Gizlilik Yasaları Tüzüğü

Tarih – 01/01/2020 tarihinde yayınlandı

Son Güncelleme Tarihi – 12/06/2023

Uygulanabilirlik:

Bu belge ("Gereksinimler"), Shaip ("Şirket") ile hizmet sağlayıcı ("Satıcı/serbest çalışan/danışmanlar") arasındaki herhangi bir Ana Hizmet Sözleşmesi, İş Beyanı veya diğer sözleşmenin ("Anlaşma") ayrılmaz ve yasal olarak bağlayıcı bir parçasını oluşturur.

1. Tanımlar

Bu Gereklilikler kapsamında, aşağıdaki terimler aşağıda belirtilen anlamlara sahip olacaktır:

  • "Uygulanabilir Veri Koruma Yasaları" GDPR, Birleşik Krallık GDPR'si, CCPA/CPRA, HIPAA, PIPEDA ve LGPD dahil ancak bunlarla sınırlı olmamak üzere Kişisel Verilerin İşlenmesine ilişkin tüm uluslararası, federal, eyalet ve yerel yasalar, kurallar ve düzenlemeler anlamına gelir.
  • “Şirket Verileri” Şirket tarafından veya Şirket adına Satıcıya sağlanan veya Şirket adına Satıcı tarafından toplanan, oluşturulan, türetilen, takma ad haline getirilen, anonimleştirilen (geri alınabilirlik mümkünse) veya İşlenen her türlü veri, bilgi ve materyal anlamına gelir. Bu, Proje Verileri ve tüm Kişisel Verileri içerir.
  • "Veri İhlali" Şirket Verilerinin kazara veya hukuka aykırı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan gerçek veya şüphelenilen herhangi bir güvenlik ihlali anlamına gelir.
  • "GDPR" Genel Veri Koruma Tüzüğü (AB) 2016/679 anlamına gelir.
  • "Kişisel veri" Şirket Verileri içerisinde yer alan, belirli veya belirlenebilir gerçek kişiye (“Veri Sahibi”) ilişkin her türlü bilgi anlamına gelir.
  • “Hassas Kişisel Veriler” Uygulanabilir Veri Koruma Yasaları uyarınca hassas kabul edilen, ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar, sendika üyeliği, genetik veriler, biyometrik veriler, sağlıkla ilgili veriler veya bir gerçek kişinin cinsel yaşamı veya cinsel yönelimiyle ilgili veriler dahil ancak bunlarla sınırlı olmamak üzere herhangi bir veri kategorisi anlamına gelir.
  • "İşleme" Şirket Verileri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, saklama, uyarlama, alma, kullanma, ifşa etme, yayma veya imha etme gibi her türlü işlem anlamına gelir.
  • “Proje Verileri” Şirkete sunulan hizmetlerin bir parçası olarak Satıcı tarafından toplanan veya oluşturulan belirli veriler (örneğin ses, görüntü, metin) anlamına gelir.
  • “Alt işlemci” Şirket Verilerini İşlemek üzere Satıcı tarafından görevlendirilen herhangi bir üçüncü taraf anlamına gelir.

2. Satıcının Rolü ve Yükümlülükleri

2.1 İşlemci/Alt İşlemci Rolü. Satıcı, Şirket Verilerini işlerken Şirket adına "İşleyici" veya "Alt İşlemci" olarak hareket ettiğini kabul eder. Satıcının Şirket Verileri üzerinde herhangi bir mülkiyeti veya bağımsız hakkı yoktur.

2.2 Talimat Üzerine İşleme. Satıcı, Şirket Verilerini yalnızca Şirket'in belgelendirilmiş, yasal talimatlarına, Sözleşme ve ilgili İş Beyanları'nda belirtilenler de dahil olmak üzere, uygun şekilde işleyecektir. Satıcının, Şirket Verilerini kendi amaçları doğrultusunda veya Şirket tarafından açıkça belirtilmeyen herhangi bir amaç doğrultusunda işlemesi kesinlikle yasaktır. Talimatlar, veri saklama ve imha gerekliliklerini içerecektir. Satıcı, bir talimatın Geçerli Veri Koruma Yasalarını ihlal ettiğine inanıyorsa, derhal Şirket'i bilgilendirmelidir.

2.3 Kanunlara Uygunluk. Satıcı, Sözleşmenin ifası sırasında tüm Uygulanabilir Veri Koruma Kanunlarına uyacağını garanti ve beyan eder ve herhangi bir kanunun uyumu engellemesi veya Şirket Verilerinin ifşa edilmesini gerektirmesi halinde (örneğin, hükümet erişim talepleri) Şirketi derhal bilgilendirecektir.

