63% of people consider a company's privacy and security history before using their products or services.

Legal sidebar stats

SurveyMonkey Müşteri Veri İşleme Anlaşması'nı buradan indirebilirsiniz.

Standart Sözleşme Maddeleri

Olası tüm SSM düzenlemelerini dahil etmek için bu Veri İşleme Anlaşması taslağını oluşturduk. Buradaki maddelerin tümü sizin için geçerli olmayabilir. Daha net şekilde ifade edecek olursak:  

  • AB veya Birleşik Krallık Müşterisiyseniz SurveyMonkey'in İrlanda'daki tüzel kişiliğiyle sözleşme yaptığınızdan ve AB/Birleşik Krallık tüzel kişileri arasında SSM'lere ihtiyaç duyulmadığından SSM'ler sizin için gerekli değildir.
  • ABD Müşterisiyseniz ve kendinizi veri sorumlusu olarak nitelendiriyorsanız sizin için Bölüm 9.2(a) geçerlidir. Siz kontrolör ve dışarı aktaran, SurveyMonkey ise işleyici ve içe aktaran taraftır. SSÖ Modülü 2 sözleşmenize uygulanır. 
  • ABD Müşterisiyseniz ve kendinizi işleyici olarak nitelendiriyorsanız sizin için Bölüm 9.2(b) geçerlidir. Siz işleyici ve dışarı aktaran, SurveyMonkey ise (alt) işleyici ve içe aktaran taraftır. SSÖ Modülü 3 sözleşmenize uygulanır. 
  • ABD, AB veya Birleşik Krallık'ta bulunmuyorsanız ancak AB veri depolamamızı kullanmayı tercih ettiyseniz sizin için Bölüm 9.2(c) geçerlidir. Siz kontrolör ve içe aktaran, SurveyMonkey ise işleyici ve dışa aktaran taraftır. SSÖ Modülü 4 sözleşmenize uygulanır. 

Kaliforniya Tüketici Gizliliği Kanunu (CCPA) 

Bu Veri İşleme Anlaşması'nı Kaliforniya Gizlilik Hakları Yasası'nın CCPA'da yaptığı değişiklikleri yansıtacak şekilde güncelledik. Bu Veri İşleme Anlaşması üzerinde müşteriler tarafından yapılan değişiklikleri veya düzenlemeleri kabul etmediğimizi bildiririz. 

Bu SurveyMonkey Veri İşleme Sözleşmesi ("DPA"), SurveyMonkey ile yaptığınız Sözleşme kapsamındadır ve geçerli olduğu durumlarda Veri Koruma Mevzuatı uyarınca veri koruma, gizlilik ve güvenlikle ilgili belirli koşullar içermektedir. Farklı Veri Koruma mevzuatı yasaları ve düzenlemeleri arasında bir uyuşmazlık olması durumunda (ve yalnızca bununla ilgili olarak) taraflar, bu bağlamda ortaya çıkan bir uyuşmazlık durumunda yalnızca SurveyMonkey tarafından belirlenecek olan, daha külfetli gereksinimlere veya daha yüksek standarda uyacaktır. 

Bu DPA, Müşteri ve aşağıdaki şekilde tanımlanan geçerli SurveyMonkey tüzel kişisi arasındadır: 

(i) ABD dışında ikamet eden Müşteriler için sözleşme sahibi kurum SurveyMonkey Europe UC olacaktır; 

(ii)  ABD içinde ikamet eden Müşteriler için sözleşme sahibi kurum SurveyMonkey Inc. olacaktır. 

Bu sürüm, (15 Haziran 2023 tarihli) Veri İşleme Sözleşmesi'nin (DPA) son sürümüdür. 

İfadenin bağlamı aksini gerektirmediği müddetçe, aşağıdaki ifadeler bu DPA'da aşağıdaki anlamlarında kullanılır: 

Anlaşma”, SurveyMonkey Inc. veya SurveyMonkey Europe ve bir müşteri arasında Hizmetler için yapılan tüm anlaşmaları ifade eder. Bu anlaşma, “Sipariş Formu”, “Satış Siparişi”, “Kullanım Koşulları” veya “Ana Hizmet Sözleşmesi” gibi çeşitli başlıklara sahip olabilir. 

"Madde 28" Müşteri Kişisel Verilerinin işlenmesi için geçerli olan Genel Veri Koruma Düzenlemesinin (GDPR) ve Birleşik Krallık GDPR'nin 28. maddesi anlamına gelir. 

Müşteri” veya “siz”, Anlaşma'nın tanımlandığı müşteri veya tarafı ifade eder. 

"Müşteri Verileri", Müşterinin Hizmetleri kullanmak suretiyle Müşteri tarafından veya onun adına SurveyMonkey'a sağlanan tüm veriler (Müşteri Kişisel Verileri de dâhil, ancak bunlarla sınırlı olmamak üzere) ve üçüncü tarafların Hizmetler aracılığıyla Müşteriye sunduğu tüm veriler anlamına gelir. 

"Müşteri Kişisel Verileri", bu DPA'nın Ek 2'sinde belirtilen kişisel veriler de dâhil ancak bunlarla sınırlı olmamak üzere, Hizmetlerin Müşteriye sunulması amacıyla, Müşteri tarafından veya Müşteriye sunulan ve SurveyMonkey tarafından işlenen tüm Kişisel Verileri ifade eder. 

Veri Koruma Mevzuatı'nın anlamı: 
“(i) Anlaşma gereğince yapılan kişisel veri işleme işlemlerinde geçerli Genel Veri Koruma Yönetmeliği (2016/679 sayılı Yönetmelik (AB)) (“GDPR”) ve geçerli diğer tüm AB, AEA veya Avrupa tek pazarı Üye Ülke yasaları veya mevzuatı veya bu türden tüm güncellemeler, değişiklikler veya değiştirmeler;

(ii) 1 Ocak 2023 tarihinde yürürlüğe girecek Veri Koruma Yasası’na dair İsviçre Federal Kanunu (“FADP”) veya Veri Koruma Yasası’na dair yeni Federal Kanun (“nFADP”);

(iii) 2018 Kaliforniya Tüketici Gizliliği Kanunu (Kaliforniya Medeni Kanunu 1798.100 - 1798.199 sayılı paragraflar) (“CCPA”) dâhil ancak bununla sınırlı olmamak üzere, Anlaşma kapsamında veri işlemenin geçerli olduğu tüm ABD yasaları ve mevzuatları; 

(iv) Sözleşme kapsamındaki kişisel verilerin işlenmesi için geçerli olan Birleşik Krallık'ta (Birleşik Krallık GDPR de dâhil) muhtelif zamanlarda yürürlükte olan tüm yasa ve düzenlemeler ve

(v) Kanada’da yapılan kişisel veri işleme işlemlerinde geçerli Kişisel Bilgilerin Korunması ve Elektronik Belgeler Kanunu (“PIPEDA”) veya bu türden tüm güncellemeler, değişiklikler veya değiştirmeler.

"Veri sorumlusu", "veri koruma etki değerlendirmesi", "işlem", "işleme", "işleyici", "denetim makamı" terimleri GDPR'deki veya Birleşik Krallık GDPR'sindeki aynı anlamlara sahiptir.

“İşletme”, “İş Amacı/Amaçları”, “Ticari Amaç/Amaçlar”, “Kişisel Bilgiler”, “Hizmet Sağlayıcı”, “Satmak” ve “Paylaşmak” terimleri CCPA'da tanımlanan aynı anlamlara sahiptir. 

SurveyMonkey” veya “biz”, ABD'deki Müşteriler söz konusu olduğunda SurveyMonkey Inc., ABD dışındaki müşteriler söz konusu olduğunda SurveyMonkey Europe'ı ifade eder. 

SurveyMonkey Europe”, 2 Shelbourne Buildings, İkinci Kat, Shelbourne Road, Dublin 4, İrlanda adresine kayıtlı bir İrlanda şirketi olan SurveyMonkey Europe UC'i ifade eder. 

