Bu Bayi Verileri İşleme Ek Sözleşmesi (“DPA”) GoDaddy ürünlerini ve hizmetlerini (“Hizmetler”) GoDaddy Bayi Programı aracılığıyla satma amacı ile GoDaddy.com (Sözleşme kapsamında ise bağlı kuruluşları dahildir) (“GoDaddy”) ile siz (“Bayi”) arasında imzalanan Sözleşmenin parçasını oluşturur ve GoDaddy adına Bayi tarafından tüm Kişisel Bilgilerin işlenmesi ile ilgili olarak geçerlidir. Bayi, kendisi adına ve yürürlükteki Veri Koruma Kanun ve Yönetmelikleri uyarınca, yetkilendirilmiş ortaklarının adına ve kendi adına bu DPA'yı imzalar. Burada tanımlanmayan tüm büyük harfli terimler Anlaşmada belirtilen anlama gelecektir. “Biz”, “bize” veya “bizim” gibi terimler GoDaddy anlamına gelecektir. “Siz”, “sizin”, “Kullanıcı” veya “Bayi”, bu Sözleşmeyi kabul eden kişi veya kuruluş anlamına gelir. Bu Sözleşmedeki hiçbir hükmün, herhangi bir üçüncü taraf hakkı veya avantajı sağladığı kabul edilmeyecektir. Bu DPA, elektronik kabulünüzün tarihinden itibaren geçerli ve bağlayıcı olacaktır.

Bu DPA, aşağıda açıklandığı gibi geçerli olan iki (2) ayrı bölümden oluşur:

• Veri Gizliliği ve Güvenlik Standartları ile Gereklilikleri: Uygulama Veri Gizliliği ve Güvenlik Standartları ile Gereklilikleri. Bayi Programına katılımlarının niteliği ve kapsamı dahilinde PII'ye (“bu belgede tanımlandığı” gibi) erişimi olan ve bu bilgileri işleyen tüm Bayiler için geçerlidir.
• Standart Sözleşme Maddeleri (ve Ekler 1 ve 2): Standart Sözleşme Maddelerinin Uygulanması. Standart Sözleşme Maddeleri, Avrupa Komisyonu tarafından tanınmayan herhangi bir ülkeye, kişisel veriler için (GDPR'de açıklandığı gibi) yeterli düzeyde koruma sağlayarak, doğrudan ya da ileriye yönelik transfer şeklinde, AEA dışında aktarılan Müşteri Verileri için geçerli olacaktır. Standart Sözleşme Maddeleri, AEA'nın dışında doğrudan ya da ileriye yönelik transfer yoluyla aktarılmayan Müşteri Verileri için geçerli olmayacaktır. Yukarıdakilere bakılmaksızın, Standart Sözleşme Maddeleri, verilerin AB-ABD ve İsviçre-ABD Gizlilik Kalkanı Çerçeveleri gibi AEA dışındaki kişisel verilerin yasal olarak aktarılması için tanınan uyum standardına uygun olarak aktarıldığı durumlarda geçerli olmayacaktır.

1. Konu ve Kapsam

Bu Veri Gizliliği ve Güvenlik SLA'sı (“Güvenlik SLA’sı”), sizin tarafınızdan toplanan veya kullanılan herhangi bir PII'nın (aşağıda tanımlandığı gibi) güvenli ve Sözleşme maddeleri, bu Güvenlik SLA’sı ve geçerli yasa ve yönetmeliklere uygun şekilde ele alınmasını sağlamak amacıyla Sözleşme’ye eklenmiştir ve dahil edilmiştir.

2. Öncelik Sırası.

Bu Güvenlik SLA’sı, bu Sözleşme'ye dahil edilmiştir ve bir parçasıdır. Bu Güvenlik SLA'sında ele alınmayan konular için, Sözleşmenin şartları geçerlidir. Tarafların birbirlerine karşı hak ve yükümlülükleri ile ilgili olarak, Anlaşmanın şartları ile bu Güvenlik SLA'sı arasında bir çelişki olması durumunda, bu Güvenlik SLA'sının şartları öncelikli olacaktır. Güvenlik SLA’sı ile Standart Sözleşme Hükümleri arasında bir çelişki olması durumunda, Standart Sözleşme Hükümleri geçerli olacaktır.

3. Kişisel Bilgiler.

1. “PII” veya “Kişisel Bilgiler”, tanımlanmış veya tanımlanabilir bir gerçek kişiye ait herhangi bir ortamda veya herhangi bir biçimde bilgi anlamına gelecektir; tanımlanabilir gerçek kişi veya hane halkı, özellikle isim, adres, sosyal güvenlik numarası veya diğer bir kimlik numarası, e-posta adresi, telefon numarası, finansal profil, kredi kartı gibi bir tanımlayıcıya veya bilgisayar veya cihazla (ör. IP adresi gibi izleme teknolojileri aracılığıyla toplanan bilgiler) veya fiziksel, fizyolojik bir veya daha fazla faktöre makul biçimde bağlı olabilecek bilgiler, sürücü belgesi numarası veya o kişinin genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğini belirtebilen diğer bilgilere atfen doğrudan veya dolaylı olarak tanımlanabilen kişidir.

