Veri İşleme Sözleşmesi

Bu Veri İşleme Sözleşmesi (“DPA”), PinAppAI widget’ını kontrol ettiği bir web sitesinde kullanan tüm müşteriler için Kullanım Koşullarımıza otomatik olarak dahildir. Karşı imza gerekmez. Yukarıdaki yayım tarihinden sonra Hizmet’i kullanmaya devam ederek bu DPA’yı kabul etmiş olursunuz.

Kuruluşunuz kendi belgesi üzerinde imzalı bir DPA gerektiriyorsa [email protected] adresine yazın.

1. Konu ve süre

PinAppAI (“Veri İşleyen”), müşterinin (“Veri Sorumlusu”) abonelik süresi boyunca ve fesih sonrasında 30 günlük veri alma penceresi süresince, PinAppAI Hizmetini sağlamak için Veri Sorumlusu adına kişisel veri işler.

2. İşlemenin niteliği ve amacı

Veri Sorumlusu’nun sitelerine yüklenen PinAppAI widget’larına gönderilen geri bildirim verilerinin toplanması, saklanması, düzenlenmesi, alınması, analizi (müşteri AI özelliklerini etkinleştirdiğinde), görüntülenmesi ve silinmesi.

3. Veri sahibi kategorileri

Veri Sorumlusu’nun web siteleriyle PinAppAI widget’ı üzerinden etkileşim kuran son kullanıcılar.

4. Kişisel veri kategorileri

İsteğe bağlı yazar e-posta adresi ve görünen ad (yalnızca son kullanıcı sağlarsa);
Son kullanıcı tarafından gönderilen yorum metni;
Geri bildirimin bırakıldığı sayfa URL’si ve yolu;
İğne konumu için görünüm penceresi boyutları ve CSS seçicisi;
User-agent dizesi;
İsteğe bağlı sayfa bölgesi ekran görüntüleri (yalnızca son kullanıcı katılırsa);
Hız sınırlandırma ve kötüye kullanım tespiti için geçici IP adresleri (hız sınırı penceresinin ötesinde saklanmaz).

5. Veri Sorumlusu talimatları

5.1. Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusu’nun belgelenmiş talimatlarıyla işler. Veri Sorumlusu’nun talimatları; Kullanım Koşullarında, Veri Sorumlusu’nun hesabının yapılandırmasında (izin verilen kaynaklar, saklama ayarları, AI özellik katılımı) ve taraflarca üzerinde anlaşılan herhangi bir sonraki yazılı talimatta belgelenmiştir.
5.2. Veri İşleyen, kanaatince bir talimatın GDPR’ı veya diğer geçerli veri koruma hukukunu ihlal ettiğini düşünüyorsa, Veri Sorumlusu’nu bilgilendirir.
5.3. Veri İşleyen, Hizmet’in güvenliği, performansı ve meşru işletimi için gerekenler dışında (örneğin sahtekarlık önleme, kötüye kullanım tespiti) kişisel verileri kendi amaçları için işlemez.
5.4. Veri İşleyen, Madde 13 (Uluslararası aktarımlar) kapsamında belirtilenler dışında kişisel verileri üçüncü bir ülkeye aktarmaz.

6. Gizlilik

Veri İşleyen, kişisel veri işlemeye yetkili kişilerin gizlilik taahhüdünde bulunmuş olmasını veya uygun bir yasal gizlilik yükümlülüğü altında olmalarını sağlar.

7. Güvenlik önlemleri

Veri İşleyen, sanat seviyesini, uygulama maliyetlerini ve işlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve veri sahiplerine yönelik riski göz önünde bulundurarak uygun teknik ve organizasyonel önlemleri uygular. Önlemler şunları içerir:

İletim sırasında: tüm bağlantılar için TLS 1.2 veya üzeri.
Dinlenme sırasında: Cloudflare tarafından D1 (veritabanı) ve R2 (nesne depolama) için sağlanan AES-256 şifrelemesi.
Erişim kontrolü: en az ayrıcalık ilkesine dayalı rol tabanlı erişim; üretim erişimi için çok faktörlü kimlik doğrulama zorunludur.
Denetim günlüğü: ayrıcalıklı eylemlerin değiştirilemez günlüğü 7 yıl saklanır.
Kimlik doğrulama: kısa ömürlü taşıyıcı jetonlar; son kullanıcı silme hakları için satır başına düzenleme jetonları.
Olay tespiti: hız sınırları, hata oranları ve olağandışı erişim kalıpları üzerinde anomali tespiti.
Yedekleme ve kurtarma: otomatik günlük anlık görüntüler; RTO ≤ 4 saat, RPO ≤ 24 saat ile belgelenmiş kurtarma prosedürleri.
Güvenlik açığı yönetimi: her kod değişikliğinde otomatik bağımlılık taraması; CI’da gizli bilgi taraması; periyodik sızma testleri.

8. Alt işleyici izni

Veri Sorumlusu, iki katmanlı bir liste tutan /tr/sub-processors/ sayfasında listelenen alt işleyicilerin Veri İşleyen tarafından kullanılmasına izin verir:

Aktif alt işleyiciler — Veri Sorumlusu adına şu anda kişisel veri işleyenler.
Onaylanmış alt işleyiciler — Veri Sorumlusu tarafından gelecekte aktif edilmek üzere önceden onaylananlar. Veri İşleyen, Onaylanmış bir alt işleyiciyi Aktif duruma taşıyabilir veya her iki listeye yeni bir tedarikçi ekleyebilir; bunu Veri Sorumlusu’na değerlendirme ve makul gerekçelerle itiraz etme süresi tanıyacak şekilde önceden yazılı bildirimle yapar.

