EK I: Veri İşleme Sözleşmesi
Bu Veri İşleme Sözleşmesi, ILOVEPDF'in Veri Sorumlusu adına kişisel verileri, (AB) 2016/679 sayılı Genel Veri Koruma Tüzüğü’ne (GDPR) uygun olarak nasıl işleyeceğini belirler.
Bu veri işleme sözleşmesi ("Veri İşleme Sözleşmesi"), ILOVEPDF’in ("ILOVEPDF"), CIF B66921552 numarasıyla kayıtlı ve merkezi Calle Sabino de Arana, 60, 08028 Barcelona adresinde bulunan şirket olarak, aşağıda belirtilen hükümler uyarınca işlediği kişisel veriler bakımından sizin adınıza gerçekleştirdiği veri işleme faaliyetlerine uygulanacak sözleşmeyi teşkil eder.
Bu kapsamda, ILOVEPDF, kendisine ait yazılım veya bilgisayar programları aracılığıyla size belirli hizmetler sunacaktır. Bu hizmetlerin kullanımı, sizin sorumlusu (bundan böyle "veri sorumlusu" olarak anılacaktır) olduğunuz belirli kişisel verilere erişimi ve bu verilerin veri işleyici sıfatıyla hareket eden ILOVEPDF (bundan böyle "veri işleyen" olarak anılacaktır) tarafından işlenmesini gerektirecektir.
Bu İşleme Sözleşmesi, ILOVEPDF Şartlar ve Koşullarının ayrılmaz bir parçasını oluşturur ve Şartlar ve Koşulların kabul edilmesiyle birlikte yürürlüğe girer. Şartlar ve Koşullar ile İşleme Sözleşmesi arasında herhangi bir uyuşmazlık, çelişki veya tutarsızlık olması halinde, İşleme Sözleşmesi hükümleri Şartlar ve Koşullara kıyasla öncelikli olarak uygulanacaktır.
27 Nisan 2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğünün kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı bakımından gerçek kişilerin korunmasına ilişkin hükümlerine ("GDPR") uyum sağlamak amacıyla, veri sorumlusu ile veri işleyen bu İşleme Sözleşmesini aşağıdaki şekilde akdetmiştir:
MADDELER
Madde 1
Amaç ve kapsam
- Bu İşleme Sözleşmesinin amacı, GDPR Madde 28(3) ve (4)'e uyumu sağlamaktır.
- Veri sorumlusu ile veri işleyen, GDPR Madde 28(3) ve (4)'e uyumu sağlamak amacıyla bu Sözleşme ile bağlı olmayı kabul etmiştir.
- Bu İşleme Sözleşmesi, Ek I’de belirtilen kişisel verilerin işlenmesine uygulanır.
- Ek I ve Ek II, İşleme Sözleşmesinin ayrılmaz bir parçasını oluşturur.
- Bu şartlar ve koşullar, veri sorumlusunun GDPR uyarınca tabi olduğu yükümlülüklere halel getirmez.
- Bu şartlar ve koşullar, tek başına GDPR Bölüm V uyarınca uluslararası veri aktarımlarına ilişkin yükümlülüklere uyumu sağlamaz.
Madde 2
Yorumlama
- GDPR’de tanımlanan terimler bu İşleme Sözleşmesinde kullanıldığında, GDPR’dekiyle aynı anlamları taşıyacaktır.
- Bu İşleme Sözleşmesi, GDPR hükümleri ışığında okunacak ve yorumlanacaktır.
- Bu İşleme Sözleşmesi, GDPR kapsamında öngörülen hak ve yükümlülüklere aykırı olacak veya veri sahiplerinin temel hak ve özgürlüklerine zarar verecek şekilde yorumlanmayacaktır.
Madde 3
Hiyerarşi
Bu İşleme Sözleşmesi ile Taraflar arasında bu şartlar ve koşulların kabul edildiği sırada mevcut olan ya da sonrasında akdedilen ilgili anlaşmaların hükümleri arasında bir çelişki olması durumunda, bu İşleme Sözleşmesi geçerli olacaktır.
Madde 4
İşlemenin tanımı
Ek I, işleme faaliyetlerinin ayrıntılarını, özellikle veri sorumlusu adına işlenen kişisel veriler için kişisel veri kategorilerini ve işleme amaçlarını belirtir.