SurveyMonkey Inc.”, One Curiosity Way, San Mateo, CA 94403, ABD adresine kayıtlı bir Delaware anonim şirketi olan SurveyMonkey Inc.'i ifade eder.  

SurveyMonkey Gizlilik Bildirimi”, https://tr.surveymonkey.com/mp/legal/privacy/ adresindeki SurveyMonkey Gizlilik Bildirimi'ni ifade eder.

"Kişisel Veriler", yaşayan bir kişiyle (bir "Veri Sahibi") ilgili olan ve söz konusu kişiyi tek başına veya diğer bilgilerle birlikte makul bir şekilde tanımlayan veya tanımlayabilecek olan bilgiler anlamına gelir.

Hizmetler”, Müşteri'nin anlaşma gereğince SurveyMonkey'den sipariş ettiği hizmetleri ifade eder. 

"SSM'ler", i) kişisel verilerin GDPR uyarınca üçüncü ülkelere aktarılmasına ilişkin standart sözleşme maddeleri hakkındaki 4 Haziran 2021 tarihli veya ii) (SurveyMonkey'in, i)'de belirtilen Standart Sözleşme Maddeleri'ni kabul ettiği zamana kadar) 95/46/EC sayılı Direktif kapsamında Müşteri Kişisel Verilerinin Üçüncü Ülkelerde kurulmuş olan İşleyicilere Aktarılmasına ilişkin 5 Şubat 2010 tarihli Avrupa Komisyonu Kararı ekinde yer alan "Standart Sözleşme Maddeleri" anlamına gelir. FADP/nFADP’nin geçerli olduğu durumlarda SMM’lerde yapılan tüm referanslar FADP/nFADP ile ilgili referanslar olarak anlaşılacaktır. Bu sebeple, bu bağlamda kullanılan tüm terimler FADP/nFADP’de belirtilen tanımlarıyla kullanılacaktır.

"Birleşik Krallık Eki" şu anlamlara gelir: (i) Birleşik Krallık Bilgi Komiserliği Ofisi tarafından yayınlanan ve 2018 tarihli Birleşik Krallık Veri Koruma Yasası'nın 119A maddesi uyarınca 2 Şubat 2022 tarihinde Birleşik Krallık Parlamentosu'na sunulan ve muhtelif zamanlarda Zorunlu Maddelerin 18. maddesi uyarınca revize edilen şablon. Bu tanımda atıfta bulunulan şablon ek, 21 Mart 2022 tarihi itibarıyla yürürlükte olan AB Komisyonu Standart Sözleşmesinin Uluslararası Veri Aktarımı Eki, sürüm B1.0 başlıklı belge anlamına gelir; veya (ii) (SurveyMonkey, (i)'de belirtilen Birleşik Krallık Ekini kabul ettiği zamana kadar) 95/46/EC sayılı Direktif kapsamında kişisel verilerin üçüncü ülkelerde kurulan işleyicilere aktarılmasına ilişkin 5 Şubat 2010 tarihli Avrupa Komisyonu Kararı.

"Birleşik Krallık GDPR", 2018 tarihli Avrupa Birliği (Geri Çekilme) Yasası'nın 3. bölümü uyarınca İngiltere ve Galler, İskoçya ve Kuzey İrlanda yasalarının bir parçası olduğu ve 2019 ve 2020 tarihli Veri Koruma, Gizlilik ve Elektronik İletişim (Değişiklikleri vb.) (AB'den Çıkış) Düzenlemeleri ile değiştirildiği şekliyle AB GDPR ile daha sonra Birleşik Krallık GDPR'sini değiştirmiş veya onun yerini almış olan Birleşik Krallık'ta muhtelif zamanlarda yürürlükte olan herhangi bir mevzuat anlamına gelir.

SurveyMonkey, Müşteriye Hizmetleri sağlarken, GDPR'de belirtilen amaçlar doğrultusunda Müşterinin Kişisel Verilerinin işleyicisi konumundadır. CCPA ile ilgili olarak geçerli olduğu ölçüde, SurveyMonkey ve Müşteri, Kişisel Bilgiler bakımından SurveyMonkey'in bir Hizmet Sağlayıcı olduğu ve Müşterinin ise İşletme olduğu konusunda mutabıktır.

Bu DPA, Anlaşma sona erdirilene (koşullarına uygun olarak) veya geçerlilik süresi bitene kadar yürürlükte olacaktır. 

Müşteri, bu DPA uyarınca, kişisel verileri yasalar çerçevesinde işleyebilmesi ve aktarabilmesi için Müşteri Verilerini SurveyMonkey'e aktarma yetkisine sahip olduğunu işbu vesile ile temin, garanti ve beyan eder. Müşteri, ilgili verilerin konusu olan tarafların söz konusu kullanım, işleme, aktarım hakkında Veri Koruma Mevzuatı'nın gerektirdiği şekilde bilgilendirilmesini ve yasaya uygun onayların alınmasını (uygun olduğu durumda) sağlayacaktır. Müşteri, tüm Kişisel Veri işleme ve SurveyMonkey'e kişisel veri aktarma işlemlerinin yasalara uygun şekilde ve gerektiği gibi yapılmasını sağlayacaktır. Müşteri, yürürlükteki tüm Veri Koruma Mevzuatı'na uyacaktır.

SurveyMonkey bir işleyici olarak Müşteri Kişisel Verilerini Müşteri için işlediğinde SurveyMonkey'in yükümlülükleri şunlar olacaktır:

(a) Müşteri Kişisel Verileri'nin diğer yargı bölgelerine veya uluslararası bir kuruluşa aktarılması ile ilişkili işlemeler de dahil olmak üzere, veri işleme işlemini yalnızca belgelendirilmiş Müşteri talimatları doğrultusunda ve Veri Koruma Mevzuatı'na uygun olarak gerçekleştirecektir ve taraflar, Müşteri'nin Müşteri Kişisel Verileri'ni (AEA dışında kalan bölgeler dahil) işlemesi için SurveyMonkey'in sağladığı belgeli talimatlara, Müşteri tarafından SurveyMonkey'e sağlanan (örn. e-posta yoluyla) diğer makul talimatlarla birlikte, bu talimatların Anlaşmayla tutarlı olduğu durumlarda, bu Anlaşma'da yer verildiğinde mutabık kalacaklardır; 

(b) Müşteri Kişisel Verilerinin işlenmesi sürecine dahil edilen tüm SurveyMonkey personelinin kişisel verilerle ilgili gizlilik yükümlülüklerine tabi olmasını sağlayacaktır; 

(c) ilgili bilgilerin SurveyMonkey'in tam kontrolü altında bulunduğu ve Müşteri'nin hesabı, kullanıcı alanları veya web siteleri aracılığıyla bu bilgilere başka herhangi bir şekilde erişim sağlayamadığı durumlarda ve Müşteri'nin SurveyMonkey'e en az 14 gün önceden söz konusu bilgi talebiyle ilgili yazılı bildirim sağlaması koşuluyla, SurveyMonkey, Müşteri'nin Madde 28'de belirtilen yükümlülüklere (veya Müşteri için geçerli olduğu durumlarda Veri Koruma Mevzuatı'ndaki benzer gerekliliklere) uyumluluğunu kanıtlaması için gerekli bilgileri Müşteri'nin erişimine açacaktır;

(d) Müşteri'nin, bir Veri Sahibinin SurveyMonkey'in Hizmetleri sağlarken işlediği kişisel verilerle ilgili olarak Veri Sahiplerine verdiği tüm hakların Veri Koruma Mevzuatı'na göre kullanımına uyum sağlayabilmesi için, Müşteri'nin makul bir şekilde talep etmesi durumunda Müşteri ile işbirliği yapacaktır; 

(e) gerekli olduğu durumlarda, bir Veri Sahibinin Hizmetler aracılığıyla gönderdiği Kişisel Verilerle ilgili olarak doğrudan bir Veri Sahibinden alınan taleplerle ilgili destek sağlayacaktır;

