Proton

Veri işleme sözleşmesi

Son değişiklik: 23 Eylül 2024

Bu Veri İşleme Sözleşmesi ("Sözleşme") , Proton AG’nin Hüküm ve Koşulları altında bir Hizmet Sözleşmesi'nin ("Ana Sözleşme") parçasını oluşturur; Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, İsviçre, Şirket kimlik numarası CHE-354.686.492 ("Veri İşleyen") olarak anılmakta ve Proton’un hizmetlerini kullanan Şirket ("Şirket") olarak anılmaktadır.

Bu Sözleşme, Şirket’in Proton Hizmetlerini kullanmasının Kişisel Verilerin veri koruma yasalarına tabi işlenmesini gerektirdiği ölçüde, Veri Koruma Yasalarının özel gereksinimlerini yönetir.

Bu Sözleşme, veri koruma uygulamalarımız ve önlemlerimiz için birincil referans olarak hizmet eden Gizlilik İlkemiz ile tamamlayıcı niteliktedir.

Bu Sözleşmenin süresi, Ana Sözleşmenin süresine tabi olacaktır. Burada tanımlanmamış terimler, Ana Sözleşmede belirlenen anlamı taşır.


NE ZAMAN Kİ

A) Şirket, veri sorumlusu olarak hareket eder ("Veri Sorumlusu").

B) Şirket, Kişisel Verilerin işlenmesini içeren belirli Hizmetleri (aşağıda tanımlanmıştır) Proton AG’ye, Veri İşleyen olarak alt yüklenici olarak taşımak istemektedir ("İşlemci").

C) Taraflar, kişisel verilerin işlenmesi ile ilgili mevcut yasal çerçeveye uygun ve 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi’nin (EU) 2016/679 sayılı yönetmeliği ile kişisel verilerin korunması hakkında ve bu verilerin serbest dolaşımını sağlamak amacıyla uygulanması, 95/46/EC sayılı Direktifi iptal edilmesi (Genel Veri Koruma Yönetmeliği) ile birlikte diğer geçerli veri koruma yasalarına uygun bir veri işleme anlaşması gerçekleştirmeyi amaçlamaktadır.

D) Taraflar, haklarını ve yükümlülüklerini belirlemek istemektedir.


ŞU KONULARDA ANLAŞILMIŞTIR:

1. Tanımlar ve Yorumlama

Aksi belirtilmedikçe, bu Veri İşleme Sözleşmesi'nde kullanılan büyük harfle yazılan terimler ve ifadeler şu anlamları taşır:

1.1) "Sözleşme" bu Veri İşleme Sözleşmesini ve tüm Eklerini ifade eder;

1.2) "Şirket Kişisel Verileri" Şirket veya Şirket'in müşterileri veya çalışanları ile bağlantılı, Ana Sözleşme ile bağlantılı olarak İşlenen Kişisel Verileri ifade eder;

1.3) "Sözleşmeli Veri İşleyen" bir Alt veri işleyeni ifade eder;

1.4) "Veri Koruma Yasaları" AB Veri Koruma Yasalarını ve uygulanabilir olduğu ölçüde, başka herhangi bir ülkenin veri koruma veya gizlilik yasalarını ifade eder;

1.5) "AET" Avrupa Ekonomik Topluluğu'nu ifade eder;

1.6) "AB Veri Koruma Yasaları" AB Yönergesi 95/46/EC’dir, her Üye Devletin iç yasalarına dönüştürülmüş ve zamanla değiştirilen, yerini alan veya geçersiz kılınan mevzuat ile birlikte, GDPR ve GDPR yasalarını uygulayan veya ekleyen yasaları içerir;

1.7) "GDPR" AB Genel Veri Koruma Yönetmeliği 2016/679 ifade eder;

1.8) "Veri Aktarımı" şunu ifade eder:

  • 1.8.1) Şirket Kişisel Verilerinin Veri Sorumlusu tarafından Veri İşleyene veya Sözleşmeli Veri İşleyene aktarılmasını ifade eder; veya
  • 1.8.2) Veri İşleyenden bir Alt Veri İşleyene veya bir Alt Veri İşleyenin iki kuruluşu arasında Şirket Kişisel Verilerinin sonraki aktarımını ifade eder;

1.9) "Hizmetler" Veri İşleyen tarafından sağlanan e-posta, takvim, Drive ve İşleyen tarafından geliştirilmiş diğer çevrim içi güvenli hizmetleri ifade eder. Hizmetlerin ayrıntıları ve fiyatlandırması Veri İşleyen’nin sitesinde bulunmaktadır.