Madde 5
Tarafların yükümlülükleri
5.1. Talimatlar
- Veri işleyen, veri işleyenin tabi olduğu Birlik veya Üye Devlet hukukunun aksini gerektirmesi durumu hariç olmak üzere kişisel verileri yalnızca veri sorumlusunun belgelenmiş talimatları doğrultusunda işleyecektir. Bu durumda veri işleyen, hukuk kamu yararına ilişkin önemli gerekçelerle bu bildirimi yasaklamadığı sürece, işlemeye başlamadan önce veri sorumlusunu söz konusu yasal yükümlülük hakkında bilgilendirecektir. Veri sorumlusu tarafından, kişisel verilerin işlenmesi süresince ek talimatlar verilebilir. Bu talimatlar her zaman belgelenmiş olacaktır.
- Veri işleyen, veri sorumlusunun verdiği talimatların GDPR’yi veya geçerli Birlik ya da Üye Devlet veri koruma mevzuatını ihlal ettiğini düşünmesi halinde, veri sorumlusunu derhal bilgilendirecektir.
5.2. Amaç sınırlaması
Veri işleyen, veri sorumlusundan ek talimat almadıkça kişisel verileri yalnızca Ek I’de belirtilen işleme amaçları doğrultusunda işleyecektir.
5.3. Kişisel veri işlemenin süresi
Veri işleyen tarafından işleme faaliyetleri yalnızca Ek I’de belirtilen süre boyunca gerçekleştirilecektir.
5.4. İşlemenin güvenliği
- Veri işleyen, kişisel verilerin güvenliğini sağlamak amacıyla en az Ek II’de belirtilen teknik ve organizasyonel tedbirleri uygulayacaktır. Bu, kazara veya hukuka aykırı imha, kayıp, değişiklik, yetkisiz ifşa veya erişime yol açan güvenlik ihlallerine (kişisel veri ihlali) karşı korumayı içerecektir. Uygun güvenlik düzeyinin belirlenmesinde Taraflar; teknolojinin güncel durumu, uygulama maliyetleri, işlemenin niteliği, kapsamı, bağlamı ve amaçları ile veri sahipleri açısından ortaya çıkan riskleri dikkate alacaktır.
- Veri işleyen, devam eden kişisel veri işlemesine personelinin erişimine yalnızca sözleşmenin uygulanması, yönetimi ve izlenmesi için kesinlikle gerekli olan ölçüde izin verecektir. İşleyici, kişisel verileri işlemekle yetkilendirilen kişilerin gizliliği taahhüt ettiğinden veya uygun yasal gizlilik yükümlülükleri ile bağlandığından emin olacaktır.
5.5. Hassas veriler
İşlemenin; ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğini ortaya koyan kişisel verileri, bir gerçek kişinin benzersiz şekilde tanımlanması amacıyla genetik verileri veya biyometrik verileri, sağlık verilerini veya bir kişinin cinsel hayatı ya da cinsel yönelimine ilişkin verileri veya ceza mahkumiyeti ve suçlarla ilgili verileri ("hassas veriler") içermesi halinde, veri işleyen özel kısıtlamalar ve/veya ek güvenceler uygulayacaktır.
5.6. Belgeler ve uyumluluk
- Taraflar, bu Veri İşleme Sözleşmesine uyumu gösterebilmelidirler.
- Veri işleyen, bu İşleme Sözleşmesi uyarınca gerçekleştirilen veri işlemesine ilişkin olarak veri sorumlusundan gelen soruları derhal ve yeterli şekilde yanıtlayacaktır.
- Veri işleyen, bu İşleme Sözleşmesinde yer alan ve doğrudan GDPR’den kaynaklanan yükümlülüklere uyumu göstermek için gerekli tüm bilgileri veri sorumlusuna veya bağımsız bir üçüncü tarafa sunacaktır. Veri sorumlusunun talebi üzerine, veri işleyen, bu İşleme Sözleşmesi kapsamındaki veri işleme faaliyetlerine ilişkin denetimlerin yapılmasına izin verecek ve bu denetimlere katkıda bulunacaktır. Denetimler, veri işleyenin bu Veri İşleme Sözleşmesi hükümlerinden herhangi birine uymadığına ilişkin önceden yazılı olarak uygun şekilde gerekçelendirilmiş bir şüphe bulunması halinde veri sorumlusunun gerekli kontrolleri yapabilmesi için maddi ve zamansal olarak kesinlikle gerekli olanlarla sınırlı olacaktır. Her halükarda denetimler, yalnızca uyumsuzluk iddialarının incelenmesi amacıyla yapılacak, yılda en fazla bir (1) denetimle sınırlı olacak ve en az bir (1) ay önceden bildirilecektir. Her durumda denetim masrafları veri sorumlusuna ait olacaktır.
