Son değiştirilme tarihi: 8 Ağustos 2023 | Önceki sürümler
Jibe ve bu ek sözleşmeyi kabul eden karşı taraf ("İş Ortağı"), İşleyen Hizmetleri'nin sağlanması için bir sözleşme imzaladı (zaman zaman tadil edildiği şekliyle "Sözleşme").
Bu Veri İşleme Eki ("Veri İşleme Eki" dahil) Jibe ve İş Ortağı tarafından imzalanmıştır ve Sözleşme'yi tamamlayıcı niteliktedir. Bu Veri İşleme Eki, Şartlar'ın Geçerlilik Tarihi'nden itibaren yürürlüğe girerek konu hakkında daha önce geçerli olan tüm şartları (İşleyen Hizmetleri'yle ilgili tüm veri işleme ve güvenlik şartları dahil) değiştirecektir.
Bu Veri İşleme Eki'ni İş Ortağı adına kabul ediyorsanız: (a) İş Ortağı'nı bu Veri İşleme Eki'ni kabul etmek için tam yasal yetkiye sahip olduğunuzu, (b) bu Veri İşleme Eki'ni okuyup anladığınızı ve (c) bu Veri İşleme Eki'ni iş ortağı adına kabul ettiğinizi garanti edersiniz. İş Ortağını bağlayıcı nitelikte yasal yetkiye sahip değilseniz lütfen bu Veri İşleme Eki'ni kabul etmeyin.
1. Giriş
Bu Veri İşleme Eki, Avrupa Veri Koruma Mevzuatı ve Avrupa Dışı Veri Koruma Mevzuatı ile bağlantılı olarak belirli verilerin işlenmesini ve güvenliğini düzenleyen şartlar hakkında taraflar arasındaki sözleşmeyi yansıtır.
2. Tanımlar ve Yorumlama
2.1 Bu Veri İşleme Eki'nde:
"Ek Ürün", Jai veya bir üçüncü tarafça sağlanan (a) İşleyen Hizmetleri'nin parçası olmayan ve (b) İşleyen Hizmetleri'nin kullanıcı arayüzünden erişilebilen veya İşleyen Hizmetleri'ne başka bir şekilde entegre edilmiş bir ürün, hizmet veya uygulama anlamına gelir.
"Avrupa Dışı Veri Koruma Mevzuatı İçin Ek Şartlar", Ek 3'te atıfta bulunulan ek şartlardır. Bu şartlar, Avrupa Dışı Veri Koruma Mevzuatı ile bağlantılı olarak belirli verilerin işlenmesini düzenleyen şartlar hakkında taraflar arasındaki sözleşmeyi yansıtır.
"Yeterli Ülke" şu anlamlara gelir:
(a) AB GDPR'si uyarınca işlenen veriler için: AEA veya AB GDPR'si uyarınca yeterli veri koruması sağladığı kabul edilen bir ülke veya bölge;
(b) Birleşik Krallık GDPR'si uyarınca işlenen veriler için: Birleşik Krallık veya Birleşik Krallık GDPR'si ve 2018 tarihli Veri Koruma Yasası uyarınca yeterli veri koruması sağladığı kabul edilen bir ülke ya da bölge ve/veya
(c) İsviçre FDPA'sı uyarınca işlenen veriler için: İsviçre veya (i) İsviçre Federal Veri Koruma ve Bilgi Müdürlüğü tarafından yayınlanan şekilde mevzuatı yeterli düzeyde koruma sağlayan ya da (ii) İsviçre Federal Konseyi'nde İsviçre Federal veri yasası kapsamındaki
"Alternatif Aktarım Çözümü", Avrupa Veri Koruma Mevzuatı uyarınca kişisel verilerin üçüncü bir ülkeye yasalara uygun şekilde aktarılmasını sağlayan bir çözümdür (ör. katılımcı yerel tüzel kişilerin yeterli koruma sunmalarını sağladığı kabul edilen bir veri koruma çerçevesi).
"Veri Olayı", Jibe tarafından yönetilen veya kontrol edilen sistemlerde İş Ortağı Kişisel Verileri'nin yanlışlıkla ya da yasa dışı şekilde yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz şekilde açıklanmasına veya verilere erişim sağlanmasına yol açan bir Jibe güvenliği ihlali anlamına gelir. "Veri Olayları", başarısız giriş denemeleri, ping'ler, bağlantı noktası taramaları, hizmet reddi saldırıları ve güvenlik duvarları veya ağ sistemlerine yapılan diğer ağ saldırıları dahil olmak üzere İş Ortağı Kişisel Verileri'nin güvenliğini ihlal etmeyen başarısız girişimleri veya etkinlikleri içermez.
"Veriyle İlişkili Kişi Aracı", bir Jibe Tüzel Kişiliği tarafından, veriyle ilişkili kişilerin Jibe'yi doğrudan ve İş Ortağı Kişisel Verileri ile ilgili olarak veriyle ilişkili kişilerden gelen belirli isteklere (ör. online reklamcılık ayarları veya kapsam dışında kalma tarayıcı eklentisi) yönelik standartlaştırılmış bir şekilde yanıtlamasını sağlayan bir araçtır (varsa).
"AEA", Avrupa Ekonomik Alanı'nı ifade eder.
"AB GDPR", kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımıyla ilişkili olarak gerçek kişilerin korunması hakkında ve 95/46/EC numaralı Direktifi geçersiz kılan Avrupa Parlamentosu ve Konseyi'nin 27 Nisan 2016 tarihli, 2016/679 (AB) numaralı Yönetmeliği anlamında kullanılmaktadır.
"Avrupa Veri Koruma Mevzuatı", (a) GDPR ve/veya (b) İsviçre FDPA'sını ifade eder (hangisi geçerliyse).
"Avrupa Yasaları", (a) AB veya AB Üyesi Ülke yasaları (AB GDPR'si İş Ortağı Kişisel Verileri'nin işlenmesi için geçerliyse) ve/veya (b) Birleşik Krallık'ın ya da Birleşik Krallık'ın bir kısmının (İş Ortağı Kişisel Verileri'nin işlenmesi için Birleşik Krallık GDPR'si geçerliyse) geçerli olduğu anlamına gelir.
"GDPR" (a) AB GDPR'si ve/veya (b) Birleşik Krallık GDPR'sini ifade eder (hangisi geçerliyse).
"Jibe", Sözleşme'ye taraf olan Jibe Tüzel Kişisi'ni ifade eder.
"Jibe Tüzel Kişiliği" Jibe Mobile, Inc., Jibe Mobile Limited veya doğrudan veya dolaylı olarak Jibe Mobile, Inc. tarafından kontrol edilen ya da ortak kontrol altında olan herhangi bir tüzel kişi anlamına gelir.
"ISO 27001 Sertifikası", İşleyen Hizmetleri için ISO/IEC 27001:2013 sertifikası veya benzer bir sertifika anlamına gelir.
"Yeni Alt İşleyen", Bölüm 11.1'de (Alt İşleyen Etkileşimi İzni) belirtilen anlama sahiptir.
"Avrupa Dışı Veri Koruma Mevzuatı"; AEA, İsviçre ve Birleşik Krallık dışında yürürlükte olan veri koruma veya gizlilik yasalarını belirtir.
"Bildirim E-posta Adresi", (i) İş Ortağı tarafından Jibe'ye sağlanan veya (ii) İş Ortağı'nın İşleyen Hizmetleri'nin kullanıcı arayüzü üzerinden İş Ortağı tarafından veya bu veri işleme Eki'yle ilgili belirli bildirimleri almak için Jibe'nin sağladığı diğer yöntemlerle tanımlanan e-posta adresidir. Açıkça belirtmek gerekirse Jibe'ye bir Bildirim E-posta Adresi sağlamak ve Jibe'yi Bildirim E-posta Adresi'ndeki güncellemeler konusunda bilgilendirmek İş Ortağı'nın sorumluluğundadır.
"İş Ortağı Kişisel Verileri", Jibe'nin İşleyen Hizmetleri'nin sağlanmasında Jibe tarafından İş Ortağı adına işlenen kişisel veriler anlamına gelir.
"İş Ortağı SCC'leri", geçerli olan SCC'ler (Denetleyici-İşleyici), SCC'ler (İşlemci-Denetleyici) ve/veya SCC'ler (İşlemci-İşlemci) anlamına gelir.
"İşleyen Hizmetleri", RCS Business Messaging hizmetleridir (developers.google.com/business-communications/rcs-business-messaging sayfasında açıklandığı şekilde).
"SCC'ler", geçerli olan İş Ortağı SCC'leri ve/veya SCC'leri (İşleyen-İşleyen, Jibe Dışa Aktarıcı) ifade eder.
"SCC'ler (Denetleyici-İşleyen)", business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa adresinde bulunan şartlardır.
"SCC'ler (İşleyen-Denetleyici)", business.safety.google/gdprprocessorterms/sccs/p2c adresinde bulunan şartlardır.
