(1) Çin yasalarına göre kurulmuş bir şirket olan ve kayıtlı ofisi 5F, A5, Tianfu Yazılım Parkı, No. 1129, Century City Yolu, Yüksek Teknoloji Bölgesi, 610000, Chengdu, Sichuan, PRChina adresinde bulunan MEFERI Technologies Co., Ltd. (“MEFERI”, “İşlemci”, “Biz”, “Bize” veya “Bizim”); ve

(2) Müşteri (“Müşteri”, “Denetleyici” veya “Siz”), aşağıda tanımlandığı şekilde MEFERI Hizmetlerine abone olan veya bunları kullanan ve MEFERI'nin ana hizmet şartlarını veya diğer ana sözleşmeyi (“Ana Sözleşme”) kabul eden tüzel kişidir.

Bu DPA, Ana Sözleşmenin ayrılmaz bir parçasını oluşturur ve tarafların, Hizmetlerle bağlantılı olarak MEFERI tarafından Müşteri adına Kişisel Verilerin İşlenmesine ilişkin anlaşmasını yansıtır.

Müşteri, Ana Sözleşmeyi kabul ederek veya bu DPA'nın kullanıma sunulmasından sonra Hizmetlere erişerek veya bunları kullanarak, bu DPA'yı kendi adına ve Uygulanabilir Veri Koruma Yasası uyarınca gerekli olduğu ölçüde yetkili Kullanıcıları adına ve hesabına imzalar.

Bu VİA ile Ana Sözleşme arasında herhangi bir çelişki olması halinde, Kişisel Verilerin İşlenmesine ilişkin olarak söz konusu çelişki ölçüsünde bu VİA hükümleri geçerli olacaktır.

1. TANIMLAR

1.1. “Ana Sözleşme”, Müşteri ile MEFERI (veya Bölüm 18.4 uyarınca Sözleşmeli MEFERI Bağlı Kuruluşu) arasında Hizmetlerin sağlanması için akdedilen birincil yazılı sözleşmeyi (Hizmet Şartları, Genel Hizmet Şartları, Ana Hizmet Sözleşmesi, Hizmet Sözleşmesi, Abonelik Sözleşmesi veya benzeri başlıklarla anılabilir) ifade eder. Bu sözleşmeye, belirli hizmet planı şartları (örneğin “MeCare (Plan Adı): Genel Hizmet Şartları”) ve bu kapsamda düzenlenen sipariş formları veya iş beyanları dahildir. Bu DPA, söz konusu Ana Sözleşmenin ayrılmaz bir parçasıdır.

1.2. “Uygulanabilir Veri Koruma Kanunu”, bu DPA kapsamında Kişisel Verilerin İşlenmesine ilişkin olarak geçerli olan tüm kanun ve yönetmelikleri ifade eder; bunlara, zaman zaman değiştirilen veya güncellenen GDPR ve ulusal uygulama yasaları, yönetmelikleri ve ikincil mevzuatlar dahildir ancak bunlarla sınırlı değildir.

1.3. “Denetleyici”, GDPR'nin 4(7) Maddesinde belirtilen anlama sahiptir. Bu DPA'nın amaçları doğrultusunda, Müşteri Denetleyici'dir.

1.4. “Veri Sahibi”, GDPR’nin 4(1) Maddesinde belirtilen anlama sahiptir.

1.5. “GDPR”, gerçek kişilerin kişisel verilerinin işlenmesi ve bu verilerin serbest dolaşımı konusunda korunması ve 95/46/EC sayılı Direktifi yürürlükten kaldıran 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Parlamentosu ve Konseyi Tüzüğü (Genel Veri Koruma Tüzüğü) anlamına gelir.

1.6. “Kişisel Veriler”, GDPR'nin 4(1) Maddesinde belirtilen anlama sahiptir ve Ek 1'de daha ayrıntılı olarak açıklandığı gibi, MEFERI tarafından Müşteri adına Hizmetlerin sağlanması sırasında İşlenen Kişisel Verilerle sınırlıdır.

1.7. “Kişisel Veri İhlali”, GDPR'nin 4(12) Maddesinde belirtilen anlamı taşır; özellikle MEFERI tarafından iletilen, saklanan veya başka bir şekilde İşlenen Müşteri Kişisel Verilerinin kazara veya hukuka aykırı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisizce ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali anlamına gelir.

1.8. “İşleme”, GDPR'nin 4(2) Maddesinde belirtilen anlama sahiptir. “İşlem” ve “İşlenmiş” ifadeleri buna göre yorumlanacaktır.

1.9. “İşlemci”, MEFERI Technologies Co., Ltd. (MEFERI) veya bu DPA'nın 18.4. Bölümü uyarınca geçerli olduğu durumlarda, Müşteri ile Ana Sözleşme'nin Sözleşmeli MEFERI Bağlı Şirketi anlamına gelir.

1.10. “Hizmetler”, MEFERI tarafından Ana Sözleşme kapsamında Müşteriye sağlanan ürün ve hizmetler anlamına gelir. Bunlara, özellikle MEFERI'nin Shadowalk MDM/EMM Bulut Çözümü, MEFERI'nin işlemci olarak hareket ettiği CIAO Akıllı Alışveriş Asistanı (ISA) çözümünün bulutta barındırılan bileşenleri ve MEFERI'nin Müşteri Kişisel Verilerini İşlediği ilgili destek hizmetleri (MEFERI MeCare hizmet sözleşmesi kapsamında sağlanan hizmetler dahil ancak bunlarla sınırlı olmamak üzere) dahildir. Açıklık getirmek gerekirse, Hizmetler, Kişisel Verilerin sürekli İşlenmesinin yalnızca Müşteri ortamında gerçekleştirildiği MEFERI yazılımının şirket içi dağıtımlarını kapsamaz; MEFERI'nin Müşterinin talimatı doğrultusunda destek için bu sistemlere eriştiği durumlar hariçtir.

1.11. “Alt işlemci”, MEFERI tarafından Hizmetlerle bağlantılı olarak Müşteri adına Kişisel Verileri İşlemek üzere görevlendirilen herhangi bir üçüncü taraf anlamına gelir.

1.12. “Teknik ve Organizasyonel Önlemler” veya “TOM’lar”, MEFERI tarafından Kişisel Verileri korumak için uygulanan ve Ek 2’de daha ayrıntılı olarak açıklanan güvenlik önlemleri anlamına gelir.

1.13. “Üçüncü Taraf Ortak Çözümleri”, MEFERI'nin donanımı veya Hizmetleri ile entegre edilebilen veya bunlarla birlikte kullanılabilen, ödeme çözümleri (örneğin, WorldLine “Tap on Mobile”) veya perakende kendi kendine tarama yazılımı (örneğin, 4MAX “Scan & Go”) gibi üçüncü taraflarca sağlanan yazılım veya hizmetler anlamına gelir ve Müşterinin söz konusu üçüncü taraf ile doğrudan sözleşmesel bir ilişkisi olabilir.

2. ROLLER VE SORUMLULUKLAR

2.1. Tarafların Rolleri: Müşteri, Müşteri Kişisel Verilerinin Denetleyicisi ve MEFERI ise İşleyicisidir. Her taraf, Geçerli Veri Koruma Kanunu kapsamındaki ilgili yükümlülüklerine uyacaktır.

2.2. Müşterinin Kontrolör Olarak Yükümlülükleri: Müşteri aşağıdakileri beyan ve garanti eder:

a. Kişisel Verilerin İşlenmesi ve MEFERI'ye verdiği tüm işleme talimatları ile ilgili olarak Uygulanabilir Veri Koruma Kanunu'nun tüm geçerli hükümlerine uymuştur ve uymaya devam edecektir;

b. Kişisel Verilerin doğruluğu, niteliği ve yasallığı ile Kişisel Verileri elde ettiği yollardan, gerekli tüm izinlerin alınması, gerekli tüm bildirimlerin sağlanması ve MEFERI tarafından bu DPA ve Ana Sözleşme uyarınca Kişisel Verilerin İşlenmesi için geçerli bir yasal temele sahip olunması dahil olmak üzere, münhasıran sorumludur; ve

c. Kişisel Verilerin İşlenmesine ilişkin MEFERI'ye vereceği talimatlar, Uygulanabilir Veri Koruma Kanunu'na uygun olacaktır.

