Veri İşleme Ek Protokolü

Bu Shoprocket Veri İşleme Ek Protokolü ("Ek Protokol"), sizin ("Siz") ve Shoprocket LTD (şirket no. 12656598, İngiltere ve Galler'de 20-22 Wenlock Road, Londra, NG 17U adresinde kayıtlı) arasında yer alan Shoprocket Şartlar & Koşullarını ("Sözleşme") değiştirmektedir. Eğer Shoprocket ile ayrı bir SLA'nız varsa, Sözleşme'ye atıfta bulunulması, o SLA'yı ifade eder. Bu Ek Protokol, Sözleşme'ye tabi olup onun içine dahil edilmiştir. Burada tanımlanmamış her büyük harfle yazılmış terim, Sözleşme'de verilen anlamı taşır.

---

Tanımlar

• Hesap Ayarları: Shoprocket Hesabınız için (güvenlik dahil) Kişisel Verilerin işlenmesini yönetmenizi sağlayan yapılandırmalar.

• İş Amaçları: Sözleşme'de tanımlanan Hizmetler.

• Müşteri Hesap Verileri: Shoprocket ile olan ilişkiniz hakkında Kişisel Veriler (örneğin, yetkili kişiler, fatura bilgileri), ayrıca hesap yönetimi, kimlik kontrolleri veya yasal gereklilikler için Shoprocket tarafından toplanan bilgiler.

• Müşteri Kullanım Verileri: Hizmetleri kullanımınızla bağlantılı olarak Shoprocket tarafından işlenen kullanım verileri (örneğin, günlükler, performans metrikleri, istismar önleme verileri).

• Veri Koruma Mevzuatı: CCPA, AB GDPR, İsviçre Federal Veri Koruma Yasası, UK GDPR, DPA 2018 ve PECR 2003'ü içerir, her biri güncellenmiş olarak. Terimler (örneğin, "Veri Kontrolörü," "Veri İşleyici") AB GDPR'ya uygun olarak takip edilmektedir.

• AEA: Avrupa Ekonomik Alanı.

• AB SCC'leri: Komisyon Kararı 2021/914'e göre Standart Sözleşme Hükümleri.

• AEA Dışı Transfer: Kişisel Verilerin (AB GDPR kapsamında) AEA dışına, AB GDPR'nın 45. Maddesi uyarınca yeterlilik kararı olmadan transferi.

• Birleşik Krallık Dışı Transfer: Kişisel Verilerin (UK GDPR kapsamında) Birleşik Krallık dışına, Birleşik Krallık Dışişleri Bakanı tarafından yeterlilik kararı olmadan transferi.

• Hizmet Sağlayıcı: CCPA'da tanımlandığı gibi.

• Hizmetler: Shoprocket'ın çevrimiçi mağazalar oluşturma/yönetme ("Shoprocket Mağazası"), ürünleri, ödemeleri, nakliyeyi, pazarlamayı yönetme ve Shoprocket'ın sunabileceği herhangi bir araç veya hizmet.

• Shoprocket Hesabı: Hizmetlere erişim sağlayan hesabınız, Hesap Ayarları dahil, https://www.shoprocket.io.

• Shoprocket Gizlilik Politikası: Güncellenmiş haliyle https://shoprocket.io/privacy üzerindeki bildirim.

• Shoprocket Mağazası: Shoprocket tarafından barındırılan veya kolaylaştırılan e-ticaret siteniz.

• Özel Kategori Verileri: AB/UK GDPR'nın 4(13), 4(14), 4(15) ve 9. Maddelerinde tanımlandığı gibi (uygulanabilir olduğu şekilde).

• Standart Sözleşme Hükümleri (SCC'ler): İlgili AB SCC'leri ve UK SCC'leri.

• Birleşik Krallık SCC'leri: UK ICO'nun IDTA Ek Protokolü ile tadil edilmiş AB SCC'leri.

• Biz/Bize/Her şeyimiz: Shoprocket LTD (gerek "Shoprocket" gerek "Shoprocket.io" olarak).

• Siz/Sizin: Sözleşme'de adı geçen sözleşmeli taraf.

---

Müşteri Talimatları

Bu Ek Protokol ve Sözleşme (Hesap Ayarlarınızdaki talimatlar dahil) Shoprocket'ın Kişisel Verileri nasıl işlediğine dair Belgelendirilmiş Talimatlar oluşturur. Shoprocket yalnızca belirtilen şekilde Kişisel Verileri işleyecektir. Bu şartların dışındaki ek talimatlar, yazılı onay gerektirir (ve ek ücretler doğurabilir).

Shoprocket, talimatlarınızın Veri Koruma Mevzuatını ihlal etmesi veya kabul edilen talimatlardan sapması durumunda bu Ek Protokolü ve Sözleşme'yi sonlandırabilir. İşlemenin doğası gereği, Shoprocket genellikle talimatlarınızın yasayı ihlal edip etmediğini değerlendiremeyebilir; böyle bir görüş olursa, size bilgi verecek ve talimatlarınızı değiştirebilir veya geri çekebilirsiniz.