"SCC'ler (İşleyen-İşleyen)", business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa adresinde bulunan şartlardır.
"SCC'ler (İşleyen-İşleyen, Jibe Exporter)", business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group adresinde bulunan şartlardır.
"Güvenlik Belgeleri", ISO 27001 Sertifikası ve Jibe'nin İşleyen Hizmetleri ile bağlantılı olarak kullanıma sunabileceği diğer güvenlik sertifikaları veya belgeler anlamına gelir.
"Güvenlik Önlemleri", Bölüm 7.1.1'de (Jibe'in Güvenlik Önlemleri) belirtilen anlamı taşır.
"Alt İşleyenler" İşleyen Hizmetleri'nin bazı bölümlerini ve ilgili teknik desteği sağlamak amacıyla İş Ortağı Kişisel Verileri'ne mantıksal erişim sahibi olmak ve bu verileri işlemek üzere yetkilendirilen üçüncü tarafları ifade eder.
"Denetleme Yetkilisi", (a) AB GDPR'sinde tanımlandığı şekilde "denetleme yetkilisi" ve/veya (b) Birleşik Krallık GDPR'si ve/veya İsviçre FDPA'sında tanımlandığı şekilde "Komisyon"u ifade eder.
"İsviçre FDPA'sı", 19 Haziran 1992 tarihli Federal Veri Koruma Yasası'nı (İsviçre) ifade eder.
"Süre", Şartlar'ın Geçerlilik Tarihi'nden, Jale'nin Sözleşme uyarınca İşleyen Hizmetleri'ni sağlamasına kadar geçen süredir.
"Şartların Geçerlilik Tarihi" Sözleşmenin geçerlilik tarihini belirtir.
"Birleşik Krallık GDPR'si", 2018 yılında yapılan Birleşik Krallık Avrupa Birliği (Çekilme) Anlaşması çerçevesinde Birleşik Krallık yasasına eklenmiş ve bu yasayla birleştirilmiş AB GDPR'sini ve bu yasa kapsamında geçerli olan ikincil mevzuatı ifade eder.
2.2 Bu Veri İşleme Eki'nde kullanılan "denetleyici", "veriyle ilişkili kişi", "kişisel veriler", "işleme" ve "işleyen" terimleri GDPR'de belirtilen anlamları, "veri içe aktaran" ve "veri dışa aktaran" ise geçerli SCC'lerde belirtilen anlamları ifade eder.
2.3 "Dahil" ve "dahildir" ifadeleri, "dahil ancak bunlarla sınırlı olmamak üzere" anlamına gelir. Bu Veri İşleme Eki'ndeki örnekler yalnızca örnektir. Belirli bir kavramın tek örneği değildir.
2.4 Bir yasal çerçeve, kanun veya başka bir yasa çıkarma işlemine herhangi bir atıf yapılması, zaman zaman düzeltilen ya da yeniden düzenlenen bir referanstır.
2.5 Bu Veri İşleme Eki'nin çevrilmiş sürümlerinden biri İngilizce sürümle tutarsızsa İngilizce sürüm geçerli olacaktır.
3. Bu Veri İşleme Eki'nin süresi
Bu Veri İşleme Eki, Şartlar'ın Geçerlilik Tarihi'nde geçerlilik kazanacak ve Süresin geçerliliğinin sona ermesinden bağımsız olarak, Jibe bu Veri İşleme Eki'nde açıklandığı üzere tüm İş Ortağı Kişisel Verileri'ni sildiğinde otomatik olarak geçerliliğini koruyacaktır.
4. Bu Veri İşleme Eki'nin uygulanması
4.1 Avrupa Veri Koruma Mevzuatı'nın Geçerliliği. Bölüm 5 (Verilerin İşlenmesi) ile 12 (Jibe ile İletişim; İşleme Kayıtları) (dahil) yalnızca aşağıdaki durumlarda İş Ortağı Kişisel Verileri'nin işlenmesi için Avrupa Veri Koruma Mevzuatı ölçüsünde geçerlidir:
(a) İşlenme süreci, AEA ya da Birleşik Krallık'taki bir iş ortağı kuruluş faaliyetleri kapsamındadır ve/veya
(b) İş Ortağı Kişisel Verileri, AEA veya Birleşik Krallık'ta bulunan veriyle ilişkili kişilere ait kişisel verilerdir ve işlenme, onlara ürün veya hizmet sunulması ya da AEA veya Birleşik Krallık'taki davranışlarının izlenmesiyle ilgilidir.
4.2 İşleyen Hizmetleri'ne Uygulama. Bu Veri İşleme Eki, yalnızca tarafların bu Veri İşleme Eki'ni kabul ettiği İşleyen Hizmetleri için geçerlidir (örneğin: (a) İş Ortağı'nın bu Veri İşleme Eki'ni kabul etmek için tıkladığı İşleyen Hizmetleri veya (b) Sözleşme'nin referans olarak bu Veri İşleme Eki'ni içermesi durumunda, Sözleşme'nin konusu olan İşleyen Hizmetleri).
4.3 Avrupa Dışı Veri Koruma Mevzuatına Yönelik Ek Şartlar'ın Dahil edilmesi. Avrupa Dışı Veri Koruma Mevzuatına Yönelik Ek Şartlar bu Veri İşleme Eki'ni tamamlayıcı niteliktedir.
5. Veri İşleme
5.1 Roller ve Yasal Düzenlemelere Uygunluk; Yetkilendirme.
5.1.1 İşleyen ve Denetleyici Sorumlulukları. Taraflar aşağıdakileri onaylar ve kabul eder:
(a) Ek 1'de, İş Ortağı Kişisel Verileri'nin işlenmesinin konusu ve ayrıntıları açıklanmaktadır;
(b) Jibe, Avrupa Veri Koruma Mevzuatı uyarınca İş Ortağı Kişisel Verileri'ni işleyen;
(c) İş Ortağı, Avrupa Veri Koruma Mevzuatı uyarınca İş Ortağı Kişisel Verileri'nin bir denetleyicisi veya işleyenidir ve
(d) Taraflar, İş Ortağı Kişisel Verileri'nin işlenmesiyle ilgili olarak Avrupa Veri Koruma Mevzuatı kapsamında geçerli olan yükümlülüklerini yerine getirecektir.
5.1.2 İşleyen İş Ortakları. İş Ortağı bir işleyense:
(a) İş Ortağı, ilgili denetleyicinin (i) talimatları, (ii) İş Ortağı'nın Jibe'yi başka bir işleyen olarak ataması ve (iii) Jibe'nin Bölüm 11'de (Alt İşleyenler) açıklandığı şekilde Alt İşleyenlerle etkileşimini yetkilendirdiğini garanti eder.
(b) İş Ortağı, Bölüm 5.4 (Talimat Bildirimleri), 7.2.1 (Olay Bildirimi), 11.4 (Alt İşleyen Değişikliklerine İtiraz Etme Fırsatı) kapsamında veya herhangi bir SCC'ye atıfta bulunan Jibe tarafından sağlanan tüm bildirimleri derhal ilgili denetleyiciye yönlendirecektir ve
(c) İş Ortağı, Jibe tarafından Bölüm 7.4 (Güvenlik Sertifikası), 10.5 (Veri Merkezi Bilgileri) ve 11.2 (Alt İşleyenler Hakkında Bilgi) kapsamında sunulan tüm bilgileri ilgili denetleyiciye sunabilir.
5.2 İş Ortağının Talimatları. İş Ortağı, bu Veri İşleme Eki'ni girerek Jibe'ye İş Ortağı Kişisel Verileri'ni yalnızca geçerli yasaya uygun olarak işleme talimatı verir: (a) İşleyen Hizmetleri ve ilgili teknik destekleri sağlamak; (b) İş Ortağı'nın İşleyen Hizmetleri'ni kullanımı (daha sonra İşleyen Hizmetleri'nin ayarları ve diğer işlevleri dahil olmak üzere) üzerinden daha sonra belirtildiği şekilde; (c) İşbu Ek'te açıklanan şekilde belirtildiği gibi (işbu Ek'te açıklanan tüm talimatlarda belirtildiği gibi)
5.3 Jibe'in Talimatlara Uyması. Jibe, Avrupa Yasaları uyarınca yasak olmadığı sürece Talimatlara uyacaktır.
5.4 Talimat Bildirimleri. Cebe'nin görüşüne göre: (a) Avrupa Yasaları Jibe'nin bir Talimat'a uymasını yasaklaması durumunda; (b) bir Talimat'ın Avrupa Veri Koruma Mevzuatı'na uygun olmaması veya (c) Jibe'nin başka bir şekilde Avrupa Yasaları tarafından engellenmediği sürece, herhangi bir durumda bir Talimat'a uymaması halinde derhal İş Ortağı'nı bilgilendirecektir. İşbu Bölüm 5.4 (Talimat Bildirimleri) taraflardan herhangi birinin haklarını ve Sözleşme'nin başka yerlerindeki yükümlülüklerini azaltmaz.
