Taraflar
Bu Veri İşleme Sözleşmesi ("VİS") aşağıdaki taraflar arasında akdedilmiştir:
Müşteri ("Veri Sorumlusu"):
Outfound ile Ana Sözleşme'yi akdetmiş olan (örneğin, Outfound Kullanım Koşulları'nı kabul ederek veya bir sipariş formu imzalayarak) tüzel kişi olup, ayrıntıları ilgili sipariş formu, hesap fatura profili veya sözleşmede belirtilmiştir.
ve
Outfound ("Veri İşleyen"):
Unvan: Sodalis Bilişim Teknolojileri San. ve Tic. A.Ş.
Adres: İzmir Bilişim Vadisi, Teknopark, İzmir, Türkiye
İletişim: privacy@outfound.ai
Her biri bir "Taraf" ve birlikte "Taraflar" olarak anılacaktır.
Bu VİS, Ana Sözleşme'nin bir parçasını oluşturur ve Müşteri tarafından Ana Sözleşme'yi kabul ettiğinde (örneğin, Kullanım Koşulları'nı kabul ederek, bir sipariş formu imzalayarak veya Hizmetleri kullanarak) kabul edilmiş sayılır. Alternatif olarak, bu VİS, Taraflar arasında ayrı bir imzalı sözleşme olarak da düzenlenebilir.
1. Arka Plan ve Kapsam
1.1 Amaç
Bu VİS, Outfound'un Taraflar arasındaki ana sözleşme ("Ana Sözleşme", Kullanım Koşulları, Ana Abonelik Sözleşmesi veya Outfound platformu için diğer yazılı sözleşme olabilir) kapsamında Hizmetleri sağlarken Müşteri Kişisel Verilerini İşlemesini düzenler.
1.2 İlişki
Müşteri, Müşteri Kişisel Verileri açısından Veri Sorumlusu olarak hareket eder ve Outfound Veri İşleyen olarak hareket eder. Bu VİS'teki hiçbir şey, Ana Sözleşme'de belirtilen Taraflar arasındaki ilişkiyi değiştirmez.
1.3 Öncelik
Bu VİS, Ana Sözleşme'yi tamamlar ve onun bir parçasını oluşturur. Bu VİS ile Ana Sözleşme arasında veri korumaya ilişkin bir çelişki olması halinde, bu VİS hükümleri geçerli olacaktır.
1.4 Süre
Bu VİS, Ana Sözleşme'nin süresi boyunca ve Outfound'un Müşteri adına Müşteri Kişisel Verilerini İşlediği sürece yürürlükte kalacaktır.
2. Tanımlar
Bu VİS'te aşağıdaki terimler aşağıda belirtilen anlamlara sahiptir. Burada tanımlanmayan büyük harfli terimler, Ana Sözleşme'de veya Uygulanabilir Veri Koruma Mevzuatı'nda verilen anlamlara sahiptir.
Terim | Tanım |
|---|---|
Uygulanabilir Veri Koruma Mevzuatı | Kişisel Verilerin İşlenmesiyle ilgili tüm geçerli yasa ve düzenlemeler, (uygulanabilir olduğunda) GDPR, UK GDPR, KVKK ve diğer ulusal uygulama mevzuatı dahil. |
Veri Sorumlusu | Kişisel Verilerin İşlenmesinin amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişi. |
Müşteri Kişisel Verileri | Outfound'un Hizmetlerle bağlantılı olarak Müşteri adına İşlediği herhangi bir Kişisel Veri. |
İlgili Kişi | Kişisel Verilerin ilişkili olduğu tanımlanmış veya tanımlanabilir gerçek kişi. |
AEA | Avrupa Ekonomik Alanı. |
GDPR | Avrupa Parlamentosu ve Konseyi'nin (AB) 2016/679 sayılı Tüzüğü (Genel Veri Koruma Tüzüğü). |
KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
Kişisel Veri | Uygulanabilir Veri Koruma Mevzuatı'nda tanımlandığı şekilde, tanımlanmış veya tanımlanabilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri İhlali | Müşteri Kişisel Verilerinin kazara veya yasadışı yollarla yok edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz olarak ifşa edilmesi veya bunlara erişilmesiyle sonuçlanan bir güvenlik ihlali. |
İşleme (ve İşlemek) | Kişisel Veriler üzerinde gerçekleştirilen, otomatik yollarla olsun veya olmasın, toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama, değiştirme, geri alma, danışma, kullanma, iletim yoluyla ifşa etme, yayma, hizalama, birleştirme, kısıtlama, silme veya imha etme gibi herhangi bir işlem veya işlemler dizisi. |
