Bu Veri İşleme Ek Sözleşmesi ("DPA"), Climateware Müşteri Sözleşmesini veya Müşteri ile Climateware arasında Climateware Ürünlerinin ve ilgili Destek ve Danışmanlık Hizmetlerinin kullanımını kapsayan diğer bir sözleşmeyi ("Sözleşme") tamamlar. Bu DPA'da veya Sözleşmede aksi belirtilmedikçe, bu DPA'da kullanılan büyük harflerle yazılmış tüm terimler, bu DPA'nın Bölüm 9'unda verilen anlamlara sahiptir.
Kapsam ve Süre
1.1 Tarafların Rolleri
(a) Müşteri Kişisel Verileri. Climateware, Müşteri Kişisel Verilerini, Müşterinin Talimatları doğrultusunda Bölüm 2.1'de (Müşteri Talimatları) açıklandığı şekilde Müşterinin işleyicisi olarak işleyecektir.
(b) Climateware Hesap Verileri. Climateware, Climateware Hesap Verilerini, aşağıdaki amaçlar doğrultusunda kontrol eden olarak işleyecektir: (i) Ürünleri sağlamak ve iyileştirmek; (ii) Müşteri ile ilişkiyi yönetmek (Müşteri ve Kullanıcılarla hesap tercihlerine uygun olarak iletişim kurmak, Müşteri taleplerine yanıt vermek ve teknik destek sağlamak vb.); (iii) güvenlik, dolandırıcılığı önleme, performans izleme, iş sürekliliği ve felaket kurtarma işlemlerini kolaylaştırmak; ve (iv) muhasebe, faturalama ve vergi beyanı gibi temel iş fonksiyonlarını gerçekleştirmek.
(c) Climateware Kullanım Verileri. Climateware, Climateware Kullanım Verilerini aşağıdaki amaçlar doğrultusunda kontrol eden olarak işleyecektir: (i) Ürünleri sağlamak, optimize etmek, güvence altına almak ve sürdürmek; (ii) kullanıcı deneyimini optimize etmek; ve (iii) Climateware'in iş stratejisini bilgilendirmek.
(d) İşlemenin Tanımı. Climateware tarafından Kişisel Verilerin işlenmesine ilişkin ayrıntılar, Ek 1'de (İşlemenin Tanımı) belirtilmiştir.
1.2 DPA'nın Süresi
Bu DPA'nın süresi, Sözleşmenin süresi ile örtüşmekte olup, Sözleşmenin sona ermesi veya daha erken bir tarihte sona ermesiyle birlikte (veya daha sonra, Climateware'in Müşteri Kişisel Verilerini işlemeyi durdurduğu tarihe kadar) sona erer.
1.3 Öncelik Sırası
Aşağıdaki belgeler arasında herhangi bir çelişki veya tutarsızlık olması durumunda, öncelik sırası şu şekildedir: (1) Ek 2'de belirtilen geçerli terimler (Bölgeye Özgü Terimler ve herhangi bir transfer hükmü dahil); (2) bu DPA'nın ana metni; ve (3) Sözleşme.
Kişisel Verilerin İşlenmesi
2.1 Müşteri Talimatları
Climateware, Müşteri Kişisel Verilerini, Müşterinin belgelenmiş yasal talimatlarına uygun olarak işlemelidir. Bu talimatlar Sözleşme (bu DPA dahil) ve ilgili Siparişlerde belirtilmiştir ve şunlar için gereklidir: (i) Ürünlerin ve ilgili Destek ve Danışmanlık Hizmetlerinin Müşteriye sağlanması ve Dokümantasyona uygun olarak çeşitli özellik ve işlevlerin kullanılmasına olanak tanınması (Kullanıcılar tarafından Bulut Ürünleri aracılığıyla yönlendirme dahil); (ii) güvenlik olaylarının araştırılması ve Kabul Edilebilir Kullanım Politikasının uygulanması (örneğin, çocuk istismarı materyali gibi yasadışı içeriklerin yasaklanmasının uygulanması); veya (iii) yasal yükümlülüklere uyulması. Climateware, Müşteri talimatlarının Geçerli Veri Koruma Kanunlarını ihlal ettiğini fark ederse veya makul bir şekilde inanırsa, Müşteriyi bilgilendirecektir.
