VERİ İŞLEME SÖZLEŞMESİ

Son Güncelleme: 16 Temmuz 2026

İşbu Veri İşleme Sözleşmesi (“VİS”), Reslify LLC (“Reslify”) ile Hizmetleri satın alan kuruluş (“Müşteri”) arasında akdedilen Ana Hizmetler Sözleşmesi'nin veya diğer yazılı ya da elektronik sözleşmenin (birlikte “Sözleşme”) bir parçasını oluşturur ve tarafların, Müşteri Kişisel Verilerinin yürürlükteki Veri Koruma Mevzuatı uyarınca İşlenmesine ilişkin mutabakatını yansıtır.

Müşteri, Sözleşme'yi imzalayarak veya başka bir şekilde kabul ederek, işbu VİS'i kendi adına ve yürürlükteki mevzuatın izin verdiği ölçüde, söz konusu İştiraklerin Veri Sorumlusu olduğu Müşteri Kişisel Verilerinin Reslify tarafından İşlendiği hâllerde ve ölçüde, İştirakleri adına ve hesabına akdeder. Yalnızca işbu VİS bakımından ve aksi belirtilmedikçe, “Müşteri”ye yapılan atıflar Müşteri'yi ve ilgili İştiraklerini kapsar. İşbu VİS'te kullanılan ancak tanımlanmayan büyük harfle başlayan tüm terimler, Sözleşme'de kendilerine atfedilen anlamları taşır.

Müşteri, işbu VİS'i (a) Sözleşme'yi imzalayarak veya (b) tıklamalı kabul ya da benzer bir çevrim içi kabul mekanizması aracılığıyla Sözleşme'yi ve işbu VİS'i elektronik ortamda kabul ederek akdedebilir ve kabul edebilir. Bu elektronik kabul, Müşteri'nin işbu VİS'i geçerli şekilde imzalaması hükmündedir.

Reslify, Sözleşme uyarınca Müşteri'ye Hizmetleri sunarken Müşteri Kişisel Verilerini Müşteri adına İşleyecek olup Taraflar, her biri makul ve iyi niyetli hareket ederek işbu VİS'e uymayı kabul eder. Tereddüde mahal vermemek adına, işbu VİS'e yapılan atıflar işbu VİS'i ve ekindeki tüm Cetvelleri kapsar.

Cetveller. Cetvel 1–5 işbu VİS'in bir parçasını oluşturur ve atıf yoluyla işbu VİS'e dâhil edilmiştir. Bir Cetvelde kullanılan ancak orada tanımlanmayan büyük harfle başlayan terimler, işbu VİS'te kendilerine verilen anlamları taşır.

Kapsam. İşbu VİS, Reslify'ın Hizmetlerle bağlantılı olarak Müşteri adına Veri İşleyen sıfatıyla İşlediği Müşteri Kişisel Verilerine uygulanır; ancak Reslify'ın bağımsız Veri Sorumlusu sıfatıyla gerçekleştirdiği sınırlı İşlemeyi açıklayan Bölüm 3'te açıkça belirtilen hâller saklıdır. İşbu VİS kapsamındaki Veri İşleyen yükümlülükleri, (i) Hizmetlerin veya Müşteri kiracısının dışında tutulan hesap düzeyindeki kayıt, idare ve Müşteri ilişkileri yönetimi verileri, (ii) doğrudan Müşteri ilişkisiyle bağlantılı faturalandırma, abonelik, fatura düzenleme, ödeme durumu ve satış veya pazarlama iletişim verileri ve (iii) Bölüm 3'te açıklanan Sınırlı Veri Sorumlusu Telemetrisi dâhil olmak üzere, Reslify'ın amaçlarını bizzat belirleyerek bağımsız Veri Sorumlusu sıfatıyla İşlediği Kişisel Verilere uygulanmaz. Bu tür İşleme, aşağıdaki Bölüm 3 ve 8.11'e tabi olarak Reslify'ın Gizlilik Politikası'na tabidir. Müşteri'nin Yetkili Kullanıcılarına ait olup erişim sağlamak, Müşteri kiracısını yönetmek, ürün içi denetlenebilirlik sağlamak, sorun gidermek, güvenilirliği izlemek, kapasite planlaması yapmak, Müşteri raporlaması oluşturmak veya Hizmetleri başka şekilde desteklemek amacıyla Hizmetler içinde işlenen Kişisel Veriler, Müşteri Kişisel Verilerini oluşturur ve Reslify tarafından Veri İşleyen sıfatıyla İşlenir. Aynı kişiye ait veriler, Müşteri kiracısı içinde Müşteri Kişisel Verileri olarak; Müşteri kiracısı dışında ise Reslify'ın kontrolündeki hesap, faturalandırma veya CRM kayıtları olarak işlenebilir.

1. TANIMLAR

“İştirak”, bir tarafı doğrudan veya dolaylı olarak kontrol eden, o tarafça kontrol edilen veya o tarafla ortak kontrol altında bulunan bir kuruluş anlamına gelir. Bir kuruluş, oy hakkı veren menkul kıymetlerin mülkiyeti, sözleşme veya başka bir yolla diğer bir kuruluşun yönetimini ya da politikalarını yönlendirme veya yönlendirilmesini sağlama yetkisine sahipse diğer kuruluşu kontrol ediyor sayılır.

“CCPA”, 2020 tarihli California Privacy Rights Act (“CPRA”) ile değiştirilen 2018 tarihli California Consumer Privacy Act'i ve bunlara dayanılarak çıkarılan bağlayıcı düzenlemeleri ifade eder.

“Müşteri İçeriği”, Müşteri tarafından veya Müşteri adına Hizmetlere gönderilen ve Kişisel Veri içerebilecek asli içerik (metin, görseller, menüler, mekân açıklamaları, notlar, özel alanlar ve Müşteri kiracısında görüntülenen veya saklanan diğer içerikler dâhil) anlamına gelir.

“Müşteri Kişisel Verileri”, Reslify'ın (veya Alt Veri İşleyenlerinin) Sözleşme uyarınca ya da Sözleşmeyle bağlantılı olarak Müşteri veya İştirakleri adına İşlediği her türlü Kişisel Veri anlamına gelir. Tereddüde mahal vermemek adına, yürürlükteki Veri Koruma Mevzuatı uyarınca artık Kişisel Veri sayılmayacak şekilde anonimleştirilmiş (GDPR'ın öngördüğü standarda uygun olarak) veya kimlikten arındırılmış (uygulanabildiği hâllerde CCPA/CPRA'da tanımlandığı biçimde olanlar dâhil) bilgiler işbu VİS kapsamında Müşteri Kişisel Verisi sayılmaz. Açıklık adına, Müşteri Kişisel Verileri, Reslify'ın bağımsız Veri Sorumlusu sıfatıyla İşlediği Kişisel Verileri (Kapsam bölümünde ve Bölüm 3'te açıklandığı üzere) kapsamaz.

Açıklık adına, tam ödeme kartı numaraları ve kart güvenlik kodları, ödeme hizmeti sağlayıcısının kontrolündeki alanlarda veya sayfalarda toplanır ve Reslify tarafından değil, ilgili ödeme hizmeti sağlayıcısı tarafından işlenip saklanır. Reslify, Hizmetleri işletmek için gerekli olduğu ölçüde ödeme hizmeti sağlayıcısına ait müşteri ve ödeme yöntemi tanımlayıcılarını, işlem ve durum bilgilerini ve maskelenmiş kart açıklayıcılarını (kart markası, son dört hane ve son kullanma ayı/yılı gibi) İşleyebilir. Bu sınırlı açıklayıcılar, tam birincil hesap numaralarını veya kart güvenlik kodlarını içermez.

“Veri Sorumlusu”, tek başına veya başkalarıyla birlikte Kişisel Verilerin İşlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişiyi, kamu makamını, kurumu ya da diğer bir organı ifade eder.

“Veri Koruma Mevzuatı”; (a) Avrupa Veri Koruma Mevzuatı'nı, (b) CCPA/CPRA'yı ve (c) Sözleşme kapsamındaki Müşteri Kişisel Verilerinin İşlenmesine uygulanabildiği ölçüde, gizlilik, veri koruma veya Kişisel Verilerin İşlenmesiyle ilgili yürürlükteki diğer kanun, kural ve düzenlemeleri (uygulanabildiği hâllerde ABD federal ve eyalet gizlilik ve tüketici verilerini koruma mevzuatı dâhil), her biri zaman zaman değiştirildiği, yenilendiği veya yerine başka düzenlemeler getirildiği hâliyle ifade eder.

“İlgili Kişi”, Müşteri Kişisel Verilerinin ilgili olduğu kimliği belirli veya belirlenebilir gerçek kişiyi ifade eder.

“Avrupa Veri Koruma Mevzuatı”; (i) GDPR'ı, (ii) 2002/58/EC sayılı Direktif'te düzenlenen (yürürlükteki ulusal mevzuata aktarıldığı şekliyle) elektronik haberleşmede gizliliğe ilişkin AB kurallarını ve (iii) değiştirildiği şekliyle Birleşik Krallık'ın 2003 tarihli Privacy and Electronic Communications (EC Directive) Regulations düzenlemesini ve bunların yerine geçen veya bunları ikame eden mevzuatı ifade eder.

“Avrupa Verileri”, Avrupa Veri Koruma Mevzuatı'na tabi Müşteri Kişisel Verilerini ifade eder.

“AEA”, Avrupa Ekonomik Alanı'nı ifade eder.

“GDPR”, ilgili İşlemeye uygulanabildiği ölçüde; (i) (AB) 2016/679 sayılı Tüzük'ü (“AB GDPR”) ve/veya (ii) AB GDPR'ın 2018 tarihli European Union (Withdrawal) Act uyarınca Birleşik Krallık'ta uygulandığı hâli ile birlikte 2018 tarihli UK Data Protection Act'i (“BK GDPR”) ifade eder; her iki durumda da tüm uygulama veya tamamlayıcı mevzuat ile değişiklikler, ikame düzenlemeler veya halef mevzuat dâhildir.

“Kişisel Veri”, yürürlükteki Veri Koruma Mevzuatı'nda tanımlanan “kişisel veri”, “kişisel bilgi”, “kişiyi tanımlayıcı bilgi” veya benzer terimleri ifade eder.

“Kişisel Veri İhlali”, Reslify'ın zilyetliği, gözetimi veya kontrolü altındaki Müşteri Kişisel Verilerinin kazara ya da hukuka aykırı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz şekilde açıklanmasına veya bunlara erişilmesine yol açan bir Reslify güvenlik ihlalini ifade eder.

“İşleme” (ve “İşlemek” ve “İşlenmiş” gibi bağlantılı terimler), otomatik yollarla veya başka şekilde gerçekleştirilen; Kişisel Verilerin toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, saklanması, uyarlanması, değiştirilmesi, elde edilmesi, incelenmesi, kullanılması, açıklanması (iletilerek veya başka şekilde erişilebilir kılınarak), birleştirilmesi, kısıtlanması, silinmesi veya imha edilmesi dâhil olmak üzere Kişisel Veriler üzerinde gerçekleştirilen her türlü faaliyet veya faaliyetler bütününü ifade eder.

“Veri İşleyen”, bir Veri Sorumlusu adına Kişisel Verileri İşleyen her türlü kişi veya kuruluşu ifade eder.

“Kısıtlı Aktarım”, Müşteri Kişisel Verilerinin; (i) AEA'dan Avrupa Komisyonunun yeterlilik kararı kapsamına girmeyen AEA dışındaki bir ülke veya bölgeye, (ii) Birleşik Krallık'tan Birleşik Krallık Hükümetinin yeterlilik kararı kapsamına girmeyen Birleşik Krallık dışındaki bir ülke veya bölgeye ya da (iii) İsviçre'den İsviçre Veri Koruma Mevzuatı kapsamında yeterli koruma sağladığı kabul edilmeyen İsviçre dışındaki bir ülke veya bölgeye açıklanması, bu verilere erişim sağlanması veya bunların başka bir şekilde aktarılması olup, her durumda söz konusu aktarımın Avrupa Veri Koruma Mevzuatı ve/veya İsviçre Veri Koruma Mevzuatı uyarınca uygun bir aktarım güvencesi gerektirdiği hâlleri ifade eder.

“SCC'ler”, kişisel verilerin uluslararası aktarımına ilişkin olarak Avrupa Komisyonunun (AB) 2021/914 sayılı Uygulama Kararı uyarınca kabul edilen standart sözleşme maddelerini, zaman zaman güncellendiği, değiştirildiği veya yenilendiği hâliyle ifade eder.

“Hizmet Telemetrisi”, Hizmetlerin işleyişi, performansı, güvenliği ve kullanımına ilişkin olarak Hizmetler tarafından üretilen günlükler, olay üst verileri, cihaz/tarayıcı ve ağ bilgileri, hata raporları, yanıt süreleri, çalışma süresi ölçümleri, özellik kullanım istatistikleri ve güvenlik/denetim üst verileri gibi teknik ve operasyonel verileri ifade eder. Açıklık adına, Hizmet Telemetrisi Müşteri İçeriğini hariç tutar ve güvenlik olaylarını, dolandırıcılığı veya kötüye kullanımı tespit etmek, önlemek ya da gidermek için kesinlikle gerekli olan sınırlı hâller dışında rezervasyonların/notların/mesajların asli içeriğini kapsamaz.

“Alt Veri İşleyen”, Hizmetlerin sunulması amacıyla Müşteri Kişisel Verilerini İşlemek üzere Reslify veya İştiraklerinden herhangi biri tarafından ya da bunlar adına görevlendirilen veya atanan her türlü kişi veya kuruluşu (üçüncü bir taraf veya Reslify İştiraki dâhil ancak Reslify personeli hariç) ifade eder.

“İsviçre”, İsviçre Konfederasyonu'nu ifade eder.

“İsviçre Veri Koruma Mevzuatı”, İsviçre Federal Veri Koruma Kanunu'nu (“FADP”) ve uygulanabilir uygulama yönetmelikleri ile bağlayıcı rehberleri, her biri zaman zaman değiştirildiği, yenilendiği veya yerine başka düzenlemeler getirildiği hâliyle ifade eder.

“BK Aktarım Eki”, Birleşik Krallık'ın 2018 tarihli Data Protection Act'inin 119A maddesi uyarınca Bilgi Komiserliği Ofisi (ICO) tarafından yayımlanan ve BK GDPR'a tabi aktarımlarda AB SCC'lerini tamamlayan uluslararası veri aktarım ekini, zaman zaman değiştirildiği, güncellendiği veya yenilendiği hâliyle ifade eder.

“Komisyon”, “Veri Koruma Etki Değerlendirmesi”, “Üye Devlet” ve “Denetim Makamı” gibi terimler GDPR'da kendilerine verilen anlamlara uygun olarak yorumlanır ve bağlantılı terimler de buna göre anlaşılır.

2. KİŞİSEL VERİLERİN İŞLENMESİ

2.1 İşlemenin Ayrıntıları. Taraflar, Müşteri Kişisel Verilerinin İşlenmesi bakımından Müşteri'nin Veri Sorumlusu, Reslify'ın ise Veri İşleyen olduğunu kabul eder ve kararlaştırır. İşbu VİS kapsamında İşlenen Kişisel Verilerin konusu, İşleme süresi, İşlemenin niteliği ve amacı, Kişisel Veri türleri ve İlgili Kişi kategorileri, işbu VİS'in Cetvel 1'inde (İşlemenin Ayrıntıları) ayrıntılı olarak belirtilmiştir. Tereddüde mahal vermemek adına, Müşteri'nin başka bir Veri Sorumlusu adına Veri İşleyen sıfatıyla hareket ettiği hâllerde Reslify, ilgili Müşteri Kişisel Verilerini Müşteri'nin Alt Veri İşleyeni sıfatıyla hareket eden bir Veri İşleyen olarak İşleyecek olup uygulanabilir SCC modülü (ilgili olduğu hâllerde Modül Üç dâhil) Cetvel 4'te belirtilmiştir.

2.2 Müşteri'nin Kişisel Verileri İşlemesi; Talimatlar. Müşteri, Hizmetleri kullanırken Reslify'ı Veri İşleyen olarak görevlendirmesi dâhil olmak üzere Kişisel Verileri yürürlükteki Veri Koruma Mevzuatı'na uygun şekilde İşler. Tereddüde mahal vermemek adına, Müşteri'nin Müşteri Kişisel Verilerinin İşlenmesine ilişkin talimatları yürürlükteki Veri Koruma Mevzuatı'na uygun olmalıdır. Taraflar, Müşteri'nin Sözleşme'yi akdettiği tarih itibarıyla Sözleşme'nin (işbu VİS dâhil) Müşteri Kişisel Verilerinin İşlenmesine ilişkin Müşteri'nin eksiksiz ve belgelendirilmiş talimatlarını oluşturduğunu kabul eder. Açıklık adına, Müşteri'nin belgelendirilmiş talimatları; her biri Sözleşme'yle uyumlu olduğu ölçüde, Müşteri'nin Hizmetleri yapılandırmasını ve kullanmasını (yönetim ayarları ve özellik seçimleri dâhil), Hizmetlerin self-servis kontrollerini kullanmasını ve Müşteri tarafından veya adına gönderilen her türlü destek talebini ya da API çağrısını da kapsar. İşleme kapsamını Sözleşme'nin ötesinde önemli ölçüde genişleten ilave veya alternatif talimatlar, Taraflarca kararlaştırılır ve işbu VİS'e yapılacak yazılı bir değişiklikle belgelendirilir. Müşteri; (a) Müşteri Kişisel Verilerinin doğruluğundan, (b) Müşteri Kişisel Verilerini toplama ve elde etme yönteminden ve (c) Müşteri Kişisel Verilerinin Reslify tarafından İşlenmesiyle bağlantılı olarak yürürlükteki Veri Koruma Mevzuatı uyarınca gerekli tüm bildirimlerin yapılmasını ve gerekli tüm rıza ve izinlerin alınmasını sağlamaktan münhasıran sorumludur.

2.3 Müşteri Kişisel Verilerinin Reslify Tarafından İşlenmesi. Reslify, Müşteri Kişisel Verilerini yalnızca (i) Müşteri'nin belgelendirilmiş talimatları üzerine veya (ii) yürürlükteki mevzuatın (yürürlükteki Veri Koruma Mevzuatı dâhil) başka şekilde gerektirdiği ya da izin verdiği ölçüde İşler. Müşteri, Hizmetleri sunmak için gerekli olduğu şekilde ve Sözleşme'ye uygun olarak Müşteri Kişisel Verilerini İşlemesi için Reslify'a talimat verir. Reslify, Müşteri Kişisel Verilerini yürürlükteki Veri Koruma Mevzuatı'na uygun olarak İşleyecektir; ancak Veri Koruma Mevzuatı'yla bağdaşmayan bir İşlemenin Müşteri'nin belgelendirilmiş talimatlarından kaynaklandığı veya başka şekilde Müşteri'nin fiil ya da ihmallerinin sonucu olduğu ölçüde Reslify bu yükümlülüğü ihlal etmiş sayılmaz. Reslify, makul değerlendirmesine göre Müşteri tarafından verilen herhangi bir talimatın Veri Koruma Mevzuatı'nı ihlal etmesi veya başka şekilde bu mevzuata uygun olmaması hâlinde Müşteri'yi bilgilendirir. Reslify'ın yürürlükteki mevzuat uyarınca Müşteri'nin belgelendirilmiş talimatlarının kapsamı dışında Müşteri Kişisel Verilerini İşlemek zorunda kalması hâlinde Reslify, yürürlükteki mevzuatça yasaklanmadıkça, söz konusu İşlemeyi gerçekleştirmeden önce Müşteri'yi bilgilendirir.

2.4 Genel. Reslify, Müşteri Kişisel Verilerinin İşlenmesinin niteliğini ve Reslify'ın erişebildiği bilgileri dikkate alarak ve işbu VİS hükümlerine tabi olmak kaydıyla, Müşteri'nin yürürlükteki Veri Koruma Mevzuatı kapsamındaki yükümlülüklerini yerine getirebilmesi için makul olarak talep edebileceği bilgi ve desteği, bu bilgilerin Reslify'ın erişiminde olduğu ve sağlanmasının Reslify tarafından İşlenen Kişisel Verilerin güvenliğini, gizliliğini, bütünlüğünü veya erişilebilirliğini tehlikeye atmadığı ölçüde Müşteri'ye sunar. Reslify ayrıca makul talep üzerine, Veri Koruma Mevzuatı'na ve işbu VİS'e uyumunu göstermek için gerekli olan ve zilyetliğinde bulunan bilgileri Müşteri'nin erişimine sunar. Bu destek, uygulanabildiği ve makul olarak talep edildiği hâllerde, Veri Koruma Etki Değerlendirmelerine (DPIA) ve yürürlükteki Veri Koruma Mevzuatı uyarınca gerekli olduğunda Müşteri'nin yetkili Denetim Makamıyla ön istişarelerine yönelik desteği içerebilir. Her türlü destek, Hizmetlerin niteliği ve Reslify'ın erişebildiği bilgiler dikkate alınarak makul ölçüde gerekli ve orantılı olanla sınırlıdır. Reslify, standart dışı, önemli ölçüde mühendislik veya hukuk emeği gerektiren ya da Hizmetlerin standart işlevselliğinin ötesine geçen destek için mevzuatın izin verdiği ölçüde o tarihte geçerli ücretleri üzerinden makul ücretler talep edebilir.