Veri İşleyen | Bir Veri Sorumlusu adına Kişisel Verileri İşleyen gerçek veya tüzel kişi. |
Hizmetler | Ana Sözleşme kapsamında Outfound tarafından Müşteri'ye sağlanan B2B potansiyel müşteri oluşturma, yapay zeka destekli iletişim ve ilgili hizmetler. |
Standart Sözleşme Maddeleri (SSM) | Kişisel verilerin üçüncü ülkelere aktarımı için Avrupa Komisyonu tarafından kabul edilen standart sözleşme maddeleri. |
Alt İşleyen | Outfound adına Müşteri Kişisel Verilerini İşlemek üzere Outfound tarafından görevlendirilen herhangi bir üçüncü taraf. |
Denetleyici Otorite | Uygulanabilir Veri Koruma Mevzuatı'nın uygulanmasını izlemekten sorumlu bağımsız kamu otoritesi. |
UK GDPR | 2018 Avrupa Birliği (Ayrılma) Yasası ile Birleşik Krallık hukukuna dahil edilen ve 2019 Veri Koruma, Gizlilik ve Elektronik İletişim (Değişiklikler vb.) (AB Ayrılma) Düzenlemeleri ile değiştirilen GDPR. |
3. Müşteri Kişisel Verilerinin İşlenmesi
3.1 İşleme Kapsamı
Outfound, Müşteri Kişisel Verilerini yalnızca şu şekillerde İşleyecektir:
Müşteri'nin belgelenmiş talimatlarına uygun olarak (bu VİS ve Ana Sözleşme'de belirtilenler dahil);
Hizmetleri sağlamak için gerekli olduğu şekilde;
Uygulanabilir Veri Koruma Mevzuatı'nın gerektirdiği şekilde.
Outfound'un herhangi bir başka amaç için Müşteri Kişisel Verilerini İşlemesi yasayla gerekli kılınırsa, Outfound, yasayla yasaklanmadıkça, İşlemeden önce Müşteri'yi bu yasal gereklilik hakkında bilgilendirecektir.
3.2 İşleme Detayları
Konu, nitelik, amaç, süre, İlgili Kişi kategorileri ve Kişisel Veri kategorileri Ek I'de (İşleme Detayları) açıklanmaktadır.
3.3 Müşteri Sorumlulukları
Müşteri şunları garanti eder:
Müşteri Kişisel Verilerini İşleme için Outfound'a sağlamak için gerekli tüm hak ve yasal dayanaklara sahip olduğunu;
Gerekli olduğunda İlgili Kişilere uygun bildirimlerde bulunduğunu ve gerekli izinleri aldığını;
Outfound'a verdiği talimatların Uygulanabilir Veri Koruma Mevzuatı'na uygun olduğunu;
Hizmetleri yalnızca yasal B2B amaçları için ve Ana Sözleşme'ye uygun olarak kullanacağını.
3.4 Yasaklanan Veriler
Müşteri, Outfound'a özel nitelikli Kişisel Veriler (GDPR'nin 9. Maddesi'nde tanımlandığı şekilde) veya mahkumiyet ve suçlara ilişkin Kişisel Veriler (GDPR'nin 10. Maddesi'nde tanımlandığı şekilde) sağlamayacaktır ve Outfound bu tür verileri İşlemekle yükümlü değildir; ancak yazılı olarak açıkça kararlaştırılmış ve uygun güvenceler uygulanmışsa bu hüküm geçerli olmaz.
4. Veri İşleyen Yükümlülükleri
4.1 Uyumluluk
Outfound:
Müşteri Kişisel Verilerini İşlemesinde Uygulanabilir Veri Koruma Mevzuatı'na uyacaktır;
Ek II'de (Güvenlik Önlemleri) açıklandığı şekilde Müşteri Kişisel Verilerini korumak için uygun teknik ve organizasyonel önlemleri uygulayacak ve sürdürecektir;
Müşteri Kişisel Verilerini İşlemeye yetkili kişilerin gizlilik taahhüdünde bulunduğunu veya uygun bir yasal gizlilik yükümlülüğü altında olduğunu sağlayacaktır;
Bu VİS'in 5. Bölümü'ne uygun olmak dışında herhangi bir Alt İşleyen görevlendirmeyecektir.
4.2 Gizlilik
Outfound, Müşteri Kişisel Verilerinin İşlenmesinde görev alan personelinin:
Müşteri Kişisel Verilerinin gizli niteliği hakkında bilgilendirilmesini;
Veri koruma sorumlulukları hakkında uygun eğitim almış olmalarını;
İstihdam veya görevlendirmelerinin sona ermesinden sonra da geçerli olan gizlilik yükümlülüklerine tabi olmalarını sağlayacaktır.
