NEDEN:
A. Müşteri, Veri Kontrolörü olarak hareket etmektedir.
B. Müşteri, kişisel verilerin işlenmesini içeren belirli Hizmetleri Zonos'a İşlemci olarak alt yüklenmek istemektedir.
C. Taraflar, veri işleme ile ilgili mevcut yasal çerçeveye ve 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi'nin 2016/679 sayılı Yönetmeliğine (Genel Veri Koruma Yönetmeliği) uygun bir DPA uygulamayı hedeflemektedir.
D. Taraflar, haklarını ve yükümlülüklerini belirlemek istemektedir.
Bu DPA, bu belgenin altında atıfta bulunulan ekleri ve ekleri içermekte ve bunları referans olarak almaktadır. Bu DPA'da tanımlanmayan tüm büyük harfle yazılmış terimler, Ana Anlaşma'da belirtilen anlamı taşır.
Taraflar aşağıdaki gibi anlaşmaktadır:
1. Tanımlar
Aksi belirtilmedikçe, bu DPA'da kullanılan büyük harfli terimler ve ifadeler aşağıdaki anlamlara gelir:
-
“Sözleşmeli İşlemci” bir Alt İşlemci anlamına gelir;
-
“Veri Koruma Yasaları” AB Veri Koruma Yasalarını ve uygulanabilir olduğu ölçüde başka bir ülkenin veri koruma veya gizlilik yasalarını ifade eder;
-
“Veri Transferi” şunları ifade eder:
- Müşteriden bir Sözleşmeli İşlemciye Kişisel Veri transferi; veya
- Bir Sözleşmeli İşlemciden bir Alt İşlemciye veya Sözleşmeli İşlemcinin iki kuruluşu arasında Kişisel Veri transferi, her durumda, bu tür transferin Veri Koruma Yasaları tarafından (veya Veri Koruma Yasalarının veri transferi kısıtlamalarını ele almak için yerleştirilen veri transferi anlaşmalarının şartları tarafından) yasaklanmış olması durumunda;
-
“DPA” bu Veri İşleme Anlaşmasını ve tüm Ekleri ifade eder;
-
“AEA” Avrupa Ekonomik Alanı anlamına gelir;
-
“AB Veri Koruma Yasaları” AB Direktifi 95/46/EC, her Üye Devletin ulusal mevzuatına aktarılması ve zaman zaman değiştirilmesi, yerine konulması veya geçersiz kılınması, GDPR ve GDPR'ı tamamlayan veya uygulayan yasalar dahil olmak üzere;
-
“GDPR” AB Genel Veri Koruma Tüzüğü 2016/679 anlamına gelir;
-
“Kişisel Veri” bir Sözleşmeli İşlemci tarafından Müşteri adına Ana Sözleşme kapsamında veya bağlantılı olarak İşlenen herhangi bir Kişisel Veri anlamına gelir;
-
“Hizmetler” Zonos tarafından Müşteriye Ana Sözleşme uyarınca ve daha ayrıntılı olarak tanımlanan herhangi bir ürün veya hizmet anlamına gelir;
-
“Alt İşlemci” Zonos tarafından veya adına Müşteri adına Kişisel Verileri işlemek için atanan herhangi bir İşlemci anlamına gelir.
-
Terimler, “Denetleyici,” “Veri Sahibi,” “Üye Devlet,” “Kişisel Veri,” “Kişisel Veri İhlali” ve “İşleme” kelimeleri GDPR'da olduğu gibi aynı anlama gelir ve bunların eş anlamlı terimleri buna göre yorumlanır.
2. Müşteri Yükümlülükleri
-
Yasalara Uyum.
- DPA kapsamında ve Hizmetlerin kullanımında Müşteri, Kişisel Verilerin İşlenmesi ve Zonos'a verdiği işleme talimatlarına ilişkin olarak bir Denetleyici olarak Veri Koruma Yasaları altındaki yükümlülüklerine uymayı kabul eder.
- Müşteri, Zonos'ın Kişisel Verileri işlemesine ve Ana Sözleşme ve bu DPA uyarınca Hizmetleri sağlamasına olanak tanıyan tüm izinleri ve hakları bildirmiştir ve edinmiştir (veya edinecektir).
-
Denetleyici Talimatları. Taraflar, Ana Sözleşme (bu DPA dahil) ile birlikte Müşteri'nin Zonos Hizmetlerini Ana Sözleşmeye uygun olarak kullanmasının, Kişisel Verilerin İşlenmesi ile ilgili Müşteri'nin Zonos'a verdiği tam ve nihai talimatları oluşturduğu konusunda anlaşmaktadır ve talimatların kapsamı dışındaki ek talimatlar Müşteri ve Zonos arasında önceden yazılı bir anlaşma gerektirir.