(f) sizin tarafınızdan silindikten sonra, geçerli yasalarla ve mevzuatla uyumluluk amaçları dışında ve saklama ilkelerimize tabi olağanüstü durum kurtarma ve iş sürekliliği amaçları doğrultusunda oluşturulan rutin yedek kopyaları dışında kalabilecek durumlarda Müşteri Kişisel Verilerini hesabınızda tutmayacaktır; 

(g) gerekli olduğu durumda ilgili yetkili denetleyici makamın görevlerini yerine getirmesi sırasında yetkili denetleyici makamlarla veya bunların yerine geçen ya da halefi konumundaki diğer makamlarla muhtelif zamanlarda (veya Müşteri veya Veri Koruma Mevzuatına tabi başka bir veri koruma veya gizlilik düzenleyicinin gerekli gördüğü şekilde) iş birliği yapacaktır; 

(h) Müşteri'nin aşağıdaki koşullarda makul yollarla talep etmesi durumunda Müşteriye destek sağlayacaktır: 

(i) Müşteri, Hizmetleri içeren bir veri koruma etki değerlendirmesi yürüttüğünde (müşterinin kendi değerlendirmesini yürütebilmesi için belge sağlama bu kapsama dahil edilebilir); veya

(ii) Müşteri'nin bir Güvenlik Olayını yetkili denetleyici bir makama veya ilgili Veri Sahibine bildirmesi (aşağıda belirtildiği şekilde) gerektiğinde.

(i) Kişisel Bilgileri Satmayacak veya Paylaşmayacaktır

(j) Kişisel Bilgileri aşağıda belirtilen İş Amaçları ve Ticari Amaçlar dışında toplamayacak, tutmayacak, ifşa etmeyecek ve başka şekillerde işlemeyecektir: (1) Hizmetlerimizi bu Sözleşmede belirtildiği şekilde sağlama; (2) mevcut hizmetlerimizi iyileştirme ve yeni hizmetler geliştirme (örneğin; yeni ürünler veya özellikler geliştirmek için araştırma yaparak); (3) Kendi operasyonel amaçlarımız ile hizmet sağlayıcılarımızın ve entegrasyon ortaklarımızın operasyonel amaçları; (4) veri sahibinin kişisel verilerinin kullanılmasının makul şekilde gerekli ve bu amaçlara uygun olduğu ölçüde verilerin güvenliğini ve bütünlüğünü sağlama; (5) Amaçlanan mevcut işlevlere zarar veren hataların tespit edilmesi ve onarılması amacıyla hata ayıklama; (6) Bizim ve hizmet sağlayıcılarımızın hizmetlerde görüntülediği içeriklerin özelleştirilmesi gibi kısa süreli, geçici kullanım ve (7) Veri Koruma Mevzuatı'nda izin verildiği üzere sizi haberdar ettiğimiz diğer kullanımlar;

(k) CCPA açık bir şekilde izin vermedikçe, SurveyMonkey, SurveyMonkey ile Müşteri'nin doğrudan iş ilişkisi dışındaki Sözleşme gereğince toplanan Kişisel Bilgilerinizi tutmayacak, kullanmayacak, başka bilgilerle birleştirmeyecek veya ifşa etmeyecektir:  

(l) Müşteri'den aldığı herhangi bir talimatın Veri Koruma Mevzuatı'nın hükümlerini ihlal ettiğini fark etmesi durumunda, SurveyMonkey, Veri Koruma Mevzuatı gereği Müşteri'yi bilgilendirecektir. Yukarıdaki hükümlere bakılmaksızın, SurveyMonkey'in Müşteri'den aldığı talimatların yasalara uygunluğunu kontrol etme veya gözden geçirme yükümlülüğü yoktur. CCPA kapsamındaki yükümlülüklerine artık uyamayacağını tespit etmesi halinde, SurveyMonkey Müşteri'yi bilgilendirecektir ve

(m) SurveyMonkey, bu DPA'da ve yürürlükteki tüm Veri Koruma Mevzuatları'nda belirtilen kısıtlamaları ve yükümlülükleri anladığını ve bu gerekliliklere uyacağını onaylar. 

6.1 Alt İşleme. Bu 6. Bölümdeki gereksinimlerle uyumluluğa tabi olarak, Müşteri ileriye dönük alt işleyicileri işe alması için SurveyMonkey'e genel yetki sağlar.

6.2 Alt İşleyici Listesi. SurveyMonkey, Sözleşmenin gizlilik hükümlerine veya SurveyMonkey'in uygulamaya koyduğu diğer hükümlere bağlı olarak aşağıdakileri gerçekleştirmekle yükümlüdür:

(a) Müşteriye, Hizmetlerin sağlanmasıyla bağlantılı olarak Müşteri Kişisel Verilerinin işlenmesinde veya alt işlenmesinde yer alan SurveyMonkey alt yüklenicilerin (“Alt İşleyiciler”) bir listesinin, her bir Alt İşleyici tarafından sağlanan hizmetlerin niteliğinin bir açıklamasına yer vererek (“Alt İşleyici Listesi”) sunulması. Bu Alt İşlemci Listesinin bir kopyası buradan istenebilir; 

(b) Alt İşleyici Listesi'ndeki tüm Alt İşleyicilerin, esasa ilişkin yönlerden bu DPA'da sözü edilen koşullardan daha az külfetli olmayan sözleşme koşullarına tabi olduğunu temin edecektir; ve 

(c) Anlaşma kapsamında hariç tutulan koşullar dışında, bu Alt İşleyicilerin her birinin hizmetlerini doğrudan bu DPA'nın koşulları gereğince SurveyMonkey gerçekleştirmiş gibi kabul edilerek, Alt İşleyicileri'nin faaliyetlerinden ve eksikliklerinden aynı ölçüde SurveyMonkey sorumlu olacaktır. 

6.3 Yeni / Değiştirilen Alt İşleyiciler.  SurveyMonkey, Müşteri'ye Sözleşme süresi boyunca herhangi bir zamanda yeni bir Alt İşleyici'nin eklenmesi veya mevcut bir Alt İşleyici'nin değiştirilmesi ile ilgili yazılı bildirimde bulunacaktır (“Yeni Alt İşleyici Bildirimi”).Müşteri, SurveyMonkey tarafından burada sunulan ve bu tür bildirimlerin e-posta yoluyla iletileceği bir gönderi listesine kaydolacak veya alternatif olarak listedeki güncellemeleri buradan kontrol edecektir. Müşteri'nin, SurveyMonkey'in yeni veya değiştirilen bir Alt İşleyici kullanmasına itiraz etmesi için makul bir gerekçesi varsa Müşteri, Yeni Alt İşleyici Bildirimi'ni almasını takip eden 30 gün içinde SurveyMonkey'i derhal ve yazılı olarak, her ne olursa olsun bilgilendirecektir. Bu tür bir makul itiraz durumunda, Müşteri veya SurveyMonkey, diğer tarafa yazılı bildirimde bulunarak, itiraz edilen yeni Alt İşleyici olmaksızın makul bir şekilde sağlanamayacak olan Hizmetler ile ilgili herhangi bir Sözleşmenin ilgili kısmını derhal yürürlüğe girecek şekilde feshedebilir (bu durum, SurveyMonkey'in takdirine ve tercihine bağlı olarak tüm sözleşmenin feshini de gerektirebilir). Bu tür bir fesih, fesihten sonraki süre için Müşteri tarafından ön ödemesi yapılmış herhangi bir ücretin iadesini isteme hakkı olmaksızın gerçekleşecektir.

7.1 Güvenlik Önlemleri. SurveyMonkey; yetkisiz veya yasa dışı veri işleme, Müşteri Verilerinin kazara kaybedilmesi ve/veya Müşteri Verilerine zarar verme gibi risklere ilişkin uygun güvenlik düzeyini temin etmek üzere; son teknolojiyi, uygulama maliyetini, risk düzeyini ve Hizmetlerin doğasını, kapsamını, bağlamını, amaçlarını ve göz önünde bulundurarak, uygun teknik ve organizasyonel önlemleri (Ek 1 uyarınca) almıştır. SurveyMonkey, işlemenin güvenliğini temin etmek amacıyla makul aralıklarla bu teknik ve organizasyonel önlemlerin etkinliğini test eder ve değerlendirir.

