi gereksiz gecikme olmaksızın yazılı olarak bilgilendirmeyi ve (c) Müşteriden gelen yazılı bildirim üzerine Müşteri Kişisel Verilerinin yetkisiz işlenmesini durdurmak ve düzeltmek için makul ve uygun adımlar atmayı kabul eder.
3.1.2 Şirketin Belgelendirmesi. Şirketin VGÇ kapsamında belgelendirilmesi halinde Şirket, (a) herhangi Kişisel Veri için VGÇ’nin Veri Gizlilik İlkeleri kapsamında öngörülenle en az aynı seviyede koruma sağlamayı; (b) Şirketin VGÇ kapsamında belgelendirmesinin iptali, feshi, geri alınması veya baka bir şekilde geçersiz hale gelmesi durumunda, GoDaddy şirketini gereksiz gecikme olmaksızın yazılı olarak bilgilendirmeyi ve (c) GoDaddy şirketine yapılacak yazılı bildirim üzerine Müşteri Kişisel Verilerinin yetkisiz işlenmesini durdurmak ve düzeltmek için makul ve uygun adımlar atmayı kabul eder.
3.2 Durum
3.2.1 AB-ABD VGÇ. AB-ABD VGÇ’nin yeterli seviyede veri koruması sağladığı, 10 Temmuz 2023 tarihli bir yeterlilik kararı uyarınca, Avrupa Komisyonu tarafından kabul edilmiştir ve AB-ABD VGÇ 10 Ekim 2023’ten bu yana yürürlüktedir.
3.2.2 BK-ABD Veri Köprüsü. 21 Eylül 2023 itibarıyla Parlamentoya yeterlilik düzenlemeleri getiren Birleşik Krallık Bilim, Yenilik ve Teknoloji Dışişleri Bakanı, BK-ABD Veri Köprüsünün yeterli seviyede bir veri koruması sağladığını kabul etmiştir. BK-ABD Veri Köprüsü düzenlemeleri 12 Ekim 2023 itibarıyla yürürlüğe girecek ve geçerli Aktarımlar bu tarihten itibaren BK-ABD Veri Köprüsü uyarınca gerçekleştirilecektir.
3.2.3 İsviçre-ABD VGÇ . İsviçre-ABD VGÇ henüz yürürlüğe girmemiştir.
3.2.3.1 Taraflar, bu DPA hükümlerinin, yürürlüğe girdikten sonra İsviçre VGÇ veya bunun makul muadiliyle tutarlı olduğu ölçüde, Müşteri Kişisel Verilerinin İsviçre’den gerçekleştirilecek geçerli Aktarımlarının İsviçre VGÇ kapsamında gerçekleştirilmiş gibi değerlendirileceğini kabul eder.
3.2.3.2 Taraflar, İsviçre VGÇ uyarınca bu DPA’ya herhangi bir ek hükmün eklenmesi zorunlu olduğunda, söz konusu hükümlerin Taraflar herhangi bir aksiyon almadan otomatik olarak dahil edileceğini kabul eder. Ancak bunun için, söz konusu ek hükümlerin Taraflardan herhangi birine ek bir önemli yükümlülük getirmemesi veya Sözleşmenin esas şartlar ve koşullarını önemli ölçüde bozmaması şartı aranmaktadır.
3.2.3.3 Bu DPA’ya herhangi bir ek hükmün otomatik olarak eklenememesi durumunda, bu DPA, Aktarımları İsviçre VGÇ uyarınca mümkün kılacak şekilde tadil edilebilir.
3.2.3.4 Bu DPA’nın diğer herhangi bir hükmüne bakılmaksızın, bu DPA’da yer alan hiçbir şey, Tarafların Kişisel Verileri başka bir yasalara uygun veri aktarım mekanizması uyarınca aktarabilmesini sınırlamaz, kısıtlamaz veya başka bir şekilde etkilemez.
