Veri İşleme Sözleşmesi

1 Taraflar

İşbu Veri İşleme Sözleşmesi ("Sözleşme"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") kapsamında:

• Veri Sorumlusu: AdAnalyzer platformunu kullanan gerçek veya tüzel kişi ("Müşteri")
• Veri İşleyen: DijitalTime Reklam Sanayi ve Ticaret Limited Şirketi ("Şirket" veya "AdAnalyzer")

arasında akdedilmiştir. Taraflar ayrı ayrı "Taraf" ve birlikte "Taraflar" olarak anılacaktır.

2 Tanımlar

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
• Veri İşleme: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
• İlgili Kişi: Kişisel verisi işlenen gerçek kişi
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

3 Sözleşmenin Konusu ve Kapsamı

İşbu Sözleşme'nin konusu, Müşteri'nin AdAnalyzer platformunu kullanımı sırasında, Müşteri'nin Google Ads hesaplarından elde edilen ve platform üzerinde işlenen kişisel verilerin, KVKK ve GDPR'a uygun şekilde işlenmesine ilişkin usul ve esasların belirlenmesidir.

3.1 İşlenen Veri Kategorileri

3.2 İşleme Amaçları

Veri İşleyen, kişisel verileri yalnızca aşağıdaki amaçlar için işleyecektir:

• Google Ads kampanyalarının analizi ve optimizasyonu
• Negatif kelime tespiti ve önerileri
• Performans raporlarının oluşturulması
• Platform hizmetlerinin sunulması ve iyileştirilmesi
• Teknik destek hizmetlerinin sağlanması
• Yasal yükümlülüklerin yerine getirilmesi

4 Veri İşleme Esasları

4.1 Genel İlkeler

Veri İşleyen, kişisel verileri işlerken aşağıdaki ilkelere uyacaktır:

• Hukuka ve Dürüstlük Kurallarına Uygunluk: Tüm veri işleme faaliyetleri KVKK, GDPR ve ilgili mevzuata uygun olacaktır
• Doğru ve Güncel Olma: İşlenen veriler doğru ve gerektiğinde güncel tutulacaktır
• Belirli, Açık ve Meşru Amaçlar: Veriler sadece belirlenen amaçlar için işlenecektir
• İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü: Sadece gerekli olan veriler işlenecektir
• Mevzuatta Öngörülen Süre Kadar Saklama: Veriler yasal saklama süreleri boyunca muhafaza edilecektir

4.2 Veri İşleyen'in Yükümlülükleri

Veri İşleyen:

• Kişisel verileri yalnızca Veri Sorumlusu'nun talimatlarına göre işleyecektir
• Veri işleme faaliyetlerinin kayıtlarını tutacaktır
• Veri güvenliğini sağlamak için gerekli tüm önlemleri alacaktır
• Veri Sorumlusu'nun KVKK/GDPR yükümlülüklerini yerine getirmesine yardımcı olacaktır
• İlgili kişi başvurularının yanıtlanmasında Veri Sorumlusu'na destek olacaktır
• Veri ihlali durumunda derhal Veri Sorumlusu'nu bilgilendirecektir

4.3 Gizlilik Yükümlülüğü

Veri İşleyen ve çalışanları, işlenen kişisel verilerle ilgili olarak sır saklama yükümlülüğü altındadır. Bu yükümlülük, sözleşme sona erdikten sonra da devam eder.

5 Teknik ve İdari Önlemler

5.1 Teknik Önlemler

Veri İşleyen aşağıdaki teknik güvenlik önlemlerini alacaktır:

• 256-bit SSL/TLS şifreleme ile veri transferi
• Şifreli veri depolama ve yedekleme
• Güvenlik duvarları ve saldırı tespit sistemleri
• Düzenli güvenlik güncellemeleri ve yama yönetimi
• Penetrasyon testleri ve güvenlik denetimleri
• İki faktörlü kimlik doğrulama (2FA)
• Erişim loglarının tutulması ve izlenmesi
• ISO 27001 standartlarına uyumluluk

5.2 İdari Önlemler

• Çalışanlara veri güvenliği eğitimi verilmesi
• Gizlilik sözleşmelerinin imzalatılması
• Yetki matrisinin oluşturulması ve yönetilmesi
• Veri işleme prosedürlerinin dokümantasyonu
• Düzenli iç denetimler
• Olay müdahale planının oluşturulması

6 Alt İşleyiciler

6.1 Alt İşleyici Kullanımı

Veri İşleyen, hizmetlerin sunulması için aşağıdaki alt işleyicileri kullanmaktadır:

6.2 Alt İşleyici Değişiklikleri

Veri İşleyen, alt işleyici eklemek veya değiştirmek istediğinde, Veri Sorumlusu'nu en az 30 gün önceden bilgilendirecektir. Veri Sorumlusu, makul gerekçelerle itiraz edebilir.

6.3 Alt İşleyici Yükümlülükleri

Veri İşleyen, alt işleyicilerin bu sözleşmedeki yükümlülüklere uymasını sağlayacak ve alt işleyicilerin eylemlerinden sorumlu olacaktır.