5.5 Ek Ürünler. İş Ortağı, Ek Ürünler'i kullanırsa İşleyen Hizmetler'in, Ek Ürün'ün İşleyen Hizmetleri ile birlikte çalışması için gereken şekilde İş Ortağı Kişisel Verileri'ne erişmesine izin verebilir. Taraflar, Ek Ürün'ün, İş Ortağı Kişisel Verileri'ni nasıl işleyeceğiyle ilgili ayrı ayrı veri işleme şartlarına tabi olacaktır.
6. Veri Silme
6.1 Süre Boyunca Silme.
6.1.1 Silme İşlevi ile İşleyen Hizmetleri. Süre boyunca aşağıdaki durumlarda:
(a) İşleyen Hizmetleri'nin işlevselliği, İş Ortağı'nın İş Ortağı Kişisel Verileri'ni silme seçeneğini içerir;
(b) İş Ortağı, belirli İş Ortağı Kişisel Verilerini silmek için İşleyen Hizmetleri'ni kullanır ve
(c) Silinen İş Ortağı Kişisel Verileri, İş Ortağı tarafından kurtarılamaz (ör. "çöp kutusundan") ardından Avrupa Yasaları depolama alanı gerektirmediği sürece, Jibe bu İş Ortağı Kişisel Verilerini makul olan en kısa sürede sistemlerinden siler.
6.1.2 Silme İşlevi Olmayan İşlemeci Hizmetleri. Süre boyunca İşleyen Hizmetleri'nin işlevselliği, İş Ortağı'nın İş Ortağı Kişisel Verileri'ni silme seçeneğini içermiyorsa Jibe, bu silme işlemini kolaylaştırmak için İş Ortağı'nın makul tüm taleplerine uyacaktır. İşleyen Hizmetleri'nin özellikleri ve işlevleri göz önünde bulundurularak (Avrupa yasalarında depolama zorunlu tutulmadığı sürece) bu işlemin yapılması mümkün olacaktır. Jibe, bu Bölüm 6.1.2 (Silme İşlevi olmadan İşlemeci Hizmetleri) uyarınca veri silme işlemi için ücret alabilir (Jibe'nin makul maliyetlerine bağlı olarak). Cibe, bu tür veri silinmeden önce iş ortağına geçerli ücret ve hesaplamanın dayanağıyla ilgili daha ayrıntılı bilgi sağlayacaktır.
6.2 Süre Dolduğunda Silme. Süre sona erdiğinde İş Ortağı, Jibe'yi geçerli yasalara uygun şekilde tüm iş ortağı kişisel verilerini (mevcut kopyalar dahil) Jibe'nin sistemlerinden silmeye zorlar. Jibe, Avrupa Yasaları depolama alanı gerektirmediği sürece bu talimatı mümkün olan en kısa sürede yerine getirecektir.
7. Veri Güvenliği
7.1 Jibe'in Güvenlik Önlemleri ve Yardımı.
7.1.1 Jibe'in Güvenlik Önlemleri. Jibe, İş Ortağı Kişisel Verileri'ni Ek 2'de ("Güvenlik Önlemleri") açıklanan şekilde yanlışlıkla veya yasa dışı şekilde gerçekleştirilen imha, kayıp, değişiklik, yetkisiz açıklama veya erişim gibi eylemlere karşı korumak için teknik ve kurumsal önlemler alacaktır. Ek 2'de açıklandığı gibi Güvenlik Önlemleri şunları içerir: (a) kişisel verileri şifrelemek; (b) Jibe sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve dayanıklılığını sağlamaya yardımcı olmak; (c) bir olayın ardından kişisel verilere erişimi zamanında geri yüklemeye yardımcı olmak ve (d) düzenli etkinlik testi için. Jibe, bu tür güncelleme ve değişikliklerin İşleyen Hizmetleri'nin genel güvenliğinin azalmasına neden olmaması koşuluyla, zaman zaman Güvenlik Önlemlerini güncelleyebilir veya değiştirebilir.
7.1.2 Erişim ve Uygunluk. Jibe (a) çalışanlarının, yüklenicilerinin ve Alt İş Ortaklarının İş Ortağı Kişisel Verileri'ne, yalnızca Talimatlar'a uymaları için gerekli olduğu şekilde yetki verecektir; (b) çalışanlarının, yüklenicilerinin ve Alt İşleyen'lerinin kendi performans kapsamları için geçerli olduğu ölçüde Güvenlik Önlemlerine uymalarını sağlayacak uygun adımları atacaklar ve (c) tüm kişilerin, Kişisel Veriler'i kendi işlerinde bulundurmaya yetkili oldukları tüm kişiler için izin vermelerini sağlayacaktır.
7.1.3 Jibe'in Güvenlik Yardımı. Jibe, İş Ortağı Kişisel Verileri'nin işlenmesinin doğasını ve Jibe'ye sunulan bilgileri göz önünde bulundurarak, İş Ortağı'nın (veya İş Ortağı'nın bir işleyen olduğu durumlarda ilgili denetleyicinin), GDPR'nin 32. ila 34. Maddeleri kapsamındaki
(a) Güvenlik Önlemlerinin Bölüm 7.1.1 (Jibe'in Güvenlik Önlemleri) uyarınca uygulanması ve korunması;
(b) Bölüm 7.2 (Veri Olayları) şartlarına uyma ve
(c) İş Ortağı'na, Bölüm 7.5.1'e (Güvenlik Belgelerinin İncelemeleri) uygun şekilde ve bu Veri İşleme Eki'nde yer alan bilgiler ile birlikte Güvenlik Dokümanları sağlanması.
7.2 Veri Olayları.
7.2.1 Olay Bildirimi. Jibe bir Veri Olayını tespit ederse (a) Veri Olayı'nı derhal ve fazla gecikmeden İş Ortağı'na bildirir ve (b) zararı en aza indirmek ve İş Ortağı Kişisel Verileri'nin güvenliğini sağlamak için makul adımları derhal atacaktır.
7.2.2 Veri Olayının Ayrıntıları. Bölüm 7.2.1'de (Olay Bildirimi) yapılan bildirimlerde şunlar açıklanmıştır: Etkilenen İş Ortağı kaynakları dahil olmak üzere Veri Olayı'nın niteliği; Jibe'nin Veri Olayı'nı ele almak ve potansiyel riskini azaltmak için alınan veya alması planlanan önlemler; varsa Jibe'nin, İş Ortağı'nın Veri Olayı'nı ele almasını önerdiği önlemleri ve daha fazla bilgi elde edilebilecek iletişim noktasının ayrıntılarını açıklar. Bu tür bilgilerin aynı anda sağlanması mümkün değilse Jibe'nin ilk bildirimi, mevcut bilgileri içerir ve kullanılabilir hale geldikçe daha fazla gecikmeden daha fazla bilgi sağlanır.
7.2.3 Bildirimin Yayınlanması. Jibe, herhangi bir Veri Olayıyla ilgili bildirimi, Bildirim E-posta Adresi'ne veya Jibe'nin takdirine bağlı olarak (İş Ortağı'nın Bildirim E-posta Adresi paylaşmaması dahil olmak üzere), diğer doğrudan iletişimlerle (ör. telefon görüşmesi veya yüz yüze toplantı yoluyla) teslim edecektir. Bildirim E-posta Adresi'nin sağlanmasından ve Bildirim E-posta Adresi'nin güncel ve geçerli olduğundan emin olmak yalnızca iş ortağının sorumluluğundadır.
7.2.4 Üçüncü Taraf Bildirimleri. İş Ortağı, İş Ortağı için geçerli olan olay bildirimi yasalarına uymak ve herhangi bir Veri Olayı ile ilgili üçüncü taraf bildirim yükümlülüklerini yerine getirmekten yalnızca sorumludur.
7.2.5 Jibe'nin Arıza Kabul Etmemesi. Jibe'nin işbu Bölüm 7.2 (Veri Olayları) kapsamında bir Veri Olayı ile ilgili bildirimi veya yanıt vermesi, Jibe'nin Veri Olayı ile ilgili herhangi bir hata veya yükümlülükle ilgili onayları olarak yorumlanmayacaktır.
7.3 İş Ortağının Güvenlik Sorumlulukları ve Değerlendirme.
7.3.1 İş Ortağının Güvenlik Sorumlulukları. İş Ortağı, Jibe'nin Bölüm 7.1 (Jibe'in Güvenlik Önlemleri ve Yardım) ve 7.2 (Veri Olayları) kapsamındaki yükümlülüklerini etkilemeksizin aşağıdakileri kabul eder:
(a) İş Ortağı, aşağıdakiler dahil olmak üzere İşleyen Hizmetleri'ni kullanımından sorumludur:
(i) İş Ortağı Kişisel Verileri'nin riskine uygun güvenlik düzeyini sağlamak için İşleyen Hizmetleri'nden uygun şekilde yararlanma ve
(ii) İş Ortağı'nın İşleyen Hizmetleri'ne erişmek için kullandığı hesap kimlik doğrulama bilgilerini, sistemleri ve cihazları güvenli hale getirme ve
(b) Jibe'nin, İş Ortağı'nın Jibe'nin ve Alt İşleyen'lerin sistemlerinin dışında depolamak veya aktarmak üzere seçtiği İş Ortağı Kişisel Verileri'ni koruma yükümlülüğü yoktur.