4.3 Güvenlik
Outfound, Ek II'de belirtilen önlemler dahil olmak üzere, riske uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri uygulayacak ve sürdürecektir. Bu önlemler şunları dikkate alacaktır:
Tekniğin geldiği son durum ve uygulama maliyetleri;
İşlemenin doğası, kapsamı, bağlamı ve amaçları;
Gerçek kişilerin hak ve özgürlükleri için değişen olasılık ve ciddiyetteki risk.
4.4 Kayıtlar
Outfound, GDPR'nin 30(2). Maddesi'nde gerekli kılındığı şekilde Müşteri adına gerçekleştirilen İşleme faaliyetlerinin kayıtlarını tutacak ve talep üzerine bu kayıtları Müşteri'ye sunacaktır.
5. Alt İşleme
5.1 Yetkilendirilmiş Alt İşleyenler
Müşteri, Outfound'a bu 5. Bölüm'de belirtilen koşullara tabi olarak Müşteri Kişisel Verilerini İşlemek üzere Alt İşleyenler görevlendirmesi için genel bir yetki vermektedir.
5.2 Alt İşleyen Listesi
Outfound tarafından görevlendirilen Alt İşleyenlerin kategorilerinin bir açıklaması Ek III'te (Alt İşleyenler) yer almaktadır. Outfound, Alt İşleyenlerinin güncel bir listesini tutacak ve talep üzerine bu listeyi Müşteri'ye sunacaktır.
5.3 Alt İşleyen Gereksinimleri
Herhangi bir Alt İşleyen görevlendirmeden önce, Outfound:
Alt İşleyenin bu VİS tarafından gerektirilen Müşteri Kişisel Verileri koruma düzeyini sağlayabilecek kapasitede olduğundan emin olmak için uygun durum tespiti yapacaktır;
Alt İşleyen ile bu VİS kapsamında Outfound'a yüklenen veri koruma yükümlülüklerinden daha az koruyucu olmayan yükümlülükler yükleyen yazılı bir anlaşma akdedecektir;
Alt İşleyenin yükümlülüklerinin yerine getirilmesinden Müşteri'ye karşı tamamen sorumlu olmaya devam edecektir.
5.4 Alt İşleyenlerdeki Değişiklikler
Outfound, Müşteri'yi herhangi bir Alt İşleyen ekleme veya değiştirme niyetini önceden (genellikle en az on beş (15) gün önceden) bildirecek ve Müşteri'ye bu tür değişikliklere itiraz etme fırsatı sağlayacaktır.
Müşteri, veri korumayla ilgili makul gerekçelerle yeni bir Alt İşleyene itiraz ederse, Taraflar Müşteri'nin endişelerini iyi niyetle görüşecektir. Taraflar konuyu çözemezse, Müşteri yeni Alt İşleyen bildirimini aldıktan sonraki otuz (30) gün içinde yazılı bildirimde bulunarak etkilenen Hizmetleri cezasız olarak feshedebilir.
5.5 Acil Durum Alt İşleyenleri
Outfound'un Hizmetlerin sürekliliğini sürdürmek için acil olarak yeni bir Alt İşleyen görevlendirmesi gerektiği durumlarda, Outfound daha kısa sürede bildirimde bulunabilir, ancak Outfound'un Müşteri'yi mümkün olan en kısa sürede bilgilendirmesi ve Müşteri'nin yukarıda belirtildiği şekilde itiraz hakkını saklı tutması koşuluyla.
6. Uluslararası Veri Aktarımları
6.1 AEA/BK İçindeki Aktarımlar
Müşteri Kişisel Verileri, ek güvenceler olmaksızın AEA veya BK içinde İşlenebilir.
6.2 AEA/BK Dışına Aktarımlar
Müşteri Kişisel Verilerinin yeterli düzeyde veri koruması sağladığı kabul edilmemiş bir ülkeye AEA veya BK dışına aktarıldığı durumlarda, Outfound şunları içerebilen uygun güvencelerin mevcut olmasını sağlayacaktır:
Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Maddeleri (SSM);
Uygulanabilir olduğunda BK Uluslararası Veri Aktarımı Eki (IDTA);
Bir Denetleyici Otorite tarafından onaylanan Bağlayıcı Kurumsal Kurallar;
Uygulanabilir Veri Koruma Mevzuatı kapsamında başka herhangi bir geçerli aktarım mekanizması.
6.3 Alt İşleyen Aktarımları
Outfound, AEA/BK dışında bulunan herhangi bir Alt İşleyenin 6.2 Bölümü'nde açıklanan uygun aktarım mekanizmalarına tabi olmasını sağlayacaktır.
6.4 Aktarım Etki Değerlendirmeleri
Talep üzerine, Outfound, aktarım etki değerlendirmeleri yapmak için makul ölçüde gerekli bilgileri Müşteri'ye sağlayacak ve gerekli olduğunda tamamlayıcı önlemlerin uygulanmasında Müşteri ile işbirliği yapacaktır.