2.3. MEFERI'nin İşlemci Olarak Yükümlülükleri: MEFERI:

a. Kişisel Verileri, MEFERI'nin tabi olduğu Birlik veya Üye Devlet yasaları gerektirmediği sürece, Kişisel Verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması da dahil olmak üzere, yalnızca Müşteri'nin belgelendirilmiş talimatları doğrultusunda işleyecektir; bu durumda, MEFERI, söz konusu yasa kamu yararı açısından önemli gerekçelerle bu tür bilgilerin kullanılmasını yasaklamadığı sürece, İşlemeden önce Müşteri'yi bu yasal gereklilik hakkında bilgilendirecektir (GDPR Madde 28(3)(a)). Ana Sözleşme ve bu DPA, Müşteri'nin MEFERI'ye Kişisel Verileri İşlemesi için verdiği belgelendirilmiş talimatları teşkil eder.

b. MEFERI'nin kanaatine göre bir talimatın Uygulanabilir Veri Koruma Kanunu'nu (GDPR Madde 28(3)) ihlal ettiği takdirde Müşteriyi derhal bilgilendirin.

3. İŞLEME DETAYLARI

3.1. İşlemenin konusu, İşlemenin süresi, İşlemenin niteliği ve amacı, Kişisel Veri türleri ve Veri Sahibi kategorileri, bu DPA'nın Ek 1'inde (İşleme Ayrıntıları) yer almaktadır.

4. GİZLİLİK

4.1. MEFERI, Kişisel Verileri İşleme yetkisine sahip personelinin gizliliğe bağlı kalmasını veya uygun yasal gizlilik yükümlülüğü altında olmasını sağlar (GDPR Madde 28(3)(b)).

5. İŞLEMENİN GÜVENLİĞİ

5.1. MEFERI, mevcut teknolojiyi, uygulama maliyetlerini ve İşlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve gerçek kişilerin hak ve özgürlükleri açısından farklı olasılık ve ciddiyetteki riski dikkate alarak, Ek 2'de (Teknik ve Organizasyonel Önlemler) (Madde 28(3)(c) ve Madde 32 GDPR) açıklandığı gibi, riske uygun bir güvenlik düzeyini sağlamak için uygun Teknik ve Organizasyonel Önlemleri uygulayacak ve sürdürecektir.

5.2. MEFERI, bu tür güncelleme ve değişikliklerin Hizmetlerin genel güvenliğinin önemli ölçüde bozulmasına yol açmaması koşuluyla, TOM'ları zaman zaman güncelleyebilir veya değiştirebilir.

6. ALT İŞLEME

6.1. Genel Yetkilendirme: Müşteri, Hizmetlerin sağlanmasıyla bağlantılı olarak Müşteri adına Kişisel Verileri İşlemek üzere Alt İşlemcileri görevlendirmek için MEFERI'ye genel yazılı yetki verir (GDPR Madde 28(2)).

6.2. Mevcut Alt İşlemciler ve Yeni Alt İşlemcilerin Bildirimi: MEFERI, mevcut Alt İşlemcilerinin bir listesini tutacak ve bu listeyi Müşterinin talebi üzerine veya belirlenmiş bir web sayfası aracılığıyla (bkz. Ek 3) Müşteriye sunacaktır. MEFERI, diğer Alt İşlemcilerin eklenmesi veya değiştirilmesiyle ilgili amaçlanan değişiklikleri Müşteriye en az otuz (30) takvim günü önceden bildirecek ve böylece Müşteriye bu değişikliklere itiraz etme fırsatı verecektir.

6.3. Yeni Alt İşlemcilere İtiraz: Müşteri, MEFERI'nin yeni bir Alt İşlemci kullanmasına itiraz etmek için makul bir gerekçeye sahipse, MEFERI'nin bildirimini aldıktan sonraki on (10) iş günü içinde MEFERI'yi derhal yazılı olarak bilgilendirmelidir. Müşterinin itiraz etmesi halinde, MEFERI, itiraz edilen yeni Alt İşlemci tarafından Kişisel Verilerin İşlenmesini Müşteri'ye makul olmayan bir yük getirmeden önlemek için Hizmetlerde bir değişiklik sağlamak veya Müşteri'nin yapılandırmasında veya Hizmetlerin kullanımında ticari açıdan makul bir değişiklik önermek için makul çaba gösterecektir. MEFERI, otuz (30) takvim gününü geçmeyecek makul bir süre içinde bu değişikliği sağlayamazsa, Müşteri, itiraz edilen yeni Alt İşlemci kullanılmadan MEFERI tarafından sağlanamayan Hizmetlerin ilgili kısmını MEFERI'ye yazılı bildirimde bulunarak sonlandırabilir.

6.4. Alt İşlemci Yükümlülükleri: MEFERI, görevlendirdiği herhangi bir Alt İşlemcinin, bu DPA kapsamında MEFERI'ye yüklenenlere en azından eşdeğer veri koruma yükümlülükleri getiren Birlik veya Üye Devlet yasaları uyarınca yazılı bir sözleşmeye veya diğer yasal işleme tabi olmasını, özellikle İşlemenin Uygulanabilir Veri Koruma Yasası'nın (GDPR Madde 28(4)) gerekliliklerini karşılayacak şekilde uygun teknik ve organizasyonel önlemleri uygulamaya yönelik yeterli garantiler sağlamasını temin eder.

6.5. Sorumluluk: MEFERI, Alt İşlemcilerin veri koruma yükümlülüklerinin yerine getirilmesinden Müşteriye karşı tam olarak sorumlu kalacaktır.

7. VERİ SAHİBİNİN HAKLARI

7.1. İşlemenin niteliğini göz önünde bulundurarak MEFERI, Müşterinin GDPR'nin III. Bölümünde belirtilen Veri Sahibinin haklarını kullanma taleplerine yanıt verme yükümlülüğünü yerine getirmesi için, mümkün olduğu ölçüde, uygun teknik ve organizasyonel önlemleri uygulayarak Müşteriye yardımcı olacaktır (GDPR Madde 28(3)(e)).

7.2. MEFERI, bir Veri Sahibinden Müşteri Kişisel Verileriyle ilgili doğrudan bir talep alırsa, MEFERI bu talebi Müşteriye derhal bildirecek ve talebin Müşteri ile ilgili olduğunu teyit etmek dışında Veri Sahibine yanıt vermeyecektir. Müşteri, bu tür tüm Veri Sahibi taleplerine yanıt vermekten sorumlu olacaktır.

8. DENETLEYİCİYE YARDIM

8.1. İşlemenin niteliğini ve MEFERI'nin elindeki bilgileri dikkate alarak MEFERI, GDPR'nin 32 ila 36. Maddeleri (İşlemenin Güvenliği, Kişisel Veri İhlali bildiriminin denetim makamına yapılması, Kişisel Veri İhlali bildiriminin Veri Sahibine iletilmesi, Veri Koruma Etki Değerlendirmesi ve denetim makamıyla önceden istişare) (GDPR'nin 28(3)(f) Maddesi) uyarınca yükümlülüklerine uyulmasını sağlamak amacıyla Müşteriye makul yardım sağlayacaktır.

9. KİŞİSEL VERİ İHLALİ BİLDİRİMİ

9.1. Müşteriye Bildirim:

MEFERI, Müşteri Kişisel Verilerini etkileyen bir Kişisel Veri İhlali'nin farkına vardıktan sonra, gereksiz gecikme olmaksızın ve her durumda kırk sekiz (48) saat içinde Müşteri'yi bilgilendirecektir (Madde 28(3)(f) ve Madde 33(2) GDPR).

9.2. Bu bildirim mümkün olduğu ölçüde şunları açıklayacaktır:

a. Mümkün olduğu takdirde, ilgili Veri Sahiplerinin kategorileri ve yaklaşık sayıları ve ilgili Kişisel Veri kayıtlarının kategorileri ve yaklaşık sayıları dahil olmak üzere Kişisel Veri İhlalinin niteliği;

b. MEFERI'nin Veri Koruma Görevlisinin veya daha fazla bilgi edinilebilecek diğer iletişim noktasının adı ve iletişim bilgileri;

c. Kişisel Veri İhlalinin muhtemel sonuçları; ve

d. MEFERI tarafından Kişisel Veri İhlali ile ilgili olarak alınan veya alınması önerilen önlemler, uygun olduğu durumlarda olası olumsuz etkilerini azaltmaya yönelik önlemler dahil.