3. Teknik ve Organizasyonel Güvenlik Önlemleri

3.1 Güvenlik Standartları. Satıcı, Şirket Verilerini herhangi bir Veri İhlaline karşı korumak için uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacak ve sürdürecektir. Bu önlemler, risk düzeyine ve verilerin niteliğine uygun olacak ve en azından şunları içerecektir:

  1. Şifreleme: Tüm Şirket Verilerinin hareket halindeyken ve hareketsizken şifrelenmesi.
  2. Giriş kontrolu: Şirket Verilerine yalnızca yetkili personelin erişebilmesini sağlayarak, en az ayrıcalık esasına dayalı sıkı erişim kontrolleri.
  3. Veri Minimizasyonu: Belirtilen proje için gerekli olan asgari miktarda Kişisel Verinin toplanması ve işlenmesi.
  4. Güvenli Ortamlar: Şirket Verilerini İşlemek için kullanılan tüm sistemlerin güvenli bir şekilde yapılandırılmasını, yamalanmasını, kayıt altına alınmasını ve izlenmesini sağlamak.
  5. Güvenli Silme: Şirket'in talimatı üzerine Şirket Verilerinin yedeklerden silinmesi de dahil olmak üzere güvenli ve kalıcı olarak silinmesine yönelik süreçlerin uygulanması.
  6. Fiziksel güvenlik: Şirket Verilerinin saklandığı veya erişildiği tüm fiziksel konumların ve cihazların güvenliğini sağlamak.
  7. Test ve İzleme: Düzenli penetrasyon testleri, zafiyet değerlendirmeleri ve sürekli izleme.
  8. İş devamlılığı: Olay müdahalesi, felaket kurtarma ve iş sürekliliği planlarının sürdürülmesi.

4. Alt işleme

4.1 Önceden Onay Gereklidir. Satıcı, Şirketin önceden alınmış özel yazılı onayı olmaksızın Şirket Verilerini İşlemek üzere herhangi bir Alt İşlemciyi görevlendirmeyecektir.

4.2 Yükümlülüklerin Akışı. Onay verilmesi halinde, Satıcı, Alt İşlemciye bu Gereklilikler tarafından Satıcıya yüklenenlerle aynı veya daha sıkı veri koruma yükümlülüklerini yükleyen Alt İşlemciyle yazılı bir anlaşma yapmalıdır.

4.3 Alt İşlemci Listesi. Satıcı, Alt İşlemcilerin güncel bir listesini tutacak ve talep üzerine Şirkete sunacaktır. Şirket, herhangi bir Alt İşlemciye herhangi bir zamanda itiraz etme hakkını saklı tutar.

4.4 Tam Sorumluluk. Satıcı, Alt İşlemcinin yükümlülüklerinin yerine getirilmesi ve Alt İşlemcinin herhangi bir eylemi veya ihmali nedeniyle Şirkete karşı tam olarak sorumlu kalacaktır.

5. Veri İhlali Bildirimi ve Yönetimi

5.1 Derhal Bildirim. Satıcı, herhangi bir Veri İhlalinin farkına vardığı andan itibaren en geç yirmi dört (24) saat içinde ve gereksiz gecikme olmaksızın Şirketi yazılı olarak bilgilendirecektir.

5.2 İhlal Ayrıntıları. Bildirim en azından şunları içermelidir:

  1. Veri İhlalinin niteliğini, ilgili Veri Sahiplerinin ve veri kayıtlarının kategorileri ve yaklaşık sayıları dahil olmak üzere açıklayın.
  2. Satıcının veri koruma görevlisinin veya diğer ilgili irtibat noktasının adını ve iletişim bilgilerini sağlayın.
  3. Veri İhlalinin olası sonuçlarını açıklayın.
  4. Satıcının Veri İhlalini gidermek ve etkilerini azaltmak için aldığı veya almayı önerdiği önlemleri açıklayın.

5.3 Devam Eden Güncellemeler. Satıcı, olay tamamen çözülene kadar düzenli güncellemeler sağlayacaktır.

5.4 İşbirliği. Satıcı, herhangi bir Veri İhlalinin araştırılması, düzeltilmesi ve bildirimi konusunda Şirket ile tam iş birliği yapacaktır. Satıcı, bu Şartlar'ın ihlali nedeniyle ortaya çıkan Veri İhlali ile ilgili tüm masrafları karşılayacaktır.

6. Uluslararası Veri Aktarımları

6.1 Satıcı, Şirket'in önceden yazılı onayı olmaksızın Şirket Verilerini uluslararası sınırlar ötesine aktarmayacaktır. Satıcı, Şirket Verilerini işleyebileceği tüm ülkeleri belirtmelidir.

