MuchBetter İş
VERİ KORUMA EKİ

1. Tanımlar

Bu Veri Koruma Eki'nde ("DPA") tanımlanmayan tüm büyük harfle yazılmış terimler, Sözleşme'de belirtilen anlamlara sahiptir.

  1. ortak Bir Tarafı doğrudan veya dolaylı olarak kontrol eden, kontrol edilen veya ortak kontrol altında olan herhangi bir kişi veya kuruluş anlamına gelir. Bu tanımın amacı doğrultusunda, "kontrol" (bağlantılı anlamlarıyla "kontrol eden", "kontrol edilen" ve "ortak kontrol altında" terimleri dahil), söz konusu kişi veya kuruluşun işlerini, oy hakkı veren menkul kıymetlerin mülkiyeti, sözleşme veya başka bir şekilde yönetme veya yönlendirme yetkisi anlamına gelir.
  2. Anlaşma MIR ile Hesap Sahibi arasında Kişisel Verilere erişimi veya başka bir şekilde Kişisel Verilerin İşlenmesini içeren MuchBetter Ticari Hesap Hizmetleri Sözleşmesi anlamına gelir;
  3. Onaylanmış Yargı Yetkisi Avrupa Ekonomik Alanı'nın bir üye devleti veya Avrupa Komisyonu tarafından veya 2018 Veri Koruma Yasası'nın 17A Bölümü veya 2018 Veri Koruma Yasası'nın 21. Ek'inin 4. ve 5. Paragrafları uyarınca çıkarılan Birleşik Krallık yeterlilik yönetmelikleri uyarınca veriler için yeterli yasal korumaya sahip olduğu onaylanan başka bir yargı bölgesi anlamına gelir;
  4. İhlal Olayı iletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kazara veya hukuka aykırı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali anlamına gelir;
  5. Veri Koruma Yasaları Veri gizliliği, veri güvenliği ve/veya Kişisel Verilerin korunmasına ilişkin tüm geçerli yerel ve yabancı yasalar, kurallar, direktifler ve düzenlemeler, elektronik iletişim sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin Gizlilik ve Elektronik İletişim Direktifi 2002/58/EC (ve ilgili yerel uygulama yasaları) (Gizlilik ve elektronik iletişim direktifi) ve bunlara ilişkin değişiklikler veya değiştirmeler, 27 Nisan 2016 tarihli (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konseyi Tüzüğü (“GDPR”) ve Veri Koruma Yasası 2018 ve Avrupa Birliği (Çekilme) Yasası 2018'in (“BK GDPR”) 3. bölümü uyarınca İngiltere ve Galler, İskoçya ve Kuzey İrlanda yasalarının bir parçası olan GDPR dahil olmak üzere anlamına gelir.
  6. AEA Avrupa Ekonomik Alanı'na üye olan ülkeleri ifade eder.
  7. MIR MuchBetter Ticari Hesap Hizmetleri sağlayıcısı olan MIR Limited UK Ltd anlamına gelir
  8. Kişisel Veriler veya "Kişisel Veri", kimliği belirlenebilir bir bireyle ilgili veya ilişkilendirilebilecek her türlü bilgiyi ifade eder. Bir bireyle ilişkilendirilebilen veya bir bireyi, gerçek kişiyi doğrudan veya dolaylı olarak tanımlamak için kullanılabilen her türlü bilgiyi içerir. Kişisel Veriler, kaynağı ne olursa olsun Gizli Bilgi olarak kabul edilir.
  9. İşlem Kişisel Veriler üzerinde, otomatik yollarla olsun veya olmasın, toplama, kaydetme, düzenleme, saklama, uyarlama veya değiştirme, erişim, geri alma, danışma, kullanma, iletim yoluyla açıklama, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, engelleme, silme veya imha gibi gerçekleştirilen her türlü işlem veya işlem kümesi anlamına gelir. "İşlemler" veya "İşleme" buna göre yorumlanacaktır.
  10. Standart Sözleşme Maddeleri veya “SCC'ler” Avrupa Parlamentosu ve Konseyinin 4 Haziran 2021 tarihli ve zaman zaman değiştirilebilen, yerini alabilecek veya değiştirilebilecek 2016/679 sayılı Tüzüğü uyarınca kişisel verilerin üçüncü ülkelere aktarılmasına ilişkin standart sözleşme maddelerinin uygulanabilir modülü.
  11. İngiltere Eki 21 Mart 2022 tarihinde yürürlüğe giren Standart Sözleşme Maddelerine Ek Uluslararası Veri Aktarımı Eki anlamına gelir.

