Data Processing Agreement

1. Taraflar ve Roller

Bu DPA, RYSTAT markası altında hizmet sunan Unifics Limited ile müşteri arasında akdedilen hizmet sözleşmesinin eki niteliğindedir.

• Müşteri: kişisel veriler bakımından veri sorumlusu veya gerekli olduğu hallerde veri işleyen
• RYSTAT: hizmetin niteliğine göre veri işleyen veya alt işleyen

2. Konu, Süre ve Amaç

RYSTAT kişisel verileri yalnızca sözleşme kapsamındaki hizmetleri sağlamak, güvenliği sürdürmek, destek vermek ve belgelenmiş müşteri talimatlarını yerine getirmek amacıyla işler.

3. Veri Kategorileri ve İlgili Kişiler

4. Müşteri Talimatları

RYSTAT kişisel verileri yalnızca müşterinin belgelenmiş talimatları doğrultusunda işler; ancak uygulanabilir hukuk veya yetkili makam kararı farklı bir işlemeyi zorunlu kılıyorsa bu durum hariçtir. Bu tür bir zorunluluk halinde RYSTAT, yasal olarak engellenmediği sürece müşteriyi bilgilendirir.

5. Gizlilik ve Personel Yetkilendirmesi

RYSTAT kişisel verilere erişimi görev gereği bilmesi gereken personel ve yetkili hizmet sağlayıcıları ile sınırlar. Erişimi olan tüm kişiler, veri koruma mevzuatına uygun gizlilik yükümlülüklerine tabidir ve düzenli olarak veri güvenliği eğitimleri alır.

6. Güvenlik Tedbirleri

• Erişim kontrolü ve kimlik doğrulama mekanizmaları
• Loglama, olay izleme ve güvenlik alarm süreçleri
• Ağ segmentasyonu, güncelleme ve zafiyet yönetimi
• Şifreleme veya eşdeğer koruma tedbirleri
• Yedekleme ve süreklilik planları
• Fiziksel güvenlik önlemleri

7. Alt İşleyenler

RYSTAT hizmetin sunulması için alt işleyenlerden yararlanabilir. Alt işleyenler; barındırma, veri merkezi, ağ, destek, izleme, iletişim ve faturalandırma sağlayıcıları olabilir.

RYSTAT, alt işleyenlerle GDPR Madde 28(4) kapsamında eşdeğer veri koruma yükümlülükleri içeren sözleşmeler akdeder ve makul gözetim uygular. Müşteri, RYSTAT'ın alt işleyen kullanmasına genel onay vermektedir (GDPR Madde 28(2)).

RYSTAT, yeni bir alt işleyen eklemesi veya mevcut bir alt işleyende esaslı değişiklik yapması durumunda, yasal olarak engellenmediği sürece müşteriyi en az 14 takvim günü öncesinden yazılı olarak bilgilendirir. Müşteri, bu süre içinde haklı gerekçeye dayalı itirazda bulunabilir. İtirazın haklı bulunması hâlinde taraflar, sözleşmenin askıya alınması veya feshi dahil olmak üzere uygun çözümler üzerinde mutabık kalır.

8. Uluslararası Veri Aktarımları (GDPR Bölüm V — Madde 44–49)

Unifics Limited, Hong Kong Özel İdari Bölgesi'nde kayıtlıdır. Avrupa Komisyonu, Hong Kong için bir yeterlilik kararı vermemiştir (GDPR Madde 45). Bu nedenle AEA ile Hong Kong arasındaki veri akışlarında GDPR Madde 46 kapsamındaki uygun güvenceler uygulanmaktadır.

Uygulanan aktarım mekanizmaları

• Standart Sözleşme Hükümleri (SCCs): Avrupa Komisyonu'nun 4 Haziran 2021 tarih ve 2021/914/EU sayılı Uygulama Kararı kapsamında hazırlanan SCCs, hizmet ilişkisine uygun modüle göre uygulanmaktadır:
  • Modül 2 (Veri Sorumlusu → Veri İşleyen): RYSTAT'ın veri işleyen sıfatıyla hareket ettiği hâllerde, müşteri (veri sorumlusu) ile RYSTAT (veri işleyen) arasındaki aktarım için uygulanır.
  • Modül 3 (Veri İşleyen → Alt İşleyen): RYSTAT'ın AEA dışındaki alt işleyenlerle çalıştığı hâllerde uygulanır.
• Aktarım Etki Değerlendirmesi (TIA): RYSTAT, EDPB 01/2020 sayılı Tavsiye Kararı çerçevesinde üçüncü ülke aktarımlarına ilişkin etki değerlendirmelerini gerektiğinde gerçekleştirir. Müşteri talep etmesi hâlinde mevcut değerlendirme özeti paylaşılabilir.
• Ek teknik önlemler: Aktarım güvenliğini artırmak amacıyla şifreleme, veri minimizasyonu ve ayrıcalıklı erişim kontrolü uygulanmaktadır.

AB üye devletlerinde konumlanan sunucularda depolanan veriler GDPR güvencesi altındadır ve ek aktarım mekanizması gerektirmez.

Müşteri, RYSTAT'ın bu bölümde açıklanan aktarım mekanizmalarını kullanarak uluslararası veri aktarımları gerçekleştirmesine onay vermektedir.

9. Veri Sahibi Talepleri ve Yardım

RYSTAT işleme faaliyeti ve hizmet mimarisi ölçüsünde müşteriye veri sahibi taleplerinin yanıtlanmasında makul yardım sağlar. Nihai değerlendirme ve cevaplama yükümlülüğü esasen veri sorumlusuna aittir. RYSTAT, veri sahibinden doğrudan bir talep alması halinde, yasal olarak engellenmediği sürece bu talebi müşteriye yönlendirir.

10. Kişisel Veri İhlalleri

RYSTAT kendi kontrol alanında tespit ettiği ve müşteri verilerini etkileyen kişisel veri ihlallerini uygulanabilir mevzuat ve olayın niteliği doğrultusunda gecikmeksizin müşteriye bildirir. Bu bildirim, ihlalin niteliği, etkilenen veri kategorileri, ilgili kişi sayısı, alınan önlemler ve olası sonuçlar hakkında bilgi içerir. RYSTAT, ihlalin araştırılması ve hafifletilmesi konusunda müşteriye makul ölçüde destek sağlar.

11. Denetim ve Bilgi Sağlama

RYSTAT makul gizlilik ve güvenlik sınırları içinde müşterinin uygun bilgi taleplerine yanıt verir. Yerinde denetim talepleri hizmet güvenliğini, diğer müşterilerin gizliliğini ve ticari sırları ihlal etmeyecek şekilde önceden mutabakat ile yürütülür. RYSTAT, denetim yerine, bağımsız üçüncü taraf denetim raporları veya sertifikasyonları sunabilir.

12. Hizmet Sonunda İade veya Silme

Hizmetin sona ermesi üzerine veriler sözleşme, hizmet mimarisi ve yasal saklama yükümlülükleri çerçevesinde silinir, anonim hale getirilir veya müşteriye iade edilir. Teknik yedeklerden silme olağan sistem döngüleri içinde gerçekleşebilir. Müşteri, hizmetin sona ermesinden önce verilerini yedeklemekle sorumludur.

13. Öncelik ve Çatışma

Bu metin ile başka bir sözleşme belgesi arasında çelişki olması halinde, aşağıda belirtilen öncelik sırası geçerli olacaktır:

1. İmzalı kurumsal sözleşme, sipariş formu veya teklif eki
2. Ürüne özel hizmet şartları
3. Acceptable Use Policy (AUP)
4. Hizmet Seviyesi Taahhüdü (SLA)
5. Bu Data Processing Agreement (DPA) (yalnızca veri işleme konularında)
6. Kullanım Koşulları
7. Gizlilik Politikası
8. İade Politikası
9. Kamusal açıklama metinleri (örn. Alt İşleyen Çerçevesi)

14. İletişim

privacy@rystat.com