7.3.2 İş Ortağının Güvenlik Değerlendirmesi. İş Ortağı, Bölüm 7.1.1'de (Jibe'in Güvenlik Önlemleri) açıklandığı şekilde, Jibe tarafından uygulanan ve sürdürülen Güvenlik Önlemleri'nin, İş Ortağı Kişisel Verileri'nin işlenme amacı, kapsamı, bağlamı ve amaçları, en son durumu, uygulama maliyetleri ve bireyler açısından riskleri dikkate alınarak İş Ortağı Kişisel Verileri'nin riskine uygun bir güvenlik düzeyi sağladığını onaylar.
7.4 Güvenlik Sertifikası. Güvenlik Önlemleri'ni değerlendirip güvenlik önlemlerinin geçerliliğini sürdürmeye yardımcı olması için Jibe, ISO 27001 Sertifikası'nı veya Güvenlik Önlemleri'nin ne kadar etkili olduğunu gösteren diğer uygun önlemleri alacaktır.
7.5 Uygunluk İncelemeleri ve Denetimleri.
7.5.1 Güvenlik Belgelerinin İncelemeleri. Jibe, bu Veri İşleme Eki kapsamındaki yükümlülüklerini yerine getirdiğini kanıtlamak amacıyla Güvenlik Belgelerini İş Ortağı tarafından incelenebilir.
7.5.2 İş Ortağı'nın Denetim Hakları.
(a) Jibe, İş Ortağı'nın veya İş Ortağı tarafından görevlendirilen bir üçüncü taraf denetçinin Jibe'nin Bölüm 7.5.3'e (Denetlemeler İçin Ek İşletme Şartları) uygun olarak bu Veri İşleme Eki kapsamındaki yükümlülüklerini yerine getirip getirmediğini doğrulamasını sağlayacaktır. Jibe, denetimlerin yürütülmesinde, Bölüm 7.4'te (Güvenlik Sertifikası) ve bu Bölüm 7.5'te (Uygunluk İncelemeleri ve Denetimleri) açıklandığı şekilde bu tür bir uygunluğu göstermek için gerekli tüm bilgileri kullanıma sunacaktır.
(b) SCC'ler Bölüm 10.2 (Kısıtlı Avrupa Aktarımları) kapsamında geçerliyse Jibe, İş Ortağı'nın (veya İş Ortağı tarafından atanan bir üçüncü taraf denetçinin) geçerli SCC'lerde açıklandığı şekilde denetim gerçekleştirmesine ve bu denetimler sırasında her birinin Bölüm 7.5.3'e (Denetlemeler İçin Ek İşletme Şartları) uygun olarak gerekli tüm bilgileri sunmasını sağlayacaktır.
(c) İş Ortağı, Jibe'ye üçüncü taraf denetleyiciler tarafından (örneğin, ISO 27001 Sertifikası) verilen sertifikaları inceleyerek bu Veri İşleme Eki kapsamındaki yükümlülüklere uygun olup olmadığını doğrulamak için de denetim yapabilir.
7.5.3 Denetimler İçin Ek İşletme Şartları.
(a) İş Ortağı, Bölüm 12.1'de(Jibe ile iletişime geçme) açıklandığı şekilde Bölüm 7.5.2(a) veya 7.5.2 (b) kapsamındaki denetim taleplerini Jibe'ye gönderecektir.
(b) Jibe ve İş Ortağı, Bölüm 7.5.3(a) kapsamındaki bir talebi aldıktan sonra Jibe ve İş Ortağı, Bölüm 7.5.2(a) veya 7.5.2(b) kapsamındaki her türlü denetimle ilgili makul başlangıç tarihi, kapsam, süre ve geçerli güvenlik ve gizlilik kontrolleri konularını önceden görüşecek ve kararlaştıracaktır.
(c) Jibe, Bölüm 7.5.2 (a) veya 7.5.2(b) kapsamında yapılan her denetim için bir ücret(Jibe'in makul maliyetlerine dayalı olarak) alabilir. Jibe bu tür bir denetim yapılmadan önce, İş Ortağı'na geçerli tüm ücretlerle ilgili daha fazla bilgi ve hesaplamanın dayanağını sunacaktır. Bu tür denetimleri yürütmek için İş Ortağı tarafından atanan tüm üçüncü taraf denetçiler tarafından alınan ücretlerden İş Ortağı sorumludur.
(d) Jibe'nin makul görüşüne göre Cebe'nin makul niteliklere sahip veya bağımsız olmaması, Cebe'nin rakibi olması ya da başka bir şekilde uygun olmaması halinde Jibe, İş Ortağı tarafından Bölüm 7.5.2(a) veya 7.5.2(b) kapsamında herhangi bir denetim yapılması amacıyla görevlendirilen üçüncü taraf bir teftişçiye itiraz edebilir. Jibe'nin bu tür itirazları olması durumunda İş Ortağı başka bir denetçi görevlendirir veya denetimi gerçekleştirir.
(e) Bu Veri İşleme Eki'ndeki hiçbir şey Jibe'nin İş Ortağı'na veya üçüncü taraf denetleyicisine bildirimde bulunmasını ya da İş Ortağı'nın veya üçüncü taraf denetleyicisinin bunlara erişmesine izin vermesini gerektirmez:
(i) Bir Jibe Tüzel Kişiliği'nin başka bir iş ortağı veya müşterisine ait herhangi bir veri;
(ii) Herhangi bir Jibe Tüzel Kişiliği'ne ait muhasebe veya finansal bilgiler;
(iii) Bir Jibe Tüzel Kişiliği'ne ait herhangi bir ticari sır;
(iv) Jibe'nin makul görüşüne göre: (A) herhangi bir Jibe Tüzel Kişiliği'nin sistemlerinin veya tesislerinin güvenliğini tehlikeye atabilecek veya (B) herhangi bir Jibe Tüzel Kişisi'nin Avrupa Veri Koruma Mevzuatı kapsamındaki yükümlülüklerini veya İş Ortağı'na ya da herhangi bir üçüncü tarafa karşı güvenlik ve/veya gizlilik yükümlülüklerini ihlal etmesine neden olabilecek bilgiler veya
(v) İş Ortağı'nın veya üçüncü taraf denetleyicisinin Avrupa Veri Koruma Mevzuatı kapsamındaki yükümlülüklerini iyi niyetli olarak yerine getirmesi dışında bir gerekçeyle erişmek istediği bilgiler.
8. Etki Değerlendirmeleri ve Danışmanlık
Jibe, işlemenin niteliğini ve Jibe'ye sunulan bilgileri göz önünde bulundurarak, iş ortağının veya GDPR'nin 35. ve 36. Maddeleri kapsamındaki ilgili denetleyicilerin yükümlülükleri (varsa) dahil olmak üzere İş Ortağı'nın (veya İş Ortağı'nın, ilgili denetleyicinin) veri koruma etkisi değerlendirmeleri ve önceden danışmanlık ile ilgili yükümlülüklerini yerine getirmesine yardımcı olur.
(a) Güvenlik Dokümanlarını Bölüm 7.5.1 uyarınca sağlama (Güvenlik Belgelerinin İncelemeleri);
(b) Bu Veri İşleme Eki'ndeki bilgileri sağlama ve
(c) Jibe'nin standart uygulamalarına uygun olarak, İşleyen Hizmetleri'nin niteliği ve İş Ortağı Kişisel Verileri'nin işlenmesi (ör. yardım merkezi malzemeleri) ile ilgili diğer malzemeleri sağlama veya başka şekillerde kullanıma sunma.
9. Veriyle İlişkili Kişilerin Hakları
9.1 Veriyle İlişkili Kişi İsteklerine Cevaplar. Jibe, İş Ortağı Kişisel Verileri ile ilgili olarak bir veriden istek alırsa İş Ortağı, Jibe'yi yetkilendirir ve Jibe İş Ortağı'na şunları yapacağını bildirir:
(a) Veriyle İlişkili Kişi'nin standart işlevine (talep bir Veriyle İlişkili Kişi Aracı aracılığıyla yapıldıysa) uygun şekilde doğrudan yanıt vermelidir veya
(b) Verilerin, İş Ortağı'na isteklerini göndermeleri için tavsiyede bulunur ve İş Ortağı, bu tür taleplere yanıt vermekten sorumlu olur (talep bir Veriyle İlişkili Kişi Aracı'ndan yapılmadıysa).
