Yürürlük Tarihi
18 Mart 2019

Önceki sürüm için lütfen buraya tıklayınız.

Müşteri (“Siz”) ve Freshworks (“Biz”) arasında sözleşme teşkil eden bu Veri İşleme Eki’ni (“VİE”) lütfen dikkatli bir şekilde okuyunuz. https://www.freshworks.com/terms/ adresinden erişebileceğiniz Freshworks Hizmet Kullanım Şartlarında (“Hizmet Şartları”) belirtildiği üzere, işbu VİE, bizim ya da Grup Şirketlerimizin kişisel verileri işlediği durumlarda geçerli olacaktır. VİE kapsamında kullanılan fakat tanımlanmayan ve büyük harflerle gösterilen terimler için, Hizmet Şartlarında belirtilen tanımlar geçerli olacaktır. Hizmet Şartları ile VİE arasında bir çelişki olması durumunda, işbu VİE geçerli olacaktır.

1. Kişisel Verilerin Korunması

1.1 Tanımlar: Bu VİE kapsamında, aşağıda verilen terimler için yine aşağıda verilen tanımlar geçerli olacaktır:

a) "kontrolör", "işleyici", "veri sahibi", "kişisel veri", "veri işleme" (ve "işlem") ve "özel kategorilerdeki kişisel veriler" için Yürürlükteki Kişisel Verilerin Korunması Mevzuatı kapsamında verilen tanımlar geçerli olacaktır; ve

b) "Yürürlükteki Kişisel Verilerin Korunması Mevzuatı" Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (Tüzük 2016/679) (GDPR) ve diğer uygulanabilir kişisel verilerin korunması kanun, tüzük ve yönetmeliklerini ifade etmektedir.

1.2 Taraflar arasındaki ilişki: Müşteri (kontrolör), Hizmet Şartlarında belirtilen (ya da taraflarca yazılı olarak belirlenen diğer) amaçlar (“İzin Verilen Amaçlar”) kapsamında, Hizmet Verilerinin (“Veri”) bir kısmını oluşturan kişisel verilerin işlenmesi amacıyla Freshworks’ü işleyici olarak yetkilendirmiştir. Taraflar, Yürürlükteki Kişisel Verilerin Korunması Mevzuatı kapsamındaki yükümlülüklerine uymak zorundadırlar.

1.3 Yasaklı veri: Müşteri, özel kategorilerdeki kişisel verilerini işlemesi için Freshworks ile paylaşmayacaktır (ve bir başka veri sahibine paylaşması için izin vermeyecektir).

1.4 Uluslararası aktarım: Kişisel verilerin, belirtildiği gibi, İşleyicinin Grup Şirketlerine, Avrupa Birliği üyesi olmayan bir ülkeye, Avrupa Ekonomik Alanı Sözleşmesi’ne taraf bir ülkeye (“AEA Ülkeleri”) ya da uluslararası bir organizasyona uluslararası aktarımı durumunda, taraflarca önceden yazılı bir şekilde aksi belirtilmedikçe, aşağıda belirtilen hükümler uygulanacaktır:

a) Müşteriye (Standart Sözleşme Maddelerinde belirtilen amaçlara göre “Veri Göndericisi” olarak değerlendirilecektir) ait olan ve Freshworks (Standart Sözleşme Maddelerinde belirtilen amaçlara göre “Veri Alıcısı” olarak değerlendirilecektir) ya da Avrupa Ekonomik Alanı dışındaki Freshworks’ün alt yüklenicileri tarafından işlenen veriler hakkında, DPA Ek 2’de belirtilen Standart Sözleşme Maddeleri uygulanacaktır. Standart Sözleşme Maddeleri ile DPA arasında bir çelişki olması durumunda, işbu Standart Sözleşme Maddeleri geçerli olacaktır.

b) Müşterinin talebi üzerine, üçüncü ülkelerdeki veri işleyicilerine verilerin aktarımı için, Standart Sözleşme Maddeleri yerine, GDPR m.46/2 (c) ve (d) bentlerine uygun olarak yeni bir standart sözleşme maddeleri kabul edebilir ve uygulayabilir.

c) GDPR m. 45/3 ya da 95/46/EC sayılı Yönerge m. 25/6’ya göre uygunluk kararına tabi olan bir ülkeye kişisel verilerin aktarılması ve bu aktarımın devam etmesi halinde, Standart Sözleşme Maddeleri gerekmemektedir. Uygunluk kararının feshedilmesi veya askıya alınması durumunda, (a) ve (b) bentleri kendiliğinden uygulanacaktır. İşbu (c) bendi, Gizlilik Kalkanı Sistemi kapsamında tescil edilen bir alıcıya Kişisel Verilerin aktarılması durumunda uygulanacaktır.