---

Veri İşleme

1. Shoprocket'ın İşlemesi

   • Veri İşleyici/Hizmet Sağlayıcı: Müşteri Hesap Verileri ve Müşteri Kullanım Verileri hariç, Shoprocket sizin adınıza Kişisel Verileri (AB/UK GDPR kapsamında) veya kişisel bilgileri (CCPA kapsamında) işler.

   • Bağımsız Veri Kontrolörü: Shoprocket, Mağaza müşterilerinden doğrudan toplanan Kişisel Veriler ve Müşteri Hesap Verileri veya Müşteri Kullanım Verileri için bir Veri Kontrolörüdür.

2. Depolama

   • Kişisel Veriler şunlarda depolanır:

     1. İrlanda'daki AWS sunucuları (veya diğer AEA bölgeleri),

     2. Nürnberg/Falkenstein (Almanya)'daki Hetzner sunucuları.

3. Kapsam ve Amaç

   • Shoprocket, yalnızca belirttiğiniz İş Amaçları için (satın alınan Hizmetlerle tutarlı olarak) ve Veri Koruma Mevzuatına uygun olarak Kişisel Verileri işler.

   • Yasal olarak farklı bir şekilde işlemeye zorunlu olduğunda, Shoprocket size bildirimde bulunacak, yasaların izin vermediği durumlar hariç.

   • Shoprocket, Kişisel Verileri değiştirmek, aktarmak veya silmek için ya da yetkisiz işleme durdurmak amacıyla yazılı talimatlarınıza derhal uyacaktır.

   • Shoprocket, ifşa yetkisi verilmedikçe veya yasal olarak gerekli olmadıkça Kişisel Verileri gizli tutar.

   • Shoprocket, uyum yükümlülüklerinizle (örneğin, veri sahibi talepleri, DPIA'lar) ilgili ek ücret almadan size yardımcı olur.

   • Shoprocket, Sözleşme veya bu Ek Protokolü etkileyebilecek yasal değişiklikler konusunda sizi bilgilendirir.

4. Shoprocket Bağımsız Veri Kontrolörü Olarak

   • Müşteri Hesap Verileri ve Müşteri Kullanım Verileri için Shoprocket, ortak kontrolör değildir ancak bu verileri sizinle olan ilişkisini yönetmek, dolandırıcılık/ güvenlik olaylarını önlemek, yasal yükümlülükleri yerine getirmek vb. amacıyla işler, Shoprocket Gizlilik Politikası'na uygun olarak.

5. CCPA

   • Müşteri Hesap Verileri ve Müşteri Kullanım Verileri hariç, Shoprocket CCPA kapsamında sizin Hizmet Sağlayıcınızdır; bu tür kişisel bilgileri "satmaz" ve yalnızca Hizmetleri yerine getirmek veya yasanın izin verdiği başka şekillerde kullanır.

6. Eklentiler

   • Üçüncü taraf eklentileri ("Eklentiler") her yayımlayıcı ile ayrı EULA'lar altında entegre edebilirsiniz. Shoprocket gerekli Kişisel Verileri Eklenti Yayımcısına aktarır, ancak onların işlenmesinden sorumlu değildir. Shoprocket tarafından pazarlanan mevcut Eklentiler arasında şunlar bulunmaktadır:

     • Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Çok kanallı tedarik ve senkronizasyon.

     • Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Çeşitli yöntemleri/para birimlerini destekleyen ödeme entegrasyonları.

     • Zapier: Shoprocket ve diğer uygulamalar arasındaki veri transferlerini/iş akışlarını otomatikleştirir.

   • Shoprocket ve sizin SCC'leriniz varsa, Eklentileri entegre etme talimatınız, o Eklenti Yayımcılarına Kişisel Verileri aktarma iznidir, eğer SCC'ler gerektiriyorsa.

7. Sizin Sorumluluklarınız

   • Shoprocket adına toplanan veya işlenen herhangi bir Kişisel Verinin Veri Kontrolörüsünüz.

   • Bildirim/izi gereksinimlerini yerine getirmek ve Veri Koruma Mevzuatına uygunluğu sağlamakla sorumlusunuz.

---

Kişisel Veri Türleri ve İşleme Amaçları

• Konu: Hizmetlere yüklediğiniz Kişisel Veriler, Shoprocket Hesabınız veya Mağazanız dahil.

• Süre: Tarafınızdan belirlenir (Shoprocket aboneliğinizi askıya alana veya sonlandırana kadar veya ilgili entegrasyonları).

• Amaç: Hizmetleri sizin talimatınıza uygun olarak sağlamak (örneğin, Shoprocket Mağazanızı/Hesabınızı işletmek).

• İşlemenin Doğası: Shoprocket'ın e-ticaret platformu (ve herhangi bir Alt-işleyici/Eklenti Yayımcısı) Kişisel Verileri depolayabilir veya işleyebilir.

• Kişisel Veri Türleri: Yüklediğiniz veri (örneğin, iletişim bilgileri, müşteri ayrıntıları, işlem kayıtları).

• Veri Sahibleri: Siz, müşterileriniz, çalışanlarınız, yüklenicileriniz, acenteleriniz, tedarikçileriniz veya satıcılarınız.

