SurveyMonkey, küresel alt işleyicileriyle dünya çapında hizmet vermektedir. Sözleşmemize göre, tarafımıza yapılan her bir kişisel veri aktarımının yürürlükteki veri koruma yasasıyla uyumlu olacağını taahhüt ederiz. Kişisel verileri yalnızca, kendi kontrolümüz altında bulunan kişisel verilere uyguladığımız koruma tedbirlerine eşdeğer koruma tedbirleri uygulayan alt işleyicilere aktarırız.

Buna ek olarak, aldığımız ek tedbirler, Avrupa Birliği Adalet Divanı'nın ("ABAD") C-311/18 sayılı Veri Koruma Komiseri v Facebook Ireland Limited ve Maximilian Schrems ("Schrems II") davasında verdiği 16 Temmuz 2020 tarihli kararıyla ve Avrupa Veri Koruma Kurulu'nun ("AVKK") ek tedbirlere ilişkin yönergesiyle uyumluluk arz etmektedir. Ayrıntılı bilgi aşağıda verilmektedir.

Genel olarak kişisel verileri nasıl işlediğimiz konusunda daha fazla bilgi almak için lütfen Gizlilik Bildirimimize bakın.

Bölüm I: SurveyMonkey’e Aktarım

Bölüm II: Alt İşleyicilere Yapılan Sonraki Aktarımlar

ABD’de yaşayan bir Müşteriyseniz sözleşmenizde SurveyMonkey’in ABD'deki yerleşik tüzel kişiliği olan SurveyMonkey Inc. ile aranızda akdedilecek bir Veri Koruma Eki (“DPA”) yer alacaktır. Enterprise Müşterisiyseniz ve Avrupa Ekonomik Alanı ("AEA") ülkelerinden, Birleşik Krallık’tan veya İsviçre'den kullanıcılarınız varsa ve dolayısıyla kullanıcı verilerinin SurveyMonkey’e aktarılması için bir aktarım mekanizmasına ihtiyaç duyuyorsanız ilgili aktarım mekanizmalarının eklenmesini talep edebilirsiniz. Self servis Müşteriyseniz çevrimiçi DPA'mız bu aktarım mekanizmalarını otomatik olarak içerir.

SurveyMonkey Inc., Standart Sözleşme Maddelerine ("SSM'ler") ek olarak AB-ABD Veri Gizliliği Çerçevesi, AB-ABD Veri Gizliliği Çerçevesinin Birleşik Krallık Uzantısı ve İsviçre-ABD Veri Gizliliği Çerçevesi İlkeleri kapsamında kendi belgelendirmesini de sağlamaktadır. Bu da Avrupa, Britanya ve İsviçre veri koruma makamlarının GDPR Madde 45(3) (ve ilgili ulusal mevzuat) kapsamında veri işlememizi "yeterli" gördüğü anlamına gelmektedir.

Eğer AEA ülkelerinde, Birleşik Krallık’ta veya İsviçre'de yaşayan bir Müşteriyseniz sözleşmenizde SurveyMonkey’in İrlanda’daki yerleşik tüzel kişiliği olan SurveyMonkey Europe EC ile aranızda akdedilecek bir Veri Koruma Eki (DPA) yer alacaktır. Sizden SurveyMonkey'e yapılacak olan aktarımlar Avrupa'daki tüzel kişilikler arasında (veya birbirlerinin yeterlilik durumunu kabul etmiş olan tüzel kişilikler arasında) gerçekleşeceği için başka bir aktarım mekanizmasına gerek yoktur.

ABD, AEA ülkeleri, Birleşik Krallık veya İsviçre dışında yaşayan bir Müşteriyseniz ancak AEA ülkeleri, Birleşik Krallık veya İsviçre'de kullanıcılarınız varsa ve ileriye dönük aktarımlarınız için bir aktarım mekanizmasına ihtiyacınız varsa sözleşmenizde SurveyMonkey’in İrlanda’daki yerleşik tüzel kişiliği olan SurveyMonkey Europe UC ile aranızda akdedilecek bir Veri Koruma Eki (DPA) yer alacaktır. Enterprise Müşterisiyseniz ilgili aktarım mekanizmasının eklenmesini talep edebilirsiniz. Self servis Müşteriyseniz çevrimiçi DPA'mız bu aktarım mekanizmalarını otomatik olarak içerir.