9.3. Tüm bilgilerin aynı anda sağlanması mümkün olmadığı takdirde, bilgiler gereksiz yere daha fazla gecikmeye mahal vermeden aşamalı olarak sağlanabilir.

9.4. Müşteri, Uygulanabilir Veri Koruma Yasası kapsamındaki kendi veri ihlali bildirim yükümlülüklerine uymaktan münhasıran sorumludur. MEFERI'nin bu Bölüm 9 kapsamındaki bir Kişisel Veri İhlali bildirimi veya buna yanıtı, MEFERI tarafından Kişisel Veri İhlali ile ilgili herhangi bir kusur veya yükümlülüğün kabul edildiği anlamına gelmeyecektir.

10. VERİLERİN SİLİNMESİ VEYA İADE EDİLMESİ

10.1. Müşterinin tercihine bağlı olarak, MEFERI, İşleme ile ilgili Hizmetlerin sağlanmasının sona ermesinden sonra tüm Kişisel Verileri silecek veya Müşteriye iade edecek ve Birlik veya Üye Devlet yasaları Kişisel Verilerin saklanmasını gerektirmediği sürece mevcut kopyaları silecektir (GDPR Madde 28(3)(g)). Belirli saklama ve silme zaman çizelgeleri, Ana Sözleşme'de belirtildiği veya aksi kararlaştırıldığı şekilde olacaktır.

11. DENETİMLER VE İNCELEMELER

11.1. MEFERI, GDPR'nin 28. Maddesinde belirtilen yükümlülüklere uyumu göstermek için Müşteriye gerekli tüm bilgileri sağlayacak ve Müşteri veya Müşteri tarafından yetkilendirilen başka bir denetçi tarafından yürütülen denetimlere (teftişler dahil) izin verecek ve katkıda bulunacaktır (GDPR'nin 28(3)(h) Maddesi).

11.2. Bu tür denetimler, MEFERI'nin normal çalışma saatleri içerisinde, en az otuz (30) takvim günü önceden yazılı bildirimde bulunulması kaydıyla gerçekleştirilecek ve MEFERI'nin ticari faaliyetlerine makul olmayan bir şekilde müdahale etmeyecektir. Müşteri ve MEFERI, denetimin kapsamı, zamanlaması ve süresi konusunda karşılıklı olarak anlaşacaklardır.

11.3. Müşteri, tüm denetçilerin yazılı bir gizlilik sözleşmesi kapsamında hareket etmesini sağlayacaktır. Müşteri, kendi masraflarını ve yetkili denetçisinin masraflarını karşılayacaktır. Denetim, MEFERI tarafından bu Gizlilik Sözleşmesi'nin önemli bir ihlalini ortaya çıkarırsa, MEFERI, karşılıklı olarak kararlaştırılan bir üst sınıra kadar, denetimin makul masraflarını karşılayacaktır.

11.4. Yasanın izin verdiği ölçüde, MEFERI, uygun gizlilik yükümlülüklerine tabi olarak, Müşteriye bağımsız bir üçüncü taraf denetçiden alınan ilgili sertifikaları (örneğin, ISO 27001, SOC 2 Tip II) veya bunların özetlerini sağlayarak denetim yükümlülüklerini yerine getirebilir.

12. ULUSLARARASI VERİ AKTARIMLARI

12.1. MEFERI, GDPR'nin V. Bölümünde gerekli görülen uygun güvenlik önlemlerinin alınmasını sağlamadan (örneğin, Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri'ne girerek) Kişisel Verileri Avrupa Ekonomik Alanı (AEA) dışındaki herhangi bir ülkeye veya GDPR'nin 45. Maddesi uyarınca Avrupa Komisyonu tarafından yeterli görülen bir ülkeye aktarmayacaktır.

12.2. Hizmetler için birincil veri işleme konumları, özellikle Müşteri Kişisel Verilerinin MEFERI tarafından ana bulut altyapısında barındırıldığı yerler, Amazon Web Services (AWS) bölgesi eu-west-3 (Paris, Fransa) kullanılarak Avrupa Ekonomik Alanı (AEA) içinde olacaktır. Bulut altyapısı sağlayıcıları ve konumları da dahil olmak üzere alt işlemciler hakkında daha fazla bilgi Ek 3'te yer almaktadır.

12.3. MEFERI, yeterli düzeyde koruma sağlamayan üçüncü bir ülkedeki (yani, AEA dışında veya Avrupa Komisyonu tarafından yeterli kabul edilmeyen bir ülke) bir Alt İşlemciye Kişisel Veri aktarımı yaparsa, MEFERI, söz konusu aktarımın GDPR'nin V. Bölümü kapsamındaki Standart Sözleşme Maddeleri gibi uygun bir aktarım mekanizması kapsamında olmasını sağlayacaktır. Bu, MEFERI'nin altyapısı veya destek personeli bu tür üçüncü ülkelerde bulunan bir alt işlemcinin hizmetlerinden yararlanması durumunda, 12.2'de belirtilen birincil işlem konumu AEA içinde olsa bile, gerçekleşebilecek aktarımları da kapsar.

13. MEFERI'NİN ÜÇÜNCÜ TARAF ORTAK ÇÖZÜMLERİNİ KULLANMASI

13.1. Müşteri, MEFERI'nin donanımının veya Hizmetlerinin Üçüncü Taraf Ortak Çözümleriyle (örneğin, CIAO cihazlarındaki ödeme işleme çözümleri, belirli perakende yönetim yazılımları) birlikte kullanılabileceğini kabul eder.

13.2. Müşteri, bu Üçüncü Taraf Ortak Çözümlerini kullanmayı seçtiğinde, söz konusu çözümlerin sağlayıcılarıyla doğrudan sözleşmesel bir ilişkiye girebilir. Bu gibi durumlarda, üçüncü taraf sağlayıcı, Müşterinin söz konusu üçüncü tarafla yaptığı sözleşmeye göre, hizmetleriyle bağlantılı olarak işlediği Kişisel Veriler için Denetleyici veya İşleyici olarak hareket edebilir.

13.3. Bu DPA, yalnızca MEFERI tarafından Müşteri adına bir İşleyici olarak Kişisel Verilerin İşlenmesini düzenler. Müşterinin bu tür sağlayıcılarla doğrudan ilişkisi olduğu Üçüncü Taraf Ortak Çözüm sağlayıcıları tarafından yürütülen İşleme faaliyetleri için geçerli değildir; ancak söz konusu sağlayıcı, bu DPA'nın 6. Bölümü uyarınca MEFERI'ye Alt İşleyici olarak hareket ediyorsa bu durum geçerlidir.

14. SORUMLULUK VE TAZMİNAT

14.1. Bu VİA kapsamındaki her bir tarafın sorumluluğu, Ana Sözleşmede belirtilen sorumluluk sınırlamalarına ve istisnalarına tabi olacaktır.

14.2. Müşteri, MEFERI'yi bu DPA veya Uygulanabilir Veri Koruma Yasası kapsamındaki yükümlülüklerini ihlal etmesi nedeniyle MEFERI'nin uğrayacağı tüm talepler, eylemler, üçüncü taraf talepleri, kayıplar, zararlar ve masraflar (makul avukatlık ücretleri dahil) karşısında tazmin edecek ve zararsız tutacaktır.

15. SÜRE VE FESİH

15.1. Bu DPA, Ana Sözleşmenin yürürlük tarihinden itibaren yürürlüğe girecek ve Ana Sözleşmenin feshedilmesine veya sona ermesine ya da MEFERI'nin Müşteri adına Kişisel Verileri İşlemeyi bırakmasına kadar, hangisi daha sonra gerçekleşirse, yürürlükte kalacaktır.

15.2. Gizlilik yükümlülükleri, verilerin silinmesi/iadesi ve doğası gereği feshedilmesinden sonra da geçerliliğini koruması gereken tüm hükümler, bu DPA'nın feshedilmesinden veya sona ermesinden sonra da geçerliliğini koruyacaktır.

16. BU VPA'DAKİ DEĞİŞİKLİKLER

16.1. MEFERI, bu DPA'yı zaman zaman, değiştirilmiş versiyonunu kendi web sitesinde yayınlayarak veya Müşteri'ye başka şekilde bildirimde bulunarak değiştirebilir.