3. Zonos Yükümlülükleri
-
Yasalara Uyum. DPA kapsamında ve Hizmetlerin kullanımında Zonos:
- Kişisel Verilerin İşlenmesinde bir İşlemci olarak geçerli tüm Veri Koruma Yasalarına uymaktan sorumlu olacaktır; ve
- Müşteri'nin belgelenmiş talimatları dışında Müşteri'nin Kişisel Verilerini işlemeyecektir.
-
Zonos Personeli. Zonos, Kişisel Verilere erişebilecek herhangi bir çalışan, ajan veya taşeronun güvenilirliğini sağlamak için makul adımlar atacaktır, her durumda erişim, yalnızca Ana Sözleşme amaçları için ve ilgili Kişisel Verilere erişmeleri gereken kişilere sıkı bir şekilde sınırlı olacaktır ve geçerli Yasalar çerçevesinde bu kişinin Sözleşmeli İşlemciye olan görevlerini yerine getirirken gizlilik taahhütleri veya mesleki veya yasal gizlilik yükümlülüklerine tabi olacaktır.
-
Güvenlik.
- Sanatın durumunu, uygulama maliyetlerini, İşlemenin doğasını, kapsamını, bağlamını ve amaçlarını ve doğal kişilerin hak ve özgürlükleri için değişen olasılık ve şiddet riskini göz önünde bulundurarak, Zonos, Kişisel Verilerle ilgili olarak, o risk için uygun bir güvenlik seviyesini sağlamak üzere uygun teknik ve organizasyonel önlemler uygulayacaktır, gerektiğinde GDPR Madde 32(1)'de belirtilen önlemler dahil.
- Uygun güvenlik seviyesini değerlendirirken, Zonos, özellikle Kişisel Veri İhlalinden kaynaklanan riskleri göz önünde bulunduracaktır.
-
Alt İşleme. Zonos, Müşteri tarafından gerekli veya yetkilendirilmedikçe herhangi bir Alt İşlemci atamayacak (veya herhangi bir Kişisel Veriyi ifşa etmeyecektir).
-
Veri Sahibi Hakları.
-
İşlemenin doğasını göz önünde bulundurarak, Zonos, Veri Koruma Yasaları altında Veri Sahibi haklarını kullanma taleplerine yanıt vermek için Zonos'ın yükümlülüklerini yerine getirmesine, makul ölçüde Zonos tarafından anlaşıldığı şekilde, uygun teknik ve organizasyonel önlemler uygulayarak Müşteriye yardımcı olacaktır.
-
Zonos kabul eder:
- Bir Veri Sahibinden herhangi bir Veri Koruma Yasası kapsamında bir talep aldığında Müşteriye derhal bildirecektir; ve
- Belge üzerinde Müşteri'nin talimatları dışında bu talebe yanıt vermemeyi sağlayacaktır, ancak Zonos'ın tabi olduğu Uygulanabilir Yasalar tarafından gerektirildiği durumlarda, Zonos, Uygulanabilir Yasaların izin verdiği ölçüde, Sözleşmeli İşlemci talebe yanıt vermeden önce Müşteriye bu yasal gerekliliği bildirecektir.
-
-
Kişisel Veri İhlali.
- Zonos, Kişisel Verileri etkileyen bir Kişisel Veri İhlali farkına vardığında, Müşteriye derhal bildirecek ve Müşteriye, Veri Koruma Yasaları altında Veri Sahiplerini Kişisel Veri İhlali hakkında bilgilendirme veya bildirim yapma yükümlülüklerini yerine getirmesine olanak tanıyacak yeterli bilgi sağlayacaktır.
- Zonos, Müşteri ile işbirliği yapacak ve her bir Kişisel Veri İhlalinin araştırılması, hafifletilmesi ve giderilmesine yardımcı olmak için Müşteri tarafından yönlendirilen makul ticari adımları atacaktır.
-
Veri Koruma Etki Değerlendirmesi ve Önceden Danışma. Zonos, Müşteri tarafından makul olarak gerektiği düşünülen GDPR maddesi 35 veya 36 veya herhangi bir başka Veri Koruma Yasasının eşdeğer hükümleri uyarınca denetleme otoriteleri veya diğer yetkin veri gizliliği otoriteleri ile önceden danışmalarla ilgili herhangi bir veri koruma etki değerlendirmesinde Müşteriye makul yardım sağlayacaktır, her durumda yalnızca Sözleşmeli İşlemciler tarafından ve İşlemenin doğası ve Sözleşmeli İşlemcilere mevcut olan bilgiler göz önünde bulundurularak Kişisel Verilerin İşlenmesi ile ilgili olarak.
-
Veri İadesi veya Silinmesi. Hizmetlerin devre dışı bırakılması veya sonlandırılması üzerine, tüm Kişisel Veriler silinecektir, ancak bu gereklilik, Zonos'ın geçerli yasanın gerektirdiği ölçüde bazı veya tüm Kişisel Verileri saklaması gerektiği durumlarda geçerli olmayacaktır veya yedekleme sistemlerinde arşivlenmiş Kişisel Verilere, bu tür Kişisel Veriler Zonos tarafından herhangi bir işlemden daha fazla korunacak ve güvenli bir şekilde izole edilecektir, ancak geçerli yasanın gerektirdiği ölçüde.
-
Güvenlik Raporları. Zonos, güvenlik standartlarının kayıtlarını tutacaktır. Müşterinin yazılı talebi üzerine, Zonos, Müşteri tarafından (makul olarak) Zonos'ın bu DPA'ya uyumunu doğrulamak için gerekli olduğu düşünülen bilgi güvenliği ve denetim anketlerine yanıtlar dahil olmak üzere, Müşteri tarafından yapılan tüm makul bilgi taleplerine (gizli bir şekilde) yanıt verecektir, ancak Müşteri bu hakkı yılda bir kezden fazla kullanmayacaktır.
-
Veri Transferi. Müşteri, Zonos'ın Ana Sözleşmeye uygun olarak Hizmetleri sağlamak amacıyla Kişisel Verilere küresel olarak erişebileceğini ve işleyebileceğini ve özellikle Kişisel Verilerin Zonos tarafından Amerika Birleşik Devletleri'nde ve Zonos'ın Alt İşlemcilerinin faaliyet gösterdiği diğer yargı bölgelerinde transfer edileceğini ve işleneceğini kabul eder ve onaylar. Zonos, bu tür transferlerin Veri Koruma Yasalarının gerekliliklerine uygun olarak yapılmasını sağlayacaktır, ki bu da AB tarafından onaylanan kişisel veri transferi için standart sözleşme maddelerine uygunluk dahil olacaktır.
-
Kaliforniya Kişisel Bilgileri için Ek Hükümler.
-
Bu Bölüm 11 yalnızca Kaliforniya Kişisel Bilgileri ile ilgili olarak geçerli olacaktır.
-
Taraflar, Müşterinin talimatlarına uygun olarak Kaliforniya Kişisel Bilgilerini işlerken, Müşterinin bir işletme ve Zonos'ın CCPA anlamında bir hizmet sağlayıcı olduğunu kabul eder ve onaylar.
-
Taraflar, Zonos'ın Kaliforniya Kişisel Bilgilerini yalnızca Ana Sözleşme altında Hizmetleri yerine getirmek amacıyla bir hizmet sağlayıcı olarak işleyeceği konusunda anlaşmaktadır. Zonos, hizmet verilerini kendi meşru iş amaçları için Zonos Gizlilik Politikası'na uygun olarak kullanmaktadır. Taraflar, Zonos'ın aşağıdakileri yapmayacağı konusunda anlaşmaktadır:
- Kaliforniya Kişisel Bilgilerini satmamak (CCPA'da tanımlandığı gibi);
- Kaliforniya Kişisel Bilgilerini iş veya CCPA tarafından izin verilen diğer şekiller dışında ticari bir amaç için tutmamak, kullanmamak veya ifşa etmemek; veya
- iii. Kaliforniya Kişisel Bilgilerini Müşteri ile Zonos arasındaki doğrudan iş ilişkisinin dışında tutmamak, kullanmamak veya ifşa etmemek.
-
Zonos, Bölüm 11(c)'de belirtilen kısıtlamaları anladığını ve bunlara uyacağını beyan eder.
-
4. Genel Şartlar
-
Gizlilik. Her Taraf, bu Anlaşmayı ve bu DPA bağlamında diğer Taraf ve işi hakkında aldığı bilgileri (“Gizli Bilgiler”) gizli tutmalı ve diğer Tarafın önceden yazılı onayı olmadan bu Gizli Bilgileri kullanmamalı veya ifşa etmemelidir, ancak:
- İfşa yasalarca zorunlu olduğunda;
- İlgili bilgiler zaten kamu domaininde olduğunda.
-
Bildirimler. Bu DPA altında verilen tüm bildirimler ve iletişimler yazılı olmalı ve kişisel olarak teslim edilmeli, posta ile gönderilmeli veya bu DPA'nın başlığında belirtilen adrese veya e-posta adresine e-posta ile gönderilmelidir, taraflar adres değiştirdiklerini zaman zaman bildirdikleri takdirde.
Zonos Veri İşleme Anlaşması
Bu Veri İşleme Anlaşması (“DPA“) Zonos Hizmet Şartları ve Gizlilik Politikası (“Ana Anlaşma”) ile iGlobal Exports, LLC, DBA Zonos (“Zonos”) ve Müşteri (“Müşteri”) arasında bir ek olarak işlev görmektedir; (birlikte “Taraflar”).