 

2. Bu DPA'nın uygulanması

  1. Bu DPA yalnızca aşağıdaki koşulların tümünün karşılanması halinde geçerli olacaktır:
    1. Taraflardan biri, Sözleşme ile bağlantılı olarak diğer Tarafça sağlanan Kişisel Verileri işler;
    2. Kişisel Verilerin işlenmesinde Veri Koruma Mevzuatı uygulanır.
  2. Bu DPA, yalnızca Tarafların Sözleşme'de kabul ettiği ve DPA'yı atıf yoluyla içeren hizmetlere uygulanacaktır.

 

3. Veri Koruma ve Gizlilik

  1. Bir Tarafın, diğer Tarafın kullanımına sunulan Kişisel Verilere erişimi olması veya bunları başka bir şekilde işlemesi durumunda, bu Taraf:
    1. Kişisel Verilerin bağımsız Denetleyicisi olacak ve Sözleşme ve Veri Koruma Kanunları uyarınca işleme amaçlarını ve araçlarını belirleyecektir.
    2. Kişisel Verileri yalnızca Veri Koruma Yasaları'nın gerekliliklerine uygun olarak işleyin ve Veri Koruma Yasaları uyarınca gerekli olduğu şekilde, Sözleşme kapsamında gerçekleştirilen tüm Kişisel Veri İşleme faaliyetlerinin doğru yazılı kayıtlarını tutun.
    3. Yukarıda belirtilenlerden herhangi bir sapma olmaksızın, Veri Sahibine Veri Koruma Kanunları kapsamında gerekli olan her türlü bilgiyi sağlamaktan ve Veri Sahibinin Veri Koruma Kanunları kapsamındaki haklarını kullanmasına olanak sağlamaktan sorumlu olacak ve diğer Tarafa yukarıda belirtilenleri ve her türlü yasal veya düzenleyici yükümlülüğü yerine getirmesi için makul iş birliği ve yardımda bulunacaktır;
    4. Kişisel Verileri kazara veya hukuka aykırı imhaya, kazara kayba, değişikliğe, yetkisiz ifşaya veya iletilen, saklanan veya başka şekilde işlenen kişisel verilere erişime ve diğer tüm hukuka aykırı İşleme biçimlerine karşı korumak için ticari olarak makul ve uygun fiziksel, teknik ve organizasyonel güvenlik önlemlerini uygulamak ve sürdürmek;
    5. Veri Koruma Kanunları uyarınca gerekli olduğu üzere, kişisel veri ihlaline ilişkin olarak denetim otoritesine bildirim yükümlülüklerini ve veri sahiplerine yönelik iletişim yükümlülüklerini yerine getirmek;
    6. Bir İhlal Olayı'nın farkına vardıktan sonra diğer Tarafı gereksiz gecikme olmaksızın ve en geç yirmi dört (24) saat içinde bilgilendirin.
  2. Kişisel Verileri bir veri sahibinden ilk olarak elde eden Taraf, veri sahibinden istenebilecek tüm onayları almaktan (her durumda Veri Koruma Kanunlarına uymak için gerekli olduğu ölçüde) ve Kişisel Verilerin toplanmasından önce veri sahibine gerekli bilgileri sağlamaktan (örneğin "Gizlilik Bildirimi" veya "Gizlilik Politikası") sorumludur. Bu yükümlülük, diğer Tarafın Veri Koruma Kanunları kapsamındaki sorumluluklarını ortadan kaldırmaz (örneğin, Kişisel Verilerin işlenmesiyle bağlantılı olarak Kişisel Veriler söz konusu olduğunda veri sahibine bilgi sağlama zorunluluğu).
  3. Tarafların her biri, Sözleşme kapsamındaki yükümlülüklerini ve hizmetlerini yerine getirmek amacıyla, Kişisel Verileri kendi adına işlemek üzere Bağlı Şirketler de dahil olmak üzere alt yükleniciler ("Alt İşlemciler") atayabilir; ancak şu koşullar sağlanmalıdır: (i) atama, uygulanabilir olduğu durumlarda, bu Veri Koruma Eki kapsamında sağlanan Kişisel Verilerin eşdeğer şekilde korunmasını sağlayan şartları içeren, atanan Alt İşlemci ile yazılı bir sözleşmeye tabi olacaktır; ve (ii) her Taraf, kendi Alt İşlemcilerinin eylemlerinden veya ihmallerinden, bu Veri Koruma Eki, Sözleşme ve Veri Koruma Kanunları kapsamındaki kendi eylemlerinden veya ihmallerinden sorumlu olduğu ölçüde sorumlu olacaktır.