Aşağıdaki amaçlar doğrultusunda kişisel verileri işleyebilmemiz için SurveyMonkey’e kişisel veriler aktarıyorsunuz:

Verileri farklı amaçlarla aktarıyorsanız, bu durumu değerlendirmelisiniz.

SurveyMonkey’e aktarılan Müşteri kişisel verileri anketlerde, formlarda ve anket formlarında ne kadar veri toplayacağınıza yönelik kararınıza bağlı olarak pek çok veya çok az kişisel veri içerebilir. Platformun yapısı nedeniyle, muhtemel özel kategori verileri de dahil olmak üzere çok çeşitli kişisel veriler topladığınızı varsaymaktayız. 

Topladığımız bilgiler, Gizlilik Bildirimimizin 2. bölümünde belirtilmiştir.

Yukarıda da bahsi geçtiği üzere, bulunduğunuz konuma göre ya ABD’de ya da İrlanda’da yerleşik olan SurveyMonkey tüzel kişiliği ile sözleşme akdiniz gerçekleşecek. SurveyMonkey’in tabi olduğu veri koruma ve veri analizi kanunlarında uzman olan harici bir danışmandan aldığımız tavsiye ışığında, ABD’deki yasal hükümlere ilişkin riskin veri sahibi açısından düşük ve İrlanda’daki yasal hükümlere ilişkin riskin ise veri sahibi açısından hiçbir maddi riski olmadığına inanıyoruz. Spesifik olarak ABD’deki yasalar hakkında daha fazla bilgi için “Ek Tedbirler” başlığı altındaki “Organizasyonel Önlemler” bölümüne bakınız.

Hedef ülkedeki yasal hükümler gereği risk durumu düşük olsa veya hiçbir maddi risk olmasa dahi, SurveyMonkey kişisel verileri daha sıkı bir şekilde korumak adına ek tedbirler almıştır. Ek tedbirler üç kategoriye ayrılmıştır: (i) sözleşmesel önlemler; (ii) organizasyonel önlemler; ve (iii) teknik tedbirler. 

Yukarıda da bahsi geçtiği üzere, SurveyMonkey Müşterilerle SSM anlaşmasına girmeyi kabul eder. Schrems II kararına göre taraflar Birleşik Krallık’tan, İsviçre'den ve AEA ülkelerinden ABD’ye aktarılacak kişisel veriler (“Avrupa Verileri”) için SSM'leri kullanabilir ve (uygun olan durumlarda) ek tedbirler alabilir. SurveyMonkey ile bir sözleşmeniz varsa veya SurveyMonkey’den Avrupa kaynaklı veri sahiplerine ait verilerin işlenmesini gerektirecek başka hizmetler alıyorsanız SurveyMonkey (sözleşmeye girdiğiniz SurveyMonkey tüzel kişiliğinden hangisi geçerli ise) aşağıdaki durumları yerine getirecektir: 

Standart Sözleşme Maddeleri ile bağlı olmayı kabul etmemiz konusunda daha fazla bilgi için lütfen Kullanım Koşulları (self servis müşteriler için), Ana Hizmetler Sözleşmesi (SurveyMonkey Enterprise veya GetFeedback Digital müşterileri için) veya SurveyMonkey ile müzakere etmiş olabileceğiniz başka bir sözleşmeye bakın.

AB Adalet Divanı’nın (CJEU) ABD’ye veri aktarılmasına ilişkin kaygıları şu hususlara dayanıyordu: ABD devletinin Yürütme Emri 12333 (“EO 12333”) ve Yabancı İstihbarat Gözetim Yasası'nın 702. Bölümü (FISA § 702) , özellikle de “upstream gözetimi” uyarınca veri toplaması.  ABD’nin bu yasal hükümlerinin yarattığı riskler ya SurveyMonkey’nin kişisel veri işleme uygulamalarına uygun değildir ya da SurveyMonkey’in sunduğu organizasyonel tedbirlerce yeterli bir şekilde hafifletilebilir.

Buna ek olarak, Avrupa Komisyonu 10 Temmuz 2023 tarihinde AB-ABD Veri Gizliliği Çerçevesi için yeterlilik kararını kabul etmiştir. Yeterlilik kararı, AB-ABD Veri Gizliliği Çerçevesi'ne dahil olan ABD şirketlerine AB'den aktarılan kişisel veriler için ABD'nin AB ile karşılaştırmalı olarak yeterli düzeyde koruma sağladığı sonucunu ortaya koymaktadır.