7.2 Güvenlik Olayı ve İhlal Bildirimi. SurveyMonkey'in, Müşteri Kişisel Verilerine yetkisiz ya da yasa dışı erişildiğini, bunların alındığını, değiştirildiğini, kullanıldığını, ifşa edildiğini ya da tahrip edildiğini fark etmesi durumunda (“Güvenlik Olayı”), SurveyMonkey usulsüz bir gecikme olmadan Müşteri'ye bildirmek için makul adımları atacaktır. Bir Güvenlik Olayı, başarısız (internet sitesine) oturum açma girişimleri, ping’ler (veri paketinin iletilmesi sırasında geçen süre), port taramaları, DoS’lar (hizmeti engelleme saldırıları), veya firewall’lar (güvenlik duvarları) veya ağ (network) kapsamındaki sistemlere yönelik diğer network (ağ) saldırıları dâhil olmak üzere, Kişisel Verilerin güvenliğini riske atmayan başarısız girişimleri ya da faaliyetleri içermez. Müşteriye yapılan Güvenlik Olayı bildirimleri hiçbir şekilde SurveyMonkey'in sorumluluk kabul ettiği anlamına gelmez.

7.3 SurveyMonkey, zorunlu bildirimleri hazırlayarak bir Güvenlik Olayı ile ilgili herhangi bir soruşturmaya ilişkin olarak Müşteriyle makul bir şekilde iş birliği yapacak ve tarafınızca herhangi bir Güvenlik Olayı ile ilgili makul olarak talep edilen diğer tüm bilgileri paylaşacaktır. 

8.1 Denetimler. SurveyMonkey'in bir işleyici olarak (yalnızca) Müşteri'nin Kişisel Verilerini Müşteri için işlediği durumda, Müşteri SurveyMonkey'e en az bir ay önceden yazılı denetleme bildirimi gönderecektir. Bu denetim, Müşteri'nin kendisi veya Müşteri tarafından atanan bağımsız bir denetçi (denetimi yapan kişinin SurveyMonkey'in bir rakibi veya rakibi adına hareket eden biri olmaması koşuluyla) (“Denetçi”) tarafından yürütülebilir. Denetlemenin kapsamı aşağıdaki gibi olacaktır:

(a) Yasal olarak başka bir zorunluluk olmadıkça ya da Müşteri üzerinde yetkisi olan bir yasa düzenleyici aynı yıl içinde birden fazla denetim yapılmasını zorunlu kılmadıkça (bu durumda Müşteri ve SurveyMonkey bu tür denetimlerden önce SurveyMonkey’in denetim masrafları için makul bir geri ödeme oranı üzerinde anlaşır Müşteri yılda yalnızca bir defa (12 aylık abonelik süresince) denetim yapma hakkına sahip olur.

(b) SurveyMonkey, uygun ve makul tüm gizlilik sınırlamalarına tabi olmak koşuluyla, elinde tuttuğu tüm sertifikasyon ve uyumluluk standartlarının kanıtlarını sağlamayı ve talep edilmesi durumunda SurveyMonkey'in en yeni yıllık penetrasyon testlerinin bir yönetici özetini Müşteri'ye sunmayı kabul eder. Söz konusu yönetici özeti, bu penetrasyon testleri sonucunda SurveyMonkey’in uyguladığı düzeltici eylemlerin özetini içerir. 

(c) Denetim kapsamı, Müşteri'nin Kişisel Verilerinin işlenmesine ve korunmasına ilişkin SurveyMonkey sistemleri, süreçleri ve belgeleriyle sınırlı olacaktır. Denetçiler, denetimleri SurveyMonkey tarafından talep edilen tüm uygun ve makul gizlilik sınırlamalarına tabi olarak yürütecektir.

(d) Müşteri, bir denetim sırasında bulunan tüm algılanan uyumsuzluk ya da güvenlik endişeleriyle ilgili tüm ayrıntıları derhal ve gizlilik çerçevesinde SurveyMonkey’e bildirecek ve sağlayacaktır.

8.2 Taraflar, Müşteri üzerinde yetkisi olan bir yetkileyici denetleyici makam ya da yasa düzenleyicinin emri ya da bağlayıcı başka bir kararıyla zorunlu olduğu durumlar haricinde, bu 8. Bölümün Müşteri'nin SurveyMonkey karşısındaki denetim haklarının tüm kapsamını belirlediği konusunda mutabıktır.

9.1 Geçerli olduğu ölçüde, Müşteri Kişisel Verilerinin Avrupa Ekonomik Alanı'ndan ("AEA"), İsviçre’den veya Birleşik Krallık'tan AEA, İsviçre ve Birleşik Krallık (doğrudan veya ileriye dönük aktarım yoluyla) dışında yer alan, Avrupa Komisyonu veya ilgili Veri Koruma Mevzuatı tarafından belirlenen yeterli veri koruma standartlarına sahip olmayan yerlere aktarılması için, SurveyMonkey aşağıdakilere güvenir:

(a) SSM'lere; ve

(b) Birleşik Krallık GDPR'ye tabi aktarımlar ile ilgili olarak Birleşik Krallık Ek'e; veya

(c) Veri Koruma Mevzuatı kapsamında belirtilen veya izin verilen bu tür diğer uygun güvencelere veya askıya alma işlemlerine (uygun olduğu ölçüde sınırlı olmak üzere).

9.2 Gerektiğinde, taraflar burada SSM'leri (bir kopyasına buradan erişilebilir) ve Birleşik Krallık Ek'ini (Ek 3) kabul ederler. SSM'ler bu Sözleşmeye referans yoluyla dâhil edilmiş olup aşağıdaki şekilde uygulanacaktır: 

(a) Müşterinin, Hizmetler için Sözleşme kapsamında Amerika Birleşik Devletleri'nde bulunan SurveyMonkey Inc. ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri sorumlusu olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Müşteri Kişisel Verilerini AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, SurveyMonkey içe veri aktaran olarak SSM'leri ve Müşteri, dışarı veri aktaran olarak SSM'leri ve geçerli olduğu Modül İki'yi kabul eder; ve/veya

(b) Müşterinin, Hizmetler için Sözleşme kapsamında Amerika Birleşik Devletleri'nde bulunan SurveyMonkey Inc. ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri işleyici olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Müşteri Kişisel Verilerini AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, SurveyMonkey içe veri aktaran olarak SSM'leri ve Müşteri, dışarı veri aktaran olarak SSM'leri ve geçerli olduğu Modül Üç'ü kabul eder; ve/veya

(c) Müşterinin, AEA sakini olmadığı ve Müşteri Kişisel Verilerini AEA içerisinde saklamak için Sözleşme kapsamında SurveyMonkey Europe UC ile sözleşme yaptığı ve Müşteri Kişisel Verilerinin veri sorumlusu olduğu ve Hizmetlerin kullanımı yoluyla, söz konusu Kişisel Verileri AEA'dan, Avrupa Konseyi tarafından Kişisel Verilere yeterli düzeyde koruma sağlayacak şekilde belirlenmemiş yerlere aktardığı durumlarda, SurveyMonkey dışa veri aktaran olarak SSM'leri ve Müşteri, içe veri aktaran olarak SSM'leri ve geçerli olduğu Modül Dört'ü kabul eder; ve/veya

(d) Madde 7'de, isteğe bağlı dâhil olma maddesi uygulanacaktır;

(e) Madde 11'de, isteğe bağlı dil uygulanmayacaktır;

(f) Madde 17'de, SSM'ler için İrlanda hukuku geçerli olacaktır;

(g) Madde 18'de, uyuşmazlıklar İrlanda mahkemeleri önünde çözüme kavuşturulacaktır; ve

(h) SSM'lere ait Ek I ve II, Sözleşmede belirtilen bilgiler ve bu DPA Eklerinde yer alan detaylarla tamamlanmış sayılacaktır.