2. Bu DPA’nın amaçları doğrultusunda işleme; PII’nın toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, saklanması, uyarlanması veya değiştirilmesi, çıkarılması, danışılması, kullanımı, ifşa edilmesi, yayılması veya kullanılabilir hale getirilmesi, birleştirilmesi, sınırlandırılması, silinmesi veya imha edilmesini içerir.
3. GoDaddy, PII’yı yalnızca Size ve yegane olarak GoDaddy adına Hizmetleri yerine getirmeniz amacıyla açıklamaktadır ve Avrupa Birliği veya Avrupa Birliği Üye Devleti hukuku tarafından gerekli görülmediği sürece (bu durumda, bizi kanunen bilgilendirmemeniz gerekmiyorsa, önce derhal bize bildirmeniz gerekir) AB vatandaşlarının PII’larının Avrupa Birliği dışına aktarılması dahil olmak üzere, PII'yı yalnızca Sözleşme ve yazılı talimatlarımızda belirtilen sınırlı ve özel amaçlarla işleyebilirsiniz.
4. PII’yı satamazsınız; (ii) PII’yı Hizmetler’i sağlamak dışında herhangi bir ticari amaç doğrultusunda elinizde tutamaz, kullanamaz veya ifşa edemezsiniz; (iii) PII’yı GoDaddy ve Tarafınız arasında imzalanan Sözleşme dışında elinizde tutamaz, kullanamaz ve ifşa edemezsiniz.

5. PII’nın Sözleşme kapsamında GoDaddy şirketine sağlanan herhangi bir Hizmet ile ilişkili olarak ifşa edilmediğini kabul etmekte ve onaylamaktasınız. 2018 yılında yürürlüğe giren ve tadil edilen Kaliforniya Tüketici Gizliliği Yasası (“CCPA”) kapsamında “satmak” teriminin tanımına göre hiçbir PII satışı yapamazsınız. İşbu belgeyi imzalayarak, CCPA tahtındaki kuralları, gereklilikleri ve tanımlar ile bu DPA’da yer alan kısıtlamaları anladığınızı tasdik etmektesiniz. Tarafınıza veya Tarafınızdan herhangi bir PII transferinin CCPA ve yürürlükteki diğer tüm yasalar kapsamında “kişisel bilgi satışı” niteliğinde kabul edilmesine neden olacak her türlü eylemden imtina edeceğinizi kabul etmektesiniz.
6. AB vatandaşı bireyler ile ilgili PII'yı AB dışına (ya da bu PII halihazırda bir AB ülkesi dışındaysa, AB dışındaki herhangi bir üçüncü tarafa), yalnızca bu DPA maddeleri ve GDPR’nin 44 ila 49. Maddelerinde belirtilen koşullara uygun olarak (aşağıda tanımlandığı gibi) AB dışına aktarabilirsiniz.
7. Yönergelerimizin AB Veri Koruma Yasası (aşağıda belirtildiği gibi) dahil olmak üzere, yürürlükteki herhangi bir veri koruma kanununu ve yönetmeliğini ihlal ettiğini düşünüyorsanız, derhal bize privacy@godaddy.com adresinden bildirmeniz gerekir.

8. Tüm PII'yı kesinlikle gizli olarak ele almalısınız ve tüm çalışanlarını veya PII işlemekle görevlendirilmiş onaylanmış kişilerin PII’nın gizli niteliği hakkında bilgilendirilmesini ve tüm bu kişilerin veya tarafların güvenini sağlamak için uygun bir gizlilik sözleşmesi imzalamalarını sağlamalısınız.
9. Sözleşme kapsamında Bayi Programı ile ilgili olarak PII aldığınız, tuttuğunuz, işlediğiniz veya erişebildiğiniz ölçüde, bu tür bilgileri korumak için uygun kurumsal ve güvenliğe ilişkin önlemlerinin alınmasından sorumlu olduğunuzu kabul ve beyan edersiniz. Bu tür PII’yı, kişisel verilerin işlenmesi ve bu tür verilerin dolaşması ile ilgili olarak özel kişilerin korunması ile ilgili Avrupa Parlamentosu (AB) 2016/679 Yönetmeliği ve 27 Nisan 2016 Konseyi (“Genel Veri Koruması Yönetmeliği” veya “GDPR”) ve ilgili Avrupa Birliği Üye Devleti yönetmeliği ya da düzenlemeleri (birlikte “AB Veri Koruması Kanunu”) dahil ancak bunlarla sınırlı olmamak üzere geçerli tüm gizlilik ve veri koruma yasaları ve CCPA ile uyumlu olarak korumalı ve güvence altına almalısınız.

10. Bölüm 3.7'de atıfta bulunulan uygun organizasyon ve güvenlik önlemleri uygun olanları içerecektir, ancak bunlarla sınırlı değildir:
    1. Aşağıda Bölüm 3 ve 4’te belirtilen önlemler;
    2. Anlaşmada belirtilen amaçlar doğrultusunda yalnızca yetkili kişilerin PII’ya erişebilmesini sağlamak için gerekli önlemler;
    3. PII verilerinin anonimleştirilmesi ve şifrelenmesi;
    4. İşleme sistemlerinizin ve hizmetlerinizin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlama yeteneği;
    5. PII kullanılabilirliği ve erişimini zamanında kurtarma yeteneği;
    6. PII'nın işlenmesinin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini test etmek, belirlemek ve değerlendirmek için bir süreç; ve
    7. Sistemlerinizde PII'nin işlenmesiyle ilgili güvenlik açıklarını belirlemeye yönelik önlemler.
11. Sözleşme uyarınca performansını kolaylaştırmak için herhangi bir alt yüklenici, satıcı veya diğer üçüncü taraflarla sözleşme yaptığınız ölçüde, (i) bizden önceden yazılı izin almanız; ve (ii) bu tarafın bu DPA ve Sözleşmenin şartlarına uygun olmasını sağlamak için, söz konusu üçüncü taraf ile yazılı bir anlaşmaya varmanız gerekir.