2.2 Gizlilik
Climateware, Müşteri Kişisel Verilerini, Sözleşme kapsamında Müşterinin Gizli Bilgileri olarak ele almalıdır. Climateware, Kişisel Verileri işlemeye yetkili personelin yazılı veya yasal gizlilik yükümlülüklerine tabi olmasını sağlamalıdır.
Güvenlik
3.1 Güvenlik Önlemleri
Climateware, Müşteri Verilerinin güvenliği, gizliliği, bütünlüğü ve erişilebilirliğini korumak ve Güvenlik Olaylarına karşı koruma sağlamak için uygun teknik ve organizasyonel önlemler uygulamış ve sürdürecektir. Müşteri, Müşteri Verilerinin niteliğine uygun güvenliği sağlamak için Climateware tarafından sunulan Ürünleri yapılandırmaktan ve özellikleri kullanmaktan sorumludur. Climateware'in mevcut teknik ve organizasyonel önlemleri burada açıklanmıştır. Müşteri, Güvenlik Önlemlerinin teknik ilerlemelere ve gelişmelere tabi olduğunu kabul eder ve Climateware, Güvenlik Önlemlerini zaman zaman güncelleyebilir veya değiştirebilir; ancak bu güncellemeler ve değişiklikler, Abonelik Süresi boyunca Bulut Ürünlerinin genel güvenliğini maddi olarak azaltamaz.
3.2 Güvenlik Olayları
Climateware, bir Güvenlik Olayından haberdar olduktan sonra gecikmeden ve mümkünse en geç yetmiş iki (72) saat içinde Müşteriyi bilgilendirmelidir. Climateware, Güvenlik Olayının nedenini belirlemek, etkilerini hafifletmek ve makul kontrolü dahilinde olan nedeni ortadan kaldırmak için makul çabayı göstermelidir. Müşterinin talebi üzerine ve Climateware'in elinde bulunan bilgilere dayanarak, Climateware, Müşteriye Geçerli Veri Koruma Kanunu kapsamındaki Güvenlik Olayı bildirim yükümlülüklerini yerine getirmesi için makul şekilde gerekli bilgileri sağlamalıdır. Climateware'in bir Güvenlik Olayını bildirmesi, Climateware'in hata veya sorumluluğunu kabul ettiği anlamına gelmez.
Alt İşletme
4.1 Genel Yetki
Bu DPA'ya girerek, Müşteri, Climateware'e, Müşteri Kişisel Verilerini işlemek için Alt işleyicilerle çalışmak üzere genel yetki verir. Climateware, her Alt işleyiciyle, Alt işleyicinin Müşteri Kişisel Verilerini Geçerli Veri Koruma Kanunu'na uygun olarak ve bu DPA'nın sağladığı standartlara uygun olarak korumasını gerektiren veri koruma şartlarını içeren yazılı bir anlaşma yapmalıdır; ve ilgili İşleme faaliyetleriyle ilgili olarak Climateware, Alt işleyicinin veri koruma yükümlülüklerini yerine getirmemesi durumunda Müşteriye karşı sorumlu kalacaktır.
4.2 Yeni Alt İşleyiciler Hakkında Bildirim
Climateware, yeni Alt işleyicilerle çalışmadan önce en az otuz (30) gün önce yeni Alt işleyicilerin Müşteri Kişisel Verilerini işlemesine izin vermeden önce ilgili e-posta adreslerine bildirimde bulunacaktır.