9.3 FADP/nFADP tarafından korunan aktarımlar için, yukarıdaki Bölüm 9.2’ye uygun olarak SSM’ler geçerli olacaktır. Hariç tutulan durumlar şunlardır: 

(a) SSM’lerde olup GDPR’ye yönelik olan her türlü referans, FADP/nFADP’ye yönelik referanslar olarak yorumlanacaktır;  

(b) “AB”, “Birlik” ve “Üye Ülke yasası”na yönelik her türlü referans, İsviçre ve İsviçre yasasına yönelik referanslar olarak yorumlanacaktır ve  

(c) yukarıda belirtilen şekilde uygulanan SSM’lerin Müşteri Kişisel Verileri'ni FADP/nFADP doğrultusunda yasalara uygun şekilde aktarmak için kullanılamadığı durumlar haricinde, “yetkili denetleyici makam” ve “yetkili mahkemeler”e yönelik her türü referans, İsviçre’deki ilgili veri koruma makamı ve İsviçre mahkemelerine yönelik referanslar olarak yorumlanacaktır. Bu tür durumlarda ise İsviçre SSM'leri atıfta bulunularak bu Veri İşleme Sözleşmesi’ne dahil edilip onun ayrılmaz bir parçasını oluşturacak ve bu türden aktarımlar için geçerli olacaktır. İsviçre SSM’lerinin amaçları doğrultusunda, İsviçre SSM’lerinin ilgili Ek’leri, bu Veri İşleme Sözleşmesi'nin Ek 1’i ve Ek 2’sinde yer alan bilgiler kullanılarak doldurulacak (uygun şekilde) ve Bölüm 9.3’te belirtilen yoruma açık hükümler geçerli olacaktır (geçerli olduğu ölçüde ve FADP/nFADP’ye uyum amaçlarının gerektirdiği şekilde).

9.4  Yazılı talep üzerine ve Standart Sözleşme Maddeleri veya Birleşik Krallık Ek'inin hükümlerine (duruma göre hangisi uygunsa) uygun olarak, SurveyMonkey, veri işleyicisi sıfatıyla içe veri aktaranlarla onayladığı Standart Sözleşme Maddeleri'nin veya Birleşik Krallık Ek'inin kopyalarını Müşteriye sunacaktır.

10.1 Veri işleme yükümlülüğü. İster anlaşmadan, haksız fiilden (ihmal dâhil), yasal görevin ihlalinden doğan ister başka bir şekilde bu DPA’dan kaynaklanan ya da bağlantılı olan iddialar nedeniyle ortaya çıkan tarafların kendi toplam yükümlülükleri, yazılı olarak aksi kararlaştırılmadıkça bu Anlaşmada düzenlendiği şekilde olacaktır.

10.2 Uyuşmazlık. (i) bu DPA'nın konusuyla ilgili olarak, bu DPA'nın koşulları ve Anlaşma'nın koşulları arasında uyuşmazlık veya belirsizlik olması durumunda bu DPA'nın koşulları geçerli olur; (ii) bu DPA'da sözü edilen herhangi bir hükmün koşulları ve Standart Sözleşme Maddeleri'nde sözü edilen herhangi bir hükmün koşulları arasında uyuşmazlık ve belirsizlik olması durumunda Standart Sözleşme Maddeleri'ndeki hüküm geçerli olur.

10.3 Bağımsız İşleme. Müşteri, Hizmetlerle ilgisi olmayan kişisel verilerin bağımsız olarak toplanması ve işlenmesi bakımından Veri Koruma Mevzuatına uygun davranmaktan yalnızca kendisi sorumludur. Müşteri, bunu nasıl yaptığını doğru bir şekilde açıklayan, kendine ait açık ve belirgin gizlilik bildirimlerini sunacaktır ve SurveyMonkey, bu koşullarda, Müşteri tarafından kişisel verilerin nasıl ele alındığından sorumlu olmayacaktır. İşbu vesileyle Müşteri, bu koşullarda kişisel verilerin toplanması ve kullanılması sonucunda ortaya çıkan her türlü talep veya sorumluluk için SurveyMonkey'i tam olarak tazmin eder.

10.4 Sözleşmenin Bütünlüğü. Anlaşma (bu DPA'yı da bünyesinde bulunduran) ve tüm Sipariş Formları, taraflar arasındaki anlaşmanın bütünlüğünü temsil eder ve konusuyla ilgili yazılı ve sözlü her türlü önceki eş zamanlı anlaşmaların, hükümlerin ve koşulların yerini alır. Tüm taraflar, Anlaşma'yı yapmalarına neden olan ve Anlaşma'da belirtilmemiş hiçbir beyana itimat etmediklerini doğrular.

10.5 Ayrılma. Bu DPA'nın herhangi bir hükmünün yetkili bir mahkeme tarafından icra edilemez olduğu saptanırsa o hüküm diğerler hükümlerden ayrılır ve geri kalan hükümler tam olarak yürürlükte kalır. Bu DPA'daki hiçbir şey, taraflardan herhangi ikisi arasında herhangi bir ortaklık veya ortak girişim kurmayı amaçlamamaktadır veya bu şekilde kabul edilmeyecektir ya da burada açıkça belirtilenler dışında, taraflardan herhangi birinin başka bir taraf için veya onun adına herhangi bir taahhütte bulunabilmesine veya bulunmasına izin vermemektedir.

10.6 Elektronik Kopya. DPA, elektronik bir belge olarak sunulur.

10.7 Geçerli Hukuk. Bu DPA, İrlanda yasalarına tabidir ve tüm taraflar İrlanda'daki mahkemelerin münhasır yargı yetkisini kabul eder (sözleşmeden ve sözleşme dışı doğan tüm ihtilaflarla ilgili olarak). Amerika Birleşik Devletleri sınırları içinde eyalet düzeyinde veya federal düzeyde yaşanan, iddia edilen ihlaller veya mevcut ya da gelecekteki gizlilik yasalarının, mevzuatının, standartlarının, düzenleyici kılavuz ilkelerinin ve öz düzenleyici kılavuz ilkelerinin ihlal edilmesi durumunda ise yasalarda aksi belirtilmedikçe Kaliforniya Eyaleti yasaları geçerli olur.

SurveyMonkey tarafından uygulanan teknik ve organizasyonel güvenlik önlemlerinin tanımlaması 

SurveyMonkey, Hizmetlerin Müşteri'ye sağlanması için kendisine sağlanan Kişisel Verilerin güvenliğini, gizliliğini ve bütünlüğünü sağlamak üzere yönetimsel, fiziksel ve teknik teminatları (“Güvenlik Teminatları”) sağlar. 

Güvenlik Teminatları aşağıdakileri içerir: 

(a) Etki Alanı: Bilgi Güvenliği Organizasyonu.

(i) Güvenlik Görevleri ve Sorumluluklar. Veri erişimi olan SurveyMonkey personeli gizlilik yükümlülüklerine tabidir.

(ii) Risk Yönetimi Programı. SurveyMonkey, uygun olduğunda, verileri işlemeden önce bir risk değerlendirmesi yürütür.

(b) Etki Alanı: Varlık Yönetimi.

(i) Varlıkların Ele Alınması.

(1) SurveyMonkey, Müşteri Verileri içeren basılı materyallerin bertaraf edilmesine yönelik prosedürler uygular.

(2) SurveyMonkey, Müşteri Verilerinin depolandığı tüm donanımın envanterini tutar.

(c) Etki Alanı: İnsan Kaynakları Güvenliği.

(i) Güvenlik Eğitimi.

(1) SurveyMonkey, ilgili güvenlik prosedürleri ve kendilerine atanan roller hakkında personelini bilgilendirir. SurveyMonkey, güvenlik kurallarının ve prosedürlerinin ihlal edilmesinin yaratacağı olası sonuçlar hakkında da personeline bilgi sağlar.

(d) Etki Alanı: Fiziksel Güvenlik ve Ortam Güvenliği.

(i) Tesislere Fiziksel Erişim. SurveyMonkey, Müşteri Verilerinin işlendiği bilgi sistemlerinin bulunduğu tesislere erişimi tanımlı yetkili kişilerle sınırlamıştır.