12. Bölüm 1.11'e uygun olarak tarafımıza verilen herhangi bir yetkilendirmeye rağmen, bu tür alt yüklenicilerin, satıcıların veya diğer üçüncü tarafların bu DPA veya yürürlükteki gizlilik yasaları (veya bu DPA kapsamında sizin tarafınızdan üstlenilenlere eşdeğer yükümlülükleri üçüncü taraflara uygulamak için koyulmuş benzer bir sözleşme düzenlemesi) kapsamındaki yükümlülüklerini yerine getiremediği durumlarda bu tarafların fiillerinden tamamen sorumlu olacaksınız.
13. PII ile ilgili geçici veya kalıcı, kazara veya yasalara aykırı olarak, kullanamama, kayıp, yok edilme, yetkisiz ifşa veya yetkisiz erişim, hırsızlık veya güvenliğin tehlikeye atılması veya geçerli veri koruma yönetmeliklerinin ihlali ya da bu DPA’nın ihlali ile bağlantılı olarak tüm yükümlülük, masraflar ve kayıplar ile ilgili olarak, masraflar kendinize ait olmak üzere, bizi korur, tazmin eder ve masun tutarsınız.
14. Bu Sözleşme uyarınca sizin tarafınızdan alınması amaçlanmayan veya alma yetkinizin olmadığı Gizli Bilgilerimizi veya PII’mızı aldığınızı fark etmeniz durumunda, (i) bizi derhal privacy@godaddy.com adresinden bilgilendirmeli ve (ii) yazılı olarak aksi istenmedikçe, bu bilgilerle ilgili olarak ne yapmanız gerektiğini anlatan talimatlar privacy@godaddy.com tarafından size ulaştırılana kadar bilgileri tutmalısınız.

4. Etki Değerlendirmeleri ve Güvenlik Denetimleri

1. Veri Koruma Etki Değerşendirmeleri. Sözleşme kapsamındaki Bayi Programı ile ilgili herhangi bir gizlilik veya güvenlik riskini tanımlamak ve en aza indirmek için veri koruma etki değerlendirmelerinin yürütülmesinde bize yardımcı olmalısınız.
2. Düzenli Denetimler. Bu DPA’ya uygunluğunuzu düzenli olarak denetleme (veya bizim adımıza üçüncü bir tarafın denetlemesini sağlama) hakkımızı saklı tutarız.
3. Olay Sonrası Denetim. Bir Bayi güvenlik ihlali durumunda, PII verilerinin etkilenmediğinden emin olmak için güvenlik denetimi yapabiliriz. Denetim yoluyla tespit edilen sorunlara yanıt vermeniz için size 90 gün verilir. Tanımlanan sorunlar çözüldükten sonra, çözüm sürecinin tamamlanmasını sağlamak için bir güvenlik denetimi yapabiliriz.
4. Uyumsuzluk Bildirimi. Herhangi bir nedenle bu DPA’daki taahhütlerin herhangi yerine getiremezseniz, bu durumu derhal bize bildirmeniz gerekir. Böyle bir durumda, herhangi bir sorunu hızlı bir şekilde ve herhangi bir PII güvenliğini tehlikeye atmadan çözüp çözemeyeceğini bildirmelisiniz. Çözemiyorsa, Sözleşmeyi gecikmeden, ceza olmadan veya başka bir yükümlülüğünüz olmadan feshetmeyi seçebiliriz.