1.5 Veri işlemenin gizliliği: Freshworks, Kişisel Verileri işlemeye yetkili herhangi bir kişinin (“Yetkili Kişi”), Hüküm ve Şartlar kapsamındaki Freshworks’ün gizlilik yükümlülüklerine uygun olarak, Kişisel Verileri korumasını sağlayacaktır.

1.6 Güvenlik: İşleyen, Kişisel Verileri (i) tesadüfi ya da kanuna aykırı tahribatlardan ve (ii) kayıp, değişiklik, yetkisiz açıklama veya Kişisel Verilere erişimden (“Güvenlik İhlali”) korumak için gerekli teknik ve kurumsal tedbirleri alacaktır.

1.7 Alt Sözleşme: Müşteri, (i) Freshworks tarafından güncel alt yüklenici listesinin https://freshworks.com/privacy/sub-processor/ adresinde tutulması ve herhangi bir değişiklik olmadan önce alt yükleniciler ile ilgili değişikliklerin bu listede belirtilmesi; (ii) Uygulanacak Kişisel Verilerin Korunması Mevzuatı uyarınca gerekli olan standartlara göre kişisel verilerin korunması hüküm ve şartlarının Freshworks tarafından altyüklenicilere kabul ettirilmesi; ve (iii) altyüklenicinin fiili, kusuru ya da ihmali sonucunda işbu maddenin ihlal edilmesi halinde, bu ihlalden Freshworks’ün sorumlu olmaya devam etmesi şartıyla, İzin Verilen Amaçlar kapsamında Kişisel Verilerin üçüncü taraf alt yükleniciler tarafından işlenebileceğine muvafakat etmektedir. Müşteri, ilgili itirazın kişisel verilerin korunması ile ilgili haklı gerekçelere dayanması şartıyla, alt yüklenicinin atanmasına ya da değiştirilmesine, atama ya da değişiklik öncesi, itiraz edebilir. Böyle bir durumda, alt yükleniciyi atanmayabilir ya da değiştirilebilir ya da böyle bir durum mümkün değilse, (askıya alma ya da fesih öncesinde Müşterinin ödemesi gereken ücretler saklı kalmak kaydıyla) Müşteri, Hüküm ve Şartları askıya alabilir ya da feshedebilir.

1.8 İş birliği ve veri sahibinin hakları: Freshworks, (masrafları Müşteri tarafından karşılanmak üzere) Müşteriye, aşağıda belirtilen konularda makul ve zamanında destek sağlayacaktır: (i) Uygulanacak Kişisel Verilerin Kullanılması Mevzuatı kapsamında veri sahibinin haklarını kullanma talepleri (uygulanabildiği durumlarda verilere erişim, düzeltme, itiraz etme, silme ve verilerin aktarımı) ile (ii) Kişisel Verilerin işlenmesi ile ilgili olarak, veri sahibi, düzenleyici kuruluş ya da üçüncü kişilerden gelen diğer yazı, sorgu ve şikayetler. Böyle bir talep, yazı, sorgu ya da şikâyetin doğrudan Freshworks’e gönderilmesi durumunda, Freshworks gönderilen ile ilgili bütün detayları derhal Müşteriye sağlayacak ve Müşteriyi bilgilendirecektir.

1.9 Kişisel Verilerin Korunması ile ilgili Etki Değerlendirmesi: Freshworks, Kişisel Verilerin işlenmesinin veri sahibinin kişisel verilerin korunması ile ilgili hak ve özgürlükleri açısından büyük riskler teşkil edeceğini düşünüyorsa ya da böyle bir durumun farkına varırsa, Uygulanacak Kişisel Verilerin Korunması Mevzuatı kapsamında, gerekli olabilecek kişisel verilerin korunması ile ilgili etki değerlendirilmesi ile alakalı olarak Müşteri bilgilendirilecek ve (masrafları Müşteri tarafından karşılanmak üzere) Müşteriyle makul bir iş birliği yapacaktır.

1.10 Güvenlik İhlalleri: Teyit edilen bir Güvenlik İhlalinin farkına varılması durumunda, Freshworks, Uygulanacak Kişisel Verilerin Korunması Mevzuatı kapsamında (ve mevzuatta belirtilen süreler içerisinde) veri ihlali raporlama yükümlülüğünü yerine getirebilmesi için, Müşteriyi vakit kaybetmeksiniz bilgilendirecek ve Müşteriye makul bir bilgilendirme ve iş birliği sağlayacaktır. Ayrıca, Freshworks, Güvenlik İhlalini gidermek ya da etkilerini en aza indirmek için gerekli önlem ve tedbirleri alacak ve Güvenlik İhlali ile ilgili yapılan bütün geliştirmeler ile ilgili Müşteriyi bilgilendirecektir.