Veri Sorumlusu bildirim süresi içinde makul gerekçelerle itiraz ederse, taraflar iyi niyetle görüşür. Uygun bir alternatif bulunamazsa, Veri Sorumlusu etkilenen hizmeti cezasız feshedebilir.

İstisnai durumlarda — acil tedarikçi değişikliği gerektiren bir güvenlik olayı, acil yasal uyum veya bir alt işleyicinin Veri İşleyen’in kontrolü dışında hizmet sonlandırması dahil — Veri İşleyen daha kısa bildirimle veya sonradan bilgilendirme ile bir alt işleyici kullanabilir; bu durumda Veri Sorumlusu’na derhal bildirim yapılır ve değişiklik kamuya açık değişiklik günlüğüne kaydedilir.

Veri İşleyen, her alt işleyici ile bu DPA’dakilerden daha az koruyucu olmayan veri koruma yükümlülükleri öngören yazılı bir sözleşme yapar.

9. Veri sahibi talepleri

Veri İşleyen, Veri Sorumlusu’nun GDPR’ın 15 ila 22. Maddeleri kapsamındaki veri sahibi taleplerine yanıt verme yükümlülüklerini yerine getirmesinde yardımcı olur. Bir veri sahibi, Veri Sorumlusu’nun verisiyle ilgili bir talep için doğrudan Veri İşleyen ile iletişime geçerse, Veri İşleyen talebi 5 iş günü içinde Veri Sorumlusu’na iletir ve makbuzu kabul edip veri sahibini Veri Sorumlusu’na yönlendirmek dışında doğrudan yanıt vermez.

10. Denetim ve inceleme hakları

Veri İşleyen, bu DPA’ya uyumu göstermek için gerekli tüm bilgileri Veri Sorumlusu’nun erişimine sunar. Veri Sorumlusu, takvim yılında bir defadan fazla olmamak üzere ve 30 gün önceden yazılı bildirimde bulunarak, kendi masrafı üzerinde ve karşılıklı olarak üzerinde anlaşılan bir gizlilik sözleşmesine tabi olarak Veri İşleyen’in ilgili tesislerinin ve kayıtlarının denetimini yapabilir. Veri Sorumlusu, kendi denetimini yapmak yerine üçüncü taraf denetim raporlarına (Veri İşleyen’in SOC 2 raporu mevcut olduğunda gibi) güvenebilir.

11. Kişisel veri ihlali bildirimi

Veri İşleyen, Veri Sorumlusu’nun verisini etkileyen bir kişisel veri ihlalinden haberdar olduktan sonra gereksiz gecikme olmaksızın ve her halükarda 72 saat içinde Veri Sorumlusu’nu bilgilendirir. Bildirim, bilindiği ölçüde, ihlalin niteliğini, etkilenen veri sahibi ve kayıt kategorilerini ile yaklaşık sayılarını, olası sonuçları ve alınan veya önerilen önlemleri içerir.

12. Fesih sonrası kişisel verilerin silinmesi veya iadesi

Veri Sorumlusu’nun aboneliğinin feshi üzerine, Veri İşleyen şunları yapar:

Yönetici panelindeki mevcut dışa aktarma araçları aracılığıyla kişisel veriyi fesihten sonra 30 gün boyunca Veri Sorumlusu’nun dışa aktarımına sunar;
Dışa aktarma penceresinin sona ermesinden sonra 30 gün içinde tüm kişisel veriyi üretim sistemlerinden siler;
Bir sonraki yedekleme döngüsü içinde kişisel veriyi yedeklerden siler (fesihten sonra en geç 90 gün);
Veri Sorumlusu’nun yazılı talebi üzerine bir silme sertifikası sağlar.

13. Uluslararası aktarımlar

Kişisel verinin yeterlilik kararı bulunmayan bir ülkeye AB/AEA/Birleşik Krallık dışına aktarıldığı durumlarda, taraflar Avrupa Komisyonu’nun veri işleyenden veri işleyene ve veri sorumlusundan veri işleyene aktarımlar için Standart Sözleşme Maddelerini (sırasıyla, uygun olduğu şekilde Modül İki ve Modül Üç) ve Veri Sorumlusu’nun Birleşik Krallık’ta kurulu olduğu durumlarda UK Uluslararası Veri Aktarımı Ekini atıf yoluyla dahil eder. Güncel sürümler commission.europa.eu adresinde mevcuttur.

14. Sorumluluk

Tarafların bu DPA’dan kaynaklanan veya bununla ilgili sorumluluğu, Kullanım Koşullarımızda belirtilen sorumluluk sınırlamasına tabidir; ancak şunlar için sorumluluğu sınırlamaz: (a) ağır ihmal, kasıt veya dolandırıcılık; (b) yürürlükteki yasalar uyarınca sınırlanamayan sorumluluk; veya (c) bir denetim otoritesi tarafından dayatılan yasal cezalar.

15. Kabul ve değişiklikler

Yukarıdaki yayım tarihinden sonra Hizmet’i kullanarak Veri Sorumlusu bu DPA’yı kabul eder. Esaslı değişiklikler, yürürlüğe girmelerinden en az 30 gün önce hesap sahiplerine e-posta yoluyla iletilir. Veri Sorumlusu, değişikliği makul olarak karşılayamadığı durumda bildirim süresi içinde etkilenen hizmeti cezasız feshedebilir.

İletişim

[email protected]