- Taraflar, talep üzerine yetkili denetim makamlarına bu maddede belirtilen bilgileri ve özellikle denetim sonuçlarını sunacaklardır.
5.7. Alt işleyen kullanımı
- Veri işleyen, alt veri işleyenlerin görevlendirilmesi için veri sorumlusunun genel yetkilendirmesine sahiptir. Veri işleyen, veri sorumlusunun itiraz hakkını kullanabilmesini sağlamak amacıyla gerekli bilgileri veri sorumlusuna sunacaktır.
- Veri işleyen, belirli veri işleme faaliyetlerini yürütmek üzere bir alt veri işleyen görevlendirdiğinde (veri sorumlusu adına), bunu; alt veri işleyen üzerinde, bu maddeler uyarınca veri işleyene yüklenen veri koruma yükümlülükleriyle esasen aynı yükümlülükleri tesis eden bir sözleşme yoluyla gerçekleştirecektir. Veri işleyen, alt veri işleyenin, bu İşleme Sözleşmesi ve GDPR kapsamında kendisine yüklenen yükümlülüklere uygun hareket etmesini sağlayacaktır.
- Veri işleyen, alt veri işleyenin sözleşme kapsamında üstlendiği yükümlülüklerin yerine getirilmesinden veri sorumlusuna karşı tamamen sorumlu olmaya devam edecektir. Veri işleyen, alt veri işleyenin sözleşmesel yükümlülüklerini yerine getirmemesine ilişkin herhangi bir durumu veri sorumlusuna bildirecektir.
5.8. Uluslararası aktarımlar
- Veri işleyen tarafından üçüncü bir ülkeye veya uluslararası bir kuruluşa yapılacak veri aktarımları, GDPR Bölüm V hükümlerine uygun olarak gerçekleştirilecektir.
- Veri sorumlusu, veri işleyenin madde 5.7 uyarınca belirli veri işleme faaliyetlerini (veri sorumlusu adına) yürütmek için bir alt veri işleyen görevlendirdiği ve bu işlemlerin GDPR Bölüm V anlamında kişisel veri aktarımı içerdiği durumlarda, veri işleyen ile alt veri işleyenin GDPR Bölüm V'e uygunluğu şu yollarla sağlayabileceğini kabul eder: (i) Avrupa Komisyonu tarafından GDPR Madde 45 uyarınca yeterlilik kararı verilen ülkelere kişisel veri aktarımı yapılması veya (ii) GDPR Madde 46(2) uyarınca Avrupa Komisyonu tarafından kabul edilen standart sözleşme maddelerinin kullanılması (bu standart sözleşme maddelerinin kullanım şartlarının karşılanması koşuluyla). Genel kural olarak ve veri sorumlusu aksi yönde bir seçim yapmadıkça, veri işleyen kişisel verileri Avrupa Ekonomik Alanı içinde işlemektedir. Bununla birlikte, Avrupa Ekonomik Alanı dışında bulunan veri sorumluları için, hizmetlerin performansını ve verimliliğini optimize etmek amacıyla, yukarıdaki güvencelerin sağlanması kaydıyla kişisel veriler veri sahibinin bulunduğu coğrafi bölgeye daha yakın alanlarda işlenebilir.
- Ayrıca, işleyici ile veri sorumlusu arasında kişisel verilerin GDPR Bölüm V anlamında aktarımını içeren bir kişisel veri iletişimi varsa, işleyici ve veri sorumlusu, İlave Bölüm II olarak ekli olan standart sözleşme maddelerini (modül 4) akdetmelidir.
Madde 6
Veri sorumlusuna yardım
- Veri işleyen, veri sahibinden gelen herhangi bir talebi derhal veri sorumlusuna bildirecektir. Veri sorumlusu tarafından yetkilendirilmedikçe bu taleplere kendisi yanıt vermeyecektir.