 

4. Kişisel Verilerin Aktarımı

Taraflar, Kişisel Verileri Onaylanmış bir Yargı Bölgesi dışında işlemeyecek veya bu bölgeye aktarmayacaktır;

  1. Bir Taraf, Kişisel Verileri Onaylanmış Yargı Alanı dışındaki bir yargı alanında işlemek veya Kişisel Verileri bu yargı alanına aktarmak isterse, geçerli olduğu durumlarda Birleşik Krallık Eki ile birlikte SCC'leri kabul etmiş sayılır; bu durumda: (i) Birleşik Krallık Eki ve SCC'ler atıf yoluyla buraya dahil edilmiştir; ve (ii) Kişisel Verileri ifşa eden Taraf İhracatçı olarak kabul edilir ve Kişisel Verileri alan Taraf İthalatçı olarak kabul edilir (bu terimler burada tanımlandığı şekilde).

 

5. Genel

  1. Veri Koruma Kanunlarından herhangi biri, yeni veya değiştirilmiş Veri Koruma Kanunları (ilgili bir mahkeme veya hükümet makamının bu konuyla ilgili kararları veya yorumları dahil) tarafından yürürlükten kaldırılırsa, yeni veya değiştirilmiş Veri Koruma Kanunları bu Veri Koruma Ekine dahil edilmiş sayılır ve her iki Taraf da derhal bu Veri Koruma Kanunlarına uymaya başlar.
  2. Bu DPA'nın şartları ile Standart Sözleşme Maddeleri veya Birleşik Krallık Eki (uygulanabilir olduğu şekilde) arasında herhangi bir çelişki veya tutarsızlık olması durumunda, Standart Sözleşme Maddeleri veya Birleşik Krallık Eki (uygulanabilir olduğu şekilde) şartları geçerli olacaktır.

 

SCC'lerin Ek I'i

  1. Ek 1, DPA'nın bir parçasını oluşturur ve Tarafların, Birleşik Krallık Eki ve/veya Standart Sözleşme Maddeleri kapsamındaki ilgili yükümlülüklerine ilişkin mutabık kaldıkları yorumlamaları belirler.
  2. Taraflar, MIR ile Hesap Sahibi arasında Kişisel Verilerin aktarımı amacıyla aşağıdakilerin uygulanacağını kabul eder:
    1. SCC'lerin 7. maddesi uygulanmayacaktır
    2. Gözetim makamı, Birleşik Krallık Ek Sözleşmesi'nin dahil edildiği Birleşik Krallık Bilgi Komiserliği Ofisi veya yalnızca SCC'lerin dahil edildiği durumlarda İrlanda Veri Koruma Komiseri olacaktır.
    3. Birleşik Krallık Ek Sözleşmesi'nin geçerli olduğu durumlarda İngiltere ve Galler yasaları, geçerli olmadığı durumlarda ise İrlanda yasaları geçerli olacaktır.
    4. Taraflar, Birleşik Krallık Ek Sözleşmesi'nin geçerli olduğu durumlarda yargı yeri ve yetki alanı olarak İngiliz mahkemelerini, geçerli olmadığı durumlarda ise İrlanda mahkemelerini seçerler.
    5. Birleşik Krallık Ek Sözleşmesi'nin 4. Tablosunda, tarafların her biri Birleşik Krallık Ek Sözleşmesi'nin 19. maddesi uyarınca sözleşmeyi feshedebilir.