7 Uluslararası Veri Aktarımı

7.1 Aktarım Koşulları

Kişisel veriler, yalnızca aşağıdaki koşullardan biri sağlandığında yurt dışına aktarılabilir:

• İlgili ülkede yeterli korumanın bulunması
• Yeterli korumanın bulunmaması halinde, veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu'nun izninin alınması
• İlgili kişinin açık rızasının bulunması
• Kanunda öngörülen diğer hallerin varlığı

7.2 Standart Sözleşme Maddeleri

AB dışına veri aktarımında, Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (SCC) kullanılacaktır.

7.3 Veri Yerleşimi

Veriler öncelikli olarak Türkiye'de bulunan sunucularda işlenir ve saklanır. Yedekleme amaçlı olarak AB bölgesindeki sunucular kullanılabilir.

8 Veri Güvenliği İhlali

8.1 İhlal Bildirimi

Veri İşleyen, bir veri güvenliği ihlali tespit ettiğinde:

• İhlali tespit ettikten sonra en geç 24 saat içinde Veri Sorumlusu'nu bilgilendirecektir
• İhlalin niteliği, etkilenen veri kategorileri ve yaklaşık ilgili kişi sayısı hakkında bilgi verecektir
• İhlalin olası sonuçlarını değerlendirecektir
• İhlali gidermek ve etkilerini azaltmak için alınan/alınacak önlemleri bildirecektir

8.2 İhlal Yönetimi

Veri İşleyen, veri ihlali durumunda:

• Derhal güvenlik açığını kapatacak
• Etkilenen verileri ve sistemleri belirleyecek
• Olay kayıtlarını koruyacak
• Veri Sorumlusu'nun talimatlarına uygun hareket edecek
• Kuruma ve ilgili kişilere bildirim sürecinde destek olacak

8.3 Dokümantasyon

Tüm veri ihlalleri, etkileri ve alınan önlemler detaylı şekilde dokümante edilecek ve en az 5 yıl süreyle saklanacaktır.

9 Denetim ve İnceleme Hakları

9.1 Denetim Hakkı

Veri Sorumlusu veya yetkilendirdiği bir denetçi, Veri İşleyen'in bu sözleşmedeki yükümlülüklere uyumunu denetleme hakkına sahiptir.

9.2 Denetim Koşulları

• Denetimler en az 30 gün önceden yazılı bildirimle yapılır
• Yılda en fazla bir kez olağan denetim yapılabilir
• Veri ihlali şüphesi durumunda ek denetimler yapılabilir
• Denetim masrafları Veri Sorumlusu tarafından karşılanır

9.3 İşbirliği Yükümlülüğü

Veri İşleyen, denetimlerde tam işbirliği yapacak, gerekli tüm bilgi ve belgeleri sağlayacak ve tesislere erişim izni verecektir.

10 Sorumluluk ve Tazminat

10.1 Veri İşleyen'in Sorumluluğu

Veri İşleyen, aşağıdaki durumlardan sorumludur:

• Bu sözleşmedeki yükümlülüklerini ihlal etmesi
• Veri Sorumlusu'nun talimatlarına aykırı hareket etmesi
• Veri güvenliği ihlallerinden kaynaklanan zararlar
• Alt işleyicilerin eylem ve ihmallerinden doğan zararlar

10.2 Tazminat

Veri İşleyen, kendi kusuru nedeniyle Veri Sorumlusu'nun uğradığı doğrudan zararları tazmin edecektir. Bu, KVKK veya GDPR kapsamında kesilen idari para cezalarını da kapsar.

10.3 Sigorta

Veri İşleyen, veri ihlali ve siber güvenlik risklerine karşı yeterli sigorta poliçesi bulunduracaktır.

11 Süre ve Fesih

11.1 Sözleşme Süresi

Bu Sözleşme, ana hizmet sözleşmesi yürürlükte olduğu sürece geçerlidir.

11.2 Fesih

Sözleşme aşağıdaki durumlarda sona erer:

• Ana hizmet sözleşmesinin sona ermesi
• Tarafların karşılıklı anlaşması
• Ağır sözleşme ihlali durumunda derhal fesih

11.3 Fesih Sonrası Yükümlülükler

Sözleşmenin sona ermesi durumunda Veri İşleyen:

• Veri Sorumlusu'nun tercihine göre tüm kişisel verileri iade edecek veya güvenli şekilde imha edecektir
• Alt işleyicilerin de verileri silmesini sağlayacaktır
• İmha işlemini yazılı olarak teyit edecektir
• Yasal saklama yükümlülükleri saklı kalacaktır

12 Diğer Hükümler

12.1 Değişiklikler

Bu Sözleşme'de yapılacak değişiklikler ancak tarafların yazılı mutabakatı ile geçerli olur.

12.2 Uygulanacak Hukuk

Bu Sözleşme, Türkiye Cumhuriyeti hukukuna tabidir.

12.3 Uyuşmazlık Çözümü

Sözleşmeden doğan uyuşmazlıklarda İstanbul (Anadolu) Mahkemeleri ve İcra Daireleri yetkilidir.

12.4 İletişim