Veri İşleme Sözleşmesi

1. Tanımlar

• "Kişisel Veri", GDPR'nin 4(1) Maddesi'nde tanımlandığı gibi, kimliği belirli veya belirlenebilir bir gerçek kişiye ("Veri Sahibi") ilişkin her türlü bilgi anlamına gelir.
• "İşleme", otomatik araçlarla olsun veya olmasın, Kişisel Veriler üzerinde gerçekleştirilen herhangi bir işlem veya işlem dizisi anlamına gelir; toplama, kayıt etme, organize etme, yapılandırma, depolama, uyarlama, alma, danışma, kullanma, iletim yoluyla ifşa etme, yayma, silme veya yok etme dahil.
• "Alt İşleyici", Sorumlu adına Kişisel Verileri işlemek için İşleyici tarafından görevlendirilen herhangi bir üçüncü taraf anlamına gelir.
• "Veri Sahibi", Kişisel Verilerin ilgili olduğu kimliği belirli veya belirlenebilir gerçek kişi anlamına gelir.
• "GDPR", Avrupa Parlamentosu ve Konseyi'nin (AB) 2016/679 Genel Veri Koruma Yönetmeliği anlamına gelir.
• "Standart Sözleşme Hükümleri" (SCC'ler), Avrupa Komisyonu tarafından üçüncü ülkelere Kişisel Veri aktarımı için onaylanan sözleşme hükümleri anlamına gelir.

2. Kapsam ve Amaç

İşleyici, Sorumlu adına Kişisel Verileri yalnızca aşağıdaki amaçlarla işler:

• Bileşen analizi, ürün sorgulama, güvenlik puanlaması, alerjen tespiti ve cilt uyumluluğu analizi dahil INCI API hizmetinin sağlanması
• Hesap yönetimi, kimlik doğrulama ve yetkilendirme
• Kullanım izleme, hız sınırlama ve faturalama
• Hizmet iyileştirme, performans izleme ve analitik
• Müşteri desteği ve iletişim

İşleyici, Kişisel Verileri bu DPA'da belirtilen veya Sorumlu tarafından yazılı olarak belgelenen amaçlardan başka herhangi bir amaçla işlemeyecektir.

3. İşlenen Kişisel Veri Türleri

• Hesap verileri: ad, e-posta adresi, hash'lenmiş şifre
• API kullanım verileri: istek günlükleri, zaman damgaları, IP adresleri, erişilen uç noktalar, yanıt kodları, API anahtarı tanımlayıcıları
• Faturalama verileri: abonelik kademesi, ödeme yöntemi meta verileri (tam ödeme verileri yalnızca Stripe tarafından işlenir ve sunucularımızda asla saklanmaz)
• Teknik veriler: tarayıcı türü, cihaz bilgisi, işletim sistemi, yönlendirme URL'leri (hizmet iyileştirmesi için analitik aracılığıyla toplanır)

İşleyici, özel kategorideki Kişisel Verileri (GDPR Madde 9) veya cezai mahkumiyetlere ilişkin Kişisel Verileri (GDPR Madde 10) işlemez.

4. Veri Sahibi Kategorileri

Bu DPA kapsamında işlenen Kişisel Veriler, aşağıdaki Veri Sahibi kategorilerine ilişkindir:

• INCI API'ye erişen ve kullanan Müşteri'nin çalışanları ve yüklenicileri
• INCI API ile entegre olan Müşteri uygulamalarının son kullanıcıları (verilerinin API istekleri aracılığıyla iletildiği ölçüde)

5. İşleyici Yükümlülükleri

İşleyici şunları yapacaktır:

