SurveyMonkey Veri İşleme Sözleşmesi

Bu SurveyMonkey Veri İşleme Sözleşmesi ("DPA"), SurveyMonkey ile yaptığınız Sözleşme kapsamındadır ve geçerli olduğu durumlarda Veri Koruma Mevzuatı uyarınca veri koruma, gizlilik ve güvenlikle ilgili belirli koşullar içermektedir. Farklı Veri Koruma mevzuatı yasaları ve düzenlemeleri arasında bir uyuşmazlık olması durumunda (ve yalnızca bununla ilgili olarak) taraflar, bu bağlamda ortaya çıkan bir uyuşmazlık durumunda yalnızca SurveyMonkey tarafından belirlenecek olan, daha külfetli gereksinimlere veya daha yüksek standarda uyacaktır. 

Bu DPA, Müşteri ve aşağıdaki şekilde tanımlanan geçerli SurveyMonkey tüzel kişisi arasındadır: 

(i) ABD dışında ikamet eden Müşteriler için sözleşme sahibi kurum SurveyMonkey Europe UC olacaktır; 

(ii)  ABD içinde ikamet eden Müşteriler için sözleşme sahibi kurum SurveyMonkey Inc. olacaktır. 

Bu sürüm (27 Aralık 2025 tarihli), Veri İşleme Sözleşmesi'nin (DPA) son sürümüdür. 

İfadenin bağlamı aksini gerektirmediği müddetçe, aşağıdaki ifadeler bu DPA'da aşağıdaki anlamlarında kullanılır: 

SurveyMonkey, Müşteriye Hizmetleri sağlarken, GDPR'de belirtilen amaçlar doğrultusunda Müşterinin Kişisel Verilerinin işleyicisi konumundadır. CCPA ile ilgili olarak geçerli olduğu ölçüde, SurveyMonkey ve Müşteri, Kişisel Bilgiler bakımından SurveyMonkey'in bir Hizmet Sağlayıcı olduğu ve Müşterinin ise İşletme olduğu konusunda mutabıktır.

Bu DPA, Anlaşma sona erdirilene (koşullarına uygun olarak) veya geçerlilik süresi bitene kadar yürürlükte olacaktır. 

Müşteri, bu DPA uyarınca, kişisel verileri yasalar çerçevesinde işleyebilmesi ve aktarabilmesi için Müşteri Verilerini SurveyMonkey'e aktarma yetkisine sahip olduğunu işbu vesile ile temin, garanti ve beyan eder. Müşteri, ilgili verilerin konusu olan tarafların söz konusu kullanım, işleme, aktarım hakkında Veri Koruma Mevzuatı'nın gerektirdiği şekilde bilgilendirilmesini ve yasaya uygun onayların alınmasını (uygun olduğu durumda) sağlayacaktır. Müşteri, tüm Kişisel Veri işleme ve SurveyMonkey'e kişisel veri aktarma işlemlerinin yasalara uygun şekilde ve gerektiği gibi yapılmasını sağlayacaktır. Müşteri, yürürlükteki tüm Veri Koruma Mevzuatı'na uyacaktır.

SurveyMonkey bir işleyici olarak Müşteri Kişisel Verilerini Müşteri için işlediğinde SurveyMonkey'in yükümlülükleri şunlar olacaktır:

(a) Müşteri Kişisel Verileri'nin diğer yargı bölgelerine veya uluslararası bir kuruluşa aktarılması ile ilişkili işlemeler de dahil olmak üzere, veri işleme işlemini yalnızca belgelendirilmiş Müşteri talimatları doğrultusunda ve Veri Koruma Mevzuatı'na uygun olarak gerçekleştirecektir ve taraflar, Müşteri'nin Müşteri Kişisel Verileri'ni (AEA dışında kalan bölgeler dahil) işlemesi için SurveyMonkey'in sağladığı belgeli talimatlara, Müşteri tarafından SurveyMonkey'e sağlanan (örn. e-posta yoluyla) diğer makul talimatlarla birlikte, bu talimatların Anlaşmayla tutarlı olduğu durumlarda, bu Anlaşma'da yer verildiğinde mutabık kalacaklardır; 

(b) Müşteri Kişisel Verilerinin işlenmesi sürecine dahil edilen tüm SurveyMonkey personelinin kişisel verilerle ilgili gizlilik yükümlülüklerine tabi olmasını sağlayacaktır; 

(c) ilgili bilgilerin SurveyMonkey'in tam kontrolü altında bulunduğu ve Müşteri'nin hesabı, kullanıcı alanları veya web siteleri aracılığıyla bu bilgilere başka herhangi bir şekilde erişim sağlayamadığı durumlarda ve Müşteri'nin SurveyMonkey'e en az 14 gün önceden söz konusu bilgi talebiyle ilgili yazılı bildirim sağlaması koşuluyla, SurveyMonkey, Müşteri'nin Madde 28'de belirtilen yükümlülüklere (veya Müşteri için geçerli olduğu durumlarda Veri Koruma Mevzuatı'ndaki benzer gerekliliklere) uyumluluğunu kanıtlaması için gerekli bilgileri Müşteri'nin erişimine açacaktır;

(d) Müşteri'nin, bir Veri Sahibinin SurveyMonkey'in Hizmetleri sağlarken işlediği kişisel verilerle ilgili olarak Veri Sahiplerine verdiği tüm hakların Veri Koruma Mevzuatı'na göre kullanımına uyum sağlayabilmesi için, Müşteri'nin makul bir şekilde talep etmesi durumunda Müşteri ile işbirliği yapacaktır; 

(e) Müşteri tarafından talep edildiğinde, bir Veri Sahibinin Hizmetler aracılığıyla gönderdiği Kişisel Verilerle ilgili olarak doğrudan bir Veri Sahibinden alınan taleplerle ilgili destek sağlayacaktır;

(f) sizin tarafınızdan silindikten sonra, geçerli yasalarla ve mevzuatla uyumluluk amaçları dışında ve saklama ilkelerimize tabi olağanüstü durum kurtarma ve iş sürekliliği amaçları doğrultusunda oluşturulan rutin yedek kopyaları dışında kalabilecek durumlarda Müşteri Kişisel Verilerini hesabınızda tutmayacaktır; 

(g) gerekli olduğu durumda ilgili yetkili denetleyici makamın görevlerini yerine getirmesi sırasında yetkili denetleyici makamlarla veya bunların yerine geçen ya da halefi konumundaki diğer makamlarla muhtelif zamanlarda (veya Müşteri veya Veri Koruma Mevzuatına tabi başka bir veri koruma veya gizlilik düzenleyicinin gerekli gördüğü şekilde) iş birliği yapacaktır; 

(h) Müşteri'nin aşağıdaki koşullarda makul yollarla talep etmesi durumunda Müşteriye destek sağlayacaktır: 

(i) Müşteri, Hizmetleri içeren bir veri koruma etki değerlendirmesi yürüttüğünde (müşterinin kendi değerlendirmesini yürütebilmesi için belge sağlama bu kapsama dahil edilebilir); veya

(ii) Müşteri'nin bir Güvenlik Olayını yetkili denetleyici bir makama veya ilgili Veri Sahibine bildirmesi (aşağıda belirtildiği şekilde) gerektiğinde.