---

Veri İşlemenin Güvenliği

Shoprocket, Kişisel Verileri yetkisiz veya yasadışı işleme, kazara kayıp veya yok olmaya karşı korumak için uygun teknik ve organizasyonel önlemleri sürdürecektir, AB/UK GDPR'nın 32. Maddesine uygun olarak. Önlemler (uygun olduğu şekilde) şunları içerir:

• Verilerin taklit edilmesi/şifrelenmesi;

• Sistemlerin gizliliğini, bütünlüğünü, kullanılabilirliğini ve dayanıklılığını sağlamak;

• Olaylardan sonra zamanında veri kullanılabilirliğini geri sağlama;

• Bu önlemleri düzenli olarak test etme, değerlendirme ve denetleme.

Shoprocket'ın Çalışanları

• Shoprocket, Kişisel Verileri işleyen çalışanların, yüklenicilerin ve acentelerin eğitim aldığından, gizlilikle bağlı olduğundan ve veri koruma yükümlülüklerinin farkında olmasını sağlar.

Güvenlik (Yeniden Belirtilmiş)

• Shoprocket, yetkisiz işlemleri önlemek için teknik/organizasyonel koruma önlemlerini sürekli günceller, bunlar arasında şifreleme, sistem dayanıklılığı, kurtarılabilirlik ve etkililik testleri bulunmaktadır.

---

Kişisel Veri İhlali

1. Bildirimi

   • Shoprocket, 72 saat içinde (ve gereksiz bir gecikme olmadan) bilgilendirilirse:

     1. Kişisel Verilerin kaybı/zarar görmesi;

     2. Herhangi bir kazara, yetkisiz veya yasadışı işlem;

     3. Bir Kişisel Veri İhlali.

2. Bilgi

   • Shoprocket, olayın açıklamasını, etkilenen veri kategorilerini/sayılarını ve etkiyi azaltmak için alınan veya önerilen önlemleri sağlar.

3. İşbirliği

   • Shoprocket, soruşturma konusunda sizinle işbirliği yapar ve yasal bir gereklilik olmadıkça üçüncü taraflara bilgi vermez.

4. Maliyetler

   • Shoprocket, bu yükümlülükler için makul masrafları karşılar, aksi takdirde olay sizin talimatlarınızdan, dikkatsizlikten veya ihlaldan kaynaklanıyorsa, Shoprocket'ın makul masraflarını (profesyonel danışmanlar dahil) siz karşılayacaksınız.

---

Alt İşleyiciler

Shoprocket, veri barındırma/işleme, altyapı/ağ hizmetleri veya diğer hizmet fonksiyonları için şu Alt İşleyicileri kullanmaktadır:

Ad	Açıklama	Konum
200OK LLC (Profitwell)	Abonelik raporlama/analiz.	MA, ABD
Amazon Web Services EMEA SARL	Bulut barındırma, hesaplama, depolama.	Lüksemburg, AB
Automattic, Inc. (Gravatar)	Kullanıcıların Shoprocket hesaplarına profil resimlerini yüklemelerine olanak tanır.	CA, ABD
Cloudflare, Inc.	Ağ güvenliği ve bağlantı.	CA, ABD
Crisp IM SAS	Kullanıcı desteği için canlı sohbet ve müşteri mesajlaşma uygulaması.	Fransa, AB
Facebook Technologies Ireland	Dönüşümler, reklam optimizasyonu, kitle oluşturma için Facebook Pikselleri.	İrlanda, AB
Google Ireland Limited	Google Analytics (davranış analizi), Adwords (reklam yerleştirme/para kazanma).	İrlanda, AB
GmbH	Bulut barındırma, hesaplama ve depolama.	Almanya, AB
TPS Unlimited, Inc. (Taxjar)	AB KDV ve ABD satış vergisi için vergi otomasyonu Shoprocket Mağazalarında.	CA, ABD
Twilio, Inc. (Sendgrid)	Çok kanallı mesajlaşma (e-posta, SMS, WhatsApp).	İrlanda, AB
Twitter, Inc.	Dönüşüm izleme ve reklam performans metrikleri için Twitter Pikseli.	CA, ABD

Yukarıdaki Alt İşleyicilerin kullanılmasına Shoprocket'a yetki verdiniz ve Shoprocket'ın diğerlerini ekleme yetkisini genel olarak verdiniz ("Yetkilendirilmiş Alt İşleyiciler"). Shoprocket, yeni bir Alt İşleyici kullanmadan önce en az 30 gün önceden (web sitesi, e-posta veya Hesap bildirimleri aracılığıyla) bildirimde bulunacaktır. Ayrıca, bildirimden 10 gün içinde yazılı olarak makul veri koruma gerekçeleriyle itiraz edebilirsiniz. Eğer önemli bir Alt İşleyici söz konusuysa ve alternatif bulunamazsa, ilgili Hizmetleri durdurabilir veya sonlandırabilirsiniz (ikâmet ücreti ödemeye devam etmekle birlikte).

Eğer 10 gün içinde itiraz etmezseniz, yeni Alt İşleyici onaylanmış sayılır. Shoprocket bir Alt İşleyici ile çalıştığında,:

• Sadece Hizmetlerin sağlanması veya iyileştirilmesi için gerekli olan erişimi sınırlamaktadır;

• Onlarda aynı veri koruma yükümlülüklerini zorunlu kılmaktadır;

• Onların uyumundan sorumlu kalmaktadır.