1.10) "Alt Veri İşleyen" Kişisel Verileri Veri Sorumlusu adına işlemek üzere Veri İşleyen veya onun adına atanmış kişiyi ifade eder.

Terimler, "Komisyon", "Veri Sorumlusu", "Veri Sahibi", "Üye Devlet", "Kişisel Veriler", "Kişisel Verilerin Ele Geçirilmesi", "İşleme" ve "Gözetim Kurumu" GDPR veya diğer uygulanabilir Veri Koruma Yasalarında belirtilen anlamı taşır ve ilgili terimler buna göre değerlendirilmelidir.

2. Şirket Kişisel Verilerinin İşlenmesi

Veri İşleyen'in sorumlulukları şunlardır:

2.1) Şirket Kişisel Verilerinin işlenmesinde uygulanabilir tüm Veri Koruma Yasalarına uygun davranacaktır;

2.2) ve Veri Sorumlusu'nun 2. bölümdeki belgelenmiş talimatları dışında Şirket Kişisel Verilerini işlemeyecektir.

Veri Sorumlusu, Veri İşleyen'e Şirket Kişisel Verilerini işlemesi için talimat verecektir:

2.3) Hizmetler ve ilgili teknik desteği sağlayacaktır;

2.4) yasal yükümlülükleri yerine getirecek veya ihtilafları çözüme kavuşturacaktır;

2.5) Hizmetlerin güvenliğini, gizliliğini, mahremiyetini ve işlevselliğini iyileştirmeye yönelik iç görevleri yerine getirecektir;

2.6) iç raporlama, finansal raporlama ve diğer benzer iç görevleri yerine getirecektir.

3. Veri İşleyen Çalışanları

Veri İşleyen, Şirket Kişisel Verilerine erişimi olabilecek herhangi bir Sözleşmeli Veri İşleyen çalışanı, temsilcisi veya yüklenicisinin güvenilirliğini sağlamak için makul adımlar atacak ve her durumda, erişimin yalnızca Ana Sözleşmenin amaçları için, gerekli olduğu ölçüde, bu Kişisel Veri’ye erişim sağlamakla sınırlı olmasını sağlayacak ve/veya Veri Koruma Yasalarına ve o bireyin Sözleşmeli Veri İşleyen'e karşı olan yükümlülükleri çerçevesinde yasal düzenlemelere tam anlamıyla uymasını sağlayacaktır.

4. Güvenlik

GDPR 32 (1). Maddesine uygun olarak, Veri İşleyen, riske uygun bir güvenlik düzeyini sağlamak için gerekli teknik ve organizasyonel önlemleri, en son teknoloji düzeyini, uygulama maliyetlerini ve veri işleme amacının yanı sıra biçimlendirme, kapsam, bağlam ve içeriklerin doğasını dikkate alarak uygulayacaktır. Bu önlemler, kişilerin haklarını ve özgürlüklerini koruma amacıyla, farklı olasılık ve ciddiyet risklerini dikkate alarak, Kişisel Verilerin Ele Geçirilmesi riski ile birlikte tasarlanacaktır.

Veri İşleyen ayrıca, veri işleme faaliyetleriyle ilişkili riskleri değerlendirecek ve GDPR 32 (1). Maddesinde belirlenen gerekliliklerle tutarlı önlemleri, her zaman Şirket Kişisel Verilerinin güvenliğini sağlayarak uygulayacaktır.

5. Alt İşleyenler

Bu Sözleşmeye tabi olarak, Şirket, Veri İşleyen'e Alt Veri İşleyen'leri de katması ve Şirket Kişisel Verilerini bunlara açıklama veya aktarma konusunda genel yetki vermektedir. Şirket, Veri İşleyen’in Gizlilik İlkesinde yer alan Alt Veri İşleyenler listesini kabul etmekte ve bu listenin Veri İşleyen tarafından düzenli olarak güncellenebileceğini anlamaktadır; bu gibi durumlarda, Şirket gizlilik ilkesi bildirim sürecine göre Veri İşleyen tarafından bilgilendirilecektir. Ayrıca Şirket, Veri İşleyen'e Kişisel Verileri kendi kurumsal grubu içindeki herhangi bir şirkete açıklama ve aktarma yetkisi vermektedir.

Veri İşleyen, Alt Veri İşleyen'lerin, Alt Veri İşleyen tarafından sağlanan hizmetlerin niteliğine uygulanabilir ölçüde Şirket Kişisel Verilerinin korunması konusunda, mevcut Sözleşmeden daha az kısıtlayıcı ve koruyucu olmayan bir sözleşmeye tabi olmasını sağlar.