1.11 Verilerin Silinmesi: Müşteri Hesabı sona ermeden önce, Müşteri bütün Servis Verilerini dışarı aktarabilir. Her halükarda, taraflardan birinin Müşteri Hesabını sona erdirmesi halinde, (i) Servis Sözleşmesi ile aşağıda belirtilen (ii) ve (iii) numaralı koşullara tabi olarak, Servis Verileri, sona ermeden itibaren 14 gün boyunca saklanmaya devam edecektir ve Müşteri bu süre zarfında Sağlayıcı ile irtibata geçerek Servis Verilerini dışarı aktarabilir; (ii) Kontrolör özel bir e-posta adresi yerine posta özelliğini kullanıyorsa, Servisler kapsamında böyle bir şey mümkünse, Servis Verilerinin bir kısmını oluşturan e-postalar 3 ay boyunca otomatik olarak saklanacaktır ve (iii) günlükler, günlük yönetim sisteminde otuz (30) gün boyunca ve günlük kayıtlarında saklanan gönderiler ise on bir (11) ay boyunca (“Veri Saklama Süresi”) erişime kısıtlı depolama alanlarında saklanacaktır. Her bir Veri Saklama Süresinden sonra, mali ve diğer kayıtların tutulması, uyuşmazlıkların çözümü, sözleşmelerin icrası ve İşleyicinin hukuki yükümlülüklerine uyması için gereken veriler hariç olmak üzere, İşleyici tarafından bütün Servis verileri silinecektir. Silindiği durumda, Servis Verileri kurtarılamaz.

1.12 Denetim: Müşteri, Freshworks’ün ISO 27001 ve SSAE 18 SOC 2 standartlarına uygun olarak, bağımsız bir üçüncü taraf denetçi tarafından rutin bir şekilde denetlendiğini kabul etmektedir. Talep üzerine, Freshworks, Müşteriye denetim raporunun/raporlarının özetini sağlayacak ve raporlar Hüküm ve Şartlarda belirtilen gizlilik hükümlerine tabi olacaktır.

 

Ek 1
Veri İşleme Detayları
Veri sahipleri

Veri Sahipleri, kişisel verilerin ilgili olduğu kişiler ve Hizmetleri kullanarak etkileşime geçen Kullanıcı ve Son Kullanıcılardır.

Veri Kategorileri

Veri kategorileri, Kullanıcı ve Son Kullanıcıların elektronik veri, yazı, mesajlar ile diğer araçlarda bulunan ve Hizmetlerin Müşteri tarafından kullanılması ile ilgili olarak, Müşteri Hesabı aracılığıyla, Müşteri tarafından Hizmetlere sağlanan kişisel verilerini ifade etmektedir.

Veri işlemenin konusu ve şekli

İşlenen kişisel veriler, Freshworks tarafından Müşteriye Hizmetlerin sağlanabilmesi için gereken, kişisel verilerin işlenmesi dahil olmak üzere, temel veri işleme faaliyetlerine tabi tutulacaktır. Kişisel veriler, VİE ile Hizmet Şartlarında belirtilen bu veri işleme faaliyetlerine tabi tutulacaktır.

Veri işlemenin amacı

Kişisel veriler, bir Formda belirtilen Hizmetlerin sağlanması amaçlarıyla, Müşteri tarafından talimat verilen amaçlarla ve bunlar yoksa, Şartlarda, bu VİE’de veya kullanılan herhangi bir Formda kararlaştırılan şekilde işlenecektir.

Veri işlemenin süresi

Kişisel veriler Hizmet Şartlarının süresi boyunca işlenecektir.

 

Ek 2

AB Standart Sözleşme Maddeleri (veri işleyiciler)

95/46/AT sayılı Yönetmelik 26/2 maddesi gereğince, kişisel veriler için yeterli düzeyde koruma sağlamayan üçüncü taraf ülkede yerleşik veri işleyiciye kişisel verilerin aktarımı amacıyla,

VİE’de “Kullanıcı” olarak tanımlanan kişi

(“veri göndericisi”)

ve

Freshworks, Inc.

2950 S. Delaware Street, Suite 201, San Mateo, CA 94403

(“veri alıcısı”)

ayrı ayrı “taraf”; birlikte “taraflar”,

aşağıda belirtilen Sözleşme Maddelerini (Maddeler), Ek-1’de belirtilen kişisel verilerin veri göndericisinden veri alıcısına aktarımı ile ilgili gizliliği ile temel hak ve özgürlüklerin korunması ile ilgili yeterli korumayı sağlamak için KABUL ETMEKTEDİR.  