16.2. MEFERI, bu DPA'da önemli bir değişiklik yaparsa, Müşteri'ye değişiklik hakkında makul bir bildirimde bulunacaktır (örneğin, Müşteri'nin belirlediği iletişim kişisine e-posta veya Hizmetler kapsamında bir bildirim yoluyla). Müşteri'nin bu bildirim süresinden sonra Hizmetleri kullanmaya devam etmesi, değiştirilen DPA'yı kabul ettiği anlamına gelecektir. Müşteri önemli bir değişikliğe itiraz ederse, Ana Sözleşme'yi hükümlerine uygun olarak feshedebilir.

17. GEÇERLİ HUKUK VE UYUŞMAZLIK ÇÖZÜMÜ

17.1. Uygulanacak Hukuk: Bu DPA, Müşteri ile söz konusu Ana Sözleşme'nin tarafı olan MEFERI tüzel kişiliği ("Sözleşme Yapan MEFERI Tüzüğü") arasında akdedilen Ana Sözleşme'de öngörülen ve uygulanacak hukuk olarak öngörülen kanunlara tabi olacak ve bu kanunlara göre yorumlanacaktır.

17.2. Uyuşmazlıkların Çözümü:

a. Taraflar, bu DPA'dan, yorumlanmasından, geçerliliğinden, ihlalinden veya feshinden kaynaklanan veya bunlarla ilgili her türlü uyuşmazlığı, anlaşmazlığı veya talebi ("Uyuşmazlık") yetkili temsilcileri arasında iyi niyetli müzakereler yoluyla dostane bir şekilde çözmeye çalışacaklardır. b. Bir Uyuşmazlık, bir Tarafın müzakereleri başlattığı yönündeki yazılı bildiriminden itibaren otuz (30) takvim günü içinde müzakere yoluyla çözülemezse, söz konusu Uyuşmazlık, Ana Sözleşme'de belirtilen uyuşmazlık çözüm mekanizmasına (örneğin tahkim veya mahkeme işlemleri) ve mahkeme yerine uygun olarak çözülecektir. c. Ana Sözleşme'de tahkim öngörülüyorsa:

i. Bu tür tahkim, bu DPA kapsamındaki Uyuşmazlıkların çözümü için birincil mekanizma olacaktır. ii. Ana Sözleşme'de aksi belirtilmedikçe veya Ana Sözleşme, bu DPA ile ilgili konularda tahkimin ayrıntıları konusunda sessiz kalmadıkça, Taraflar, söz konusu herhangi bir Uyuşmazlığın, karşılıklı olarak mutabık kalınan uluslararası alanda tanınmış bir tahkim kurumu (Shenzhen Uluslararası Tahkim Mahkemesi (SCIA), Singapur Uluslararası Tahkim Merkezi (SIAC) veya Hong Kong Uluslararası Tahkim Merkezi (HKIAC) gibi veya Sözleşmeci MEFERI Kuruluşu AB merkezli bir iştirak ise Avrupa Birliği içindeki uygun bir kurum) tarafından yönetilen tahkime sunulabileceğini kabul eder. iii. Tahkim İngilizce olarak yürütülecektir. Tahkim yeri veya yasal yeri, Ana Sözleşme'de belirtildiği gibi veya belirtilmemişse ya da belirli bir Uyuşmazlık için farklı bir yer karşılıklı olarak kararlaştırılmışsa, Tarafların karşılıklı mutabakatı ile veya makul bir süre içinde böyle bir anlaşmaya varılamaması durumunda Sözleşmeci MEFERI Kuruluşu tarafından seçilecek bir yer olacaktır. iv. Tahkim kararı, tahkim yerinin hukukunun usul adaletsizliği veya yargı yetkisinin bulunmaması nedeniyle izin verdiği her türlü temyiz hakkı saklı kalmak üzere, her iki Taraf için kesin ve bağlayıcı olacaktır.

d. Ana Sözleşmede mahkeme yargılaması öngörülmüşse, aşağıdaki 17.3. Madde hükmü saklı kalmak üzere, burada belirtilen mahkemeler yetkili olacaktır.

17.3. Zorunlu Veri Koruma Yasası Hususları: a. Bu DPA'da veya Ana Sözleşme'de yer alan diğer hükümlere bakılmaksızın, Uygulanabilir Veri Koruma Yasası (GDPR dahil ancak bununla sınırlı olmamak üzere) bir Veri Sahibine, daimi ikametgahının veya çalışma yerinin mahkemelerinde veya iddia edilen ihlalin meydana geldiği yerde dava açma veya bir denetim makamına şikayette bulunma konusunda zorunlu haklar veriyorsa, bu haklar bu DPA'nın hükümleri tarafından zedelenmeyecektir. b. GDPR'nin uygulandığı durumlarda, MEFERI ve Müşteri, herhangi bir geçerli yasa veya yargı yetkisi seçiminin, Veri Sahiplerinin ikamet ettikleri Avrupa Birliği Üye Devleti yasasının zorunlu hükümlerinden yararlanmalarını engellememesini sağlayacaktır.

17.4. Sürekli Performans: Bir Anlaşmazlığın çözümüne kadar, Taraflar, DPA veya Ana Sözleşme feshedilmediği sürece, bu DPA kapsamındaki yükümlülüklerini mümkün olduğu ölçüde yerine getirmeye devam edeceklerdir.

18. İLETİŞİM BİLGİLERİ / VERİ KORUMASI

18.1. İşlemci: MEFERI Technologies Co., Ltd. Adres: 5F, A5, Tianfu Yazılım Parkı, No. 1129, Century City Yolu, Yüksek Teknoloji Bölgesi, 610000, Chengdu, Sichuan, Çin Halk Cumhuriyeti

– Veri koruma soruları için e-posta: legal@meferi.com

18.2. Veri Koruma Soruları ve DPO (MEFERI Technologies Co., Ltd. için): Bu DPA kapsamındaki veri korumasıyla ilgili tüm sorular, yukarıdaki Bölüm 18.1'de MEFERI Technologies Co., Ltd. için belirtilen e-posta adresine yönlendirilmelidir.

18.3. MEFERI Technologies Co., Ltd. şirketinin AB Temsilcisi (GDPR'nin 27. maddesi uyarınca): AB Temsilcisinin adı: MEFERI Poland Sp. z oo Adres: Ul. Modelarska 18/2, 40-142 Katowice, Polonya AB veri koruma soruları için e-posta adresi (MEFERI Technologies Co., Ltd. tarafından yapılan işleme ilişkin AB'deki Veri Sahipleri ve Denetleyici Kurumlar için): polonya@meferi.com

18.4. MEFERI Bağlı Kuruluşları Tarafından İşleme: Müşteri, MEFERI Technologies Co., Ltd.'nin (örneğin, MEFERI Poland Sp. z oo) bir bağlı kuruluşuyla (“Sözleşmeli MEFERI Bağlı Kuruluşu”) bir Ana Sözleşme imzaladığında ve söz konusu Sözleşmeli MEFERI Bağlı Kuruluşu, söz konusu Ana Sözleşme kapsamında Kişisel Verilerin İşleyicisi olarak hareket ettiğinde:

a) Bu DPA, Sözleşmeli MEFERI Bağlı Kuruluşu tarafından gerçekleştirilen işleme faaliyetlerine uygulanacaktır ve burada geçen “MEFERI” veya “İşlemci” ifadelerinin tümü, söz konusu Sözleşmeli MEFERI Bağlı Kuruluşunu ifade ediyor sayılacaktır.

b) Söz konusu Sözleşmeli MEFERI Bağlı Kuruluşu tarafından yapılan işleme ilişkin veri koruma soruları için iletişim bilgileri, Ana Sözleşme'de belirtildiği veya Sözleşmeli MEFERI Bağlı Kuruluşu tarafından Müşteri'ye başka şekilde bildirildiği şekilde olacaktır. MEFERI Poland Sp. z oo için iletişim bilgileri şu şekildedir: Adres: Ul. Modelarska 18/2, 40-142 Katowice, Polonya

E-posta: polonya@meferi.com

Telefon: +48 734-143-579

c) Bu tür durumlarda bu DPA'nın tabi olduğu hukuk ve uyuşmazlık çözümü, Sözleşme Sahibi MEFERI Bağlı Kuruluşu ile yapılacak Ana Sözleşme ile belirlenecektir.

19. TAM ANLAŞMAMENT

19.1. Ekleri de dahil olmak üzere bu DPA, taraflar arasındaki konuya ilişkin tüm sözleşmeyi oluşturur ve konusuna ilişkin daha önceki ve eş zamanlı tüm sözleşmelerin, tekliflerin veya yazılı veya sözlü beyanların yerini alır.