6. Veri Sahibinin Hakları

Veri İşleme doğasını dikkate alarak, Veri İşleyen, Veri Koruma Yasaları uyarınca Veri Sahibi haklarını yerine getirme yükümlülüğünde Şirket'e makul yardımda bulunacaktır.

Veri İşleyen'in sorumlulukları şunlardır:

6.1) Şirket Kişisel Verileri ile ilgili herhangi bir Veri Koruma Yasası kapsamında, Veri Sahibi tarafından bir istek alması durumunda Şirket'i derhal bilgilendirmek;

6.2) Bu isteğe, yalnızca Veri Sorumlusu'nun belgelenmiş talimatları çerçevesinde veya Veri İşleyen'in tabi olduğu Uygun Yasalara göre cevap vermeyecektir; bu durumda, Veri İşleyen, söz konusu yasal gereklilikle ilgili olarak, istekte bulunulan Veri İşleyen'e bilgi verecektir.

7. Kişisel Verilerin Ele Geçirilmesi

Veri İşleyen, ilgili Veri Koruma Yasaları ve kendi iç Kişisel Verilerin Ele Geçirilmesi prosedürleri uyarınca herhangi bir Kişisel Verilerin Ele Geçirilmesi durumunu yönetecektir. Şirket Kişisel Verilerini etkileyen bir Kişisel Verilerin Ele Geçirilmesi durumunda, Veri İşleyen, Şirketi derhal bilgilendirecek, Veri Koruma Yasaları altında yerine getirmesi gereken yükümlülükleri tamamlayabilmesi için yeterli bilgiyi sağlayacaktır, gerekli olduğunda Veri Sahiplerini de bilgilendirecektir. Bu durumlarda, Veri İşleyen, Şirketin Kişisel Verilerin Ele Geçirilmesi hakkındaki yükümlülükleri ile ilgili olarak yeterli bilgiyi sağlayacaktır.

Veri İşleyen, Şirket ile iş birliği yapacak ve Şirket'in her bir Kişisel Verilerin Ele Geçirilmesinin araştırılması, azaltılması ve iyileştirilmesi için Şirket tarafından yönlendirilen makul ticari adımları atacaktır.

Her taraf, bir Verilerin Ele Geçirilmesi durumunda, araştırma, iyileştirme, azaltma ve diğer ilgili maliyetleri tahakkuk ettirmekle yükümlü olacaktır.

Her taraf, bu Sözleşme uyarınca yükümlülüklerini verilerin ele geçirilmesinden kaynaklanan, yetkili bir düzenleyici merci, hükümet kurumu veya yetkili yargı merci tarafından uygulanabilecek her türlü ceza, zarar veya diğer ilgili miktarları üstlenecektir.

8. Veri Koruma Etki Değerlendirmesi ve Ön Görüşmeler

Veri İşleyen, Şirket'e, Veri Sorumlusu'nın GDPR 35 veya 36. maddesi veya herhangi bir diğer Veri Koruma Yasasının eşdeğer hükümleri uyarınca gerekli olduğunu makul bir şekilde düşündüğü herhangi bir veri koruma etki değerlendirmesi ve Denetleyici Otoriteler veya diğer yetkili veri gizliliği otoriteleriyle ön görüşmelerde makul yardım sağlayacaktır; her durumda, yalnızca Şirket Kişisel Verilerinin Sözleşmeli Veri İşleyen'ler tarafından İşlenmesiyle ilgili olarak ve İşlemenin niteliğini ve Sözleşmeli Veri İşleyen'lerin erişebildiği bilgileri dikkate alır.

9. Şirket Kişisel Verilerinin Silinmesi veya İadesi

Şirket Kişisel Verilerinin işlenmesini içeren herhangi bir Hizmetin sona ermesi durumunda, Veri İşleyen, uygulanabilir yasaların izin verdiği ölçüde ve Veri İşleyen'in Hüküm ve Koşullarına ve Gizlilik İlkesine uygun olarak tüm Şirket Kişisel Verilerini silecektir. Şirket, verilerinin bir kopyasını isterse, isteği hesaplarının silinmesinden öncesinde yapmalıdır; hesap silindikten sonra yapılan istekler dikkate alınamaz.