Söz konusu yeterlilik kararı, Avrupa Birliği Adalet Divanı'nın Temmuz 2020 tarihli Schrems II kararında belirttiği hususları ele almak üzere yeni bağlayıcı tedbirler açıklayan “Amerika Birleşik Devletleri Sinyal İstihbaratı Faaliyetlerine Yönelik Tedbirlerin Artırılması” konulu Kararnamenin ABD tarafından imzalamasının ardından alınmıştır. Özellikle yeni yükümlülükler kapsamında, ABD istihbarat kurumlarının verilere yalnızca gerekli ve makul ölçüde erişebilmelerinin sağlanması ve Avrupa ülkelerinde yaşayanlara ait verilerin ulusal güvenlik amacıyla toplanmasına ilişkin şikayetlerin ele alınıp çözüme kavuşturulması için bağımsız ve tarafsız bir tazmin mekanizması kurulması öngörülmüştür (Bkz. https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

FISA § 702 uyarınca “upstream” veya toplu gözetim emri SurveyMonkey için geçerli değildir. SurveyMonkey Inc. Müşterilere sunduğumuz belli hizmetlere veya ürün özelliklerine ilişkin, kısmi olarak, bir elektronik iletişim hizmeti (“ECS”) ve ayrıca potansiyel bir uzak bilişim sistemi (“RCS”) olarak (Birleşik Devletler Kanunu’nun 18. Maddesinin 2510 ve 2711 sayılı bölümünde tanımlandığı şekliyle) görev alır.  Dolayısıyla, SurveyMonkey Inc. ABD devletinin FISA § 702 uyarınca hedef alabileceği büyük şirketler arasındadır.  Ancak, ABD devletinin FISA § 702 kanununu uyguladığı ve yorumladığı şekliyle CJEU’nun Schrems II kararı sebebiyle temel olarak kaygılandığı emir türü ile (örneğin FISA § 702 uyarınca "upstream” gözetim emri gibi) SurveyMonkey’in karşı karşıya kalma durumu yoktur.  ABD devleti FISA § 702 yetkisini uyguladığı için, upstream emirlerini sadece üçüncü taraflara internet trafiği sağlayan internet omurga sağlayıcılarını ve onların yürüttüğü trafiği hedeflemek için kullanmaktadır.  Örneğin https://fas.org/irp/offdocs/pclob-702.pdf adresindeki dosyanın 35-40 sayfalarında yer alan ve Özel Hayatın Gizliği ve Kişisel Özgürlükleri Gözetim Kurulu tarafından 2 Temmuz 2014 tarihinde yayınlanan Yabancı İstihbarat Gözetim Yasası’nın 702 no'lu bölümü uyarınca Uygulanan Gözetim Programı Raporunu inceleyebilirsiniz.  SurveyMonkey bu tür internet omurga hizmetleri sunmaz; zira biz sadece kendi müşterilerimize ilişkin trafiği yürütürüz.  Sonuç itibariyle temel olarak Schrems II kararında bahsedilen ve problematik olarak addedilen emre tabi tutulamayız.

SurveyMonkey daha önce FISA § 702 uyarınca bir emre tabi tutulmamıştır ve tutulması beklenmemektedir. İşbu beyan tarihi itibariyle, SurveyMonkey FISA § 702 uyarınca herhangi bir direktif almamıştır ve alması için makul bir sebep bulunmamaktadır.  SurveyMonkey’in müşteriler için işlediği kişisel verilerin (geri bildirim verilerinin) FISA § 702 uyarınca yabancı istihbarat gözetim faaliyetleriyle ilintili olma ihtimali mümkün görünmemektedir.  Ayrıca, şayet ilgili kişisel verilerin bu tür bir soruşturmayla ilintili olması durumunda, devlet muhtemelen bu tür verileri Schrems II kararında tanımlanan ve veriye yüksek standartlarla erişimin sağlandığı farklı yasal yollara başvuracaktır (örneğin savcılık tarafından çıkartılan bir arama emri vb. yoluyla).  Çünkü devlet için bu tarz arama emirleri veya izinleri FISA § 702 dışında bir gerekçeyle çıkartmak FISA § 702 uyarınca SurveyMonkey’e bir direktif çıkartmaktan için gerekli usulleri uygulamaya koymasından çok daha hızlı ve kolay olacaktır.

