Veri İşleme Anlaşma

1. Introduction

This Data Processing Agreement ("DPA") supplements the Terms of Service and Privacy Policy of Mewayz Global, Corp. ("Mewayz", "we", "us", or "our"). This DPA applies when Mewayz processes Personal Data on behalf of the Customer in the course of providing the Mewayz platform services.

Bu VİS, Müşteri ile Mewayz arasında, Genel Veri Koruma Tüzüğü (GDPR) (AB) 2016/679 ve diğer uygulanabilir veri koruma mevzuatı uyarınca Denetleyici-İşleyici ilişkisini tesis eder.

Mewayz hizmetlerini kullanarak, Müşteri bu DPA'nın şartlarıyla bağlı olmayı kabul eder. Bu DPA, Müşteri'nin Hizmet Şartlarımızı kabul ettiği tarihten itibaren veya hizmetlerimizi kullanmaya başladığı tarihten itibaren geçerlidir.

2. Tanımlar

GDPR Madde 4 uyarınca, bu VİS için aşağıdaki tanımlar geçerlidir:

• Kontrolcü — Kişisel Verilerin işlenme amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu kurumu, ajans veya diğer kuruluş.
• İşlemci — Kişisel Verileri Veri Sorumlusu adına işleyen gerçek veya tüzel kişi, kamu kurumu, ajans veya diğer kuruluş.
• Alt işlemci — İşleyici tarafından, Sorumlu adına Kişisel Verilerin işlenmesine yardımcı olmak üzere görevlendirilen herhangi bir üçüncü taraf.
• Personal Data — Any information relating to an identified or identifiable natural person ("Data Subject"). An identifiable natural person is one who can be identified, directly or indirectly, by reference to an identifier.
• Processing — Kişisel Veriler üzerinde, otomatik araçlarla olsun veya olmasın gerçekleştirilen her türlü işlem veya işlemler dizisi; örneğin toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama, değiştirme, geri getirme, danışma, kullanma, iletme yoluyla ifşa etme, yayma veya başka şekilde kullanıma sunma, hizalama, birleştirme, kısıtlama, silme veya imha.
• Veri Sorumlusu — Kişisel Verileri işlenen, kimliği belirli veya belirlenebilir gerçek kişi.

3. Kapsam ve Roller

Bu VFA uyarınca, Müşteri, Mewayz platformu aracılığıyla işlenen Kişisel Verilerle ilgili olarak Veri Sorumlusu, Mewayz ise Veri İşleyici olarak hareket eder.

Mewayz shall process Personal Data only on documented instructions from the Controller, including with regard to transfers of Personal Data to a third country or an international organization, unless required to do so by European Union or Member State law to which the Processor is subject.

**Records of Processing:** The Processor must maintain a record of its processing activities.

4. Veri İşleme Detayları

Aşağıda, Mewayz tarafından gerçekleştirilen veri işleme faaliyetlerinin niteliği, amacı ve kapsamı açıklanmaktadır:

Kişisel Veri Kategorileri:

• Hesap Verileri — Ad, e-posta adresi, telefon numarası, şirket adı, iş unvanı, giriş bilgileri.
• Kişi Verisi — Contact information of the Customer's end users, clients, or leads stored within the Mewayz platform.
• Kullanım Verileri — Platform etkileşim kayıtları, özellik kullanım analitikleri, IP adresleri, tarayıcı ve cihaz bilgileri.
• İçerik Verisi — Müşteri tarafından platforma yüklenen veya oluşturulan dosyalar, belgeler, mesajlar, notlar ve diğer tüm içerikler.

Veri Sahibi Kategorileri:

• The Customer's end users and platform users
• The Customer's employees and team members
• The Customer's contacts, clients, and leads

İşleme Amacı:

Hizmet Şartları'nda açıklandığı gibi Mewayz platform hizmetlerini sağlamak, sürdürmek ve iyileştirmek, CRM, proje yönetimi, faturalama, destek masası ve platform içinde mevcut olan diğer tüm modüller dahil.

5. Güvenlik Önlemleri

Mewayz risk düzeyine uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemleri uygular, bunlarla sınırlı olmamak üzere:

• Beklemede Şifreleme — Sunucularımızda saklanan Tüm Kişisel Veriler AES-256 şifreleme standartları kullanılarak şifrelenmiştir.
• Aktarımda Şifreleme — Müşteri ile Mewayz arasında iletilen tüm veriler, TLS 1.2 veya daha üstü şifreleme protokolleri kullanılarak korunur.
• Erişim Kontrolleri — Katı rol tabanlı erişim kontrolleri, yalnızca yetkili personelin Kişisel Verilere erişebilmesini sağlar. Tüm yönetici erişimi için çok faktörlü kimlik doğrulama zorunludur.
• Düzenli Güvenlik İncelemeleri — Potansiyel güvenlik risklerini belirlemek ve gidermek için periyodik güvenlik değerlendirmeleri, güvenlik açığı taramaları ve kod incelemeleri yürütüyoruz.
• Olay Müdahale Prosedürleri — Kimlik tespiti, sınırlama, ortadan kaldırma, kurtarma ve olay sonrası inceleme süreçlerini içeren belgelenmiş olay müdahale prosedürlerini muhafaza ediyoruz.
• Yedekleme ve Kurtarma — Düzenli otomatik yedeklemeler gerçekleştirilir ve güvenli bir şekilde saklanır. Kurtarma prosedürleri, veri bütünlüğü ve kullanılabilirliğini sağlamak için periyodik olarak test edilir.