(i) Kişisel Bilgileri Satmayacak veya Paylaşmayacaktır

(j) Kişisel Bilgileri aşağıda belirtilen İş Amaçları ve Ticari Amaçlar dışında toplamayacak, tutmayacak, ifşa etmeyecek ve başka şekillerde işlemeyecektir: (1) Hizmetlerimizi bu Sözleşmede belirtildiği şekilde sağlama; (2) mevcut hizmetlerimizi iyileştirme ve yeni hizmetler geliştirme (örneğin; yeni ürünler veya özellikler geliştirmek için araştırma yaparak); (3) Kendi operasyonel amaçlarımız ile hizmet sağlayıcılarımızın ve entegrasyon ortaklarımızın operasyonel amaçları; (4) veri sahibinin kişisel verilerinin kullanılmasının makul şekilde gerekli ve bu amaçlara uygun olduğu ölçüde verilerin güvenliğini ve bütünlüğünü sağlama; (5) Amaçlanan mevcut işlevlere zarar veren hataların tespit edilmesi ve onarılması amacıyla hata ayıklama; (6) Bizim ve hizmet sağlayıcılarımızın hizmetlerde görüntülediği içeriklerin özelleştirilmesi gibi kısa süreli, geçici kullanım ve (7) Veri Koruma Mevzuatı'nda izin verildiği üzere sizi haberdar ettiğimiz diğer kullanımlar;

(k) CCPA açık bir şekilde izin vermedikçe, SurveyMonkey ile Müşteri'nin doğrudan iş ilişkisi dışındaki Sözleşme gereğince toplanan Kişisel Bilgilerinizi tutmayacak, kullanmayacak, başka bilgilerle birleştirmeyecek veya ifşa etmeyecektir:  

(l) Müşteri'den aldığı herhangi bir talimatın Veri Koruma Mevzuatı'nın hükümlerini ihlal ettiğini fark etmesi durumunda, Veri Koruma Mevzuatı gereği Müşteri'yi bilgilendirecektir. Yukarıdaki hükümlere bakılmaksızın, SurveyMonkey'in Müşteri'den aldığı talimatların yasalara uygunluğunu kontrol etme veya gözden geçirme yükümlülüğü yoktur. CCPA kapsamındaki yükümlülüklerine artık uyamayacağını tespit etmesi halinde, SurveyMonkey Müşteri'yi bilgilendirecektir ve

(m) SurveyMonkey, bu DPA'da ve yürürlükteki tüm Veri Koruma Mevzuatları'nda belirtilen kısıtlamaları ve yükümlülükleri anladığını ve bu gerekliliklere uyacağını onaylar. 

6.1 Alt İşleme. Bu 6. Bölümdeki gereksinimlerle uyumluluğa tabi olarak, Müşteri ileriye dönük alt işleyicileri işe alması için SurveyMonkey'e genel yetki sağlar.

6.2 Alt İşleyici Listesi. SurveyMonkey, Sözleşmenin gizlilik hükümlerine veya SurveyMonkey'in uygulamaya koyduğu diğer hükümlere bağlı olarak aşağıdakileri gerçekleştirmekle yükümlüdür:

(a) Hizmetlerin sağlanmasıyla bağlantılı olarak Müşteri Kişisel Verilerinin işlenmesinde veya alt işlenmesinde yer alan SurveyMonkey alt yüklenicilerin (“Alt İşleyiciler”) bir listesinin, her bir Alt İşleyici tarafından sağlanan hizmetlerin niteliğinin bir açıklamasına yer vererek (“Alt İşleyici Listesi”) Müşteriye sunulması. Bu Alt İşlemci Listesinin bir kopyası buradan incelenebilir; 

(b) Alt İşleyici Listesi'ndeki tüm Alt İşleyicilerin, esasa ilişkin yönlerden bu DPA'da sözü edilen koşullardan daha az külfetli olmayan sözleşme koşullarına tabi olduğunu temin edecektir; ve 

(c) Anlaşma kapsamında hariç tutulan koşullar dışında, bu Alt İşleyicilerin her birinin hizmetlerini doğrudan bu DPA'nın koşulları gereğince SurveyMonkey gerçekleştirmiş gibi kabul edilerek, Alt İşleyicileri'nin faaliyetlerinden ve eksikliklerinden aynı ölçüde SurveyMonkey sorumlu olacaktır. 

6.3 Yeni / Değiştirilen Alt İşleyiciler.  SurveyMonkey, Müşteri'ye Sözleşme süresi boyunca herhangi bir zamanda yeni bir Alt İşleyici'nin eklenmesi veya mevcut bir Alt İşleyici'nin değiştirilmesi ile ilgili yazılı bildirimde bulunacaktır (“Yeni Alt İşleyici Bildirimi”).Müşteri, SurveyMonkey tarafından burada sunulan ve bu tür bildirimlerin e-posta yoluyla iletileceği bir gönderi listesine kaydolacak veya alternatif olarak listedeki güncellemeleri buradan kontrol edecektir. Müşteri'nin, SurveyMonkey'in yeni veya değiştirilen bir Alt İşleyici kullanmasına itiraz etmesi için makul bir gerekçesi varsa Müşteri, Yeni Alt İşleyici Bildirimi'ni almasını takip eden 30 gün içinde SurveyMonkey'i derhal ve yazılı olarak, her ne olursa olsun bilgilendirecektir. Bu tür bir makul itiraz durumunda, Müşteri veya SurveyMonkey, diğer tarafa yazılı bildirimde bulunarak, itiraz edilen yeni Alt İşleyici olmaksızın makul bir şekilde sağlanamayacak olan Hizmetler ile ilgili herhangi bir Sözleşmenin ilgili kısmını derhal yürürlüğe girecek şekilde feshedebilir (bu durum, SurveyMonkey'in takdirine ve tercihine bağlı olarak tüm sözleşmenin feshini de gerektirebilir). Bu tür bir fesih, fesihten sonraki süre için Müşteri tarafından ön ödemesi yapılmış herhangi bir ücretin iadesini isteme hakkı olmaksızın gerçekleşecektir.

7.1 Güvenlik Önlemleri. SurveyMonkey; yetkisiz veya yasa dışı veri işleme, Müşteri Verilerinin kazara kaybedilmesi ve/veya Müşteri Verilerine zarar verme gibi risklere ilişkin uygun güvenlik düzeyini temin etmek üzere; son teknolojiyi, uygulama maliyetini, risk düzeyini ve Hizmetlerin doğasını, kapsamını, bağlamını, amaçlarını ve göz önünde bulundurarak, uygun teknik ve organizasyonel önlemleri (Ek 1 uyarınca) almıştır. SurveyMonkey, işlemenin güvenliğini temin etmek amacıyla makul aralıklarla bu teknik ve organizasyonel önlemlerin etkinliğini test eder ve değerlendirir.

7.2 Güvenlik Olayı ve İhlal Bildirimi. SurveyMonkey'in, Müşteri Kişisel Verilerine yetkisiz ya da yasa dışı erişildiğini, bunların alındığını, değiştirildiğini, kullanıldığını, ifşa edildiğini ya da tahrip edildiğini fark etmesi durumunda (“Güvenlik Olayı”), SurveyMonkey usulsüz bir gecikme olmadan Müşteri'ye bildirmek için makul adımları atacaktır. Bir Güvenlik Olayı, başarısız (internet sitesine) oturum açma girişimleri, ping’ler (veri paketinin iletilmesi sırasında geçen süre), port taramaları, DoS’lar (hizmeti engelleme saldırıları), veya firewall’lar (güvenlik duvarları) veya ağ (network) kapsamındaki sistemlere yönelik diğer network (ağ) saldırıları dâhil olmak üzere, Kişisel Verilerin güvenliğini riske atmayan başarısız girişimleri ya da faaliyetleri içermez. Müşteriye yapılan Güvenlik Olayı bildirimleri hiçbir şekilde SurveyMonkey'in sorumluluk kabul ettiği anlamına gelmez.