7. İlgili Kişi Hakları
7.1 Taleplere Yardım
Outfound, Müşteri'ye İlgili Kişilerin Uygulanabilir Veri Koruma Mevzuatı kapsamındaki haklarını kullanma taleplerine yanıt vermesinde yardımcı olacaktır; bunlar şunları içerir:
Erişim hakkı (GDPR 15. Madde);
Düzeltme hakkı (GDPR 16. Madde);
Silme hakkı ("unutulma hakkı") (GDPR 17. Madde);
İşlemenin kısıtlanması hakkı (GDPR 18. Madde);
Veri taşınabilirliği hakkı (GDPR 20. Madde);
İtiraz hakkı (GDPR 21. Madde);
Otomatik karar alma ve profilleme ile ilgili haklar (GDPR 22. Madde).
7.2 Müşteri Sorumluluğu
İlgili Kişi taleplerine yanıt verme yükümlülüğü esas olarak Müşteri'ye aittir. Outfound, bir İlgili Kişiden doğrudan herhangi bir talep alırsa Müşteri'yi derhal bilgilendirecek ve yasaların gerektirdiği durumlar hariç, Müşteri'nin önceden yazılı izni olmadan bu talebe yanıt vermeyecektir.
7.3 Teknik Yardım
Outfound, Müşteri'ye Müşteri Kişisel Verilerine erişmesini, düzeltmesini, silmesini veya dışa aktarmasını sağlamak için Hizmetler içinde self-servis araçlar ve işlevsellik sağlayacaktır. Bu tür araçların yetersiz kaldığı durumlarda, Outfound talep üzerine makul teknik yardım sağlayacaktır.
7.4 Maliyetler
Outfound, aşırı, tekrarlayan veya açıkça temelsiz İlgili Kişi talepleriyle ilgili yardım için makul ücretler talep edebilir, ancak Outfound bu tür ücretler hakkında Müşteri'yi önceden bilgilendirmelidir.
8. Kişisel Veri İhlalleri
8.1 Bildirim
Müşteri Kişisel Verilerini etkileyen bir Kişisel Veri İhlali durumunda, Outfound, ihlalden haberdar olduktan sonra gereksiz gecikme olmaksızın ve her halükarda yetmiş iki (72) saat içinde Müşteri'yi bilgilendirecektir.
8.2 Bildirim İçeriği
Bildirim, bilindiği ölçüde şunları içerecektir:
İlgili İlgili Kişi ve Kişisel Veri kayıtlarının kategorileri ve yaklaşık sayısı dahil olmak üzere Kişisel Veri İhlalinin doğasının bir açıklaması;
Daha fazla bilgi alınabilecek Outfound irtibat kişisinin adı ve iletişim bilgileri;
Kişisel Veri İhlalinin olası sonuçlarının bir açıklaması;
Olası olumsuz etkileri azaltmak için alınan veya önerilen önlemler dahil olmak üzere Kişisel Veri İhlalini ele almak için alınan veya önerilen önlemlerin bir açıklaması.
8.3 İşbirliği
Outfound, Müşteri ile işbirliği yapacak ve Müşteri'ye şu konularda yardımcı olmak için makul adımlar atacaktır:
Kişisel Veri İhlalini araştırma ve düzeltme;
Uygulanabilir Veri Koruma Mevzuatı kapsamında Müşteri'nin Denetleyici Otoriteleri ve etkilenen İlgili Kişileri bilgilendirme yükümlülüklerini yerine getirme;
Kişisel Veri İhlalinin etkilerini azaltma.
8.4 Kayıt Tutma
Outfound, ihlalle ilgili gerçekler, etkileri ve alınan düzeltici eylem dahil olmak üzere tüm Kişisel Veri İhlallerinin kaydını tutacaktır.
9. Veri Koruma Etki Değerlendirmeleri ve Ön Danışma
9.1 VKED'lere Yardım
Müşteri'nin GDPR'nin 35. Maddesi (veya Uygulanabilir Veri Koruma Mevzuatı kapsamındaki eşdeğer hükümler) kapsamında bir veri koruma etki değerlendirmesi (VKED) yapması gerektiğinde, Outfound, İşlemenin doğasını ve Outfound'a sunulan bilgileri dikkate alarak Müşteri'ye makul yardım sağlayacaktır.
9.2 Ön Danışma
Müşteri'nin GDPR'nin 36. Maddesi (veya eşdeğer hükümler) kapsamında bir Denetleyici Otorite ile danışması gerektiğinde, Outfound makul işbirliği ve yardım sağlayacaktır.
10. Verilerin İadesi ve Silinmesi
10.1 Sözleşme Süresince
Ana Sözleşme'nin süresi boyunca, Müşteri, Hizmetler içinde sağlanan self-servis araçları kullanarak Müşteri Kişisel Verilerine erişebilir, dışa aktarabilir veya silebilir.