Madde 1

Tanımlar

Maddeler kapsamında geçerli olmak üzere:

(a) 'kişisel veri', 'özel kategorilerdeki kişisel veriler', 'işlem/işleme', 'kontrolör', 'veri işleyici', 'veri sahibi' ve 'denetleyici kurum' için Avrupa Parlamentosu ve Avrupa Konseyi’nin 24 Ekim 1995 tarihli ve 95/49/AT sayılı kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı ile ilgili kişilerin korunması hakkında Yönetmelik kapsamında verilen tanımlar geçerli olacaktır;

(b) 'veri göndericisi' kişisel verileri aktaran kontrolörü ifade etmektedir;

(c) 'veri alıcısı' Maddelerde belirtilen şartlara ve talimatlara uygun olarak aktarıldıktan sonra verileri kendi adına işlemek üzere veri göndericisinden almayı kabul eden ve 95/46/AT sayılı Yönetmelik 25/1 maddesi kapsamında gerekli korumayı sağlamayan üçüncü taraf ülkenin sistemine tabi olmayan veri işleyicisini ifade etmektedir;

(d) 'alt işleyici' veri alıcısı veya diğer bir alt işleyici tarafından gönderilen ve aşağıda verilen alt sözleşmenin ve Maddelerin hükümleri ile veri göndericisinin talimatları uyarınca aktarımından sonra, yalnızca veri göndericisi adına işleme faaliyetlerinde kullanılacak olan kişisel verileri almayı kabul eden veri alıcısının diğer bir alt işleyicisi ya da veri alıcısı tarafından görevlendirilen herhangi bir işleyiciyi ifade etmektedir;

(e) 'yürürlükteki kişisel verilerin korunması mevzuatı' kişi temel hak ve özgürlükler ile özellikle kişisel verilerin işlenmesi ile ilgili hakların korunması için veri göndericisinin yerleşik olduğu Üye Ülkedeki veri kontrolörüne uygulanacak mevzuatı;

(f) 'teknik ve kurumsal güvenlik tedbirleri' kişisel verilerin, özellikle kişisel verilerin ağda dolaşımı ile ilgili işleme faaliyetleri esnasında, kazara ya da hukuka aykırı tahribine, kazara kaybına, değişikliğe, yetkisiz açıklama ya da erişime ve diğer hukuka aykırı işleme faaliyetlerine karşı korunmasını amaçlayan tedbirleri ifade etmektedir.

Madde 2

Aktarımın detayları

Aktarımın detayları ve uygulanabilir olduğu durumlarda özellikle özel kategorilerdeki kişisel veriler, Maddelerin ayrılmaz bir parçası olan Ek-1’de belirtilmiştir.

Madde 3

Üçüncü taraf lehine madde

Maddeler kapsamında geçerli olmak üzere:

1. Veri sahibi, üçüncü taraf olarak, veri göndericisini işbu Madde ile 4. Maddenin (b) paragrafından (i) paragrafına kadar olan hükümleri, 5. Maddenin (a) paragrafından (e) paragrafına kadar olan hükümler ile (g) paragrafından (j) paragrafına kadar olan hükümleri, 6. Maddenin (1) ve (2) fıkraları, 7. Maddeyi, 8. Maddenin (2) fıkrası ve Madde 9 ile Madde 12 arasındaki hükümleri uygulamaya zorlayabilir.

2. Veri sahibi, veri göndericisinin fiili olarak ortadan kaybolması ya da hukuken varlığının sona ermesi durumunda, herhangi bir halefin veri göndericisinin bütün hukuki yükümlülüklerini sözleşme ya da bir hukuki işlemle üstlenmesi durumu haricinde, veri alıcısını işbu Madde ile 5. Maddenin (a) paragrafından (e) paragrafına kadar olan hükümler ile (g) paragrafını, 6. Maddeyi, 7. Maddeyi, 8. Maddenin (2) fıkrasını ve Madde 9 ile Madde 12 arasındaki hükümleri uygulamaya zorlayabilir. Veri göndericisinin hak ve yükümlülüklerinin devredilmesi durumunda, veri sahibi, tüm hak ve yükümlülükleri devralan halefi yukarıda sayılan maddeleri uygulamaya zorlayabilir.

3. Veri sahibi, veri göndericisi ile veri alıcısının fiili olarak ortadan kaybolması, hukuken varlıklarının sona ermesi ya da iflas etmeleri durumunda, herhangi bir halefin veri göndericisinin bütün hukuki yükümlülüklerini sözleşme ya da bir hukuki işlemle üstlenmesi durumu haricinde, alt işleyiciyi işbu Madde  5. Maddenin (a) paragrafından (e) paragrafına kadar olan hükümler ile (g) paragrafını, 6. Maddeyi, 7. Maddeyi, 8. Maddenin (2) fıkrasını ve Madde 9 ile Madde 12 arasındaki hükümleri uygulamaya zorlayabilir. Veri göndericisinin hak ve yükümlülüklerinin devredilmesi durumunda, veri sahibi, tüm hak ve yükümlülükleri devralan halefi yukarıda sayılan maddeleri uygulamaya zorlayabilir. Alt işleyicilerin üçüncü taraf lehine yükümlülüğü, Maddeler kapsamında kendi işleme faaliyetleri ile sınırlı olacaktır.