10. Denetim Hakları

Bu 10. bölüme tabi olarak, Veri İşleyen, Şirket'in bu Sözleşmeye uygunluğu kanıtlamak için istediği tüm bilgileri temin edecek ve Sözleşmeli Veri İşleyen'in Şirket Kişisel Verilerini işleme konusunda, Şirket veya Şirket tarafından yetkilendirilmiş bir denetçi tarafından yapılan denetimlere, incelemelere katılmasını sağlayacaktır. Şirket, denetim haklarını yılda bir kez kullanmayacak, ancak bir Kişisel Verilerin Ele Geçirilmesi durumu veya bir düzenleyici otoriteden bir talimat olması durumunda bu hakları kullanabilecektir. Şirket, Veri İşleyen'e denetim yapmak niyetini en az altmış (60) gün öncesinde yazılı olarak bildirecektir. Denetim, Veri İşleyen’in çalışma saatleri içinde gerçekleştirilecek, Veri İşleyen’in operasyonlarını aksatmayacak ve Şirketin, Veri İşleyen'in ve diğer Veri Sahiplerinin Kişisel Verilerini koruma altına alacaktır. Veri İşleyen ve Şirket, denetim tarihini, kapsamını, süresini ve güvenlik ile gizlilik kontrollerini önceden karşılıklı olarak belirleyecektir. Şirket, denetim öncesinde Veri Sorumlusu tarafından gizlilik sözleşmesinin imzalanmasının gerekebileceğini kabul etmektedir.

Şirketin bilgi ve denetim hakları yalnızca bu 10. bölüm içeriği itibarıyla Veri Koruma Yasalarının ilgili gerekliliklerini karşılamayan durumlarda doğar.

11. Veri Aktarımı

Veri İşleyen, yalnızca mümkün olduğunca, verileri, İsviçre, AB ve/veya uygunluk kararına tabi olan ülkeler arasına aktarmaya veya izin vermeye yetkili olacaktır; bunu 45. Madde GDPR ve 16. Madde İsviçre FADP çerçevesinde gerçekleştirecektir. GDPR 45. Maddesi ve 16. Madde İsviçre FADP. 16 İşviçre FADP. Bu Sözleşme kapsamında işlenen Kişisel Veriler, İsviçre'den veya AB içinde herhangi bir ülkeden ya da uygunluk kararına tabi herhangi bir ülkeden, bu kapsam dışında bir ülkeye aktarılırsa, Taraflar, Kişisel Verilerin yeterince korunmasını sağlamalıdır. Bunu başarmak için, aksi kararlaştırılmadığı takdirde, Taraflar, Kişisel Verilerin aktarımı için İsviçre ve/veya AB ve/veya Birleşik Krallık tarafından onaylanmış ve o tarihte geçerli olan standart sözleşme maddelerine veya Veri Koruma Yasaları tarafından öngörülen diğer aktarım yöntemlerine uygun olarak davranacaklardır. Veri İşleyen, yeterli güvenlik tedbirlerinin sağlanması şartıyla Alt Veri İşleyen'lere bu tür aktarımlar yapmaya yetkili olacaktır.

12. Genel Hükümler

Uygulanabilir Yasalara Uygunluk. Veri İşleyen, Şirket Kişisel Verilerini bu Sözleşmeye ve bu Sözleşmeye tabi Veri Koruma Yasalarına uygun olarak işleyecektir. Veri İşleyen, yalnızca Şirketin işletmesi veya sektörü gereği uygulanabilir olan Veri Koruma Yasalarına uymaktan sorumlu veya yükümlü değildir.

Gizlilik. Her taraf, bu Sözleşme ile bağlantılı olarak diğer taraf ve onun faaliyetleri hakkında aldığı tüm bilgileri ("Gizli Bilgiler") aşağıdaki durumlar dışında gizli tutmalı ve diğer tarafın önceden yazılı onayı olmadan bu Gizli Bilgiler'i kullanmamalı veya ifşa etmemelidir:

(a) açıklama yasalar gereği gerekli ise;

(b) ilgili bilgi, Tarafların hatası olmaksızın zaten kamuya açıksa.

Bildirimler. Bu Sözleşme uyarınca verilecek tüm bildirimler ve iletişimler yazılı olacak ve e-posta ile gönderilecektir. Veri Sorumlusu, Ana Sözleşme kapsamında Hizmetlerin kullanımıyla ilgili e-posta adresine gönderilen bir e-posta ile bilgilendirilecektir. Veri İşleyen, legal@proton.me adresine gönderilen bir e-posta ile bilgilendirilecektir.

Geçerli Yasalar ve Yetki. Bu Sözleşme, herhangi bir yargı yerinin seçimi veya yasalarının çelişkisi ile ilgili hükümlerine bakılmaksızın İsviçre hukuku tarafından yönetilecektir ve bu Sözleşme, bir sipariş formu, referansla eklenen herhangi bir belge, Proton teknolojisi veya Hizmetlerle bağlantılı olarak ortaya çıkan ihtilaflar, eylemler, istekler veya dava nedenleri Cenevre, İsviçre'nin münhasır yargı yetkisine tabi olacaktır.