10.2 Fesih Üzerine
Ana Sözleşme'nin feshi veya sona ermesi üzerine, Müşteri Müşteri Kişisel Verilerinin iadesini veya silinmesini talep edebilir. Outfound:
Müşteri'ye fesihten sonra Müşteri Kişisel Verilerini dışa aktarması için makul bir süre (en az otuz (30) gün) sağlayacaktır;
Müşteri'nin yazılı talebi üzerine, Uygulanabilir Mevzuat tarafından saklanması gereken durumlar hariç, bu talebi takip eden doksan (90) gün içinde elindeki tüm Müşteri Kişisel Verilerini silecektir.
10.3 Saklama İstisnaları
Outfound, Uygulanabilir Mevzuat tarafından gerekli kılınan ölçüde Müşteri Kişisel Verilerini saklayabilir; bunlar şunları içerir:
Yasal, vergi veya muhasebe yükümlülüklerine uyumluluk;
Yasal taleplerin tesisi, kullanılması veya savunulması;
Yasaların gerektirdiği şekilde denetim günlüğü saklama (belirli kayıtlar için iki (2) yıla kadar).
Saklanan veriler bu VİS'e uygun olarak korunmaya devam edecektir.
10.4 Sertifikasyon
Talep üzerine, Outfound, bu 10. Bölüm'e uygun olarak Müşteri Kişisel Verilerini sildiğine dair yazılı sertifikasyon sağlayacaktır.
11. Denetim ve Uyumluluk
11.1 Bilgi Talepleri
Makul talep üzerine, Outfound, bu VİS ve Uygulanabilir Veri Koruma Mevzuatı'na uyumluluğu göstermek için gerekli tüm bilgileri Müşteri'ye sunacaktır.
11.2 Denetim Hakları
Müşteri (veya Müşteri tarafından atanan bağımsız bir üçüncü taraf denetçi), aşağıdaki koşullara tabi olarak Outfound'un bu VİS'e uyumluluğunu doğrulamak için denetimler gerçekleştirebilir:
Müşteri, herhangi bir denetimden en az otuz (30) gün önceden yazılı bildirimde bulunacaktır;
Denetimler normal çalışma saatlerinde gerçekleştirilecek ve Outfound'un operasyonlarını makul olmayan şekilde kesintiye uğratmayacaktır;
Müşteri (ve herhangi bir denetçi) Outfound'un makul güvenlik ve gizlilik gereksinimlerine uyacaktır;
Denetim, Outfound tarafından bu VİS'in önemli bir ihlalini ortaya çıkarmadıkça, Müşteri kendi denetim masraflarını karşılayacaktır;
Denetimler, bir Denetleyici Otorite tarafından gerekli kılınmadıkça veya bir Kişisel Veri İhlalini takiben olmadıkça, takvim yılı başına bir ile sınırlı olacaktır.
11.3 Üçüncü Taraf Sertifikasyonları
Outfound, mevcut olduğunda, ilgili üçüncü taraf sertifikasyonları veya raporlar (örneğin, ISO 27001 veya SOC 2), güvenlik özetleri, bağımsız üçüncü taraflarca yürütülen penetrasyon testleri veya güvenlik değerlendirmelerinin sonuçları veya makul güvenlik anketlerine yanıtlar sağlayarak denetim taleplerini karşılayabilir.
12. Sorumluluk
12.1 Sorumluluk Tavanı
Her bir Tarafın bu VİS kapsamındaki sorumluluğu, Ana Sözleşme'de belirtilen sorumluluk sınırlamalarına tabi olacaktır.
12.2 İhlallerden Sorumluluk
Her bir Taraf, Ana Sözleşme'de belirtilen sınırlamalara tabi olarak, bu VİS veya Uygulanabilir Veri Koruma Mevzuatı'nın kendi ihlalinden kaynaklanan zararlardan sorumlu olacaktır.
13. Genel Hükümler
13.1 Uygulanacak Hukuk
Bu VİS, kanun ihtilafı ilkeleri dikkate alınmaksızın Türkiye yasalarına göre yönetilecek ve yorumlanacaktır.
13.2 Yargı Yetkisi
Bu VİS'ten kaynaklanan veya bununla bağlantılı herhangi bir uyuşmazlık, İzmir, Türkiye mahkemelerinin münhasır yargı yetkisine tabi olacaktır.
13.3 Bölünebilirlik
Bu VİS'in herhangi bir hükmünün geçersiz veya uygulanamaz bulunması halinde, kalan hükümler tam olarak yürürlükte kalmaya devam edecektir.