2.5 Müşteri Beyan ve Taahhütleri; Hukuki Sebepler; Tazminat. Müşteri; (a) Müşteri Kişisel Verilerini toplamak, kullanmak ve açıklamak ve Reslify'a bu verileri Sözleşme'de öngörüldüğü şekilde İşleme talimatı vermek için gerekli tüm bildirimleri yaptığını ve tüm rızaları aldığını ve/veya yürürlükteki Veri Koruma Mevzuatı kapsamında başka bir geçerli hukuki sebebe sahip olduğunu ve (b) Müşteri'nin talimatlarının, yapılandırmalarının ve Hizmetleri kullanımının Reslify'ın Müşteri Kişisel Verilerini Veri Koruma Mevzuatı'nı ihlal edecek şekilde İşlemesine yol açmayacağını beyan ve taahhüt eder. Müşteri, mevzuatın izin verdiği ölçüde, geçerli bir hukuki sebep temin etmemesi, gerekli bildirimleri yapmaması, gerekli rızaları almaması veya Müşteri Kişisel Verilerini hukuka uygun olarak toplamayıp Hizmetlere sunmaması dâhil olmak üzere, Müşteri'nin işbu VİS'i veya Veri Koruma Mevzuatı'nı kanıtlanmış şekilde ihlalinden doğduğu ölçüde; yetkili bir mahkeme veya makam tarafından kesin olarak hükmedilen ya da Müşteri'nin onayladığı bir sulh anlaşmasında kararlaştırılan üçüncü taraf taleplerine ve doğrudan zarar, yükümlülük, maliyet ve giderlere (makul avukatlık ücretleri dâhil) karşı Reslify'ı, İştiraklerini ve bunların ilgili yöneticilerini, müdürlerini, çalışanlarını ve temsilcilerini savunur, tazmin eder ve beri kılar. İdari para cezaları, düzenleyici cezalar, yaptırımlar veya benzer kamu hukuku tutarları yalnızca yürürlükteki mevzuat uyarınca hukuken devredilebilir veya tazmin edilebilir oldukları, yetkili bir makamca kesin olarak uygulandıkları veya yetkili bir mahkemece kesin hükme bağlandıkları ve Müşteri'nin kanıtlanmış ihlalinden kaynaklandıkları ölçüde tazmin edilebilir. Bu tazminat; talep, zarar, para cezası, ceza, yaptırım, maliyet veya giderin Reslify'ın işbu VİS'i ihlalinden, Reslify'ın Veri İşleyen (veya uygulanabildiği hâllerde Veri Sorumlusu) sıfatıyla yürürlükteki Veri Koruma Mevzuatı'na uymamasından ya da Reslify'ın ağır ihmal veya kasıtlı davranışından kaynaklandığı ölçüde uygulanmaz.

2.6 Hassas Veriler; Müşteri'nin Kontrolü ve Sorumluluğu; İsteğe Bağlı Ek. Müşteri, Hizmetlerin; (a) GDPR Madde 9 anlamında “özel nitelikli kişisel veri kategorileri” (ör. alerji bilgileri gibi sağlık verileri) ve/veya (b) GDPR Madde 10 anlamında mahkûmiyet ve suçlara ilişkin kişisel veriler ve/veya benzer yüksek derecede hassas veriler (birlikte “Hassas Veriler”) dâhil olmak üzere, yürürlükteki Veri Koruma Mevzuatı kapsamında daha sıkı koşullara tabi olabilecek belirli verileri İşleyebileceğini kabul eder. Reslify, Hizmetlere sunulan herhangi bir bilginin Hassas Veri teşkil edip etmediğini belirlemez.

Müşteri, tamamen kendi takdirine bağlı olarak, Hizmetler aracılığıyla (serbest metin alanları ve/veya Müşteri tarafından yapılandırılan özel alanlar, formlar ve iş akışları dâhil) Hassas Veri talep etmeyi, toplamayı, sunmayı ve İşlemeyi seçebilir. Müşteri; (i) talep veya toplama konusu verinin niteliğini (Hassas Veri teşkil edip etmediği dâhil) belirlemekten, (ii) geçerli bir hukuki sebebin mevcut olmasını ve yürürlükteki Veri Koruma Mevzuatı kapsamındaki ilave koşul veya gerekliliklerin (uygulanabildiği hâllerde GDPR Madde 9 koşulları ve şeffaflık yükümlülükleri dâhil) karşılanmasını sağlamaktan ve (iii) gerekli tüm bildirimleri yapmaktan ve İlgili Kişilerden gereken rıza veya izinleri almaktan münhasıran sorumludur.

Reslify, Hizmetlere sunulan Hassas Verileri yalnızca Müşteri'nin belgelendirilmiş talimatları üzerine ve yalnızca Hizmetleri Müşteri kiracısı içinde sunmak için gerekli olduğu ölçüde (ör. rezervasyon/Misafir kayıtlarını yetkili Müşteri kullanıcılarına saklamak ve göstermek ve Müşteri yapılandırmasının başlattığı iletişimleri iletmek için) İşler. Reslify, Hizmetlere sunulan Hassas Veriler dâhil Müşteri Kişisel Verilerine Cetvel 3'teki Güvenlik Tedbirlerini uygular. Reslify, açıkça yazılı olarak kararlaştırılmadıkça, Hassas Verileri kendi ürün analitiği veya hizmet geliştirme amaçlarıyla kullanmaz ve genelleştirilmiş yapay zekâ modellerini eğitmek veya bunlara ince ayar yapmak için kullanmaz.

Reslify, Müşteri'nin Hassas Veri toplamasının veya kullanmasının (özel alanlar ya da formlar aracılığıyla sistematik toplama dâhil) önemli bir uyum, güvenlik veya operasyonel risk doğurduğunu ya da Cetvel 3'ün ötesinde tedbirler veya Hizmetlerde önemli değişiklikler gerektireceğini makul şekilde belirlerse; (a) Tarafların uygun tedbirleri, kapsamı ve (uygulanabildiği hâllerde) ücretleri düzenleyen ayrı bir yazılı ek akdetmesini talep edebilir ve/veya (b) Müşteri'nin yapılandırmasını veya veri toplama uygulamalarını değiştirmesini isteyebilir ve/veya (c) uygun tedbirler uygulanana kadar, mevzuatın izin verdiği ölçüde, etkilenen özelliklere erişimi kısıtlayabilir, bunları silebilir veya askıya alabilir.

Tereddüde mahal vermemek adına, Bölüm 2.5 kapsamındaki Müşteri yükümlülükleri, Müşteri'nin Hassas Verileri toplaması ve sunmasına uygulanır.

3. TELEMETRİ VE SINIRLI VERİ SORUMLUSU İŞLEMESİ

3.1 Veri İşleyen Telemetrisi; Sınırlı Veri Sorumlusu Amaçları. Hizmetleri sunmak, sürdürmek, sorun gidermek, güvenilirliği izlemek, kapasite planlaması yapmak, Müşteri raporlaması oluşturmak veya başka şekilde desteklemek amacıyla bir Müşteri hesabı içinde üretilen Hizmet Telemetrisi, Müşteri Kişisel Verisidir ve Reslify tarafından Müşteri'nin belgelendirilmiş talimatları üzerine Veri İşleyen sıfatıyla İşlenir.

Reslify, tanımlanabilir nitelikteki asgari Hizmet Telemetrisini yalnızca platform genelinde güvenlik izleme ve olay müdahalesi, dolandırıcılık ve kötüye kullanımın önlenmesi, mevzuata ve hukuki süreçlere uyum, Müşteri kiracısı dışındaki doğrudan faturalandırma veya sözleşme yönetimi ile hukuki taleplerin ileri sürülmesi, kullanılması ya da savunulması amaçlarıyla bağımsız Veri Sorumlusu sıfatıyla İşleyebilir (“Sınırlı Veri Sorumlusu Telemetrisi”). Sınırlı Veri Sorumlusu Telemetrisi, belirli bir güvenlik olayı, dolandırıcılık veya kötüye kullanım soruşturması, hukuki yükümlülük ya da hukuki talep için erişimin kesinlikle gerekli olduğu hâller dışında Müşteri İçeriğini veya Misafir rezervasyon kayıtlarının asli içeriğini kapsamaz.

Reslify, tanımlanabilir Müşteri Kişisel Verilerini bağımsız Veri Sorumlusu sıfatıyla genel ürün analitiği veya hizmet geliştirme amacıyla kullanmaz. Reslify, toplulaştırılmış veya anonimleştirilmiş kullanım ve performans bilgilerini yalnızca yürürlükteki Veri Koruma Mevzuatı uyarınca artık Kişisel Veri niteliğinde olmadığı ve yeniden kimliklendirmeye teşebbüs etmediği takdirde bu amaçlarla kullanabilir.

3.2 GDPR Hususları. GDPR'ın Sınırlı Veri Sorumlusu Telemetrisine uygulandığı ölçüde Reslify, yalnızca Bölüm 3.1'de belirtilen sınırlı amaçlar için bağımsız Veri Sorumlusu sıfatıyla hareket eder ve (a) söz konusu İşlemeye ilişkin olarak GDPR'a uyar; (b) Sınırlı Veri Sorumlusu Telemetrisini işbu VİS uyarınca gerekli olanlardan daha az koruyucu olmayan teknik ve organizasyonel tedbirlerle korur ve (c) Reslify'ın talimatları doğrultusunda hareket eden Veri İşleyenler dışında, yürürlükteki mevzuat veya hukuki süreç gerektirmedikçe ya da hukuki taleplerin ileri sürülmesi, kullanılması veya savunulması için gerekli olmadıkça, Sınırlı Veri Sorumlusu Telemetrisini Müşteri'yi veya herhangi bir İlgili Kişiyi belirleyecek şekilde açıklamaz.

Veri minimizasyonu. Reslify, Sınırlı Veri Sorumlusu Telemetrisini ilgili amaç için gerekli alanlarla sınırlar, erişimi bilmesi gerekenlerle kısıtlar ve tanımlanabilir verileri yürürlükteki mevzuata tabi olarak yalnızca söz konusu amaç için gerekli olduğu süre boyunca saklar.

3.3 YZ Özellikleri; Verilerin Kullanımı. Müşteri tarafından etkinleştirildiğinde Hizmetler, yapay zekâ destekli bir rezervasyon asistanı, YZ Menü İçe Aktarma ve bağlantılı yapay zekâ veya makine öğrenimi özellikleri (“YZ Özellikleri”) sunabilir. Reslify, YZ Asistanını sunmak amacıyla Misafir mesajlarını ve bunlarda bulunan kişisel verileri, ilgili rezervasyon süreci bilgilerini, önceki konuşma bağlamını ve Müşteri tarafından yapılandırılmış mekân bilgilerini, teklifleri, politikaları ve diğer rezervasyon içeriklerini İşleyebilir. Reslify, YZ Menü İçe Aktarmayı sunmak amacıyla Müşteri'nin yüklediği menü dosyalarını veya görsellerini, dosya üst verilerini, çıkarılan metni, menü adlarını, kategorileri, ürün adlarını, açıklamaları, fiyatları, beslenme veya kaynak etiketlerini ve üretilen yapılandırılmış menü taslaklarını İşleyebilir. YZ Asistanı yanıt üretebilir ve bağlayıcı olmayan rezervasyon akışı eylemleri veya taslak değişiklikler önerebilir; rezervasyon akışı esas alınacak kaynaktır ve Hizmetlerde ilgili onay verilmeden hiçbir rezervasyon, bekletme, ödeme veya rezervasyonu etkileyen başka bir işlem tamamlanmaz. Yapay zekâ destekli menü içe aktarma çıktısı, Müşteri'nin incelemesine sunulan bir taslaktır ve menü içeriği olarak kaydedilmeden önce düzenlenebilir veya reddedilebilir.

Harici yapay zekâ modeli sağlayıcıları. Reslify, bir YZ Özelliği için Müşteri Kişisel Verilerini İşlemek üzere harici bir yapay zekâ modeli sağlayıcısı kullanırsa bu sağlayıcı bir Alt Veri İşleyendir ve Müşteri Kişisel Verilerini üretimde İşlemeden önce Cetvel 2'de belirtilmelidir. Reslify, bu sağlayıcıyı işbu VİS ve yürürlükteki Veri Koruma Mevzuatı'yla uyumlu gizlilik, güvenlik ve veri koruma yükümlülükleri içeren yazılı bir sözleşme kapsamında görevlendirir.

Genelleştirilmiş model eğitimi yapılmaması. Taraflarca yazılı olarak açıkça aksi kararlaştırılmadıkça Reslify, Müşteri Kişisel Verilerini veya Müşteri İçeriğini yalnızca Müşteri'nin kullanımı için devreye alınmamış herhangi bir genelleştirilmiş yapay zekâ modelini eğitmek, buna ince ayar yapmak veya bunu geliştirmek amacıyla kullanmaz ya da paylaşmaz. Bununla birlikte Reslify, GDPR'ın öngördüğü standarda uygun şekilde anonimleştirilmiş veya yürürlükteki Veri Koruma Mevzuatı uyarınca artık Kişisel Veri niteliğinde olmayacak şekilde kimlikten arındırılmış verileri ve toplulaştırılmış kullanım ve performans verilerini Hizmetleri ve YZ Özelliklerini geliştirmek, sürdürmek ve iyileştirmek için kullanabilir.

Yapay zekâ saklama süreleri ve şeffaflık. Reslify, konuşmayı ve rezervasyon sürecini sürdürmek amacıyla sınırlı bir konuşma geçmişi dâhil YZ Asistanı oturumlarını kendi sistemlerinde en fazla 24 saat saklar. Saklanan konuşma geçmişi, e-posta adresleri ile telefon numaralarını saklama öncesinde ayıklayacak şekilde tasarlanmıştır. Reslify'ın sakladığı YZ Menü İçe Aktarma kaynak dosyaları ve bağlantılı içe aktarma işi kayıtlarının en fazla yedi (7) gün sonra sona ermesi planlanır. Bu süreler, harici bir yapay zekâ sağlayıcısının saklama sürelerinden ayrıdır. OpenAI'ın standart API veri kontrolleri kapsamında API girdileri ve çıktıları, daha kısa onaylı bir saklama kontrolü uygulanmadıkça, kötüye kullanım izleme günlüklerinde en fazla otuz (30) gün tutulabilir ve OpenAI'ın hukuken saklamak zorunda olduğu hâllerde daha uzun süre saklanabilir. Müşteri tarafından incelenip kaydedilen menü içeriği, Hizmetler içinde Müşteri Kişisel Verisi hâline gelir ve Müşteri'nin talimatları ile işbu VİS uyarınca saklanır. Bir YZ Özelliğinin doğrudan gerçek kişilerle etkileşime geçmesi amaçlanıyorsa Reslify'ın kontrolündeki arayüz, kişi mesaj göndermeden önce açık, görünür ve yapılandırılamayan bir bildirimle bunun bir yapay zekâ sistemi olduğunu belirtir. Müşteri bu bildirimi kaldıramaz, gizleyemez veya yanlış tanıtamaz ve uygulanabildiği hâllerde AB Yapay Zekâ Yasası dâhil olmak üzere, Müşteri yapılandırmasının veya yürürlükteki mevzuatın gerektirdiği ilave bildirimlerden sorumlu olmaya devam eder.

3.4 Ayrım; Saklama. Reslify, (a) Veri İşleyen sıfatıyla İşlenen Müşteri Kişisel Verileri ile (b) Bölüm 3.1'de belirtilen amaçlar için Veri Sorumlusu sıfatıyla İşlenen Sınırlı Veri Sorumlusu Telemetrisi arasında makul bir mantıksal ayrım sağlar. Reslify, yürürlükteki mevzuata ve Gizlilik Politikası'nda açıklanan saklama uygulamalarına tabi olarak, Sınırlı Veri Sorumlusu Telemetrisini yalnızca ilgili sınırlı amaç için makul ölçüde gerekli olduğu süre boyunca saklar.

4. RESLIFY PERSONELİ

4.1 Gizlilik. Reslify, yürürlükteki Veri Koruma Mevzuatı'nın gerektirdiği ölçüde, Müşteri Kişisel Verilerini İşlemeye yetkili personelin söz konusu Müşteri Kişisel Verilerine ilişkin yazılı gizlilik taahhütleriyle bağlı olmasını veya başka şekilde uygun kanuni ya da mesleki gizlilik yükümlülüklerine tabi olmasını sağlar.

4.2 Erişimin Sınırlandırılması. Reslify, Müşteri Kişisel Verilerine erişimi, Sözleşme uyarınca Hizmetlerin sunulması amacıyla söz konusu Müşteri Kişisel Verilerini bilmesi gereken personeliyle sınırlamak için ticari açıdan makul tedbirler alır.

5. İLGİLİ KİŞİ TALEPLERİ

5.1 İlgili Kişi Talepleri. Reslify, İşlemenin niteliğini dikkate alarak, Müşteri'nin Müşteri Kişisel Verilerine ilişkin haklarını kullanmak isteyen İlgili Kişilerin taleplerine (her biri “İlgili Kişi Talebi”) yanıt verme konusundaki Veri Koruma Mevzuatı yükümlülüklerini yerine getirmesini desteklemeye yönelik uygun teknik ve organizasyonel tedbirleri sağlar ve sürdürür.

5.2 Müşteri Kontrolleri. Hizmetler, Müşteri'nin Müşteri Kişisel Verilerine erişmesini, bunları elde etmesini, düzeltmesini, silmesini, kısıtlamasını veya başka şekilde yönetmesini sağlayan özellikler ve kontroller içerir; Müşteri bunları, İlgili Kişi Taleplerine yanıt vermek dâhil Veri Koruma Mevzuatı'na uyumu kolaylaştırmak için kullanabilir. Müşteri'nin Hizmetleri kullanarak bir İlgili Kişi Talebini karşılayamaması hâlinde Reslify, Müşteri'nin yazılı talebi üzerine, Müşteri'nin söz konusu İlgili Kişi Talebine yanıt verebilmesi için makul destek sağlar. İşbu Bölüm 5 kapsamında sağlanan her türlü destek, yürürlükteki mevzuatın izin verdiği ölçüde Bölüm 2.4'teki sınırlamalara ve ücret hükümlerine tabidir.

5.3 Reslify'ın Aldığı İlgili Kişi Talepleri. Reslify'ın doğrudan bir İlgili Kişi Talebi alması hâlinde Reslify, hukuken izin verildiği ve talebin Kişisel Verileri Müşteri tarafından veya Müşteri adına Hizmetlere sunulan bir İlgili Kişiyle bağlantılı olduğunu makul şekilde belirleyebildiği ölçüde, Müşteri'yi gecikmeksizin bilgilendirir. Reslify, Müşteri'nin önceden verdiği yazılı talimatlar dışında herhangi bir İlgili Kişi Talebine cevaben esasa ilişkin işlem yapmaz; ancak Reslify (a) talebin Müşteri ile bağlantılı olduğunu teyit edebilir (Müşteri işbu hükümle buna yetki verir) ve (b) yürürlükteki mevzuat gerektiriyorsa yanıt verebilir; bu durumda Reslify, yürürlükteki mevzuatın izin verdiği ölçüde, yanıt vermeden önce Müşteri'yi söz konusu hukuki gereklilik hakkında bilgilendirir. İlgili Kişi Taleplerine verilecek yanıtların içeriğinden ve Müşteri Kişisel Verileriyle ilgili iletişimlerden münhasıran Müşteri sorumludur.

5.4 Bu Bölümün Kapsamı. Açıklık adına, işbu Bölüm 5 yalnızca Reslify'ın işbu VİS kapsamında Veri İşleyen sıfatıyla işlediği Müşteri Kişisel Verilerine uygulanır. Reslify'ın bağımsız Veri Sorumlusu sıfatıyla işlediği Kişisel Verilere (hesap/faturalandırma/CRM verileri ve Sınırlı Veri Sorumlusu Telemetrisi dâhil) ilişkin talepler, Reslify tarafından Gizlilik Politikası ve yürürlükteki mevzuat uyarınca ele alınır.

6. ALT VERİ İŞLEYENLER

6.1 Alt Veri İşleyenlerin Kullanılması. Müşteri, Reslify'ın Hizmetlerin sunulması ve bununla bağlantılı olarak Müşteri Kişisel Verilerinin İşlenmesi kapsamında İştiraklerini Alt Veri İşleyen olarak atayabileceğini ve üçüncü taraf Alt Veri İşleyenleri de görevlendirebileceğini kabul eder. Reslify bir Alt Veri İşleyen görevlendirdiğinde, söz konusu Alt Veri İşleyenin Müşteri Kişisel Verilerine erişimini Hizmetleri işletmek, sürdürmek ve Müşteri ile Kullanıcılarına sunmak için gerekli olanla sınırlar; Alt Veri İşleyenle, onun gerçekleştirdiği hizmetlere uygulanabildiği ölçüde işbu VİS'te belirtilenlerden daha az koruyucu olmayan veri koruma yükümlülükleri getiren yazılı bir sözleşme akdeder ve Alt Veri İşleyenin işbu VİS kapsamındaki veya işbu VİS'le bağlantılı fiil ve ihmallerinden, ilgili hizmetleri Reslify doğrudan gerçekleştiriyormuş gibi aynı ölçüde sorumlu olmaya devam eder. Herhangi bir Kısıtlı Aktarım için gerekli olduğunda Reslify, Avrupa Verilerinin İşlenmesine dâhil olan tüm Alt Veri İşleyenlerin sonraki aktarımlar ve uzaktan erişim için uygun aktarım güvencelerine (SCC'ler veya diğer hukuka uygun mekanizmalar dâhil) tabi olmasını ve bu güvencelerin Alt Veri İşleyenin söz konusu Avrupa Verilerini İşlediği süre boyunca sürdürülmesini sağlar.