Eğer SCC'ler geçerliyse, sizin yetkilendirmeniz, Fıkra 9(c) veya ilgili UK SCC hükümleri uyarınca önceden yazılı onay olarak sayılacaktır. Shoprocket, alt işleme sözleşmelerini sizinle paylaşmadan önce gereksiz ticari detayları gizleyebilir.

---

Kişisel Verilerin Aktarımı

Shoprocket, Hizmetleri sağlamak amacıyla (örneğin, bazı Eklenti Yayımcıları/Alt İşleyiciler ABD'de) Kişisel Verileri AEA, UK veya İsviçre dışına aktarabilir. Yeterlik kararı uygulanmıyorsa, Shoprocket, Veri Koruma Mevzuatına uygun olarak uygun önlemleri sağlayacaktır.

• AEA Dışı Aktarımlar: Shoprocket'ın Kontrolör olarak olduğu AEA Dışı Aktarımlar, AB SCC'leri uyarınca kapsanır (Shoprocket kontrolör olarak Modül Bir, Shoprocket işlemci olarak Modül İki). Bazı hükümler (örneğin, Madde 7'nin eklenmesi) geçerli değildir; uyuşmazlıklar İrlanda yasaları/mahkemeleri altındadır.

• Birleşik Krallık Dışı Aktarımlar: IDTA Ek Protokolü ile kapsanır.

• İsviçre'den Aktarımlar: AB SCC'lerine benzer, İsviçre FADP'si için değişikliklerle.

• Ek Önlemler:

  • Bu Ek Protokol tarihinden itibaren resmi hükümet veri erişim talepleri yoktur.

  • Verilerinizi ifşaya zorunlu kalırsak, Shoprocket size bildirecek (yasalar izin vermedikçe) ve koruyucu önlemler alma konusunda size yardımcı olacaktır.

  • Shoprocket ve siz, ithalat ülkesindeki yasaların eşdeğer koruma sağlayıp sağlamadığını veya ilave önlemler gerektirip gerektirmediğini düzenli olarak tartışacaksınız.
  • Herhangi bir aktarma mekanizması artık geçerli değilse veya bir Denetleyici Otorite bunu askıya alırsa, Shoprocket alternatif düzenlemeleri uygulayabilir veya aktarımı askıya alabilir.

AEA dışındaki bir Alt İşleyici/Eklenti onayladığınızda, Shoprocket'ın sizin adınıza SCC'leri imzalaması için de izin vermiş olursunuz.

---

Şikayetler, Veri Sahibinin Talepleri ve Üçüncü Taraf Hakları

Shoprocket, sizin ihtiyacınız olan herhangi bir bilgi veya yardımınızı yerine getirecektir:

1. Veri Sahibinin haklarını (erişim, düzeltme, silme, taşınabilirlik, itirazlar vb.) yerine getirmek.

2. Düzenleyicilerden gelen bilgi/değerlendirme bildirimleriyle ilgilenmek veya bunlara uymak.

Shoprocket, işlemlerle ilgili olarak şikayet veya iletişim aldığında hemen size bildirimde bulunacak ve herhangi bir Veri Sahibinin talebi geldiğinde 14 gün içinde sizi bilgilendirecektir. Shoprocket, yanıt vermenizde size yardımcı olur ve yasal bir gereklilik olmadıkça Kişisel Verileri üçüncü taraflara açıklamayacaktır.

---

Süre ve Feshi

Bu Ek Protokol, Sözleşme yürürlükte olduğu sürece, veya Shoprocket herhangi bir ilgili Kişisel Veriyi elinde tuttuğu sürece geçerli kalır. Veri koruma için hayatta kalması gereken hükümler geçerli olacaktır. Bu DPA'nın herhangi bir maddi ihlali, Sözleşme'nin de maddi bir ihlalidir ve sizi derhal feshetme hakkına sahip kılar, ilave bir sorumluluk olmaksızın.

Eğer Veri Koruma Mevzuatı değişiklikleri bir tarafın yükümlülüklerini yerine getirmesini engelliyorsa, taraflar işlemi askıya alabilir; eğer 90 gün içinde çözüm sağlanmazsa, herhangi bir taraf yazılı bildirimde bulunarak hemen feshedebilir.

---

Veri İade ve Yok Etme

• Talep üzerine, Shoprocket size (veya yazılı olarak belirlediğiniz bir üçüncü tarafa) Kişisel Verilerin kopyalarını veya erişimini belirtmiş olduğunuz bir formatta (makul olan durumlarda) sağlar.

• Fesihde, Shoprocket Kişisel Verileri iade eder veya siler, aksi halde yasal olarak devam eden saklama gereklidir. Silme pratik değilse veya yasadışıysa, Shoprocket ek işleme engel olur ve verileri korumaya devam eder.

• SCC Sertifikaları: SCC'ler geçerliyse, Shoprocket, silmeyi EC SCC'lerinin 8.1(d) Fıkrası uyarınca sizin yazılı talebinize istinaden sertifikalandıracaktır.

• Eğer herhangi bir yasa/düzenleme Shoprocket'ın belirli verileri saklamasını gerektiriyorsa, temelini, zaman çizelgesini bildirecek ve artık gerekli olmadığında silinecektir.

• Shoprocket, silmeyi 30 gün içinde gerçekleştirdikten sonra sertifikalandırır.

---

Kayıtlar

Shoprocket, tüm Kişisel Veri işlemleri hakkında ayrıntılı, doğru ve güncel kayıtlar tutar (örneğin, güvenlik önlemleri, alt işleyiciler, işleme amaçları, uluslararası herhangi bir transfer). Bu kayıtlar, Shoprocket'ın uyumunu doğrulamanızı sağlamalıdır. Kopyalar talep üzerine sağlanır.

---

Garanti

Shoprocket, aşağıdakileri garanti eder:

1. Kişisel Verilere erişimi olan çalışanları, taşeronları veya acenteleri güvenilir, güvenli ve yeterince eğitimli olduğunu.

2. Kişisel Verileri Veri Koruma Mevzuatına ve ilgili yasalara tamamen uygun olarak işleyecektir.

3. Karşılıklı Hizmetleri sağlamakta yasal bir engel olmadığını düşünmemektedir.

4. Teknoloji ve maliyetleri dikkate alarak, yetkisiz işleme veya kazara zarar/kayıptan korumak için uygun önlemleri alacaktır, risk ve veri hassasiyetine göre güvenliği sağlamakta.

---

Yürütme ve Değişiklikler

Sözleşmeyi imzalayarak, bu Ek Protokole katılıyor ve bağlı kalıyorsunuz. Shoprocket, gerekli yasal veya düzenleyici nedenlerle bu Ek Protokolü 30 gün önceden yazılı bildirimle güncelleyebilir. Eğer itiraz ederseniz ve karşılıklı bir çözüm sağlanamazsa, etkilenen Hizmetleri yazılı bildirim ile bu süre içinde sonlandırabilirsiniz (doğacak her türlü ücreti ödeyerek). Böyle bir fesihten doğan daha fazla talep olmayacaktır.

Ek A

Shoprocket Güvenlik Standartları

(Burada tanımlanmamış büyük harfle yazılmış terimlerin anlamları Ek Protokolde atfedilmiştir.)

Bu Ek, Shoprocket'ın teknik ve organizasyonel önlemlerini detaylandırmaktadır:

1. Kişisel Verileri kazara veya yasadışı kayıp, erişim veya ifşaya karşı güvenli hale getirmek;

2. Güvenliğe ilişkin öngörülebilir riskleri belirlemek ve Hizmetlere (Shoprocket hesabınıza dahil) yetkisiz erişimi önlemek;

3. Risk değerlendirmesi ve test ile güvenlik risklerini minimize etmek.

Shoprocket, bu bilgi güvenliği uygulamalarını denetlemek ve ilgili taleplere yanıt vermek için bir veya birden fazla çalışanı atar.

---

1. Paylaşılan Sorumluluk Modeli

Shoprocket, bulut tabanlı, SaaS uygulamasıdır ve şu hizmetleri barındırmaktadır:

• Amazon Web Services (AWS) İrlanda'da eu-west-1 bölgesinde

• Hetzner Online Falkenstein, Almanya'da

AWS, Ana Shoprocket platformunu, altyapıyı ve veri barındırmayı yönetmektedir. Hetzner Online, resimler, dijital indirmeler, günlükler ve faturalar için ek özel sunucu alanı sağlar. Bu model altında:

• Shoprocket uygulama düzeyinde güvenlik yönetimini üstlenmektedir (örneğin, kullanıcı erişimi, uygulama yamaları).

• AWS / Hetzner fiziksel güvenliği ve temel bulut ortamını yönetmektedir.

AWS ve Hetzner'in güvenliği ile ilgili daha fazla bilgi için lütfen ilgili belgelerine bakın.

---

2. AWS ve Hetzner Online Sunucuları

AWS

Shoprocket, UK GDPR'nın 28(3)(c) ve 32. Maddeleri uyarınca dikkatli bir inceleme sonucunda AWS'yi seçmiştir. AWS, birçok standart (örneğin, SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) altında sertifikadır ve geniş uyum belgeleri sunmaktadır. Shoprocket, AWS'yi yalnızca Kişisel Verileri AB/AEA içinde depolamak üzere yapılandırmaktadır.

Hetzner Online

DIN ISO/IEC 27001 kapsamında sertifikalandırılan Hetzner Online, belirli veri yedeklemeleri ve günlükler için özel sunucu alanı sağlamaktadır. Hetzner Online'ın Nürnberg ve Falkenstein'deki veri merkezleri, üçüncü taraflarca denetlenmekte ve sertifikalandırılmakta, Bilgi Güvenliği Yönetim Sistemi (ISMS) uygulamaktadır.

---

3. Shoprocket Uygulamasının Tasarımı, Bütünlüğü ve Erişilebilirliği

• Mimari: Bir JavaScript çerçevesi ile oluşturulan Shoprocket uygulaması, MySQL için Amazon'ın İlişkisel Veritabanı Servisini (Amazon RDS) kullanmaktadır.

• Yüksek Performans ve Yedeklilik: AWS otomatik olarak yük dengelemesini yönetmektedir ve Shoprocket, Amazon S3 üzerinde günlük yedeklemeleri sürdürmektedir. Yedeklemeler dayanıklılık için farklı AWS bölgelerinde saklanmaktadır. Ayrıca, yedeklemeler Hetzner Online'ın özel sunucularında (RAID-1 disk sistemleri ile) tutulmaktadır.

• Tasarıma Göre Güvenlik: Shoprocket, bilinen web açıklarına (örneğin, OWASP Top Ten) karşı düzenli olarak kontroller yapmaktadır ve XSS koruma ve temizlik uygulamaktadır. Bir uzman üçüncü taraf, yıllık olarak kod ve altyapıda güvenlik açıkları kontrolü yapmaktadır, bunlara ek olarak bir üçüncü taraf zafiyet tarama servisi mevcuttur.

---

4. Şifreleme

• Dinlenmede: AWS/Hetzner üzerindeki Kişisel Veriler AES-256 veya daha yüksek şifreleme ile korunmaktadır.

• Anahtar Yönetimi: AWS Anahtar Yönetim Servisi (KMS), kimsenin (AWS personeli dahil) düz metin anahtarlarına erişememesini sağlar; anahtarlar yıllık olarak döndürülmektedir. Hetzner, tam disk AES-256 şifreleme ve zorunlu kimlik doğrulama uygulamaktadır.

• Aktarımda: Tüm harici veri transferleri TLS 1.2+ kullanmaktadır. API'ler ve web arayüzleri HTTPS gerektirir (şifrelenmemiş bağlantılar yoktur).

---

5. Sunucu Lokasyonlarının EEA/AB ile Sınırlanması

Shoprocket verileri sadece AEA içinde saklar (AWS İrlanda'da, Hetzner Almanya'da), AEA dışındaki veri transferlerine bağlı riskleri en aza indirir (örn. Schrems II kararına uyum).

---

6. Erişilebilirlik Alanları

Shoprocket'ın ön uç/arka uç sistemleri yedekli olarak dağıtılmıştır (hem AWS hem de Hetzner) ve her bir alanda birden fazla İnternet Servis Sağlayıcısı, enerji kaynakları ve yüksek hızlı bağlantılar bulunmaktadır, bu da yüksek erişilebilirlik ve optimal performansı garanti eder.

---

7. İhlal Tespit

Shoprocket, İhlal Tespit Sistemi (IDS) kullanarak aşağıdakileri izler:

• Alışılmadık girişler için günlük dosyaları,

• Dosya bütünlüğü değişiklikleri,

• Ağ trafiği (sahtecilik, bilinen kötüye kullanımlar, kök kitleri),

• Port değişiklikleri ve

• AWS hesap olayları (örneğin, yapılandırma değişiklikleri).

Kritik anormallikler otomatik önleyici önlemleri tetikler. IDS ayrıca PCI DSS 3.0 gerekliliklerini destekler.

---

8. Kayıt/Güvenlik İzleme

Shoprocket şu olayları kaydeder:

• Sistem olayları,

• Hatalar,

• Kullanıcı etkinliği,

• Veritabanı oturum açma/istekleri,

• Diğer güvenlik ile ilgili olaylar.

AWS CloudTrail kullanarak, Shoprocket tüm olayları bulut ortamlarında şeffaflık ve adli inceleme amacıyla kaydeder.

---

9. İzleme

Shoprocket, erişilebilirlik ve performansı sağlamak için çok sayıda izleme aracı kullanmaktadır, bunları takip eder:

• Erişilebilirlik: Uygulama erişilebilirliği, arka uç/sistem sağlığı;

• Kaynaklar: CPU, ağ arabirimleri, depolama kullanımı;

• Performans: Uygulama/veritabanı yanıt süreleri;

• Güvenlik: IDS durumu, sistem güncellemeleri, hata/erişim günlükleri.

Shoprocket personeli ayrıca güvenlik güncellemelerini, zafiyet raporlarını ve ilgili güvenlik bloglarını (OWASP gibi) izler.

---

10. Güvenlik Denetimleri ve Penetrasyon Testleri

Shoprocket periyodik olarak iç ve dış güvenlik testleri gerçekleştirir. Dış sağlayıcılar zafiyet kontrolü yaparken, iç denetimler teknik ve organizasyonel önlemlerin etkinliğini değerlendirir.

---

11. Değişiklik Yönetimi

Shoprocket, kod değişiklikleri için sürüm kontrolü yapılmış depolamalar sürdürmektedir ve üretimi yansıtan bir test ortamı bulunmaktadır. Değişiklikler dağıtımdan önce test edilmekte ve zaman/ içerik izlenebilirliğini sağlamaktadır.

---

12. Erişim Kontrolü

• Gerek Duyma İlkesi: Sadece sistem erişimi gerektiren çalışanlar erişim almaktadır.

• IAM Sistemleri: Erişim kontrolü AWS/Hetzner kimlik yönetimini kullanmaktadır.

• Güvenlik: Arka uç sistemlerine yalnızca güvenli, kimlik doğrulamalı bağlantılar aracılığıyla erişilir. Çok sayıda personel veri tanılama amacıyla doğrudan verilere erişim sağlar; bu tür erişimler kaydedilir ve izlenir.