5. Güvenlik Olayı Müdahalesi

1. Bildirim Zamanlaması. Hizmetleriniz ve/veya PII’nızla ilgili herhangi bir güvenlik olayı olduğunu keşfettikten hemen sonra bize bildireceksiniz ve bu olayın bizler veya PII üzerindeki etkisi hakkında anında geri bildirimde bulunacaksınız. Böyle bir olayı tespit ettikten hemen sonra, ancak herhangi bir durumda olayı tespit ettikten sonra en geç 1 saat içinde güvenlik olayını bize bildirmek için elinizden geleni yapacaksınız. Bu DPA’nın amaçları doğrultusunda bir olay, şunları kapsamalıdır:
   1. AB Veri Koruma Yasası da dahil olmak üzere, ilgili yasalara göre bireyin haklarının kullanımıyla ilgili bir şikayet veya talep;
   2. Hükümet yetkilileri, düzenleyici ya da kolluk kuvvetleri tarafından PII’nın araştırılması ya da ele geçirilmesi ya da bu soruşturmanın ya da ele geçirmenin tasarlandığına dair göstergeler;
   3. PII ile ilgili geçici veya kalıcı, kazara veya yasalara aykırı olarak, kullanamama, kayıp, yok edilme, yetkisiz ifşa veya yetkisiz erişim, hırsızlık veya güvenliğin tehlikeye atılması; ve
   4. Bu DPA’da belirtilen güvenlik ve/veya gizlilik yükümlülüklerinin ihlali.
2. Bildirim Formatı ve İçeriği. Güvenlik ihlali bildirimi, Ağ Operasyon Merkezi'ne (NOC) (480) 505-8809 numaralı telefondan bir telefon görüşmesi şeklinde gönderilir ve bunu securitybreach@godaddy.com adresine yazılı olarak yapılan bildirim takip eder. Bildirim için telefon görüşmesi sırasında aşağıdaki bilgileri vermeniz ve yazılı bildirimde, ek bilgilere ulaşılabilmesi amacıyla daha fazla güncelleme sunarak mümkün olan en yüksek düzeyde bilgi sunmanız gerekir:
   1. Olayın niteliği ve olası sonuçları hakkında bir açıklama;
   2. Tahmini çözüm süresi (biliniyorsa);
   3. Tarafımıza, PII'ye veya ilgili bireylere olası olumsuz etkilerini hafifletmeye yönelik önlemler de dahil olmak üzere, olayı ele almak için alınan veya önerilen önlemlerin bir açıklaması;
   4. Telefon görüşmesi yapıldığı sırada çözüm yolu bilinmiyor ise, henüz belirlenmediğini belirtmelisiniz;
   5. Olaylardan potansiyel olarak etkilenen PII ve bireylerin yaklaşık hacmi ve kategorileri ile bu PII ve ilgili bireyler üzerindeki olayın olası sonuçları; ve
   6. Olay güncellemelerini almak için iletişime geçebileceğiniz bir Bayi temsilcisi adı ve telefon numarası.
3. Güvenlik Kaynakları. Sizinle karşılıklı anlaşmamız üzerine, belirlenen bir güvenlik ihlali ile ilgili olarak yardımcı olmak için güvenlik grubumuzdan kaynaklar sağlayabiliriz. AB Veri Koruma Yasası veya diğer yasal, düzenleyici, idari yükümlülükler veya sözleşme ihlali bildirimi yükümlülükleri kapsamındaki bir güvenlik ihlali bildirimi ile ilgili yükümlülükleri yerine getirmemize yardımcı olmayı kabul edersiniz.

6. Kriptografi

1. Özel Şifreleme. Sizinle alt yüklenici, satıcı veya diğer üçüncü taraflar arasındaki güvenli işlemler ile Gizli Bilgilerimizin veya PII’nın saklanması için, sizin tarafınızdan geliştirilen herhangi bir şifreleme algoritması kullanılamaz. Uygulama altyapısı tarafından kullanılan herhangi bir simetrik, asimetrik veya karma algoritma, genel kriptografik topluluk tarafından yayınlanmış ve değerlendirilmiş olan algoritmaları kullanacaktır.
2. Şifreleme Gücü. Şifreleme algoritmaları, mevcut endüstri standardı teknoloji ve AES gibi yeterli güce sahip olmalıdır. SHA-256 veya RSA herkese açık anahtar şifreleme.
3. Karma İşlevleri. Karma işlevleri, SHA-256 ve SHA-1 olmadan, MD-5, SHA-2, SHA-3 veya benzerlerinden en az birinin bir kombinasyonu olacaktır. Alternatif karma işlevleri kullanılacaksa, Bilgi Güvenliği Ekibimizden açıkça onay almış olmalıdır ve en az bir onaylı algoritma eşlik etmelidir.

7. PII İşleme

1. Yasalara Uyum. Uygulanabilir olduğu ölçüde, Sözleşme uyarınca PII'ları işlenen ve AB Veri Koruma Yasası uyarınca haklarını kullanmak isteyen bir kişinin, şunları içeren ama sınırlı olmayan taleplerine yanıt verme yükümlülüklerimizi yerine getirmemize yardımcı olacaksınız: (i) erişim hakkı; (ii) veri taşınabilirliği hakkı; (iii) silme hakkı; (iv) düzeltme hakkı; (v) otomatik karar almaya itiraz etme hakkı; veya (vi) işlemeye itiraz hakkı.
2. Silme/İmha Etme. Sözleşmenin feshedilmesinden sonra, isteğimiz üzerine veya isteğimiz olmadan herhangi bir zamanda, Şifreli Silme (NIST SP-800-88r1) veya eşdeğer bir yöntem kullanarak tüm PII'yı güvenli bir şekilde silmeli/imha etmeli veya geri göndermeli ve depolama için kullanılan fiziksel sürücülerin üzerine yazmalısınız.

Üçüncü ülkelerde kurulmuş olan ve yeterli düzeyde veri koruması sağlamayan işleyicilere kişisel verilerin aktarılması için 95/46/EC sayılı Direktifin 26(2) Maddesi uyarınca

verileri veren taraf: GoDaddy.com, LLC ve bağlı kuruluşları

ve

verileri alan taraf: Sözleşmenin şartlarına tabi olan Bayi Programına katılan, belirtilen Bayi.

her bir ‘taraf’; birlikte ‘taraflar’,

Ek 1'de belirtilen kişisel verilerin verileri alan tarafça verileri veren tarafa mahremiyetin korunması ve bireylerin temel hak ve özgürlüklerinin korunması ile ilgili olarak yeterli güvencelerin sağlanması amacıyla aşağıdaki Sözleşmeye İlişkin Hükümler (Şartlar) üzerinde ANLAŞMIŞTIR.