7.3 SurveyMonkey, zorunlu bildirimleri hazırlayarak bir Güvenlik Olayı ile ilgili herhangi bir soruşturmaya ilişkin olarak Müşteriyle makul bir şekilde iş birliği yapacak ve tarafınızca herhangi bir Güvenlik Olayı ile ilgili makul olarak talep edilen diğer tüm bilgileri paylaşacaktır. 

8.1 Denetimler. SurveyMonkey'in bir işleyici olarak (yalnızca) Müşteri'nin Kişisel Verilerini Müşteri için işlediği durumda, Müşteri SurveyMonkey'e en az bir ay önceden yazılı denetleme bildirimi gönderecektir. Bu denetim, Müşteri'nin kendisi veya Müşteri tarafından atanan bağımsız bir denetçi (denetimi yapan kişinin SurveyMonkey'in bir rakibi veya rakibi adına hareket eden biri olmaması koşuluyla) (“Denetçi”) tarafından yürütülebilir. Denetlemenin kapsamı aşağıdaki gibi olacaktır:

(a) Yasal olarak başka bir zorunluluk olmadıkça ya da Müşteri üzerinde yetkisi olan bir yasa düzenleyici aynı yıl içinde birden fazla denetim yapılmasını zorunlu kılmadıkça (bu durumda Müşteri ve SurveyMonkey bu tür denetimlerden önce SurveyMonkey’in denetim masrafları için makul bir geri ödeme oranı üzerinde anlaşır Müşteri yılda yalnızca bir defa (12 aylık abonelik süresince) denetim yapma hakkına sahip olur.

(b) SurveyMonkey, uygun ve makul tüm gizlilik sınırlamalarına tabi olmak koşuluyla, elinde tuttuğu tüm sertifikasyon ve uyumluluk standartlarının kanıtlarını sağlamayı ve talep edilmesi durumunda SurveyMonkey'in en yeni yıllık penetrasyon testlerinin bir yönetici özetini Müşteri'ye sunmayı kabul eder. Söz konusu yönetici özeti, bu penetrasyon testleri sonucunda SurveyMonkey’in uyguladığı düzeltici eylemlerin özetini içerir. 

(c) Denetim kapsamı, Müşteri'nin Kişisel Verilerinin işlenmesine ve korunmasına ilişkin SurveyMonkey sistemleri, süreçleri ve belgeleriyle sınırlı olacaktır. Denetçiler, denetimleri SurveyMonkey tarafından talep edilen tüm uygun ve makul gizlilik sınırlamalarına tabi olarak yürütecektir.

(d) Müşteri, bir denetim sırasında bulunan tüm algılanan uyumsuzluk ya da güvenlik endişeleriyle ilgili tüm ayrıntıları derhal ve gizlilik çerçevesinde SurveyMonkey’e bildirecek ve sağlayacaktır.

8.2 Taraflar, Müşteri üzerinde yetkisi olan bir yetkileyici denetleyici makam ya da yasa düzenleyicinin emri ya da bağlayıcı başka bir kararıyla zorunlu olduğu durumlar haricinde, bu 8. Bölümün Müşteri'nin SurveyMonkey karşısındaki denetim haklarının tüm kapsamını belirlediği konusunda mutabıktır.

9.1 Geçerli olduğu ölçüde, Müşteri Kişisel Verilerinin Avrupa Ekonomik Alanı'ndan ("AEA"), İsviçre’den veya Birleşik Krallık'tan AEA, İsviçre ve Birleşik Krallık (doğrudan veya ileriye dönük aktarım yoluyla) dışında yer alan, Avrupa Komisyonu veya ilgili Veri Koruma Mevzuatı tarafından belirlenen yeterli veri koruma standartlarına sahip olmayan yerlere aktarılması için, SurveyMonkey aşağıdakilere güvenir:

(a) SSM'lere; ve

(b) Birleşik Krallık GDPR'ye tabi aktarımlar ile ilgili olarak Birleşik Krallık Ek'e; veya

(c) Veri Koruma Mevzuatı kapsamında belirtilen veya izin verilen bu tür diğer uygun güvencelere veya askıya alma işlemlerine (uygun olduğu ölçüde sınırlı olmak üzere).

9.2 Gerektiğinde, taraflar burada SSM'leri (bir kopyasına buradan erişilebilir) ve Birleşik Krallık Ek'ini (Ek 3) kabul ederler. SSM'ler bu Sözleşmeye referans yoluyla dâhil edilmiş olup aşağıdaki şekilde uygulanacaktır: 

(a) Müşterinin, Hizmetler için Sözleşme kapsamında Amerika Birleşik Devletleri'nde bulunan SurveyMonkey Inc. ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri sorumlusu olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Müşteri Kişisel Verilerini AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, SurveyMonkey içe veri aktaran olarak SSM'leri ve Müşteri, dışarı veri aktaran olarak SSM'leri ve geçerli olduğu Modül İki'yi kabul eder; ve/veya

(b) Müşterinin, Hizmetler için Sözleşme kapsamında Amerika Birleşik Devletleri'nde bulunan SurveyMonkey Inc. ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri işleyici olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Müşteri Kişisel Verilerini AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, SurveyMonkey içe veri aktaran olarak SSM'leri ve Müşteri, dışarı veri aktaran olarak SSM'leri ve geçerli olduğu Modül Üç'ü kabul eder; ve/veya

(c) Müşterinin, AEA sakini olmadığı ve Müşteri Kişisel Verilerini AEA içerisinde saklamak için Sözleşme kapsamında SurveyMonkey Europe UC ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri sorumlusu olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Kişisel Verileri AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, SurveyMonkey dışa veri aktaran olarak SSM'leri ve Müşteri, içe veri aktaran olarak SSM'leri ve geçerli olduğu Modül Dört'ü kabul eder; ve/veya

(d) Madde 7'de, isteğe bağlı dâhil olma maddesi uygulanacaktır;

(e) Madde 9'da, 2. seçenek 15 günlük bir bildirim süresi ile uygulanacaktır;

(f) Madde 11'de, isteğe bağlı dil uygulanmayacaktır;

(g) Madde 17'de, SSM'ler için İrlanda hukuku geçerli olacaktır;

(h) Madde 18'de, uyuşmazlıklar İrlanda mahkemeleri huzurunda çözüme kavuşturulacaktır; ve

(i) SSM'lere ait Ek I ve II, Sözleşmede belirtilen bilgiler ve bu DPA Eklerinde yer alan ayrıntılarla tamamlanmış sayılacaktır.

9.3 nFADP ile korunan aktarımlar için, yukarıdaki Bölüm 9.2’ye uygun olarak SSM’ler geçerli olacaktır. Hariç tutulan durumlar şunlardır: 

(a) SSM’lerde olup GDPR’ye yönelik olan her türlü referans, nFADP’ye yönelik referanslar olarak yorumlanacaktır; 

(b) “AB”, “Birlik” ve “Üye Ülke yasası”na yönelik her türlü referans, İsviçre ve İsviçre yasasına yönelik referanslar olarak yorumlanacaktır ve  

(c) yukarıda belirtilen şekilde uygulanan SSM’lerin Müşteri Kişisel Verileri'ni nFADP doğrultusunda yasalara uygun şekilde aktarmak için kullanılamadığı durumlar haricinde, “yetkili denetleyici makam” ve “yetkili mahkemelere” yönelik her türü referans, İsviçre’deki ilgili veri koruma makamı ve İsviçre mahkemelerine yönelik referanslar olarak yorumlanacaktır. Bu tür durumlarda ise İsviçre SSM'leri atıfta bulunularak bu Veri İşleme Sözleşmesine dahil edilip onun ayrılmaz bir parçasını oluşturacak ve bu türden aktarımlar için geçerli olacaktır. İsviçre SSM’lerinin amaçları doğrultusunda, İsviçre SSM’lerinin ilgili Ekleri, bu Veri İşleme Sözleşmesi'nin Ek 1’i ve Ek 2’sinde yer alan bilgiler kullanılarak doldurulacak (uygun şekilde) ve Bölüm 9.3’te belirtilen yoruma açık hükümler geçerli olacaktır (geçerli olduğu ölçüde ve nFADP’ye uyum amaçlarının gerektirdiği şekilde).