Ek B

Sınır Ötesi Aktarımlar

BÖLÜM 1 - AEA Dışı Aktarımlar

1. Standart Sözleşme Hükümleri (SCC'ler) Ek I.A

   • Veri İhracatçısı: Siz (Sözleşme gereği).

     • İletişim bilgileri: Sözleşme'de olduğu gibi.

     • Rol: Veri Kontrolörü.

     • Modül Bir: Veri İthalatçısı, Veri Kontrolörü (Müşteri Hesap Verileri ve Müşteri Kullanım Verileri için).

     • Modül İki: Veri İthalatçısı, Veri İşleyici (diğer tüm Kişisel Veriler için).

     • İmza/Tarih: Sözleşme & DPA'ya girmek suretiyle, Veri İhracatçısı, geçerlilik tarihinden itibaren SCC'leri imzaladığı sayılacaktır.

   • Veri İthalatçısı: Shoprocket.

     • İletişim bilgileri: Sözleşme'de olduğu gibi.

     • İmza/Tarih: Sözleşme & DPA'ya girmek suretiyle, Veri İthalatçısı, geçerlilik tarihinden itibaren SCC'leri imzaladığı sayılacaktır.

2. SCC'ler Ek I.B

   • Veri Sahipleri: Ek Protokol fıkra 4.6'da tanımlanmıştır.

   • Kişisel Veri kategorileri: Ek Protokol fıkra 4.5'te tanımlanmıştır.

   • Aktarım amacıyla özel kategori verisi yoktur.

   • Sıklık: Sözleşmenin süresi boyunca sürekli.

   • Doğa: Ek Protokol fıkra 4.4'te bakınız.

   • Amaç: Ek Protokol fıkra 4.3'e bakın.

   • Saklama: Aksi belirtilmedikçe Sözleşmenin süresi boyunca.

   • Alt İşleyici aktarımları: Ek Protokol fıkra 9'a göre konu, doğa ve süre.

3. SCC'ler Ek I.C

   • Yetkili Denetleyici Otorite: Ek Protokolün 10. Maddesi (e) ile aynı şekilde.

   • Shoprocket Güvenlik Standartları (Ek A), Ek II SCC gerekliliklerini yerine getirmektedir.

4. Çatışma

   • Herhangi bir çatışma durumunda, SCC'ler ile DPA veya Sözleşme arasında, SCC'ler geçerlidir.

---

BÖLÜM 2 - UK Dışı Aktarımlar

1. IDTA Ek Protokolü, UK Dışı Aktarımlar için geçerlidir, 21 Mart 2022 tarihinden itibaren.

2. Sözleşme veya DPA'da tanımlanmamış terimler, BÖLÜM 2 Ek 2'de belirtilen anlamı taşır (Zorunlu Hükümler).

Bölüm 1: Tablolar

IDTA Ek Protokolü Tablosu 1

1. Tablo 1

   • Veri İhracatçısı: Siz (Sözleşme gereği).

     • İletişim bilgileri: Sözleşme'de olduğu gibi.

     • İmza/Tarih: Sözleşme & Ek Protokole girmek suretiyle, İhracatçının, geçerlilik tarihinden itibaren IDTA Ek Protokolünü imzaladığı sayılacaktır.

   • Veri İthalatçısı: Shoprocket.

     • İletişim bilgileri: Sözleşme'de olduğu gibi.

     • İmza/Tarih: Sözleşme & DPA'ya girmek suretiyle, İthalatçının, geçerlilik tarihinden itibaren IDTA Ek Protokolünü imzaladığı sayılacaktır.

IDTA Ek Protokolü Tablosu 2

1. Tablo 2

   • Onaylı AB SCC'leri: Bu Ek Protokol için geçerli olan Onaylı AB SCC'lerden gelen hükümler/modüller.

   • Kullanılan modüller/hükümler:

     • Modül 1 ve Modül 2, Madde 7 ve Madde 11 (seçenek) uygulanmaz, Madde 9a Genel Yetkilendirme olup 30 günlük bildirim süresi (Ek Protokol fıkra 9.2).

     • İthalatçıdan İhracatçıya Kişisel Verilerin bir kombinasyonu yoktur.

IDTA Ek Protokolü Tablosu 3

1. Ek I.A

   • Veri İhracatçısı: Siz (kontrolör).

   • Veri İthalatçısı: Shoprocket (Müşteri Hesap/Kullanım Verileri için kontrolör; diğer Kişisel Veriler için işleyici).

   • İmza/Tarih: Sözleşme & DPA'ya girmek suretiyle imzalanmış sayılmaktadır.

2. Ek I.B

   • Veri sahipleri, veri kategorileri, özel kategori verisinin olmaması, sürekli transferler, işleme doğası/amacı ve saklama, Ek Protokol fıkra 4.4, 4.3, 4.5, 4.6 ile örtüşmektedir.

   • Alt İşleyici bilgileri, Ek Protokol fıkra 9'a göre.

   • Ek III (Alt İşleyiciler listesi) geçerli değildir, çünkü Shoprocket genel yetkilendirme kullanmaktadır.