4. Taraflar, veri sahibinin açıkça talep etmesi ve ulusal mevzuat tarafından izin verilmesi halinde, veri sahibinin bir dernek ya da diğer bir kuruluş tarafından temsil edilmesine itiraz edemezler.

Madde 4

Veri göndericisin yükümlülükleri

 

Veri göndericisi,

(a) aktarımın kendisi de dahil olmak üzere, kişisel verilerin yürürlükteki kişisel verilerin korunması mevzuatının hükümlerine uygun olarak işlediğini, işlenmeye devam edeceğini (ayrıca, uygun durumlarda, kişisel verilerin işlenme faaliyetleri veri göndericisinin yerleşik olduğu Üye Ülkenin yetkili kurumlarına bildireceğini) ve işleme faaliyetleri bu Ülkenin ilgili mevzuatını ihlal etmeyeceğini;

(b) yalnızca veri göndericisi adına aktarılan verileri, Maddelere ve yürürlükteki kişisel verilerin korunması mevzuatına uygun olarak işlemesi için veri alıcısına talimat vereceğini ve kişisel verilerin işlenmesi hizmetlerin sağlandığı süre boyunca talimat vermeye devam edeceğini;

(c) veri alıcısının bu sözleşmenin Ek-2’sinde belirtilen teknik ve kurumsal güvenlik tedbirlerine göre yeterli tedbirleri sağlayacağını;

(d) yürürlükteki kişisel verilerin korunması mevzuatında belirtilen gerekliliklerin değerlendirilmesinden sonra, kişisel verilerin, özellikle kişisel verilerin ağda dolaşımı ile ilgili işleme faaliyetleri esnasında, tesadüfi ya da hukuka aykırı tahribine, veya kazara kaybına, değişikliğe, yetkisiz açıklama ya da erişime ve diğer hukuka aykırı işleme faaliyetlerine karşı uygun tedbirlerin alındığını ve bu tedbirlerin veri işleme sırasında ve korunacak kişisel veriye göre ortaya çıkan risklere karşı, güncel teknoloji ve uygulama maliyetleri göz önüne alınarak, uygun bir güvenlik düzeyinde olmasını;

(e) bu işlemlerin güvenlik tedbirlerine uygun olarak yürütülmesini sağlamayı;

(f) veri aktarımının özel kategorilerde kişisel verileri kapsaması durumunda, veri sahibinin bilgilendirildiğini, ya da 95/46/AT sayılı Yönetmelik uyarınca yeterli korumayı sağlamayan üçüncü taraf ülkeye verilerin aktarımından önce ya da aktarım sonrasında en kısa zamanda bilgilendireceğini;

(g) veri göndericisinin aktarıma devam etmeye karar vermesi ya da askıya alınma haline son vermesi durumunda, veri alıcısı ya da herhangi bir alt işleyici tarafından gönderilen bildirimi, Madde 5(b) ya da Madde 88(3) uyarınca, kişisel verilerin korunması ile ilgili denetleyici kuruluşa aktaracağını,

(h) talep üzerine, Ek-2 hariç olmak üzere Maddelerin bir suretini, güvenlik tedbirlerinin kısa açıklamasını ve alt işleme hizmetleri için Maddelere uygun olarak yapılması zorunlu olan herhangi bir sözleşmenin suretini, Maddelerin ve sözleşmenin ticari bilgiler içermemesi ve içeriyorsa bu bilgilerin kaldırılması şartıyla, veri sahiplerine sağlayacağını,

(i) alt işleme durumunda, Maddeler kapsamında kişisel veriler ve veri sahibinin hakları ile ilgili veri alıcısı tarafından sağlanan ile aynı düzeyde koruma sağlanması şartıyla, işleme faaliyetlerinin alt işleyici tarafından Madde 11’e uygun olarak yürütüldüğünü; ve

(j) bu işlemlerin, Madde 4’ün (a) paragrafından (i) paragrafına kadar olan hükümlere uygun olarak yürütülmesini sağlamayı

kabul ve taahhüt etmektedir.