9.4  Yazılı talep üzerine ve Standart Sözleşme Maddeleri veya Birleşik Krallık Ek'inin hükümlerine (duruma göre hangisi uygunsa) uygun olarak, SurveyMonkey, veri işleyicisi sıfatıyla içe veri aktaranlarla onayladığı Standart Sözleşme Maddeleri'nin veya Birleşik Krallık Ek'inin kopyalarını Müşteriye sunacaktır.

10.1 Veri işleme yükümlülüğü. İster anlaşmadan, haksız fiilden (ihmal dâhil), yasal görevin ihlalinden doğan ister başka bir şekilde bu DPA’dan kaynaklanan ya da bağlantılı olan iddialar nedeniyle ortaya çıkan tarafların kendi toplam yükümlülükleri, yazılı olarak aksi kararlaştırılmadıkça bu Anlaşmada düzenlendiği şekilde olacaktır.

10.2 Uyuşmazlık. (i) bu DPA'nın konusuyla ilgili olarak, bu DPA'nın koşulları ve Anlaşma'nın koşulları arasında uyuşmazlık veya belirsizlik olması durumunda bu DPA'nın koşulları geçerli olur; (ii) bu DPA'da sözü edilen herhangi bir hükmün koşulları ve Standart Sözleşme Maddeleri'nde sözü edilen herhangi bir hükmün koşulları arasında uyuşmazlık ve belirsizlik olması durumunda Standart Sözleşme Maddeleri'ndeki hüküm geçerli olur.

10.3 Bağımsız İşleme. Müşteri, Hizmetlerle ilgisi olmayan kişisel verilerin bağımsız olarak toplanması ve işlenmesi bakımından Veri Koruma Mevzuatına uygun davranmaktan yalnızca kendisi sorumludur. Müşteri, bunu nasıl yaptığını doğru bir şekilde açıklayan, kendine ait açık ve belirgin gizlilik bildirimlerini sunacaktır ve SurveyMonkey, bu koşullarda, Müşteri tarafından kişisel verilerin nasıl ele alındığından sorumlu olmayacaktır. İşbu vesileyle Müşteri, bu koşullarda kişisel verilerin toplanması ve kullanılması sonucunda ortaya çıkan her türlü talep veya sorumluluk için SurveyMonkey'i tam olarak tazmin eder.

10.4 Sözleşmenin Bütünlüğü. Anlaşma (bu DPA'yı da bünyesinde bulunduran) ve tüm Sipariş Formları, taraflar arasındaki anlaşmanın bütünlüğünü temsil eder ve konusuyla ilgili yazılı ve sözlü her türlü önceki eş zamanlı anlaşmaların, hükümlerin ve koşulların yerini alır. Tüm taraflar, Anlaşma'yı yapmalarına neden olan ve Anlaşma'da belirtilmemiş hiçbir beyana itimat etmediklerini doğrular.

10.5 Ayrılma. Bu DPA'nın herhangi bir hükmünün yetkili bir mahkeme tarafından icra edilemez olduğu saptanırsa o hüküm diğerler hükümlerden ayrılır ve geri kalan hükümler tam olarak yürürlükte kalır. Bu DPA'daki hiçbir şey, taraflardan herhangi ikisi arasında herhangi bir ortaklık veya ortak girişim kurmayı amaçlamamaktadır veya bu şekilde kabul edilmeyecektir ya da burada açıkça belirtilenler dışında, taraflardan herhangi birinin başka bir taraf için veya onun adına herhangi bir taahhütte bulunabilmesine veya bulunmasına izin vermemektedir.

10.6 Elektronik Kopya. DPA, elektronik bir belge olarak sunulur.

10.7 Geçerli Hukuk. Bu DPA, İrlanda yasalarına tabidir ve tüm taraflar İrlanda'daki mahkemelerin münhasır yargı yetkisini kabul eder (sözleşmeden ve sözleşme dışı doğan tüm ihtilaflarla ilgili olarak). Amerika Birleşik Devletleri sınırları içinde eyalet düzeyinde veya federal düzeyde yaşanan, iddia edilen ihlaller veya mevcut ya da gelecekteki gizlilik yasalarının, mevzuatının, standartlarının, düzenleyici kılavuz ilkelerinin ve öz düzenleyici kılavuz ilkelerinin ihlal edilmesi durumunda ise yasalarda aksi belirtilmedikçe Kaliforniya Eyaleti yasaları geçerli olur.

SurveyMonkey, Hizmetlerin Müşteriye sağlanması için kendisine sağlanan Müşteri Verilerinin güvenliğini, gizliliğini ve bütünlüğünü sağlamak üzere yönetimsel, fiziksel ve teknik tedbirler (“Güvenlik Tedbirleri”) sağlayacaktır. 

Güvenlik Teminatları aşağıdakileri içerir: 

(a) Etki Alanı: Bilgi Güvenliği Organizasyonu.

(i) Güvenlik Görevleri ve Sorumluluklar. Müşteri Verilerine erişimi olan SurveyMonkey personeli gizlilik yükümlülüklerine tabidir.

(ii) Risk Yönetimi Programı. SurveyMonkey, uygun olduğunda, Müşteri Verilerini işlemeden önce bir risk değerlendirmesi yürütür.

(b) Etki Alanı: Varlık Yönetimi.

(i) Varlıkların Ele Alınması.

(1) SurveyMonkey, Müşteri Verileri içeren basılı materyallerin bertaraf edilmesine yönelik prosedürler uygular.

(2) SurveyMonkey, Müşteri Verilerinin depolandığı tüm donanımın envanterini tutar.

(3) SurveyMonkey, Müşteri için işlediği Müşteri Verilerini, tanımlanmalarını kolaylaştırmak ve bu bilgilere erişimin uygun şekilde kısıtlanmasını sağlamak üzere sınıflandırır (örneğin; kullanıcı adları, parolalar ve şifreleme yoluyla).

(c) Etki Alanı: İnsan Kaynakları Güvenliği.

(i) Güvenlik Eğitimi.

(1) SurveyMonkey, ilgili güvenlik prosedürleri ve kendilerine atanan roller hakkında personelini bilgilendirir. SurveyMonkey, güvenlik kurallarının ve prosedürlerinin ihlal edilmesinin yaratacağı olası sonuçlar hakkında da personeline bilgi sağlar.

(d) Etki Alanı: Fiziksel Güvenlik ve Ortam Güvenliği.

(i) Tesislere Fiziksel Erişim. SurveyMonkey, Müşteri Verilerinin işlendiği bilgi sistemlerinin bulunduğu tesislere erişimi tanımlı yetkili kişilerle sınırlamıştır.

(ii) Kesintilere Karşı Koruma. SurveyMonkey, güç beslemesi arızası veya hat karışması kaynaklı veri kayıplarına karşı koruma sağlamak için sektör standardı çeşitli sistemlerden yararlanır.

