Madde 28 evrak işin, zaten imzalı.

Sorular mı? legal@baslic.com adresine yaz.

Özet

Taraflar ve kapsam

Bu Veri İşleme Sözleşmesi ("DPA") Hizmet Şartları'nı Fidanet Solution Oy, Marinkallio 6b, 02320 Espoo, Finlandiya, İş No: 3497432-1 ("İşleyici", "Baslic") ile Hizmeti kullanan kuruluş ("Veri Sorumlusu", "sen") arasında tamamlar.

Baslic'in Hizmetle bağlantılı olarak Veri Sorumlusu adına kişisel verileri işlediği her zaman uygulanır ve Veri Sorumlusu kaydolduğunda otomatik olarak Şartlara dahil edilir.

Tanımlar

Burada kullanılan ve başka türlü tanımlanmamış büyük harfle başlayan terimler, GDPR'de verilen anlama sahiptir. "Kişisel Veri", "İşleme", "Veri Sorumlusu", "İşleyici", "Alt İşleyici", "Veri Sahibi" ve "Kişisel Veri İhlali" GDPR Madde 4 ve 28'in anlamlarını taşır.

"Müşteri Kişisel Verileri", Hizmetin Veri Sorumlusuna sunulması sürecinde Hizmete gönderilen veya Hizmet tarafından üretilen Kişisel Verileri ifade eder. Veri ve Veri Sahipleri kategorileri Ek I'de açıklanmıştır.

Konu ve süre

İşlemenin konusu Hizmetin sağlanmasıdır: fiş ve faturaların alınması, satır kalemlerinin çıkarılması, KDV ve vergi muamelesinin sınıflandırılması, muhasebe araçları için dışa aktarımların oluşturulması ve sonuçların Veri Sorumlusu ve yetkili kullanıcıları için saklanması.

İşlemenin süresi, alttaki aboneliğin süresi artı dışa aktarım ve yasal kayıt tutma için gereken sözleşme sonrası saklama süresidir, saklama programımız uyarınca.

Belgelenmiş talimatlara göre işleme

Baslic, Müşteri Kişisel Verilerini yalnızca Veri Sorumlusunun belgelenmiş talimatlarına göre işler, üçüncü bir ülkeye transferler dahil, Birlik veya Üye Devlet hukuku tarafından zorunlu kılınmadıkça. Baslic böyle bir yasal gerekliliğe dayandığında, kanun bunu önemli kamu yararı gerekçeleriyle yasaklamadıkça, işlemeden önce Veri Sorumlusuna gerekliliği bildirir.

Veri Sorumlusunun talimatları (a) Şartlar ve herhangi bir Sipariş, (b) bu DPA ve (c) Veri Sorumlusunun Hizmetin sunduğu yapılandırma seçeneklerini ve API'leri kullanmasında belirlenir. Bu kapsamın dışındaki ek talimatlar ayrı yazılı bir anlaşma gerektirir.

Baslic, bir talimatın GDPR'ı veya diğer uygulanabilir veri koruma kanununu ihlal ettiğini değerlendirirse, gereksiz gecikme olmadan Veri Sorumlusuna bildirir.

Personel gizliliği

Baslic, Müşteri Kişisel Verilerini işlemeye yetkili personelin, iş sözleşmesi veya ayrı yazılı bir taahhüt aracılığıyla gizliliğe bağlı kalmasını sağlar ve rolüne uygun eğitim almasını sağlar.

İşleme güvenliği (Madde 32)

Baslic, teknolojinin durumunu, uygulama maliyetini ve işlemenin niteliğini, kapsamını, bağlamını ve amacını dikkate alarak riske uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemler uygular. Bu önlemlerin güncel açıklaması Ek II'de belirtilmiştir.

Alt işleyiciler

Veri Sorumlusu, bu bölümdeki yükümlülüklere tabi olarak, Baslic'in Müşteri Kişisel Verilerini işlemek için Alt İşleyicilerle çalışması için genel yetki verir.