6.2 Mevcut Alt Veri İşleyenler; Değişikliklerin Bildirilmesi; İtiraz. Her bir Alt Veri İşleyenin kimliğini, bulunduğu ülkeyi ve gerçekleştirdiği İşlemenin niteliğini içeren mevcut Alt Veri İşleyenler listesi, Cetvel 2'de (Alt Veri İşleyenler Listesi) belirtilmiştir. Reslify, bir Alt Veri İşleyenin eklenmesi veya değiştirilmesi yönündeki planını en az on (10) iş günü önceden Müşteri'ye yazılı olarak (e-posta dâhil) bildirir. Müşteri, bildirimin alınmasından itibaren on (10) iş günü içinde Reslify'a yazılı bildirimde bulunarak söz konusu değişikliğe itiraz edebilir. Zamanında yapılan bir itirazın ardından Taraflar, önerilen Alt Veri İşleyenin kullanılmasını önleyen ve ticari açıdan makul bir Hizmet değişikliğini uygulamak için iyi niyetle çalışır. Reslify, Müşteri'nin itirazını aldıktan sonra otuz (30) gün içinde ticari açıdan makul bir alternatif uygulayamazsa Müşteri, SCC'ler ve/veya BK Aktarım Eki (uygulanabildiği ölçüde) ve/veya emredici mevzuat kapsamındaki hak ve başvuru yolları saklı kalmak kaydıyla, etkilenen özellikleri kullanmayı bırakabilir ve/veya etkilenen Hizmetleri Sözleşme uyarınca (etkilenen Hizmetlere uygulanan yenilememe veya fesih hükümleri dâhil) feshedebilir. Her türlü fesih hakkı ve varsa iadeler/alacaklandırmalar, emredici mevzuat aksini gerektirmedikçe Sözleşme'ye tabidir.

7. GÜVENLİK

7.1 Müşteri Kişisel Verilerinin Korunması; Güvenlik Tedbirleri. Reslify; teknolojinin mevcut durumu, uygulama maliyetleri ve İşlemenin niteliği, kapsamı, bağlamı ve amaçları ile İlgili Kişilerin hak ve özgürlüklerine yönelik riskleri dikkate alarak, Kişisel Veri İhlaline karşı korumaya yönelik tedbirler ve bunlarla sınırlı olmamak üzere GDPR Madde 32 ile uyumlu tedbirler dâhil, Müşteri Kişisel Verilerinin güvenliğini, gizliliğini ve bütünlüğünü korumaya yönelik uygun teknik ve organizasyonel tedbirleri Cetvel 3'te (Güvenlik Tedbirleri) ayrıntılı açıklandığı üzere sürdürür. Reslify, her türlü değişikliğin Güvenlik Tedbirlerinin sağladığı genel koruma düzeyini önemli ölçüde azaltmaması ve Güvenlik Tedbirlerinin yürürlükteki Veri Koruma Mevzuatı'na uygun olmaya devam etmesi kaydıyla, Güvenlik Tedbirlerini zaman zaman kendi takdirine bağlı olarak değiştirebilir veya güncelleyebilir. Müşteri; İşlemenin niteliğini, kapsamını, bağlamını, amaçlarını ve risklerini dikkate alarak Hizmetlerin, Güvenlik Tedbirlerinin ve Reslify'ın işbu VİS kapsamındaki taahhütlerinin Müşteri'nin amaçladığı İşleme için uygun olup olmadığını belirlemekten sorumludur. Reslify, işbu VİS'te açıklandığı üzere, Müşteri'nin bu değerlendirmeyi yapmasına yardımcı olmak için makul ölçüde gerekli bilgileri sunar.

7.2 Üçüncü Taraf Raporları ve Sertifikaları. Reslify, Müşteri'nin makul aralıklarla yaptığı yazılı talep üzerine ve Sözleşme'deki gizlilik yükümlülüklerine tabi olarak, mevcutsa ve olduğu ölçüde, o tarihte geçerli ve genel olarak erişime açık üçüncü taraf denetim raporları ve/veya sertifikalarının kopyalarını Müşteri'nin erişimine sunmak suretiyle işbu VİS'e uyumunu göstermek için makul ölçüde gerekli bilgileri sağlar. Reslify, Müşteri'nin bağımsız üçüncü taraf denetçisinin Reslify'ın rakibi olmaması ve Sözleşme'dekiler kadar koruyucu gizlilik yükümlülükleriyle bağlı olması kaydıyla, bu belgeleri doğrudan Müşteri'ye veya söz konusu denetçi aracılığıyla sunarak talebi karşılayabilir.

7.3 Denetim Hakları. Reslify, işbu VİS'e uyumunu göstermek için yeterli kayıt ve bilgileri tutar. Müşteri'nin her türlü denetim veya inceleme talebi öncelikle, makul ölçüde mümkün olduğu sürece, uzaktan yöntemlerle ve Reslify'ın Bölüm 7.2 kapsamında o tarihte sunduğu standart güvenlik ve uyum belgelerini (uygulanabildiği hâllerde üçüncü taraf denetim raporları ve sertifikaları dâhil) ve makul bilgi taleplerine ve/veya güvenlik anketlerine yazılı yanıtlarını sağlaması yoluyla karşılanır. Müşteri (veya Bölüm 7.2'de açıklanan izin verilen üçüncü taraf denetçisi), en az üç (3) hafta önceden yazılı bildirimde bulunarak her takvim yılında en fazla bir kez uzaktan denetim veya inceleme gerçekleştirebilir; ancak bu sıklık sınırlaması, daha sık denetimin (i) yürürlükteki mevzuatça gerekli olması, (ii) Müşteri'nin düzenleyici makamları veya yetkili bir Denetim Makamınca istenmesi ve/veya (iii) SCC'ler (uygulanabildiği ölçüde) ya da halef bir aktarım mekanizması kapsamındaki denetim haklarının karşılanması için gerekli olması ölçüsünde uygulanmaz. Yukarıda açıklanan belgeler ve uzaktan yöntemlerin ötesinde ilave bir denetimin yürürlükteki mevzuat, Müşteri'nin düzenleyici makamları, yetkili bir Denetim Makamı ve/veya SCC'ler (uygulanabildiği ölçüde) uyarınca kesinlikle gerekli olması hâlinde Taraflar, aksaklıkları en aza indirmek ve denetimi işbu VİS'e (ve/veya uygulanabildiği ölçüde SCC'lere) uyumu doğrulamak için gerekli konularla sınırlamak amacıyla kapsam, zamanlama ve usuller üzerinde önceden anlaşır. Yukarıdaki koşullarda yerinde denetimin makul olarak gerekli olması ve Reslify'ın Müşteri Kişisel Verilerini İşlediği ilgili tesisleri bulunması hâlinde, yerinde denetim yalnızca İşlemeyle ilgili tesislerle sınırlı olur ve yürürlükteki mevzuat, Müşteri'nin düzenleyici makamları, yetkili bir Denetim Makamı ve/veya SCC'ler (uygulanabildiği ölçüde) aksini gerektirmedikçe bir (1) iş gününü aşmaz. Müşteri; geri ödemenin yürürlükteki mevzuatça yasaklandığı veya yetkili bir makamca aksinin gerekli kılındığı hâller dışında, Reslify'ın standart belgelerinin ve makul uzaktan desteğinin ötesindeki denetimle ilişkili makul ve fiilen yapılan tüm maliyet ve giderleri, Reslify'ın o tarihte geçerli saatlik ücretleri üzerinden denetime destek için harcadığı makul süre dâhil, Reslify'a geri öder. Reslify, mevzuatın izin verdiği ölçüde, standart dışı denetim desteği için makul tahmini ücretlerin önceden ödenmesini talep edebilir. Açıklık adına, işbu Bölüm 7.3 kapsamındaki geri ödeme, saatlik ücret veya ön ödeme koşulları yalnızca Reslify'ın o tarihte geçerli standart belgelerini ve makul uzaktan iş birliğini aşan standart dışı denetim desteğine uygulanır. Reslify, yürürlükteki mevzuat, yetkili bir Denetim Makamı ve/veya SCC'ler uyarınca kesinlikle gerekli bir denetim veya incelemeyi, zorunlu denetim haklarının kullanılmasını makul olmayan şekilde geciktirecek veya engelleyecek ücretlerin ödenmesi şartına bağlamaz. Müşteri, tespit edilen her türlü uyumsuzluğu makul ayrıntı içeren bulgularla birlikte derhal Reslify'a bildirir. Müşteri; yürürlükteki mevzuat, yetkili bir Denetim Makamı veya SCC'ler bir denetim faaliyetini açıkça gerektirmedikçe, Reslify'ın makul güvenlik gerekçeleriyle verip vermemekte serbest olduğu önceden yazılı onayı olmaksızın Reslify'ın uygulamaları, web siteleri, hizmetleri, ağları veya sistemleri üzerinde güvenlik açığı taramaları ya da başka teknik, operasyonel veya sızma testleri gerçekleştiremez. İşbu Bölüm 7.3 kapsamındaki denetim veya incelemeyle bağlantılı olarak elde edilen tüm bilgiler Reslify'ın Gizli Bilgisini oluşturur ve Müşteri tarafından yalnızca işbu VİS'e uyumu doğrulamak ve/veya Veri Koruma Mevzuatı ve/veya SCC'ler (uygulanabildiği ölçüde) kapsamındaki yükümlülüklerini yerine getirmek için kullanılabilir. Taraflar, mümkün olduğu hâllerde öncelikle uzaktan yöntemleri ve mevcut üçüncü taraf raporları ile sertifikaları kullanır.

7.4 SCC'ler Kapsamındaki Denetimler. Taraflar, SCC'lerin Madde 8.9'undaki denetim yükümlülüklerinin, bu usuller SCC'lerle çelişmediği ve Madde 8.9 kapsamındaki veri aktaran haklarını azaltmadığı ölçüde, işbu VİS'in Bölüm 7.2 ve 7.3 hükümleri uyarınca yerine getirileceğini kabul eder. Bölüm 7.2 veya 7.3'teki herhangi bir usul, sınırlama veya koşulun veri aktaranın Madde 8.9 kapsamındaki haklarını azaltacağı şeklinde yorumlanması hâlinde SCC'ler, ilgili Kısıtlı Aktarım bakımından söz konusu çelişki ölçüsünde önceliklidir.

7.5 Kişisel Veri İhlalleri. Reslify, bir Kişisel Veri İhlalinden haberdar olduktan sonra gecikmeksizin Müşteri'yi bilgilendirir ve Kişisel Veri İhlaline ilişkin bilgileri erişilebilir hâle geldikçe veya Müşteri'nin makul talebi üzerine sunar. Reslify, Müşteri'nin talebi üzerine, yürürlükteki Veri Koruma Mevzuatı uyarınca yetkili makamlara ve/veya etkilenen İlgili Kişilere gerekli bildirimleri yapabilmesi için Müşteri'ye makul destek sağlar. Reslify'ın bir Kişisel Veri İhlalini bildirmesi veya buna yanıt vermesi, kusur ya da sorumluluk kabulü olarak yorumlanmaz. Müşteri'nin Veri Koruma Mevzuatı uyarınca bir Kişisel Veri İhlaline ilişkin Denetim Makamına veya başka bir kamu kurumuna, etkilenen İlgili Kişilere, kamuya ya da başkalarına bildirim yapması gerektiğine karar vermesi ve bu bildirimin Reslify'ı doğrudan veya dolaylı olarak tanımlaması hâlinde Müşteri, yürürlükteki mevzuatın izin verdiği ölçüde Reslify'a önceden bildirimde bulunur, Reslify ile iyi niyetle istişare eder ve Reslify'ın söz konusu Kişisel Veri İhlalindeki rolü veya ilgisi hakkında talep ettiği makul açıklama veya düzeltmeleri dikkate alır.

8. VERİ AKTARIMLARI

8.1 Aktarımlar; Varsayılan AB Barındırması; Sınırlı AEA Dışı Erişim.

Reslify'ın Hizmetler (Müşteri kiracısı) içinde Veri İşleyen sıfatıyla işlediği Müşteri Kişisel Verileri, ilgili Abonelik Ayrıntılarında veya bir Ekte yazılı olarak aksi kararlaştırılmadıkça, varsayılan olarak AEA'da (ör. Almanya/Frankfurt) barındırılır. Reslify, ilgili Abonelik Ayrıntılarında veya bir Ekte yazılı olarak aksi kararlaştırılmadıkça, birincil Müşteri kiracısı veri tabanının AEA dışına bölgeler arası çoğaltılmasını varsayılan olarak etkinleştirmez. İşbu VİS kapsamında destek/operasyonlar amacıyla AEA dışından uzaktan erişime izin verildiği hâllerde Reslify, riske uygun erişim kontrolleri ve güvenlik kayıtları uygular.

Açıklık adına, AEA'da varsayılan barındırma Müşteri Kişisel Verilerini Reslify'ın Veri İşleyen sıfatıyla İşlemesine uygulanır; Sınırlı Veri Sorumlusu Telemetrisi ve hesap/faturalandırma/CRM verileri dâhil olmak üzere Reslify'ın bağımsız Veri Sorumlusu sıfatıyla İşlediği ve Kapsam/Bölüm 3 ile Reslify'ın Gizlilik Politikası'nda açıklandığı şekilde ele alınan Kişisel Verilere uygulanmaz.

Reslify, Avrupa Verilerine AEA dışından erişime yalnızca Hizmetleri desteklemek, sürdürmek, güvence altına almak veya sorunlarını gidermek için kesinlikle gerekli olduğu ölçüde ve Reslify'ın erişim kontrollerine tabi olarak izin verebilir (SCC'ler gibi uygulanabilir bir aktarım mekanizması veya uygulanabilir bir yeterlilik kararı ya da diğer hukuka uygun mekanizma dâhil, ancak yalnızca Reslify ve/veya ilgili alıcının söz konusu mekanizma kapsamında sertifikalı veya başka şekilde uygun olduğu ölçüde).

Bu erişimin Kısıtlı Aktarım teşkil ettiği ölçüde Reslify, Bölüm 8 kapsamındaki uygun bir aktarım mekanizmasının (SCC'ler veya mevcutsa uygulanabilir bir yeterlilik çerçevesi gibi diğer bir hukuka uygun mekanizma dâhil) uygulanmasını sağlar.

8.2 Avrupa Verileri İçin Aktarım Güvenceleri. Reslify, Avrupa Veri Koruma Mevzuatı anlamında yeterli koruma sağladığı kabul edilmeyen bir ülkeye, bölgeye veya alıcıya Kısıtlı Aktarım teşkil eden hiçbir Avrupa Verisi aktarımını, öncelikle aktarımın Avrupa Veri Koruma Mevzuatı'na uygun olmasını sağlamak için gerekli tedbirleri uygulamadan yapmaz. Bu tedbirler, uygulanabildiği ölçüde SCC'lerin akdedilmesini, uygulanabilir bir yeterlilik kararına dayanılmasını (yalnızca Reslify ve/veya ilgili alıcının söz konusu karar kapsamında sertifikalı veya başka şekilde uygun olduğu ölçüde), bağlayıcı şirket kurallarını ve/veya GDPR kapsamındaki uygulanabilir bir istisnanın kullanılmasını içerebilir.

8.3 Tercih Sırası. Hizmetlerle bağlantılı belirli bir Kısıtlı Aktarımın yürürlükteki Veri Koruma Mevzuatı kapsamında birden fazla aktarım mekanizmasıyla kapsanabildiği hâllerde, Müşteri Kişisel Verilerinin aktarımı, uygulanabildiği ölçüde tek bir aktarım mekanizmasına tabi olur ve şu öncelik sırasına göre gerçekleştirilir: (a) Bölüm 8.4'te belirtilen AB SCC'leri; (b) Bölüm 8.5'te belirtilen BK Aktarım Eki; (c) Bölüm 8.6'da belirtilen İsviçre mekanizması ve (a), (b) veya (c) bentlerinden hiçbiri uygulanmıyorsa (d) yürürlükteki Veri Koruma Mevzuatı'nın izin verdiği diğer veri aktarım mekanizmaları. Tereddüde mahal vermemek adına, işbu Bölüm 8.3 her bir aktarım bazında uygulanır ve farklı Kısıtlı Aktarımlar bu Bölüm 8.3 uyarınca farklı mekanizmalara tabi olabilir.

8.4 AEA Kısıtlı Aktarımları ve AB SCC'leri. Bölüm 8.3'teki öncelik sırası uyarınca, işbu VİS kapsamındaki Avrupa Verilerinin İşlenmesinin Müşteri'den Reslify'a bir AEA Kısıtlı Aktarımını içerdiği ölçüde Taraflar, atıf yoluyla işbu VİS'e dâhil edilen, Cetvel 4'ün 1. Kısmı uyarınca tamamlanmış sayılan ve ilgili Kısıtlı Aktarım bakımından Taraflarca akdedilmiş sayılan AB SCC'lerine uyar.

8.5 BK Kısıtlı Aktarımları ve BK Aktarım Eki. Bölüm 8.3'teki öncelik sırası uyarınca, işbu VİS kapsamındaki Avrupa Verilerinin İşlenmesinin Müşteri'den Reslify'a bir BK Kısıtlı Aktarımını içerdiği ölçüde Taraflar, BK Aktarım Eki aracılığıyla BK GDPR'ın gerekliliklerini karşılayacak şekilde uyarlanan, atıf yoluyla işbu VİS'e dâhil edilen, Cetvel 4'ün 2. Kısmı uyarınca tamamlanmış sayılan ve ilgili Kısıtlı Aktarım bakımından Taraflarca akdedilmiş sayılan AB SCC'lerine uyar.

8.6 İsviçre Kısıtlı Aktarımları. Bölüm 8.3'teki öncelik sırası uyarınca, işbu VİS kapsamında Müşteri Kişisel Verilerinin İşlenmesinin İsviçre'den Reslify'a bir Kısıtlı Aktarım içerdiği ölçüde Taraflar, uygulanabildiği hâllerde İsviçre için gerektiği şekilde tamamlanan veya uyarlanan, atıf yoluyla işbu VİS'e dâhil edilen ve ilgili Kısıtlı Aktarım bakımından Cetvel 4'ün 3. Kısmı uyarınca tamamlanmış sayılan AB SCC'leri dâhil olmak üzere, İsviçre Veri Koruma Mevzuatı kapsamında hukuka uygun aktarıma izin veren uygun bir aktarım güvencesi uygular.

8.7 Diğer Ülkeler. Müşteri Kişisel Verilerinin herhangi bir yurt dışına aktarımının Avrupa dışındaki Veri Koruma Mevzuatı uyarınca aktarım kısıtlamalarına veya özel güvencelere tabi olduğu ölçüde Taraflar, işbu VİS'in uygulanabilir Cetvellerinde belirtilen veya başka şekilde Taraflarca yazılı olarak kararlaştırılanlar dâhil olmak üzere, bu mevzuatça tanınan hukuka uygun bir aktarım mekanizmasını uygulamak ve buna uymak için iyi niyetle iş birliği yapar.

8.8 Alternatif Aktarım Mekanizmasının Benimsenmesi. Reslify, Müşteri'ye bildirimde bulunarak işbu VİS'i değiştirebilir ve işbu Bölüm 8'de atıf yapılan aktarım mekanizmasını (uygulanabildiği hâllerde SCC'ler ve/veya BK Aktarım Eki dâhil) şu mekanizmalardan biriyle değiştirebilir: (i) ilgili SCC'lerin ve/veya ekin (uygulanabildiği ölçüde) usulüne uygun tamamlanmış ve dâhil edilmiş yeni, güncellenmiş veya halef şekli ya da (ii) Avrupa Verilerinin (ve/veya aktarım kısıtlamalarına tabi diğer Müşteri Kişisel Verilerinin) yürürlükteki Veri Koruma Mevzuatı'na uygun olarak hukuka uygun aktarımının devamını sağlayan başka bir hukuka uygun aktarım mekanizması (SCC'ler dışında).

8.9 İmzalanmış SCC'lerin Sağlanması. AB SCC'lerine dayanan herhangi bir Kısıtlı Aktarım bakımından Müşteri'nin ilgili SCC'lerin imzalanmış bir nüshasını bir Denetim Makamına veya İlgili Kişiye sunması gerektiğinde ve Müşteri bu gerekliliği gösteren makul destekleyici kanıtla birlikte belirli bir yazılı talep sunduğunda Reslify, ilgili SCC'lerin Cetvel 4 uyarınca uygulanabildiği şekilde tamamlanmış ve Reslify tarafından imzalanmış bir nüshasını, Müşteri'nin karşı imzası ve devamında sunması ve/veya uyum kanıtı olarak saklaması için Müşteri'ye sağlar.