13.4 Değişiklikler
Bu VİS yalnızca her iki Tarafça da imzalanan yazılı bir belge ile değiştirilebilir. Ancak, Outfound, bu VİS'te resmi bir değişiklik gerektirmeksizin 5.4 Bölümü'ne uygun olarak Alt İşleyen listesini güncelleyebilir.
13.5 Sözleşmenin Tamamı
Bu VİS, Ana Sözleşme ve ekli tüm eklerle birlikte, Müşteri Kişisel Verilerinin İşlenmesiyle ilgili olarak Taraflar arasındaki sözleşmenin tamamını oluşturur.
13.6 Bildirimler
Bu VİS kapsamındaki tüm bildirimler, Müşteri'nin hesabında veya Ana Sözleşme'de belirtilen iletişim bilgilerine veya Outfound'a yapılacak bildirimler için privacy@outfound.ai adresine gönderilecektir.
İmzalar (İsteğe Bağlı)
Bu bölüm, Tarafların VİS'i ayrı bir imzalı sözleşme olarak düzenlemek istediklerinde kullanılmak içindir. Müşteri bu VİS'i Ana Sözleşme'yi kabul ederek (örneğin, Kullanım Koşulları'nı kabul ederek) kabul etmişse, ayrı bir imza gerekmez.
Müşteri (Veri Sorumlusu) için:
Ad: ____________________________
Unvan: ____________________________
Tarih: ____________________________
İmza: ____________________________
Outfound (Veri İşleyen) için:
Ad: ____________________________
Unvan: ____________________________
Tarih: ____________________________
İmza: ____________________________
Ek I - İşleme Detayları
1. İşlemenin Konusu ve Amacı
Outfound, Hizmetleri sağlamak için Müşteri Kişisel Verilerini İşler; bunlar şunları içerir:
Müşteri tarafından belirlenen hedef kriterlere dayalı B2B potansiyel müşteri oluşturma ve keşif
Şirket ve iletişim araştırması ve istihbarat toplama
E-posta adresi doğrulama ve teslim edilebilirlik kontrolü
Yapay zeka destekli e-posta kişiselleştirme ve içerik oluşturma
E-posta kampanyası yönetimi ve teslimi (etkinleştirildiğinde)
Kampanya performansı hakkında analiz ve raporlama
Hesap yönetimi, faturalama ve müşteri desteği
2. İşleme Süresi
İşleme, Ana Sözleşme'nin süresi boyunca ve bu VİS'in 10. Bölümü'nde belirtilen veri iade ve silme yükümlülüklerine uymak için gerekli olan ek süre boyunca devam edecektir.
3. İlgili Kişi Kategorileri
Müşteri Kişisel Verileri aşağıdaki İlgili Kişi kategorileriyle ilgili olabilir:
Kategori | Açıklama |
|---|---|
Müşteri Kullanıcıları | Hizmetlere erişen ve kullanan Müşteri'nin çalışanları, yüklenicileri ve yetkili temsilcileri |
B2B Kişileri (Potansiyel Müşteriler) | İletişim bilgileri Hizmetler aracılığıyla oluşturulan, zenginleştirilen veya yönetilen iş profesyonelleri |
4. Kişisel Veri Kategorileri
Kategori | Örnekler |
|---|---|
Hesap Verileri | Ad, e-posta adresi, telefon numarası (isteğe bağlı), iş unvanı, şirket adı, saat dilimi, dil tercihleri |
Kimlik Doğrulama Verileri | Kullanıcı tanımlayıcıları, giriş kimlik bilgileri (hashlenmiş), oturum belirteçleri, kimlik doğrulama günlükleri |
Faturalama Verileri | Fatura iletişim adı ve e-postası, fatura adresi, vergi kimlik numaraları (kredi kartı verileri Outfound tarafından saklanmaz) |
Potansiyel Müşteri/Kişi Verileri | İş iletişim bilgileri (ad, iş e-postası, iş unvanı, telefon), şirket bilgileri (ad, alan adı, sektör, büyüklük, konum), profesyonel sosyal medya URL'leri (LinkedIn, Twitter) |
Kullanım Verileri | Özellik kullanımı, erişilen sayfalar, zaman damgaları, IP adresleri, tarayıcı ve cihaz bilgileri |
İletişim Verileri | Platform aracılığıyla oluşturulan e-posta içeriği, kampanya meta verileri, teslim ve etkileşim metrikleri |
Yapay Zeka Girdi/Çıktı Verileri | Komutlar, hedefleme kriterleri, oluşturulan e-posta içeriği, kişiselleştirme parçacıkları |
5. Özel Nitelikli Kişisel Veriler
Yok. Outfound, özel nitelikli Kişisel Verileri (GDPR'nin 9. Maddesi'nde tanımlandığı şekilde) kasıtlı olarak İşlemez. Müşteri bu tür verileri Outfound'a sağlamayacaktır.