9.2 Jibe'nin Veriyle İlişkili Kişiye İlişkin Talep Yardımı. Jibe, İş Ortağı'nın (veya İş Ortağı'nın işleyen olduğu durumlarda ilgili denetleyicinin), GDPR kapsamındaki yükümlülüklerini yerine getirmesine yardımcı olarak, veriyle ilişkili kişinin haklarının kullanılmasına yönelik taleplerin işlenmesinde, her durumda İş Ortağı Kişisel Verileri'nin ve (geçerliyse) GDPR'nin 11. Maddesi'ni göz önünde bulundurarak kullanılmasına yardımcı olacaktır:
(a) İşleyen Hizmetleri'nin işlevselliğini sağlama;
(b) Bölüm 9.1'deki (Veriyle İlişkili Kişi İsteklerine Yanıtlar) taahhütleri yerine getirme ve
(c) İşleyen Hizmetleri için geçerliyse, Veriyle İlişkili Kişi Araçları'nın kullanıma sunulması.
9.3 Düzeltme. İş Ortağı, herhangi bir İş Ortağı Kişisel Verileri'nin yanlış veya eski olduğunu fark ederse İşleyen Hizmetleri'nin işlevlerini kullanarak (mümkün olduğunda) Avrupa Veri Koruma Mevzuatı'nın gerektirdiği durumlarda bu verileri düzeltmekten veya silmekten sorumludur.
10. Veri Aktarımları
10.1 Veri Depolama ve İşleme Tesisleri. İşbu Bölüm 10'un geri kalanına (Veri Aktarımları) tabi olan Jibe, Jibe'nin veya Alt İşleyen'lerinin tesislerinin bulunduğu herhangi bir ülkede İş Ortağı Kişisel Verileri'ni işleyebilir.
10.2 Kısıtlı Avrupa Aktarımları. Taraflar, Avrupa Veri Koruma Mevzuatı'nın, İş Ortağı Kişisel Verileri'ni bir Yeterli Ülke'de işlemek veya Yeterli Ülkeye aktarmak için SCC'ler veya Alternatif Aktarım Çözümü'ne ihtiyaç duymadığını kabul eder.
İş Ortağı Kişisel Verileri başka bir ülkeye aktarılırsa ve bu veri aktarımları için Avrupa Veri Koruma Mevzuatı geçerliyse ("Kısıtlanmış Avrupa Aktarımı"):
(a) Jibe, herhangi bir Kısıtlanmış Avrupa Aktarımları için Alternatif Aktarım Çözümü benimserse Jibe, ilgili çözüm hakkında İş Ortağını bilgilendirir ve bu Kısıtlı Avrupa Aktarımlarının söz konusu çözüme uygun olarak yapıldığından emin olur.
(b) Jibe, Jibe'nin artık herhangi bir Kısıtlı Avrupa Aktarımı için Alternatif Aktarım Çözümü benimsemediğini bildirdiyse veya İş Ortağı'nı bilgilendirdiyse:
(i) Jibe'in adresi Yeterli Ülke'deyse:
(A) SCC'ler (İşleyen-İşleyen, Jibe Dışa Aktarıcı), Jibe'den Alt İşleyen'lere yapılan bu tür Kısıtlı Avrupa Aktarımları için geçerli olacaktır ve
(B) Buna ek olarak, İş Ortağı'nın adresi Yeterli Ülke'de değilse SCC'ler (İşleyici-Denetleyici), Kısıtlı Avrupa'da Jibe ile İş Ortağı arasında yapılan Kısıtlı Aktarımlar için geçerli olacaktır (İş Ortağı'nın denetleyici ve/veya işleyen olup olmadığına bakılmadan);
(ii) Jibe'in adresi Yeterli Ülke'de değilse:
SCC'ler (Denetleyici-İşlemci) ve/veya SCC'ler (İş Ortağı'ndan İşleyen'e) İş Ortağı ve Jibe arasındaki bu tür Kısıtlı Avrupa Aktarımları uyarınca geçerli olacaktır (İş Ortağı'nın denetleyici ve/veya işleyen olup olmadığına göre).
(c) SCC'lerden herhangi birinde Google LLC veya Google'a yapılan referanslar ve Jibe ve Partner'a sırasıyla atıfta bulunulur.
10.3 Ek Önlemler ve Bilgiler. Jibe, İş Ortağı'na İş Ortağı Kişisel Verileri'ni korumaya yönelik tamamlayıcı önlemler dahil olmak üzere, Bölüm 7.5.1'de (Güvenlik Belgelerinin İncelemeleri), Ek 2'de (Güvenlik Önlemleri) açıklandığı şekilde ve İşleyen Hizmetleri'nin niteliği ve İş Ortağı Kişisel Verileri'nin işlenmesi (örneğin, yardım merkezi makaleleri) gibi diğer materyallerle ilgili bilgiler sağlayacaktır.
10.4 Fesih. İş Ortağı, İşleyen Hizmetleri'nin mevcut veya amaçlanan kullanımına bağlı olarak, Alternatif Aktarım Çözümü'nün ve/veya SCC'lerin uygun olduğu durumlarda İş Ortağı Kişisel Verileri için uygun teminatlar sağlamadığı sonucuna varırsa İş Ortağı, kolaylık olması için Jibe'yi yazılı olarak bilgilendirerek Sözleşme'yi derhal feshedebilir.
10.5 Veri Merkezi Bilgileri. Google LLC veri merkezlerinin konumları hakkında daha fazla bilgiyi www.google.com/about/datacenters/locations/index.html adresinde bulabilirsiniz.
11. Alt İşleyenler
11.1 Alt İşleyen Etkileşimine İzin Verme. İş Ortağı, Şartlar'ın Geçerlilik Tarihi itibarıyla Bölüm 11.2'de (Alt İşleyenler hakkında bilgi) listelenen Alt İşleyen'lerin katılımını yetkilendirir. Buna ek olarak, İş Ortağı genellikle Bölüm 11.4'e (Alt İşleyici Değişikliklerine itiraz etme fırsatı) tabi olmak üzere diğer üçüncü tarafların Alt İşleyen olarak katılımına ("Yeni Alt İşleyenler) izin verir.
11.2 Alt İşleyenler Hakkında Bilgi. İş Ortağı'nın yazılı isteği üzerine Cebe, Alt İşleyen'ler ve konumları hakkında bilgi sağlayacaktır. Bu tür istekler, Jibe'ya Bölüm 12.1'de (Jibe ile iletişime geçilme) belirtilen iletişim bilgileri kullanılarak gönderilmelidir.
11.3 Alt İşleyen Etkileşimi Koşulları. Herhangi bir Alt İşleyen ile etkileşimde bulunurken Jibe:
(a) Şunları sağlayan bir yazılı sözleşme aracılığıyla:
(i) Alt İşleyen, yalnızca Kişiselleştirilmiş Sözleşme'ye tabi olan yükümlülüklerini yerine getirmek için gereken ölçüde, İş Ortağı Kişisel Verileri'ne erişip bunları kullanır ve bu Sözleşme'ye (Bu Veri İşleme Eki dahil) uygun olarak kullanır.
(ii) İş Ortağı Kişisel Verileri'nin işlenmesi Avrupa Veri Koruma Mevzuatı'na tabiyse bu Veri İşleme Eki'ndeki veri koruma yükümlülükleri (varsa GDPR'nin 28(3) numaralı maddesinde belirtildiği üzere) Alt İşleyen'e uygulanır ve
(b) Alt İşleyen'e karşı taahhüt edilen tüm yükümlülükler ve eylemlerden ve ihmallerden tam olarak sorumlu olmaya devam edecektir.
11.4 Alt İşleyen Değişikliklerine İtiraz Etme Fırsatı.
(a) Süre zarfında herhangi bir Yeni Alt İşleyen ile etkileşimde bulunursa Yeni Alt İşleyen'in herhangi bir İş Ortağı Kişisel Verileri'ni işlemesinden en az 30 gün önce Jibe, Bildirim E-posta Adresi'ne bir e-posta göndererek etkileşim hakkında (ilgili alt işleyicinin adı, konumu ve gerçekleştireceği etkinlikler dahil) İş Ortağı'nı bilgilendirir.
(b) İş Ortağı, Yeni Alt İşleyen'in Bölüm 11.4(a)'da açıklandığı üzere 90 gün içinde bildirimde bulunması koşuluyla, Sözleşme'yi Jibe'ye yazılı bildirimde bulunarak derhal feshederek herhangi bir Yeni Alt İşleyen'e itiraz edebilir.
12. Jibe ile iletişime geçme; Kayıtları işleme
12.1 Cibe ile İletişim. İş Ortağı, bu Veri İşleme Eki kapsamındaki haklarını kullanırken Jibe'nin RCS veri koruma iletişim kişisi aracılığıyla issuetracker.google.com adresinden veya Jibe tarafından sağlanabilecek diğer yöntemlerle iletişime geçilebilir.