- Veri işleyen, aldığı ve yanıtlanması veri sorumlusuna ait olan veri sahibi haklarına ilişkin talepleri veri sorumlusuna iletecektir (veri sorumlusunun veri sorumlusu olduğu kişisel verilerle ilgili olmalarından dolayı).
- Veri işleyen, Madde 6(b) kapsamındaki yardım yükümlülüğüne ek olarak, veri işlemenin niteliği ve veri işleyenin erişimindeki bilgiler dikkate alınarak, aşağıdaki yükümlülüklerin yerine getirilmesinde veri sorumlusuna ayrıca yardımcı olacaktır:
- işleme türünün, gerçek kişilerin hak ve özgürlükleri açısından yüksek risk doğurabileceği durumlarda, planlanan veri işleme faaliyetlerinin kişisel verilerin korunması üzerindeki etkisini değerlendirme yükümlülüğü ('veri koruma etki değerlendirmesi');
- veri koruma etki değerlendirmesi, kontrolörün riski azaltacak önlemler almadığı durumda işlemenin yüksek risk oluşturacağını gösteriyorsa, işlemeye başlamadan önce yetkili denetim makamına danışma zorunluluğu;
- veri işleyenin işlediği kişisel verilerin yanlış veya artık geçerli olmadığını fark etmesi durumunda, veri sorumlusunu gecikmeksizin bilgilendirerek kişisel verilerin doğruluğu ve güncelliğini sağlama yükümlülüğü;
- GDPR Madde 32 kapsamındaki yükümlülükler.
- Taraflar, bu maddenin uygulanması kapsamında veri işleyenin veri sorumlusuna sağlayacağı yardımın uygun teknik ve organizasyonel tedbirlerini ve bu yardımın kapsamını ve derecesini Ek II’de belirleyecektir.
Madde 7
Kişisel veri ihlali bildirimi
- Kişisel veri ihlali durumunda veri işleyen, veri sorumlusunun GDPR Madde 33 ve 34 kapsamındaki yükümlülüklerine uyabilmesi için veri sorumlusuyla iş birliği yapacak ve ona yardımcı olacaktır; bu, veri işlemenin niteliği ve veri işleyenin erişimindeki bilgiler dikkate alınarak yapılacaktır.
- Veri işleyen tarafından veri sorumlusu adına işlenen kişisel verilerin güvenliğinin ihlali halinde, veri işleyen, ihlali fark ettiği anda gecikmeksizin veri sorumlusunu bilgilendirecektir. Bu bildirim en az aşağıdaki bilgileri içerecektir:
- ihlalin niteliğine ilişkin açıklama (mümkün olduğunda etkilenen veri sahiplerinin ve veri kayıtlarının kategorileri ve yaklaşık sayısı dahil);
- kişisel veri ihlali hakkında daha fazla bilginin elde edilebileceği iletişim sorumlusunun bilgileri;
- muhtemel sonuçlar ve olası olumsuz etkilerin azaltılması dahil olmak üzere ihlalin ele alınması için alınan veya önerilen önlemler.
- Tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı durumlarda, mevcut bilgiler ilk bildirimde sunulacak ve ek bilgiler elde edildikçe gecikmeden iletilecektir.
EK I: İŞLEMENİN TANIMI
Kişisel verileri işlenen veri sahibi kategorileri
ILOVEPDF tarafından sağlanan hizmetlerin kullanımı sırasında verileri veri sorumlusu tarafından yüklenen dosyalarda yer alan veri sahibi kategorileri (örneğin çalışanlar, müşteriler, tedarikçiler vb.).
İşlenen kişisel veri kategorileri
ILOVEPDF tarafından sağlanan hizmetler kullanılırken veri sorumlusu tarafından yüklenen dosyalarda yer alan kişisel veri kategorileri.
İşlenen hassas veriler (varsa) ve verilerin niteliği ile ilgili riskleri tam olarak dikkate alan uygulanan kısıtlamalar veya güvenceler (örneğin sıkı amaç sınırlaması, erişim kısıtlamaları (yalnızca özel eğitim almış personelin erişimi dahil), verilere erişimin kayıt altına alınması, sonraki aktarımlara ilişkin kısıtlamalar veya ilave güvenlik tedbirleri).