BUNU ŞAHİT OLMAK ÜZERE, taraflar, Ana Sözleşmenin Yürürlük Tarihi veya Müşterinin Hizmetleri kullanmaya başladığı tarih itibarıyla bu Veri İşleme Sözleşmesini kabul ettiklerini beyan ederler.

—

EK 1

İŞLEM DETAYLARI

Bu Ek 1, DPA'nın bir parçasını oluşturur ve MEFERI tarafından Müşteri adına Kişisel Verilerin İşlenmesini açıklar.

A. TARAFLARIN LİSTESİ

Denetleyici(ler) / Müşteri(ler):

Hizmetlerin sağlanması amacıyla MEFERI ile Ana Sözleşme'yi imzalayan tüzel kişi. Müşteri, Kişisel Verilerin İşlenme amaçlarını ve araçlarını belirler.

İşlemci(ler) / MEFERI:

MEFERI Technologies Co., Ltd. veya bu DPA'nın 18.4. Bölümü uyarınca geçerli olduğu durumlarda, Müşteri ile Ana Sözleşme'nin Sözleşmeli MEFERI Bağlı Şirketi, Müşteri'ye Hizmetleri sağlamaktadır.

B. İŞLEMENİN AÇIKLAMASI

1. İşlemenin Konusu:

Müşterinin Ana Sözleşme kapsamında abone olduğu MEFERI Hizmetlerinin sağlanması, sürdürülmesi, desteklenmesi ve iyileştirilmesi bağlamında Kişisel Verilerin İşlenmesi; bunlara, ancak bunlarla sınırlı olmamak üzere MEFERI Shadowalk MDM/EMM Bulut Çözümü ve CIAO Akıllı Alışveriş Asistanı (ISA) çözümünün bulutta barındırılan bileşenleri dahildir.

2. İşlemenin Süresi:

MEFERI ile Müşteri arasındaki Ana Sözleşmenin süresi boyunca ve tüm Kişisel Veriler DPA'nın 10. Maddesi uyarınca silinene veya iade edilene kadar.

3. İşlemenin Niteliği ve Amacı:

– MEFERI Shadowalk MDM/EMM Bulut Çözümü için: Müşterinin mobil cihaz filosunu uzaktan yönetmesini, güvenliğini sağlamasını, izlemesini ve desteklemesini sağlamak. Bu, cihaz sağlama, yapılandırma yönetimi, uygulama yönetimi, güvenlik politikası uygulama, cihaz izleme (Müşteri tarafından etkinleştirilmişse), uzaktan tanılama ve Müşteri için cihaz durumu ve kullanımı hakkında raporlar oluşturmayı içerir.

– MEFERI CIAO ISA Bulut Bileşenleri için (MEFERI'nin İşlemci olduğu durumlarda): Müşteri (perakendeci) için akıllı alışveriş asistanı çözümünün çalışmasını kolaylaştırmak. Bu, kullanıcı kimlik doğrulaması, alışveriş listelerinin yönetimi, ürün bilgilerinin işlenmesi, müşteri etkileşim verilerinin işlenmesi (perakendeciye sağlanan analizler için) ve Müşteri tarafından yönlendirildiği şekilde üçüncü taraf hizmetlerle entegrasyonların etkinleştirilmesini içerebilir.

– MeCare Hizmet Sözleşmeleri: MEFERI MeCare Hizmetleri için (MEFERI'nin İşlemci olarak hareket ettiği durumlarda): Geçerli “MeCare (Plan Adı): Genel Hizmet Şartları” ve MeCare Destek Hizmetleri Kılavuzu'nda açıklandığı şekilde sözleşmeli destek, bakım, onarım, izleme ve cihaz yönetimi hizmetleri sağlamak; bu, Müşterinin cihazlarında depolanan veya iletilen ya da hizmet sunumu sırasında Müşteri tarafından sağlanan Kişisel Verilere erişmeyi, bunları toplamayı veya başka şekilde İşlemeyi içerebilir.

– Destek Hizmetleri İçin: Müşterinin talebi ve talimatı üzerine Hizmetler kapsamında veya Müşterinin sistemlerinde işlenen Kişisel Verilere erişim sağlanmasını içerebilecek şekilde, Hizmetler için teknik destek, sorun giderme, bakım ve güncellemeler sağlamak.

– Bu DPA ve Ana Sözleşmede belirtilen Müşterinin belgelendirilmiş talimatlarına uymak.

– Yürürlükteki yasal yükümlülüklere uymak.

4. Veri Sahibi Kategorileri:

– Müşterinin çalışanları, yüklenicileri ve yetkili kullanıcıları: Müşteri adına Hizmetleri yöneten veya kullanan kişiler (örneğin, Shadowalk kullanan BT yöneticileri, CIAO'yi yöneten veya kullanan perakende personeli).

– Müşterinin yönettiği cihazların son kullanıcıları (Shadowalk için): Müşteri tarafından Shadowalk çözümü aracılığıyla yönetilen mobil bilgisayarları veya diğer cihazları kullanan kişiler (örneğin, Müşterinin çalışanları).

– Müşterinin müşterileri (alışveriş yapanlar) (CIAO için, MEFERI'nin perakendeci Müşteri adına Kişisel Verilerini bir bulut arka planında işlemesi durumunda): Perakendecinin mağazasında CIAO ISA cihazlarını kullanan kişiler.

5. İşlenen Kişisel Veri Türleri:

İşlenen Kişisel Verilerin belirli türleri, Müşteri tarafından kullanılan Hizmetlere ve Müşterinin bu Hizmetleri nasıl yapılandırıp kullandığına bağlı olacaktır. Kişisel Veriler şunları içerebilir:

– Kullanıcı Hesabı ve İletişim Bilgileri: Ad, e-posta adresi, kullanıcı adı, şifreler, telefon numarası, iş unvanı, departman, çalışan kimliği, Hizmetler kapsamındaki rol/izinler (Müşteri tarafından hizmet yönetimi için geçerliyse).

– Cihaz Bilgileri (Shadowalk için): Cihaz tanımlayıcıları (örneğin, seri numarası, IMEI, MAC adresi, UDID), cihaz modeli, işletim sistemi sürümü, IP adresi, ağ bilgileri, cihaz yapılandırma ayarları, yüklü uygulamalar, cihaz konum verileri (Müşteri tarafından etkinleştirilmişse).

– Kullanım ve Günlük Verileri (Shadowalk ve CIAO bulutu için): Hizmetlerin kullanımıyla ilgili sistem günlükleri, denetim izleri, etkinlik günlükleri, performans verileri, tanılama verileri.

– Alışverişçi Verileri (CIAO için, varsa): Alışverişçi hesap bilgileri (örneğin, sadakat kimliği, alışverişçinin CIAO'deki perakendeci uygulaması aracılığıyla kayıt için sağlaması durumunda e-posta), alışveriş listeleri, ürün tarama geçmişi, CIAO cihazıyla etkileşim verileri.

– Destek Verileri: Müşteri tarafından destek etkileşimleri sırasında sağlanan bilgiler; iletişim bilgileri, sorunların açıklamaları, sistem yapılandırma ayrıntıları ve sorun giderme amacıyla MEFERI ile paylaşılan günlüklerde veya dosyalarda bulunan tüm Kişisel Veriler.

– Müşterinin (veya yetkili kullanıcılarının veya Veri Sahiplerinin) Hizmetlere sunmayı seçtiği diğer Kişisel Veriler.

6. Özel Nitelikli Kişisel Veriler (varsa):

MEFERI, Müşteri adına herhangi bir Özel Kategori Kişisel Veriyi (GDPR Madde 9'da tanımlandığı şekilde) işlemeyi amaçlamamaktadır. Müşteri, MEFERI ile yazılı olarak açıkça mutabık kalınmadıkça ve uygun güvenlik önlemleri alınmadıkça, herhangi bir Özel Kategori Kişisel Veriyi yüklemeyecek, sağlamayacak veya MEFERI'ye İşlemesi talimatı vermeyecektir. Müşteri, önceden onay almadan bu tür verileri sağlarsa, söz konusu İşleme için geçerli bir yasal dayanak sağlamaktan yalnızca Müşteri sorumludur.