12.2 Jibe'in İşleme Kayıtları. Jibe, GDPR'nin gerektirdiği şekilde işleme etkinlikleriyle ilgili gerekli dokümanları saklar. İş Ortağı, GDPR uyarınca şunları yapmalıdır: Buna göre, istenen ve geçerli olduğu durumlarda İş Ortağı, İşleyen Hizmetlerinin kullanıcı arayüzü aracılığıyla veya Jibe tarafından sağlanabilecek diğer yöntemlerle bu bilgileri Jibe'ye sunacak ve işbu kullanıcı arayüzünü ya da sağlanan tüm bilgilerin doğru ve güncel olduğundan emin olmak için başka yöntemler kullanacaktır.
12.3 Denetleyici İstekleri. Jibe, bir üçüncü taraftan İş Ortağı Kişisel Verileri'nin denetleyicisi olduğunu iddia eden bir talep veya talimat alırsa üçüncü tarafa İş Ortağı ile iletişime geçmesini önerir.
13. Sorumluluk
Sözleşme:
a
(b) Amerika Birleşik Devletleri eyaletlerinden biri dışındaki yargı alanlarının kanunlarına tabi ise tarafların ve satış ortaklarının bu Veri İşleme Eki kapsamında veya bununla bağlantılı olarak toplam sorumluluğu Sözleşme'ye tabi olacaktır.
14. Bu Veri İşleme Eki'nin etkileri
14.1 Öncelik Sırası. SCC'ler, Avrupa Dışı Veri Koruma Mevzuatına Yönelik Ek Şartlar, bu Veri İşleme Eki ve Sözleşme'nin geri kalanı arasında bir uyuşmazlık veya tutarsızlık olması halinde aşağıdaki öncelik sırası geçerli olacaktır:
(a) SCC'ler;
(b) Avrupa Dışı Veri Koruma Mevzuatına Yönelik Ek Şartlar;
(c) Bu Veri İşleme Eki'nin kalan kısmı ve
(d) Sözleşmenin geri kalan kısmı.
Bu Veri İşleme Eki'ndeki değişikliklere tabi olarak Sözleşme geçerli olmaya devam edecektir.
14.2 SCC'lerde Değişiklik Yapmama. Sözleşme'deki hiçbir madde (bu Veri İşleme Eki dahil), Avrupa Veri Koruma Mevzuatı kapsamında herhangi bir SCC'yi değiştirme veya bunlarla çelişme ya da veriyle ilişkili kişilerin temel haklarını veya özgürlüklerini azaltma amacı taşımaz.
14.3 Denetleyici Şartları'na Etki Olmaması. Bu Veri İşleme Eki, İşleyen Hizmetleri dışındaki hizmetler için denetleyici-denetleyici ilişkisini yansıtan Jibe ve İş Ortağı arasındaki ayrı hükümleri etkilemeyecektir.
14.4 Eski Birleşik Krallık SCC'leri. 21 Eylül 2022 itibarıyla veya Sözleşme'nin geçerlilik tarihinden itibaren, SCC'lerin Birleşik Krallık GDPR aktarımı için ek şartları geçerli olacak ve Birleşik Krallık GDPR ile 2018 Veri Koruma Yasası kapsamında onaylanan ve daha önce İş Ortağı ve Jibe tarafından kabul edilen tüm standart sözleşme maddelerinin ("Eski Birleşik Krallık SCC'leri") yerini alacaktır. Bu Bölüm 14.4 (Eski Birleşik Krallık SCC'leri) tarafların, eski İngiliz SCC'leri yürürlükteyken sahip oldukları hakları veya herhangi bir veri hakkı hakkını etkilemez.
15. Bu Veri İşleme Eki'ndeki değişiklikler
15.1 URL'lerde yapılan değişiklikler. Jibe, zaman zaman bu Veri İşleme Eki'nde atıfta bulunulan herhangi bir URL'de ve bu tür bir URL'de bulunan herhangi bir içerikte değişiklik yapabilir.Bununla birlikte, Jibe'nin, SCC'leri yalnızca Bölüm 15.2(b) - 15.2(d)'ye uygun şekilde değiştirebilmesi veya (Veri İşlenmesine İlişkin Ek'te işbu Şartlar'ın her maddesi kapsamında Avrupa Birliği'nin işbu Şartlar'ı kabul ettiği tüm yeni Şartlar'ı dahil etmesi koşuluyla)
15.2 Veri İşleme Eki'ndeki değişiklikler. Cenk, aşağıdaki durumlarda bu Veri İşleme Eki'ni değiştirebilir:
(a) Bölüm 15.1'de (URL'lerde yapılan değişiklikler) açıklandığı gibi, bu Veri İşleme Eki'nde açıkça izin verilmesi;
(b) Bir tüzel kişinin adında veya biçiminde yapılan bir değişikliği yansıtma;
(c) Geçerli kanuna, yönetmeliklere, mahkeme kararına veya resmi bir düzenleyici makam ya da kurum tarafından yayınlanan bir talimata uyulması için gerekli olması veya Cebel'in bir Alternatif Aktarım Çözümü'nü benimsemesini yansıtması ya da
(d) İşleyen Hizmetlerin genel güvenliğinin azalmasına neden olmaması, (ii)
15.3 Değişiklik Bildirimi. Jibe, bu Veri İşleme Eki'ni Bölüm 15.2(c) veya (d) uyarınca değiştirmek isterse Jibe, değişiklik yapan bir E-posta göndererek veya İş Ortağı'nın herhangi bir değişikliğe itirazı varsa İş Ortağı, kolaylık sağlanması için Jibe tarafından 90 gün içinde yazılı olarak bildirimde bulunarak Sözleşme'yi feshedebilir.
Ek 1: Konuyu ve Veri İşleme Ayrıntıları
Konu
Jibe'nin İşleyen Hizmetleri'ni sağlaması ve İş Ortağı'na herhangi bir teknik destek sunması.
İşleme Süresi
Süre ve Süre'nin sona ermesinden itibaren tüm İş Ortağı Kişisel Verileri'nin Jibe tarafından bu Veri İşleme Eki'ne uygun şekilde silinmesine kadar olan süre.
Doğa ve İşlemenin Amacı
Jibe, İşleyen Hizmetleri'ni ve bu Veri Ekleme'ye uygun olarak İş Ortağı'na herhangi bir alakalı teknik destek sağlamak amacıyla İş Ortağı Kişisel Verileri'ni toplamak, kaydetmek, organize etmek, yapılandırmak, depolamak, değiştirmek, almak, kullanmak, paylaşmak, birleştirmek, silmek ve imha etmek için (İşleyen Hizmetleri'nin niteliği ve Talimatlar'a uygun şekilde) iş ortağı kişisel verilerini işler.
Kişisel Veri Türleri
İşleme Hizmetleri aracılığıyla, İş Ortağı tarafından veya İş Ortağı son kullanıcıları tarafından Jibe'ye sağlanan bireylerle ilgili kişisel veriler.
Veriyle İlişkili Kişi Kategorileri
Veriyle ilişkili kişi, Jibe'ye Veri İşleyen Hizmetleri üzerinden veya İş Ortağı tarafından (veya talimatıyla) veri sağlanan kişileri içerir.
Ek 2: Güvenlik Önlemleri
Şartlar'ın Geçerlilik Tarihi'nden itibaren Jibe, bu Ek 2'de yer alan Güvenlik Önlemlerini uygulayacak ve sürdürecektir. Jibe, bu tür güncelleme ve değişikliklerin İşleyen Hizmetleri'nin genel güvenliğinin azalmasına neden olmaması koşuluyla, zaman zaman bu tür Güvenlik Önlemlerini güncelleyebilir veya değiştirebilir.
1. Veri Merkezi ve Ağ Güvenliği
(a) Veri Merkezleri.
Altyapı. Jibe, coğrafi olarak farklı konumlara dağılmış veri merkezlerine sahiptir. Jibe tüm üretim verilerini fiziksel olarak güvenli veri merkezlerinde depolar.
Yedeklilik. Altyapı sistemleri, tek hata noktasını ortadan kaldırmak ve beklenen çevresel risklerin etkisini en aza indirmek üzere tasarlanmıştır. Çift devreler, anahtarlar, ağlar veya diğer gerekli cihazlar bu yedekliliğin sağlanmasına yardımcı olur. İşleyen Hizmetleri, Jibe'nin belirli türdeki önleyici ve düzeltici bakım işlemlerini kesintisiz bir şekilde gerçekleştirmesini sağlayacak şekilde tasarlanmıştır. Tüm çevre ekipmanları ve tesisleri, üreticinin veya şirket içi spesifikasyonlar uyarınca performans sürecinin ve sıklığının ayrıntılı olarak verildiği önleyici bakım prosedürlerini belgelemiştir. Veri merkezi ekipmanlarının önleyici ve düzeltici bakımı, belgelenen prosedürlere göre standart bir süreç aracılığıyla planlanır.