4.3 Yeni Alt İşleyicilere İtiraz
Müşteri, Climateware'in yeni bir Alt işleyici atamasına Alt işleyici Bildirim Süresi içinde itiraz edebilir. Müşteri itiraz ederse, Müşterinin tek ve münhasır çözümü, etkilenen Bulut Ürünü ve ilgili Destek ve Danışmanlık Hizmetleri için ilgili Siparişi Sözleşmenin 12.2 (Kolaylık Nedeniyle Fesih) maddesine uygun olarak sona erdirmek olacaktır.
Yardım ve İş Birliği Yükümlülükleri
5.1 Veri Sahibinin Hakları
İşlemenin niteliği göz önünde bulundurulduğunda, Climateware, Müşteriye, veri sahibinin haklarını (erişim, düzeltme, silme, kısıtlama, itiraz ve veri taşınabilirliği hakları dahil) Müşteri Kişisel Verileri ile ilgili olarak kullanma taleplerine yanıt vermesi için makul ve zamanında yardım sağlamalıdır.
5.2 İş Birliği Yükümlülükleri
Müşterinin makul talebi üzerine ve İşlemenin niteliği göz önünde bulundurulduğunda, Climateware, Müşterinin Geçerli Veri Koruma Kanunu kapsamındaki yükümlülüklerini yerine getirmesinde (veri koruma etki değerlendirmeleri ve düzenleyici makamlarla yapılan danışmalar dahil) makul şekilde yardım sağlayacaktır; bu yardım, Müşterinin mevcut Dokümantasyon yardımı ile makul bir şekilde bu yükümlülükleri tek başına yerine getiremeyeceği durumlarda geçerlidir.
5.3 Üçüncü Taraf Talepleri
Yasa tarafından yasaklanmadığı sürece, Climateware, bir kolluk kuvveti ya da kamu otoritesi tarafından gönderilen geçerli, yürürlüğe konulmuş bir celp, arama izni veya mahkeme kararını alır almaz Müşteriyi derhal bilgilendirmelidir. Climateware, bu tür taleplere yanıt verirken kendi kolluk kuvveti yönergelerine uyacaktır. Climateware, Müşteri Kişisel Verilerinin işlenmesiyle ilgili olarak başka bir üçüncü taraftan (örneğin, bir düzenleyici veya veri sahibi) herhangi bir soruşturma veya bilgi talebi aldığında, bu talepleri Müşteriye yönlendirecek ve yasaların gerektirdiği durumlar dışında herhangi bir bilgi vermeyecektir.
Müşteri Kişisel Verilerinin Silinmesi ve İadesi
6.1 Abonelik Dönemi İçerisinde
Abonelik Dönemi boyunca Müşteri ve Kullanıcıları, Bulut Ürünlerinin özellikleri aracılığıyla Müşteri Kişisel Verilerine erişebilir, bunları alabilir veya silebilir.
6.2 Fesih Sonrası
Sözleşmenin sona ermesi veya feshedilmesini takiben Climateware, Dokümantasyona uygun olarak tüm Müşteri Kişisel Verilerini silmelidir. Bununla birlikte, Climateware, Geçerli Veri Koruma Kanunu tarafından gerektirildiği ölçüde veya standart yedekleme veya kayıt tutma politikalarına uygun olarak Müşteri Kişisel Verilerini muhafaza edebilir; her iki durumda da Climateware, saklanan Müşteri Kişisel Verilerinin gizliliğini koruyacak ve bu DPA’nın geçerli hükümlerine uygun olarak saklayacak ve bunları Geçerli Veri Koruma Kanunu tarafından gerektirilmedikçe başka bir amaç için işlemeyecektir.