Özel kategorideki kişisel veriler, veri sorumlusunun ILOVEPDF tarafından sağlanan hizmetleri kullanırken yüklediği dosyaların bu tür özel kişisel veri kategorilerini içermesi ölçüsünde işlenecektir.
İşlemenin niteliği
Veri işleyen, hizmetleri sağlamak için gerekli olan tüm işlemleri gerçekleştirecektir (örneğin kişisel veri içeren belgeyi dönüştürme, düzenleme ve sıkıştırma).
Veri sorumlusu adına kişisel verileri işleme amaçları
ILOVEPDF adına hizmetlerin sağlanması.
İşlemenin süresi
Hizmetlerin sağlanması için kesinlikle gerekli olduğu süre boyunca.
Alt veri işleyenler ve sunulan hizmet türleri
Hizmetlerini sunma kapsamında ILOVEPDF, kişisel verilerin alt veri işleyeni olarak hareket eden üçüncü taraf hizmet sağlayıcıları kullanmaktadır. Bunlar arasında ILOVEPDF, web barındırma ve bulut bilişim çözümleri sağlayıcıları olarak Cloudscale, DigitalOcean, Hetzner, OVHcloud ve Vultr ile çalışmakta olup, bu sağlayıcılar platformda güvenli veri işlenmesi, verilerin geçici olarak depolanması ve operasyonel sürekliliğin sağlanması için teknolojik altyapı hizmetleri sunmaktadır.
Alt veri işleyenler, ILOVEPDF’in talimatları doğrultusunda hareket eder ve kişisel verilerin korunmasını sağlamak amacıyla (AB) 2016/679 sayılı Tüzük (GDPR) ve diğer uygulanabilir veri koruma mevzuatı uyarınca uygun teknik ve organizasyonel tedbirleri uygular.
ILOVEPDF adresinin alt işlemcileri hakkında daha fazla bilgi için buraya tıklayabilirsiniz.
EK II: VERİ GÜVENLİĞİNİ SAĞLAMA AMAÇLI TEKNİK VE ORGANİZASYONEL TEDBİRLER DAHİL OLMAK ÜZERE TEKNİK VE ORGANİZASYONEL TEDBİRLER
Veri işleyen, bu İşleme Sözleşmesi kapsamında yürütülen veri işleme faaliyetlerine ilişkin olarak aşağıdaki teknik ve organizasyonel güvenlik tedbirlerini uygulayacaktır:
- Aktarılan bilginin ele geçirilmesini, kopyalanmasını, değiştirilmesini, yönlendirme hatalarını ve yok edilmesini önlemeye yönelik teknik tedbirler.
- Elektronik iletişim yoluyla iletilebilecek kötü amaçlı uygulamaları (kötü amaçlı yazılımlar) tespit etmek, bunlara karşı koruma sağlamak ve bunların etkilerini azaltmak için teknik prosedürler ve iç politikalar.
- Ekler olarak iletilen gizli bilgilerin aktarımı sırasında teknik koruma.
- İletişim kaynaklarının kabul edilebilir kullanımına ilişkin iç politika.
- Veri işleyenin kaynaklarına yetkili erişimi bulunan tüm kullanıcıların (personel ve üçüncü taraflar) kendi bilgi sorumluluklarına ilişkin hesap verebilirliğini sağlamak için organizasyonel tedbirler.
- Bilginin gizliliğini, bütünlüğünü ve doğruluğunu korumak için kriptografik tekniklerin kullanılması.
- Mesajlar dahil tüm ticari yazışmaların saklanması ve imhasına ilişkin, ilgili ulusal ve yerel yasa ve düzenlemelere uygun organizasyonel yönergeler.
- Şu gibi amaçlarla gizli bilgilerin gizliliğine ilişkin olarak personel için düzenli bilgilendirme ve iç politika oluşturulması: yanıt cihazlarında gizli bilgi içeren mesajların bırakılmaması, kamuya açık yerlerde gizli konuşmalar yapılmaması, güvenli olmayan iletişim kanallarının kullanılmaması, açık ofislerde gizli konuşmalar yapılmaması vb.
Sürüm kontrolü: 19 Şubat 2026 Perşembe