Veri İşleme Ek Sözleşmesi

  1. Tanımlar
    Bu Veri İşleme Ek Sözleşmesi kapsamında, "GDPR" Genel Veri Koruma Yönetmeliği'ni (2016/679 sayılı AB Yönetmeliği), "Denetleyici", "Veri İşleyici", "Veri Sahibi", "Kişisel Veri", "Kişisel Veri İhlali" ve "İşleme" terimleri ise GDPR içinde açıklanan anlamlarını ifade eder. Ayrıca, "İşlenme" ve "İşlemek" sözcükleri "İşleme" tanımına uygun olarak yorumlanacaktır. Burada tanımlanan diğer tüm terimler, bu Sözleşme dahilinde başka herhangi bir yerde ifade edilen anlamlarıyla aynı anlama sahip olacaklardır.
  2. Veri İşleme
    1. Facebook, bu Sözleşme kapsamında Verileriniz ("Kişisel Verileriniz") dahilinde yer alan her türlü Kişisel Veriler ile ilişkili olarak İşleyici sıfatıyla gerçekleştirdiği faaliyetlerinde aşağıdaki hususları onaylar:
      1. İşlemenin süresi, konusu, doğası ve amacı Sözleşmede belirtildiği şekilde olacaktır;
      2. İşlenen Kişisel Veri türleri, Verileriniz tanımında belirtilen türleri içerecektir;
      3. Veri Sahipleri kategorileri temsilcilerinizi, Kullanıcıları ve Kişisel Verileriniz kullanılarak kimliği belirlenen veya belirlenebilen diğer tüm bireyleri içerecektir.
      4. Veri Denetleyicisi sıfatıyla Kişisel Verilerinizle bağlantılı yükümlülükleriniz ve haklarınız, bu Sözleşmede belirtilmiştir.
    2. Facebook, Sözleşme kapsamında veya Sözleşmeyle bağlantılı olarak Kişisel Verilerinizi İşlediği ölçüde:
      1. Kişisel Verilerinizi, bu verilerin aktarımı ile ilgili olanlar dahil, GDPR'nin 28(3)(a) numaralı Maddesinde izin verilen istisnalar hariç olmak üzere, sadece bu Sözleşmede belirtilen talimatlarınız uyarınca işleyecek;
      2. Bu Sözleşme kapsamında Kişisel Verilerinizi İşlemek üzere yetkilendirdiği çalışanlarının gizlilik konusunda duyarlı olmasını veya Kişisel Verilerinizle ilgili olarak yasal açıdan gizlilik yükümlülüğüne tabi olmasını sağlayacak;
      3. Veri Güvenliği Ek Sözleşmesi'nde belirtilen teknik ve organizasyonel önlemleri uygulamaya koyacak;
      4. Alt İşleyiciler görevlendirirken bu Veri İşleme Ek Sözleşmesi'nin aşağıdaki 2.c ve 2.d saylı Bölümlerinde sözü edilen koşullara uyacak;
      5. Bir Veri Sahibinin GDPR'nin Kısım III'ü kapsamındaki haklarının kullanılmasına ilişkin taleplere yanıt verme yükümlülüklerinizi yerine getirebilmeniz amacıyla uygun teknik ve organizasyonel önlemler ile size Workplace aracılığıyla mümkün olduğu ölçüde yardımcı olacak;
      6. İşlemenin niteliği ve Facebook'un erişimine açık bilgiler hesaba katılarak GDPR'nin 32. ila 36. Maddeleri kapsamındaki yükümlülüklerinizi yerine getirmeniz için size yardımcı olacak;
      7. Sözleşmenin iptal edildiğinde, Avrupa Birliği veya Üye Ülke yasalarının Kişisel Verilerin saklanmasını gerektirdiği durumlar hariç, Kişisel Verileri Sözleşme uyarınca silecek;
      8. Facebook'un GDPR'nin 28. Maddesi kapsamındaki yükümlülüklerine uyabilmesi için gerekli olan tüm bilgileri kullanıma açma yükümlülüğünü yerine getirmek amacıyla bu Sözleşmede açıklanan tüm bilgileri Workplace aracılığıyla kullanımınıza sunacak ve
      9. Facebook'un seçtiği bir üçüncü taraf denetçinin yılda bir kez Facebook'un Workplace ile ilgili kontrolleri üzerinde bir SOC 2 Type II denetimi veya endüstri standartlarına uygun bir başka denetim gerçekleştirmesini sağlayacaktır. Söz konusu üçüncü taraf denetçi sizin himayenizde çalışacaktır. İsteğiniz doğrultusunda Facebook, yapıldığı tarih itibariyle güncel olan denetim raporunu size sunacak ve bu rapor Facebook'un Gizli Bilgisi olarak değerlendirilecektir.
    3. Facebook'a bu Sözleşme kapsamındaki veri İşleme yükümlülüklerini, Facebook İştiraklerine ve listesini yazılı olarak talepte bulunmanız halinde Facebook'tan edinebileceğiniz diğer üçüncü taraflara alt sözleşme yoluyla ataması için yetki verirsiniz. Facebook bu yükümlülük devrini sadece, alt İşleyiciyle bu Sözleşme kapsamında Facebook'a verilmiş veri koruma yükümlülüklerinin aynılarını söz konusu alt İşleyiciye veren yazılı bir sözleşme yapması durumunda gerçekleştirecektir. Alt İşleyicinin bu yükümlülükleri yerine getirememesi halinde Facebook, ilgili alt İşleyicinin veri koruma yükümlülüklerinin yerine getirilmesi açısından size karşı tamamen sorumlu kalmaya devam edecektir.
    4. Facebook'un (i) 25 Mayıs 2018 veya (ii) Yürürlük Tarihinden itibaren (hangisi daha sonraysa) ilave veya yedek alt İşleyiciler görevlendirmesi durumunda, Facebook bu ilave veya yedek alt İşleyicilerin görevlendirilmesinden en az on dört (14) gün önce sizi söz konusu ilave veya yedek alt İşleyiciler hakkında bilgilendirecektir. Facebook'tan bu bilgilendirmeyi aldıktan sonra on dört (14) gün içinde ilave veya yedek alt İşleyicilerin görevlendirilmesine, Facebook'a yazılı bildirimde bulunarak derhal Sözleşmeyi feshetmek suretiyle itiraz edebilirsiniz.
    5. Facebook, Kişisel Verilerinizle ilgili bir Kişisel Veri İhlalinden haberdar olduğu anda, durumu gecikmeden size bildirecektir. Bilgilendirme anında veya bilgilendirmeden sonra olabildiğince kısa sürede gönderilmesi gereken bu bildirimde, mümkün olduğunda etkilenen kayıtlarınızın sayısı, etkilenen Kullanıcıların kategorisi ve yaklaşık sayısı, ihlalin beklenen sonuçları ve uygun olduğunda ihlalin muhtemel olumsuz etkilerini ortadan kaldırmak veya hafifletmek için alınan veya alınabilecek önlemler dahil olmak üzere Kişisel Veri İhlaline ilişkin ayrıntılar bulunacaktır.