8.10 Aktarım Değerlendirmeleri; Kamu Makamlarının Erişim Talepleri; Tamamlayıcı Tedbirler. Reslify, yürürlükteki Veri Koruma Mevzuatı uyarınca gerekli olduğu ölçüde (uygulanabildiği hâllerde aktarım etki değerlendirmelerini, aktarım risk değerlendirmelerini veya benzer değerlendirmeleri desteklemek dâhil), Müşteri'nin makul yazılı talebi üzerine Reslify'ın makul şekilde erişebildiği ve Kısıtlı Aktarımla ilgili İşlemeye ilişkin şu bilgileri sağlar: (a) uygulanabilir aktarım mekanizmaları ve roller, (b) İşlemeye dâhil Alt Veri İşleyen kategorileri ve konumları ve (c) Reslify'ın teknik ve organizasyonel tedbirlerinin (Cetvel 3'tekiler dâhil) ve ilgili politikalarının üst düzey açıklaması. Reslify'ın yükümlülüğü, makul şekilde erişebildiği bilgilerle sınırlı olup sistemlerin veya Kişisel Verilerin güvenliğini, gizliliğini, bütünlüğünü ya da erişilebilirliğini tehlikeye atacak veya hukuki imtiyaza, ticari sırlara ya da üçüncü taraf gizlilik kısıtlamalarına tabi bilgileri açıklamasını gerektirmez.

Reslify, hukuken izin verildiği hâllerde, Kısıtlı Aktarımla bağlantılı Avrupa Verilerinin açıklanmasına (veya bunlara erişime) ilişkin bir kamu makamından gelen hukuken bağlayıcı talepleri Müşteri'ye bildirir ve uygun ve izin verilebilir olduğunu makul şekilde belirlediği hâllerde bu talebe itiraz eder veya uygun koruyucu tedbirler talep eder. Reslify, Hizmetlerin niteliğini ve makul şekilde erişebildiği bilgileri dikkate alarak, Kısıtlı Aktarım için gerekli olduğu hâllerde tamamlayıcı tedbirler (teknik, organizasyonel ve sözleşmesel tedbirler dâhil) uygulayabilir. İşbu Bölüm 8.10 kapsamındaki standart dışı, önemli ölçüde mühendislik veya hukuk emeği gerektiren ya da Hizmetlerin standart işlevselliğinin ötesine geçen destek, mevzuatın izin verdiği ölçüde Reslify'ın o tarihte geçerli ücretleri üzerinden makul ücrete tabi olabilir.

8.11 Veri Sorumlusu Aktarımları (Hesap/Faturalandırma/CRM ve Sınırlı Veri Sorumlusu Telemetrisi). İşbu Bölüm 8, Reslify'ın işbu VİS kapsamında Veri İşleyen sıfatıyla İşlediği Müşteri Kişisel Verilerine uygulanır. Reslify'ın bağımsız Veri Sorumlusu sıfatıyla İşlediği Kişisel Veriler (hesap düzeyinde kayıt/idare, faturalandırma/abonelik/CRM iletişim verileri ve Sınırlı Veri Sorumlusu Telemetrisi dâhil), buradaki aktarım açıklamaları dâhil Reslify'ın Gizlilik Politikası'na ve uygulanabilir diğer bildirimlere tabidir.

Bu tür Veri Sorumlusu İşlemesinin, yürürlükteki Veri Koruma Mevzuatı uyarınca aktarım kısıtlamalarına tabi yurt dışına aktarımları veya uzaktan erişimi içerdiği hâllerde Reslify, bu aktarımlar için uygun bir aktarım mekanizması ve güvenceleri uygular ve sürdürür (uygulanabildiği ölçüde SCC'ler, uygulanabilir bir yeterlilik kararı —yalnızca Reslify ve/veya ilgili alıcının bu karar kapsamında sertifikalı veya başka şekilde uygun olduğu ölçüde— ve/veya mevzuatın izin verdiği diğer hukuka uygun mekanizmalar dâhil). Açıklık adına, işbu Bölüm 8.11'in hiçbir hükmü Reslify'ın işbu VİS kapsamındaki Veri İşleyen rolünü genişletmez veya Veri Sorumlusu İşlemesini Müşteri adına İşlemeye dönüştürmez.

Reslify, bağımsız Veri Sorumlusu sıfatıyla İşlediği Kişisel Veriler (hesap düzeyinde kayıt/idare, faturalandırma/abonelik/CRM iletişim verileri ve Sınırlı Veri Sorumlusu Telemetrisi dâhil) bakımından, gerektiği hâllerde yurt dışına aktarımlara ve uygulanabilir aktarım mekanizmalarına ilişkin açıklamalar dâhil yürürlükteki Veri Koruma Mevzuatı'nın gerektirdiği bilgileri Gizlilik Politikası ve uygulanabilir diğer bildirimler aracılığıyla sunar ve bu aktarımlar için işbu Bölüm 8.11'de açıklanan uygun güvenceleri uygular ve sürdürür.

8.12 Aktarım Mekanizmasının Uygulanabilirliği; Yedek Mekanizma. Taraflar, işbu VİS uyarınca dâhil edilen ve tamamlanan SCC'lerin (ve uygulanabildiği hâllerde BK Aktarım Eki ve/veya İsviçre Eki'nin), yalnızca ilgili Kısıtlı Aktarım için yürürlükteki Veri Koruma Mevzuatı kapsamında geçerli ve etkili bir aktarım mekanizması teşkil ettikleri ölçüde uygulanmasını amaçlar.

Tarafların herhangi bir Kısıtlı Aktarım için atıf yapılan mekanizmanın geçerli, etkili veya kullanılabilir olmadığını makul şekilde belirlemesi hâlinde (mevzuattaki veya bağlayıcı rehberlerdeki değişiklikler, yetkili bir makam veya mahkeme kararı ya da ilgili aktarım senaryosu için farklı bir aktarım aracının gerekmesi dâhil ancak bunlarla sınırlı olmamak üzere) Taraflar, yürürlükteki Veri Koruma Mevzuatı'na uygun şekilde hukuka uygun aktarımın devamını sağlayan alternatif bir hukuka uygun aktarım mekanizmasını ve/veya tamamlayıcı tedbirleri derhal uygulamak için iyi niyetle iş birliği yapar.

Reslify, söz konusu alternatif mekanizma ve/veya tamamlayıcı tedbirler uygulanana kadar, yürürlükteki mevzuata uymak için gerekli olduğu ölçüde ve Müşteri'ye bildirimde bulunarak ilgili aktarımı ve/veya etkilenen özellikleri askıya alabilir ya da sınırlayabilir; mevzuatın izin verdiği ölçüde bundan dolayı sorumlu olmaz.

9. SORUMLULUĞUN SINIRLANDIRILMASI

Her bir Tarafın ve ilgili İştiraklerinin işbu VİS'ten doğan veya bununla bağlantılı toplam ve birikimli sorumluluğu, sözleşme, haksız fiil veya diğer herhangi bir hukuki temele dayanıp dayanmadığına bakılmaksızın, Sözleşme'de düzenlenen sorumluluk sınırlaması hükümlerine tabi olur. Bu sınırlamanın uygulanması amacıyla, Sözleşme'de bir Tarafın sorumluluğuna yapılan her türlü atıf, o Tarafın ve İştiraklerinin işbu VİS dâhil Sözleşme kapsamındaki toplam sorumluluğunu içeriyor sayılır. İşbu Bölüm 9'un hiçbir hükmü, SCC'lerin uygulandığı ölçüde, SCC'lerin üçüncü taraf lehtar hükümleri kapsamında İlgili Kişilere karşı herhangi bir sorumluluğu sınırlamaz veya başka şekilde etkilemez. Müşteri'nin Bölüm 2.5 kapsamındaki tazminat yükümlülükleri, Sözleşme'de açıkça aksi belirtilmedikçe veya emredici mevzuat bu sınırlamayı yasaklamadıkça, Sözleşme'deki sorumluluk sınırlamasına tabidir.

10. FESİH

İşbu VİS, Sözleşme'nin sona ermesine veya feshedilmesine kadar yürürlükte kalır. Sözleşme'nin sona ermesi veya feshi üzerine Reslify, Müşteri'nin yazılı tercihine göre, yürürlükteki mevzuatın saklamayı gerektirdiği hâller dışında tüm Müşteri Kişisel Verilerini (kopyaları dâhil) siler veya iade eder. İşbu VİS'in niteliği gereği fesih sonrasında da yürürlükte kalması amaçlanan bölümleri (gizlilik ve silme/iade yükümlülükleri dâhil), söz konusu silme veya iade tamamlanana kadar yürürlükte kalır. Müşteri, Sözleşme'nin sona ermesini veya feshini izleyen otuz (30) gün içinde tercihini belirtmezse Reslify, yürürlükteki mevzuatın saklamayı gerektirdiği hâller dışında Müşteri Kişisel Verilerini siler. Yukarıdaki hükümlere bakılmaksızın, Müşteri Kişisel Verileri Reslify'ın yedek saklama planları uyarınca sınırlı bir süre rutin yedeklerde tutulabilir ve yürürlükteki mevzuata uymak veya hukuki talepleri ileri sürmek, kullanmak ya da savunmak için gerekli olduğu ölçüde saklanabilir; ancak bu şekilde saklanan veriler işbu VİS kapsamında korunmaya devam eder.

11. CALIFORNIA TÜKETİCİ GİZLİLİĞİ YASASI (CCPA/CPRA)

Aşağıdaki hükümler, Reslify'ın Müşteri adına İşlediği tüm Kişisel Bilgilere (CCPA/CPRA kapsamında tanımlandığı üzere) uygulanır.

11.1 Sıfat; Sınırlı Amaç; Uyum. Taraflar, Reslify'ın söz konusu Kişisel Bilgiler bakımından CCPA/CPRA kapsamında “hizmet sağlayıcı” (ve uygulanabildiği hâllerde “yüklenici”) olarak hareket etmesini amaçlar. Reslify; Müşteri'nin Kişisel Bilgileri yalnızca Sözleşme'de açıklanan sınırlı ve belirli ticari amaçlarla Reslify'a açıkladığını kabul eder; CCPA/CPRA kapsamındaki uygulanabilir yükümlülüklerine uyar ve söz konusu Kişisel Bilgiler için en az CCPA/CPRA'nın gerektirdiği düzeyde gizlilik koruması sağlar; CCPA/CPRA kapsamındaki yükümlülüklerini artık yerine getiremeyeceğine karar verirse beş (5) iş günü içinde Müşteri'yi yazılı olarak bilgilendirir ve Müşteri'nin, bildirim üzerine (bu bildirimden sonra olanlar dâhil), Kişisel Bilgilerin yetkisiz kullanımını durdurmaya ve gidermeye yardımcı olacak makul ve uygun adımlar atabileceğini kabul eder.

11.2 CCPA/CPRA Uyum Denetimi. Müşteri, Reslify'ın Kişisel Bilgileri İşlemesinin işbu Bölüm 11 ve CCPA/CPRA kapsamındaki yükümlülükleriyle uyumlu olduğunu doğrulamak için Bölüm 7.3 uyarınca denetim gerçekleştirebilir.

11.3 Kullanım ve Açıklama Kısıtlamaları. Reslify, Kişisel Bilgileri satmaz veya paylaşmaz; Kişisel Bilgileri Hizmetleri sunmak ve Sözleşme'de belirtilen ticari amaçlar dışında veya CCPA/CPRA'nın başka şekilde izin verdiği hâller haricinde tutmaz, kullanmaz veya açıklamaz; Kişisel Bilgileri Taraflar arasındaki doğrudan ticari ilişkinin dışında tutmaz, kullanmaz veya açıklamaz ve Müşteri'den ya da Müşteri adına alınan Kişisel Bilgileri, başka bir kişi tarafından veya adına alınan ya da Reslify'ın ilgili Tüketiciyle kendi etkileşimleri yoluyla topladığı Kişisel Bilgilerle CCPA/CPRA'nın izin verdiği hâller dışında birleştirmez. Reslify, işbu Bölüm 11.3'te belirtilen kısıtlamaları anladığını ve bunlara uyacağını teyit eder.

11.4 Alt Veri İşleyen Bildirimi. Taraflar, Reslify'ın Bölüm 6 uyarınca Alt Veri İşleyenlere ilişkin Müşteri'ye yaptığı bildirimin, CCPA/CPRA kapsamındaki Alt Veri İşleyen görevlendirme bildirim yükümlülüğünü karşıladığını kabul eder.

11.5 İlişkinin Kabulü. Taraflar, Reslify'ın Sözleşme'deki Müşteri'nin belgelendirilmiş talimatları doğrultusunda Kişisel Bilgileri tutmasının, kullanmasının ve açıklamasının Hizmetleri sunması için gerekli olduğunu ve Taraflar arasındaki ticari ilişkinin ayrılmaz bir parçasını oluşturduğunu kabul eder.

11.6 Diğer ABD Eyalet Gizlilik Mevzuatı. Yürürlükteki herhangi bir ABD eyalet gizlilik veya tüketici verilerini koruma mevzuatının (CCPA/CPRA hariç) (“ABD Eyalet Gizlilik Mevzuatı”) Sözleşme kapsamında Müşteri Kişisel Verilerinin İşlenmesine uygulandığı ölçüde Reslify, söz konusu mevzuatın gerektirdiği ölçüde: (a) Müşteri Kişisel Verilerini yalnızca Müşteri'nin belgelendirilmiş talimatları doğrultusunda ve Sözleşme'de açıklanan amaçlarla İşler; (b) söz konusu verileri İşlemeye yetkili personelin uygun gizlilik yükümlülüklerine tabi olmasını sağlar; (c) uygun teknik ve organizasyonel tedbirleri uygular ve sürdürür; (d) Müşteri'nin tüketici/ilgili kişi hak taleplerine yanıt verebilmesini ve uygulanabilir hukuki yükümlülüklerini yerine getirmesini sağlamak için Müşteri'nin talebi üzerine makul destek sunar (gerekli olduğu hâllerde veri koruma değerlendirmelerine yardım dâhil); (e) Alt Veri İşleyenlerle işbu VİS'te belirtilenlerden daha az koruyucu olmayan yükümlülükler getiren yazılı sözleşmeler akdeder ve (f) uyumu göstermek için makul ölçüde gerekli bilgileri erişime sunar ve Bölüm 7 uyarınca denetimlere izin verir. Tereddüde mahal vermemek adına, Reslify'ın silme/iade yükümlülükleri Bölüm 10'da belirtilmiştir.

11.7 Sınırlı Veri Sorumlusu Telemetrisi (CCPA/CPRA Açıklaması). Bölüm 3'te açıklanan Sınırlı Veri Sorumlusu Telemetrisi, CCPA/CPRA'ya tabi Kişisel Bilgiler içerdiği ölçüde Reslify bunu tanımlanabilir biçimde yalnızca sınırlı güvenlik, bütünlük, kötüye kullanım veya dolandırıcılığın önlenmesi, olay müdahalesi, hukuka uyum, faturalandırma, sözleşme yönetimi veya hukuki talep amacı için gerekli asgari ölçüde ve uygun erişim kontrollerine tabi olarak İşler. Reslify, kendi genel ürün analitiği ve hizmet geliştirmesi için yalnızca toplulaştırılmış veya kimlikten arındırılmış verileri kullanır. Reslify hiçbir durumda söz konusu Kişisel Bilgileri satmaz veya paylaşmaz, farklı bağlamlar arası davranışsal reklamcılık amacıyla İşlemez, Müşteriler arasında profil oluşturmaz veya tanımlanabilir Kişisel Bilgileri Müşteriler arasında birleştirmez; ancak CCPA/CPRA'nın güvenlik ve dolandırıcılığı önleme bakımından açıkça izin verdiği ve Bölüm 11.3'le uyumlu olan hâller saklıdır.

12. GENEL HÜKÜMLER

12.1 Güncellemeler. Reslify, işbu VİS'i zaman zaman ileriye etkili olarak değiştirebilir veya güncelleyebilir. Reslify; Müşteri'nin haklarını veya Reslify'ın işbu VİS ya da yürürlükteki Veri Koruma Mevzuatı kapsamındaki yükümlülüklerini önemli ölçüde azaltmamak kaydıyla, önemsiz güncellemeler, açıklamalar, idari değişiklikler ve mevzuat, rehberlik, güvenlik uygulamaları, Alt Veri İşleyenler, aktarım mekanizmaları veya Hizmetlerdeki değişiklikleri yansıtmak için gereken güncellemeleri yapabilir.

Reslify, yürürlükteki Veri Koruma Mevzuatı'na veya yetkili bir makamın bağlayıcı rehber/kararlarına uymak, bir güvenlik, dolandırıcılık, kötüye kullanımın önlenmesi veya operasyonel bütünlük riskini ele almak ya da Hizmetlerin sunulmasının devamı için gerekli kritik bir üçüncü taraf hizmet sağlayıcısının getirdiği gereklilikleri karşılamak amacıyla daha kısa bir bildirim süresinin makul olarak gerekli olduğu hâller dışında, işbu VİS'teki önemli bir güncellemeyi en az otuz (30) gün önceden Müşteri'ye yazılı olarak bildirir.

Müşteri'den yeni belgelendirilmiş talimatlar gerektiren, Müşteri Kişisel Verileri kategorilerini, İlgili Kişi kategorilerini, İşleme amaçlarını veya Reslify'ın İşleme rolünü işbu VİS'in ötesinde önemli ölçüde genişleten ya da Kısıtlı Aktarım hükümlerini işbu VİS'in zaten izin vermediği bir şekilde önemli ölçüde değiştiren bir güncelleme, yalnızca Müşteri'nin bunu yazılı veya elektronik olarak kabul etmesi ya da güncellemenin yürürlükteki mevzuatça zorunlu olması hâlinde Müşteri'ye uygulanır. Müşteri'nin yürürlük tarihinden önce veri koruma gerekçeleriyle makul şekilde itiraz etmesi hâlinde Taraflar, itirazı ele almak için iyi niyetle iş birliği yapar. İtiraz çözülemezse Reslify, Müşteri'nin tek ve münhasır başvuru yolu olarak, etkilenen yeni özelliği sunmamayı, mevcutsa makul bir geçici çözüm sunmayı veya Müşteri'nin etkilenen özelliği kullanmayı bırakmasına ya da etkilenen Hizmetleri o tarihte geçerli faturalandırma döneminin sonunda, emredici mevzuatın gerektirdiği hâller dışında iade olmaksızın feshetmesine izin vermeyi seçebilir. İşbu Bölüm 12.1, Müşteri'nin yürürlükteki mevzuat kapsamındaki emredici haklarını sınırlamaz.

Tereddüde mahal vermemek adına, işbu VİS'e yapılacak hiçbir güncelleme, Bölüm 8.8'de açıkça izin verilmedikçe ve/veya yetkili bir makam uygulanabilir aktarım mekanizmasının güncellenmesini zorunlu kılmadıkça, Tarafların karşılıklı yazılı mutabakatı olmaksızın SCC'leri veya BK Aktarım Eki'ni değiştirmez ya da bunların yerine geçmez. İşbu Bölüm 12.1 kapsamındaki bildirimler, Bölüm 12.2 ve Sözleşme'nin bildirim hükümleri uyarınca e-postayla yapılabilir. İşbu Bölüm 12.1'in hiçbir hükmü, SCC'ler ve/veya BK Aktarım Eki (uygulanabildiği ölçüde) ya da emredici mevzuat kapsamındaki hak veya yükümlülükleri sınırlamaz ya da azaltmaz.

12.2 Bildirimler; İletişim Bilgileri. İşbu VİS bakımından her Tarafın gizlilikle ilgili bildirimlere yönelik iletişim bilgileri aşağıdaki gibidir ve taraflardan biri diğerine yazılı bildirimde bulunarak bunları güncelleyebilir: Reslify için privacy@reslify.com; Müşteri için Sözleşme'nin bildirim hükümlerinde Müşteri tarafından belirtilen iletişim bilgileri veya burada belirtilmemişse Müşteri'nin hesap kaydıyla bağlantılı birincil iletişim bilgileri ya da Müşteri'nin Reslify'a yazılı olarak en son bildirdiği bilgiler.

12.3 Mutabakatın Bütünlüğü. İşbu VİS, Müşteri Kişisel Verilerinin İşlenmesi ve Tarafların yürürlükteki Veri Koruma Mevzuatı'yla bağlantılı ilgili yükümlülüklerine ilişkin Tarafların mutabakatının tamamını oluşturur ve bu konuya ilişkin önceki veya eş zamanlı tüm mutabakatların yerini alır.

12.4 Uygulanacak Hukuk; Yargı Yetkisi. SCC'lerde aksi öngörülmedikçe (uygulandıkları ölçüde), işbu VİS'ten doğan veya bununla bağlantılı her türlü uyuşmazlık veya talep bakımından işbu VİS'e Sözleşme'de düzenlenen hukuk seçimi ve yetkili merci hükümleri uygulanır ve Taraflar bunlara tabi olmayı kabul eder.

12.5 Aktarım Belgeleri İçin Öncelik Sırası. Müşteri Kişisel Verilerinin İşlenmesine ilişkin olarak işbu VİS ile Sözleşme arasında bir çelişki veya tutarsızlık olması hâlinde işbu VİS önceliklidir. İşbu VİS ile SCC'ler ve/veya BK Aktarım Eki (uygulanabildiği ölçüde) arasında çelişki veya tutarsızlık olması hâlinde, ilgili Kısıtlı Aktarım bakımından çelişki ölçüsünde SCC'ler ve/veya BK Aktarım Eki önceliklidir.