6. İşleme Sıklığı
İşleme, Ana Sözleşme'nin süresi boyunca, Müşteri Hizmetleri kullandıkça sürekli olarak gerçekleştirilir.
7. Saklama Süresi
Müşteri Kişisel Verileri, Ana Sözleşme'nin süresi boyunca saklanır ve yasal saklama gereksinimlerine tabi olarak bu VİS'in 10. Bölümü'ne uygun olarak silinir veya iade edilir.
Ek II - Teknik ve Organizasyonel Güvenlik Önlemleri
Outfound, Müşteri Kişisel Verilerini korumak için aşağıdaki teknik ve organizasyonel önlemleri uygular ve sürdürür:
1. Şifreleme
Önlem | Açıklama |
|---|---|
Aktarımda Şifreleme | Müşteriler ve Outfound sunucuları arasında iletilen tüm veriler TLS 1.2 veya üzeri kullanılarak şifrelenir |
Depolamada Şifreleme | Hassas Kişisel Veriler (e-posta adresleri, adlar, telefon numaraları dahil) güçlü şifreleme (örn. AES-256) kullanılarak depolamada şifrelenir |
Alan Düzeyinde Şifreleme | Yüksek riskli KKB alanları, yapılandırılabilir şifreleme düzeyleriyle ek alan düzeyinde şifrelemeye tabidir |
Veritabanı Şifreleme | Üretim veritabanları şifreli depolama kullanır |
2. Erişim Kontrolü
Önlem | Açıklama |
|---|---|
Kimlik Doğrulama | Kullanıcı kimlik doğrulaması, endüstri standardı kimlik doğrulama mekanizmaları ve güvenli oturum yönetimi kullanan üçüncü taraf bir kimlik sağlayıcısı tarafından yönetilir |
Çok Faktörlü Kimlik Doğrulama | Müşteri'nin yapılandırmasında etkinleştirildiğinde çok faktörlü kimlik doğrulama (örn. TOTP) desteği |
Rol Tabanlı Erişim Kontrolü (RBAC) | Kullanıcı rollerine (Sahip, Yönetici, Üye, İzleyici) dayalı ayrıntılı izinler |
Şifre Güvenliği | Güçlü şifre politikaları ve endüstri standardı hashleme, kimlik sağlayıcısı tarafından uygulanır |
En Az Ayrıcalık | Personelin Müşteri Kişisel Verilerine erişimi, rolleri için gerekli olanlarla sınırlıdır |
3. Çok Kiracılı Mimari ve Veri İzolasyonu
Önlem | Açıklama |
|---|---|
Kiracı İzolasyonu | Uygulama ve veritabanı düzeyinde uygulanan kiracı tanımlayıcıları kullanılarak Müşteri verilerinin katı mantıksal ayrımı |
Sorgu Filtreleme | Tüm veritabanı sorguları, çapraz kiracı veri erişimini önlemek için kiracı tanımlayıcısına göre otomatik olarak filtrelenir |
Kuruluş Sınırları | Her kiracı içinde kuruluş düzeyinde ek izolasyon |
4. Denetim Günlüğü ve İzleme
Önlem | Açıklama |
|---|---|
Kapsamlı Denetim Günlükleri | Tüm veri erişimleri, değişiklikler ve güvenlik olayları kullanıcı kimliği, zaman damgası, IP adresi ve işlem ayrıntılarıyla günlüğe kaydedilir |
Denetim Günlüğü Saklama | Denetim günlükleri uyumluluk amaçlarıyla iki (2) yıla kadar saklanır |
Güvenlik İzleme | Şüpheli aktivite, oran sınırı ihlalleri ve güvenlik olayları için gerçek zamanlı izleme |
Uyarılar | Kritik güvenlik olayları için otomatik uyarılar |
5. Altyapı Güvenliği
Önlem | Açıklama |
|---|---|
Ağ Segmentasyonu | Kısıtlı ağ erişimiyle uygulama, API ve veritabanı katmanlarının ayrılması |
Konteyner Güvenliği | Hizmetler, izole konteynerlerde root olmayan kullanıcılar olarak çalışır |
Gizli Yönetimi | Hassas kimlik bilgileri ortam değişkenleri ve gizli yönetimi kullanılarak güvenli bir şekilde saklanır |
Düzenli Güncellemeler | Sistemler düzenli olarak güncellenir ve yamalanır |
6. Veri Koruma
Önlem | Açıklama |
|---|---|
Hassas Veri Maskeleme | Hassas kişisel veriler günlüklerde maskeleme ile gizlenir (üretim ortamında katı mod) |
Girdi Doğrulama | Tüm kullanıcı girdileri enjeksiyon saldırılarını önlemek için doğrulanır |
Yumuşak Silmeler | Veri silme, kalıcı kaldırmadan önce denetim izlerini korumak için yumuşak silme mekanizmaları kullanır |