Madde 5

Veri alıcısının yükümlülükleri

Veri alıcısı,

(a) kişisel verileri yalnızca veri göndericisi adına ve Maddeler ile veri göndericisinin talimatlarına uygun olarak işleyeceğini; herhangi bir sebeple uygunluğun sağlanamaması durumunda, veri göndericisini derhal uygunluğun sağlanamaması ile ilgili bilgilendirmeyi kabul ettiğini ve böyle bir durumda veri göndericisinin veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahip olduğunu;

(b) veri göndericisi tarafından gönderilen talimatları ve sözleşme kapsamındaki yükümlülüklerini yerine getirmesine yürürlükteki mevzuatın engel olabileceğini düşünmek için hiçbir sebebi bulunmadığını ve ilgili mevzuatta Maddeler kapsamında sağlanan taahhüt ve yükümlülükleri önemli ölçüde olumsuz etkileyebilecek değişiklik olması halinde, haberi olur olmaz ilgili değişikliği veri göndericisine derhal bildireceğini ve böyle bir durumda veri göndericisinin veri aktarımını askıya alma ve/veya sözleşmeyi feshetme hakkına sahip olduğunu;

(c) aktarılan kişisel verilerin işlenmesinden önce, Ek-2’de belirtilen teknik ve kurumsal güvenlik tedbirlerini uygulamaya geçireceğini;

(d) aşağıda belirtilen konular ile ilgili veri göndericisine derhal bildirimde bulunacağını:

(i) örneğin, kolluk kuvvetleri tarafından yapılan soruşturmanın gizliliğinin korunması için ceza kanunu kapsamında yapılan gibi, başka bir yasaklama durumu olmadıkça, emniyet güçleri tarafından kişisel verilerin açıklanması için yapılan herhangi bir hukuki talep halinde,

(ii) herhangi bir kazara gerçekleşen ya da yetkisiz erişim halinde ve

(iii) başka bir şekilde yapılması için yetki verilmesi hariç olmak üzere, ilgili talebe cevap vermeksizin veri sahibinin doğrudan talebi üzerine;

(e) aktarıma tabi olan kişisel verilerin işlenmesi ile ilgili veri göndericisi tarafından yapılan bütün sorgularla derhal ve eksiksiz bir şekilde ilgileneceğini ve aktarılan verinin işlenmesi ile ilgili olarak düzenleyici kurum tarafından verilen tavsiyeye eksiksiz bir şekilde uyacağını;

(f) veri göndericisinin talebi üzerine, Maddeler kapsamındaki işleme faaliyetlerinin veri göndericisi ya da bağımsız, gizlilik kurallarına riayet eden, gerekli bütün mesleki niteliklere sahip olan ve veri göndericisi tarafından, gerektiğinde düzenleyici kurum ile anlaşma halinde, seçilen üyelerden oluşan denetim kuruluşu tarafından denetimi için ilgili veri işleme tesislerini teslim edeceğini;

(g) talep üzerine, veri göndericisinden veri sahibinin suret almasının mümkün olmadığı durumlarda, yerine güvenlik tedbirlerinin kısa açıklaması koyulan Ek-2 hariç olmak üzere, Maddelerin bir suretini, alt işleme ilgili herhangi bir geçerli sözleşmeyi, Maddelerin ve sözleşmenin ticari bilgiler içermemesi ve içeriyorsa bu bilgilerin kaldırılması şartıyla, veri sahiplerine sağlayacağını;

(h) alt işleme durumunda, bu konu hakkında veri işleyiciye önceden bildirimde bulunması ve veri işleyicinin önceden yazılı rızasını alması gerektiğini;

(i) alt işleyici tarafından sağlanan işleme faaliyetlerinin Madde 11’e uygun olarak yürütüleceğini;

(j) Maddeler kapsamında akdedilen sözleşmenin bir suretinin derhal veri göndericisine gönderileceğini,

kabul ve taahhüt etmektedir.

Madde 6

Sorumluluk

1. Taraflar, Madde 3 ya da Madde 11 kapsamında ifade edilen yükümlülüklerin herhangi bir taraf ya da alt işleyici tarafından ihlal edilmesi sonucunda zarar gören veri sahibinin, maruz kaldığı zarar için, veri göndericisinden tazminat alma hakkına sahip olduğunu kabul etmektedir.

2. Veri göndericisinin fiili olarak ortadan kaybolması, hukuken varlığının sona ermesi ya da iflas etmesi sebebiyle veri göndericisine karşı paragraf (1) uyarınca tazminat talep etmenin mümkün olmadığı durumda, veri sahibi, veri alıcısı ya da alt işleyicisi tarafından sözleşmenin 3 ve 11’inci maddelerinde belirtilen yükümlülüklerinin ihlalinden doğan zararları için tazminat talep edemiyorsa ve veri göndericisinin bütün hukuki yükümlülüklerini sözleşme ya da bir hukuki işlemle üstelenen bir halef bulunmaması ve veri sahibinin haklarını bu halefe karşı kullanamaması durumunda, veri alıcısı, veri sahibinin kendisinden veri göndericisinden talep eder gibi tazminat talep edebileceğini kabul etmektedir. Veri alıcısı, alt işleyicinin yükümlülüklerini yerine getirmemesine dayanarak, kendi yükümlülüklerinden kurtulamaz.

