Bu Veri İşleme Sözleşmesi (DPA) kullanım koşullarımızın parçasıdır ve B2B müşteri olarak son kullanıcılarının kişisel verilerini senin adına işlediğimiz bir hizmet aldığında otomatik olarak uygulanır (GDPR m. 28). Ayrıca imzalamana gerek yok — koşulları kabul = bu DPA'yı kabul.
1. Taraflar ve roller
Veri sorumlusu: sen, müşteri ("Müşteri").
Veri işleyen: InternalHost (şahıs işletmesi Xaviero Kajafas, Hollanda KvK 90174720).
InternalHost kişisel verileri sadece Müşterinin talimatları üzerine ve sadece kararlaştırılan hizmetleri (hosting, depolama, mail, ağ) sunmak için gerekli olduğu ölçüde işler.
2. Konu ve süre
- Konu: sunduğumuz IT altyapı hizmetleri bağlamında kişisel veri işleme.
- İşleme niteliği: depolama, iletim (altyapımız içinde), yedekleme — son kullanıcı içeriğinin bizim tarafımızdan aktif işlenmesi yok.
- Amaç: kararlaştırılan IT hizmetlerinin kullanıma sunulması.
- İlgili kişi kategorileri: Müşteri tarafından belirlenir. Bizim görünürlüğümüz yok (veritabanlarına bakmıyoruz).
- Kişisel veri türleri: Müşteri tarafından belirlenir. Özel kategoriler (sağlık, din, vb.) Müşterinin uygun teknik ve organizasyonel önlemler alması koşuluyla izinli.
- Süre: ana sözleşme devam ettiği sürece, artı feshten sonra 14 günlük kurtarma süresi.
3. Güvenlik önlemleri
InternalHost en azından aşağıdaki teknik ve organizasyonel önlemleri alır:
- İletimde şifreleme: tüm public endpoint'lerde TLS 1.2+, dahili mesh için WireGuard.
- At-rest şifreleme: tüm depolama volume'larında LUKS. Müşteri seviyesinde şifreleme Müşterinin sorumluluğunda.
- Erişim kontrolü: SSH sadece ed25519 anahtarlarıyla, admin erişim için MFA zorunlu, en az ayrıcalık prensibi.
- Loglama: altyapı erişimi loglanır (90 gün).
- Yedekler: müşteri volume'larının günlük şifreli snapshot'ları, 7g/4h/12a saklama (bizim tarafımızda — uygulama yedeği Müşterinin sorumluluğunda).
- Fiziksel güvenlik: Qupra DC'nin 24/7 personel erişimi, ISO 27001 + 9001 sertifikalı, biyometrik erişim + mantrap var.
- Yazılım güncellemeleri: güvenlik yamaları yayımdan sonra 7 gün içinde, kritik olanlar 24 saat içinde.
- Monitoring: tüm açık servislerde CrowdSec + fail2ban.
Güncel teknik önlem özeti talep üzerine [email protected] adresinden alınabilir.
4. Alt-veri işleyenler
Aşağıdaki alt-veri işleyenleri kullanıyoruz. Hepsi AB'de. Değişiklikleri en az 30 gün önceden bildiriyoruz, böylece Müşteri itiraz edebilir.
| Alt-veri işleyen | Amaç | Lokasyon |
|---|---|---|
| Qupra Data Centers BV | Data center / kolokasyon | Amsterdam, NL |
| Mollie B.V. | Ödemeler | Amsterdam, NL |
| Revolut Payments UAB | Ödemeler (alternatif) | Vilnius, LT |
| Cloudflare Germany GmbH | CDN / DDoS | DE, AB data-region |
| Hoster B.V. (OpenProvider) | Alan adı kaydı (opsiyonel) | Lahey, NL |
5. AB dışına aktarım
AB/AEA dışındaki ülkelere kişisel veri aktarmıyoruz, DDoS durumunda Cloudflare'in CDN olarak zorunlu olarak AB-dışı PoP'lar üzerinden yönlendirmesi hariç. Bu durumda Standard Contractual Clauses bizim ve Cloudflare arasında geçerli olur.
6. Veri ihlali prosedürü
Müşteriyi etkileyen kişisel veri ihlali için Müşteriyi keşiften sonra 24 saat içinde (kayıttaki email üzerinden) bilgilendiriyoruz:
- İhlalin niteliği
- Etkilenen kişi kategorileri ve yaklaşık sayısı
- Olası sonuçlar
- Alınan veya önerilen önlemler
Veri Koruma Otoritesine bildirim gerekip gerekmediğine Müşteri karar verir. Gerektiği şekilde destek oluyoruz.
7. Fesih ve veri iadesi
Ana sözleşmenin feshinden sonra:
- Müşterinin tüm verileri indirmek için 14 günü vardır (SSH/SFTP ile veya export talebiyle).
- Sonrasında tüm kişisel veriler kalıcı olarak silinir, yasal saklama yükümlülüğü olan durumlar hariç (Hollanda vergi: fatura verileri 7 yıl).
- Talep üzerine yazılı imha sertifikası sağlıyoruz.
Belirli sözleşmeler için (büyük B2B, sağlık, finansal sektör) özel DPA imzalayabiliriz. [email protected] adresine yaz.