1. Taraflar
Veri Sorumlusu
Siz, danışan (işlemenin amaçlarını ve araçlarını belirleyen kuruluş)
Veri İşleyen
ClientFlow (kişisel verileri sizin adınıza işler)
1.1 İşleme Kapsamı
Bu DPA, aşağıdaki durumlarda kişisel verilerin işlenmesi için geçerlidir:
- ClientFlow, Hizmeti sağlamanın bir parçası olarak Veri Sorumlusu adına kişisel verileri işler
- İşleme, Veri Sorumlusunun danışan ilişkilerinin yönetimi ile ilgilidir
- Veri konuları, Veri Sorumlusunun danışanları ve iş bağlantılarıdır
İşleme Faaliyetleri
- Danışan iletişim bilgilerinin depolanması ve organizasyonu
- Ödeme işlemlerinin kaydedilmesi ve takibi
- Yetkili iletişimlerin gönderilmesi (hatırlatıcılar, bildirimler)
- Toplu verilere dayalı analiz ve raporların oluşturulması
2. Veri Kategorileri
| Kategori | Örnekler | Amaç |
|---|---|---|
| Hesap Verileri | E-posta, ad, profil resmi | Hizmet erişimi |
| Danışan Verileri | Danışan isimleri, telefonlar, e-postalar | CRM işlevselliği |
| Ödeme Kayıtları | Tutarlar, tarihler, durumlar | Ödeme takibi |
| Kullanım Verileri | Giriş zamanları, özellik kullanımı | Güvenlik, iyileştirme |
3. İşleyen Yükümlülükleri
Yapacaklarımız:
- Verileri yalnızca belgelenmiş talimatlarınız doğrultusunda işlemek
- Personelin gizlilik yükümlülüğüne tabi olmasını sağlamak
- Uygun güvenlik önlemlerini uygulamak
- Veri sahibi taleplerine yardımcı olmak
- Veri ihlallerini 72 saat içinde size bildirmek
- Fesihin ardından verileri silmek (saklama süresi sonrasında)
4. Güvenlik Önlemleri
Teknik
- TLS 1.3 (aktarım)
- AES-256 (bekleme)
- OAuth 2.0 kimlik doğrulaması
- Rol tabanlı erişim kontrolü
- Gerçek zamanlı izleme
Organizasyonel
- Güvenlik politikaları
- Olay müdahale planı
- Düzenli denetimler
- Tedarikçi güvenlik incelemeleri
- Çalışan eğitimi
5. Alt İşleyenler
Aşağıdaki yetkili alt işleyenleri kullanıyoruz:
| Sağlayıcı | Hizmet | Konum | DPF |
|---|---|---|---|
| Google Cloud | Kimlik doğrulama | ABD | Evet |
| iyzico | Ödemeler | Türkiye | SCC'ler |
| Meta (WhatsApp) | Mesajlaşma | ABD | Evet |
| Tekrar Gönder | E-posta | ABD | SCC'ler |
| Hetzner | Barındırma ve Veritabanı | Almanya (AB) | SCC'ler |
| Cloudflare | CDN ve Depolama | AB | Evet |
DPF = AB-ABD Veri Gizliliği Çerçevesi sertifikalı
Alt İşleyen Değişiklikleri
Alt işleyenlerdeki amaçlanan değişiklikleri size bildireceğiz:
- Alt işleyenleri eklemeden veya değiştirmeden en az 14 gün önceden bildirim
- Kayıtlı hesap e-posta adresinize e-posta ile bildirim
- Değişikliklere 14 gün içinde bizimle iletişime geçerek itiraz edebilirsiniz
- İtirazınız çözülemezse, etkilenen hizmetleri feshedebilirsiniz
5.1 Denetim Hakları
Veri Sorumlusu, bu DPA'ya uyumu doğrulama hakkına sahiptir:
- İlgili dokümantasyon ve sertifikaları talep etme
- En az 30 gün önceden yazılı bildirimle denetim yapma
- Denetimler normal çalışma saatleri içinde yapılmalıdır
- Denetçi bir gizlilik sözleşmesi imzalamalıdır
Denetim Kapsamı
- Güvenlik önlemleri ve teknik korumalar
- Alt işleyen uyumluluğu
- Veri işleme prosedürleri
- Olay müdahale yetenekleri
Denetim, önemli bir uyumsuzluk ortaya çıkarmadıkça Veri Sorumlusu tarafından karşılanacaktır.