—

EK 2

TEKNİK VE ÖRGÜTSEL GÜVENLİK MEASURES (TOMS)

Bu Ek 2, MEFERI tarafından Kişisel Verilerin İşlenmesi için uygun bir güvenlik düzeyinin sağlanması amacıyla uygulanan Teknik ve Organizasyonel Önlemleri açıklamaktadır. MEFERI, bu güncellemelerin Hizmetlerin genel güvenliğini önemli ölçüde azaltmaması koşuluyla, bu önlemleri zaman zaman güncelleyebilir.

1. Bilgi Güvenliği Politikaları ve Yönetimi:

a. MEFERI, Kişisel Verileri korumak için tasarlanmış iç politikalar ve prosedürler sürdürür.

b. Bilgi güvenliğine ilişkin sorumluluklar tanımlanır ve dağıtılır.

c. Kişisel Verilere yönelik tehditleri belirlemek ve azaltmak amacıyla düzenli risk değerlendirmeleri yapılır.

2. Personel Güvenliği:

a. Kişisel Verilere erişimi olan çalışanlar ve yükleniciler gizlilik yükümlülüklerine tabidir.

b. İlgili personele veri koruma ve güvenlik sorumlulukları konusunda güvenlik farkındalık eğitimi verilmektedir.

c. Uygulanabilir yasaların izin verdiği durumlarda, hassas rollerdeki personel için geçmiş kontrolleri yapılabilir.

3. Fiziksel Erişim Kontrolü:

a. MEFERI'nin Kişisel Verilerin İşlenebileceği tesislerine ve işyerlerine (örneğin ofislere) yetkisiz fiziksel erişimi önlemek için önlemler alınmıştır.

b. Bunlara güvenlik çevreleri, erişim kontrol sistemleri, gözetim ve uygun durumlarda fiziksel erişimin kaydedilmesi dahildir.

c. MEFERI tarafından Hizmetler için kullanılan veri merkezleri (yani, birincil bulut hizmeti sağlayıcısı Amazon Web Services – AWS'nin veri merkezleri) için MEFERI, AWS tarafından uygulanan güçlü fiziksel güvenlik önlemlerine güvenir.

4. Sistem Erişim Kontrolü (Mantıksal Erişim):

a. Bilişim sistemlerine erişim Kişisel Verilerin işlenmesi yetkili personel ile sınırlıdır.

b. Benzersiz kullanıcı kimlikleri ve güçlü kimlik doğrulama mekanizmaları (örneğin, karmaşık parolalar, uygun ve uygulanabilir olduğunda çok faktörlü kimlik doğrulama) kullanılır.

c. Erişim hakları en az ayrıcalık ilkesine göre verilir (rol tabanlı erişim denetimi).

d. Erişim haklarına ilişkin düzenli incelemeler yapılır.

e. Uzaktan erişim için güvenli protokoller kullanılır.

5. Veri Erişim Kontrolü:

a. Veri işleme sistemini kullanma yetkisine sahip kişilerin, kendilerine atanan rol ve sorumluluklara uygun olarak yalnızca erişim haklarının ilişkin olduğu Kişisel Verilere erişebilmelerini sağlamak için önlemler alınmıştır.

b. Kişisel Veriler, Hizmetlerin sağlanması için gerekli olduğu durumlar veya Müşteri tarafından talimat verildiği durumlar haricinde, İşleme, kullanım ve saklama sırasında yetkisiz olarak okunmaz, kopyalanmaz, değiştirilmez veya silinmez.

c. Uygun olan yerlerde görev ve verilerin ayrılması uygulanır.

6. Şanzıman Kontrolü:

a. Kişisel Veriler, elektronik ortamda iletim veya taşıma sırasında yetkisiz kişilerin okumasına, kopyalamasına, değiştirmesine veya yok etmesine karşı korunmaktadır.

b. Genel ağlar üzerinden iletilen Kişisel Verileri korumak için şifreleme teknolojileri (örneğin, Aktarım Katmanı Güvenliği – TLS/Güvenli Yuva Katmanı – SSL) kullanılır.

c. Kişisel Verilerin yer aldığı fiziksel ortamlara ilişkin aktarımlarda güvenli yöntemler kullanılır.

7. Giriş Kontrolü:

a. Kişisel Verilerin veri işleme sistemlerine girilip girilmediğinin, değiştirilip değiştirilmediğinin veya silinip silinmediğinin daha sonra kimler tarafından kontrol edilip edilemeyeceğinin tespit edilmesini sağlayacak tedbirler uygulanır (örneğin denetim kayıtları aracılığıyla).

b. Kişisel Verilerin İşlenmesine ilişkin kritik sistem faaliyetleri için kayıt tutma ve denetim kabiliyetleri uygulanmaktadır.

8. Veri Yedekleme ve Kurtarma:

a. Hizmetler kapsamında işlenen Kişisel Verilerin düzenli olarak yedeklenmesi, verilerin kullanılabilirliğini ve bütünlüğünü sağlamak amacıyla gerçekleştirilir.

b. Yedekleme ve kurtarma prosedürleri tanımlanır ve periyodik olarak test edilir.

c. Yedeklemeler güvenli bir şekilde saklanır.

9. Kullanılabilirlik Kontrolü ve Dayanıklılık:

a. Sistemler, Kişisel Verilerin erişilebilirliğini ve işleme sistemlerinin ve hizmetlerinin dayanıklılığını sağlayacak şekilde tasarlanır ve yapılandırılır.

b. Bu, öncelikle MEFERI'nin ana bulut hizmeti sağlayıcısının (Amazon Web Services – AWS) altyapısından yararlanarak yedeklilik, hata toleransı ve felaket kurtarma yetenekleri gibi önlemleri içerir.

10. Veri Ayrımı:

a. Müşteri Kişisel Verileri, Hizmetler kapsamında diğer MEFERI müşterilerinin verilerinden mantıksal olarak ayrılır.

11. Güvenli Yazılım Geliştirme (MEFERI'nin bulut platformları için):

a. MEFERI'nin bulut platformları için yazılım geliştirme yaşam döngüsüne güvenli kodlama uygulamaları ve ilkeleri dahil edilmiştir.

b. Hizmetler için uygun şekilde güvenlik testleri (örneğin, güvenlik açığı taraması, penetrasyon testi) gerçekleştirilir.

c. MEFERI yazılımındaki güvenlik açıklarını belirleme, değerlendirme ve giderme prosedürleri mevcuttur.

12. Olay Yönetimi:

a. MEFERI, Kişisel Veri İhlalleri de dahil olmak üzere güvenlik olaylarını tespit etmek, bunlara yanıt vermek ve bunlardan kurtulmak için bir olay müdahale planı ve prosedürleri bulundurur.

b. Olaylar araştırılır, belgelenir ve uygun düzeltici eylemler gerçekleştirilir.

c. Uygulanabilir Veri Koruma Kanunu ve bu KVKK gereğince iç ve dış bildirimlere ilişkin iletişim planları oluşturulur.

13. Alt İşlemci Yönetimi:

a. Alt işlemcilerle çalışmaya başlamadan önce, yeterli düzeyde veri koruması sağlayabilmelerini sağlamak amacıyla gerekli özen gösterilir.

b. Alt işlemcilerle, bu DPA kapsamında MEFERI'ye yüklenenlere en azından eşdeğer veri koruma yükümlülükleri getiren sözleşmesel anlaşmalar mevcuttur.

14. İzleme ve Kayıt:

a. Kişisel Verileri işleyen sistemler, uygun ve mümkün olduğu durumlarda güvenlik olayları ve anormallikler açısından izlenir.

b. Güvenlik olaylarını tespit etmek, araştırmak ve bunlara müdahale etmek için gerekli kayıtlar toplanır ve incelenir.

15. Şifreleme:

a. Kişisel Verilerin saklandığı sırada şifrelenmesi, uygun ve teknik olarak mümkün olan durumlarda uygulanır (örneğin, hassas Kişisel Verileri içeren veritabanı depolaması için).

b. Kişisel Verilerin kamusal ağlar üzerinden aktarımı sırasında şifrelenmesi, endüstri standardı protokoller (örneğin TLS) kullanılarak gerçekleştirilir.