(iii) Bileşenlerin Bertaraf Edilmesi.SurveyMonkey, daha fazla ihtiyaç duymadığı Müşteri Verilerini silmek için sektör standardı süreçlerden yararlanır.

(e) Etki Alanı: İletişim ve Operasyon Yönetimi. 

(i) Faaliyet Politikası. SurveyMonkey, güvenlik önlemlerinin, ilgili prosedürlerin ve Müşteri Verilerine erişimi olan personelinin sorumluluklarının açıklandığı güvenlik belgelerini saklar. 

(ii) Veri Kurtarma Prosedürleri.  

(1) SurveyMonkey, düzenli ve sürekli olarak Müşteri Verilerinin yedek kopyalarını oluşturur. Birincil kopyanın kaybolduğu durumlarda Müşteri Verileri bu kopyalar kullanılarak kurtarılabilir. 

(2) SurveyMonkey, Müşteri Verilerinin kopyalarını ve kurtarma prosedürlerini Müşteri Verilerini işleyen birincil bilgisayar donanımının konumundan ayrı bir yerde tutar. 

(3) SurveyMonkey, Müşteri Verilerinin kopyalarına erişimi düzenleyen özel prosedürler uygulamaktadır. 

(iii) Kötü Amaçlı Yazılımlar. SurveyMonkey, genel ağ kaynaklı kötü amaçlı yazılımlar da dâhil olmak üzere, Müşteri Verilerine yetkisiz erişim elde eden kötü amaçlı yazılımların önlenmesini sağlamak amacıyla kötü amaçlı yazılımlara karşı koruma sağlayan kontroller uygular.

(iv) Sınırların Dışındaki Veriler. 

(1) SurveyMonkey, genel ağlar üzerinde iletilen Müşteri Verilerini şifreler. 

(v) Olay Günlüğü Oluşturma.

(1) SurveyMonkey, veri işleme sistemlerinin günlük kullanımını kayıt altına alır. 

(2) SurveyMonkey; erişim kimliği, zaman damgası ve bazı ilgili aktiviteleri kaydederek Müşteri Verilerinin yer aldığı bilgi sistemlerinin kullanımını ve bu sistemlere erişimi kayıt altına alır.

(f) Etki Alanı: Bilgi Güvenliği Olay Yönetimi.

(i) Olay Müdahale Süreci. 

(1) SurveyMonkey, yürürlüğe koyduğu bir olay müdahale planına sahiptir.  

(2) SurveyMonkey; ihlalin açıklaması, gerçekleştiği zaman aralığı, sonuçları, ihlali bildiren kişinin adı, ihlalin bildirildiği kişi ve geçerli olduğu durumda atılan düzeltme adımları detaylarını da ekleyerek güvenlik ihlallerinin kaydını tutmaktadır.

(g) Etki Alanı: İş Sürekliliği Yönetimi.

(i) SurveyMonkey'in geniş depolama kapasitesi ve veri kurtarma prosedürleri, Müşteri Verilerini kaybolmadan veya tahrip edilmeden önceki orijinal halinde yeniden oluşturmak amacıyla tasarlanmıştır.   

(h) Etki Alanı: İşleme Alanlarına Yönelik Erişim Kontrolü.  

(i) Yetkisiz kişilerin, Müşterinin Kişisel Verilerinin işlendiği veya kullanıldığı veri işleme donanımına (yani telefonlar, veri tabanları, uygulama sunucuları ve ilgili donanım) erişimini engellemek için uygulamaya konulan süreçler şunlardır: 

(1) güvenli alanlar oluşturma; 

(2) erişim yollarının korunması ve buralara erişimin kısıtlanması;

(3) cep telefonlarının koruma altına alınması;   

(4) veri işleme donanımı ve kişisel bilgisayarlar;

(5) Müşteri Verilerinin barındırıldığı, izlendiği ve takip edildiği veri merkezlerine yönelik tüm erişimler;  

(6) Müşteri Verilerinin barındırıldığı veri merkezleri güvenlik alarm sistemiyle ve diğer uygun güvenlik önlemleriyle korunur ve 

(7) tesis, elverişsiz hava koşullarına ve diğer mantıken öngörülebilir doğal koşullara dayanacak şekilde tasarlanmıştır. 24 saat nöbet tutan bekçiler, anahtar kart ve/veya biyometrik erişim (risk düzeyine uygun şekilde) taraması ve refakatçi eşliğinde erişimle korunur. Ayrıca, elektrik kesintisi durumunda devreye giren tesis içi yedek jeneratörlerle desteklenir.

(i) Etki Alanı: Veri İşleme Sistemlerine Yönelik Erişim Kontrolü. 

(i) Veri işleme sistemlerinin yetkisiz kişiler tarafından kullanılmasını önleyen süreçler şunları içerir:  

(1) veri işleyen sistemlerin terminalinin ve/veya terminal kullanıcısının belirlenmesi; 

(2) kullanıcı terminalinin 30 dakika veya daha kısa bir süre boyunca kullanmaması durumunda otomatik zaman aşımının devreye girmesi ve terminali yeniden açmak için kimlik bilgileri ve şifre gerekmesi;

(3) kimlik kodlarının verilmesi ve bu kodların korunması;  

(4) şifre karmaşıklığı gereksinimleri (minimum uzunluk, şifrelerin kullanım sürelerinin dolması vb.) ve

(5) sektör standardı güvenlik duvarı yoluyla harici erişime karşı koruma.  

(j) Etki Alanı: Veri İşleme Sistemlerinin Belirli Alanlarını Kullanmaya Yönelik Erişim Kontrolü. 

(i) Veri İşleme Sistemlerini kullanma yetkisi verilen kişilerin yalnızca kendilerine verilen erişim izni (yetkilendirme) ölçüsünde ve bu izin kapsamındaki verilere erişebilmesini ve Müşteri Kişisel Verilerinin yetkilendirme olmadan okunamamasını, kopyalanamamasını, değiştirilememesini ve kaldırılamamasını sağlayan önlemler şunları içerir:

(1) bağlayıcı çalışan ilkelerinin uygulamaya konulması ve her bir çalışanın Müşteri Kişisel Verilerine erişim haklarıyla ilgili eğitim sağlanması:

(2) uygun yetkiye sahip olmadan Müşteri Kişisel Verilerine erişen kişilere yönelik etkili ve ölçülü disiplin işlemleri; 

(3) verilerin yalnızca yetkili kişilerin erişimine açılması; 

(4)Müşteri Kişisel Verilerini içeren bilgilere erişim için, en az ayrıcalıklı erişim ilkelerinin katı bir şekilde, “bilinmesi gereken bilgi” gereksinimleri temelinde uygulamaya konulması:

(5) VPN, iki faktörlü kimlik doğrulama ve rol tabanlı erişim denetimleriyle düzenlenen üretim ağı ve veri erişimi yönetimi;

(6) uygulama ve altyapı sistemlerinin; sorun giderme, güvenlik incelemesi ve analizler için bilgileri merkezi olarak yönetilen bir günlük deposuna kaydetmesi ve 

(7) yedek kopyaların saklanmasını düzenleyen ilkelerin geçerli yasalarla uyumlu olması ve söz konusu verilerin yapısına ve ilgili riske uygun olması.

(k) Etki Alanı: Aktarım Kontrolü. 

