Veri İşleme Sözleşmesi

Burada tanımlanmayan büyük harfli terimler GDPR veya UK GDPR'de verilen anlama sahiptir. 'Müşteri', Randvu'nun Hizmet Şartlarını kabul eden kuruluşu ifade eder. 'Müşteri Kişisel Verisi', Randvu'nun Müşteri adına işlediği kişisel verileri ifade eder. 'Alt İşleyici', Randvu tarafından Müşteri Kişisel Verisini işlemek için görevlendirilen herhangi bir üçüncü taraftır.

Müşteri, Müşteri Kişisel Verisinin veri sorumlusudur. Randvu veri işleyendir ve geçerli yasalar aksini gerektirmedikçe yalnızca Müşteri'nin belgelenmiş talimatları üzerine, üçüncü ülkeye aktarımlar dahil, Müşteri Kişisel Verisini işler.

Randvu, Müşteri Kişisel Verisini Hizmet Şartlarında ve siparişte tanımlanan Hizmeti sunmak için işler. İşleme; rezervasyon yönetimi, iletişim, faturalama, destek ve Hizmeti işletmek için gerekli analitiği kapsar. Veri sahibi kategorileri arasında Müşteri'nin personeli ve müşterileri/misafirleri yer alır. Kişisel veri kategorileri arasında tanımlayıcılar, iletişim bilgileri ve rezervasyonla ilgili veriler bulunur.

Müşteri, aşağıdaki şartlara tabi olarak Randvu'nun Müşteri Kişisel Verisini işlemek üzere Alt İşleyici görevlendirmesini yetkilendirir:

• Bu DPA'da yer alandan daha az koruyucu olmayan veri koruma yükümlülükleri içeren yazılı bir sözleşme.
• Randvu'nun her Alt İşleyicinin performansından sorumlu kalması.
• Randvu'nun mevcut Alt İşleyicilerin listesini tutması ve eklemeler veya değiştirmeler için meşru veri koruma gerekçeleriyle itiraz etme fırsatı vererek bildirim yapması.

Randvu, Müşteri Kişisel Verisini kazara veya hukuka aykırı imha, kayıp, değişiklik, yetkisiz ifşa veya erişime karşı korumak için uygun teknik ve organizasyonel önlemler uygular. Önlemler şunları içerir:

• Aktarım sırasında şifreleme ve hassas alanlarda durağan veride şifreleme.
• Erişim kontrolleri ve en az yetki ilkesi.
• Günlükleme, izleme ve güvenlik olaylarının düzenli incelenmesi.
• Personel gizlilik yükümlülükleri ve güvenlik eğitimi.
• Tedarikçi risk yönetimi ve olay müdahale prosedürleri.

İşlemenin niteliğini dikkate alarak Randvu, Müşteri'nin geçerli veri koruma yasaları kapsamındaki haklarını (erişim, düzeltme, silme, kısıtlama, taşınabilirlik ve itiraz) kullanan veri sahiplerinin taleplerine yanıt vermesini sağlamak için makul yardım sağlayacaktır. Randvu doğrudan bir talep alırsa, veri sahibini Müşteri'ye yönlendirecektir.

Randvu, Müşteri Kişisel Verisini etkileyen bir Kişisel Veri İhlalinden haberdar olduktan sonra Müşteri'yi gereksiz gecikme olmaksızın bilgilendirecek ve Müşteri'nin geçerli yasalar kapsamındaki bildirim yükümlülüklerini yerine getirmesini sağlamak için Randvu'ya makul olarak ulaşılabilir bilgileri sağlayacaktır.

Randvu, Müşteri Kişisel Verisini AEA, Birleşik Krallık veya İsviçre dışındaki, yeterli koruma düzeyi sağladığı kabul edilmemiş bir ülkeye aktardığında, taraflar bu DPA'ya atıfla dahil edilen Standart Sözleşme Maddelerine veya başka bir hukuka uygun aktarım mekanizmasına dayanır.

Randvu, bu DPA'ya uyumu göstermek için gerekli bilgileri Müşteri'nin kullanımına sunacaktır. Müşteri, masrafları kendisine ait olmak üzere ve yılda birden fazla olmamak üzere (bir düzenleyici tarafından gerekli kılındığı veya bir Kişisel Veri İhlalinin ardından hariç), makul bir önceden bildirimde bulunarak ve normal mesai saatleri içinde, gizlilik yükümlülüklerine tabi olarak Randvu'nun uyumunu denetleyebilir.

Hizmetin sona ermesi veya süresinin dolması durumunda, Randvu, geçerli yasaların aksini gerektirmedikçe, Müşteri'nin tercihine bağlı olarak Müşteri Kişisel Verisini silecek veya iade edecek ve mevcut kopyaları silecektir.

Bu DPA, Müşteri'nin Hizmet Şartlarını kabul etmesiyle yürürlüğe girer ve Randvu, Müşteri adına Müşteri Kişisel Verisini işlediği sürece yürürlükte kalır.