Bu Maddelerin amaçları için:

(a) 'kişisel veriler', 'özel veri kategorileri', 'işleme/işlem', 'denetçi', 'işlemci', 'veri sahibi' ve 'denetim kurulu' Kişisel bilgilerin işlenmesi ve bu verilerin serbest dolaşımı ile ilgili olarak bireylerin korunmasına ilişkin Avrupa Parlamentosu ve Konseyi'nin 24 Ekim 1995 tarihli ve 95/46/EC sayılı Direktifi ile aynı anlama gelecektir;

(b) 'verileri veren taraf', kişisel verilerin aktarımını denetleyen taraf anlamına gelir;

(c) 'verileri alan taraf', talimatlar ve Şartların hükümlerine uygun bir şekilde aktarıldıktan sonra, kendi adına işlem yapmak üzere hazırlanan verileri veren tarafın kişisel verilerinden almayı kabul eden ve 95/46/EC sayılı Direktifin Madde 25(1) uyarınca yeterli koruma sağlayan üçüncü bir ülkenin sistemine tabi olmayan işlemci anlamına gelir;

(d) alt işlemci, verileri veren taraf adına, yalnızca talimatları, Maddelerin hükümleri ve yazılı alt sözleşmenin maddeleri uyarınca veri aktarımı yapıldıktan sonra yürütülecek olan işleme faaliyetlerine yönelik kişisel verileri alan tarafın alt işlemcisinden veya verileri alan taraftan verileri almayı kabul eden ve verileri alan tarafça ya da verileri alan tarafın alt işlemcisi tarafından hizmetleri kullanılan işlemci anlamına gelir;

(e) 'geçerli veri koruma kanunu' bireylerin temel hak ve özgürlüklerini koruyan mevzuat ve özellikle de verileri veren tarafın oluşturulduğu Üye Devletteki bir veri denetleyicisine uygulanan kişisel verilerin işlenmesine ilişkin mahremiyet hakları anlamına gelir;

(f) 'teknik ve organizasyonel güvenlik önlemleri' kişisel verilerin kazayla veya yasa dışı yıkıma veya kazayla kaybedilmesine, değiştirilmesine, yetkisiz ifşaya veya erişime karşı korunmasını amaçlayan önlemler, özellikle de işlemin bir ağ üzerinden veri iletimini içerdiği ve diğer tüm yasa dışı işlem biçimlerine karşı korunma anlamına gelir.

Transferin detayları ve özellikle uygulanabilir olduğunda özel kişisel veri kategorileri, Madde 1'in ayrılmaz bir parçasını oluşturan Ek 1'de belirtilmiştir.

1. Veri öznesi; bu Madde, Madde 4(b) ila (i), Madde 5(a) ila (e) ve (g) ila (j), Madde 6(1) ve (2), Madde 7, Madde 8(2) ve Madde 9 ila 12’yi, üçüncü taraf lehtarı olarak verileri veren tarafa karşı uygulayabilir.

2. Veri öznesi, verileri alan tarafın sözleşmeden veya hukukun işleyişi ile tüm yasal yükümlülüklerini üstlenmediği sürece, verileri veren tarafın fiilen ortadan kaybolmadığı veya hukukta varlığının sona ermediği durumlarda, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 - 12’ye ait verileri alan tarafa karşı uygulanabilir, bunun sonucu olarak, verileri veren taraf hak ve yükümlülüklerini üstlenir, bu durumda veri konusu bunları böyle bir varlığa karşı uygulayabilir.

3. Veri öznesi, alt işlemcinin sözleşmeden veya hukukun işleyişi ile tüm yasal yükümlülüklerini üstlenmediği sürece, hem verileri veren tarafın hem de verileri alan tarafın fiilen ortadan kaybolmadığı veya hukukta varlığının sona ermediği durumlarda, bu Madde, Madde 5(a) - (e) ve (g), Madde 6, Madde 7, Madde 8(2) ve Madde 9 - 12’ye ait verileri alan tarafa karşı uygulanabilir, bunun sonucu olarak, verileri veren taraf hak ve yükümlülüklerini üstlenir, bu durumda veri konusu bunları böyle bir varlığa karşı uygulayabilir. Alt işlemcinin bu tür üçüncü şahıs yükümlülüğü, Hükümler altında kendi işleme operasyonlarıyla sınırlandırılacaktır.

4. Taraflar, veri öznesinin açıkça ifade etmesi ve ulusal yasaların izin verdiği durumlarda bir dernek veya başka bir kurum tarafından temsil edilen bir veri öznesine karşı çıkmazlar.

Verileri veren taraf, aşağıdaki maddeleri kabul eder ve garantiler:

(a) Kişisel verilerin aktarımının kendisi de dahil olmak üzere işleme, yürürlükte olan veri koruma kanununun ilgili hükümlerine uygun olarak yürütülmektedir ve buna devam edecektir (ve geçerli olduğu durumlarda, verileri veren tarafın bulunduğu Üye Devletin ilgili yetkililerine bildirilmiştir) ve bu Devletin ilgili hükümlerini ihlal etmemektedir;

(b) Kişisel veri işleme hizmetleri süresince, verileri alan tarafa sadece verileri veren taraf adına transfer edilen kişisel verileri ve geçerli veri koruma kanunu ve Maddelere uygun olarak işlemek için talimat verir ve yönlendirir;

(c) Verileri alan taraf, bu sözleşmede yer alan Ek Madde 2'de belirtilen teknik ve organizasyonel güvenlik önlemleri konusunda yeterli garantiler sağlayacaktır;