3.3 Şirket ve Şirketin Alt İşleyicileri, GoDaddy şirketine ve/veya Veri Sorumlusuna, kişilerin Veri Sahibi haklarını kullanma taleplerine yanıt verme konusunda yardımcı olmak da dahil, ancak bununla sınırlı olmamak üzere, GoDaddy şirketinin VGÇ kapsamında Veri Sorumlusu ve/veya İşleyici olarak yükümlülüklerine uymasını sağlayan tüm gerekli adımları atacaktır.
4. AB Standart Sözleşme Maddeleri
4.1 AB/AEA ve İsviçre’den yapılan ve AB Standart Sözleşme Maddelerine tabi Kişisel Veri Aktarımları için, GoDaddy şirketinin Aktarılacak Müşteri Kişisel Verileri açısından Veri Sorumlusu mu yoksa İşleyicisi mi olduğuna bağlı olarak, Modül 2 (Sorumludan İşleyiciye) veya Modül Üç (İşleyiciden İşleyiciye) geçerli olur.
4.2 AB SCC’lerin öngördüğü Modül İki ve Üçe ilişkin olarak:
4.2.1 7. Maddede, isteğe bağlı yerleştirme hükmü geçerli olmayacaktır.
4.2.2 9. Maddede, 2. Seçenek uygulanacak ve Alt İşleyici değişikliklerine itirazlar için bildirim sağlama süreci ve süre, DPA’nın 3. Bölümünde belirtildiği gibi olacaktır.
4.2.3 11. Maddede, isteğe bağlı dil geçerli olmayacaktır.
4.2.4 17. Maddede (1. Seçenek), AB Standart Sözleşme Maddeleri, Almanya’nın dahili yasalarına tabi olacaktır.
4.2.5 18(b) Maddesinde, DPA ile ilgili anlaşmazlıklar Federal Almanya Cumhuriyeti’nde çözülecektir.
4.3 Ek I, Kısım A kapsamında:
4.3.1 Verileri Veren Taraf
4.3.1.1 Verileri Veren Taraf, Şirket olacaktır.
4.3.1.2 Şirkete Sözleşmenin bildirim hükmünde belirtilen adreslerden ulaşılabilir.
4.3.1.3 Şirketin bu DPA’ya taraf olarak, Ekleri de dahil olmak üzere bu AB Standart Sözleşme Maddelerini, Sözleşmenin Yürürlük Tarihi itibariyle imzaladığı kabul edilir.
4.3.2 Verileri Alan Taraf
4.3.2.1 Verileri Alan Taraf GoDaddy ve/veya GoDaddy şirketinin yetkili ortakları olacaktır.
4.3.2.2 GoDaddy şirketine Sözleşmenin bildirim hükmünde belirtilen adreslerden veya privacy@GoDaddy.com adresinden ulaşılabilir.
4.3.2.3 GoDaddy şirketinin, bu DPA’ya taraf olarak, Ekleri de dahil olmak üzere bu AB Standart Sözleşme Maddelerini, Sözleşmenin Yürürlük Tarihi itibariyle imzaladığı kabul edilir.
4.4 Ek I, Kısım B kapsamında:
4.4.1 Veri Sahibi Kategorileri Tablo 1’de açıklanmıştır.
4.4.2 Aktarılan hassas veriler (varsa) Tablo 1’de açıklanmıştır.
4.4.3 Aktarım sıklığı Sözleşmenin ve DPA’nın süresidir.
4.4.4 İşlemenin yapısı Tablo 1’de açıklanmıştır.
4.4.5 İşlemenin amacı Tablo 1’de açıklanmıştır.
4.4.6 İşlemenin süresi Tablo 1’de açıklanmıştır.
4.5 Ek I, Kısım C kapsamında, 13. maddeye uygun olarak, yetkili denetleyici makam aşağıdaki gibi tanımlanmıştır:
4.5.1 Kişisel Verilerin AB/AEA’dan aktarımları için Denetleyici Makam, Veri Koruma ve Bilgi Özgürlüğünden sorumlu North Rhine-Westphalia Eyalet Komiseridir.