6. Veri Saklama ve Silme
Verileriniz, hesap kurtarma ve düzenleyici uyumluluk için korunur.
| Zaman Çizelgesi | İşlem |
|---|---|
| Hemen | Hesap devre dışı bırakıldı |
| Süresiz | Veriler korunur (arşivlenir) |
| İstediğiniz zaman | Hesap yeniden etkinleştirilebilir |
7. CCPA Hükümleri
CCPA kapsamında "Hizmet Sağlayıcı" olarak hareket ediyoruz ve:
- Verileri yalnızca belirtilen iş amaçları için işleriz
- Kişisel bilgileri satmayız
- Tüketici hakları taleplerine yardımcı oluruz
- Makul güvenlik önlemlerini uygularız
8. Veri İhlali Bildirimi
Kişisel veri ihlali durumunda, aşağıdakileri taahhüt ediyoruz:
Bildirim Zaman Çizelgesi
- İhlalin farkına varıldıktan itibaren 72 saat içinde size bildirim
- İhlal kapsamı ve etkisinin ilk değerlendirmesinin sağlanması
- 5 iş günü içinde ayrıntılı yazılı bildirim sağlama
Bildirim İçeriği
- Etkilenen veri konularının kategorileri ve yaklaşık sayısı dahil ihlalin niteliği
- Veri Koruma Görevlimizin adı ve iletişim bilgileri
- İhlalin olası sonuçlarının açıklaması
- İhlali ele almak için alınan veya önerilen önlemler
- Olası olumsuz etkileri azaltmak için önlemler
Soruşturmanız ve herhangi bir düzenleyici sorgulamayla tam olarak işbirliği yapacağız ve geçerli yasalarca gerekli olduğu şekilde denetim makamlarına ve etkilenen bireylere ihlal bildirimlerinde yardımcı olacağız.
9. Uluslararası Veri Transferleri
Kişisel veriler Avrupa Ekonomik Alanı (AEA) dışına transfer edildiğinde, uygun koruma önlemlerini sağlarız:
Transfer Mekanizmaları
AB Yeterlilik Kararları
Avrupa Komisyonu tarafından yeterli kabul edilen ülkelere transferler
AB-ABD Veri Gizliliği Çerçevesi
DPF kapsamında sertifikalandırılmış ABD tabanlı işleyiciler için
Standart Sözleşme Hükümleri (SCC)
Diğer transferler için AB Komisyonu onaylı hükümler (2021 versiyonu)
Gerektiğinde transfer etki değerlendirmeleri yapıyoruz ve esasen eşdeğer bir koruma seviyesi sağlamak için gerektiğinde ek önlemler (teknik, organizasyonel ve sözleşmeli) uyguluyoruz.
Talep üzerine ilgili transfer mekanizmalarının kopyalarını talep edebilirsiniz.
10. Sorumluluk ve Tazminat
İşleyen Sorumluluğu
ClientFlow, bu DPA'ya uymayan veya Veri Sorumlusunun yasal talimatları dışında veya aksine hareket ettiğimiz işlemlerden kaynaklanan hasarlardan sorumlu olacaktır.
Veri Sorumlusu Sorumluluğu
Veri Sorumlusu, geçerli veri koruma yasasını ihlal eden veya bu DPA kapsamındaki Veri Sorumlusunun yükümlülüklerine uymayan işlemlerden kaynaklanan hasarlardan sorumlu olacaktır.
Sınırlamalar
- Hiçbir taraf dolaylı, arızi veya sonuç olarak ortaya çıkan hasarlardan sorumlu olmayacaktır
- Bu DPA kapsamındaki toplam toplam sorumluluk, talebin öncesindeki 12 ayda ödenen ücretlerle sınırlıdır
- Bu sınırlamalar gizlilik ihlalleri, kasıtlı suistimal veya ağır ihmal durumlarında geçerli değildir
Her taraf, tazmin eden tarafın bu DPA'nın veya geçerli veri koruma yasalarının ihlalinden kaynaklanan üçüncü taraf taleplerinden diğerini tazmin etmeyi kabul eder.
11. Fesih ve Veri İadesi
Süre
Bu DPA, Hizmet Sözleşmesinin süresi boyunca ve sizin adınıza kişisel verileri işlediğimiz sürece yürürlükte kalır.
Fesihin Ardından
- Tercihinize göre, tüm kişisel verileri 30 gün içinde iade edeceğiz veya sileceğiz
- Yaygın olarak kullanılan makine tarafından okunabilir bir formatta veri dışa aktarımı talep edebilirsiniz
- Talep üzerine silme işlemini onaylayacağız
- Geçerli yasalar gerektirdiğinde veriler saklanabilir
Gizlilik, sorumluluk ve veri koruma haklarına ilişkin bölümler bu DPA'nın feshinden sonra da geçerliliğini sürdürecektir.