(d) Yürürlükteki veri koruma kanununun gerekliliklerinin değerlendirilmesinden sonra, güvenlik önlemleri, kişisel verilerin kazayla veya yasa dışı yıkıma veya kazayla kaybedilmesine, değiştirilmesine, yetkisiz ifşaya veya erişime karşı korunması için özellikle uygundur; ağ ve diğer tüm yasadışı işleme biçimlerine karşı ve bu önlemler, işlemenin getirdiği risklere ve teknolojinin durumuna ve bunların maliyetine göre korunacak verilerin niteliğine uygun bir güvenlik düzeyi temin eder;

(e) Güvenlik önlemleri ile uyumluluk sağlayacaktır;

(f) Transfer, özel veri kategorileri içeriyorsa, veri öznesi daha önce veya mümkün olduğu kadar kısa bir süre sonra, verilerin 95/46/EC sayılı Direktif kapsamında yeterli seviyede koruma sağlayamayan üçüncü bir ülkeye aktarılabileceği konusunda bilgilendirilmiş olur veya bilgilendirilecektir;

(g) Verileri veren taraf, devir işlemine devam etmeye veya askıya alma işlemine devam etmeye karar verirse, veri koruma denetim otoritesine Madde 5(b) ve Madde 8(3) uyarınca veri verileri alan taraftan veya alt işlemciden alınan herhangi bir bildirimi iletmek;

(h) Maddeler veya sözleşme ticari bilgiler içermedikçe (ki bu durumda bu ticari bilgiler silinebilir), veri öznesine, Ek 2 dışında Maddelerin bir kopyasını sağlama ve güvenlik önlemlerinin özet bir tanımının yanı sıra, Maddeler ile uyumlu olarak yapılması gereken alt işleme hizmetlerine ait sözleşmenin bir kopyasının temin edilmesi;

(i) Alt işleme durumunda, işlem faaliyetinin, Madde 11 uyarınca, kişisel veriler için en azından aynı koruma seviyesini ve Madde altındaki verileri alan taraf olarak tabi tutulan veri haklarını sağlayan bir alt işlemcinin gerçekleştirdiği; ve

(j) Madde 4(a) ila (i) ile uyum sağlayacaktır.

Verileri alan taraf, aşağıdaki maddeleri kabul eder ve garantiler:

(a) Kişisel verileri sadece verileri veren taraf adına ve talimatlarına ve Maddelere uygun olarak işlemek; herhangi bir sebepten dolayı bu tür bir uyum sağlayamazsa, verileri veren tarafa uyumsuzluğunu derhal bildirmeyi kabul eder ve bu durumda verileri veren taraf veri transferini askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;

(b) Yürürlükteki mevzuatın, verileri veren taraf ve sözleşme kapsamındaki yükümlülüklerini yerine getirmesini ve bu mevzuatta önemli bir ters etkisinin olması muhtemel olan bir değişiklik olması durumunda, bunun uygulanmasını engelleyebileceğine inanmak için hiçbir neden yoktur. Maddelerin verdiği garantiler ve yükümlülükler hakkında, bilgi sahibi olan tarafın haberdar olduğunu hemen fark eder etmez, bu durumda verileri veren taraf veri transferini askıya alma ve/veya sözleşmeyi feshetme hakkına sahiptir;

(c) Aktarılan kişisel verilerin işlenmesinden önce Ek'te belirtilen teknik ve organizasyonel güvenlik önlemlerini uygulamıştır;

(d) Verileri veren tarafı aşağıdakilerle ilgili olarak hemen bilgilendirecektir:

(i) Bir yasa uygulama soruşturmasının gizliliğini korumak için ceza hukuku kapsamındaki bir yasaklama gibi başka bir şekilde yasaklanmadıkça, kişisel verilerin bir kanun uygulayıcı makam tarafından açıklanması için yasal olarak bağlayıcı herhangi bir talep,

(ii) Herhangi bir kazara veya yetkisiz erişim, ve

(iii) Aksi için yetkilendirilmedikçe, bu talebe yanıt vermeden doğrudan veri öznesinden alınan herhangi bir talep;

(e) Aktarılan kişisel verilerin işlenmesiyle ilgili olarak verileri veren taraftan gelen tüm soruları derhal ve uygun bir şekilde ele almak ve aktarılan verilerin işlenmesi ile ilgili olarak denetim kurulunun tavsiyesine uymak;

(f) Verileri veren tarafın, verileri veren taraflarca yürütülecek işlem faaliyetlerinin denetlenmesi için bilgi işlem tesislerinin talebi üzerine, verileri veren taraf veya bağımsız üyelerden oluşan bir denetim organı tarafından yerine getirilmesi ve gerekli mesleki niteliklere sahip olması Denetim otoritesi ile mutabakat halinde, verileri veren tarafça seçilen bir gizlilik yükümlülüğü;

(g) Maddeler veya sözleşme ticari bilgiler içermedikçe (ki bu durumda bu ticari bilgiler silinebilir), veri öznesinin verileri veren taraftan bir kopyasını alamadığı durumlarda güvenlik önlemlerinin özet bir tanımlaması ile değiştirilecek olan Ek 2 istisna olmak üzere, talep üzerine veri öznesine Maddelerin bir kopyasının sağlanması veya alt işleme için var olan her türlü sözleşmenin temin edilmesi;

(h) Alt işleme durumunda, verileri veren tarafı daha önceden bilgilendirir ve önceden yazılı onayını alır;

(i) Alt işlemci, işlem hizmetlerinin Madde 11'e uygun olarak gerçekleştirecektir;

(j) Verileri veren tarafa, Maddeler uyarınca, herhangi bir alt işlemci sözleşmesinin bir kopyasını derhal göndermek.