12.6 Dil. İşbu VİS'in aslı İngilizce hazırlanmıştır. Her türlü çeviri yalnızca kolaylık sağlamak amacıyla sunulur ve işbu VİS'in yorumlanmasında esas alınamaz. Emredici mevzuatın aksini gerektirdiği ölçü ve yalnızca o ölçü dışında, herhangi bir tutarsızlık hâlinde İngilizce sürüm önceliklidir.

12.7 Aktarım Belgelerine Erişim. Reslify, AB SCC'lerinin ((AB) 2021/914 sayılı Komisyon Uygulama Kararı) tam metnini ve uygulanabildiği hâllerde BK Aktarım Eki ve/veya İsviçre Eki'ni (her biri Cetvel 4'te atıf yapıldığı üzere) talep üzerine ve/veya Reslify'ın standart sözleşme arşivi, müşteri portalı ya da diğer makul yollar aracılığıyla Müşteri'nin erişimine sunar.

Taraflar, söz konusu aktarım belgelerinin işbu VİS'in bir parçasını oluşturduğunu ve burada belirtildiği üzere atıf yoluyla dâhil edildiğini kabul eder. Açıklık adına Reslify, Bölüm 8.9 veya emredici mevzuat açıkça gerektirmedikçe söz konusu belgelerin ayrı ayrı imzalanmış kâğıt nüshalarını sunmak zorunda değildir.

CETVEL 1

Dâhil Etme. İşbu Cetvel 1, Reslify ile Müşteri arasındaki 16 Temmuz 2026 tarihli Veri İşleme Sözleşmesi'nin (“VİS”) bir parçasını oluşturur ve ona dâhil edilmiştir. Çelişki hâlinde VİS'teki öncelik sırası uygulanır.

İşlemenin Ayrıntıları (Müşteri Kişisel Verileri)

A. VERİ AKTARAN (MÜŞTERİ) BİLGİLERİ

Adı: Tıklamalı kabul kaydında ve Müşteri hesap kayıt/profil bilgilerinde belirtildiği üzere (Müşteri'nin bildirdiği sözleşme tarafının ticaret unvanı dâhil). Adresi: Tıklamalı kabul kaydında belirtildiği ve/veya Müşteri tarafından hesap kayıt/profil ya da faturalandırma bilgilerinde sunulduğu üzere. Veri Koruma / Gizlilik İletişim Bilgileri: Birincil hesap yöneticisinin e-posta adresi ve/veya Müşteri'nin hesap profilinde sunduğu (veya başka şekilde Reslify'a yazılı olarak bildirdiği) gizlilik iletişim bilgileri. Müşteri Faaliyetleri: Müşteri'nin işbu VİS'le ilgili faaliyetleri; rezervasyonları ve yer ayırtmaları yönetmek, kullanılmayan rezervasyonları azaltmak (depozitolar, ön ödemeler, kayıtlı ödeme yöntemlerini kullanan kart garantileri ve sonradan uygulanabilecek iptal/kullanılmayan rezervasyon ücretleri ve ayrıca ayrı olarak etkinleştirildiğinde provizyon blokeleri dâhil), etkinlikleri/deneyimleri satmak ve sunmak, Mekân tarafından düzenlenen hediye kartlarını teklif etmek, teslim etmek ve kullandırmak, menü içeriğini içe aktarmak ve yönetmek (YZ Menü İçe Aktarma dâhil), ön ödeme kabul etmek, bilet/teyit düzenlemek ve desteklenen entegrasyonlar dâhil olmak üzere ilgili Misafir iletişimlerini ve operasyonel iş akışlarını yönetmek amacıyla Hizmetleri ticari faaliyetlerinin bir parçası olarak kullanmaktan oluşur. Rolü: Müşteri'nin Müşteri Kişisel Verilerinin kendi adına Veri Sorumlusu olduğu hâllerde Veri Sorumlusu; Müşteri'nin başka bir kişi adına (uygulanabildiği hâllerde İştirakleri dâhil) Veri İşleyen sıfatıyla hareket ettiği hâllerde Veri İşleyen.

B. VERİ ALICISI (Reslify) BİLGİLERİ

Adı: Reslify LLC (“Reslify”) Kuruluş yeri: Delaware, Amerika Birleşik Devletleri Adresi: 8 The Green, Suite B, Dover, DE 19901, USA Veri Koruma / Gizlilik İletişim Bilgileri: privacy@reslify.com Reslify Faaliyetleri: Reslify, konaklama ve ağırlama işletmeleri ile benzer mekânlara; (i) rezervasyonları ve yer ayırtmaları yönetmek, (ii) depozitolar, ön ödemeler, kayıtlı ödeme yöntemlerini kullanan kart garantileri ve sonradan uygulanabilecek iptal/kullanılmayan rezervasyon ücretleri ve ayrıca ayrı olarak etkinleştirildiğinde provizyon blokeleri yoluyla kullanılmayan rezervasyonları azaltmak, (iii) biletli etkinlik ve deneyimleri satmak ve sunmak, (iv) Mekân tarafından düzenlenen hediye kartlarını teklif etmek, teslim etmek ve kullandırmak, (v) YZ Menü İçe Aktarma dâhil menü içeriğini içe aktarmak ve yönetmek, (vi) ön ödeme kabul etmek ve (vii) Sözleşme'de açıklandığı üzere üçüncü taraf hizmet ve yüzeylerle (“Google ile Rezervasyon” ve diğer desteklenen entegrasyonlar dâhil) bütünleşmek için işletmeden işletmeye bir hizmet olarak yazılım platformu sunar. Rolü: Bölüm 3'te açıklanan dar kapsamlı Veri Sorumlusu İşlemesi saklı kalmak kaydıyla, işbu VİS kapsamında Müşteri adına işlenen Müşteri Kişisel Verileri bakımından Veri İşleyen.

C. VERİ İŞLEME AYRINTILARI

Konu. İşbu VİS kapsamındaki İşlemenin konusu Müşteri Kişisel Verileridir.

İşleme Süresi. Reslify ile Müşteri arasındaki ilişkide işbu VİS kapsamındaki İşleme süresi, Müşteri'nin Hizmetleri kullanımına göre belirlenir; ancak genel olarak Müşteri Kişisel Verileri Sözleşme süresince ve sonrasında Taraflar arasındaki ilişkinin sona erdirilmesi ve Müşteri Kişisel Verilerinin Sözleşme ve işbu VİS uyarınca iade edilmesi veya silinmesi için makul şekilde gerekli asgari süre boyunca ya da yürürlükteki mevzuatın gerektirdiği süre boyunca İşlenir.

İşlemenin Niteliği. Müşteri Kişisel Verilerinin, Sözleşme'de açıklanan Hizmetleri ve ilgili desteği sunmak için gerekli olduğu şekilde saklanması ve başka şekilde İşlenmesi.

Aktarım sıklığı (uygulanabildiği hâllerde). Müşteri ve son kullanıcıların Hizmetler aracılığıyla veri sunup verilere erişmesi ve Hizmetlerin sunulması ile güvence altına alınması için gerekli operasyonel günlüklerin/telemetrinin Hizmetlerce oluşturulması doğrultusunda sürekli ve olay bazlı.

İşleme faaliyetleri. Toplama, kaydetme, düzenleme, yapılandırma, saklama, elde etme, inceleme, kullanma, iletim yoluyla açıklama (Müşteri yapılandırması ve entegrasyonların başlattığı şekilde), hizalama/birleştirme (Müşteri kiracısı içinde), kısıtlama, silme ve imha.

Saklama ve silme (özet). Müşteri Kişisel Verileri, Sözleşme süresince ve Bölüm 10 kapsamında silme/iade tamamlanana kadar saklanır. Fesih ve Müşteri'nin tercihi (veya varsayılan silme) üzerine Reslify, daha uzun bir süre yürürlükteki mevzuat veya hukuki talepler için gerekli olmadıkça, Müşteri Kişisel Verilerini ticari açıdan makul bir süre içinde, tipik olarak 90 gün içinde aktif üretim sistemlerinden siler. Rutin yedeklerde saklanan veriler korunur ve hizmete özgü, döngüsel planlara göre sona erer veya üzerine yazılır. Silinen veriler, planlanan sona erme zamanına kadar korunan yedeklerde kalabilir ve kurtarma dışında geri yüklenmez; geri yükleme sonrasında uygulanabilir silme veya kısıtlama kontrolleri yeniden uygulanır. Reslify, tüm veri kümeleri için tek bir yedekleme süresi kullanıldığını beyan etmez. Bu Cetvelde belirtilen hâllerde özelliklere özgü daha kısa süreler uygulanır; bunlar arasında YZ Asistanı oturumları için en fazla 24 saat, YZ Menü İçe Aktarma kaynak dosyaları ve iş kayıtları için en fazla yedi (7) gün ve mobil anlık bildirim cihaz kayıtları için en son kayıt veya yenilemeden itibaren 90 gün yer alır. Olağan operasyonel uygulama ve API günlükleri, erişim kontrollü birincil kayıt sistemlerinde en fazla 30 gün saklanır. Yalnızca seçilmiş, açıkça sınıflandırılmış ve asgariye indirilmiş güvenlik, ödeme ve uyuşmazlık delili olayları, Cetvel 3'te açıklanan erişim kontrollü delil arşivinde en fazla 400 gün saklanabilir. İlgili deliller yalnızca belgelendirilmiş, vakaya özgü bir hukuki muhafaza kapsamında veya yürürlükteki mevzuata uymak ya da hukuki talepleri ileri sürmek, kullanmak veya savunmak için gerekli olduğunda daha uzun süre saklanabilir.

D. İLGİLİ KİŞİ KATEGORİLERİ, MÜŞTERİ KİŞİSEL VERİSİ TÜRLERİ VE AMAÇLAR — Reslify HİZMETİ/MODÜLÜNE GÖRE

| Reslify Hizmeti / Modülü | İlgili Kişi Kategorileri | Müşteri Kişisel Verisi Türleri | İşlemenin Amacı | | ----- | ----- | ----- | ----- | | YZ Asistanı (etkinse) | Misafire yönelik rezervasyon deneyimini kullanan Mekân misafirleri/yemek müşterileri; Müşteri tarafından yapılandırılan içeriklerinin bağlam olarak kullanıldığı ölçüde Müşteri personeli/kullanıcıları | Misafir mesajları ve bunlarda yer alan kişisel veriler; rezervasyon sürecinin durumu (talep edilen tarih, saat, kişi sayısı, müsaitlik, seçilen seçenekler ve serbest metin notları gibi); sınırlı önceki konuşma bağlamı; Müşteri tarafından yapılandırılan mekân bilgileri, teklifler, politikalar, işletme bilgileri ve rezervasyon içeriği; oturum tanımlayıcıları ve dil tercihi | Dayanağı olan rezervasyon desteği üretmek, Misafir sorularını yanıtlamak, bağlayıcı olmayan rezervasyon akışı eylemleri veya taslak değişiklikler önermek, kısa ömürlü konuşma bağlamını sürdürmek ve YZ Özelliğini işletmek ve güvence altına almak; Hizmetlerde ilgili onay verilmeden hiçbir rezervasyon, bekletme, ödeme veya rezervasyonu etkileyen başka bir işlem tamamlanmaz | | YZ Destekli Menü İçe Aktarma (etkinse) | Müşteri personeli/kullanıcıları; bilgileri Müşteri tarafından yüklenen bir menü kaynağında bulunan kişiler | Yüklenen menü dosyaları ve görselleri; dosya adları, dosya türleri ve dosya üst verileri; çıkarılan metin; menü adları, kategoriler, ürün adları, açıklamalar, fiyatlar, beslenme veya kaynak etiketleri; üretilen yapılandırılmış menü taslakları; iş tanımlayıcıları, durum, uyarılar ve hata bilgileri | Menü bilgilerini çıkarmak ve yapılandırmak, Müşteri incelemesi için düzenlenebilir bir taslak oluşturmak ve yalnızca ilgili Müşteri işlemi veya onayından sonra menü içeriği oluşturmak ya da güncellemek; kaynak dosyalar ve içe aktarma işi kayıtlarının en fazla yedi (7) gün sonra sona ermesi planlanır | | Mekân Profili ve Medya | Müşteri personeli/kullanıcıları; Müşteri'nin yüklediği medyada kimliği belirlenebilen kişiler | Mekân adları, açıklamalar, adresler, iletişim bilgileri, web sitesi ve değerlendirme bağlantıları, coğrafi koordinatlar, açılış/hizmet bilgileri, logolar, profil görselleri, deneyim görselleri, hediye kartı görselleri, menü görselleri ve ilgili dosya ve varlık üst verileri | Müşteri mekân profillerini ve tekliflerini yapılandırmak ve yayımlamak; Müşteri medyasını Hizmetler aracılığıyla saklamak, işlemek, dönüştürmek, önbelleğe almak ve sunmak | | Rezervasyonlar (Temel Rezervasyon) | Mekân misafirleri/yemek müşterileri (çevrim içi araçlar, telefon veya doğrudan gelerek rezervasyon yapanlar dâhil); Müşteri personeli/kullanıcıları | Misafir tanımlayıcıları (ad); iletişim bilgileri (e-posta/telefon) (isteğe bağlı); rezervasyon ayrıntıları (tarih/saat, kişi sayısı, mekân/konum/alan/masa tercihleri); rezervasyon durumu/geçmişi; notlar/özel talepler (serbest metin; son kullanıcı tarafından sunulur; Hassas Veriler içerebilir) ve Müşteri tarafından yapılandırılan alanlar aracılığıyla sunulan diğer bilgiler (isteğe bağlı) | Rezervasyon ve rezervasyon talepleri oluşturmak, yönetmek ve yerine getirmek; rezervasyonları güncellemek/teyit etmek/iptal etmek; yetkili Müşteri kullanıcılarına operasyonel görünürlük sağlamak | | Bekleme Listesi ve Talep Yönetimi | Mekân misafirleri/yemek müşterileri; Müşteri personeli/kullanıcıları | Ad; iletişim bilgileri (e-posta/telefon); bekleme listesi kaydı ayrıntıları (kişi sayısı, tercih edilen saatler); durum/geçmiş; notlar/tercihler (serbest metin; son kullanıcı tarafından sunulur; Hassas Veriler içerebilir) | Bekleme listeleri oluşturmak ve yönetmek; Misafir bildirimlerini ve dahili sıra yönetimini desteklemek; oturma/müsaitlik iş akışlarını optimize etmek | | Kullanılmayan Rezervasyonları Önleme (Depozitolar / Ön Ödemeler / Kart Garantileri / Sonradan Tahsilatlar / etkinse Provizyon Blokeleri) | Mekân misafirleri/yemek müşterileri; Müşteri personeli/kullanıcıları | Rezervasyon bağlantı tanımlayıcıları; politika seçimleri (depozito, ön ödeme, kart garantisi, iptal/kullanılmayan rezervasyon ücreti ve ayrı olarak etkinleştirildiğinde bloke kuralları); ödeme durumu/üst verileri (ödeme hizmeti sağlayıcısı müşteri tanımlayıcıları, tokenleştirilmiş ödeme yöntemi tanımlayıcıları, kurulum/ödeme niyeti tanımlayıcıları, işlem tanımlayıcıları, zaman damgaları, tutarlar, para birimi, ödenmiş/iade edilmiş/başarısız/yetkilendirilmiş durumu ve mevcutsa marka, son dört hane ve son kullanma tarihi gibi maskelenmiş kart açıklayıcıları); uygulama/ters ibrazla bağlantılı durum göstergeleri (uygulanabildiği hâllerde) | Müşteri'nin kullanılmayan rezervasyon politikalarını etkinleştirmek; depozitoları, ön ödemeleri, kayıtlı ödeme yöntemlerini kullanan kart garantilerini, sonradan uygulanabilecek iptal/kullanılmayan rezervasyon tahsilatlarını ve ayrıca ayrı olarak etkinleştirildiğinde provizyon blokelerini desteklemek; tam kart numaralarını veya kart güvenlik kodlarını saklamadan operasyonel ifa ve mutabakat için uyum/rezervasyon garantisi durumunu göstermek | | PAYTR Pazaryeri Ödemeleri (etkinse) | Mekân misafirleri/alıcıları; Müşteri personeli/kullanıcıları; Müşteri/Mekân lehtarları | Sipariş ve işlem tanımlayıcıları; zaman damgaları; brüt tutar, satıcı net tutarı, platform komisyonu, iade ve düzeltme tutarları; para birimi ve ödeme/hesaplaşma durumu; Müşteri/Mekân lehtarının adı ve IBAN'ı; PAYTR tarafından sunulduğu ölçüde maskelenmiş kart açıklayıcıları; tam kart numarası veya kart güvenlik kodu bulunmaz | Türkiye Ödeme İşletmecisinin pazaryeri hesabı üzerinden PAYTR tarafından barındırılan ödeme sayfasını kolaylaştırmak; PAYTR'a Müşteri'nin satıcı net tutarını doğrudan Müşteri'nin belirttiği IBAN'a ve ayrı hesaplanan platform komisyonunu Türkiye Ödeme İşletmecisine aktarma talimatı vermek; Müşteri'nin talimatları üzerine hesaplaşmaları, iadeleri, düzeltmeleri, iade edilen transferleri ve ödeme durumunu mutabık hâle getirmek | | Etkinlikler ve Deneyimler (Biletleme / Ön Ödemeli Teklifler) | Alıcılar/katılımcılar; Müşteri personeli/kullanıcıları | Ad; iletişim bilgileri (e-posta/telefon) (isteğe bağlı); deneyim/etkinlik seçimi; adetler; oturum/zaman dilimi; bilet/rezervasyon tanımlayıcıları; giriş/katılım durumu; notlar/tercihler (serbest metin; son kullanıcı tarafından sunulur; Hassas Veriler içerebilir); yukarıdaki sınırlı ödeme durumu/üst verileri (ücretliyse) ve Müşteri tarafından yapılandırılan alanlar aracılığıyla sunulan diğer bilgiler (isteğe bağlı) | Biletli etkinlikleri/deneyimleri satmak, düzenlemek ve sunmak; katılımcı listelerini ve girişleri yönetmek; teyitler ve operasyonel gözetim sağlamak; tam kart numaralarını veya kart güvenlik kodlarını saklamadan ödeme durumunu mutabık hâle getirmek | | Hediye Kartları (etkinse) | Hediye kartı alıcıları ve alıcı olarak gösterilen kişiler; hediye kartlarını kullanan kişiler; Müşteri personeli/kullanıcıları | Alıcının ve gösterilen kişinin adları ve iletişim bilgileri; alıcının ve gösterilen kişinin dil tercihleri; hediye kartı ürünü, tutarı, para birimi, teslimat tercihi, teslimat zamanı, isteğe bağlı kişisel mesaj, kod veya token, durum ve son kullanma tarihi; satın alma, teslimat, kullanım, bakiye ve düzeltme geçmişi; ilgili rezervasyon bağlantısı; sınırlı ödeme ve işlem üst verileri | Mekân tarafından düzenlenen hediye kartlarının satın alınmasını, teslimini, bakiye yönetimini, kullanımını, dolandırıcılığın önlenmesini, desteği, mutabakatı ve ilgili Müşteri operasyonel iş akışları ile iletişimlerini sağlamak | | Mekân Sahibi Mobil Uygulaması ve Anlık Bildirimler (etkinse) | Müşteri personeli/kullanıcıları; operasyonel bildirimdeki takma adlı rezervasyon veya talep tanımlayıcılarıyla bağlantılı Misafirler | Kullanıcı, Müşteri/üye iş yeri, kurulum ve cihaz tanımlayıcıları; platform, anlık bildirim sağlayıcısı ve anlık bildirim tokeni; bildirim izni durumu; uygulama ve cihaz üst verileri; kayıt ve son görülme zaman damgaları; tarafsız ve yerelleştirilmiş bildirim başlığı/metni; yük şeması sürümü; olay türü ve zaman damgası; kişi sayısı ve takma adlı rezervasyon veya talep tanımlayıcısı. Anlık bildirim yükü, Misafir adlarını ve iletişim bilgilerini, rezervasyon zamanını ve durumunu, notları, serbest metni ve uygulama rotalarını hariç tutar. | Yetkili cihazları kaydetmek ve sürdürmek; asgariye indirilmiş operasyonel rezervasyon ve rezervasyon talebi bildirimlerini izinli Müşteri kullanıcılarına yönlendirmek; yetkili uygulama içi rotayı yerel olarak oluşturmak ve ayrıntılı Misafir veya rezervasyon bilgilerini kimliği doğrulanmış uygulama aracılığıyla doğrudan Reslify'dan almak; teslimat sorunlarını gidermek ve geçersiz kayıtları kaldırmak | | Misafir Profilleri / CRM (etkinse) | Mekân misafirleri/yemek müşterileri; Müşteri personeli/kullanıcıları | Misafir profili tanımlayıcıları; iletişim bilgileri; ziyaret/rezervasyon geçmişi; tercihler/etiketler; serbest biçimli notlar (serbest metin; son kullanıcı tarafından sunulur; Hassas Veriler içerebilir); özel gün (isteğe bağlı); Müşteri ve/veya son kullanıcılar tarafından Müşteri'nin yapılandırdığı formlar üzerinden sunulan özel alanlar ve ilave bilgiler (isteğe bağlı) | Müşteri'nin talimatı doğrultusunda Misafir profillerini tutmak ve göstermek; kişiselleştirmeyi ve tutarlı Misafir hizmetini desteklemek; tercihleri ve operasyonel notları kaydetmek | | İşlemsel İletişimler (yapılandırıldığı üzere E-posta/SMS/WhatsApp veya benzeri) | Mekân misafirleri/yemek müşterileri/alıcıları; Müşteri personeli/kullanıcıları | İletişim bilgileri; mesaj içeriği; şablonlar/değişkenler (yapılandırıldığı üzere); teslimat üst verileri/günlükleri (zaman damgaları, durum) | Müşteri'nin kullanımı/yapılandırmasıyla tetiklenen teyitleri, hatırlatmaları, güncellemeleri ve operasyonel mesajları göndermek; teslimat durumunu kanıtlamak ve Misafir iletişimlerini desteklemek | | Entegrasyonlar (“Google ile Rezervasyon” ve diğer desteklenen üçüncü taraflar dâhil) | Mekân misafirleri/yemek müşterileri; Müşteri personeli/kullanıcıları | Rezervasyon tanımlayıcıları; entegrasyon için gerekli Misafir iletişim/rezervasyon alanları (yapılandırıldığı üzere); Müşteri tarafından veya adına sunulan entegrasyon tanımlayıcıları ve yapılandırma verileri (ve uygulanabildiği hâllerde erişim tokenleri veya benzer kimlik doğrulama verileri); senkronizasyon üst verileri/günlükleri | Entegre keşif/rezervasyon akışlarını etkinleştirmek; müsaitliği, rezervasyonları ve durum güncellemelerini yapılandırılmış üçüncü taraf yüzeyleri/hizmetleri arasında senkronize etmek; rezervasyon verilerinin bütünlüğünü korumak | | Mekân / Oturma Düzeni ve Operasyonel Araçlar (etkinse) | Mekân misafirleri/yemek müşterileri; Müşteri personeli/kullanıcıları | Rezervasyon/grup ayrıntıları; oturma/masa atamaları; operasyonel notlar; durum zaman damgaları; işlemlere ait personel/kullanıcı tanımlayıcıları | Masa/bölüm atamasını ve gerçek zamanlı operasyonel yönetimi desteklemek; platformda gerçekleştirilen işlemlerin denetlenebilirliğini sağlamak | | Yönetim, Kullanıcı Yönetimi ve Erişim Kontrolü | Müşteri personeli/kullanıcıları; Müşteri iletişim kişileri (bu kişilerin Müşteri kiracısı içinde yetkili kullanıcı oldukları ölçüde) | Müşteri kiracısı içindeki yetkili kullanıcı kimliği (ad); iş e-postası; rol/izinler; kiracı düzeyindeki kullanıcı ayarları ve Hizmetlerin kullanımına ilişkin ürün içi işlem/denetim kayıtları (ör. yetkili kullanıcıların gerçekleştirdiği idari işlemler ve değişiklikler) | Müşteri kiracısı içinde kullanıcı hesapları oluşturmak ve yönetmek; rol/izinleri yönetmek; Müşteri kiracısı ayarlarını yönetmek; Müşteri'nin görebildiği kiracı düzeyinde işlem/denetlenebilirlik kayıtlarını tutmak | | Raporlama ve Panolar (Müşteriye yönelik) | Müşteri personeli/kullanıcıları | Müşteri'nin görebildiği toplulaştırılmış ve kayıt düzeyindeki rezervasyon/etkinlik verileri; operasyonel ölçümler; zaman damgaları; sınırlı ödeme durumu göstergeleri | Müşteri'ye operasyonel raporlama ve panolar sunmak; mutabakatı, tahminlemeyi ve performans izlemeyi desteklemek (Müşteriye yönelik) | | Destek ve Müşteri Hizmetleri | Müşteri personeli/kullanıcıları; Müşteri iletişim kişileri (bu kişilerin Müşteri kiracısı içinde yetkili kullanıcı oldukları ölçüde) | Destek talebi içeriği; hesap tanımlayıcıları; sorun giderme üst verileri; sorunları araştırmak için gerekli günlükler | Destek taleplerini yanıtlamak; olaylarda sorun gidermek; hizmeti geri yüklemek; çözümleri iletmek ve hizmet sürekliliğini sağlamak | | Güvenlik, Denetim Günlükleri ve Kötüye Kullanım/Dolandırıcılığı Önleme (Hizmet Sunumu) | Misafirler (uygulanabildiği hâllerde); Müşteri personeli/kullanıcıları | Müşteri kiracısı içinde üretilen ve Hizmetler aracılığıyla Müşteri'ye sunulan kiracı düzeyindeki erişim ve faaliyet günlükleri ile denetim kayıtları (ör. kullanıcı işlemleri, idari değişiklikler, zaman damgaları ve uygulanabildiği şekilde ilgili tanımlayıcılar); güvenlik, sorun giderme, güvenilirlik ve olay müdahalesi için gerekli olduğu hâllerde tanımlayıcılar, talep üst verileri, hata ayrıntıları ve sınırlı kayıt bilgileri içeren operasyonel uygulama/API günlükleri | Müşteri kiracısı içindeki Hizmetleri korumak; Müşteri'ye denetlenebilirlik sağlamak; kiracıya özgü olayları araştırmak; hataları gidermek; güvenilirliği sürdürmek ve uygulanabildiği şekilde güvenlik/hesap verebilirlik gerekliliklerini desteklemek |