Yetkili Alt İşleyicilerin güncel listesi baslic.com/legal/sub-processors adresinde yayınlanır. Veri Sorumluları, eklemeler ve değişiklikler için e-posta bildirimlerine abone olabilir.

Baslic, Müşteri Kişisel Verilerini işleyen Alt İşleyicilerin amaçlanan eklenmesi veya değiştirilmesi konusunda, değişiklik yürürlüğe girmeden en az 30 gün önce Veri Sorumlusuna bildirir. Veri Sorumlusu, bildirim süresi içinde privacy@baslic.com adresine e-posta ile veri korumayla ilgili makul gerekçelerle itiraz edebilir. Bir itiraz çözülemezse, Veri Sorumlusu etkilenen Hizmet açısından aboneliği uygunluk için sonlandırabilir ve ön ödemeli ücretlerin pro-rata iadesini alabilir.

Baslic, bu DPA'daki yükümlülüklerden daha az koruyucu olmayan veri koruma yükümlülükleri getiren her Alt İşleyiciyle yazılı bir anlaşma yapar. Baslic, Alt İşleyicilerinin yükümlülüklerinin yerine getirilmesi konusunda Veri Sorumlusuna karşı tamamen sorumlu kalır.

Uluslararası transferler

Müşteri Kişisel Verileri Avrupa Ekonomik Alanı'nda saklanır. Bir Alt İşleyici verileri AEA dışında işlediğinde, Baslic GDPR'ın V. Bölümü'nü karşılayan transfer mekanizmalarına dayanır, Avrupa Komisyonu'nun Standart Sözleşme Maddeleri (Komisyon Uygulama Kararı (AB) 2021/914) dahil, uygun olduğunda tamamlayıcı teknik ve organizasyonel önlemlerle desteklenir.

Kaydolarak, Veri Sorumlusu Baslic'i Veri Sorumlusu adına ilgili Alt İşleyicilerle Standart Sözleşme Maddeleri yapma yetkisi verir, uygulanabilir modüllerinde (Modül 3, işleyiciden işleyiciye, Baslic'in Veri Sorumlusunun talimatlarına göre veri ihracatçısı olarak hareket ettiği).

Veri sahibi haklarına yardım

Hizmet, Veri Sorumlusuna Müşteri Kişisel Verilerine erişmek, dışa aktarmak, düzeltmek ve silmek için kendi kendine hizmet araçları sağlar, Veri Sorumlusunun çoğu durumda Veri Sahibi isteklerine doğrudan yanıt vermesini sağlar.

Ek yardımın makul olarak gerekli olduğu durumlarda, Baslic işlemenin niteliğini dikkate alarak yardım sağlar. Baslic, doğrudan alınan herhangi bir Veri Sahibi isteğini gereksiz gecikme olmadan Veri Sorumlusuna iletecek ve Veri Sahibine Veri Sorumlusuyla iletişime geçmesi talimatını verecektir.

Kişisel veri ihlali

Baslic, Müşteri Kişisel Verilerini etkileyen herhangi bir Kişisel Veri İhlalini gereksiz gecikme olmadan ve her halükarda farkına vardığı andan itibaren 48 saat içinde Veri Sorumlusuna bildirir. Bildirim, o zaman bilinen ölçüde aşağıdakileri içerir:

• ilgili Veri Sahipleri ve kayıtların kategorileri ve yaklaşık sayısı dahil ihlalin niteliği;
• ihlalin olası sonuçları;
• ihlali ele almak ve olumsuz etkileri azaltmak için alınan veya önerilen önlemler;
• daha fazla bilgi için Baslic'teki irtibat noktası.

Baslic, Veri Sorumlusuna GDPR Madde 33 ve 34 kapsamındaki kendi bildirim yükümlülüklerini yerine getirmesinde yardımcı olur. Bildirim, kusur veya sorumluluk kabulü oluşturmaz.