 

Tarafların Tanımlanması

"Veri İhracatçısı": Kişisel Verilerin aktarıcısı;

"Veri İthalatçısı": Kişisel Verilerin alıcısı

Transfer Açıklaması

Veri Sahipleri

İşlenen Kişisel Veriler aşağıdaki Veri Sahibi kategorilerini ilgilendirmektedir (lütfen belirtin):

  • ☐ MIR çalışanları
  • ☐ MIR'in müşterileri
  • ☐ Hesap Sahibinin son kullanıcıları
  • ☐ Hesap Sahibinin çalışanları
  • ☐ Hesap Sahibinin müşterileri
  • ☐ Diğer: ________

 

Kişisel Veri Kategorileri

Aktarılan Kişisel Veriler aşağıdaki veri kategorilerini kapsamaktadır (lütfen belirtin):

  • ☐ İletişim bilgileri (isim, yaş, cinsiyet, adres, telefon numarası, e-posta adresi vb.)
  • ☐ Finansal ve ödeme verileri (örneğin kredi kartı numarası, banka hesabı, işlemler)
  • ☐ Resmi kimlikler (pasaport, ehliyet)
  • ☐ Cihaz tanımlayıcıları ve internet veya elektronik ağ etkinliği (IP adresleri, GAID/IDFA, tarama geçmişi, zaman damgaları)
  • ☐ Coğrafi konum bilgileri
  • ☐ Biyometrik veriler
  • ☐ Diğer: ________

 

Özel Veri Kategorileri (uygunsa)

Aktarılan Kişisel Veriler aşağıdaki özel veri kategorilerini kapsamaktadır (lütfen belirtiniz):

  • ☐ Hiçbiri
  • ☐ Genetik veya biyometrik veriler
  • ☐ Sağlık verileri
  • ☐ Irksal veya etnik köken
  • ☐ Siyasi görüşler, dini veya felsefi inançlar
  • ☐ Diğer: ________

 

Transfer sıklığı:

  • ☐ Tek seferlik
  • ☐ Sürekli
  • ☐ Diğer: ________

 

İşlemenin niteliği

  • ☐ Koleksiyon
  • ☐ Kayıt
  • ☐ Organizasyon veya yapılandırma
  • ☐ Depolama
  • ☐ Uyarlama veya değişiklik
  • ☐ Geri Alma
  • ☐ Danışmanlık
  • ☐ Açıklama, yayma veya başka bir şekilde kullanıma sunma
  • ☐ Analiz
  • ☐ Silme veya imha
  • ☐ Diğer: ________
  •  

Aktarımın amacı ve daha ileri işleme

  • ☐ MBB Hesap Hizmetlerini sağlamak, yönetmek ve işletmek
  • ☐ Diğer: ________

 

Saklama süresi

Kişisel Veriler, Sözleşme süresi boyunca veya yürürlükteki mevzuata uygun olarak saklanacaktır.

SCC'lerin Ek II'si - Verilerin Güvenliğini Sağlamak İçin Teknik ve Organizasyonel Önlemler Dahil Teknik ve Organizasyonel Önlemler

Bu Ek, DPA'nın bir parçasını oluşturur ve veri ithalatçısı tarafından uygulanan teknik ve organizasyonel güvenlik önlemlerini açıklar.

Veri İthalatçısı, teknolojinin durumunu, uygulama maliyetlerini ve işlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve gerçek kişilerin hak ve özgürlükleri açısından farklı olasılık ve ciddiyetteki riskleri göz önünde bulundurarak, riske uygun bir güvenlik düzeyini sağlamak için uygun teknik ve organizasyonel önlemleri uygular; bunlara uygun olduğu takdirde şunlar dahildir:

  • kişisel verilerin takma adlandırılması ve şifrelenmesi;
  • işleme sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve dayanıklılığını sağlama yeteneği;
  • fiziksel veya teknik bir olay durumunda kişisel verilere erişimin ve erişilebilirliğin zamanında geri yüklenmesi olanağı;
  • işlemenin güvenliğinin sağlanması için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve ölçme süreci; ve
  • Bilgi Güvenliği ve Veri Gizliliği Politikalarının sürdürülmesi

MB Açılır Penceresi