(ii) Kesintilere Karşı Koruma. SurveyMonkey, güç beslemesi arızası veya hat karışması kaynaklı veri kayıplarına karşı koruma sağlamak için sektör standardı çeşitli sistemlerden yararlanır.

(iii) Bileşenlerin Bertaraf Edilmesi.SurveyMonkey, daha fazla ihtiyaç duymadığı Müşteri Verilerini silmek için sektör standardı süreçlerden yararlanır.

(e) Etki Alanı: İletişim ve Operasyon Yönetimi. 

(i) Faaliyet Politikası. SurveyMonkey, güvenlik önlemlerinin, ilgili prosedürlerin ve Müşteri Verilerine erişimi olan personelinin sorumluluklarının açıklandığı güvenlik belgelerini saklar. 

(ii) Veri Kurtarma Prosedürleri.  

(1) SurveyMonkey, düzenli ve sürekli olarak Müşteri Verilerinin yedek kopyalarını oluşturur. Birincil kopyanın kaybolduğu durumlarda Müşteri Verileri bu kopyalar kullanılarak kurtarılabilir. 

(2) SurveyMonkey, Müşteri Verilerinin kopyalarını ve kurtarma prosedürlerini Müşteri Verilerini işleyen birincil bilgisayar donanımının konumundan ayrı bir yerde tutar. 

(3) SurveyMonkey, Müşteri Verilerinin kopyalarına erişimi düzenleyen özel prosedürler uygulamaktadır. 

(iii) Kötü Amaçlı Yazılımlar. SurveyMonkey, genel ağ kaynaklı kötü amaçlı yazılımlar da dâhil olmak üzere, Müşteri Verilerine yetkisiz erişim elde eden kötü amaçlı yazılımların önlenmesini sağlamak amacıyla kötü amaçlı yazılımlara karşı koruma sağlayan kontroller uygular.

(iv) Sınırların Dışındaki Veriler. 

(1) SurveyMonkey, genel ağlar üzerinde iletilen Müşteri Verilerini şifreler. 

(v) Olay Günlüğü Oluşturma.

(1) SurveyMonkey, veri işleme sistemlerinin günlük kullanımını kayıt altına alır. 

(2) SurveyMonkey; erişim kimliği, zaman damgası ve bazı ilgili aktiviteleri kaydederek Müşteri Verilerinin yer aldığı bilgi sistemlerinin kullanımını ve bu sistemlere erişimi kayıt altına alır.

(f) Etki Alanı: Bilgi Güvenliği Olay Yönetimi.

(i) Olay Müdahale Süreci. 

(1) SurveyMonkey, yürürlüğe koyduğu bir olay müdahale planına sahiptir.  

(2) SurveyMonkey; ihlalin açıklaması, gerçekleştiği zaman aralığı, sonuçları, ihlali bildiren kişinin adı, ihlalin bildirildiği kişi ve geçerli olduğu durumda atılan düzeltme adımları detaylarını da ekleyerek güvenlik ihlallerinin kaydını tutmaktadır.

(g) Etki Alanı: İş Sürekliliği Yönetimi.

(i) SurveyMonkey'in geniş depolama kapasitesi ve veri kurtarma prosedürleri, Müşteri Verilerini kaybolmadan veya tahrip edilmeden önceki orijinal halinde yeniden oluşturmak amacıyla tasarlanmıştır.   

(h) İşleme Alanlarına Erişimin Kontrolü.  Yetkisiz kişilerin, Müşteri'nin Kişisel Verilerinin işlendiği veya kullanıldığı veri işleme donanımına (yani telefonlar, veri tabanları, uygulama sunucuları ve ilgili donanım) erişimini engellemek için uygulamaya konulan süreçler şunlardır: 

(i) güvenli alanlar oluşturma; 

(ii) erişim yollarının korunması ve buralara erişimin kısıtlanması;

(iii) cep telefonlarının koruma altına alınması;   

(iv) veri işleme donanımı ve kişisel bilgisayarlar;

(v) Müşteri Kişisel Verilerinin barındırıldığı, izlendiği ve takip edildiği veri merkezlerine tüm erişimler;  

(vi) Müşteri Kişisel Verilerinin barındırıldığı veri merkezleri güvenlik alarm sistemiyle ve diğer uygun güvenlik önlemleriyle korunur ve 

(vii) tesis, elverişsiz hava koşullarına ve diğer mantıken öngörülebilir doğal koşullara dayanacak şekilde tasarlanmıştır, 24 saat nöbet tutan bekçiler, anahtar kart ve/veya biyometrik erişim (risk düzeyine uygun şekilde) taraması ve refakatçi eşliğinde erişimle korunur. Ayrıca, elektrik kesintisi durumunda devreye giren tesis içi yedek jeneratörlerle desteklenir.

(i) Veri İşleme Sistemlerine Erişimin Kontrol Edilmesi. Veri işleme sistemlerinin yetkisiz kişiler tarafından kullanılmasını önleyen süreçler şunları içerir:  

(i) veri işleyen sistemlerin terminalinin ve/veya terminal kullanıcısının belirlenmesi; 

(ii) kullanıcı terminalinin 30 dakika veya daha kısa bir süre boyunca kullanmaması durumunda otomatik zaman aşımının devreye girmesi ve terminali yeniden açmak için kimlik bilgileri ve şifre gerekmesi;

(iii) kimlik kodlarının verilmesi ve bu kodların korunması;  

(iv) şifre karmaşıklığı gereksinimleri (minimum uzunluk, şifrelerin kullanım sürelerinin dolması vb.) ve

(v) sektör standardı güvenlik duvarı yoluyla harici erişime karşı koruma.  

(j) Veri İşleme Sistemlerinin Belirli Alanlarını Kullanmak İçin Erişim Kontrolü. Veri İşleme Sistemlerini kullanma yetkisi verilen kişilerin yalnızca kendilerine verilen erişim izni (yetkilendirme) ölçüsünde ve bu izin kapsamındaki verilere erişebilmesini ve Müşteri Kişisel Verilerinin yetkilendirme olmadan okunamamasını, kopyalanamamasını, değiştirilememesini ve kaldırılamamasını sağlayan önlemler şunları içerir:

(i) bağlayıcı çalışan ilkelerinin uygulamaya konulması ve her bir çalışanın Müşteri Kişisel Verilerine erişim haklarıyla ilgili eğitim sağlanması:

(ii) uygun yetkiye sahip olmadan Müşteri Kişisel Verilerine erişen kişilere yönelik etkili ve ölçülü disiplin işlemleri; 

(iii) verilerin yalnızca yetkili kişilerin erişime açılması; 

(iv)Müşteri Kişisel Verilerini içeren bilgilere erişim için, en az ayrıcalıklı erişim ilkelerinin katı bir şekilde “bilinmesi gereken bilgi” gereksinimleri temelinde uygulamaya konulması:

(v) VPN, iki faktörlü kimlik doğrulama ve rol tabanlı erişim kontrolleriyle düzenlenen üretim ağı ve veri erişimi yönetimi;

(vi) uygulama ve altyapı sistemlerinin; sorun giderme, güvenlik incelemesi ve analizler için bilgileri merkezi olarak yönetilen bir günlük deposuna kaydetmesi; 

(vii) yedek kopyaların saklanmasını düzenleyen ilkelerin geçerli yasalarla uyumlu olması ve söz konusu verilerin yapısına ve ilgili riske uygun olması.