DPIA ve önceden danışma

Baslic, işlemenin niteliğini ve Baslic'e mevcut bilgileri dikkate alarak, veri koruma etki değerlendirmelerinin (Madde 35) ve denetim makamlarıyla önceden danışmaların (Madde 36) yürütülmesinde Veri Sorumlusuna makul yardım sağlar.

Denetim hakları

Baslic, GDPR Madde 28 ile uyumu göstermek için makul olarak gerekli tüm bilgileri Veri Sorumlusuna sunar, mevcut son üçüncü taraf denetim raporları ve güvenlik dokümantasyonu dahil.

Veri Sorumlusu, takvim yılı başına en fazla bir kez ve en az 30 günlük yazılı bildirimle Baslic'in bu DPA'ya uygunluğunun bir denetimini yürütebilir veya devreye sokabilir. Denetim, normal iş saatlerinde, makul gizlilik yükümlülüklerine tabi olarak ve Veri Sorumlusunun masrafıyla yapılır, ancak denetim bu DPA'nın esaslı ihlalini ortaya çıkarırsa bu durumda Baslic makul masrafları üstlenir.

Veri Sorumlusunun denetim ihtiyaçları Baslic'in sağladığı bağımsız üçüncü taraf denetim raporu (örneğin ISO 27001 izleme raporları) tarafından karşılandığında, Veri Sorumlusu, yasal olarak başka türlü gerekli olmadıkça, yerinde denetim yerine bu raporu kabul edecektir.

Sözleşme feshinde iade ve silme

Hizmetin feshi üzerine, Veri Sorumlusu Müşteri Kişisel Verilerini Hizmetin kendi kendine hizmet araçları aracılığıyla 60 gün boyunca dışa aktarabilir. Bu sürenin ardından Baslic, Müşteri Kişisel Verilerini 30 gün içinde siler, Birlik veya Üye Devlet hukukunun (özellikle Finlandiya muhasebe kanunu) gerektirdiği ölçüde saklama hariç.

Müşteri Kişisel Verilerini içeren şifrelenmiş yedekler, yedek rotasyon programımıza uygun olarak silindikten sonra 90 güne kadar üzerine yazılana kadar kalabilir. Bu yedekler Ek II'deki güvenlik önlemlerine tabi kalır ve yalnızca belgelenmiş felaket kurtarma senaryolarında geri yüklenir.

Sorumluluk ve öncelik sırası

Bu DPA kapsamında her tarafın sorumluluğu, Şartlarda belirtilen sorumluluk sınırlamalarına tabidir. Bu DPA'daki hiçbir şey, uygulanabilir kanun kapsamında sınırlandırılamayacak herhangi bir sorumluluğu sınırlamaz.

Bu DPA ile Şartlar arasında Müşteri Kişisel Verilerinin işlenmesi açısından çelişki olması durumunda, bu DPA önceliklidir.

Geçerli hukuk

Bu DPA Finlandiya kanunları tarafından yönetilir. Yetki, Şartların uyuşmazlık çözüm maddesini takip eder.

Ek I — İşleme açıklaması

Nitelik ve amaç

Fişlerin, faturaların ve seyahat gideri girişlerinin alınması, ayrıştırılması, sınıflandırılması, saklanması ve dışa aktarılması; KDV ve vergi muamelesinin hesaplanması; muhasebe aracı dışa aktarımlarının üretilmesi; inceleme ve onay için kullanıcı arayüzlerinin sağlanması; hizmetle ilgili e-postaların gönderilmesi.

Veri Sahipleri kategorileri

• Veri Sorumlusunun yetkili kullanıcıları (kurucular, çalışanlar, muhasebeciler, yükleniciler).
• Kişisel Verileri fiş ve faturalarda görünen üçüncü taraflar (karşı taraflar, işyerlerindeki personel, alacaklılar).
• Seyahat gideri girişlerinde rotaları kaydedilen seyahat edenler (Matkalasku ürünü).