(k) Masrafları kendine ait olmak üzere, kişisel veriler ile ilgili her türlü kayıp, yetkisiz ifşa, hırsızlık veya güvenliğin tehlikeye atılması ve verileri alan tarafça veya verileri alan taraftan kaynaklanan tüm geçerli veri koruma yönetmeliklerinin ihlali ile bağlantılı tüm yükümlülük ve kayıplara karşı verileri veren tarafı korur, tazmin eder ve masun tutar.

1. Taraflar, herhangi bir tarafın veya alt işlemcinin Madde 3 veya Madde 11 ile belirtilen yükümlülüklerin ihlali neticesinde zarara uğramış olan herhangi bir veri öznesinin, maruz kaldığı zararlar için verileri veren taraftan tazminat alma hakkına sahip olduğunu kabul eder.

3. Bir veri öznesinin paragraf 3'e uygun olarak verileri veren taraftan (11. maddede veya Madde 11'de belirtilen yükümlülüklerinden herhangi birinin verileri alan taraf veya alt işlemcisinin ihlali sonucu ortaya çıkan) tazminat talebinde bulunamazsa, verileri veren taraf ya hukuki olarak ortadan kalkmış ya da sonlanmış ya da hukuka aykırı hale gelmiş bulunduğu için, herhangi bir halef varlığının, kanunun işleyişi ile sözleşmeyle verileri veren taraf bütün yasal yükümlülüklerini üstlenmediği sürece (bu durumda veri konusu haklarını uygulayabilir), verileri alan taraf, veri öznesinin verileri veren tarafmış gibi verileri veren tarafa karşı tazminat talebinde bulunabileceğini kabul eder.
   
   Verileri alan taraf, kendi yükümlülüklerinden kaçınmak için yükümlülüklerinin bir alt işlemcisinin ihlaline güvenmez.

4. Bir veri öznesi, 11. veya 11. maddede belirtilen yükümlülüklerinden herhangi birinin alt işlemcisinin ihlali sonucu ortaya çıkan verileri veren tarafa veya paragraf 2 ve 3'ye atıfta bulunulan verileri alan tarafa karşı bir talepte bulunamazsa; hem verileri veren taraf hem de verileri alan taraf, yasada varlığını yitirmiş ya da ortadan kalkmış ya da hükümsüz hale geldiğinden alt işlemcinin, veri öznesinin, veri alt işlemcisine, kendi alt işlemlerine ilişkin olarak, herhangi bir halef olan tarafın verileri veren taraf veya verileri alan tarafça yasal zorunluluklarını sözleşme ya da kanunun işleyişi ile üstlenmediği sürece, verileri veren taraf veya verileri alan taraf, bu durumda veri konusu bu tür varlıklara karşı haklarını uygulayabilir. Alt işlemcinin bu yükümlülüğü, Hükümler altında kendi işleme operasyonlarıyla sınırlandırılacaktır.

1. Verileri alan taraf, veri öznesi üçüncü taraf lehtar hakları ve/veya Hükümler altındaki zararlar için tazminat talebinde bulunursa, verileri alan taraf veri öznesinin kararını kabul edeceğini kabul eder:
   
   (a) uyuşmazlığın arabuluculuğa, bağımsız bir kişi tarafından veya uygun hallerde denetim otoritesi tarafından yönlendirilmesi;
   
   (b) uyuşmazlığın, verileri veren tarafın bulunduğu Üye Devletteki mahkemelere iletilmesi.

2. Taraflar, veri öznesi tarafından yapılan seçimin, ulusal veya uluslararası kanunların diğer hükümlerine uygun olarak yasal yollara başvurma konusundaki maddi veya usuli haklarına zarar vermeyeceğini kabul eder.

1. Verileri veren taraf, bu sözleşmenin bir nüshasını talep ettiği takdirde ya da yürürlükteki veri koruma yasası kapsamında gerekli ise, düzenleyici kurumlara vermeyi kabul eder.

2. Taraflar, düzenleyici kurumun verileri alan taraf ve aynı kapsamda olan ve verileri veren tarafın geçerli veriler altında denetimine uygulanacak aynı şartlara tabi olan herhangi bir alt işlemcinin, koruma kanunu uyarınca, denetimini yapma hakkına sahip olduğu konusunda mutabıktır.

3. Verileri alan taraf, verileri veren tarafı, 2. paragraf uyarınca, kendisine uygulanacak mevzuatın mevcudiyeti veya verileri veren tarafı, denetiminin yürütülmesini engelleyen bir alt işlemci veya herhangi bir alt işlemci hakkında derhal bilgilendirecektir. Böyle bir durumda, verileri veren taraf Madde 5 (b)'de öngörülen önlemleri alma hakkına sahip olacaktır.

Maddeler, verileri veren tarafın bulunduğu Üye Devletin yasasına göre yönetilir veya verileri veren tarafın birden fazla yargı bölgesinde bulunması durumunda İngiltere ve Galler yasalarına tabi olacaktır.