3. Veri göndericisinin ya da veri alıcısının fiili olarak ortadan kaybolması, hukuken varlıklarının sona ermesi ya da iflas etmeleri sebebiyle veri göndericisine ya da alıcısına karşı paragraf (1) ve (2) uyarınca tazminat talep etmenin mümkün olmadığı durumda, veri sahibi, alt işleyicisi tarafından sözleşmenin 3 ve 11’inci maddelerinde belirtilen yükümlülüklerinin ihlalinden doğan zararları için tazminat talep edemiyorsa ve veri göndericisinin veya veri alıcısının bütün hukuki yükümlülüklerini sözleşme ya da bir hukuki işlemle üstelenen bir halef bulunmaması ve veri sahibinin haklarını bu halefe karşı kullanamaması durumunda, alt işleyici, veri sahibinin veri göndericisi ya da veri alıcısından talep eder gibi kendisinden Maddeler kapsamında gerçekleştirilen kendi veri işleme faaliyetleri ile ilgili tazminat talep edebileceğini kabul etmektedir. Alt işleyicinin sorumluluğu Maddeler kapsamında gerçekleştirilen kendi veri işleme faaliyetleri ile sınırlı olacaktır.

Madde 7

Arabuluculuk ve yetkili mahkeme

1. Veri alıcısı, veri sahibinin kendisine karşı üçüncü taraf lehine haklarını öne sürmesi ve/veya Maddeler kapsamındaki zararları için tazminat talep etmesi halinde, veri alıcısı, uyuşmazlığın çözümü için veri sahibi tarafından verilen

(a) bağımsız ya da mümkünse denetleyici kuruluş tarafından belirlenen arabulucuya başvurma;

(b) veri göndericisinin yerleşik olduğu Üye Ülkedeki mahkemelere başvurma kararını kabul edecektir.

2. Taraflar, veri sahibi tarafından yapılan seçimin veri sahibinin ulusal ya da uluslararası mevzuat uyarınca asli haklarına ve tazminat talep etme hakkına halel getirmemektedir.

Madde 8

Denetleyici kuruluşlar ile iş birliği

1. Veri göndericisi, talep edilmesi ya da yürürlükteki kişisel verilerin korunması mevzuatı kapsamında zorunlu olması durumunda, işbu sözleşmenin bir suretini denetleyici kuruluşa teslim etmeyi kabul etmektedir.

2. Taraflar, bir denetim kuruluşunun, yürürlükteki kişisel verilerin korunması mevzuatı kapsamında veri göndericisine yapılacak bir denetim ile aynı kapsam ve şartlar geçerli olmak üzere, denetleyici kuruluşun veri alıcısı ya da herhangi bir alt işleyiciyi de denetleme hakkı olduğunu kabul etmektedir.

3. Veri alıcısı, paragraf (2) kapsamında kendisi hakkında yürütülecek denetimi engelleyebilecek bir hukuki düzenlemenin varlığı halinde veri göndericisini ya da herhangi bir alt işleyiciyi derhal bilgilendirecektir. Böyle bir durumda, veri göndericisi Madde 5 (b)’de öngörülen tedbirleri alma hakkına sahip olacaktır.

Madde 9

Geçerli kanunlar

Maddeler için, veri göndericisinin yerleşik olduğu Üye Ülkenin mevzuatı geçerli olacaktır.

Madde 10

Sözleşmede yapılacak değişiklikler

Taraflar, Maddeleri değiştirmeyeceğini ya da düzenlemeyeceğini taahhüt etmektedir. İşbu hüküm, Maddeler ile çelişmemek kaydıyla, gerektiği durumlarda tarafların iş ile ilgili hükümler eklemesine engel teşkil etmemektedir.

Madde 11

Alt işleme

1. Veri alıcısı, veri göndericisinin önceden yazılı onayı olmadan, veri göndericisi adına veri işleme faaliyetlerini alt işleyiciye devredemeyecektir. Veri alıcısının, veri göndericisinin onayı ile, Maddeler kapsamındaki yükümlülüklerini alt işleyiciye devretmesi halinde, bu devir alt işleyiciyle yapılan ve Maddeler kapsamında veri alıcısına yüklenen yükümlülüklerin aynısını alt işleyiciye yükleyen bir yazılı sözleşme ile gerçekleştir. Alt işleyicinin yazılı sözleşme kapsamında kişisel verileri korunması ile ilgili yükümlükleri yerine getirmemesi halinde, veri alıcısı, alt işleyicinin ilgili sözleşme kapsamındaki yükümlülüklerinden veri göndericisine karşı tamamen sorumlu olacaktır.