Kişisel Veri kategorileri

• Yetkili kullanıcıların tanımlayıcı ve iletişim verileri (ad, e-posta, rol).
• Kimlik doğrulama verileri (özetlenmiş şifreler, oturum jetonları, çok faktörlü sırlar).
• Fiş ve fatura içeriği (işyeri, satır kalemleri, fiyatlar, vergi oranları, ödeme yöntemi, konum, zaman).
• Seyahat verileri (başlangıç, varış, tarihler, mesafe, katılımcılar).
• Kullanım ve cihaz verileri (IP adresi, tarayıcı, zaman damgaları, eylemler).
• Destek iletişimleri (e-posta içeriği, ekler).

Özel kategoriler

Hizmet, GDPR Madde 9 anlamında özel Kişisel Veri kategorilerini işlemek üzere tasarlanmamıştır. Veri Sorumlusu, bunu yapmak için yasal bir dayanağı olmadıkça bu tür verileri Hizmete göndermemeyi kabul eder ve Hizmetin teknik ve organizasyonel önlemlerinin sıradan iş verileri için kalibre edildiğini onaylar.

Sıklık ve süre

Sürekli, aboneliğin süresi boyunca, ayrıca Gizlilik Politikasında açıklanan saklama pencereleri.

Ek II — Teknik ve organizasyonel önlemler

Takma adlandırma ve şifreleme

• İletimde Kişisel Veri, modern şifre paketleri ve HSTS kullanılarak TLS 1.2 veya daha üstü ile korunur.
• Durağan Kişisel Veri, veritabanı tarafından yönetilen anahtar depolarında AES-256 ile şifrelenir; yedekler bağımsız olarak döndürülen anahtarlarla şifrelenir.
• Analitik ve model değerlendirme için kullanılan iç veri kümeleri, analitik görevin izin verdiği her yerde takma adlandırılır.

Gizlilik, bütünlük, kullanılabilirlik, dayanıklılık

• Rol tabanlı erişim kontrolü, yönetimsel erişim için çok faktörlü kimlik doğrulama ve ayrıcalıklı eylemlerin denetim kaydı.
• Üretim erişimi, küçük bir adlandırılmış mühendis grubuyla sınırlıdır, tam zamanında verilir ve gerekmediğinde iptal edilir.
• Bütünlük, gecikme ve hata oranlarının sürekli izlenmesi, üretim olayları için çağrı tırmanmalarıyla.
• Ayrı bir AB bölgesinde saklanan günlük yedekler ve çeyrek yılda test edilen geri yükleme prosedürleri.

Güvenlik açığı yönetimi

• Kritik ve yüksek önemli ihbarlar için tanımlanmış yanıt SLA'larıyla otomatik bağımlılık taraması.
• Üretim Hizmetinin yıllık harici sızma testi, düzeltmeler mühendislik sorun izleyicisinde takip edilir.
• Sorumlu açıklama programı security@baslic.com adresinde ulaşılabilir.

Personel

• Müşteri Kişisel Verilerine erişimi olan tüm personel için gizlilik taahhütleri.
• Yıllık güvenlik ve gizlilik eğitimi, phishing farkındalık alıştırmaları dahil.
• Yerel kanunun izin verdiği hassas rollerdeki personel için arka plan kontrolleri.

Alt İşleyici durum tespiti

• Her Alt İşleyicinin güvenlik ve gizlilik duruşunun katılımdan önce belgelenmiş değerlendirmesi, kamu sertifikaları ve sözleşme taahhütlerinin incelenmesi dahil.
• AEA dışında Kişisel Veri aktaran tüm Alt İşleyicilerle Standart Sözleşme Maddeleri.

Olay müdahalesi

• GDPR Madde 33 ile uyumlu tanımlanmış önem dereceleri, roller ve bildirim zaman çizelgeleriyle belgelenmiş olay müdahale planı.
• Olay sonrası incelemeler, uygun olduğunda ihlal bildirimlerinin bir parçası olarak etkilenen Veri Sorumlularıyla paylaşılır.