(k) Aktarım Kontrolü. Müşteri Kişisel Verilerinin veri aktarımı veya veri ortamını taşınması sırasında yetkisiz taraflar tarafından okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini önlemek ve veri aktarma araçlarıyla Müşteri Kişisel Verilerinin hangi bölümlerinin aktarılacağının öngörüldüğünü belirlemenin ve kontrolünün mümkün olduğunu temin etmek uygulanan prosedürler şunları içerir: 

(i) verilerin taşındığı ağ geçitlerini ve veri hatlarını korumak için güvenlik duvarlarının ve şifreleme teknolojilerinin kullanılması;

(ii) dahili kurumsal ağa bağlantıyı korumak için VPN bağlantıları uygulanması;

(iii) Altyapının sürekli olarak izlenmesi (örn. ağ düzeyinde ICMP-Ping, sistem düzeyinde disk alanı incelemesi, uygulama düzeyinde belirli test sayfalarının başarılı şekilde gönderilmesi yoluyla); 

(iv) tüm aktarımların eksiksiz ve doğru olmasını sağlamak için izleme(uçtan uca kontrol yoluyla). 

(l) Depolama Kontrolü. Herhangi bir Müşteri Kişisel Verisi depolanırken bu veriler, özel yedekleme ve kurtarma süreçlerinin bir parçası olarak şifreli biçimde yedeklenir. Şifreleme için ticari bir şifreleme çözümü kullanılır ve Müşteri Kişisel Verileri olarak tanımlanan ve herhangi bir taşınabilir veya dizüstü bilgisayar veya taşınabilir depolama aracında depolanan tüm veriler de aynı şekilde şifrelenir. Simetrik şifreleme için şifreleme çözümleri 128 bitten düşük olmayan bir anahtarla birlikte dağıtılır ve asimetrik şifreleme için 1024 (veya daha büyük) bir anahtar uzunluğu kullanılır;

(m) Girdi Kontrolü. Müşteri Kişisel Verilerinin veri işleme sistemlerine girilip girilmediğinin ve kim tarafından girildiğinin veya çıkarıldığının kontrol ve tespit edilmesinin mümkün olmasını sağlamaya yönelik tedbirler şunları içerir:

(i) yetkili personel için kimlik doğrulaması;

(ii) hafızaya veri girişi ve depolanan verilerin okunması, değiştirilmesi ve silinmesine yönelik koruyucu önlemler;

(iii) kullanıcı kodlarının kullanılması (şifreler);

(iv) veri dışa aktaranın kuruluşu içinde girdi yetkisinin kanıtlanması;

(v) veri işleme tesislerine (bilgisayar donanımının ve ilgili ekipmanın tutulduğu odalar) girişlerin kilitli olmasının sağlanması.

(n) Erişilebilirlik Kontrolü. Altyapı yedekliliği ve veri tabanı sunucularında yürütülen düzenli yedeklemeler dâhil olmak üzere, Müşteri Kişisel Verilerinin kazara tahrip edilmeye veya kaybedilmeye karşı korunmasını sağlamak için alınan önlemler. 

(o) İşlemenin Ayrışması. Farklı amaçlar doğrultusunda toplanan verilerin ayrı şekilde işlenebilmesini sağlayan prosedürler şunları içerir:

(i) verilerin uygulama güvenliği aracılığıyla uygun kullanıcılar için ayrılması

(ii) verilerin veri tabanı düzeyinde, farklı tablolarda ve destekledikleri modül veya işleve göre ayrılması;

(iii) belirli amaçlar için toplanan verilerin ayrı şekilde işlenmesi için yalnızca belirli amaçlar ve işlevlere yönelik arayüzler, toplu işlemler ve raporlar tasarlanması;

(iv) yalnızca test amaçları doğrultusunda üretilen sahte veriler bu amaç için kullanılabildiğinden canlı verilerin test amacıyla kullanılmasının engellenmesi.

(p) Güvenlik açığı yönetimi programı. Sistemlerin güvenlik açıkları açısından düzenli olarak kontrol edilmesini ve tespit edilen açıkların anında düzeltilmesini sağlamak için kullanılan bir programdır ve şunları içerir:

(i) test ve üretim ortamları da dahil olmak üzere, tüm ağların düzenli bir şekilde taranması; 

(ii) düzenli olarak penetrasyon testleri uygulanması ve güvenlik açıklarının hızlı bir şekilde düzeltilmesi.

(q) Verilerin İmha Edilmesi. Anlaşma'nın süresinin dolması, taraflardan birinin Anlaşma'yı sona erdirmesi veya Veri Sahibinden ya da düzenleyici bir kurumun kendisinden talep etmesi sonrasında müşteriden bu yönde bir talep gelmesi durumunda: 

(i) tüm Müşteri verileri 3 ay içinde güvenli bir şekilde imha edilecek; 

(ii) SurveyMonkey'in bir veri kategorisini daha uzun bir süre boyunca saklamasının yasalarca zorunlu kılınmadığı durumlarda müşteriden talep alınmadan veya anlaşmanın sonlandırılma tarihinden önceki 6 ay içinde oluşturulan yedekler de dâhil olmak üzere, tüm Müşteri verileri SurveyMonkey'e ve/veya üçüncü taraflara ait depolama cihazlarından silinecektir. SurveyMonkey, daha fazla ihtiyaç duymadığı tüm bu verileri, verilerin kurtarılamayacağını güvence altına alan bir düzeyde imha edeceğini temin eder.

(r) Standartlar ve Sertifikalar. En az SOC 1 (SSAE 16) veya SOC 2 raporlarına sahip veri depolama çözümleri ve/veya konumlarını içerir. Eşdeğer veya benzer sertifikalar veya güvenlik düzeyleri olay/vaka bazında incelenir.

Kişisel Verilerin İşlenmesinin Amaçları ve Yapısı, Kişisel Veri Kategorileri, Veri Sahipleri 

İşlemenin Amaçları ve NiteliğiSurveyMonkey, Hizmetlerini yürütmesi için teknik olarak gerekli olduğu durumlarda Müşteri Kişisel Verilerini işleyebilir. İşlemenin gerekli olduğu durumlar şunlardır: 
•      Hosting ve Depolama;
•      Yedekleme ve olağanüstü durum kurtarma;
•      Hizmetleri teknik olarak geliştirme;
•      Hizmet değişimi yönetimi;
•      Sorun çözümü;
•      Güvenli ve şifreli Hizmetler sunma;
•      Yeni ürün ve sistem sürümleri, yamaları, güncellemeleri ve yükseltmeleri uygulama;
•      Sistem kullanımını ve performansını izleme ve test etme;
•      Hataları proaktif bir şekilde tespit etme ve ortadan kaldırma;
•      Olay yönetimi dâhil BT güvenliği amaçları;
•      Teknik destek sistemlerinin ve BT altyapısının bakımı ve performansı;
•      Geçiş, uygulama, yapılandırma ve performans testleri;
•      Ürün önerilerinde bulunma;
•      Müşteri desteği sağlama; veri aktarımı, ve
•      Veri Sahiplerine talepleriyle ilgili destek sunma (gerekli olduğu durumda).
Kişisel Veri KategorileriKişisel Veri Kategorileri Müşteri, Hizmetlere Müşteri Kişisel Verileri gönderebilir ve yanıtlayanlardan Hizmetlere kişisel verilerini göndermelerini talep edebilir. Müşteri, aşağıdakiler dâhil ancak bunlarla sınırlı olmamak kaydıyla bu kişisel verilerin kapsamını yalnızca kendi takdirine bağlı olarak belirler ve kontrol eder: 

•      Hizmetlerin kullanıcıları aracılığıyla (örneğin, anketler veya diğer geri bildirim araçları aracılığıyla) Müşteri'nin yanıtlayanları tarafından müşteriye gönderilebilen tüm kişisel veri türleri. Örneğin; Müşteri'nin yanıtlayanlarının paylaşmasını istediği veya arzu ettiği isim, coğrafi konum, yaş, iletişim bilgileri, IP adresi, meslek, kişisel alışveriş veya tüketici alışkanlıkları, diğer tercihler ve diğer kişisel ayrıntılar. 

•      Müşteri'ye yönelik Hizmetlerde yer alan formlara ve anketlere eklenebilen tüm kişisel veri türleri (bu tür veriler anket sorularına eklenebilir.) 

•  Müşteri'nin çalışanlarının, yetkili son kullanıcılarının ve diğer işle ilgili kişilerinin iletişim ve fatura bilgileri. Örneğin; isim, unvan, işveren, iletişim bilgileri (şirket, e-posta, telefon, adres vb.), ödeme bilgileri ve hesapla ilgili diğer veriler.