SurveyMonkey, ABD devletine “EO 12333” uyarınca bilgi toplamada yardım etmez ve etme konusunda emre tabi tutulamaz. SurveyMonkey, “EO 12333” uyarınca gözetim yapan ABD yetkililerine yardım etmez ve etmeyecektir.  “EO 12333” emri ABD’ye bu tür faaliyetler konusunda kendilerine destek vermesi için şirketleri zorlama yetkisi vermez ve SurveyMonkey bu tür bir destek verme konusunda gönüllü olmayacaktır.  Sonuç olarak, SurveyMonkey Schrems II kararının problematik olarak addettiği “EO 12333” emriyle herhangi bir toplu gözetim türü faaliyetinde bulunmaz ve bulunmaya zorlanamaz.

SurveyMonkey yukarıda bahsi geçen Schrems II kararına (FISA § 702 uyarınca toplu gözetim ve EO 12333 kapsamındaki toplu dinleme servisleri) ilişkin temel eksiklikleri giderecek pek çok teknik önlem sunmaktadır.  

SurveyMonkey, veri merkezlerimizde bekleyen tüm verileri korumak için AES 256 tabanlı şifreleme kullanır. Ayrıca, SurveyMonkey, (i) SurveyMonkey'in veri merkezleri dışındaki kuruluşlarla iletişim için herkese açık bir Sertifika Yetkilisi aracılığıyla oluşturulan 2048 bit anahtar uzunluğuna dayalı sertifikalara sahip RSA'yı ve (ii) Dahili Sertifika Yetkilisi aracılığıyla oluşturulan RSA 256 sertifikalarını kullanarak hareket halindeki tüm verileri şifreler.  Bu şifreleme çalışmaları, anlaşılabilir bir biçimde verilerin izinsiz ele geçirilmesini ve verinin iki uç nokta arasında geçişi esnasında izinsiz dinleme/onaysız kurcalama gibi durumlara maruz kalmasını engellemeyi hedefler. 

Bazı SurveyMonkey Müşterilerinin verileri sadece Avrupa Birliği’nde saklanır (örneğin GetFeedback Digital Müşterileri). Bu gibi durumlarda, veri ABD’de saklanmaz ve bu veriye ABD sınırları içerisinde sadece çok minimal düzeyde sınırlı amaçlarla erişim sağlanır (örneğin talep üzerine Müşteri Destek hizmeti sağlamak, “Follow the sun-Güneşi takip et” modeli güvenlik hizmeti sunmak ve/veya teknik hataları/teknik sorunları çözmek adına sınırlı mühendislik hizmeti sunmak gibi).

SurveyMonkey ayrıca sunucularında saklanan bilgileri korumak için sıkı idari, teknik ve fiziksel prosedürlere sahiptir. Kişisel bilgilere erişim işlerini yerine getirebilmek için oturum açma bilgilerine ihtiyaç duyan personel ile sınırlıdır. SurveyMonkey, AB’den üçüncü taraflara aktarılan kişisel veri miktarını sınırlı tutmak adına veri küçültme tekniklerine sahiptir. Örneğin, uygulanabilir olduğu yerlerde, verinin kimliksizleştirilmesi veya takma ad kullanılması gibi. Ayrıca, çok-faktörlü kimlik doğrulama, aynı anda tek oturum açma, sadece ihtiyaç halinde erişim, güçlü şifre kontrolleri ve idari hesaplara sınırlı erişim gibi erişim kontrol yöntemleri kullanır.  

ECS/RCS olarak, SurveyMonkey Birleşik Devletler Kanunu’nun 18. Maddesindeki 2701 sayılı Elektronik İletişimler Gizlilik Yasası’na (“ECPA”) tabidir.  Bu yasa, SurveyMonkey müşterilerini koruma altına alır.  Örneğin; ECPA uyarınca resmi kurumlar ve devlet kuruluşları uygun hukuki süreçlerden geçip savcılık emri veya arama emri çıkartmadan SurveyMonkey gibi müşterilere hizmet veren kurumlardan temel kayıt bilgileri dışında farklı bilgiler toplayamaz.  Benzer şekilde, şayet ABD devleti uygunsuz şekilde SurveyMonkey Müşterileri’nden bilgi toplarsa FISA ve ECPA bu müşterileri tazmin eder (maddi zarar tazminatı veya disiplin suçu tazminatı da dâhil olmak üzere). Bkz. Birleşik Devletler Kanunu’nun 18. Maddesindeki 2712 sayılı kanun.