Taraflar, Maddeleri değiştirmeyeceklerini taahhüt ederler. Bu, tarafların, Madde ile çelişmedikleri sürece, gerekli görülen durumlarda iş konularıyla ilgili hükümler eklemelerini engellemez.

1. Verileri alan taraf, verileri veren tarafın önceden yazılı onayı olmaksızın Maddeler uyarınca verileri veren taraf adına gerçekleştirilen herhangi bir işlem işlemini alt sözleşmeye tabi tutamaz. Verileri alan taraf, Maddeler altındaki yükümlülüklerini, verileri veren tarafça onaylanınca, yalnızca alt işlemciyle birlikte yazılı bir anlaşma yaparak, alt işlemciyle aynı yükümlülükleri yükleyen ve bu bağlamda, verileri alan tarafa ait yükümlülükleri yerine getirecektir. Alt işlemcinin bu yazılı anlaşma kapsamında veri koruma yükümlülüklerini yerine getirememesi durumunda, verileri alan taraf, alt işlemcinin bu anlaşma kapsamındaki yükümlülüklerinin yerine getirilmesi için verileri veren tarafa tamamen yükümlü kalacaktır.

2. Verileri alan taraf ile alt işlemci arasındaki önceden yazılı sözleşme, ayrıca, veri konusunun 6'ncı maddenin 6. fıkrasında belirtilen tazminat talebini karşılayamadığı durumlar için 1. maddede belirtilen üçüncü taraf lehtar şartını da sağlayacaktır; verileri veren taraf ya da verileri alan taraf karşısında, gerçekte ortadan kalkmış ya da yasada var olmadıkları ya da hükümsüz hale geldikleri ve herhangi bir halef varlığının, verileri veren taraf ya da verileri alan tarafça sözleşme ile ya da hukukun işleyişi ile tüm yasal yükümlülüklerini üstlendiği varsayılmıştır. Alt işlemcinin bu tür üçüncü şahıs yükümlülüğü, Hükümler altında kendi işleme operasyonlarıyla sınırlandırılacaktır.

3. 1. paragrafta atıfta bulunulan sözleşmenin alt işlemine ilişkin veri koruma yönleri ile ilgili hükümler, verileri veren tarafın bulunduğu Üye Devletin yasasına tabidir.

4. Verileri veren taraf, en az yılda bir kez güncellenecek olan Madde 5 (j) uyarınca verileri alan tarafça bildirilen ve Maddelere göre yapılan alt işlem sözleşmelerinin listesini tutacaktır. Liste, verileri veren tarafın veri koruma denetim yetkisine açık olacaktır.

1. Taraflar, veri işleme hizmetlerinin verilmesinin sona ermesi üzerine, verileri alan taraf ve alt işlemcinin, verileri veren tarafın seçiminde olmak üzere, aktarılan tüm kişisel verileri ve kopyalarını verileri veren tarafa iade edeceğini veya verileri veren tarafa göndereceğini ve verileri veren tarafa bu konuda onay vereceğini, verileri alan tarafa empoze edilen mevzuatın, aktarılan kişisel verilerin tamamını veya bir kısmını iade etmesini veya yok etmesini engellememesi halinde, kabul eder. Bu durumda, verileri veren taraf aktarılan kişisel verilerin gizliliğini ve aktarılan kişisel verileri artık işlemeyeceğini garanti eder.

2. Verileri alan taraf ve alt işlemci, verileri veren taraf ve/veya denetleyici makamın talebi üzerine, 1. paragrafta atıfta bulunulan önlemlerin denetimine yönelik bilgi işlem tesislerini sunacaktır.

Ek SOW'de yer almadığı takdirde gerekli ek bilgiler bu Ekte yer almalıdır:

Verileri veren taraf:
Verileri veren taraf GoDaddy olarak tanımlanan varlıktır, belirli GoDaddy ürün ve hizmetlerini müşterilere satmak için verileri alan taraf için bayi programı sağlayan taraftır.

Verileri alan taraf:

Verileri veren taraf, GoDaddy ürün ve hizmetlerinin bayisidir.

Veri özneleri

Veri özneleri müşterilerdir.

Veri kategorileri

Aktarılan kişisel bilgiler aşağıdaki veri kategorileri ile ilgilidir:

Müşteri, aşağıdaki kişisel veri kategorilerini dahil edebilecek ancak bunlarla sınırlı olmayan kişisel verileri Hizmetlere sunabilir:

• Adı ve soyadı
• E-posta
• Telefon numarası
• Fiziksel Adres
• İşleme operasyonları

Aktarılan kişisel veriler aşağıdaki temel işlem faaliyetlerine tabi olacaktır:

Bayi, Hizmetlerin kullanımı boyunca Bayi Anlaşması kapsamında Hizmetleri yerine getirmek için ve müşteri tarafından belirtildiği şekilde kişisel verileri gerektiği gibi işleyecektir.

Teknik ve Organizasyon Güvenlik Önlemleri

Verileri Alan Taraf, bu Veri İşleme Ek Sözleşmesi'nde belirtilen Kişisel Veriler de dahil olmak üzere, müşteri verilerinin, güvenlik, gizlilik ve bütünlüğünün korunması için teknik ve idari önlemleri muhafaza edecektir. Verileri Alan Taraf, bu koruma önlemlerine uyumu düzenli olarak izleyecektir. Verileri Alan Taraf, Hizmetlerin veya Bayi Programının genel güvenliğini ciddi şekilde azaltamaz.