2. Veri alıcısı ile alt işleyici arasında önceden yapılan yazılı sözleşme, Madde 3 kapsamında, veri göndericisinin ya da veri alıcısının fiili olarak ortadan kaybolması, hukuken varlıklarının sona ermesi ya da iflas etmeleri sebebiyle veri göndericisine ya da alıcısına karşı Madde 6 paragraf (1) uyarınca tazminat talep etmenin mümkün olmadığı durumda, alt işleyicisi tarafından sözleşmenin 3 ve 11’inci maddelerinde belirtilen yükümlülüklerinin ihlalinden doğan zararları için veri sahibinin tazminat talep edemediği ve herhangi bir halefin veri göndericisinin ya da veri alıcısının bütün hukuki yükümlülüklerini sözleşme ya da bir hukuki işlemle üstlenmediği durumlar için düzenlenen üçüncü taraf lehine maddeyi de içerecektir. Alt işleyicinin bu üçüncü taraf sorumluluğu, Maddeler kapsamında gerçekleştirilen kendi veri işleme faaliyetleri ile sınırlı olacaktır.

3. 1. paragrafta belirtilen sözleşmenin alt işleyiciye devredilmesinde kişisel verilerin korunması konusu ile ilgili hükümler için, veri göndericisinin yerleşik olduğu Üye Ülkenin mevzuatı geçerli olacaktır.

4. Veri göndericisi, Maddeler kapsamında akdedilen alt işleyici sözleşmelerinin listesini tutacak ve veri alıcısı tarafından Madde 5 (j) uyarınca alt işleyici sözleşmeleri kendisine bildirilecek ve bu listeyi yılda bir güncelleyecektir. İlgili liste, veri göndericisinin kişisel verilerin korunması ile ilgili denetleyici kuruluşunun erişimine açık olacaktır.

Madde 12

Kişisel veri işleyen hizmetlerin sona ermesinden sonraki yükümlülükler

1. Taraflar, kişisel veri işleyen hizmetlerin sona ermesi durumunda, aktarılan kişisel verilerin tamamının ya da bir kısmının iadesini ya da imhasını engelleyen yasal düzenlemenin varlığı hali hariç olmak üzere, veri alıcısı ve alt işleyicinin, veri göndericisinin tercihine göre, aktarılan bütün kişisel verileri ve kopyalarını veri göndericisine iade edeceğini ya da bütün kişisel verileri imha edeceğini ve imha işlemlerinin tamamlandığına dair onayı veri göndericisine ileteceğini kabul eder. Yasal düzenlemenin verilerin tamamını veya bir kısmını iadesini veya imhasını engellemesi durumunda, veri alıcısı aktarılan kişisel verilerin gizliliğini sağlayacağını ve bu tarihten itibaren aktarılan kişisel verileri işlemeyeceğini taahhüt eder.

2. Veri alıcısı ve alt işleyici, veri göndericisi ve/veya denetleyici kuruluşun talebi üzerine, 1. paragrafta belirtilen tedbirlerin denetimi için veri işleme araçlarını teslim edeceğini taahhüt eder.

Standart Sözleşme Maddelerine Ek-1

İşbu Ek, Maddelerin bir parçasını teşkil etmektedir ve taraflarca doldurularak imzalanmalıdır. Üye Ülkeler, işbu Ekte yer alması gereken ek bilgileri, kendi ulusal prosedürlerine göre, belirleyebilir ve tamamlayabilir.

Veri göndericisi

Veri göndericisi, VİE kapsamında “Müşteri” olarak tanımlanan kişidir.

Veri alıcısı

Veri alıcısı, VİE kapsamında “Freshworks” olarak tanımlanan kişidir.

Veri sahipleri

Veri sahipleri,  Maddelerin ekli olduğu VİE’nin Ek-1’inde belirtilmektedir.

Veri kategorileri

Veri Kategorileri, Maddelerin ekli olduğu VİE’nin Ek-1’inde belirtilmektedir.

Özel kategorilerdeki kişisel veriler (gerekirse)

Taraflar, özel kategorilerdeki verilerin aktarımını beklememektedir.

İşleme faaliyetleri

Aktarılan kişisel veriler,  Maddelerin ekli olduğu VİE’nin Ek-1’inde belirtilen temel işleme aktivitelerine tabi olacaktır.

Standart Sözleşme Maddelerine Ek-2

İşbu Ek, Maddelerin bir parçasını teşkil etmektedir ve taraflarca doldurularak imzalanmalıdır.

Veri alıcısı tarafından Madde 4(d) ve Madde 5(c) (ya da ekte yer alan belge/mevzuat) uyarınca uygulamaya konulan teknik ve kurumsal tedbirlerin açıklaması:

Veri alıcısı tarafından uygulamaya konulan teknik ve kurumsal tedbirler https://www.freshworks.com/security/ adresinde açıklanmıştır.