Notlar: İşbu Cetvel 1, Reslify'ın işbu VİS kapsamında Müşteri adına Veri İşleyen sıfatıyla gerçekleştirdiği Müşteri Kişisel Verileri İşlemesini açıklar. Kapsam bölümünde belirtilen ve hesap düzeyindeki kayıt/idare, faturalandırma/abonelik, CRM/satış/pazarlama ve ilgili iletişimler ile Sınırlı Veri Sorumlusu Telemetrisini kapsayan Reslify'ın bağımsız Veri Sorumlusu sıfatıyla İşlemesini açıklamaz. Müşteri kiracısı dışındaki hesap düzeyindeki/faturalandırma iletişim kişileri tarafından gönderilen destek talepleri, Kapsamda açıklanan Reslify'ın bağımsız Veri Sorumlusu işlemesine tabidir ve işbu Cetvel 1'e dâhil değildir.

Belirli alanlar isteğe bağlı olabilir ve Müşteri yapılandırmasına ve son kullanıcı girdisine bağlıdır. Reslify, Müşteri'nin hangi isteğe bağlı/özel alanları etkinleştireceğini veya son kullanıcılardan hangi bilgileri talep edeceğini belirlemez; bu yapılandırmayı ve Hizmetler aracılığıyla talep etmeyi seçtiği istemleri ya da içeriği Müşteri kontrol eder. Tam ödeme kartı numaraları ve kart güvenlik kodları, ödeme hizmeti sağlayıcısının kontrolündeki alanlarda veya sayfalarda toplanır ve Reslify tarafından saklanmaz. Reslify yalnızca Hizmetleri işletmek için gerekli olduğu ölçüde yukarıda açıklanan hizmet sağlayıcı tanımlayıcılarını, işlem/durum bilgilerini ve maskelenmiş kart açıklayıcılarını İşler.

Hizmetlerdeki belirli alanlar serbest metin niteliğindedir (standart “notlar” / “özel talepler” veya benzer yorum alanı dâhil) ve Müşteri ayrıca son kullanıcılardan ilave bilgi (beslenme/alerjen bilgileri veya tercihleri dâhil) talep etmek için Hizmetler içinde isteğe bağlı/özel alanlar, ek seçenekler ya da formlar yapılandırabilir. Reslify, Müşteri'nin hangi isteğe bağlı/özel alanları etkinleştireceğini veya son kullanıcılardan hangi bilgileri talep edeceğini belirlemez ve bir son kullanıcının serbest metin alanlarına ne girmeyi seçtiğini kontrol etmez.

Müşteri, serbest metin alanları veya Müşteri tarafından yapılandırılan alanlar aracılığıyla sunulan bilgilerin yürürlükteki Veri Koruma Mevzuatı uyarınca Hassas Veri teşkil edebileceğini (ör. sağlık verisi olarak alerji bilgileri) kabul eder. VİS'in Bölüm 2.6'sında belirtildiği üzere Müşteri, bu verilerin toplanması ve İşlenmesi için uygulanabilir hukuki sebepleri belirlemekten ve özel gereklilikleri (uygulanabildiği hâllerde GDPR Madde 9 koşulları dâhil) karşılamaktan ve gerekli tüm bildirimleri yapıp gereken rıza veya izinleri almaktan münhasıran sorumludur. Reslify, söz konusu içeriği yalnızca Hizmetleri Müşteri kiracısı içinde sunmak için gerekli olduğu ölçüde ve Müşteri'nin belgelendirilmiş talimatları üzerine İşler; Cetvel 3'teki Güvenlik Tedbirlerini uygular ve yazılı olarak açıkça kararlaştırılmadıkça söz konusu verileri kendi ürün analitiği, hizmet geliştirmesi veya genelleştirilmiş yapay zekâ eğitimi için kullanmaz.

Açıklık adına, platform genelindeki güvenlik/kimlik doğrulama telemetrisi (ör. Reslify'ın bağımsız güvenlik ve kötüye kullanımı önleme amaçlarıyla işlenen cihaz/IP sinyalleri ve güvenlik izleme günlükleri) Gizlilik Politikası'nda ele alınır ve Müşteri Kişisel Verilerinin kapsamını işbu VİS uyarınca Müşteri adına işlenenden öteye genişletmesi amaçlanmamıştır.

CETVEL 2

Alt Veri İşleyenler Listesi

Son güncelleme: 16 Temmuz 2026

İşbu Cetvel 2, Reslify LLC'nin (“Reslify”) Hizmetlerle bağlantılı olarak Müşteri Kişisel Verilerini Alt Veri İşleyen sıfatıyla İşlemeye yetkili üçüncü taraf hizmet sağlayıcılarını listeler. Bu liste, VİS'in Bölüm 6.2'si uyarınca zaman zaman güncellenebilir.

A. Alt Veri İşleyenler (Reslify tarafından görevlendirilen)

| Kuruluşun Adı | İlgili Hizmetler / İşlev | Kuruluşun Hizmetleri (Örnekler) | Birincil Konum (Merkez) | İşleme Konumları (farklıysa / biliniyorsa) | | ----- | ----- | ----- | ----- | ----- | | Amazon Web Services, Inc. ve AWS Turkey Pazarlama Teknoloji ve Danışmanlık Hizmetleri Limited Şirketi (AWS Veri İşleme Eki kapsamında birlikte “AWS”) | Bilgi işlem, depolama, ağ, kimlik/kimlik doğrulama, kuyruklama, kayıt/izleme, menü içe aktarma kaynak depolaması ve işlemsel e-posta teslimatı dâhil Hizmetlerin temel barındırma ve altyapısı | Lambda, API Gateway, DynamoDB, S3, Cognito, SQS, EventBridge, CloudWatch ve Amazon SES | Amerika Birleşik Devletleri ve Türkiye | Birincil veri tabanı ve menü içe aktarma kaynaklarının barındırılması için (uygulanabildiği şekilde) Almanya (Frankfurt, AB/AEA); diğer konumlar yalnızca AWS Veri İşleme Eki ve Bölüm 8'de açıklandığı üzere | | Reslify Bilişim Pazarlama Limited Şirketi | Müşteri Kişisel Verilerini Alt Veri İşleyen sıfatıyla İşlediği ölçüde, desteklenen PAYTR pazaryeri ödeme akışının Reslify adına işletilmesi | Ödeme ve hesaplaşma talimatları; Müşteri/Mekân lehtarının adı ve IBAN'ı; işlem, platform komisyonu, iade, düzeltme, mutabakat ve iade edilen transfer üst verileri; ödeme desteği | Türkiye | Türkiye; yalnızca etkinleştirilen ödeme akışı ve destek için gerekli olduğu ölçüde AEA'da barındırılan Platformdaki ilgili Müşteri Kişisel Verilerine erişim | | OpenAI OpCo, LLC | YZ Asistanı ve YZ Menü İçe Aktarma için yapay zekâ modeli sağlayıcısı | YZ Asistanı yanıtlarının üretilmesi ve Müşteri'nin yüklediği menü dosyalarından veya görsellerinden bilgilerin çıkarılması/yapılandırılması | Amerika Birleşik Devletleri | Amerika Birleşik Devletleri | | 650 Industries, Inc. (Expo) | Müşteri personeline/kullanıcılarına mobil anlık bildirim teslimatı | Cihaz anlık bildirim tokenlerinin ve operasyonel bildirim yüklerinin İşlenmesi; ilgili mobil platformun anlık bildirim hizmeti üzerinden yönlendirme | Amerika Birleşik Devletleri | Amerika Birleşik Devletleri; cihaz platformuna bağlı olarak Apple Push Notification service veya Google Firebase Cloud Messaging üzerinden sonraki yönlendirme |

Notlar (AWS sözleşme tarafı ve AB barındırması). Reslify'ın mevcut üretim AWS hesabının sözleşme ve fatura düzenleyen tarafı AWS Turkey Pazarlama Teknoloji ve Danışmanlık Hizmetleri Limited Şirketi'dir. AWS Veri İşleme Eki, Amazon Web Services, Inc. ile ilgili AWS sözleşme tarafına ayrıca uygulanır ve bunlar söz konusu ekte birlikte AWS olarak tanımlanır. AWS, seçilen AWS Bölgesiyle bağlantılı altyapı kuruluşu dâhil AWS Alt Veri İşleyenler sayfasında belirtilen sonraki alt veri işleyenleri kullanabilir. Reslify, birincil Müşteri kiracısı verilerinin saklanması için varsayılan olarak AWS Avrupa (Frankfurt) hizmet bölgesini kullanır. Birincil Müşteri kiracısı veri tabanının AEA dışına bölgeler arası çoğaltılması, yazılı olarak aksi kararlaştırılmadıkça varsayılan olarak etkin değildir. AEA dışından yetkili uzaktan erişim yalnızca destek/operasyonlar için kesinlikle gerekli olduğu ölçüde ve Bölüm 8.1 ile uygulanabilir aktarım güvencelerine uygun olarak gerçekleşebilir.

Türk ödeme işletmecisi / PAYTR pazaryeri akışı. Reslify Bilişim Pazarlama Limited Şirketi, Reslify LLC'nin yetkili Türkiye bayisi ve desteklenen PAYTR pazaryeri hesabının işletmecisidir. Bu akışı sunmak üzere Reslify adına Müşteri Kişisel Verilerini İşlediği ölçüde Reslify'ın Alt Veri İşleyeni sıfatıyla hareket eder ve Bölüm 6'nın gerekliliklerine tabidir. PAYTR, Misafir ödemesini işler ve gönderilen aktarım talimatları üzerine Müşteri'nin satıcı net tutarını doğrudan Müşteri'nin belirttiği IBAN'a; yalnızca ayrıca hesaplanan platform komisyonunu ise Reslify Bilişim Pazarlama Limited Şirketi'ne aktarır. Reslify kuruluşlarından hiçbiri Müşteri'nin satıcı net gelirlerini kendi banka hesabında asaleten teslim almaz veya tutmaz. Reslify Bilişim Pazarlama Limited Şirketi, sınırlı pazaryeri hesabı, komisyon, mutabakat, dolandırıcılığı önleme, muhasebe, vergi, hukuka uyum ve hukuki talep kayıtları bakımından ayrıca bağımsız Veri Sorumlusu sıfatıyla hareket eder; bu bağımsız Veri Sorumlusu İşlemesi Gizlilik Politikası'na tabidir ve işbu VİS'in kapsamı dışındadır.

Yapay zekâ modeli sağlayıcısı / Amerika Birleşik Devletleri aktarımları ve saklama. OpenAI OpCo, LLC yalnızca YZ Asistanı yanıtları üretmek ve Müşteri'nin yüklediği menü dosyalarından veya görsellerinden bilgi çıkarıp yapılandırmak için gerekli olduğu ölçüde Müşteri Kişisel Verilerini İşlemeye yetkilidir. YZ Menü İçe Aktarma için OpenAI'a gönderilen bilgiler, yüklenen menü materyalini ve Cetvel 1'de açıklanan çıkarılmış menü bilgilerini içerebilir. İşleme Amerika Birleşik Devletleri'nde gerçekleşir ve Avrupa Verilerinin Kısıtlı Aktarımını teşkil edebilir. Reslify, uygulanabildiği ölçüde SCC'ler veya başka bir hukuka uygun mekanizma dâhil işbu VİS'in Bölüm 8'i uyarınca gerekli uygun aktarım güvencesini sürdürür. OpenAI'ın standart API veri kontrolleri kapsamında, API girdileri ve çıktıları, daha kısa onaylı bir saklama kontrolü uygulanmadıkça kötüye kullanım izleme günlüklerinde en fazla otuz (30) gün tutulabilir ve OpenAI'ın hukuken saklamak zorunda olduğu hâllerde daha uzun süre saklanabilir. OpenAI, ticari/API verilerinin ilgili OpenAI müşterisi açıkça katılmayı seçmedikçe varsayılan olarak genelleştirilmiş OpenAI modellerini eğitmek veya geliştirmek için kullanılmadığını belirtmektedir.

Mobil anlık bildirim sağlayıcısı / Amerika Birleşik Devletleri aktarımları. 650 Industries, Inc. (Expo), yalnızca operasyonel anlık bildirimleri kayıtlı Müşteri kullanıcı cihazlarına yönlendirmek için gerekli olduğu ölçüde Müşteri Kişisel Verilerini İşlemeye yetkilidir. İşleme Amerika Birleşik Devletleri'nde gerçekleşebilir ve Avrupa Verilerinin Kısıtlı Aktarımını teşkil edebilir. Reslify, uygulanabildiği ölçüde SCC'ler veya başka bir hukuka uygun mekanizma dâhil işbu VİS'in Bölüm 8'i uyarınca gerekli uygun aktarım güvencesini sürdürür. Teslimat ayrıca ilgili cihaz platformunun anlık bildirim hizmetine bağlıdır.

B. Müşteri tarafından etkinleştirilen veya bağımsız üçüncü taraf hizmetleri (Alt Veri İşleyen değildir)

Aşağıdaki üçüncü taraflar, Müşteri tarafından etkinleştirildiğinde/yapılandırıldığında, bir ürün özelliğinin parçası olarak Reslify tarafından seçildiğinde veya bir ödeme işleminin tamamlanması için gerektiğinde veri alabilir. İlgili faaliyet bakımından verileri kendi hüküm/politikaları uyarınca işlerler ve Reslify tarafından Alt Veri İşleyen olarak görevlendirilmezler:

| Kuruluşun Adı | İlgili Hizmetler / İşlev | Notlar | | ----- | ----- | ----- | | Google LLC | Google ile Rezervasyon / Google Maps Rezervasyon entegrasyonu | Müşteri tarafından etkinleştirilen üçüncü taraf rezervasyon kanalı. Müşteri entegrasyonu etkinleştirdiğinde Google; Mekân/konum bilgilerini, rezervasyon bağlantılarını, rezervasyon politikalarını, hizmet saatlerini, envanter/müsaitliği ve rezervasyon/güncelleme üst verilerini alabilir. Google bu verileri kendi hüküm ve politikaları uyarınca işler ve bu entegrasyon için Reslify tarafından Alt Veri İşleyen olarak görevlendirilmez. | | Google LLC | Google Maps / Places / Geocoding / Time Zone hizmetleri | Üyelik başlangıcı, mekân yapılandırması ve Google kimlik seçiminde kullanılan, Reslify tarafından seçilmiş konum hizmeti. Özelliği sunmak için gerekli olduğu ölçüde arama metni, adres/yer bilgileri, kamuya açık telefon numarası ve web sitesi, koordinatlar, yer tanımlayıcıları, yerel ayarlar, saat dilimi bilgileri ve ilgili cihaz/ağ bilgileri Google'a gönderilebilir. Google bu verileri kendi hüküm ve politikaları uyarınca işler ve bu hizmet için Reslify tarafından Alt Veri İşleyen olarak görevlendirilmez. | | Google LLC | Etkinleştirildiğinde Google Analytics 4 (GA4) | Yapılandırıldığı ve gerekli olduğu hâllerde rızaya tabi olduğu üzere, sunucu tarafı ve/veya tarayıcı tabanlı ürün, operasyon, dönüşüm ve hizmet kullanım analitiği sağlayıcısı. Google, takma adlı tanımlayıcıları, izin listesindeki olay adlarını/özelliklerini, zaman damgalarını, yüzey/uygulama bilgilerini ve ürün veya işlem üst verilerini ilgili Google hizmet şartları uyarınca işleyebilir. Gizlilik Politikası'nda açıklandığı üzere GA4'e ham adlar, e-posta adresleri, telefon numaraları, ödeme kartı bilgileri, serbest metin Misafir notları veya tam sayfa URL'leri gönderilmez. | | Stripe (Müşteri/bölge bakımından ilgili Stripe kuruluşu) | Depozitolar, ön ödemeler, hediye kartı alımları, kayıtlı ödeme yöntemi kurma/kart garantileri, sonradan uygulanabilecek iptal/kullanılmayan rezervasyon tahsilatları ve ayrıca ayrı olarak etkinleştirildiğinde provizyon blokeleri için ödeme işleme; tokenleştirme ve ödeme faaliyetleri | Tokenleştirilmiş ödeme işleme; SetupIntent/PaymentIntent ve ödeme/faturalandırma akışları; iadeler; ödeme durumu/üst verileri | | PayTR Ödeme ve Elektronik Para Kuruluşu A.Ş. | Müşteri'nin desteklenen PAYTR pazaryeri ödeme sayfasını kullandığı hâllerde ödeme işleme | Türkiye Ödeme İşletmecisinin pazaryeri hesabı üzerinden işletilen sağlayıcı tarafından barındırılan iFrame ödeme sayfası; PAYTR Misafir ödemesini işler, Müşteri'nin satıcı net tutarını doğrudan Müşteri'nin belirttiği IBAN'a ve yalnızca platform komisyonunu Türkiye Ödeme İşletmecisine aktarır; PAYTR'ın kendi hüküm ve politikaları kapsamında işlem ve geri bildirim (callback) süreçleri, iadeler, hesaplaşma ve ödeme durumu/üst verileri |

Notlar

  1. Müşteri tarafından yapılandırılan entegrasyonlar. Belirli üçüncü taraflar yalnızca Müşteri bir özelliği veya entegrasyonu etkinleştirirse veri alır (ör. “Google ile Rezervasyon”). Yukarıda listelenen diğer üçüncü taraf hizmetleri, ilgili satırda açıklandığı üzere üyelik başlangıcı, mekân yapılandırması, analiz, ödeme veya benzer ürün işlevlerinin bir parçası olarak Reslify tarafından kullanılabilir.

  2. Ödeme kartı verileri. Hassas kart girdileri Stripe veya PayTR tarafından kontrol edilen alanlarda, sayfalarda veya iframe'lerde toplanır. İlgili ödeme hizmeti sağlayıcısı, tam birincil hesap numarasını ve kart güvenlik kodunu kendi hüküm ve politikaları kapsamında işler ve saklar. Mevcut Stripe Connect kart garantisi akışında ödeme yöntemi, ileride oturum dışı kullanım olasılığı için bir SetupIntent aracılığıyla Müşteri'nin bağlı Stripe hesabına kaydedilebilir; ödeme yönteminin kaydedilmesi tek başına bir provizyon blokesi veya tamamlanmış tahsilat değildir. Reslify, Hizmetleri işletmek için kesinlikle gerekli olduğu ölçüde ödeme hizmeti sağlayıcısı müşteri ve ödeme yöntemi tanımlayıcılarını, kurulum/ödeme niyeti tanımlayıcılarını, işlem tanımlayıcılarını, zaman damgalarını, tutarları, para birimini, durumu ve mevcutsa marka, son dört hane ve son kullanma tarihi gibi maskelenmiş kart açıklayıcılarını İşleyebilir. Reslify tam birincil hesap numaralarını veya kart güvenlik kodlarını saklamaz.

  3. AEA barındırması. Hizmetler (Müşteri kiracısı) içinde işlenen Müşteri Kişisel Verileri varsayılan olarak Frankfurt, Almanya'da (AB/AEA) barındırılır. Müşteri Kişisel Verilerine diğer konumlardan yetkili erişim, yalnızca Hizmetleri sunmak ve desteklemek için kesinlikle gerekli olduğu ölçüde ve VİS'e uygun olarak gerçekleşebilir.

  4. Güncellemeler / itirazlar. Reslify, Alt Veri İşleyenlerin eklenmesi veya değiştirilmesini bildirecek ve itirazları VİS'in Bölüm 6.2'si uyarınca ele alacaktır.

  5. Gözlemlenebilirlik notu. Operasyonel kayıt/gözlemlenebilirlik Amazon CloudWatch aracılığıyla sağlanır ve yukarıdaki AWS kaydı kapsamındadır (hâlihazırda ayrı bir üçüncü taraf gözlemlenebilirlik sağlayıcısı yapılandırılmamıştır).

  6. Bu kod deposunda hâlihazırda yapılandırılmamış kategoriler. Bu kod deposundaki üretim yollarında özel bir üçüncü taraf SMS/WhatsApp mesajlaşma veya müşteri destek talebi sağlayıcısı hâlihazırda yapılandırılmamıştır.

CETVEL 3

Dâhil Etme. İşbu Cetvel 3, Reslify ile Müşteri arasındaki 16 Temmuz 2026 tarihli Veri İşleme Sözleşmesi'nin (“VİS”) bir parçasını oluşturur ve ona dâhil edilmiştir. Çelişki hâlinde VİS'teki öncelik sırası uygulanır.

Güvenlik Tedbirleri (Teknik ve Organizasyonel Tedbirler)

Reslify; teknolojinin mevcut durumunu, uygulama maliyetlerini, İşlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve gerçek kişilerin hak ve özgürlüklerine yönelik riski dikkate alarak, Müşteri Kişisel Verilerini kazara veya hukuka aykırı imhaya, kayba, değişikliğe, yetkisiz açıklamaya ya da erişime karşı korumak üzere tasarlanmış uygun teknik ve organizasyonel tedbirleri uygular ve sürdürür. Reslify, her kontrol alanının uygulama durumunu, delillerini, eksikliklerini, sorumlusunu ve inceleme tarihini dahili bir teknik ve organizasyonel tedbirler kontrol kaydında tutar. İşbu Cetvel, Reslify'ın bir güvenlik sertifikasına sahip olduğunu veya bağımsız bir sızma testini tamamladığını beyan etmez.

1) Bilgi Güvenliği Yönetişimi ve Politikaları

Reslify, mevcut sahiplerce işletilen organizasyonuna uygun olarak belgelendirilmiş bir işletme standardı, kontrol kaydı, gizlilik/olay prosedürü ve değişiklik geçmişi tutar. Güvenlik ve gizlilik sorumlulukları şirket sahiplerine atanmıştır. Tedbirler ve önemli eksiklikler en az yılda bir kez ve Hizmetlerde, İşlemede, altyapıda, personelde veya sağlayıcılarda önemli bir değişiklikten sonra gözden geçirilir.

2) Erişim Kontrolü ve Kimlik Yönetimi

Reslify, üretim ortamına ve Müşteri Kişisel Verilerine erişimi, bilmesi gereken ve asgari yetkiye sahip yetkili kişilerle sınırlar. Üretim ortamına erişebilen gerçek kişilerin erişiminde benzersiz hesaplar kullanılır. İlgili sağlayıcının desteklediği hâllerde çok faktörlü kimlik doğrulama zorunludur; istisnalar, telafi edici kontroller ve sona erme tarihiyle birlikte belgelendirilmelidir. Gizli bilgiler, kaynak kodu kontrolü yerine yönetilen yapılandırma veya gizli bilgi depolarında tutulur. Üretim ortamına erişebilen kişilerin erişimi en az altı ayda bir ve rol veya erişim değişikliğinden sonra gözden geçirilir. Hassas üretim dışa aktarımları, yıkıcı işlemler, hukuki muhafazalar ve kritik/yüksek risk kabulleri, her iki şirket sahibinin de müsait olduğu hâllerde ikinci şirket sahibinin incelemesini gerektirir; acil durum sonrasında geriye dönük inceleme yapılır.

3) Şifreleme, Minimizasyon ve Anahtar Kontrolleri

Reslify, hizmet iletişimleri için TLS gibi sektör standardı şifreli iletim ve desteklendiği hâllerde üretim veri depoları ile yedekler için sağlayıcı tarafından yönetilen durağan hâldeki verilerin şifrelenmesini kullanır. Sağlayıcı tarafından yönetilen anahtarlara ve şifreleme yapılandırmasına erişim, ilgili bulut erişim kontrolleriyle sınırlandırılır. Reslify, amaca uygun olduğu hâllerde minimizasyon, maskeleme, tokenleştirme veya takma adlı tanımlayıcılar uygular. İşbu Cetvel, hizmetin sağlayıcı tarafından yönetilen şifrelemeye dayandığı hâllerde müşteri tarafından yönetilen anahtarların veya Reslify'a ait ayrı bir anahtar rotasyonu sürecinin bulunduğunu iddia etmez.

4) Ağ Güvenliği, Kayıt ve İzleme

Reslify, uygulanabildiği hâllerde güvenlik grupları veya hizmet düzeyindeki izinler dâhil olmak üzere yönetilen bulut sınırları ve erişim kontrollerini kullanır. Genel API ve uygulama kayıtları, gerekli olmayan hâllerde talep gövdelerini, kimlik bilgilerini, ham başlıkları, IP adreslerini, kullanıcı aracısı bilgilerini ve tam yolları hariç tutacak şekilde yapılandırılır. Güvenlikle ilgili olaylar, izleme, hız kontrolleri ve alarmlar üretim hizmetleri için risk esaslı olarak yapılandırılır.

5) Güvenli Geliştirme ve Değişiklik Kontrolleri

Reslify, geliştirme ve üretim aşamalarını ve kimlik bilgilerini ayırır, kaynak geçmişini tutar ve önemli değişikliklere otomatik testler ile risk esaslı insan incelemesi uygular. Türü belirlenmiş/asgariye indirilmiş delil kaydı ve hukuki politika sözleşme kontrolleri dâhil olmak üzere güvenlik ve gizlilik davranışı uygulanabilir olduğu ölçüde test edilir. Bağımsız sızma testleri risk, önemli bir mimari değişiklik, sözleşmesel taahhüt veya müşteri gerekliliği nedeniyle haklı olduğu zaman yapılır; işbu Cetvel periyodik bağımsız sızma testinin hâlihazırda yapıldığını belirtmez.

6) Güvenlik Açığı ve Yama Yönetimi

Reslify, bağımlılık ve sağlayıcı güvenlik duyurularını en az ayda bir kez ve üretim sürümünden önce inceler; bulguları uygulanabilirlik ve üretim riski bakımından değerlendirir ve düzeltmeyi önem derecesine, istismar edilebilirliğe, mevcut düzeltmelere ve telafi edici kontrollere göre takip eder. Üretimden erişilebilen ve değerlendirilmemiş kritik veya yüksek önem dereceli bir bulgu, sürümü engeller. Kritik/yüksek riskin geçici kabulü süreli ve belgelendirilmiş olmalı ve her iki şirket sahibi tarafından onaylanmalıdır.

7) Veri İşleme, Minimizasyon ve Ayrıştırma

Reslify, Hizmetler içinde mantıksal kiracı kapsamı ve yetkilendirme kontrolleri uygular; alanları ve saklama sürelerini hizmet amacıyla sınırlar ve kesinlikle gerekli, onaylı, asgariye indirilmiş ve korunmuş olmadıkça üretim ortamındaki Müşteri Kişisel Verilerini üretim dışı ortamda kullanmaktan kaçınır. Destek ve sorun giderme erişimi ile dışa aktarımlar, belgelendirilmiş amaç için gerekli olanla sınırlandırılır. Ham talep gövdeleri, kimlik bilgileri ve yasaklanmış hassas alanlar uzun süreli delil arşivine dâhil edilmez.

8) Yedekler, İş Sürekliliği ve Kurtarma

Reslify, desteklendiği ve gerekli olduğu hâllerde üretim veri depoları için yönetilen belirli bir zamana geri yükleme veya diğer orantılı yedekleme mekanizmalarını kullanır. Reslify, bir kurtarma prosedürü tutar ve en az yılda bir kez ve kurtarma tasarımında önemli bir değişiklikten sonra temsili bir geri yükleme tatbikatı gerçekleştirir. Kurtarma doğrulaması risk esaslıdır ve ayrıca kararlaştırılmadıkça belirli bir kurtarma süresi veya kurtarma noktası hedefi vaadi teşkil etmez. Geri yüklenen veriler yeniden hizmete alınmadan önce uygulanabilir silme veya kısıtlama kontrolleri yeniden uygulanır.

9) Fiziksel Güvenlik ve Uç Nokta Güvenliği

Üretim altyapısı, ilgili bulut sağlayıcısı tarafından işletilen ve bu sağlayıcının fiziksel ve çevresel kontrollerine tabi profesyonel olarak yönetilen veri merkezlerinde barındırılır. Reslify'ın üretim sistemlerine veya Müşteri Kişisel Verilerine erişmek için kullandığı cihazlarda desteklenen işletim sistemleri, disk şifreleme, ekran kilidi, zamanında güvenlik güncellemeleri ve sahip/işletmeci erişim kısıtlamaları kullanılmalıdır. Onaylı geçici yerel dışa aktarımlar şifrelenmeli, erişimi sınırlanmalı ve amaçları tamamlandıktan sonra silinmelidir.

10) Olay Müdahalesi ve Güvenlik Olayı Yönetimi

Reslify; güvenlik olaylarını belirlemek, kontrol altına almak, araştırmak, gidermek ve belgelendirmek; bunları gizlilik/güvenlik sorumlularına iletmek; Kişisel Veri İhlali bildirimlerini değerlendirmek ve Müşteri'ye işbu VİS kapsamında gerekli bilgileri sağlamak için prosedürler tutar. En az yılda bir kez temsili bir olay müdahalesi masa başı tatbikatı yapılır ve ortaya çıkan düzeltici işlemler takip edilir.

11) Gizlilik, Eğitim ve Erişim Değişiklikleri

Erişim, Reslify'ın şirket sahipleri ve özellikle yetkilendirilmiş diğer kişilerle sınırlıdır. Erişimi olan her kişi gizlilik yükümlülükleriyle bağlı olmalı ve erişimden önce ve en az yılda bir kez rolüne uygun güvenlik ve gizlilik eğitimini tamamlamalıdır. Sorumluluklar değiştiğinde veya kişinin yetkisi sona erdiğinde erişim derhal değiştirilir veya kaldırılır. Tamamlama üst verileri dahili olarak kaydedilir; şirket sahiplerince işletilen bu kontrol, Reslify'ın mevcut organizasyonunu yansıtmayan çalışan disiplin prosedürlerine yapılan atıfların yerini alır.

12) Alt Veri İşleyen Güvenlik Yönetimi

Reslify, bir Alt Veri İşleyenin Müşteri Kişisel Verilerini İşlemesine izin vermeden önce sağlayıcının rolünü, veri/amacı, işleme konumlarını, ilgili güvenlik delillerini, sözleşmesel veri koruma şartlarını ve uygulanabilir aktarım mekanizmasını kaydeder. Reslify, Bölüm 6 ve yürürlükteki Veri Koruma Mevzuatı'nın gerektirdiği şartları akdeder ve sağlayıcıyı en az yılda bir kez ve sağlayıcı, hizmet, konum, alt veri işleyen, güvenlik veya sözleşmede önemli bir değişiklikten sonra inceler. Kamuya açık sağlayıcı güven sayfaları, Reslify'ın hesabına özgü sözleşmenin veya yapılandırmanın kanıtı olarak kabul edilmez.

13) Ödeme Kartı Verisi Kapsamı

Tam birincil hesap numaraları ve kart güvenlik kodları, ödeme hizmeti sağlayıcısının kontrolündeki alanlarda, sayfalarda veya iframe'lerde toplanır ve Reslify tarafından saklanmaz. Reslify, Hizmetleri işletmek için kesinlikle gerekli olduğu ölçüde ödeme hizmeti sağlayıcısı müşteri ve ödeme yöntemi tanımlayıcılarını, kurulum/ödeme niyeti ve işlem tanımlayıcılarını, tutarları, para birimini, zaman damgalarını, durumu ve mevcutsa marka, son dört hane ve son kullanma ayı/yılı gibi maskelenmiş kart açıklayıcılarını İşleyebilir. Reslify, yeni bir ödeme yolunu etkinleştirmeden önce bu sınırı yeniden değerlendirir.

14) İlgili Kişi Taleplerini Destekleyen Tedbirler

Reslify, Müşteri'nin Hizmetlerce desteklendiği ölçüde Müşteri Kişisel Verilerine erişmesini, bunları dışa aktarmasını, düzeltmesini, silmesini veya kısıtlamasını sağlayan idari ve/veya ürün kontrollerini; veri sorumlusu/veri işleyen sınıflandırması, orantılı kimlik doğrulama, sistem aramaları, dışa aktarımların ve yıkıcı işlemlerin ikinci bir kişi tarafından incelenmesi, güvenli teslimat ve Müşteri'nin self-servis kontrollerle bir talebi karşılayamadığı hâllerde makul destek için belgelendirilmiş bir prosedürle birlikte sürdürür.

15) Veri Saklama, Güvenli Silme ve Günlük Saklama

Reslify, işbu VİS ve yürürlükteki mevzuatın gerektirdiği şekilde, Müşteri'nin talimatı veya fesih üzerine Müşteri Kişisel Verilerini aktif sistemlerden siler veya mantıksal olarak imha eder. Rutin yedekler korunur ve hizmete özgü döngüsel planlara göre sona erer veya üzerine yazılır; silinen veriler planlanan sona ermeye kadar kalabilir ve geri yükleme sonrasında uygulanabilir silme/kısıtlama kontrolleri yeniden uygulanır. Olağan üretim uygulaması ve API tanılama verileri, erişim kontrollü operasyonel sistemlerde en fazla 30 gün saklanır. Yalnızca seçilmiş, açıkça sınıflandırılmış ve asgariye indirilmiş güvenlik, ödeme ve uyuşmazlık delili olayları erişim kontrollü bir delil arşivinde en fazla 400 gün saklanabilir. İlgili normalleştirilmiş deliller yalnızca belgelendirilmiş, vakaya özgü bir hukuki muhafaza kapsamında veya yürürlükteki mevzuata uymak ya da hukuki talepleri ileri sürmek, kullanmak veya savunmak için gerekli olduğunda daha uzun süre saklanabilir.

CETVEL 4

SCC'lerin ve İlgili Aktarım Belgelerinin Tamamlanması

İşbu Cetvel 4, (AB) 2021/914 sayılı Komisyon Uygulama Kararı uyarınca kabul edilen AB Standart Sözleşme Maddelerinin (“AB SCC'leri”) işbu VİS'e nasıl dâhil edilip tamamlandığını ve uygulanabildiği hâllerde BK Kısıtlı Aktarımları ile İsviçre Kısıtlı Aktarımlarına nasıl uyarlandığını düzenler.

1. KISIM: AEA KISITLI AKTARIMLARI (AB SCC'leri)

1. SCC'lerin Akdedilmiş Sayılması

AB SCC'lerinin işbu VİS'in Bölüm 8.4'ü uyarınca uygulandığı hâllerde her bir Taraf, AB SCC'lerini (elektronik kabul yoluyla olanlar dâhil) akdetmiş ve ilgili Kısıtlı Aktarıma uygulanabildiği şekilde SCC'lerin ve/veya ekinin ilgili imza bölümlerini imzalamış sayılır.

2. Uygulanabilir SCC Modülleri

Taraflar, işbu VİS'in Cetvel 1'inde açıklanan Müşteri rolünü/rollerini dikkate alarak, ilgili AEA Kısıtlı Aktarımına uygulanabildiği ölçüde aşağıdaki SCC modüllerinin uygulanacağını kabul eder:

(a) Müşteri'nin ilgili Müşteri Kişisel Verileri bakımından kendi adına Veri Sorumlusu sıfatıyla hareket ettiği AEA Kısıtlı Aktarımlarına Modül İki (Veri Sorumlusu → Veri İşleyen) uygulanır ve

(b) Müşteri'nin başka bir Veri Sorumlusu (uygulanabildiği hâllerde İştirakleri dâhil) adına Veri İşleyen sıfatıyla hareket ettiği ve Reslify'ı Hizmetler için söz konusu verileri İşlemek üzere görevlendirdiği AEA Kısıtlı Aktarımlarına Modül Üç (Veri İşleyen → Veri İşleyen / Alt Veri İşleyen) uygulanır.

3. SCC Maddelerinin Tamamlanması

Taraflar, her bir uygulanabilir modül için SCC'lerin ilgili maddeler bakımından aşağıdaki şekilde tamamlanacağını kabul eder:

(a) Madde 7 (Katılım maddesi): kullanılmaz.

(b) Madde 9 (Alt Veri İşleyenlerin Kullanılması): Seçenek 2 (Genel yazılı yetkilendirme) uygulanır. (i) Reslify'ın bir Alt Veri İşleyen ekleme veya değiştirme planını önceden bildirmesi için Madde 9(a)'daki süre şu şekilde tamamlanır: en az on (10) iş günü önceden. (ii) Bu bildirimin ardından Müşteri'nin itiraz hakkı için Madde 9(a)'daki süre şu şekilde tamamlanır: bildirimin alınmasından itibaren on (10) iş günü. (iii) Bu tamamlamaların işbu VİS'in Bölüm 6.2'sinde düzenlenen bildirim ve itiraz süreciyle uyumlu olması amaçlanır.

(c) Madde 11 (Başvuru): isteğe bağlı metin kullanılmaz.

(d) Madde 13 (Gözetim): Madde 13(a)'daki köşeli parantezli taslak seçenekler, aşağıdaki 4(b) Paragrafı ve Ek I, Kısım C ile uyumlu şekilde uygulanabilir senaryo seçilerek ve uygulanmayan köşeli parantezli alternatifler hariç tutularak tamamlanır.

(e) Madde 17 (Uygulanacak hukuk): Seçenek 1 uygulanır. Taraflar, AEA Kısıtlı Aktarımları bakımından AB SCC'lerine, seçilen hukukun üçüncü taraf lehtar hakları sağlaması gerekliliğine uygun olarak İrlanda hukukunun uygulanacağını kabul eder. Açıklık adına, bu hukuk ve yetkili merci seçimi yalnızca AEA Kısıtlı Aktarımları bakımından AB SCC'lerine uygulanır ve Sözleşme'nin SCC'ler dışındaki hukuk/yetkili merci hükümlerini değiştirmez.

(f) Madde 18(b) (Yetkili merci ve yargı yetkisi seçimi): Taraflar, AEA Kısıtlı Aktarımları bakımından SCC'lerden doğan uyuşmazlıkların İrlanda mahkemelerince çözümleneceğini kabul eder.

(g) Madde 14 ve 15 (Aktarım değerlendirmeleri ve kamu makamlarının erişimi): Taraflar; ilgili aktarımın/aktarımların değerlendirmesini belgelendirmek ve gözden geçirmek ve gerektiğinde tamamlayıcı tedbirleri uygulamak dâhil olmak üzere, uygulanabildiği şekilde AB SCC'lerinin Madde 14 ve 15'i kapsamındaki ilgili yükümlülüklerine uyar.

4. SCC Eklerinin Tamamlanması

SCC Ekleri aşağıdaki şekilde tamamlanır:

(a) Ek I (A/B) – Taraflar ve Aktarımın Açıklaması: Müşteri veri aktaran ve Reslify veri alıcısı olmak üzere, işbu VİS'in Cetvel 1'inde belirtilen ilgili bilgilerle doldurulur.

(b) Ek I, Kısım C – Yetkili Denetim Makamı: aşağıdaki şekilde belirlenir:

(i) Müşteri'nin bir AB/AEA Üye Devletinde kurulu olması hâlinde yetkili denetim makamı, Müşteri'nin kurulu olduğu AB/AEA Üye Devletinin denetim makamıdır.

(ii) Müşteri'nin bir AB/AEA Üye Devletinde kurulu olmaması, GDPR Madde 3(2)'nin uygulanması ve Müşteri'nin GDPR Madde 27 uyarınca bir AB temsilcisi atamış olması hâlinde yetkili denetim makamı, Müşteri'nin ilgili AB temsilcisinin bulunduğu (zaman zaman güncellendiği üzere) AB/AEA Üye Devletinin denetim makamıdır.

(iii) Müşteri'nin bir AB/AEA Üye Devletinde kurulu olmaması, GDPR Madde 3(2)'nin uygulanması ve Müşteri'nin GDPR Madde 27(2) uyarınca bir AB temsilcisi atamak zorunda olmaması hâlinde Müşteri, SCC'ler kapsamındaki aktarımla/aktarımlarla bağlantılı olarak kendilerine mal veya hizmet sunulan ya da davranışları izlenen ilgili İlgili Kişilerin bulunduğu bir AB/AEA Üye Devletindeki yetkili denetim makamını privacy@reslify.com adresine yazılı olarak bildirir.

(iv) Müşteri'nin (iii) paragrafı uyarınca bir makam belirtmesi gerekmesine rağmen bunu yapmaması hâlinde yetkili denetim makamı, Reslify'ın erişebildiği bilgilere dayanarak makul şekilde belirlediği üzere, ilgili aktarımla/aktarımlarla bağlantılı İlgili Kişilerin çoğunluğunun bulunduğu AB/AEA Üye Devletinin denetim makamıdır.

(c) Ek II – Teknik ve Organizasyonel Tedbirler: işbu VİS'in Bölüm 7.1'inde ve Cetvel 3'te (Güvenlik Tedbirleri) açıklanan güvenlik tedbirlerine atıf yoluyla doldurulur. Tereddüde mahal vermemek adına, Cetvel 3'te açıklanan teknik ve organizasyonel tedbirler, uygulanabilir Kısıtlı Aktarımlar dâhil olmak üzere, işbu VİS kapsamında işlenen Müşteri Kişisel Verilerine uygulanır.

(d) Ek III – Alt Veri İşleyenler Listesi: işbu VİS'in Bölüm 6.2'si uyarınca zaman zaman güncellenen Cetvel 2'ye (Alt Veri İşleyenler Listesi) atıf yoluyla doldurulur.

(e) Alt Veri İşleyen taahhütleri (uygulanabildiği hâllerde): Reslify, SCC'lerle bağlantılı olarak bir Alt Veri İşleyen görevlendirdiğinde, Alt Veri İşleyenle; uygulanabildiği şekilde (i) uygun bilgi güvenliği tedbirleri, (ii) Kişisel Veri İhlallerinin Reslify'a bildirilmesi, (iii) gerektiği şekilde Müşteri Kişisel Verilerinin iadesi veya silinmesi ve (iv) sonraki Alt Veri İşleyenlerin görevlendirilmesine ilişkin kısıtlamalar ve kontroller dâhil olmak üzere, Reslify'a AB SCC'leri ve işbu VİS kapsamında getirilenlerden daha az koruyucu olmayan korumalar gerektiren bağlayıcı yazılı bir sözleşme akdeder.

2. KISIM: BK KISITLI AKTARIMLARI (BK AKTARIM EKİ)

1. BK Aktarım Eki'nin Dâhil Edilmesi. BK Aktarım Eki'nin işbu VİS'in Bölüm 8.5'i uyarınca uygulandığı hâllerde, BK Aktarım Eki ile değiştirilen ve tamamlanan AB SCC'leri BK Kısıtlı Aktarımlarına uygulanır (AB SCC'leriyle birlikte “BK Aktarım Mekanizması”). Taraflar, işbu 2. Kısmın söz konusu BK Kısıtlı Aktarımları için BK Aktarım Eki'nin nasıl dâhil edilip tamamlandığını açıkladığını kabul eder.

2. BK Aktarım Eki'nin Tamamlanması (Kısım 1: Tablo 1–4). BK Aktarım Eki'nin Tarafların gerekli bilgileri çapraz atıf yoluyla tamamlamasına izin verdiği ölçüde Taraflar, BK Aktarım Eki'nin 1. Kısmında (Tablo 1–4) gerekli bilgilerin aşağıdaki şekilde karşılandığını kabul eder:

(a) Tablo 1–3 (Taraflar, Onaylı AB SCC'leri, Ek Bilgileri). Tablo 1, 2 ve 3, BK Zorunlu Maddelerinin emredici olarak uygulanması saklı kalmak kaydıyla, işbu VİS'in Cetvel 1'inde ve işbu Cetvel 4'ün 1. Kısmında (uygulanabildiği şekilde) belirtilen ilgili bilgiler kullanılarak tamamlanmış sayılır.

(b) Tablo 4 (Onaylı Ek değiştiğinde bu Ekin sona erdirilmesi). Tablo 4, BK Aktarım Eki'nin 19. Bölümü (Onaylı Ek değiştiğinde Ekin sona erdirilmesi) uyarınca BK Aktarım Eki'ni sona erdirebilecek taraf olarak “Veri Alıcısı” seçilmek suretiyle tamamlanmış sayılır.

3. BK Zorunlu Maddeleri. Taraflar, BK Aktarım Eki'nin 2. Kısmında yer alan BK Zorunlu Maddeleriyle bağlı olmayı kabul eder.

4. Tabloların Sunumu; Güvencelerin Azaltılmaması. BK Aktarım Eki'nin izin verdiği üzere (Tarafların 1. Kısım: Tablo bilgilerini sunmak için kullanılan biçimi değiştirmesine izin veren hükmü dâhil), Taraflar, Tablo bilgilerinin işbu Cetvel 4'te çapraz atıf yoluyla sunulmasının kabul edilebilir olduğunu; ancak bu sunumdaki hiçbir hükmün BK Aktarım Eki'nin gerektirdiği “Uygun Güvenceleri” azaltacak şekilde işlemeyeceğini kabul eder.

5. Atıfların Yorumlanması. İşbu 2. Kısmın uygulandığı tüm BK Kısıtlı Aktarımları bakımından işbu VİS'te “SCC'ler”e yapılan atıflar, bağlamın gerektirdiği hâllerde, ilgili BK Kısıtlı Aktarımı için BK Aktarım Eki ile değiştirilip tamamlanan AB SCC'lerine yapılmış sayılır. Tereddüde mahal vermemek adına, BK Kısıtlı Aktarımları bakımından uygulanacak hukuk ve yargı yetkisi (ve bağlantılı usul hükümleri), BK Aktarım Eki (ve BK Zorunlu Maddeleri) uyarınca belirlenir; işbu Cetvel 4'ün 1. Kısmında İrlanda hukukuna ve/veya İrlanda mahkemelerine yapılan atıflar yalnızca AEA Kısıtlı Aktarımlarına uygulanır.

3. KISIM (İSVİÇRE) – AB SCC'lerine İsviçre Eki ((AB) 2021/914 sayılı Karar)

1. Kapsam. İşbu 3. Kısım; Taraflar İsviçre hukuku kapsamında tanınan başka bir geçerli aktarım mekanizmasına (uygulanabildiği hâllerde bu kapsamda sertifikalı alıcılar için İsviçre-ABD Veri Gizliliği Çerçevesi dâhil) dayanmadıkça, İsviçre'den Reslify'a (veya Alt Veri İşleyenlerine) İsviçre Veri Koruma Mevzuatı'na (değiştirildiği şekliyle İsviçre Federal Veri Koruma Kanunu ve uygulama yönetmelikleri dâhil) tabi olan ve İsviçre Veri Koruma Mevzuatı kapsamında yeterli koruma düzeyi sağladığı kabul edilmeyen bir ülkedeki her türlü Müşteri Kişisel Verisi aktarımına uygulanır.

2. AB SCC'lerinin Dâhil Edilmesi. Taraflar, söz konusu aktarımlar için AB SCC'lerinin ((AB) 2021/914 sayılı Karar) atıf yoluyla dâhil edildiğini ve işbu İsviçre Eki ile tamamlanan uygun güvence olarak uygulandığını kabul eder.

3. İsviçre Aktarımları İçin Yorum. SCC'lerde “GDPR”a yapılan atıflar, İsviçre gerekliliklerine uyumu sağlamak ve İsviçre'deki ilgili kişilerin aleyhine bir durum oluşmasını önlemek için gerekli olduğu ölçüde, aktarımın İsviçre hukukuna tabi yönleri bakımından İsviçre Veri Koruma Mevzuatı'na yapılmış sayılır.

4. Denetim Makamı (Ek I.C). İsviçre aktarımları bakımından yetkili denetim makamı, İsviçre Veri Koruma Mevzuatı'na tabi aktarımlar için SCC'lerin Ek I.C'sinde belirtilecek olan Federal Veri Koruma ve Bilgi Komiseridir (FDPIC/EDÖB). Bir aktarımın aynı zamanda GDPR'a tabi olması hâlinde (ör. GDPR'ın ülke dışı uygulanması nedeniyle) Taraflar denetim yetkisinin paralel olduğunu ve İsviçre hukuku yönleri için FDPIC/EDÖB'e ek olarak, aktarımın GDPR'a tabi yönleri bakımından SCC'lerin Madde 13'ü uyarınca Ek I.C'de bir AB denetim makamının belirtileceğini kabul eder.

5. Modül ve Roller. Taraflar, Cetvel 1 ve Sözleşme'de açıklanan Müşteri rolünü/rollerini dikkate alarak, İsviçre Kısıtlı Aktarımları bakımından; (a) Müşteri'nin ilgili Müşteri Kişisel Verileri bakımından kendi adına Veri Sorumlusu sıfatıyla hareket ettiği hâllerde Modül İki'nin (Veri Sorumlusu → Veri İşleyen) ve (b) Müşteri'nin başka bir Veri Sorumlusu adına Veri İşleyen sıfatıyla hareket ettiği ve Reslify'ı Hizmetler için söz konusu verileri İşlemek üzere görevlendirdiği hâllerde Modül Üç'ün (Veri İşleyen → Veri İşleyen) uygulanacağını kabul eder. Her iki durumda da uygulanabilir modül bakımından Müşteri veri aktaran, Reslify veri alıcısıdır.

6. İsviçre'deki İlgili Kişilerin Hakları; Madde 18(c). Taraflar, SCC'lerin Madde 18(c)'si bakımından “Üye Devlet” teriminin İsviçre'deki ilgili kişilerin mutat meskenlerinin bulunduğu İsviçre'de talepte bulunmalarını engelleyecek şekilde yorumlanmayacağını açıklar; dolayısıyla İsviçre'deki ilgili kişiler, emredici İsviçre hukuku hükümleri saklı kalmak kaydıyla, SCC'ler kapsamında kendilerine tanınan üçüncü taraf lehtar haklarını ileri sürmek için İsviçre'de dava açabilir.

7. İsviçre Aktarımlarına Uygulanacak Hukuk (Madde 17). Yalnızca İsviçre Veri Koruma Mevzuatı'na tabi aktarımlarda SCC'lerin Madde 17'si, SCC'lere (işbu İsviçre Eki ile tamamlandığı şekliyle) İsviçre hukuku uygulanacak şekilde tamamlanır.

8. İsviçre Aktarımları İçin Yetkili Merci ve Yargı Yetkisi Seçimi (Madde 18(b)). Yalnızca İsviçre Veri Koruma Mevzuatı'na tabi aktarımlarda SCC'lerin Madde 18(b)'si, SCC'lerden (işbu İsviçre Eki ile tamamlandığı şekliyle) doğan uyuşmazlıkların İsviçre'nin yetkili mahkemelerince çözümleneceği şekilde tamamlanır.

9. Öncelik Sırası. SCC'ler ile işbu İsviçre Eki arasında bir çelişki olması hâlinde işbu İsviçre Eki, yalnızca İsviçre'ye özgü gereklilikleri yansıtmak için gerekli olan İsviçre hukukuna özgü unsurlar bakımından önceliklidir; bunun dışında SCC'ler önceliklidir.

CETVEL 5

TÜRKİYE (KVKK) EKİ

İşbu Cetvel 5 yalnızca (i) Müşteri'nin Türkiye'de kurulu olduğu ve/veya (ii) Müşteri Kişisel Verilerinin İşlenmesi ve/veya aktarımının 6698 sayılı Kişisel Verilerin Korunması Kanunu'na (“KVKK”) ve yurt dışına aktarımlara ilişkin ikincil düzenlemelere tabi olduğu hâllerde ve ölçüde uygulanır.

1. Tanımlar ve Yorum. İşbu Cetvel 5 bakımından, VİS'teki “Veri Koruma Mevzuatı” atıfları, uygulandığı ölçüde KVKK'yı kapsar. “Controller” ve “Processor” terimleri, KVKK bakımından ilgili olduğu hâllerde sırasıyla “Veri Sorumlusu” ve “Veri İşleyen” olarak yorumlanır.

2. Türkiye'den Yurt Dışına Aktarımlar (KVKK Madde 9).

2.1 Müşteri, Reslify'ın Hizmetleri sunarken Müşteri Kişisel Verilerini Türkiye dışında (AB/AEA ve/veya Amerika Birleşik Devletleri dâhil) barındırabileceğini ve/veya bu verilere Türkiye dışından erişebileceğini ve bunun KVKK kapsamında yurt dışına veri aktarımı teşkil edebileceğini kabul eder.

Desteklenen PAYTR pazaryeri akışı etkinleştirildiğinde Reslify Bilişim Pazarlama Limited Şirketi, bu akışı sunmak için gerekli işlem, lehtar, ödeme aktarımı, iade, düzeltme ve mutabakat üst verilerini Reslify'ın Alt Veri İşleyeni sıfatıyla İşleyebilir. Bu kuruluşun kendi pazaryeri hesabı, komisyon, muhasebe, vergi, dolandırıcılığı önleme, hukuka uyum veya hukuki talep amaçları için bağımsız Veri Sorumlusu sıfatıyla gerçekleştirdiği İşleme, Gizlilik Politikası'na tabidir ve işbu VİS kapsamına girmez. Reslify, bu kuruluşun atanması ve erişimi için gerekli şirketler arası işleme ve aktarım şartlarını yürürlükte tutar.

2.2 Müşteri'nin Kişisel Verileri İşlemesi; Talimatlar. Müşteri, Hizmetleri kullanırken Reslify'ı Veri İşleyen olarak görevlendirmesi dâhil olmak üzere Kişisel Verileri yürürlükteki Veri Koruma Mevzuatı'na uygun şekilde İşler. Tereddüde mahal vermemek adına, Müşteri'nin Müşteri Kişisel Verilerinin İşlenmesine ilişkin talimatları yürürlükteki Veri Koruma Mevzuatı'na uygun olmalıdır. Taraflar, Müşteri'nin Sözleşme'yi akdettiği tarih itibarıyla Sözleşme'nin (işbu VİS dâhil) Müşteri Kişisel Verilerinin İşlenmesine ilişkin Müşteri'nin eksiksiz ve belgelendirilmiş talimatlarını oluşturduğunu kabul eder. Açıklık adına, Müşteri'nin belgelendirilmiş talimatları; her biri Sözleşme'yle uyumlu olduğu ölçüde, Müşteri'nin Hizmetleri yapılandırmasını ve kullanmasını (yönetim ayarları ve özellik seçimleri dâhil), Hizmetlerin self-servis kontrollerini kullanmasını ve Müşteri tarafından veya adına gönderilen her türlü destek talebini ya da API çağrısını da kapsar. İşleme kapsamını Sözleşme'nin ötesinde önemli ölçüde genişleten ilave veya alternatif talimatlar, Taraflarca kararlaştırılır ve işbu VİS'e yapılacak yazılı bir değişiklikle belgelendirilir. Müşteri; (a) Müşteri Kişisel Verilerinin doğruluğundan, (b) Müşteri Kişisel Verilerini toplama ve elde etme yönteminden ve (c) Müşteri Kişisel Verilerinin Reslify tarafından İşlenmesiyle bağlantılı olarak yürürlükteki Veri Koruma Mevzuatı uyarınca gerekli tüm bildirimlerin yapılmasını ve gerekli tüm rıza ve izinlerin alınmasını sağlamaktan münhasıran sorumludur.

2.3 Standart Sözleşme Gerekliliği (İkame Etmez). Taraflar, işbu Cetvel 5'in tek başına KVKK kapsamındaki yurt dışına aktarımlar için bir “uygun güvence” teşkil etmediğini kabul eder. Uygun güvence olarak bir Türk standart sözleşmesinin gerekli olduğu hâllerde Taraflar, Kişisel Verileri Koruma Kurumu/Kurulu tarafından yayımlanan (ve zaman zaman güncellenebilecek) ilgili Standart Sözleşmeyi (SS-1/SS-2/SS-3/SS-4) (“Türk Standart Sözleşmesi”) akdeder. Açıklık adına, Müşteri'nin belgelendirilmiş talimatları, Bölüm 8 ve Cetvel 4'te (uygulanabildiği şekilde) açıklanan uluslararası aktarımlara ve üçüncü ülkelerden uzaktan erişime ilişkin talimatları kapsar.

2.4 Değişiklik Yapılmaması; Türkçe Metnin Önceliği. Türk Standart Sözleşmesi'nin standart metni değiştirilmeden kullanılır. Türk Standart Sözleşmesi'nin başka bir dilde de akdedilmesi hâlinde Türkçe metin önceliklidir.

2.5 Akdedilme Şekli. Türk Standart Sözleşmesi, aktarım tarafları arasında ayrı bir sözleşme olarak akdedilir ve usulüne uygun yetkilendirilmiş imza yetkililerince imzalanır.

3. Kuruma Bildirim (5 İş Günü). Taraflar, yürürlükteki kurallar uyarınca Türk Standart Sözleşmesi'nin tüm imzaların tamamlanmasını izleyen beş (5) iş günü içinde Kişisel Verileri Koruma Kurumuna bildirilmesi gerektiğini kabul eder. Türk Standart Sözleşmesi bildirim yükümlülüğünü açıkça başka şekilde tahsis etmedikçe Taraflar, bildirimi yapmaktan sorumlu taraf olarak Müşteri'yi (veri aktaran sıfatıyla) belirler. Reslify, Müşteri'nin talebi üzerine söz konusu bildirim için gerekli makul iş birliği ve bilgileri sağlar. Taraflar, bildirim süresinin belirlenmesi amacıyla her bir aktarım tarafının imza tarihinin Türk Standart Sözleşmesi'nde belirtilmesini sağlar. İşbu Cetvel 5'te bildirim sorumluluğuna ilişkin her türlü tahsis, Türk Standart Sözleşmesi'nde yapılan seçimlerle/doldurulan alanlarla uyumlu şekilde uygulanır.

4. Uyum; Destek; İlgili Kişi Hakları; İhlal Bildirimi. Reslify, Müşteri Kişisel Verilerini VİS uyarınca ve uygulanabildiği ölçüde KVKK kapsamındaki genel ilkelere (KVKK Madde 4 dâhil) uygun olarak İşler. Reslify, VİS'teki destek hükümleriyle uyumlu olarak, KVKK Madde 11 kapsamındaki İlgili Kişi taleplerine yanıt vermesi için Müşteri'ye makul destek sağlar. Reslify, Müşteri Kişisel Verilerini etkileyen bir Kişisel Veri İhlalinden haberdar olduktan sonra, VİS'teki ihlal bildirimi hükümleriyle uyumlu olarak Müşteri'yi gecikmeksizin bilgilendirir.

5. Öncelik Sırası. İşbu Cetvel 5 ile Türk Standart Sözleşmesi arasında çelişki olması hâlinde Türk Standart Sözleşmesi, yalnızca KVKK'nın yurt dışına veri aktarımı gerekliliklerine uymak için gerekli olduğu ölçüde önceliklidir. İşbu Cetvel 5'in hiçbir hükmü VİS kapsamında sağlanan korumaları azaltmayı amaçlamaz.