(i) Müşteri Kişisel Verilerinin veri aktarımı veya veri ortamının taşınması sırasında yetkisiz taraflarca okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini önlemek ve veri aktarma araçlarıyla Müşteri Kişisel Verilerinin hangi kurumlara aktarılacağının öngörüldüğünü denetlemenin ve tespit etmenin mümkün olduğunu temin etmek uygulanan prosedürler şunları içerir: 

(1) verilerin taşındığı ağ geçitlerini ve işlem hatlarını korumak için güvenlik duvarları ve şifreleme teknolojilerinin kullanılması;

(2) dahili kurumsal ağa bağlantıyı korumak için VPN bağlantıları uygulanması;

(3) altyapının sürekli olarak izlenmesi (ör. ağ düzeyinde ICMP-Ping, sistem düzeyinde disk alanı incelemesi, uygulama düzeyinde belirli test sayfalarının başarılı şekilde gönderilmesi yoluyla) ve

(4) veri aktarımlarının eksiksiz ve doğru olmasını sağlamak için izleme (uçtan uca kontrol yoluyla). 

(l) Etki Alanı: Depolama Kontrolü.

(i) Herhangi bir Müşteri Kişisel Verisi depolanırken bu veriler, özel yedekleme ve kurtarma süreçlerinin bir parçası olarak şifreli biçimde yedeklenir. Şifreleme için ticari bir şifreleme çözümü kullanılır ve herhangi bir taşınabilir veya dizüstü bilgisayarda ya da taşınabilir depolama aracında depolanan ve Müşteri Kişisel Verileri olarak tanımlanan tüm veriler de aynı şekilde şifrelenir. Simetrik şifreleme için şifreleme çözümleri 128 bitten düşük olmayan bir anahtarla birlikte dağıtılır ve asimetrik şifreleme için 1024 (veya daha büyük) bir anahtar uzunluğu kullanılır;

(m) Etki Alanı: Girdi Kontrolü.

(i) Müşteri Kişisel Verilerinin veri işleme sistemlerine girilip girilmediğinin ve kim tarafından girildiğinin veya çıkarıldığının kontrol ve tespit edilmesinin mümkün olmasını temin etmeye yönelik önlemler şunları içerir:

(1) yetkili personel için kimlik doğrulaması;

(2) hafızaya veri girişi ve depolanan verilerin okunması, değiştirilmesi ve silinmesine yönelik koruyucu önlemler;

(3) kullanıcı kodlarının kullanılması (şifreler);

(4) verileri dışa aktaran kişinin kuruluşu içinde girdi yetkisinin kanıtlanması;

(5) veri işleme tesislerine (bilgisayar donanımının ve ilgili ekipmanın tutulduğu odalar) girişlerin kilitli olmasının sağlanması.

(n) Etki Alanı: Erişilebilirlik Kontrolü. 

(i) Altyapı yedekliliği ve veri tabanı sunucularında yürütülen düzenli yedeklemeler dahil olmak üzere, Müşteri Kişisel Verilerinin kazara tahrip edilmeye veya kaybedilmeye karşı korunmasını sağlamak için alınan önlemler. 

(o) Etki Alanı: İşlemenin Ayrışması. 

(i) Farklı amaçlar doğrultusunda toplanan verilerin ayrı şekilde işlenebilmesini sağlayan prosedürler şunları içerir:

(1) verilerin uygulama güvenliği aracılığıyla uygun kullanıcılar için ayrılması;

(2) verilerin veri tabanı düzeyinde, farklı tablolarda ve destekledikleri modül veya işleve göre ayrılması;

(3) belirli amaçlar için toplanan verilerin ayrı şekilde işlenmesi için yalnızca belirli amaçlar ve işlevlere yönelik arayüzler, toplu işlemler ve raporlar tasarlanması;

(4) yalnızca test amaçları doğrultusunda üretilen sahte veriler bu amaç için kullanılabildiğinden canlı verilerin test amacıyla kullanılmasının engellenmesi.

(p) Etki Alanı: Güvenlik açığı yönetimi programı. 

(i) Sistemlerin güvenlik açıkları açısından düzenli olarak kontrol edilmesini ve tespit edilen açıkların anında düzeltilmesini sağlamak için kullanılan bir programdır ve şunları içerir:

(1) test ve üretim ortamları dahil olmak üzere, tüm ağların düzenli bir şekilde taranması ve 

(2) düzenli olarak penetrasyon testleri uygulanması ve güvenlik açıklarının hızlı bir şekilde düzeltilmesi.

(q) Etki Alanı: Verilerin İmha Edilmesi. 

(i) Sözleşme'nin süresinin dolması, taraflardan birinin Anlaşma'yı sona erdirmesi veya Veri Sahibinden ya da düzenleyici bir kurumun kendisinden talep etmesi sonrasında müşteriden bu yönde bir talep gelmesi durumunda: 

(1) tüm Müşteri Verileri 3 ay içinde güvenli bir şekilde imha edilecek ve

(2) SurveyMonkey'in bir veri kategorisini daha uzun bir süre boyunca saklaması yasalarca başka bir şekilde zorunlu kılınmadığı sürece, müşteriden talep alınmasından veya anlaşmanın feshedilme tarihinden önceki 6 ay içinde oluşturulan yedekler de dahil olmak üzere, tüm Müşteri Verileri SurveyMonkey'e ve/veya üçüncü taraflara ait depolama cihazlarından silinecektir. SurveynMonkey, daha fazla ihtiyaç duymadığı tüm bu verilerin, verileri kurtarmanın mümkün olmadığından emin olunabilecek bir düzeyde imha edilmesini sağlayacaktır.

(r) Etki Alanı: Standartlar ve Sertifikalar. 

(i) En az SOC 1 (SSAE 16) veya SOC 2 raporlarına sahip veri depolama çözümlerini ve/veya konumlarını içerir. Eşdeğer veya benzer sertifikalar veya güvenlik düzeyleri olay/vaka bazında incelenir.

(s) Etki Alanı: Yerinde Kontrol.

(i) Tüm çalışanlar ve alt yükleniciler (varsa), müşterinin tesislerinde bulundukları süre zarfında genellikle Müşteri tarafından koyulan tüm makul kurallara, düzenlemelere, uygulamalara ve prosedürlere (güvenlikle ilgili düzenlemeler dahil ancak bunlarla sınırlı olmamak üzere) uyacak, Müşterinin tesisini yalnızca bir Sözleşmede öngörülen amaçlar doğrultusunda kullanacak ve ilgili Hizmetleri tamamladıktan sonra tüm bu tesisleri Müşteriye iade edecektir.

(t) Etki Alanı: Veri Kalitesi Stratejisi.

(i) SurveyMonkey, veri kalitesini uygun bir standartta tutmak için tasarlanmış bir Veri Kalitesi Stratejisi uygular ve tasarımı gereği yanlış veya eksik veriler olduğunu fark ettiğimizde verileri düzeltir.  SurveyMonkey değişiklikleri izleyebilmemiz ve takip edebilmemiz için belirli üretim verilerinin ve değişiklik günlüklerinin şifreli özetlerini saklar.  Kullanıcıların kişisel bilgilerinin işlenmesini düzeltmelerini veya iptal etmelerini ve aynı zamanda sistemdeki veri sorunlarını düzeltmelerini sağlayacak süreçler uyguluyoruz.

(ii) SurveyMonkey, ticari faaliyetlerini gerçekleştirmek için müşterilerden doğru, uygun ve eksiksiz bilgiler toplar. 

(iii) SurveyMonkey, Müşteri Verilerini yaşam döngüsü ilkelerine göre zamanında muhafaza ederek verilere tutarlı bir şekilde erişilmesini sağlar. 

(iv) Veri kalitesi standardı, kullanım senaryolarına göre müşteriden müşteriye değişiklik gösterebilir. 

(u) Etki Alanı: Tasarım Gereği Gizlilik.