Yedekleme ve Kurtarma | Test edilmiş kurtarma prosedürleriyle düzenli otomatik yedeklemeler |
7. API Güvenliği
Önlem | Açıklama |
|---|---|
Oran Sınırlama | Kötüye kullanım ve hizmet reddi saldırılarını önlemek için kiracı başına oran sınırlama |
API Anahtarı Yönetimi | Güvenli API anahtarı oluşturma, doğrulama ve döndürme yetenekleri |
Güvenlik Başlıkları | Güvenlik başlıklarının (CORS, CSRF koruması) uygulanması |
8. Olay Müdahalesi
Önlem | Açıklama |
|---|---|
Olay Müdahale Planı | Güvenlik olaylarını tespit etme, yanıt verme ve bunlardan kurtulma için belgelenmiş prosedürler |
İhlal Bildirimi | Kişisel Veri İhlalinden haberdar olduktan sonra 72 saat içinde etkilenen müşterileri bilgilendirme prosedürleri |
Olay Sonrası İnceleme | Güvenlik olaylarını takiben kök neden analizi ve düzeltme |
9. Personel Güvenliği
Önlem | Açıklama |
|---|---|
Gizlilik Anlaşmaları | Müşteri Kişisel Verilerine erişimi olan tüm personel gizlilik yükümlülüklerine tabidir |
Güvenlik Eğitimi | Personel için düzenli güvenlik farkındalık eğitimi |
Erişim İncelemeleri | Personel erişim haklarının periyodik incelemeleri |
10. Tedarikçi Yönetimi
Önlem | Açıklama |
|---|---|
Alt İşleyen Durum Tespiti | Görevlendirmeden önce Alt İşleyen güvenlik uygulamalarının değerlendirilmesi |
Sözleşmesel Korumalar | Tüm Alt İşleyenlere veri koruma yükümlülükleri yüklenmesi |
Devam Eden İzleme | Alt İşleyen uyumluluğunun düzenli incelenmesi |
Ek III - Alt İşleyenler
Outfound, Hizmetleri sağlamak için aşağıdaki Alt İşleyen kategorilerini görevlendirir. Talep üzerine Müşterilere belirli Alt İşleyen adlarının güncel bir listesi sağlanabilir.
Kategori | İşleme Amacı | Tipik Konum |
|---|---|---|
Kimlik Doğrulama ve Kimlik | Kullanıcı kimlik doğrulaması, oturum yönetimi, tek oturum açma, kimlik doğrulama | AEA / ABD |
Ödeme İşleme | Ödemelerin işlenmesi, aboneliklerin yönetilmesi, dolandırıcılık önleme (Outfound kredi kartı verilerini saklamaz) | AEA |
Bulut Barındırma ve Altyapı | Uygulama ve veritabanlarının barındırılması, içerik dağıtımı, hesaplama kaynakları | AEA / ABD |
Analiz ve Hata İzleme | Uygulama performans izleme, hata izleme, hata ayıklama, kullanım analitiği | AEA / ABD |
E-posta Teslimi | Müşteriler adına işlemsel ve kampanya e-postalarının gönderilmesi, e-posta olay izleme | ABD |
Yapay Zeka ve Makine Öğrenimi Hizmetleri | Yapay zeka destekli içerik oluşturma, kişiselleştirme, metin analizi, potansiyel müşteri puanlama | ABD |
Veri Zenginleştirme ve Doğrulama | B2B iletişim ve şirket verisi zenginleştirme, e-posta adresi doğrulama, teslim edilebilirlik kontrolü | ABD |
Notlar
Belirli Tedarikçi Adları Yok: Bu Ek, belirli tedarikçi adları yerine Alt İşleyen kategorilerini listeler. Yasal adları ve konumları dahil olmak üzere mevcut Alt İşleyenlerin ayrıntılı bir listesi, privacy@outfound.ai adresine başvurularak talep üzerine edinilebilir.
Güncellemeler: Outfound, bu VİS'in 5.4 Bölümü'ne uygun olarak Alt İşleyenlerdeki değişiklikler hakkında Müşterileri bilgilendirecektir.
Uluslararası Aktarımlar: Alt İşleyenlerin AEA/BK dışında bulunduğu durumlarda, Outfound, bu VİS'in 6. Bölümü'ne uygun olarak uygun aktarım mekanizmalarının (Standart Sözleşme Maddeleri gibi) mevcut olmasını sağlar.
Müşteri Veri İşleme: Tüm Alt İşleyenler tüm Müşteri Kişisel Veri kategorilerini İşlemez. Kullanılan belirli Alt İşleyenler, Müşteri tarafından kullanılan Hizmet özelliklerine bağlıdır.
Veri İşleme Sözleşmesi Sonu