Denetim
7.1 Denetim Raporları
Climateware, bağımsız üçüncü taraf denetçiler ve/veya iç denetçiler tarafından düzenli olarak denetlenir. Müşterinin talebi üzerine ve Climateware ile geçerli bir gizlilik anlaşması imzalanmış olması şartıyla, Climateware, Müşterinin Climateware’in denetim standartlarına ve bu DPA’ya uyumunu doğrulaması için ilgili denetim raporlarının (“Rapor”) özet bir kopyasını Müşteriye sağlayacaktır. Müşteri, Climateware’in bu DPA’nın şartlarına uyumunu makul bir şekilde doğrulayamazsa, Climateware, bu DPA kapsamındaki Müşteri Kişisel Verilerinin işlenmesiyle ilgili olarak yapılan tüm makul bilgi taleplerine yazılı yanıtlar verecektir; bu hak, her on iki (12) ayda bir defadan fazla kullanılmamalıdır.
7.2 Yerinde Denetimler
Müşteri, Climateware’in bu DPA’ya uyumunu, Bölüm 7.1’de belirtilen hakların kullanılması yoluyla makul bir şekilde doğrulayamazsa veya Geçerli Veri Koruma Kanunu veya bir düzenleyici otorite tarafından gerekli görülmesi durumunda, Müşteri veya yetkili temsilcileri, Climateware’in bu DPA’ya uyumunu değerlendirmek amacıyla Sözleşme süresi boyunca denetim yapabilir (denetimler dahil). Herhangi bir denetim, (i) Climateware’in normal iş saatleri içinde yapılmalı ve en az altmış (60) takvim günü önceden yazılı bildirimde bulunulmalıdır (Geçerli Veri Koruma Kanunu veya bir düzenleyici otorite daha kısa bir bildirim süresi gerektirmedikçe); (ii) gizli bilgilere dair makul gizlilik kontrollerine tabi olmalı; (iii) her on iki (12) ayda bir defadan fazla yapılmamalı; ve (iv) sadece Müşteri ile ilgili bilgilere sınırlı olmalıdır.
Uluslararası Hükümler
8.1 Uluslararası Veri Aktarımı
Climateware, Geçerli Veri Koruma Kanunları kapsamında korunan Kişisel Verileri, ilgili bölgelerde belirtilen koşullar dahilinde üçüncü ülkelere veya uluslararası kuruluşlara aktarabilir. Bu aktarımlar, Bölgeye Özgü Terimler'de (Ek 2) belirtilen hükümlerle birlikte uygulanır.
Tanımlar
9.1 Geçerli Veri Koruma Kanunu
"Geçerli Veri Koruma Kanunu" Sözleşme kapsamında Kişisel Verilerin İşlenmesine ilişkin olarak uygulanan tüm Kanunları ifade eder.
9.2 Climateware Hesap Verileri
Climateware Hesap Verileri, Climateware ile Müşteri arasındaki ilişkiye ilişkin Kişisel Verileri içerir. Bu veriler şunları içerir: (i) Kullanıcıların hesap bilgileri (ör. ad, e-posta adresi veya Climateware'in hesap kimlik numarası); (ii) Müşteri’nin Climateware hesabı ile ilgili bireylerin fatura ve iletişim bilgileri (ör. fatura adresi, e-posta adresi veya isim); (iii) Kullanıcıların cihaz ve bağlantı bilgileri (ör. IP adresi); ve (iv) teknik destek taleplerinin içeriği ve açıklamaları (ekler hariç) ve Destek Yetkilendirme Numarası (SEN).
9.3 Climateware Kullanım Verileri
Climateware Kullanım Verileri, Climateware Ürünlerinin kullanımı, performansı, işletimi ve desteklenmesi ile ilgili veya bunlardan elde edilen Kişisel Verileri içerir. Climateware Kullanım Verileri şunları içerebilir: Kullanıcıların gerçekleştirdiği eylemler (olay adı), olay zaman damgaları, tarayıcı bilgileri, teşhis verileri, veri türleri, dosya boyutları ve Ürünler ve Müşterinin Ürünlerle bağlantı kurduğu Üçüncü Taraf Ürünlerinden elde edilen benzer bilgiler. Climateware Kullanım Verileri, Müşteri Kişisel Verilerini içermez.