4.5.2 İlgili Aktarım veya İleri Aktarım İsviçre Veri Koruma Yasaları ve Düzenlemelerine tabi olduğu sürece, İsviçre Federal Veri Koruma ve Bilgi Komiseri yetkili denetleyici merci olarak hareket edecektir.
4.6 AB Standart Sözleşme Maddeleri EK II’nin 2. Tablosu, Şirketin DPA kapsamında Veri Alıcısı olarak uyguladığı teknik ve organizasyonel önlemleri içermektedir.
4.7 AB Standart Sözleşme Maddeleri Ek III’te, Şirketin Alt İşleyicilerinin bir listesi görüntülenebilir.
5. Birleşik Krallık Uluslararası Veri Aktarım Sözleşmesi
5.1 BK IDTA, Birleşik Krallık’tan Birleşik Krallık yetkili makamı veya devlet organı tarafından yeterli seviyede bir Kişisel Veri koruması sunduğu kabul edilmeyen ve Birleşik Krallık dışında bulunan herhangi bir ülkeye aktarılan Müşteri Kişisel Verilerinin Aktarımları için geçerlidir.
5.2 BK IDTA’ya tabi aktarımlar için, BK IDTA’nın Taraflarca kabul edildiği ve aşağıdaki şekilde doldurulduğu kabul edilir:
5.2.1 IDTA Tablo 1’de, Tarafların bilgileri ve temel iletişim bilgileri, bu Tablo 4’ün 4.3. Bölümünde yer alır.
5.2.2 IDTA Tablo 2’de, BK IDTA’nın eklendiği AB Standart Sözleşme Maddeleri, modüller ve seçilen hükümlerin versiyonu hakkındaki bilgiler bu Tablonun 4. Bölümünde yer almaktadır.
5.2.3 BK IDTA Tablo 3’te:
5.2.3.1 Tarafların listesi bu Tablo 4’ün 4.3 bölümünde yer almaktadır.
5.2.3.2 Aktarımın tanımı Tablo 1’de düzenlenmiştir.
5.2.3.3 Ek II, Tablo 2’de yer almaktadır.
5.2.3.4 Şirketin Alt İşleyiciler listesi Tablo 5’te yer almaktadır.
5.2.3.5 BK IDTA Tablo 4 kapsamında, hem GoDaddy hem de Şirket BK IDTA’yı hükümlerine uygun olarak sona erdirebilir.
5.3 İlgili Aktarım Birleşik Krallık Veri Koruma Yasaları ve Düzenlemelerine tabi olduğu sürece, Birleşik Krallık Bilgi Komiseri yetkili denetleyici merci olarak hareket edecektir.
5.4 Çelişki. AB Standart Sözleşme Maddeleri veya BK IDTA ve bu Veri İşleme Ek Maddesi’nin diğer herhangi bir hükmü arasında bir çelişki veya tutarsızlık olması halinde, geçerlilik durumuna göre AB Standart Sözleşme Maddelerinin veya BK IDTA’nın hükümleri uygulanacaktır.
Yasal sözleşmelerin ve politikaların çevrilmiş sürümleri, yalnızca İngilizce sürümlerin okunmasını ve anlaşılmasını kolaylaştırmak için sunulmuştur. Yasal sözleşmelerin ve politikaların çevrilmiş sürümlerinin sunulmasının amacı, yasal olarak bağlayıcı bir sözleşme oluşturmak değildir ve İngilizce sürümler yasal olarak geçerli olacaktır. Herhangi bir anlaşmazlık veya sorun olması halinde, sizinle olan ilişkimiz için yasal sözleşmelerin ve politikaların İngilizce sürümleri geçerli olacak ve diğer dillerdeki sürümleri geçersiz kılacaktır.
Yardıma mı ihtiyacınız var? Ödüllü destek ekibimizi şu numaradan arayın: 0 850 390 75 46