•      Müşteri'nin yanıtlayanları Hizmetler aracığıyla Müşteri'ye özel kişisel veri kategorileri gönderebilir ve verilerin kapsamı Müşteri tarafından belirlenir ve kontrol edilir. Anlaşılır olması adına; bu özel Kişisel veri kategorileri ırk veya etnik köken, politik görüş, dini ve felsefi inançlar, sendika üyeliğini ifşa eden bilgiler ve sağlık veya cinsel yaşamla ilgili verilerin işlenmesini içerebilir.
Veri Sahipleri Veri sahipleri şunları kapsar:
•      Hizmetlerin kullanımı yoluyla SurveyMonkey'e kişisel veri gönderen gerçek kişiler (Müşteri adına SurveyMonkey tarafından barındırılan çevrimiçi anketler ve formlar ile gönderimler dahil);
•      Kişisel verileri, Hizmetlerin kullanımı yoluyla Yanıtlayanlar tarafından Müşteriye gönderilebilecek gerçek kişiler;
•      Müşterinin çalışanları, temsilcileri veya diğer iş bağlantıları olan gerçek kişiler;
•      Müşteri tarafından Hizmetlere erişim ve kullanım yetkisi verilen Müşteri kullanıcıları.

Standart Sözleşme Maddeleri İÇİN EKLER

EK I -

A. TARAFLAR LİSTESİ

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri denetleyicisine aktarım

Veri içe aktaran(lar): Sözleşmede belirtildiği şekilde

İletişim kişisinin adı, konumu ve iletişim bilgileri: Sözleşmede belirtildiği şekilde

Bu Maddeler uyarınca veri aktarımı ile ilgili faaliyetler: DPA'nın Ek 2'sinde belirtildiği şekilde

Veri dışa aktaran(lar): Sözleşmede belirtildiği şekilde

Adı: Sözleşmede belirtildiği şekilde

İletişim kişisinin adı, konumu ve iletişim bilgileri: Sözleşmede belirtildiği şekilde

Bu Maddeler uyarınca veri aktarımı ile ilgili faaliyetler: DPA'nın Ek 2'sinde belirtildiği şekilde

B. AKTARIMIN TANIMLAMASI

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri denetleyicisine aktarım

Kişisel verileri aktarılan veri sahiplerinin kategorileri:DPA'nın Ek 2'sinde belirtildiği şekilde

Aktarılan kişisel verilerin kategorileri: DPA'nın Ek 2'sinde belirtildiği şekilde

Aktarılan hassas veriler (varsa) ve örneğin, katı amaç sınırlaması, erişim kısıtlamaları (yalnızca uzmanlık eğitimine katılmış olan personelin erişimi de dâhil), verilere erişimin kaydının tutulması, ileriye dönük aktarımlar veya ek güvenlik önlemleri için kısıtlamalar gibi verilerin niteliğini ve ilgili riskleri tam olarak göz önünde bulunduran uygulanan kısıtlamalar veya güvenceler: DPA'nın Ek 1 ve 2'sinde belirtildiği şekilde

Aktarım sıklığı (örneğin, verilerin bir defaya mahsus veya sürekli olarak aktarılıp aktarılmadığı): Bir defaya mahsus ve sürekli (Hizmetlerin kullanımına bağlı olarak)

İşlemenin niteliği: DPA'nın Ek 2'sinde belirtildiği şekilde

Veri aktarımının amacı (amaçları) ve işlemeye devam edilmesi: DPA'nın Ek 2'sinde belirtildiği şekilde

Kişisel verilerin saklanacağı süre veya bu mümkün değilse, söz konusu süreyi belirlemek için kullanılan kriterler: Sözleşmede belirtildiği ve burada belirtildiği şekilde

(Alt) işleyicilere yapılan aktarımlar için, işlemenin konusunu, niteliğini ve süresini de belirtin: Lütfen buraya bakın.

C. YETKİLİ DENETLEYİCİ MAKAM

Madde 13'e göre yetkili denetleyici makamı/makamları belirleyin: İrlanda

EK II - DPA'nın Ek 1'İNDE BELİRTİLEN TEKNİK VE ORGANİZASYONEL ÖNLEMLER

EK III – ALT İŞLEYİCİLERİN LİSTESİ

MODÜL İKİ: Veri denetleyicisinden veri işleyiciye aktarım

MODÜL ÜÇ: Veri işleyiciden veri işleyiciye aktarım

MODÜL DÖRT: Veri işleyiciden veri sorumlusuna aktarım. Müşteri, aşağıdaki alt işleyicilerin kullanımına izin vermiştir: Lütfen buraya bakın.

BİRLEŞİK KRALLIK EKİ 

1. Birleşik Krallık GDPR'sine tabi olan veri aktarımlarıyla ilgili olarak, taraflar, burada Birleşik Krallık Ek'ini (bir kopyasına buradan erişilebilir) onaylar ve Birleşik Krallık Ek'i referans yoluyla bu Sözleşme'ye dâhil edilmiştir. Birleşik Krallık GDPR’sine tabi olan veri aktarımları için, “yetkili denetleyici makam” ve “yetkili mahkemeler”e yönelik her türlü referans, Birleşik Krallık’taki ilgili veri koruma makamı ve Birleşik Krallık mahkemelerine yönelik referanslar olarak yorumlanacaktır. 

2. Taraflar, Birleşik Krallık Ek'inin 1. Bölümündeki tabloların biçim ve içeriğinin değiştirileceğini ve yerine aşağıdaki tablonun konulacağını kabul ederler.

Birleşik Krallık Ek Tablosu ReferansıTabloyu doldurmak için bilgiler
Tablo 1: Başlangıç TarihiSözleşmenin Yürürlük Tarihi İtibarıyla Yürülüktedir.
Tablo 1: Taraflar hakkındaki bilgilerBu Sözleşmenin Ek 2'sinde yer alan bilgiler ile tamamlanmış olduğu varsayılacaktır.
Tablo 2: Ek AB SSM'leriTaraflar Tablo 2'den aşağıdaki seçeneği seçer:

"Ek Bilgileri de dâhil olmak ve bu Ek'in amaçları doğrultusunda yürürlüğe konulan Onaylanmış AB SSM'lerinin yalnızca aşağıdaki modülleri, maddeleri veya isteğe bağlı hükümleri ile birlikte onaylanmış AB SSM'leri".

Birleşik Krallık Ek'inin amaçları doğrultusunda yürürlüğe konulan SSM'lerin "modülleri", "maddeleri" ve "isteğe bağlı hükümleri" ile ilgili bilgiler yukarıda işbu Sözleşmenin 9.2. bölümünde belirtilmiştir.
Tablo 3: Ek 1A – TaraflarBu Sözleşmenin Ek 2'sinde yer alan bilgiler ile tamamlanmış olduğu varsayılacaktır.
Tablo 3: Ek 1B – Aktarımın TanımlamasıBu Sözleşmenin Ek 2'sinde yer alan bilgiler ile tamamlanmış olduğu varsayılacaktır.
Tablo 3: Ek II – Teknik ve organizasyonel önlemlerBu Sözleşmenin Ek 1'inde yer alan bilgiler ile tamamlanmış olduğu varsayılacaktır.
Tablo 3: Ek III – Alt İşleyicilerin Listesi (Modül 2)Sözleşmenin alt işleyici hükümlerine göre alt işleyicilerin bir listesi bulunabilir.
Tablo 4: Bu Ekin SonlandırılmasıTaraflar, taraflardan hiç birinin, bu Sözleşmeye dâhil edilmiş olması nedeniyle Birleşik Krallık Ek'ini sonlandıramamasını seçmişlerdir.

3. Bu Sözleşme ile Birleşik Krallık Ek'i arasında bir çelişki veya tutarsızlık olması durumunda, Birleşik Krallık Ek'i söz konusu çelişki veya tutarsızlık açısından geçerli ve öncelikli olacaktır.