Dahası, SurveyMonkey’in uzun yıllardır hukuki danışmanlığını yapan firma ABD’nin kullanıcı verilerine ilişkin taleplerine karşılık verme konusunda tecrübe sahibidir; buna FISA 702 uyarınca gelen ABD güvenlik talepleri de dahildir.  SurveyMonkey bu tarz talepler karşısında kendi ekibinden ve gereken durumlarda mevzubahis hukuk danışmanından görüş alır.  Uygun olan durumlarda, pek ihtimal dahilinde olmasa da FISA 702 gösterilerek gelebilecek talepler karşısında SurveyMonkey mevcut yasal mekanizmalara (gizlilik sözleşmeleri veya ilgili zeyilnameler dahil olmak üzere) başvurur.  Akabinde, bu talep bir tarafsız mahkemece (ABD FISA Mahkemesi) değerlendirilir. 

FISA 702 gösterilerek veri talep emri geldiğinde, SurveyMonkey müşterilerini konuyla ilgili bilgilendirir ve artık Standart Sözleşme Maddeleri’ne bağlı olamayacağını tebliğ eder. SurveyMonkey, müşterisine sözleşme feshi izni tanıyacağını ve tarafımıza bilgi akışının duracağını kabul eder.  Daha önce böyle bir tebliğde bulunmamızı gerektirecek bir durum yaşanmamıştır.

Yukarıdaki analiz göz önünde bulundurulduğunda, veri sahibinin maddi bir zarar görme riski yoktur.

Aşağıdaki tablo, aktarım etki değerlendirmesi sonucumuzu özetlemektedir.

“Maddi olmayan risk” ifadesi kişisel verilerin Avrupa Ekonomik Alanı (AEA) sınırları içinde bulunan iki tüzel kişi arasında aktarılması anlamına gelir.

“Düşük risk” ifadesi ithalatçı/hedef ülkenin AEA sınırları dışında olduğu ancak aktarımın GDPR onaylı bir mekanizma ile gerçekleştirildiği ve ek tedbirlerin uygulamaya konulduğu anlamına gelir. TIA'da tespit edilen tüm artık riskler azaltılmıştır.

“Orta risk” ifadesi ithalatçı/hedef ülkenin AEA sınırları dışında olduğu ancak aktarımın GDPR onaylı bir mekanizma ile gerçekleştirildiği ve ek tedbirlerin uygulamaya konulduğu anlamına gelir. TIA'da tespit edilen artık risklerden bazıları hala mevcuttur.

“Yüksek risk” ifadesi ithalatçı/hedef ülkenin AEA sınırları dışında olduğu ancak aktarımın GDPR onaylı bir mekanizma ile gerçekleştirildiği ve ek tedbirlerin uygulamaya konulduğu anlamına gelir. TIA'da tespit edilen önemli artık riskler hala mevcuttur.

Alt işleyiciler, SurveyMonkey’in sizlere hizmet sağlayabilmesi için kullanıcıların kişisel verilerini işleyen tedarikçilerdir. Tüm SurveyMonkey alt işleyicilerinin, kişisel verilerinizi en az tarafımızca uygulanan veri koruma standartları kadar koruyacağı sözleşme ile temin edilmiştir.

SurveyMonkey alt işleyicilere veri aktardığı zaman, yukarıda bahsedilen adımlara benzer bir Aktarım Etki Değerlendirme (“TIA”) süreci yürütüyoruz. Böylece, veri koruma kanunu ve aramızdaki sözleşme uyarınca her adımda verinizin korunduğundan emin oluyoruz. Her bir alt işleyici için öne çıkan TIA maddelerinin bir özetini aşağıda hazırladık.

Tüm alt işleyicilerin tüm Hizmetlerimizin sağlanmasında kullanılmadığını lütfen unutmayın. Alt işleyici listemiz belirli SurveyMonkey hizmetlerine göre kısımlara ayrılmıştır. 

Alt İşleyici Listemizde yapılan değişikliklere ilişkin e-posta bildirimleri almak isterseniz lütfen buradan kaydolun.

Mevcut Alt İşleyiciler Listemizi PDF olarak indirmek için buraya tıklayın.