9.4 Kontrol Eden
"Kontrol Eden," tek başına veya başkalarıyla birlikte Kişisel Verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer yapıyı ifade eder.
9.5 Müşteri Kişisel Verileri
"Müşteri Kişisel Verileri," Climateware tarafından Sözleşme kapsamında Müşteri adına yalnızca Müşteri Kişisel Verileri olarak işlenen Kişisel Verileri ifade eder.
9.6 Kişisel Veri
"Kişisel Veri," tanımlanmış veya tanımlanabilir bir gerçek kişi hakkında bilgi anlamına gelir veya Geçerli Veri Koruma Kanunu kapsamında "kişisel veri," "kişisel bilgi" veya "kimliği belirlenebilir bilgi" olarak tanımlanan terimler ile aynı anlamda kullanılır.
9.7 İşleme (ve İşlemek)
"İşleme" (ve "İşlemek"), Kişisel Veriler üzerinde veya Kişisel Veri setleri üzerinde gerçekleştirilen her türlü operasyon veya operasyon setini ifade eder. Bu işlemler toplama, kaydetme, organizasyon, yapılandırma, depolama, uyarlama veya değiştirme, geri çağırma, kullanma, ifşa etme, iletme, yayma veya başka bir şekilde kullanıma sunma, uyumlaştırma, sınırlandırma, silme veya yok etme gibi işlemleri kapsar.
9.8 İşleyici
"İşleyici," Kontrol Eden adına Kişisel Verileri işleyen tüzel kişiyi ifade eder.
9.9 Güvenlik Olayı
"Güvenlik Olayı," Climateware ve/veya Alt işleyiciler tarafından işlenen Müşteri Verilerinin kazara veya yasa dışı bir şekilde imha edilmesi, kaybolması, değiştirilmesi, yetkisiz ifşa edilmesi veya erişilmesi anlamına gelir.
9.10 Alt İşleyici
"Alt İşleyici," Climateware tarafından Müşteri Kişisel Verilerini işlemek için yetkilendirilen herhangi bir üçüncü tarafı (Climateware’in bağlı şirketleri dahil) ifade eder.
Ek 1: İşlemenin Tanımı
1. İşlenen Kişisel Veriler Kategorileri:
Müşteri ve Kullanıcıları.
2. İşlenen Kişisel Veri Kategorileri:
Climateware Hesap Verileri, Climateware Kullanım Verileri ve Müşteri Kişisel Verileri.
3. Aktarılan Hassas Veriler:
Climateware Hesap Verileri ve Climateware Kullanım Verileri, hassas veri içermez. Ancak Müşteri veya Kullanıcıları, Cloud Ürünlerine kendi takdirlerine bağlı olarak hassas veri yükleyebilir.
4. Aktarımın Sıklığı:
Sürekli.
5. İşlemenin Niteliği:
Climateware, Sözleşmeye ve bu DPA’ya uygun olarak Ürünleri sağlamak ve ilgili Destek ve Danışmanlık Hizmetlerini sunmak amacıyla Kişisel Verileri işleyecektir. Ek olarak, teknik yeteneklere ve özelliklere ilişkin bilgiler de siparişlerde ve dokümantasyonlarda belirtilmiştir.
6. İşlemenin Amacı:
Climateware, Müşteri Kişisel Verilerini bu DPA’nın 2.1 maddesine (Müşteri Talimatları) uygun olarak işleyecektir.
7. İşlemenin Süresi:
Climateware, Müşteri Kişisel Verilerini Sözleşmenin süresi boyunca işleyecektir.
8. Alt İşleyicilere Aktarımlar:
Climateware, bu DPA’nın 4. maddesi (Alt İşleme) uyarınca Müşteri Kişisel Verilerini Alt işleyicilere aktaracaktır.