6. Alt işlemciler

Mewayz, hizmetlerimizin sağlanmasına yardımcı olmak için aşağıdaki alt işlemcileri kullanır. Her alt işlemci, geçerli veri koruma gereksinimlerine uygunluk açısından kontrol edilmiştir:

• Stripe, Inc. — Ödeme işleme. Konum: United States. İşlenen veriler: ödeme ve fatura bilgileri.
• Cloudflare, Inc. — İçerik dağıtım ağı (CDN) ve güvenlik hizmetleri. Konum: Amerika Birleşik Devletleri (küresel edge ağı). İşlenen veriler: trafik verileri, IP adresleri.
• Hetzner Online GmbH — Sunucu barındırma ve altyapı. Konum: Avrupa Birliği / Amerika Birleşik Devletleri. İşlenen veriler: sunucularda depolanan tüm platform verileri.

Mewayz shall notify the Customer before adding or replacing any sub-processor, providing the Customer with an opportunity to object to such changes. If the Customer reasonably objects, Mewayz shall make reasonable efforts to provide an alternative solution or the Customer may terminate the affected services.

**Sub-processors:** The Processor must not engage another processor (sub-processor) without the prior specific or general written authorization of the Controller. If authorized, the Processor must have a contract with the sub-processor that imposes the same data protection obligations as in this document.

7. Veri Sorumlusu Hakları

**Confidentiality:** The Processor must ensure that persons authorized to process the personal data are committed to confidentiality or are under an appropriate statutory obligation of confidentiality.

• Erişim Hakkı (Madde 15) — Kişisel Verilerinin teyit edilmesini ve erişimini talep etme hakkı.
• Düzeltme Hakkı (Madde 16) — Yanlış Kişisel Verilerin düzeltilmesini isteme hakkı.
• Silme Hakkı (Madde 17) — Belirli koşullar altında Kişisel Verilerin silinmesini talep etme hakkı.
• Kısıtlama Hakkı (Madde 18) — Kişisel Verilerin işlenmesini kısıtlama hakkı.
• Veri Taşınabilirliği Hakkı (Madde 20) — Kişisel Verilerin yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta alınması hakkı.

Mewayz shall promptly notify the Controller upon receiving a request from a Data Subject and shall not respond to such requests directly unless authorized by the Controller.

8. Veri İhlali Bildirimi

Bir Kişisel Veri ihlali durumunda, Mewayz, GDPR Madde 33 uyarınca, İşleticiyi gecikmeksizin ve her durumda ihlalin farkına vardıktan sonra 72 saat içinde bilgilendirecektir.

Bildirim şunları içerecektir:

• Kişisel Veri ihlalinin niteliğinin açıklaması; etkilenen Veri Sahibi kategorileri ve yaklaşık sayısı ile Kişisel Veri kayıtları dahil.
• Veri koruma sorumlusunun veya daha fazla bilgi alınabilecek diğer irtibat noktasının adı ve iletişim bilgileri.
• Kişisel Veri ihlalinin olası sonuçlarının açıklaması.
• İhlali gidermek için alınan veya alınması önerilen önlemlerin bir açıklaması; olası olumsuz etkileri hafifletmek için alınan önlemler dahil.

**Data Subject Rights:** The Processor must assist the Controller in responding to data subject requests (like access, rectification, erasure).

9. Veri Transferleri

Kişisel Veriler Avrupa Ekonomik Alanı'ndan (AEA), yeterli düzeyde veri koruması sağladığı belirlenmemiş AEA dışındaki ülkelere aktarıldığında, Mewayz uygun güvencelerin yerinde olduğunu sağlar, bunlar dahil:

• ABD-Avrupa Birliği ve diğer uluslararası veri transferleri için Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Maddeleri (SCC'ler).
• Transfer etki değerlendirmelerine dayanarak, gerekli durumlarda SKK'ları tamamlamak için ek teknik ve organizasyonel önlemler.

**Deletion or Return:** At the end of the services, the Processor must delete or return all personal data to the Controller (at the Controller's choice), and delete existing copies unless Union or Member State law requires storage of the personal data.

10. Veri Saklama & Silme

Müşteri ve Mewayz arasındaki sözleşmenin sona ermesi veya süresinin dolması halinde, Mewayz, Veri Sorumlusunun seçimine bağlı olarak:

• Yazılı bir talep alındıktan sonra 30 gün içinde Kontrolör adına işlenen Tüm Kişisel Verileri silin; veya
• Kişisel Verileri, yazılı bir talep aldıktan sonraki 30 gün içinde, yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta İşleyene iade edin.

**Data Protection Officer:** If a Data Protection Officer is required, their contact details must be provided.

11. Denetimler

**Audit:** The Processor must make available to the Controller all information necessary to demonstrate compliance and allow for audits.

The Controller, or an independent third-party auditor mandated by the Controller, may conduct audits to verify Mewayz's compliance with this DPA, subject to the following conditions:

• Kontrolcü, herhangi bir denetim gerçekleştirmeden önce makul bir şekilde en az 30 gün önceden yazılı bildirimde bulunmalıdır.
• Audits shall be conducted during normal business hours and shall not unreasonably interfere with Mewayz's operations.
• Denetim, Mewayz tarafından önemli bir uyumsuzluk ortaya çıkarmadığı sürece, denetimin maliyetlerini Kontrolcü üstlenir.
• Denetim sonuçları ve elde edilen tüm bilgiler gizli olarak kabul edilecektir.

12. Temas etmek

Bu Veri İşleme Anlaşması veya veri koruma sorularıyla ilgili her türlü sorunuz için lütfen bizimle iletişime geçin:

• Şirket: Mewayz Global, Corp.
• Adres: 131 Continental Dr, Suite 305, Newark, DE 19713, USA
• Veri Koruma E-posta: [email protected]
• EIN: 38-4374855
• Web sitesi: https://mewayz.com