Güç. Veri merkezi elektrik güç sistemleri, haftanın 7 günü 24 saat kesintisiz işlemlere etki etmeden yedekli ve sürdürülebilir olacak şekilde tasarlanmıştır. Çoğu durumda, veri merkezindeki kritik altyapı bileşenleri için birincil kapasitenin yanı sıra her biri eşit kapasiteye sahip olan alternatif bir güç kaynağı sağlanır. Yedek güç, kesintisiz bir güç kaynağı (UPS) pili gibi çeşitli mekanizmalar tarafından sağlanır. Bu piller, program karartma, kesintiler, aşırı voltaj, düşük voltaj ve tolerans dışı frekans koşulları sırasında sürekli olarak güvenilir güç koruması sağlar. Elektrik kesintisi durumunda yedek güç, yedek oluşturma sistemlerinin devreye girmesine kadar veri kapasitesine tam kapasitede 10 dakikaya kadar geçiş gücü sağlayacak şekilde tasarlanmıştır. Jeneratörler, veri merkezini genellikle tam olarak birkaç gün boyunca tam kapasitede çalıştıracak acil durum elektrik gücünü sağlamak için saniyeler içinde otomatik olarak çalışmaya başlayabilir.
Sunucu İşletim Sistemleri. Jibe sunucuları, işletmenin benzersiz sunucu ihtiyaçları için özelleştirilmiş sağlamlaştırılmış işletim sistemleri kullanır. Veriler, veri güvenliğini ve yedekliliği artırmak için özel algoritmalar kullanılarak depolanır. Jibe, İşleyen Hizmetleri'ni sağlamak ve üretim ortamlarında güvenlik ürünlerini iyileştirmek için kullanılan kodun güvenliğini artırmak amacıyla bir kod inceleme süreci uygular.
İş Devamlılığı. Jibe, kazayla imha veya kayıplara karşı korunmaya yardımcı olmak için verileri birden fazla sistem üzerinden çoğaltır. Jibe, iş devamlılığı planlama/felaket kurtarma programlarını tasarlayıp düzenli olarak test ediyor ve test ediyor.
Şifreleme Teknolojileri. Jibe'nin güvenlik politikaları, kişisel veriler de dahil olmak üzere tüm kullanıcı verileri için aktif olmayan verilerin şifrelenmesini zorunlu tutar. Veriler genellikle Jibe'nin donanım depolama alanı da dahil olmak üzere veri merkezlerindeki üretim depolama yığınında birden fazla düzeyde şifrelenir. Bu sayede donanım iş ortakları veya müşterilerin herhangi bir işlem yapması gerekmez. Birden fazla şifreleme katmanı kullanmak, yedekli veri koruması sağlar ve Jibe'nin uygulama gereksinimlerine göre en uygun yaklaşımı seçmesine olanak tanır. Tüm kişisel veriler, genellikle AES256 kullanılarak depolama düzeyinde şifrelenir. Jibe, İşleyen Hizmetleri'nde şifrelemeyi tutarlı bir şekilde uygulamak için Jibe'nin FIPS 140-2 tarafından doğrulanmış modülünü içeren yaygın kriptografik kitaplıklardan yararlanır.
(b) Ağlar ve İletim.
Veri İletimi. Veri merkezleri genellikle veri merkezleri arasında güvenli ve hızlı veri aktarımı sağlamak için yüksek hızlı özel bağlantılar aracılığıyla birbirine bağlanır. Bu politika, elektronik taşıma sırasında yetkilendirme olmadan verilerin okunmasını, kopyalanmasını, değiştirilmesini veya kaldırılmasını önlemek için tasarlanmıştır. Jibe, internet standart protokolleri aracılığıyla veri aktarır.
Harici Saldırı Yüzeyi. Jibe, harici saldırı yüzeyini korumak için birden çok ağ cihazı katmanı ve izinsiz giriş tespit sistemi kullanır. Jibe, potansiyel saldırı vektörlerini göz önünde bulundurur ve şirket dışına yönelik sistemlere uygun amaca yönelik teknolojilerden yararlanır.
Yetkisiz Erişim Tespiti. İzinsiz giriş tespiti, devam eden saldırı etkinliklerine dair bilgi sağlamak ve olaylara yanıt vermek için yeterli bilgi sağlamak amacıyla tasarlanmıştır. Jibe'nin izinsiz giriş tespiti şunları içerir:
Jibe'nin saldırı yüzeyinin boyutunu ve yapısını sıkı şekilde kontrol etmek için alınan önlemler
Veri giriş noktalarında akıllı algılama kontrolleri kullanmak ve
Bazı tehlikeli durumları otomatik olarak düzelten teknolojiler kullanma.
Olaylara Müdahale. Jibe, güvenlik olayları için çeşitli iletişim kanallarını izler ve Jibe'nin güvenlik personeli bilinen olaylara hemen müdahale eder.
Şifreleme Teknolojileri. Jibe, HTTPS şifrelemesini (TLS bağlantısı olarak da adlandırılır) kullanıma sunar. Jibe sunucuları, kısa ömürlü eliptik eğri Diffie HSA ve ECDSA ile imzalanan kriptografik anahtar değişimini destekler. Bu mükemmel iletim gizliliği (PFS) yöntemleri, trafiğin korunmasına ve güvenliği ihlal edilmiş anahtarın veya kriptografik bir darbenin etkisini en aza indirmeye yardımcı olur.
2. Erişim ve Site Denetimleri
(a) Site Denetimleri.
Yerinde Veri Merkezi Güvenlik İşlemi. Jibe'nin veri merkezleri, tüm fiziksel veri merkezi güvenlik işlevlerinden haftanın 7 günü 24 saat boyunca yerinde güvenlik operasyonları yürütür. Yerinde güvenlik operasyonları personeli, Kapalı Devre TV ("CCTV") kameraları ve tüm alarm sistemlerini izler. Yerinde güvenlik operasyonları personeli, veri merkezinin dahili ve harici devriyelerini düzenli olarak gerçekleştirir.
Veri Merkezi Erişim Prosedürleri. Jibe, veri merkezlerine fiziksel erişim izni vermek için resmi erişim prosedürleri uygulamaktadır. Veri merkezleri, tesis içi güvenlik işlemine bağlı alarmlarla elektronik kart anahtarına erişim gerektiren tesislerde yer alır. Veri merkezine katılan tüm çalışanların kendilerini tanıtmaları ve tesisteki güvenlik işlemlerine kimlik kanıtı göstermeleri gerekir. Yalnızca yetkili çalışanların, yüklenicilerin ve ziyaretçilerin veri merkezlerine giriş yapmasına izin verilir. Yalnızca yetkili çalışanların ve yüklenicilerin bu tesislere elektronik kart anahtarı erişimi isteğinde bulunmasına izin verilir. Veri merkezi elektronik kart anahtarı erişim istekleri önceden ve yazılı olarak yapılmalı olup yetkili veri merkezi personelinin onayını almalıdır. Geçici veri merkezi erişimi gerektiren diğer tüm katılımcılar: (i) ziyaret etmek istedikleri belirli veri merkezi ve dahili alanlar için veri merkezi yöneticilerinden önceden onay almalı, (ii) yerinde güvenlik işlemlerinde oturum açmalı ve (iii) kişiyi onaylanmış olarak tanımlayan onaylanmış bir veri merkezi erişim kaydına referans vermelidir.
Yerinde Veri Merkezi Güvenlik Cihazları. Jibe'nin veri merkezleri, bir sistem alarmına bağlı elektronik kart anahtarı ve biyometrik erişim kontrol sistemi kullanır. Erişim kontrol sistemi, her bir kişinin elektronik kart anahtarını ve bu kişinin çevre kapılarına, gönderim ile alma konumlarına ve diğer kritik alanlara ne zaman eriştiğini izler ve kaydeder. Yetkisiz etkinlikler ve başarısız erişim denemeleri, erişim kontrol sistemi tarafından günlüğe kaydedilir ve gereken şekilde incelenir. İşletme faaliyetleri ve veri merkezleri genelinde yetkili erişim, bölgelere ve bireyin iş sorumluluklarına göre kısıtlanmıştır. Veri merkezlerindeki yangın kapıları tedirgin edilir. CCTV kameraları, hem veri merkezlerinin içinde hem de dışında çalışır. Kameraların konumlandırması; diğerlerinin yanı sıra çevre, veri merkezi binasının kapıları ve gönderim/alma dahil olmak üzere stratejik alanları kapsayacak şekilde tasarlanmıştır. Yerinde güvenlik operasyonları personeli CCTV izleme, kayıt ve kontrol ekipmanlarını yönetir. Veri merkezlerindeki güvenli kablolar CCTV ekipmanlarını birbirine bağlar. Kameralar; haftanın 7 günü, günün 24 saati dijital video kaydediciler aracılığıyla tesiste kaydedilir. Gözetim kayıtları, etkinliğe dayalı olarak en az 7 gün saklanır.
(b) Erişim Denetimi.
