Kullanım Koşullarına EK No. 3: Veri İşleme Sözleşmesi

26 Kasım 2025 tarihi itibarıyla

Bu Veri İşleme Sözleşmesi, Şartlar kapsamında sağlanan ESET Hizmetlerini kullanarak veri kontrolörü olarak kişisel verileri işlediğiniz zaman Sizinle ESET arasında geçerlidir ve ESET bu tür kişisel verileri bir veri işleyicisi olarak Sizin adına işler.

Kişisel verilerin işlenmesi ve bu tür verilerin serbest hareketiyle ilgili Gerçek kişilerin korunmasına dair Avrupa Parlamentosu ve Konseyi'nin 27 Nisan 2016 tarihli 2016/679 sayılı Düzenlemesinin, 95/46/EC sayılı ilga edici Yönetmelik şartlarına göre (buradan sonra "GDPR" olarak anılacaktır), ESET (buradan sonra "İşleyici" olarak anılacaktır) ve Sizin (buradan sonra "Kontrolör" olarak anılacaktır) aranızda veri işlemeyle ilgili sözleşmeye dayalı bir ilişki doğmaktadır. Bu sözleşmenin amacı, kişisel verilerin işlenmesi için şartlar ve koşulları ve verileri koruma yöntemini tanımlamak, ayrıca ana sözleşme olarak bu Şartların konusunun uygulanması sırasında Kontrolör adına veri öznelerinin kişisel verilerinin işlenmesinde her iki tarafın diğer hak ve yükümlülüklerini de tanımlamaktır.

1. Kişisel Verilerin İşlenmesi. Bu Şartlara uygun olarak sağlanan hizmetler arasında, Gizlilik Politikası'nda belirtildiği şekilde, tanımlanmış veya tanımlanabilir gerçek bir kişiyle ilgili bilgilerin (buradan sonra "Kişisel Veriler" olarak anılacaktır) işlenmesi yer alır.

2. Yetkilendirme. Kontrolör Kişisel Verilerin işlenmesi için İşleyiciyi yetkilendirir ve şu talimatlar geçerlidir:

(i) İşlemenin amacı Hizmetlerin bu Şartlara ve Belgelere uygun olarak gerçekleştirilmesi anlamına gelir. İşleyicinin yalnızca Kontrolör tarafından istenen hizmetlerin sağlanmasıyla ilgili olarak, Kontrolör adına Kişisel Verileri işlemesine izin verilir. Ek amaçlar için toplanan tüm bilgiler, Kontrolör-İşleyici sözleşme ilişkisi dışında işlenir.

(ii) İşleme Dönemi, bu Şartlar ile karşılıklı iş birliğine girildiği tarihten hizmetlerin sonlandırıldığı tarihe kadarki dönem anlamına gelir.

(iii) Kişisel Verilerin Kapsamı ve Kategorileri, Hizmetlerin sağlanması sırasında Kontrolör tarafından sağlanan veya sağlanan herhangi bir Kişisel Veriyi ifade eder. Hizmetler yalnızca genel kişisel verilerin işlenmesi için tasarlanmıştır. Bununla birlikte, kişisel veri kapsamının belirlenmesinden yalnızca Kontrolör sorumludur.

(iv) Veri öznesi Kontrolörün cihazlarının yetkili kullanıcısı olarak Hizmetlerin sağlandığı gerçek kişi anlamına gelir.

(v) Etkinliklerin İşlenmesi, işleme için gerekli olan faaliyetlerin tümü ve her biri anlamına gelmektedir.

(vi) Belgelendirilmiş Talimatlar; bu Şartlarda, Eklerinde, Gizlilik Politikası'nda ve Belgelerde açıklanan talimatlardır. Kontrolör, veri koruma kanunun ilgili hükümlerine ilişkin olarak, Kişisel Verilerin İşleyici tarafından işlenmesinin yasal olarak kabul edilebilirliğinden sorumludur.

3. İşleyicinin Yükümlülükleri. İşleyici şunlarla yükümlüdür:

(i) Kişisel Verileri yalnızca Belgelendirilen Talimatlar temelinde ve İşleme Amacı'na uygun olarak işler,

(ii) Kişisel Verileri işlemeye yetkili kişilere (bundan böyle "Yetkili Kişiler" olarak anılacaktır) GDPR uyarınca hakları ve görevleri, ihlal durumunda sorumlulukları hakkında talimat vermek ve Yetkili Kişilerin gizliliği sağlama konusunda taahhüt vermiş olduklarından emin olmak ve Belgelenmiş talimatları izlemek,

(iii) Kontrolörün Kişisel Verilerini işlerken riskle uygun bir güvenlik düzeyi sağlamak için, işlemenin son teknolojiyi, uygulama maliyetlerini ve niteliğini, kapsamını, bağlamını ve amaçlarını, bunların yanı sıra gerçek kişilerin hakları ve özgürlükleri için değişen olasılık ve önem derecesini de göz önünde bulundurarak, GDPR Madde 32'ye göre gerekli olduğu şekilde işleme güvenliğiyle ilgili tüm önlemleri almak,

(iv) İşlemenin niteliğini dikkate alarak, Veri Öznelerinin haklarıyla ilgili taleplerine yanıt verme konusunda Kontrolöre yardımcı olmak. İşleyici, Kontrolörün talimatı olmadan Kişisel Verilerin işlenmesini düzeltemez, silemez veya kısıtlayamaz. Kontrolör adına işlenen Kişisel Verilerle ilgili Veri Öznesi tarafından gelen tüm istekler gecikmeksizin Kontrolöre iletecektir.