(i) SurveyMonkey, tasarım gereği gizliliği yerine getirmek üzere ilkeler ve prosedürler uygulamaya koymuştur.  Sistemdeki tüm Müşteri Verilerinin kapsamı uygun erişime (ilkeye göre) belirlenir ve yaşam döngüleri ilkeye göre sürdürülür.  Üretime bağlı tüm sistemlerde veri azaltma ile sahte anonimleştirme varsayılan olarak uygulanır ve gizlilik/güvenlik sorunlarını sonradan düzeltmek yerine önlemeye yönelik bir yaklaşım benimsenir.  

(ii) Veri koruma konularını sistemlerin, hizmetlerin, ürünlerin ve iş uygulamalarının tasarlanmasının ve uygulanmasının bir parçası olarak görüyor ve veri gizliliğini hizmetimizin temel bir işlevi olarak ele alıyoruz. 

(iii) Riskleri ve gizliliği ihlal eden olayları meydana gelmeden önce öngörüyor ve bireylerin zarar görmesini önlemek için adımlar atıyoruz.

(iv) Yalnızca amaçlarımız için ihtiyaç duyduğumuz Müşteri Verilerini işliyor ve Müşteri Verilerini yalnızca bu amaçlar doğrultusunda kullanıyoruz. 

(v) Bireylerin gizliliklerini korumak adına herhangi bir özel eylemde bulunmak zorunda kalmamalarını sağlamak amacıyla, Müşteri Verilerinin herhangi bir BT sisteminde, hizmette, üründe ve/veya iş uygulamasında otomatik olarak korunmasını sağlıyoruz.

(vi) Gizliliğe yönelik güçlü varsayılan ayarlar, kullanıcı dostu seçenekler ve kontroller sunuyor, kullanıcıların tercihlerine saygı duyuyoruz.

(vii) Tasarım gereği veri korumaya yönelik teknik ve kurumsal düzeyde önlemler konusunda yeterli garantiyi sağlayan veri işleyicileri kullanıyoruz. 

(viii) Veri işleme faaliyetlerimizde başka sistemler, hizmetler veya ürünler kullandığımızda, yalnızca veri gizliliği konularını dikkate alanları tasarımcıları ve üreticileri olanları kullandığımızdan emin oluyoruz. 

(v) Etki Alanı: Veri Güvenliği Durumunun Test Edilmesi.

(i) SurveyMonkey, veri güvenliği durumunu en az yıllık bazda ve endüstri standardı bir araçla (BurpScanner gibi) sızma testi gerçekleştirerek veya alternatif olarak sertifikalı bir üçüncü taraf hizmet veya danışman aracılığıyla test edecektir. 

(w) Etki Alanı: Veri Kaybını Önleme Stratejisi.

(i) SurveyMonkey, eğitim ve öğretim sürecini veri kaybını önleme stratejisi olarak kullanır.  Sistem içindeki verilere erişim, kullanıcıların verilere gereksiz erişimini önlemek için kapsamlandırılmış ve en aza indirilmiştir.  Tüm kullanıcıların Müşteri Verilerine uygun erişimle ilgili ilkeleri imzalaması zorunludur ve bu, yıllık güvenlik yenileme eğitiminin de bir parçasını oluşturur. 

(x) Etki Alanı: Teknik Güvenlik Önlemleri.

(i) SurveyMonkey dağıtılmış bir şirket olduğundan şirket içi ağımız için herhangi bir dahili kurumsal güvenlik duvarı veya izinsiz giriş tespiti yoktur.  Kurumsal kaynaklara yönelik tüm erişimler şifreli kanallar üzerinden gerçekleştirilmelidir.  Tüm kurumsal kaynakların MFA özelliğinin etkin olduğu sistemlerde saklanması gerekmektedir. 

Standart Sözleşme Maddeleri İÇİN EKLER

EK I -

A. TARAFLAR LİSTESİ

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri denetleyicisine aktarım

Veri içe aktaran(lar): Sözleşmede belirtildiği şekilde

İletişim kişisinin adı, konumu ve iletişim bilgileri: Sözleşmede belirtildiği şekilde

Bu Maddeler uyarınca veri aktarımı ile ilgili faaliyetler: DPA'nın Ek 2'sinde belirtildiği şekilde

Veri dışa aktaran(lar): Sözleşmede belirtildiği şekilde

Adı: Sözleşmede belirtildiği şekilde

İletişim kişisinin adı, konumu ve iletişim bilgileri: Sözleşmede belirtildiği şekilde

Bu Maddeler uyarınca veri aktarımı ile ilgili faaliyetler: DPA'nın Ek 2'sinde belirtildiği şekilde

B. AKTARIMIN TANIMLAMASI

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri denetleyicisine aktarım

Kişisel verileri aktarılan veri sahiplerinin kategorileri:DPA'nın Ek 2'sinde belirtildiği şekilde

Aktarılan kişisel verilerin kategorileri: DPA'nın Ek 2'sinde belirtildiği şekilde

Aktarılan hassas veriler (varsa) ve örneğin, katı amaç sınırlaması, erişim kısıtlamaları (yalnızca uzmanlık eğitimine katılmış olan personelin erişimi de dâhil), verilere erişimin kaydının tutulması, ileriye dönük aktarımlar veya ek güvenlik önlemleri için kısıtlamalar gibi verilerin niteliğini ve ilgili riskleri tam olarak göz önünde bulunduran uygulanan kısıtlamalar veya güvenceler: DPA'nın Ek 1 ve 2'sinde belirtildiği şekilde

Aktarım sıklığı (örneğin, verilerin bir defaya mahsus veya sürekli olarak aktarılıp aktarılmadığı): Bir defaya mahsus ve sürekli (Hizmetlerin kullanımına bağlı olarak)

İşlemenin niteliği: DPA'nın Ek 2'sinde belirtildiği şekilde

Veri aktarımının amacı (amaçları) ve işlemeye devam edilmesi: DPA'nın Ek 2'sinde belirtildiği şekilde

Kişisel verilerin saklanacağı süre veya bu mümkün değilse, söz konusu süreyi belirlemek için kullanılan kriterler: Sözleşmede belirtildiği ve burada belirtildiği şekilde

(Alt) işleyicilere yapılan aktarımlar için, işlemenin konusunu, niteliğini ve süresini de belirtin: Lütfen buraya bakın.

C. YETKİLİ DENETLEYİCİ MAKAM

Madde 13'e göre yetkili denetleyici makamı/makamları belirleyin: İrlanda

EK II - DPA'nın Ek 1'İNDE BELİRTİLEN TEKNİK VE ORGANİZASYONEL ÖNLEMLER

EK III – ALT İŞLEYİCİLERİN LİSTESİ

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri sorumlusuna aktarım. Müşteri, aşağıdaki alt işleyicilerin kullanımına izin vermiştir: Lütfen buraya bakın.

1. Birleşik Krallık GDPR'sine tabi olan veri aktarımlarıyla ilgili olarak, taraflar, burada Birleşik Krallık Ekini (bir nüshasına buradan erişilebilir) onaylar ve Birleşik Krallık Eki referans yoluyla bu Anlaşma'ya dahil edilmiştir. Birleşik Krallık GDPR’sine tabi olan veri aktarımları için, "yetkili denetleyici makam" ve "yetkili mahkemeler"e yönelik her türlü referans, Birleşik Krallık’taki ilgili veri koruma makamı ve Birleşik Krallık mahkemelerine yönelik referanslar olarak yorumlanacaktır. 

2. Taraflar, Birleşik Krallık Ek'inin 1. Bölümündeki tabloların biçim ve içeriğinin değiştirileceğini ve yerine aşağıdaki tablonun konulacağını kabul ederler.