6.2 Gerektiğinde, Satıcı, yasal veri transferlerini sağlamak için Şirket tarafından zorunlu kılınan Standart Sözleşme Maddeleri (SCC'ler), Bağlayıcı Şirket Kuralları (BCR'ler), Birleşik Krallık Eki veya diğer mekanizmalara girmeyi kabul eder.

6.3 Satıcı, geçerli olduğu durumlarda yerel veri ikametgahı gerekliliklerine uyacaktır.

7. Denetim ve Denetimler

Şirket veya belirlediği üçüncü taraf denetçi, Satıcının bu Şartlara uygunluğunu doğrulamak için kendi masraflarıyla denetimler yapma hakkına sahip olacaktır. Satıcı, gerekli tüm bilgi, belge ve tesis ve personele erişim imkânını sağlayacaktır.

Satıcı, düzenli olarak üçüncü taraf sertifikasyonlarından (örneğin, ISO 27001, SOC 2) ve/veya kendi kendine değerlendirmelerden geçecek ve karşılıklı olarak kararlaştırılan bir zaman dilimi içerisinde denetimlerde veya değerlendirmelerde tespit edilen eksiklikleri derhal giderecektir.

8. Veri Sahibi Hakları Yardımı

Satıcı, bir Veri Sahibinden haklarını (örneğin erişim, düzeltme, silme, taşınabilirlik) kullanmasını talep eden herhangi bir talebi derhal ve hiçbir durumda kırk sekiz (48) saatten geç olmamak üzere Şirkete bildirecektir. Satıcı, Şirket tarafından talimat verilmedikçe bu tür taleplere doğrudan yanıt vermeyecek ve Şirket'in yanıt vermesini sağlamak için gerekli tüm yardımı sağlayacaktır.

9. Veri İadesi ve Silinmesi

Sözleşmenin feshedilmesi veya Şirket'in talebi üzerine, Satıcı, Şirket'in tercihi doğrultusunda, tüm Şirket Verilerini otuz (30) gün içinde güvenli bir şekilde silecek veya iade edecektir. Satıcı, verilerin yedeklerden silinmesini sağlayacak ve bu silme işleminin yazılı bir onayını sağlayacaktır.

10. Özel Veri Kategorileri

10.1 Sağlık Verileri (HIPAA): Satıcı, Korunan Sağlık Bilgilerini (PHI) işlerse, HIPAA kapsamında bir "İş Ortağı" (veya bir İş Ortağının alt yüklenicisi) olduğunu kabul eder. Satıcı, HIPAA gerekliliklerine uymalı ve Şirketin İş Ortağı Sözleşmesini (BAA) imzalamalıdır.

10.2 Diğer Hassas Veriler: Hassas Kişisel Verileri (biyometrik veriler veya çocuklara ait veriler dahil) içeren projeler için Satıcı, Şirket onayını almalı ve Şirket tarafından belirtilen yüksek güvenlik ve işleme protokollerine uymalıdır.

11. Tazminat ve Sorumluluk

Satıcı, bu Gerekliliklerin Satıcı, çalışanları veya Alt İşlemcileri tarafından ihlal edilmesinden kaynaklanan veya bunlarla ilgili her türlü talep, yükümlülük, zarar, kayıp, para cezası, ceza ve masrafa (makul avukatlık ücretleri dahil) karşı Şirketi, bağlı şirketlerini, yöneticilerini ve müşterilerini savunmayı, tazmin etmeyi ve zararsız tutmayı kabul eder.

Veri İhlalleri, düzenleyici para cezaları, kasıtlı suistimal veya dolandırıcılık içeren ihlaller için sorumluluk sınırlandırılmaz.

12. Genel Hükümler

12.1 Öncelik. Sözleşme şartları ile bu Şartlar arasında herhangi bir çelişki olması halinde, veri koruması açısından bu Şartlar geçerli olacaktır.

12.2 Değişiklik. Bu Şartlar yalnızca her iki tarafın yetkili temsilcileri tarafından imzalanan yazılı bir değişiklikle değiştirilebilir.

12.3 Hayatta Kalma. Gizlilik, veri silme, sorumluluk ve denetim haklarına ilişkin yükümlülükler, Sözleşmenin feshedilmesinden sonra da geçerliliğini koruyacaktır.

12.4 Geçerli Hukuk. Bu Şartlar, Sözleşmede belirtilen geçerli hukuka tabi olacak ve bu hukuka uygun olarak yorumlanacaktır.