(v) Kontrolöre, süpervizör kurumu ve Veri Öznesine yönelik kişisel veri ihlali bildiriminde yardımcı olma, İşleyici, Kişisel Veri işlemenin veya kişisel veri güvenliğinin herhangi bir ihlalinin ortaya çıkmasından hemen sonra Kontrolör'e bildirecektir. İşleyici, bu tür bir ihlalin soruşturulması ve düzeltilmesinde makul ölçüde iş birliği yapacak ve diğer olumsuz etkileri sınırlamak amacıyla makul önlemleri alacaktır.

(vi) Kontrolörün tercihine bağlı olarak, İşleme Süresinin bitiminden sonra tüm Kişisel Verileri silmek veya Kontrolöre iade etmek. Kontrolör, İşlem Süresinin bitiminden itibaren on (10) gün içinde İşleyiciyi kararı hakkında bilgilendirmekle yükümlüdür. Bu şart, İşleyicinin Kişisel Verileri kamu yararına arşivleme amaçları, bilimsel araştırma amaçları, istatistiksel amaçlar veya yasal taleplerin oluşturulması, uygulanması veya savunulması amacıyla gerekli ölçüde saklama hakkını etkilemeyecektir.

(vii) Kontrolör adına gerçekleştirdiği işleme etkinliklerinin tüm kategorilerinin güncel kayıtlarını tutma,

(viii) Şartların, Eklerinin, Gizlilik Politikasının ve Belgelerin parçası olarak uyumluluğu sağlamak için gerekli olan tüm bilgileri Kontrolörün erişimine sunmak. Kişisel Verilerin işlenmesinin Kontrolör tarafından denetlenmesi veya kontrol edilmesi durumunda Kontrolör, planlanan denetim veya kontrolden en az otuz (30) gün önce İşleyiciyi yazılı olarak bilgilendirmekle yükümlüdür.

4. Başka Bir İşleyicinin Dahil Edilmesi. İşleyici genel olarak, bulut depolaması ve Hizmet için altyapı gibi belirli işleme etkinliklerinin gerçekleştirilmesi için başka bir işleyiciyi bu Şartlara, Eklerine, Gizlilik Politikasına ve Belgelere uygun olacak şekilde sürece dahil etme yetkisine sahiptir. Bu durumda bile İşleyici sözleşmenin yegane iletişim noktası ve uyumluluktan sorumlu yegane tarafı olarak kalmaya devam edecektir. İşleyici, işbu belgeyle, bu tür bir değişikliğe itiraz etme olanağının sağlanması amacıyla, başka bir işleyicinin eklenmesi veya değiştirilmesi hakkında Kontrolörü bilgilendirmeyi taahhüt eder. Şu anda dahil edilen alt işleyiciler İşleyicinin Gizlilik Politikasında belirtilmiştir.

5. İşleme Alanı. İşleyici, veri işlemenin Avrupa Ekonomik Alanı'nda veya Kontrolörün kararına dayalı olarak, Avrupa Komisyonu kararıyla güvenli addedilen bir ülkede gerçekleştirilmesini garanti eder. Aktarmalar olması ve işlemenin Kontrolörün talebi üzerine Avrupa Ekonomik Alanı'nın veya Avrupa Komisyonu kararıyla güvenli addedilen bir ülkenin dışında gerçekleşmesi durumunda Standart Sözleşme Maddeleri uygulanır.

6. Güvenlik. İşleyici ISO 27001 sertifikalıdır ve ağ katmanında, işletim sistemlerinde, veri tabanlarında, uygulamalarda, kişisel ve işleme süreçlerinde güvenlik kontrolleri yaparken katmanlı bir güvenlik stratejisi uygulamak için ISO 27001 çerçevesini kullanır. Düzenleme ve sözleşme gereksinimleriyle uyumluluk düzenli olarak değerlendirilir ve İşleyicinin diğer altyapı ve faaliyetlerine benzer şekilde incelenir ve uyumluluğun sürekli olarak temin edilmesi için gerekli adımlar atılır. İşleyici, ISO 27001 temelinde ISMS kullanarak veri güvenliğini düzenlemiştir. Güvenlik dokümanları temel olarak bilgi güvenliği, fiziksel güvenlik ve donanım güvenliği, olay yönetimi, veri sızıntılarının ve güvenlik olaylarının yönetimi vs. için politika dokümanlarını içerir.

7. Teknik ve Organizasyonel Önlemler. İşleyici, Kişisel Verileri gelişigüzel ve hukuka aykırı hasar ve imha, gelişigüzel kayıp, değişiklik, yetkisiz erişim ve ifşaya karşı koruyacaktır. Bu amaçla, İşleyici GDPR'nin gerekliliklerine uygun olarak Veri Öznelerinin hakları için işleme şekline ve işlemeden kaynaklı riske karşılık gelen yeterli teknik ve organizasyonel önlemleri alacaktır. Teknik ve organizasyonel önlemlerin ayrıntılı bir açıklaması Güvenlik Politikası'nda belirtilmiştir.

8. İşleyicinin İletişim Bilgileri. Tüm bildirimler, istekler, talepler ve kişisel veri korumasıyla ilgili diğer iletişimler şu birimin dikkatine ESET, spol. s.r.o. şirketine iletilecektir: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.