IDTA Ek Protokolü Tablosu 4

1. İthalatçı, bu IDTA Ek Protokolünü, bu IDTA Ek Protokolü'nün 26. Maddesi uyarınca sonlandırabilir.

Bölüm 2: Zorunlu Hükümler

1. Her Taraf, diğer Tarafın anlaşmasıyla veri sahiplerinin haklarını yerine getirmesi için bu IDTA Ek Protokolü hükümlerine bağlıdır.

2. Bu IDTA Ek Protokolüne girmek, Onaylı AB SCC'lerini imzalamakla eşdeğerdir (Ek 1A/Madde 7 uyarınca gereken herhangi bir imza dahil).

Açıklama

1. Onaylı AB SCC'lerden gelen terimler bu belgede aynı anlamı taşır; ek ilgili terimler (örneğin, "Ek Protokol AB SCC'leri," "Onaylı Ek Protokol," "Birleşik Krallık Veri Koruma Yasaları") bu IDTA Ek Protokolünde tanımlanmıştır.

2. Bu IDTA Ek Protokolü, Birleşik Krallık Veri Koruma Yasaları ile tutarlı bir şekilde yorumlanmalı ve "Uygun Koruma Önlemleri" sağlayacaktır.

3. Onaylı AB SCC'lerinde izin verilmeyen herhangi bir değişiklik geçersizdir. Çatışan hükümler, değişiklik yapılmamış SCC terimlerine geri döner.

4. Eğer Birleşik Krallık Veri Koruma Yasaları ile bir çelişki varsa, sonuncusu geçerlidir.

5. Herhangi bir belirsizlik, Birleşik Krallık Veri Koruma Yasalarına en iyi şekilde uyacak şekilde giderilir.

6. Yasalara yapılan atıflar, revize edilmiş veya birleştirilmiş sürümleri de içermektedir.

Hiyerarşi

1. Onaylı AB SCC'lerin 5. Maddesi, bunların diğer anlaşmalara karşı üstün olduğunu ifade eder ama Sınırlı Aktarımlar için aşağıda belirtilen hiyerarşi geçerlidir.

2. Onaylı AB SCC'leri ile çelişen veya tutarsız olan durumlarda, Onaylı Ek Protokol geçerli olacaktır, bunun dışında SCC'ler veri sahiplerine daha fazla koruma sağlıyorsa, SCC terimleri geçerlidir.

3. Burada, tarafların AB GDPR uyumluluğu için kullandığı herhangi bir SCC'yi etkilemez.

AB SCC'lere Ekleme ve Değişiklikler

1. IDTA Ek Protokolü, Onaylı AB SCC'lerini gerekli değişikliklerle birlikte eklemekte, böylece Birleşik Krallık'a ilişkin aktarımlar için uygulanabilir olmasını sağlamakta, 5. Maddede yer alan hiyerarşiyi geçersiz kılmakta ve İngiliz yasalarına/mahkemelerine tabi olmasını sağlamaktadır (başka bir şey seçilmedikçe, İskoçya veya Kuzey İrlanda için).

2. Belirli bir alternatif üzerinde anlaşılmazsa, 22. bölüm geçerli olacaktır.

3. Onaylı AB SCC'lerine yapılan daha fazla değişiklik, 19. Bölümde gerekenlerin ötesinde yasaktır.

4. Ek Protokol AB SCC'lerindeki değişiklikler, Birleşik Krallık Veri Koruma Yasalarına yapılan atıfları güncelleyerek, yönetmelik (AB) 2016/679 atıflarını "Birleşik Krallık Veri Koruma Yasaları" ile değiştirmekte, yönetmelik (AB) 2018/1725'e atıfları kaldırmakta, Madde 17/18'i İngiliz yasaları/mahkemeleri ile ayarlamakta vb. Notlar, 8, 9, 10, 11 numaralı notlar haricinde IDTA'nın bir parçası değildir.

Bu IDTA'ya Yapılan Değişiklikler

1. Taraflar, 17. veya 18. Maddelere İskoç veya Kuzey İrlanda mahkemelerine atıfta bulunacak şekilde değişiklik yapabilir.

2. Taraflar aynı zamanda, karşılıklı yazılı mutabakat sağlayarak tablo formatını güncelleyebilir ve aynı düzeyde korumanın devam ettiğini sağlayabilir.

3. ICO, zaman zaman revize edilmiş Onaylı Ek Protokolü yayımlayabilir, bu da otomatik olarak bu IDTA Ek Protokolünü geçerlilik tarihinden itibaren değiştirir ve taraflarca gözden geçirilmesi gerekli olabilir.

4. ICO'nun değişiklikleri bir tarafın maliyetlerini ya da risklerini önemli ve orantısız bir şekilde artırırsa ve bu maliyetlerin/risklerin azaltılması mümkün değilse, taraf bu IDTA'yı revize edilmiş Ek Protokol yürürlüğe girmeden makul bir şekilde diğer tarafa bildirerek sonlandırabilir.

5. Değişiklikler için üçüncü tarafın izni gerekmez, ancak değişikliklerin bu IDTA Ek Protokolü'nün hükümlerine uyması gerekmektedir.