Altyapı Güvenliği Personeli. Jibe, kendi çalışanlarına yönelik bir güvenlik politikasına sahip olup bunu sürdürmekte ve personelinin eğitim paketinin bir parçası olarak güvenlik eğitimi gerektirmektedir. Jibe'nin altyapı güvenliği personeli; Jibe'nin güvenlik altyapısının devamlı olarak izlenmesinden, İşleyen Hizmetleri'nin incelenmesinden ve güvenlik olaylarına yanıt verilmesinden sorumludur.
Erişim Denetimi ve Ayrıcalık Yönetimi. İş Ortağı'nın yöneticileri ve kullanıcıları, İş Ortağı Hizmetleri'ni kullanmak için merkezi bir kimlik doğrulama sistemi veya tek oturum açma sistemi kullanarak kimliklerini doğrulamalıdır.
Dahili Verilere Erişim Süreçleri ve Politikaları - Erişim Politikası. Jibe'nin dahili veri erişim süreçleri ve politikaları, yetkisiz kişilerin ve/veya sistemlerin kişisel verileri işlemek için kullanılan sistemlere erişmesini önlemek için tasarlanmıştır. Jibe, sistemlerini: (i) yalnızca yetkili kişilerin erişebileceği verilere erişmesine izin vermeyi ve (ii) kişisel verilerin işlem, kullanım ve kayıt sırasında yetkilendirme olmadan okunamaması, kopyalanamaması, değiştirilmemesi veya kaldırılamaması için tasarlamayı amaçlar. Sistemler, uygunsuz erişimi tespit edecek şekilde tasarlanmıştır. Jibe, üretim sunucularına personel erişimini kontrol etmek için merkezi bir erişim yönetimi sistemi kullanır ve yalnızca sınırlı sayıda yetkili personele erişim sağlar. LDAP, Kerberos ve dijital sertifikalardan yararlanan özel bir sistem, Jibe'ye güvenli ve esnek erişim mekanizmaları sağlayacak şekilde tasarlanmıştır. Bu mekanizmalar; site ana makineleri, günlükler, veriler ve yapılandırma bilgilerine yalnızca onaylı erişim hakları vermek için tasarlanmıştır. Jibe, yetkisiz hesap kullanımı potansiyelini en aza indirmek için benzersiz kullanıcı kimlikleri, güçlü şifreler, iki faktörlü kimlik doğrulama ve dikkatlice izlenen erişim listeleri kullanılmasını gerektirir. Erişim haklarının verilmesi veya değiştirilmesi, yetkili personelin iş sorumluluklarına, yetkilendirilmiş görevleri yerine getirmek için gereken görev görevi koşullarına ve bilgi sahibi olma ihtiyacına bağlıdır. Erişim haklarının verilmesi veya değiştirilmesi, Jibe'nin dahili veri erişimi politikalarına ve eğitimine de uygun olmalıdır. Onaylar, tüm değişikliklerin denetim kayıtlarını barındıran iş akışı araçları yardımıyla gerçekleştirilir. Sorumluluk için denetim takibi oluşturmak amacıyla sistemlere erişim günlüğe kaydedilir. Kimlik doğrulama için şifrelerin kullanıldığı durumlarda (ör. iş istasyonlarına giriş) en azından endüstri standardı uygulamaları izleyen şifre politikaları uygulanır. Bu standartlara, şifre yeniden kullanımı ve yeterli şifre gücü kısıtlamaları dahildir.
3. Veri
(a) Veri Depolama, İzolasyon ve Kimlik Doğrulama.
Jibe, verileri Google LLC mülkiyetinde olan sunucularda çok kiracılı bir ortamda depolar. Veriler, İşleyen Hizmetleri veritabanı ve dosya sistemi mimarisi coğrafi olarak farklı konumlara yayılan birden fazla veri merkezi arasında yineleniyor. Jibe, her bir iş ortağının veya müşterinin verilerini mantıksal olarak izole eder. Verilerin tek tip güvenliğini artırmak için tüm İşleyen Hizmetleri'nde merkezi kimlik doğrulama sistemi kullanılır.
(b) Kullanımdan Kaldırılmış Diskler ve Diskleri Yıkım Yönergeleri.
Veri içeren belirli disklerde performans sorunları, hatalar veya donanımların devre dışı bırakılmasına neden olan donanım hataları oluşabilir ("Kullanımdan Kaldırılmış Disk"). Kullanımdan kaldırılan her Disk, Jibe'nin yeniden kullanımı veya imha edilmesi için tesisinden ayrılmadan önce bir dizi veri imha sürecine ("Veri İmha Yönergeleri") tabidir. Kullanımdan kaldırılan Diskler, çok adımlı bir işlemde silinir ve en az iki bağımsız doğrulayıcı tarafından tamamlanır. Silme sonuçları, izleme için kullanımdan kaldırılan Disk'in seri numarasıyla günlüğe kaydedilir. Son olarak, silinen Devre Dışı Disk, yeniden kullanım ve dağıtım için envanterde yayınlanır. Donanım hatası nedeniyle, Kullanımdan Kaldırılmış Disk silinemiyorsa kaldırılana kadar güvenli bir şekilde saklanır. Her tesis, Veri Yıkım Yönergeleri'ne uygunluğu izlemek için düzenli olarak denetlenir.
(c) Belirsiz Veriler.
Online reklamcılık verileri, genellikle kendi başlarına " belirsizleştirilmiş" olarak kabul edilen online tanımlayıcılarla ilişkilendirilir (yani ek bilgi kullanılmadan belirli bir kişiyle ilişkilendirilemez). Jibe'nin, belirsizleştirilmiş veriler ile kimliği tanımlayabilecek kullanıcı bilgileri (ör. bir kişinin Jibe hesap verileri gibi), kendisini tanımlamak, onunla iletişim kurmak veya konumunu tam olarak belirlemek için kendi başına kullanılabilecek bilgiler arasındaki ayrımı güvence altına almak için sağlam bir politika grubu ile teknik kontroller vardır. Jibe politikaları, yalnızca çok sınırlı durumlarda belirsizleştirilmiş ve kimliği tanımlayabilecek veriler arasındaki bilgi akışlarına izin verir.
(d) Yorumları başlatın.
Can, yeni ürünler ve özellikler kullanıma sunulmadan önce lansman incelemesi yapıyor. Buna, özel eğitim almış gizlilik mühendislerinin yaptığı bir gizlilik incelemesi de dahildir. Gizlilik incelemeleri sırasında gizlilik mühendisleri, belirsizleştirme, veri saklama ve silmeyle ilgili politikalar da dahil ancak bunlarla sınırlı olmamak üzere geçerli tüm Jibe politikalarına ve kurallarına uyulmasını sağlar.
4. Personel Güvenliği
Jibe personelinin, şirketin gizlilik, iş etiği, uygun kullanım ve profesyonel standartlarla ilgili kurallarına uygun bir şekilde davranması gerekir. Jibe, yasal olarak izin verilen ölçüde ve yürürlükteki yerel iş hukuku ve yasal düzenlemelere uygun şekilde makul düzeyde geçmiş kontrolleri yapar.
Personelin bir gizlilik sözleşmesi yürütmesi ve Jibe'nin gizlilik ve gizlilik politikalarını almasını ve bu politikalara uygun hareket etmesini kabul etmesi gerekir. Çalışanlara güvenlik eğitimi verilir. İş Ortağı Kişisel Verileri'ni yöneten personelin, rollerine uygun ek şartları yerine getirmesi gerekir. Jibe'nin personeli, İş Ortağı Kişisel Verileri'ni izin almadan işleyemez.
5. Alt İşleyen Güvenliği
Alt İşleyen'lerin ilk katılımından önce Jibe, Alt İşleyen'lerin verilere erişim ve sağladıkları hizmetlerin kapsamına uygun bir güvenlik ve gizlilik düzeyi sağladığından emin olmak için Alt İşleyen'lerin güvenlik ve gizlilik uygulamalarını denetler. Jibe, Alt İşleyen tarafından sunulan riskleri değerlendirdikten sonra Alt İşleyen'in Bölüm 11.3'te (Alt İşleyen Etkileşimi Koşulları) koşullara tabi olarak uygun güvenlik, gizlilik ve gizlilik sözleşmesi şartlarını kabul etmesi gerekir.
Ek 3: Avrupa Dışı Veri Koruma Mevzuatına Yönelik Ek Şartlar
Aşağıdaki Avrupa Dışı Veri Koruma Mevzuatına Yönelik Ek Şartlar bu Veri İşleme Eki'ni destekler:
- business.safety.google/processorterms/lgpd adresinde LGPD İşleyen Eki (tarihi 27 Ağustos 2020)
- business.safety.google/processorterms/us-state-laws adresinde yer alan ABD Eyalet Hukuku Eki (12 Aralık 2022 tarihli)
LGPD İşleyen Eki ve ABD Eyalet Yasaları Eki'ndeki Google LLC veya Google'a yapılan atıflar Jibe'ye yapılacaktır.
Jibe Veri İşleme Eki, Sürüm 4.0