1. Kişisel Verileri yalnızca Sorumlu'nun belgelenmiş talimatları doğrultusunda, Kişisel Verilerin üçüncü bir ülkeye aktarımı dahil olmak üzere işleyecektir; meğer ki İşleyici'nin tabi olduğu Birlik veya Üye Devlet hukuku tarafından böyle yapması gerekiyorsa
2. Kişisel Verileri işlemeye yetkili kişilerin gizliliğe bağlı kalmasını veya uygun bir yasal gizlilik yükümlülüğü altında olmasını sağlayacaktır
3. Riske uygun bir güvenlik düzeyi sağlamak için GDPR'nin 32. Maddesi tarafından gerekli görülen uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacaktır
4. Sorumlu'nun önceden özel veya genel yazılı izni olmadan başka bir işleyici (alt işleyici) görevlendirmeyecektir. Genel yazılı izin durumunda, İşleyici Sorumlu'ya alt işleyicilerin eklenmesi veya değiştirilmesine ilişkin amaçlanan değişiklikleri bildirir ve Sorumlu'ya itiraz etme fırsatı verir
5. İşlemenin niteliğini dikkate alarak, mümkün olduğu ölçüde Veri Sahibi'nin haklarını kullanma taleplerine yanıt verme yükümlülüğünün yerine getirilmesi için uygun teknik ve organizasyonel önlemlerle Sorumlu'ya yardımcı olacaktır
6. İşlemenin niteliğini ve İşleyici'ye sunulan bilgileri dikkate alarak, GDPR'nin 32. ila 36. Maddeleri uyarınca yükümlülüklere uyulmasını sağlamada Sorumlu'ya yardımcı olacaktır
7. Sorumlu'nun seçimine bağlı olarak, hizmetlerin sağlanmasının bitiminden sonra tüm Kişisel Verileri Sorumlu'ya silecek veya iade edecek ve Birlik veya Üye Devlet hukuku Kişisel Verilerin saklanmasını gerektirmedikçe mevcut kopyaları silecektir
8. GDPR'nin 28. Maddesi'nde belirtilen yükümlülüklere uyulduğunu göstermek için gerekli tüm bilgileri Sorumlu'ya sunacak ve Sorumlu veya Sorumlu tarafından yetkilendirilmiş başka bir denetçi tarafından gerçekleştirilen denetimlere izin verecek ve katkıda bulunacaktır

6. Güvenlik Önlemleri

İşleyici, GDPR'nin 32. Maddesi'ne uygun olarak Kişisel Verileri korumak için aşağıdaki teknik ve organizasyonel önlemleri uygular:

• Aktarım sırasında şifreleme: İstemciler ve sunucular arasında iletilen tüm veriler TLS 1.2 veya daha yüksek (HTTPS) kullanılarak şifrelenir
• Sunucuda şifreleme: Veritabanı depolaması, depolanan tüm Kişisel Veriler için MongoDB sunucu şifrelemesi kullanır
• Erişim kontrolleri: JWT belirteçleri ve API anahtarları aracılığıyla kimlik doğrulama; rol tabanlı erişim kontrolleri; en az ayrıcalık ilkesi
• Şifre güvenliği: Kullanıcı şifreleri uygun maliyet faktörleriyle bcrypt hashleme kullanılarak saklanır; API anahtarları güvenli hash'ler olarak saklanır
• Altyapı güvenliği: Güvenlik duvarlı altyapı (kısıtlı bağlantı noktalarına sahip UFW), düzenli güvenlik güncellemeleri ve yamalama
• Sunucu konumu: DigitalOcean altyapısı (şu anda ABD merkezli; AB/AEA veri merkezine geçiş planlanıyor)
• Ödeme verileri: Sunucularımızda ödeme kartı verisi saklanmaz. Tüm ödeme işleme, PCI DSS Seviye 1 uyumluluğunu sürdüren Stripe tarafından gerçekleştirilir
• İzleme: Güvenlik olayları ve anormallikler için otomatik izleme, günlük kaydı ve uyarı

7. Alt İşleyiciler

Sorumlu, İşleyici'ye aşağıdaki alt işleyicileri görevlendirme genel yetkisini verir. İşleyici, alt işleyicilerin eklenmesi veya değiştirilmesine ilişkin amaçlanan değişiklikleri en az 30 gün önceden yazılı bildirimle Sorumlu'ya bildirir ve böylece Sorumlu'ya bu tür değişikliklere itiraz etme fırsatı verir.

Sorumlu, veri korumayla ilgili makul gerekçelerle yeni bir alt işleyiciye itiraz ederse, taraflar konuyu iyi niyetle tartışacaktır. 30 gün içinde bir çözüme ulaşılamazsa, Sorumlu cezasız olarak etkilenen hizmetleri sonlandırabilir.

8. Veri Aktarımları

Kişisel Veriler, Avrupa Birliği ve Avrupa Ekonomik Alanı dışındaki ülkelere aktarılabilir ve oralarda işlenebilir. Bu tür aktarımların gerçekleştiği yerlerde, İşleyici, GDPR'nin V. Bölümü'ne uygun olarak aşağıdakiler dahil uygun güvencelerin yerinde olmasını sağlar:

• Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Hükümleri (SCC'ler) (Komisyon Uygulama Kararı (AB) 2021/914)
• Geçerli olduğu durumlarda Avrupa Komisyonu'nun yeterlilik kararları
• Schrems II kararına (Dava C-311/18) uygun olarak, gerektiğinde aktarım mekanizmalarını tamamlamak için ek teknik ve organizasyonel önlemler

9. Veri İhlali Bildirimi

İşleyici, GDPR'nin 4(12) Maddesi'nde tanımlandığı gibi bir Kişisel Veri ihlalinin farkına vardıktan sonra gereksiz gecikme olmaksızın ve her durumda 72 saat içinde Sorumlu'ya bildirimde bulunacaktır. Bildirim şunları içerecektir:

• Kişisel Veri ihlalinin niteliğinin tanımı; ilgili Veri Sahiplerinin ve kayıtların kategorileri ve yaklaşık sayısı dahil
• Daha fazla bilgi alınabilecek veri koruma irtibat kişisinin adı ve iletişim bilgileri
• İhlalin olası sonuçlarının tanımı
• İhlali ele almak için alınan veya önerilen önlemlerin tanımı; olası olumsuz etkilerini hafifletme önlemleri dahil

İşleyici, Sorumlu ile işbirliği yapacak ve her bu tür ihlalin soruşturulmasında, hafifletilmesinde ve giderilmesinde yardımcı olmak için makul ticari adımlar atacaktır.

10. Veri Sahibi Hakları

İşleyici, Sorumlu'nun GDPR'nin III. Bölümü kapsamındaki haklarını kullanan Veri Sahibi taleplerine yanıt verme yükümlülüklerini yerine getirmesinde Sorumlu'ya yardımcı olacaktır; bunlar şunları içerir:

• Erişim hakkı (Madde 15)
• Düzeltme hakkı (Madde 16)
• Silme hakkı / unutulma hakkı (Madde 17)
• İşleme kısıtlaması hakkı (Madde 18)
• Veri taşınabilirliği hakkı (Madde 20)
• İtiraz hakkı (Madde 21)

İşleyici, doğrudan bir Veri Sahibi'nden bir talep alırsa, derhal Sorumlu'ya bildirir ve yasal olarak gerekli olmadıkça Sorumlu'nun önceden yazılı izni olmadan talebe yanıt vermez.

11. Denetim Hakları

Sorumlu, İşleyici'nin bu DPA'ya uygunluğunu denetleyebilir. Denetimler aşağıdaki koşullara tabidir:

• Sorumlu en az 30 gün önceden yazılı bildirimde bulunacaktır
• Bir denetim otoritesi tarafından gerekli görülmedikçe veya Kişisel Veri ihlalinin ardından, denetimler takvim yılında bir defadan fazla yapılmayacaktır
• Denetimler normal mesai saatlerinde yapılacak ve İşleyici'nin operasyonlarına makul olmayan şekilde müdahale etmeyecektir
• Denetim, İşleyici tarafından önemli uyumsuzluğu ortaya çıkarmadığı durumlar dışında, Sorumlu'nun maliyetlerini üstlenir
• Sorumlu, makul gizlilik yükümlülüklerine tabi olarak, kalifiye, bağımsız bir üçüncü taraf denetçisi görevlendirebilir

12. Süre ve Fesih

Bu DPA, taraflar arasındaki hizmet sözleşmesinin süresi boyunca yürürlükte kalacaktır. Hizmet sözleşmesinin feshi üzerine:

• İşleyici, Sorumlu'nun seçimine bağlı olarak, fesih tarihinden itibaren 30 gün içinde tüm Kişisel Verileri silecek veya iade edecektir
• İşleyici, Birlik veya Üye Devlet hukuku saklamayı gerektirmedikçe (örneğin, İspanyol hukuku tarafından gerekli görülen vergi ve mali kayıtlar) Kişisel Verilerin mevcut kopyalarını silecektir
• İşleyici, Sorumlu'nun talebi üzerine silme işleminin yazılı onayını sağlayacaktır

13. Geçerli Hukuk

Bu DPA, hukuk çatışması hükümlerine bakılmaksızın İspanya Krallığı yasalarına göre yönetilecek ve yorumlanacaktır. GDPR, Kişisel Veri işlemeyle ilgili tüm konulara uygulanacaktır. Bu DPA kapsamında doğan herhangi bir anlaşmazlık, Kanarya Adaları, İspanya (Santa Cruz de Tenerife) mahkemelerinin münhasır yargı yetkisine tabi olacaktır.

14. İletişim

Bu Veri İşleme Sözleşmesi ile ilgili sorular, endişeler veya talepler için lütfen bize ulaşın: