Sürüm: 1 Şubat 2023
Bu Veri İşleme Eki (“DPA”), Müşteri ile CM.com arasında Müşterinin Hizmetleri kullanımını ele alan Sözleşmenin ayrılmaz bir parçasını oluşturur.
Bu Hüküm ve Koşullarda yer alan, büyük harfle başlayan terimler bu Maddede tanımlanmıştır ve burada belirtilen anlamlara gelir.
Alt işleyici: Bu DPA kapsamında CM.com’un bir İşleyicisi olduğu işlemleri gerçekleştirmesi için CM.com tarafından görevlendirilen ve listesi şurada verilen bir taraf: www.cm.com/trust-center/privacy/. ‘Veri Koruma Etki Değerlendirmesi’, Geçerli Veri Koruma Yasasında kendisine verilen anlama sahip olacaktır.
İşleme/İşlemek: toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değişiklik yapma, geri çağırma, danışma, kullanma, ileterek açıklama, dağıtma veya başka bir şekilde sağlama, hizalama veya birleştirme, kısıtlama, silme veya imha etme gibi Kişisel Veriler veya Kişisel Veri kümeleri üzerinde otomatik yollardan olsun veya olmasın gerçekleştirilen herhangi bir işlem veya işlem kümesi.
İşleyici: Veri Sorumlusu adına kişisel veriler işleyen gerçek veya tüzel kişi, kamu makamı, temsilci veya başka bir kuruluş.
Kişisel Veri İhlali: İletilen, depolanan veya başka şekilde İşlenen Kişisel Verilerin kaza ile veya yasa dışı imhasına, kaybına, değiştirilmesine, yetkisiz ifşasına veya erişimine yol açan bir güvenlik ihlali.
Teknik ve Kurumsal Önlemler: Kişisel Verileri kaza sonucu veya yasa dışı olarak imha veya kaza sonucu kayıp, değişiklik, yetkisiz ifşa veya erişim ve diğer tüm yasa dışı İşleme biçimlerine karşı korumak için önlemler.
Veri Sahibi: Kişisel Veriler ile ilgili olarak tanımlanmış veya tanımlanabilir olan gerçek bir kişi.
Veri Sorumlusu: tek başına veya başkaları ile birlikte Kişisel Veri işlemenin amaçlarını ve yollarını belirleyen gerçek veya tüzel kişi, kamu makamı, temsilci veya başka bir kuruluş demektir.
1.2. Geçerli Veri Koruma Yasalarına yapılan atıflar, söz konusu Geçerli Veri Koruma Yasalarının yerini alan veya onları değiştiren herhangi bir yasa ve bu yasalarda tanımlanan eşdeğer şartla yürürlüğe girdikten ve geçerli olduktan sonra bunlara yapılan atıflarla değiştirilecek veya bu atıfları içerecektir. 1.3. Bu Veri İşleme Hüküm ve Koşulları, Müşteri adına bir İşleyici olarak CM.com tarafından Kişisel Veri işlenmesi için münhasıran geçerli olacaktır. Herhangi bir çatışma durumunda Kişisel Veri İşleme hakkındaki bu Veri İşleme Hüküm ve Koşullarının hükümleri Genel Hüküm ve Koşullar Sözleşmesinin hükümlerinden önce gelecektir. Bu Veri İşleme Hüküm ve Koşullarının münferit hükümlerinin geçersiz veya uygulanamaz olduğu durumlarda diğer hükümlerin geçerliliği ve uygulanabilirliği etkilenmeyecektir.Güven Merkezi: www.cm.com/trust-center/.
2.1 Bu Veri İşleme Hüküm ve Koşulları, CM.com’un Geçerli Veri Koruma Yasalarına tabi bir İşleyici olduğu Kişisel Veri işleme faaliyetleri için geçerli olacaktır.
2.2 CM.com, bu Veri İşleme Hüküm ve Koşullarında madde 6’da açıklanan işleme faaliyetleri için bir İşleyicidir
3.1 Müşteri, Hizmeti kullanırken Kişisel Verileri, Geçerli Veri Koruma Yasalarının gerekliliklerine uygun şekilde İşleyecektir. Müşterinin Kişisel Veri İşleme talimatları Geçerli Veri Koruma Yasalarına uygun olacaktır. Müşteri, Kişisel Verilerin doğruluğu, kalitesi ve yasallığından ve Müşterinin Kişisel Verileri elde ettiği yöntemlerden sorumludur. Müşteri, işleme ve/veya sınır ötesi aktarımlar için yasal bir gerekçe dâhil ancak bunlarla sınırlı olmamak üzere, Kişisel Verilerin Geçerli Yasalar kapsamında işlenmesi ve aktarılması için tüm gereklilikleri karşıladığından emin olacaktır. Müşteri, Geçerli Yasalar ve/veya Sözleşme kapsamında Kişisel Verilerin işlenmesi ile ilgili olarak yükümlülüklerini artık yerine getiremediği takdirde gereksiz gecikme olmadan CM.com’u bilgilendirecektir.
3.2 Sözleşmenin diğer herhangi bir hükmünün genelliğini sınırlamadan, Hizmeti kullanmadan önce Müşteri, Son Kullanıcıların doğrulanabilir bilgilendirilmiş onayını alacak veya İşleme için başka bir geçerli yasal temelin teyidini sağlayabilir durumda olacak ve bu onayın ve/veya yasal temelin kaydını tutacaktır. Müşteri, makul yazılı bildirim üzerine CM.com, herhangi bir Operatör, düzenleyici veya diğer yetkili makam tarafından talep edildiği şekilde ve gerekli olduğu zaman yasal temel hakkında bilgi sağlayacaktır.
4.1 Talimatlar
4.1.1 CM.com, Kişisel Verileri bu DPA ve Sözleşme uyarınca ve zaman zaman Müşteri tarafından Sözleşmede ve Sözleşme kapsamındaki diğer talimatlarda belirtilen amaçlar için ve belirtilen şekilde İşleyecektir.
4.2 Teknik ve Kurumsal Önlemler
4.2.1 CM.com riske uygun bir güvenlik düzeyini sağlamak için en son teknolojiyi İşlemenin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri için değişken olasılık ve ciddiyet riskini göz önünde bulundurarak uygun Teknik ve Kurumsal Önlemleri uygulayacaktır (yetkisiz veya yasa dışı İşlemeye karşı koruma ve Kişisel Verilerin kaza eseri veya yasa dışı imhası, kaybolması, değiştirilmesi veya hasar görmesi, yetkisiz ifşa veya erişime karşı korunması dâhil olmak üzere). Teknik ve Kurumsal Önlemler ile ilgili güncel bilgiler www.cm.com/trust-center/security/ adresinde bulunabilir.
4.2.2 CM.com, İşlemenin güvenliğini sağlamak için sürekli olarak Teknik ve Kurumsal Önlemlerin etkinliğini test edecek, inceleyecek ve değerlendirecektir. CM.com, uygun olan durumda, sürekli olarak Teknik ve Kurumsal Önlemler geliştirecek ve iyileştirecektir.
4.3 Personel gereklilikleri
CM.com, Kişisel Verileri İşleme yetkisine sahip kişilerin gizlilik taahhüdünde bulunmalarını veya uygun bir yasal gizlilik yükümlülüğü altında olmalarını sağlar. Kişisel Verilere erişim, Sözleşme kapsamında Hizmetleri yerine getirmek için erişime ihtiyaç duyan personel ile sınırlıdır.
4.4. Gizlilik
CM.com, Kişisel Verileri gizlilik içinde tutacağını kabul eder. Özellikle CM.com, CM.com’a Müşteri tarafından, Müşteri için veya onun adına sağlanan hiçbir Kişisel Veriyi, Sözleşme veya zorunlu yasa kapsamında Hizmetin ifası için öngörülmüş ve gerekli olan durumlar dışında, Müşterinin önceden onayı olmadan herhangi bir üçüncü tarafa açıklamayacağını kabul eder.
4.5 Veri Sahibi Hakları
4.5.1 Müşteri bir Veri Sahibinden Veri Sahibinin erişim hakkını, düzeltme hakkını, İşlemeyi kısıtlama hakkını, silme hakkını (“unutulma hakkı”), veri taşınabilirliği hakkını, İşlemeye itiraz etme hakkını veya otomatik bir bireysel karara tabi olmama hakkını kullanma talebi alırsa (“Veri Sahibi Talebi”) Müşterinin CM.com’a talimat vermesi durumunda CM.com Kişisel Verileri aktaracak, düzeltecek, silecek veya bloke edecektir. 4.5.2 CM.com, CM.com’un bir Veri Sahibi Talebi alması durumunda Müşteriyi bilgilendirecektir. CM.com, İşlemenin niteliğini dikkate alarak, Geçerli Veri Koruma Yasaları uyarınca bir Veri Sahibi Talebine yanıt vermek için Müşteriye yardımcı olacaktır. CM.com’un yasal olarak izni olduğu ve Veri Koruma Yasaları kapsamında söz konusu Veri Sahibi Talebine yanıt vermek gerekli olduğu ölçüde, CM.com Müşteriye yardımcı olacaktır.
4.6 Müşterinin uyumu konusunda yardım
CM.com, aşağıdakiler dâhil olmak üzere Müşterinin Veri Koruma Yasaları kapsamındaki yükümlülüklerine uyumunu sağlamak için makul olarak gerekli daha fazla yardımı Müşteriye sağlayacaktır:
(a) Müşterinin veri koruma etki değerlendirmesi ve Kişisel Verileri İşlemenin veri koruma etki değerlendirmesine uyum içinde gerçekleştirilip gerçekleştirilmediğini belirlemek amacıyla periyodik incelemeler yapmasına yardımcı olmak için Müşterinin gereksinim duyabileceği bilgi ve iş birliğini sağlayarak veri koruma etki değerlendirmesi yapılması;
(b) yüksek riskli İşleme ile ilgili olarak bir veri koruma denetleme makamına önceden danışma.
4.7 Uyum, bilgi ve denetim
4.7.1 CM.com, www.cm.com/trust-center/ adresinde bulunan ve Teknik ve Kurumsal Önlemler, gizlilik, uyum, risk yönetimi ve veri güvenliği hakkında bilgi sağlayan CM.com web sitesindeki Güven Merkezinde belirtilen üçüncü taraf sertifikasyonlarını almıştır. Müşterinin yazılı talebi üzerine ve Sözleşmede belirtilen gizlilik yükümlülüklerine tabi olarak CM.com, CM.com'un rakibi olmayan Müşteriye (veya CM.com'un rakibi olmayan Müşterinin bağımsız, üçüncü taraf denetçisine) CM.com'un en son üçüncü taraf sertifikasyonlarının ve BT mimarisi ve güvenliği ile ilgili bilgilerinin kopyasını uygun ve makul olarak talep edildiği şekilde sunacaktır. Müşteri, CM.com tarafından sağlanan bilgileri değerlendirmekten ve bunların Geçerli Veri Koruma Yasaları kapsamında Müşterinin gerekliliklerini ve yükümlülüklerini karşılayıp karşılamadığını belirlenmekten sorumludur. Müşteri, bu belge kapsamında sağlanan bilgilerin Geçerli Veri Koruma Yasaları kapsamında Müşterinin denetim haklarının yerine getirilmesine hizmet edeceğini kabul etmektedir.
4.7.2 CM.com tarafından sağlanan bilgilerin bu DPA’ya uyumu kanıtlamak için yetersiz olması durumunda, Müşteri, Müşteri için veri İşleme ile ilgili prosedürleri denetlemek için yılda en çok bir kez akredite bir dış uzman atama hakkına sahiptir. CM.com, en az on Çalışma günü önceden makul bir yazılı bildirimde bulunulması üzerine bu denetimde iş birliği yapacaktır. Müşteri, CM.com tarafından harcanan zaman için CM.com'un, talep halinde Müşteriye sağlanacak olan ilgili tarihte geçerli profesyonel hizmet ücretleri üzerinden CM.com'a ödeme yapacaktır. Taraflar, böyle bir denetimin başlamasından önce, Müşterinin sorumlu olacağı geri ödeme oranına ek olarak denetimin kapsamı, zamanlaması ve süresi üzerinde karşılıklı olarak anlaşmaya varacaktır.
4.7.3 CM.com, dış uzmanın CM.com lehine bir gizlilik beyanı imzalamasını isteme hakkına sahiptir. Gizlilik beyanı, bu tür beyan için olağan olan hüküm ve koşullar içerecektir. Dış uzman tarafından verilen herhangi bir rapor veya beyan CM.com'a sunulacaktır. Müşteri, denetimin CM.com’un faaliyetlerini olanaklı olduğunca az engellemesini sağlayacaktır.
4.8 Kayıtlar
CM.com, kendi Müşterileri adına gerçekleştirilen İşleme faaliyetlerinin eksiksiz, doğru ve güncel kayıtlarını tutacaktır.
4.9 Bağlı Kuruluşlar ve Alt İşleyiciler
4.9.1 CM.com’un Sözleşme kapsamındaki yükümlülüklerinin bazıları veya tamamı CM.com’un Bağlı Kuruluşları tarafından gerçekleştirilebilir. CM.com, Bağlı Kuruluşlarının Sözleşmeye uyumundan sorumludur.
4.9.2 Müşteri, (a) CM.com’un Bağlı Kuruluşlarının Alt İşleyiciler olarak tutulabileceğini ve (b) CM.com’un ve CM.com’un Bağlı Kuruluşlarının da Hizmetlerin sağlanması ile bağlantılı olarak üçüncü taraf Alt İşleyiciler tutabileceğini kabul ve beyan eder. Ancak CM.com veya CM.com Bağlı Kuruluşu, her Alt İşleyici ile söz konusu Alt İşleyici tarafından sağlanan Hizmetin niteliği için geçerli olan ölçüde Kişisel Verilerin korunması bakımından Sözleşmedekilerden daha az koruyucu olmayan veri koruma yükümlülükleri içeren yazılı bir sözleşme yapmış olmalıdır ve CM.com Alt İşleyicilerin güncel bir listesini tutmalıdır. CM.com’un mevcut Alt İşleyiciler listesi şu adreste mevcuttur: www.cm.com/trust-center/privacy/.CM.com, Alt İşleyici listesi ile ilgili herhangi bir değişiklikten otuz (30) gün önce Müşteriyi bilgilendirecektir. Müşteri bu zaman çerçevesi içinde, söz konusu itirazın yazılı olarak verilmesi ve Geçerli Veri Koruma Yasaları bakımından makul gerekçelere dayanması koşulu ile Alt İşleyici listesindeki değişikliğe itiraz edebilir. Taraflar, Müşterinin itirazını çözümlemek için iyi niyetli bir çaba gösterecektir. İtirazın otuz (30) gün içinde çözümlenmemesi durumunda Taraflardan herhangi biri Sözleşmeyi feshedebilir.
4.9.3 CM.com, Sözleşmenin koşulları uyarınca her Alt İşleyicinin hizmetlerini doğrudan yerine getirmesi durumunda sorumlu olacağı ölçüde kendi Alt İşleyicilerinin her birinden sorumlu olacaktır.
4.10 İhlal Bildirimi
Kişisel Veri İhlali ile ilgili olarak CM.com şunları yapacaktır:
(a) Müşteriyi CM.com veya bir alt yükleniciyi içeren bir Kişisel Veri İhlali hakkında gereksiz gecikme olmadan bilgilendirecektir (ancak bu hiçbir durumda Kişisel Veri İhlalinden haberdar olduktan sonra kırk sekiz saati geçmemelidir).
(b) Kişisel Veri İhlalinin Veri Sahibine ve veri koruma makamlarına iletilmesi bakımından dâhil olmak üzere GDPR Madde 33(3) ve 34(3) gibi Geçerli Veri Koruma Yasaları uyarınca bir Kişisel Veri İhlaline yanıt olarak alınacak herhangi bir önlemle ilgili olarak Müşteriye makul iş birliği ve yardım sağlayacaktır.
CM.com, bir Kişisel Veri İhlalini derhâl araştıracak ve temel neden(ler)ini belirlemek ve tekrarlanmasını önlemek için makul önlemler alacaktır. Bilgiler toplandıkça veya başka bir şekilde elde edildikçe, kanunen yasaklanmadığı sürece CM.com Müşteriye Kişisel Veri İhlalinin bir açıklamasını, Kişisel Veri İhlaline konu olan veri türünü ve Müşterinin Kişisel Veri İhlali ile ilgili olarak makul şekilde talep edebileceği diğer bilgileri sağlayacaktır. Taraflar, etkilenen Veri Sahipleri ve/veya ilgili veri koruma makamları için ilgili kamu beyanlarının veya gerekli bildirimlerin içeriğinin geliştirilmesi konusunda iyi niyetle koordine olmayı kabul eder.
Madde 4.9 uyarınca bir Alt İşleyicinin görevlendirilmesi, bir yargı bölgesinden (yani Avrupa Ekonomik Alanı, Birleşik Krallık veya herhangi bir başka ilgili yargı bölgesi) o yargı bölgesi dışındaki üçüncü bir tarafa yasal şekilde kişisel veri aktarmak için Geçerli Veri Koruma Yasaları kapsamında bir sınır ötesi aktarma mekanizması gerektirdiği takdirde aşağıdaki hükümler geçerli olacaktır. Müşteri CM.com’a CM.com’un bulunduğu ve Kişisel Verilerin ilk alındığı yargı bölgesi dışına Kişisel Veriler aktarma yetkisi vermektedir ancak CM.com’un bu aktarımların bu DPA’ya ve Geçerli Veri Koruma Yasaları kapsamında yeterli düzeyde koruma sağlayan yasal bir veri aktarım mekanizmasına uygun olarak yürütülmesini sağlaması gerekmektedir.
CM.com, Kişisel Veriler de dâhil olmak üzere verileri, ulusal telekom mevzuatı ve Geçerli Veri Koruma Yasaları dâhil ancak bunlarla sınırlı olmamak üzere Geçerli Yasalar, yönetmelikler uyarınca İşleyecek ve saklayacaktır. CM.com platformuna gönderilen Kişisel Veriler de dahil olmak üzere veriler, CM.com'un veri saklama politikasına uygun olarak İşlenecek ve saklanacaktır. Kişisel Veriler, Sözleşme kapsamında Hizmetlerin sağlanması için gerekli olandan daha uzun olmayan bir süre için, Sözleşmede belirtilen amaçlar için ve Geçerli Yasaların gerektirdiği ve/veya izin verdiği ölçüde saklanacaktır. CM.com, geçerli saklama süresinden sonra verileri, anonim hâle getirmek için kimliği belirlenemez veya kimliksizleştirilmiş hâle getirecektir. Bu, verilerin geçmişte ilişkili olduğu Kişisel Verileri bulmak için daha sonra kullanılabilecek hiçbir Kişisel Veri veya özgün kimlik tanımlayıcı içermeyen veriler elde edilmesini sağlar.
7.1 İşlemenin Niteliği ve Amacı
CM.com Kişisel Verileri, Sözleşme uyarınca, Sözleşmede daha ayrıntılı olarak belirtilen şekilde ve Müşteri tarafından Sözleşme Kapsamında daha ayrıntılı olarak talimat verilen şekilde, Hizmetleri yerine getirmek için gereken şekilde İşleyecektir.
7.2 İşlemenin Süresi
CM.com Kişisel Verileri Sözleşme süresince ve bu DPA’daki madde 6’ya uygun olarak işleyecektir.
7.3 Veri Sahibi Kategorileri
Müşteri, Hizmeti kullanırken CM.com’a, içeriği Müşteri tarafından tamamen kendi takdirine bağlı olarak belirlenmiş ve kontrol edilmiş olan ve Ek 1’de belirtilen Veri Sahipleri kategorileriyle ilgili Kişisel Verileri içerebilen ancak bunlarla sınırlı olmayan veriler gönderebilir
7.3 Kişisel Veri Türü
Müşteri, kapsamı Müşteri tarafından kendi takdirine bağlı olarak belirlenen ve kontrol edilen ve Ek 1’de belirtilen Kişisel Veri kategorilerini içerebilen ancak bunlarla sınırlı olmayan Kişisel Verileri Hizmetlere gönderebilir
veri sahipleri:
Etkileşimli Yapay Zeka Bulutu
Etkileşimli Kanallar
Müşteri Veri Platformu
Mobil Pazarlama Bulutu
Mobil Hizmet Bulutu
Ödemeler Platformu
İmza
SMS
• Müşterinin veya onun müşterilerinin (olası) müşterileri (gerçek kişiler); • Müşteri tarafından (müşterileri tarafından) işe alınan çalışanlar, yükleniciler, danışmanlar, serbest çalışanlar veya kişiler; • Müşterinin potansiyel müşterilerinin, müşterilerinin ve iş ortaklarının irtibat kişileri; • Müşterinin Müşteri tarafından Hizmetleri kullanma yetkisi verilen kullanıcıları.
Biletleme
Voice
Kişisel veri kategorileri:
Etkileşimli Yapay Zeka Bulutu
Etkileşimli Kanallar
Müşteri Veri Platformu
Mobil Pazarlama Bulutu
Mobil Hizmet Bulutu
Ödemeler Platformu
İmza
SMS
Biletleme
Voice