*(Müşteri, Güvenlik Önlemlerinin teknik ilerleme ve geliştirmeye tabi olduğunu ve MEFERI'nin, söz konusu güncelleme ve değişikliklerin Müşteri tarafından satın alınan Hizmetlerin genel güvenliğinin bozulmasına yol açmaması koşuluyla, Güvenlik Önlemlerini zaman zaman güncelleyebileceğini veya değiştirebileceğini kabul eder.)*

—

EK 3

ALT İŞLEMCİLER

Müşteri, MEFERI'ye aşağıda listelenen Alt İşlemci kategorilerini kullanma konusunda genel yetki sağlar. MEFERI, belirli Alt İşlemcilerinin güncel bir listesini tutacak ve bu listeyi MEFERI'nin web sitesinde belirlenmiş bir web sayfasında yayınlayarak Müşteriye sunacaktır. https://meferi.com/en/us/legal/subprocessors ). ve bu listeyi MEFERI'nin Veri Koruma irtibat kişisine (örneğin, legal@meferi.com ).

Alt İşlemci Kategorileri ve Amaç:

1. Bulut Altyapısı Sağlayıcıları: – Ana Sözleşme kapsamında Müşteriye sağlanan Hizmetlerin Ana Barındırılmasına İlişkin Alt İşlemci ve Özellikler:

– Kuruluş: Amazon Web Services EMEA SARL (veya AEA'da sağlanan hizmetler için ilgili AWS sözleşme kuruluşu).

– Amaç: Müşteriye Ana Sözleşme kapsamında sağlanan MEFERI Hizmetlerinin (örneğin Shadowalk Cloud, CIAO Cloud arka ucu) barındırılması için temel bulut bilişim altyapısının (sunucular, depolama, ağ, veritabanları) sağlanması.

– Müşteri Kişisel Verilerinin İşleneceği Yer (Birincil Barındırma): Bu DPA kapsamında Müşteri Kişisel Verilerinin işleneceği birincil AWS bölgesi, Avrupa Ekonomik Alanı (AEA) içindeki eu-west-3'tür (Paris, Fransa).

– Veri Aktarımı Güvenlik Önlemleri: AWS, kişisel verilerin aktarımını düzenleyen Standart Sözleşme Maddeleri (SCC'ler) içeren bir Veri İşleme Eki (DPA) sağlar. Bu madde, herhangi bir verinin AWS tarafından EEA dışında, yeterlilik kararı kapsamında olmayan konumlarda işlenmesi veya bu konumlara aktarılması durumunda geçerlidir. Müşteri, AWS'nin Veri İşleme Eki'ni şu adresten inceleyebilir:  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf ve AWS GDPR uyumluluğu hakkında bilgi  https://aws.amazon.com/compliance/gdpr-center/

– CDN'ler hakkında not (varsa): MEFERI, Hizmetlerin performansını artırmak için AWS CloudFront veya benzeri içerik dağıtım ağı (CDN) hizmetlerini kullanıyorsa, belirli verilerin kopyaları (genellikle yapılandırmaya bağlı olarak Kişisel Veriler içerebilen veya içermeyebilen statik varlıklar veya önbelleğe alınmış içerikler) geçici olarak dünya genelindeki AWS uç konumlarında önbelleğe alınabilir. Ancak, Hizmetler için Müşteri Kişisel Verilerinin yetkili depolama ve birincil işleme süreçleri yukarıda belirtilen AWS bölgesinde (eu-west-3) kalacaktır. MEFERI, CDN aracılığıyla dağıtılan tüm Müşteri Kişisel Verilerinin GDPR gerekliliklerine uygun olarak işlenmesini sağlayacaktır.

– Ana Sözleşme kapsamında Müşteriye sağlanan Hizmetler için Diğer Bulut Altyapı Sağlayıcıları:

– MEFERI, yukarıda açıklananların dışında, Ana Sözleşme'de tanımlanan Hizmetlerin birincil barındırılması veya doğrudan sağlanması için şu anda başka üçüncü taraf bulut altyapısı sağlayıcılarından yararlanmamaktadır.

2. İletişim Hizmet Sağlayıcıları:

– Amaç: Müşteriye veya yetkili kullanıcılarına Hizmetlerin sağlanması ve kullanımıyla bağlantılı olarak temel iletişimlerin kolaylaştırılması (örneğin, hizmet bildirimleri için e-posta teslimi, parola sıfırlamaları, güvenlik uyarıları ve kritik uyarılar veya iki faktörlü kimlik doğrulama kodları için SMS teslimi).

– Kullanılan Belirli Alt İşlemciler:

– E-posta İletişimleri İçin:

– Kuruluş: Amazon Web Services EMEA SARL (Amazon Basit E-posta Hizmeti'ni – SES'i kullanarak).

– MEFERI'nin Belirli Amacı: Müşterinin yetkili kullanıcılarına Hizmetlerle bağlantılı olarak işlemsel ve hizmetle ilgili e-posta bildirimleri göndermek (örneğin, hesap uyarıları, parola sıfırlamaları, hizmet güncellemeleri, kritik güvenlik bilgileri).

– İşleme Konumu: E-posta gönderme altyapısı, öncelikle MEFERI'nin Hizmetleri için kullandığı AWS bölgelerinde yer almaktadır (örneğin, mümkün olduğunda eu-west-1 İrlanda veya eu-west-3 Paris gibi bir AEA bölgesinden gönderim yapacak şekilde yapılandırılmıştır). Kişisel Verilerin (e-posta adresleri ve e-posta içeriği gibi) SES aracılığıyla işlenmesi, AWS Veri İşleme Eki'ne tabidir.

– Veri Aktarımı Güvenlik Önlemleri: Standart Sözleşme Maddelerini içeren Amazon Web Hizmetleri Veri İşleme Eki kapsamındadır.

şurada: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– SMS İletişimleri İçin:

– Kuruluş: Twilio Inc.

– MEFERI için Belirli Amaç: Kritik uyarılar veya iki faktörlü kimlik doğrulama (2FA) kodlarının iletilmesi gibi, Müşteri tarafından etkinleştirilmiş ve kullanılıyorsa, Hizmetlerin bir parçası olarak Müşterinin yetkili kullanıcılarına SMS bildirimleri göndermek.

– İşlenen Verilerin Niteliği: Genellikle Müşterinin yetkili kullanıcılarının telefon numaralarını ve SMS mesajlarının içeriğini (örneğin kimlik doğrulama kodları, uyarı metni) içerir.

– İşlem Yeri: Öncelikle ABD.

– Veri Aktarımı Güvenlik Önlemleri: Kişisel Verilerin aktarımı, Standart Sözleşme Maddeleri (SCC'ler) içeren Twilio Veri İşleme Eki'ne tabidir. Müşteri, Twilio'nun Veri Koruma Sözleşmesi'ni şu adresten inceleyebilir: https://www.twilio.com/legal/data-protection-addendum.

– Diğer İletişim Hizmet Sağlayıcıları:

– MEFERI, e-posta ve SMS için yukarıda açıklananların dışında, bu DPA kapsamında Müşteri Kişisel Verilerini işlemek için şu anda başka üçüncü taraf iletişim hizmeti sağlayıcılarından yararlanmamaktadır. Müşteri tarafından başka tür iletişim hizmetleri gerektiren belirli özellikler sunulduğunda ve etkinleştirildiğinde, MEFERI bu listeyi güncelleyecek ve bu DPA'nın 6.2. Bölümü uyarınca Müşteriyi bilgilendirecektir.

3. Analitik ve Hizmet Performans İzleme Sağlayıcıları:

– Amaç: MEFERI Hizmetlerinin (örneğin Shadowalk Cloud, CIAO Cloud arka ucu) performansını izlemek, hataları tespit etmek ve kullanım kalıplarını analiz ederek hizmet istikrarını, işlevselliğini ve kullanıcı deneyimini korumak ve iyileştirmek. Bu sağlayıcılar tarafından MEFERI Hizmetleri için işlenen veriler genellikle takma adla ifade edilir, birleştirilir veya teknik/operasyonel verilerden oluşur. MEFERI, destek veya sorun giderme amacıyla Müşteri ile açıkça talimat verilmediği veya mutabık kalınmadığı sürece, Hizmetler kapsamındaki Müşteri Kişisel Verilerinin belirli içeriğini analiz etmek için bu sağlayıcıları kullanmaz.

– Kullanılan Belirli Alt İşlemciler:

– Kuruluş: Functional Software, Inc. (Sentry adıyla faaliyet göstermektedir).

– MEFERI için Özel Amaç: MEFERI'nin bulut tabanlı Hizmetleri (Shadowalk Cloud, CIAO Cloud arka ucu) içinde gerçek zamanlı hata takibi, tanılama ve performans izlemesi yaparak teknik sorunları belirlemeye ve çözmeye yardımcı olmak.

– İşlenen Verilerin Niteliği: Genellikle hata mesajları, yığın izleri, cihaz/tarayıcı bilgileri, IP adresleri (MEFERI, Sentry'nin yetenekleri dahilinde mümkün olduğunda anonimleştirilecek veya saklanmayacak şekilde yapılandırabilir) ve hizmet olaylarıyla ilgili diğer operasyonel meta verileri içerir. MEFERI, Müşteri Kişisel Verilerinin yakalanmasını en aza indirecek şekilde Sentry ile entegrasyonunu yapılandırır.

– İşlem Yeri: Öncelikle ABD.

– Veri Aktarımı Güvenlik Önlemleri: Aktarımlar, Standart Sözleşme Maddelerini içeren Sentry Veri İşleme Eki'ne tabidir. Şuradan ulaşılabilir: https://sentry.io/legal/dpa/

– Web Sitesi ve Portal Analitiği (Denetleyici olarak MEFERI):

– MEFERI'nin kurumsal web sitesi (örneğin, meferi.com) ve MEFERI'nin Veri Denetleyicisi olarak hareket ettiği MEFERI'ye ait diğer genel portallarla ilgili analizler için, analiz sağlayıcılarının (Google Analytics gibi) ve veri işlemenin ayrıntıları MEFERI'nin genel Gizlilik Politikası'nda açıklanmıştır. Bu sağlayıcılar, Müşteriye sağlanan Hizmetler kapsamında MEFERI adına Müşteri Kişisel Verilerini işlemedikleri sürece, bu DPA kapsamında alt işlemci olarak burada listelenmemiştir.

4. Destek ve Müşteri Hizmetleri Araçları:

– Amaç: Müşteri destek sorularını yönetmek, yardım masası hizmetleri sağlamak ve MEFERI'nin Hizmetlerine ilişkin destekle ilgili iletişimi kolaylaştırmak.

– Kullanılan Belirli Araçlar:

– MEFERI, support.meferi.com adresinden erişilebilen tescilli müşteri destek portalını ve destek talep sistemini kullanmaktadır. Bu sistem, MEFERI tarafından geliştirilip sürdürülmekte olup, bu Ek'in 1. Bölümünde ("Bulut Altyapısı Sağlayıcıları") ayrıntılı olarak açıklandığı gibi, Amazon Web Services (AWS) tarafından sağlanan MEFERI bulut altyapısında barındırılmaktadır.

– Müşterinin yetkili kullanıcıları tarafından bu destek portalı aracılığıyla iletilen Kişisel Veriler (örneğin iletişim bilgileri, sorgulama içeriği) bu MEFERI tarafından işletilen sistemde işlenir.

– MEFERI, bu DPA kapsamındaki Müşteri Kişisel Verilerinin işlendiği müşteri destek platformu için şu anda üçüncü taraf Yazılım Hizmeti (SaaS) sağlayıcılarını kullanmamaktadır. – Destek Portalında Veri İşleme ve Kullanıcı Onayı:

– support.meferi.com'a erişen kullanıcılar, MEFERI'nin Gizlilik Politikası ve destek portalı için geçerli olan her türlü Kullanıcı Sözleşmesi'nin şartlarına tabidir. Bu şartlar, MEFERI'nin kullanıcılar tarafından doğrudan portala gönderilen Kişisel Verileri toplamasını ve kullanmasını düzenler.

– Üçüncü Taraf Sağlayıcıların Gelecekteki Katılımı:

– MEFERI, Müşteri Kişisel Verilerini işlemek için gelecekte üçüncü taraf destek veya müşteri hizmetleri aracı sağlayıcılarını kullanmayı seçerse, bu liste güncellenecek ve Müşteri, bu DPA'nın 6.2. Bölümü uyarınca bilgilendirilecektir.

5. Teknik Alt Yükleniciler (örneğin, uzmanlaşmış geliştirme, bakım veya güvenlik testi için):

– Şu anda MEFERI, Hizmetleri (MEFERI Shadowalk MDM/EMM Bulut Çözümü ve CIAO Akıllı Alışveriş Asistanı (ISA) çözümünün bulutta barındırılan bileşenleri gibi) için uzmanlaşmış teknik hizmetler, yazılım geliştirme, sistem bakımı ve güvenlik testleri gerçekleştirmektedir ve bu hizmetleri öncelikli olarak kendi bünyesindeki personel aracılığıyla gerçekleştirmektedir.

– MEFERI, şu anda bu DPA kapsamında MEFERI adına Müşteri Kişisel Verilerini İşlemelerini gerektirecek bir kapasitede üçüncü taraf teknik alt yüklenicilerle çalışmamaktadır.

– MEFERI, gelecekte Müşteri Kişisel Verilerini işleyecek bu tür teknik alt yüklenicilerle çalışmaya karar verirse, MEFERI bu Alt İşlemciler listesini güncelleyecek ve bu DPA'nın 6.2. Bölümü uyarınca Müşteriyi bilgilendirecek ve bu tür bir çalışmanın bu DPA'da belirtilen alt işleme gerekliliklerine uymasını sağlayacak ve gerektiğinde uygun veri aktarım güvenlik önlemlerinin uygulanmasını sağlayacaktır.

6. Yetkili Servis Merkezleri ve Lojistik Sağlayıcıları:

– Amaç: MEFERI ürünlerine yönelik cihaz onarımı, teşhis, yenileme ve ilgili lojistik hizmetlerini geçerli servis sözleşmeleri (MeCare servis planları gibi) veya garanti koşulları kapsamında sağlamak.

– Kuruluş/Kategori: MEFERI veya bağlı kuruluşları tarafından MEFERI cihazlarının onarımı ve taşınması için sözleşme yapılan yetkili üçüncü taraf servis merkezleri veya lojistik ortakları. (MEFERI, bu tür yetkili sağlayıcılardan oluşan bir ağ bulundurmaktadır; belirli bir onarım için belirli sağlayıcı ayrıntıları Müşterinin konumuna ve servis talebinin niteliğine bağlı olabilir).

– İşlenen Verilerin Niteliği: Şunları içerebilir:

– Onarımı koordine eden Müşteri temsilcilerinin iletişim bilgileri (isim, e-posta, telefon numarası, teslimat adresi).

– Cihaz tanımlayıcıları (seri numarası, model).

– Müşteri tarafından sağlanan sorunun açıklaması.

Onarım için gönderilen cihazlarda kalan Kişisel Veriler, Müşteri tarafından gönderimden önce silinmez veya güvence altına alınmaz ise, potansiyel olarak silinemez. MEFERI, Müşterilerine cihazlarını onarıma göndermeden önce Kişisel Verilerini yedeklemelerini ve/veya silmelerini talimat verir ve MEFERI'nin bu tür verilerin kaybından doğan sorumluluğu, Ana Sözleşme veya geçerli hizmet şartları uyarınca sınırlıdır. Ancak, bu verilere onarım merkezi tarafından teşhis veya onarım sırasında erişildiği takdirde, bu veriler Müşteri Kişisel Verileri olarak değerlendirilir.

– İşlem Personelinin Konumu: Onarım servis merkezleri, Müşterinin konumuna ve MEFERI'nin servis ağına bağlı olarak, AEA, Çin Halk Cumhuriyeti veya diğer ülkeler dahil olmak üzere dünya genelinde çeşitli bölgelerde bulunabilir. MEFERI, talep üzerine veya mümkün olduğunda RMA sürecinin bir parçası olarak belirli onarım merkezinin konumu hakkında bilgi sağlayacaktır.

– Veri Koruma Önlemleri: Müşteri Kişisel Verilerine erişebilen tüm yetkili onarım servis merkezleri ve lojistik sağlayıcıları, MEFERI (veya sözleşmeli MEFERI iştiraki) ile gizlilik yükümlülükleri ve en azından bu DPA'da belirtilenlere eşdeğer veri koruma gereklilikleri getiren veri işleme koşulları içeren yazılı sözleşmelere tabidir. Müşteri Kişisel Verilerinin Avrupa Komisyonu tarafından yeterli görülmeyen bir ülkede, Avrupa Ekonomik Alanı (AEA) dışında bulunan bu tür sağlayıcılara aktarılması durumunda, MEFERI, GDPR'nin V. Bölümü kapsamındaki Standart Sözleşme Maddeleri (SCC'ler) gibi uygun aktarım mekanizmalarının mevcut olmasını sağlar. Cihazlardaki Kişisel Verilere erişim, teşhis ve onarım için gerekli olanlarla sınırlıdır.