3. Bu Sözleşme ile Birleşik Krallık Ek'i arasında bir çelişki veya tutarsızlık olması durumunda, Birleşik Krallık Ek'i söz konusu çelişki veya tutarsızlık açısından geçerli ve öncelikli olacaktır.

(1) SurveyMonkey Veri İşleme Sözleşmesi'nin (DPA) bu eki (Ek), Avustralya'da ikamet eden SurveyMonkey Müşterileri için geçerli olan ek hüküm ve koşulları ve DPA'da yer alan ilgili yükümlülükleri ve gereklilikleri belirtir. 

(2) Bu Ekte baş harfi büyük yazılan ifadeler DPA'da belirtilen anlamlara sahip olup, Avustralya'da ikamet eden Müşteriler açısından DPA ve bu Ek için geçerli olacak aşağıdaki ifadelere tabidir: 

(a) Bildirilmesi Gereken Veri İhlali, Gizlilik Yasası'nda belirtilen anlama sahiptir; 

(b) Veri Koruma Mevzuatı, DPA'da belirtilen anlama sahip olup, söz konusu tanıma "1988 Gizlilik Yasası (Cth) ("Gizlilik Yasası")" şeklinde eklenen yeni bir alt maddeye tabidir ve

(c) Kişisel Veri, Gizlilik Yasası'nda tanımlandığı şekliyle, kimliği belirli bir kişi ya da kimliği makul ölçüde belirlenebilir bir kişi hakkındaki bilgiler veya görüşler dahil olmak üzere kişisel bilgiler anlamına gelir. 

(3) SurveyMonkey, DPA kapsamındaki bölüm 5 uyarınca kendisine ait olan yükümlülüklerin yanı sıra, Gizlilik Yasası'nın ilgili tüm hükümlerine de (Kişisel Verilerin toplanması, kullanılması ve ifşa edilmesi ile ilgili hükümler dahil olmak üzere) uyacaktır. 

(4) DPA kapsamındaki Bölüm 7.1 silinmiş olup yerine aşağıdaki bölüm eklenmiştir: 

"7.1 Güvenlik Önlemleri. SurveyMonkey; uygulama maliyetini ve Hizmetlerin niteliğini, kapsamını, bağlamını, amaçlarını ve risk düzeyini göz önünde bulundurarak, Müşteri Kişisel Verilerine yönelik yetkisiz veya yasa dışı erişim ya da değişiklik riskine uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemler (Ek 1'e uygun olarak) alacaktır. SurveyMonkey, işlemenin güvenliğini temin etmek amacıyla makul aralıklarla bu teknik ve organizasyonel önlemlerin etkinliğini test edecek ve değerlendirecektir." 

(5) DPA kapsamındaki Bölüm 7.2 silinmiş olup yerine aşağıdaki bölüm eklenmiştir: 

"7.2 Güvenlik Olayı ve İhlal Bildirimi.Müşteri Kişisel Verilerinin herhangi bir yetkisiz veya yasa dışı erişime maruz kaldığının ya da alındığının, değiştirildiğinin, kullanıldığının, ifşa edildiğinin veya tahrip edildiğinin ("Güvenlik Olayı") SurveyMonkey tarafından fark edilmesi halinde, SurveyMonkey, Gizlilik Yasası kapsamındaki ilgili zaman dilimlerine ve gerekliliklere uygun olarak: 

(a) Güvenlik Olayını soruşturacak veya soruşturulmasını sağlayacaktır; 

(b) Güvenlik Olayının, Bildirilmesi Gereken Veri İhlali niteliğinde olup olmadığını değerlendirecek ve Müşteriye aşağıdaki hususları bildirecektir: 

(i) SurveyMonkey'in makul düşünüldüğünde Güvenlik Olayının Bildirilmesi Gereken Veri İhlali olduğuna kanaat getirip getirmediği; 

(ii) SurveyMonkey'in etkilenen bireylere ve Avustralya Bilgi Komiserliği Ofisine herhangi bir açıklama yapıp yapmayacağı ve 

(iii) Güvenlik Olayının, Bildirilmesi Gereken Veri İhlali teşkil ettiği sonucuna varmak için makul gerekçelerin bulunduğu durumlarda SurveyMonkey, Gizlilik Yasasının IIIC Kısmının 26WK bölümüne uygun olarak açıklamalar hazırlayacak ve etkilenen bireylere ve Avustralya Bilgi Komiserliği Ofisine açıklamalarda bulunarak Bildirilmesi Gereken Veri İhlali konusunda onları bilgilendirecektir. 

(c) Aksi durumlarda taraflar, Bildirilmesi Gereken Veri İhlali ve Güvenlik Olayı ile ilgili olarak Gizlilik Yasası kapsamındaki kendi yükümlülüklerine uyma konusunda tüm sorumluluğu üstlenirler." 

(6) SurveyMonkey, Müşteri Kişisel Verilerini DPA, Anlaşma ve Gizlilik İlkemize uygun olarak Avustralya dışına aktarabilir. 

(a) SurveyMonkey, alt işleyicilerinin Gizlilik Yasası'na uymasını veya Gizlilik Yasası kapsamındaki Avustralya Gizlilik İlkelerinin bilgileri koruma yöntemlerine en azından büyük ölçüde eş değer korumalar sunan yasalara veya bağlayıcı düzenlemelere tabi olmasını sağlamak için ticari olarak makul tüm çabaları gösterecektir. 

(7) DPA'daki Bölüm 10.1 silinmiş olup yerine aşağıdaki bölüm eklenmiştir: 

"10.1 Veri işleme yükümlülüğü. Yasaların izin verdiği ölçüde, her iki tarafın sözleşmeden, haksız fiilden (ihmal dahil), yasal görevin ihlalinden veya bu DPA'dan doğan ya da bu DPA ile bağlantılı olan tüm hak taleplerine ilişkin toplam sorumluluğu, taraflarca aksi yazılı olarak kararlaştırılmadıkça Anlaşma'da belirtildiği şekilde olacaktır." 

(8) DPA kapsamındaki bölüm 10.2 hükümlerine bakılmaksızın, bu Ek, DPA ve Anlaşma şartlarına göre öncelikli olacaktır. 

(7) DPA kapsamındaki Bölüm 10.4 silinmiş olup yerine aşağıdaki bölüm eklenmiştir: 

"10.4 Anlaşmanın Bütünlüğü. Anlaşma (bu DPA ve Ek'i de içerir) ve herhangi bir Sipariş Formu, taraflar arasındaki anlaşmanın bütününü temsil eder ve anlaşmanın konusuyla ilgili yazılı veya sözlü diğer tüm geçmiş veya eş zamanlı anlaşmaların ya da hüküm ve koşulların yerine geçer. Tüm taraflar, Anlaşma'yı yapmalarına neden olan ve Anlaşma'da belirtilmemiş hiçbir beyana itimat etmediklerini doğrular." 

(10) DPA kapsamındaki Bölüm 10.7 (Geçerli Hukuk) silinmiş olup yerine aşağıdaki bölüm eklenmiştir: 

"10.7 Geçerli Hukuk Bu DPA, Avustralya'nın Victoria eyaletinin yasalarına tabi olacaktır ve taraflar Avustralya'nın Victoria eyaletinin mahkemelerinin münhasır yargı yetkisini kabul etmektedir." 

Standart Sözleşme Maddeleri

Olası tüm SSM düzenlemelerini dahil etmek için bu Veri İşleme Anlaşması taslağını oluşturduk. Buradaki maddelerin tümü sizin için geçerli olmayabilir. Daha net şekilde ifade edecek olursak: