ABD Eyalet Kanunları Gizlilik Eki

Bu ABD Eyalet Kanunları Gizlilik Eki ("Ek"), Ana Abonelik Sözleşmenizin şartlarını, Hizmet Şartlarını veya Bayi Müşteri Hizmet Şartlarını (hangisi geçerliyse, "Sözleşme") tamamlar ve bazı ABD eyaletlerindeki Kanunlar ile bağlantılı olarak belirli veri gizliliği haklarını ve yükümlülüklerini belirler. Burada kullanılan ancak tanımları verilmemiş olan büyük harfle yazılmış terimler, Sözleşme'de kendilerine atfedilen anlama sahiptir.

Bölüm A – Genel Hükümler. Ek'in bu Bölüm A'sı, Müşteri'nin bir İşletme veya Veri Sorumlusu olduğu ve Zoom'un Müşteri Kişisel Bilgilerini veya Kişisel Verilerini CCPA ya da diğer Geçerli Eyalet Veri Koruma Kanunları uyarınca İşlediği durumlarda Zoom'un Hizmetleri sağlaması ve Müşteri'nin Hizmetleri kullanması ile ilgili olarak geçerlidir.

1. Tanımlar. Bu Ek'te kullanıldığı hâliyle, “Müşteri” Zoom Hizmetlerine abone olan bir İşletme veya Veri Sorumlusudur. Bu A Bölümünde kullanılan ancak tanımları verilmemiş olan büyük harfle yazılmış terimler, aşağıdaki Bölüm B(1) ve C(1)'de kendilerine atfedilen anlama sahiptir.
2. Denetimler ve Değerlendirmeler.
   1. Zoom, ISO 27001 ve SOC 2 Tip II çerçevelerine uygunluk için aşağıdaki gibi üçüncü taraf denetimlerinin gerçekleştirilmesini sağlayacaktır:
      1. Zoom, SOC-2 denetimi kapsamında Güvenliği, Kullanılabilirliği ve Gizlilik Kriterlerini yıllık olarak denetleyecektir.
      2. Denetimler, geçerli kontrol standardı veya çerçeve için yetkili düzenleme ya da akreditasyon kurumunun standartlarına ve kurallarına göre yapılacaktır.
      3. Denetimler, Zoom'un seçtiği ve masraflarını karşıladığı nitelikli ve bağımsız üçüncü taraf güvenlik denetmenleri tarafından yapılacaktır.
      4. Her bir denetimde müşterilerin erişimine açık bir denetim raporu ("Zoom Denetim Raporu") oluşturulacaktır ve Zoom, bu raporu Müşteri'nin talep etmesi hâlinde yıllık olarak sunacaktır. Zoom Denetim Raporu, Zoom'un Gizli Bilgisi olacaktır.
3. Bilgilerin Alınmasına Dair Kısıtlamalar. İşbu Ekteki hiçbir husus Zoom'un şunları açıklamasını gerektirmeyecektir: (a) Zoom'un başka herhangi bir müşterisinin veya herhangi bir üçüncü tarafın her türlü veri veya bilgisi; (b) her türlü kurum içi muhasebe ya da finans bilgisi; (c) Zoom'un her türlü ticari sırrı veya (d) Zooom'un makul kanaatine göre (i) Zoom'un ağlarının, sistemlerinin ya da tesislerinin güvenliğini tehlikeye atabilecek, (ii) Zoom'un herhangi bir üçüncü tarafa karşı güvenlik veya gizlilik yükümlülüklerini ihlal etmesine yol açabilecek ya da (iii) işbu Ek'te belirtilen nedenlerden başka herhangi bir nedenle istenen her türlü bilgi. Zoom, Müşteri'ye Zoom Denetim Raporunu sağlamadan önce Müşteri'nin makul Zoom'a ait (veya üçüncü taraf denetçisi veya değerlendiricisi tarafından belirlenen) hüküm ve koşulları kabul etmesini zorunlu tutabilir.
4. Verilerin Silinmesi. Zoom, (a) Müşteri için geçerli olan Geçerli Eyalet Veri Koruma Kanunlarının gerektirdiği şekilde ve Müşteri'nin takdirine göre, Hizmetlerin sağlanmasının sonunda ya da (b) CCPA'nın gerektirdiği şekilde tüm Kişisel Verileri silecek veya Müşteri'ye iade edecektir. Kişisel Bilgiler, Müşteri ile Zoom arasındaki ilişki sona erdiğinde veya feshedildiğinde saklamayacak, kullanmayacak ve açıklamayacaktır. Bu Bölüm A(4)'te (Verilerin Silinmesi) yer alan hiçbir husus, Zoom'un (i) yürürlükteki Kanunlar uyarınca tutması gereken verileri silmesini veya iade etmesini ya da (ii) teknik olarak iadenin mümkün olmadığı veya iade etmenin Zoom için önemli derecede yük, masraf ya da her ikisine de neden olabileceği durumlarda Kişisel Verileri yok etmek yerine iade etmesini gerektirmeyecektir.

Bölüm B – Kaliforniya.  Ek'in bu Bölüm B'si Zoom’un Hizmetleri sunması ve Müşteri'nin kullanmasıyla ilgili olarak, Müşteri bir İşletme olduğu ve Zoom, Kişisel Bilgileri Müşteri adına CCPA uyarınca İşlediği durumlarda geçerli olacaktır.

1. Tanımlar. Ek'in bu B Bölümünde kullanıldığı şekliyle: (a) "CCPA", 2020 tarihli Kaliforniya Gizlilik Hakları Yasası ile değiştirilen 2018 tarihli Kaliforniya Tüketici Gizliliği Yasası ve buna bağlı olarak ilan edilen tüm yönetmelikler anlamına gelmektedir; (b) "İşletme", "İş Amacı", "Ticari Amaç", "Tüketici", "İşleme", "Satış", "Hizmet Sağlayıcı" ve "Paylaşma" terimleri CCPA'da belirtilen ilgili anlamlara gelmektedir; ve (c) "Kişisel Bilgiler", CCPA'da tanımlandığı şekliyle "kişisel bilgiler" anlamına gelir ancak bu yalnızca Hizmetlerin Müşteri'ye Sözleşme kapsamında bir İşletme sıfatıyla sağlanması sırasında kişisel bilgilerin Zoom tarafından toplandığı, erişildiği, elde edildiği, alındığı, kullanıldığı, açıklandığı veya başka bir şekilde işlendiği durumlarda geçerlidir.
2. Kabuller ve Yükümlülükler. Zoom (a), Kişisel Bilgilerin Müşteri tarafından yalnızca bir Sipariş Formunda açıklanan Hizmetlerin sağlanmasına ilişkin sınırlı ve belirli amaçlar ve Sözleşme'de açıklanan amaçlar için açıklandığını kabul etmektedir; (b) CCPA kapsamında Hizmet Sağlayıcılar için geçerli olan yükümlülüklere uyacaktır ve İşletmeler tarafından sağlanması gereken aynı gizlilik koruması da dahil olmak üzere, CCPA'nın gerektirdiği şekilde Kişisel Bilgilerin gizliliğinin aynı düzeyde korunmasını sağlayacaktır; (c) Zoom'un Kişisel Bilgileri kullanımının Müşteri'nin CCPA kapsamındaki yükümlülükleriyle tutarlı olmasını sağlamaya yardımcı olmak için Müşteri tarafından buradaki Bölüm A(2) ile tutarlı, makul ve uygun adımların atılabileceğini kabul etmektedir; (d) Zoom, CCPA kapsamındaki yükümlülüklerini artık yerine getiremeyeceğini tespit etmesi hâlinde bunu derhal Müşteri'ye bildirecektir; ve (e) Müşteri'nin, bildirim üzerine, Zoom'un geçerli bir silme talebine tabi olan Kişisel bilgileri artık saklamadığını veya kullanmadığını doğrulayan makul belgeleri Zoom'dan talep ederek, geçerli düzenlemelere uygun şekilde Kişisel Bilgilerin yetkisiz kullanımını durdurmak ve düzeltmek için makul ve uygun adımlar atabileceğini kabul etmektedir.
3. Kısıtlamalar. Zoom (a) Kişisel Bilgileri Satmaz veya Paylaşmaz; (b) herhangi bir Kişisel Bilgiyi yukarıda Bölüm B(2)(a)'da açıklanan veya CCPA tarafından izin verilen amaçlar dışında herhangi bir amaç için saklamaz, kullanmaz veya herhangi bir Kişisel Bilgiyi bu amaçlar dışında başka herhangi bir Ticari Amaç için ya da farklı bir İşletmeye hizmet etme amacıyla açıklamaz; (c) CCPA'nın izin verdiği kapsam dışında, Kişisel Bilgileri Zoom ve Müşteri arasındaki doğrudan iş ilişkisi dışında saklamaz, kullanmaz ve açıklamaz veya (d) Sözleşme uyarınca alınan Kişisel Bilgileri başka bir taraftan alınan Kişisel Bilgilerle veya Zoom'un Kişisel Bilgilerin kendisiyle ilgili olduğu Tüketici ile etkileşimlerinden elde edilen Kişisel Bilgilerle, CCPA kapsamında bir Hizmet Sağlayıcının izin verdiği durumlar dışında birleştirmez. Zoom, işbu Ek kapsamındaki yükümlülüklerini anladığını ve bunlara uyacağını onaylamaktadır.
4. Denetimler, İncelemeler ve Değerlendirmeler. Müşteri, Zoom'un gerekli gördüğü makul kurallara ve yazılı anlaşmalara tabi olması ve CCPA ile tutarlı olması kaydıyla ve masraflarla giderleri yalnızca Müşteri'ye ait olmak üzere, yukarıdaki Bölüm A(2) (Denetimler ve Değerlendirmeler) uyarınca Zoom'u her 12 ayda en fazla bir defa denetleyebilir, inceleyebilir veya değerlendirebilir.
5. Tüketici Talepleri. Müşteri, bir Tüketici talebini aldıktan ve doğruladıktan sonra Zoom'u derhal bilgilendirecek ve gerekli tüm bilgileri Zoom'a sağlayacaktır. Zoom, bireylerin kendilerine ait Kişisel Bilgiler hakkındaki bilgilere erişme, bunları düzeltme, silme, söz konusu bilgilerin Satışı veya Paylaşımını devre dışı bırakma ya da bunlarla bilgi alma dahil ancak bunlarla sınırlı olmamak üzere CCPA kapsamındaki, haklarını kullanma taleplerini yerine getirmelerinde Müşteri'ye yardımcı olmak için Tüketicinin Gizli Bilgileriyle ilgili olan ve Müşteri'nin makul ölçüde talep edebileceği bilgileri sağlayacak ve gereken işlemleri ivedilikle yerine getirecektir. Zoom, Müşteri'nin Tüketicilerinden doğrudan herhangi bir talep alırsa, Zoom (i) Tüketiciye, bu talebi doğrudan Müşteri'ye iletmesini bildirebilir veya (ii) Müşteri'nin Tüketiciye doğrudan yanıt vermesi için Müşteri ile iletişime geçebilir.

Bölüm C – Virginia, Colorado, Utah ve Diğer Eyaletler. Ek'in bu Bölüm C'si, Müşteri Kişisel Verilere ilişkin bir Veri Sorumlusu olduğu ve Zoom, Müşteri'nin Kişisel Verilerini Geçerli Eyalet Veri Koruma Kanunları kapsamında İşlediği durumlarda Zoom'un Hizmetleri sağlaması ve Müşteri'nin Hizmetleri kullanması ile ilgili olarak geçerlidir.

1. Tanımlar. Ek'in bu C Bölümünde kullanıldığı şekliyle: (a) "Geçerli Eyalet Veri Koruma Kanunları", (i) değiştirilmiş hâlleriyle 2021 tarihli Colorado Gizlilik Yasası, 2021 tarihli Virginia Tüketici Verilerini Koruma Yasası veya 2022 Utah Tüketici Gizliliği Yasası ya da (ii) Kişisel Verilerin korunması amacıyla yürürlüğe giren ve Müşteri'nin Veri Sorumlusu, Zoom'un İşleyen olduğu ve bu Ek'in hüküm ve koşullarının ilgili eyalet Kanunlarının gerekliliklerini karşıladığı başka bir geçerli ABD eyalet Kanunu anlamına gelir; (b) "Veri Sorumlusu", "Kişisel Veriler", "İşleme" ve "İşleyici", Geçerli Eyalet Veri Koruma Kanunlarında kendilerine verilen anlamlara sahip olacaktır; ve (c) "Talimatlar" aşağıda belirtilen anlama sahiptir.
2. Kişisel Verilerin İşlenmesi: Roller, Kapsam ve Sorumluluk.
   1. Taraflar şunları kabul ve beyan ederler: Müşteri, Müşteri Kişisel Verilerinin Sorumlusudur. Zoom, Müşteri Kişisel Verilerinin İşleyicisidir.
   2. Yalnızca gerekli ve orantılı olduğu durumlarda, Veri Sorumlusu olarak Müşteri, Zoom'a İşleyici olarak Müşteri adına aşağıdaki faaliyetleri yerine getirmesi için talimat verir (hep birlikte "Talimatlar"):
      1. Hizmetleri; Müşteri'nin Zoom ayarları, yönetici kontrolleri veya diğer Hizmet işlevleri için belirlediği özel ayarlar da dahil olmak üzere, Müşteri ve kullanıcıları tarafından lisanslandırıldığı, yapılandırıldığı ve kullanıldığı şekilde sağlayacak ve güncelleyecektir;
      2. Hizmetlerin güvenliğini temin edecek ve Hizmetleri gerçek zamanlı olarak izleyecektir;
      3. Sorunları, yazılım sorunlarını ve hataları çözecektir;
      4. Müşteri tarafından talep edildiğinde destek sağlayacaktır. Bu desteğe, bireysel müşteri destek taleplerinden elde edilen bilgilerin tüm Zoom müşterilerine fayda sağlayacak şekilde ancak söz konusu bilgilerin anonim hâle getirilmesi kaydıyla kullanılması dahil olacaktır ve
      5. Müşteri Kişisel Verilerini Sözleşme'de (bu Ek ve Ek A'sı dahil) ve talimat teşkil edecek şekilde Müşteri tarafından sağlanıp Zoom tarafından kabul edilen diğer belgelendirilmiş talimatlarda belirtildiği gibi işleyecektir.
   3. Zoom'un Müşteri Kişisel Verilerinin İşleyicisi olarak hareket ettiği durumlarda Zoom, Müşteri Kişisel Verilerini yalnızca Müşteri'nin Talimatları doğrultusunda İşleyecektir. Müşteri, Zoom'a verdiği Talimatların Müşteri Kişisel Verileri için geçerli tüm Kanunlara, kurallara ve yönetmeliklere uygunluğunu ve Müşteri Kişisel Verilerinin Müşteri Talimatları uyarınca İşlenmesinin Zoom'un Geçerli Eyalet Veri Koruma Kanunlarını ihlal etmesine neden olmayacağını temin edecektir. Müşteri yalnızca (i) Zoom'a Müşteri tarafından veya onun adına sağlanan Müşteri Kişisel Verilerinin; (ii) Müşteri'nin bu Müşteri Kişisel Verilerini elde etme şeklinin ve (iii) söz konusu Müşteri Kişisel Verilerinin İşlenmesi ile ilgili olarak Zoom'a verdiği Talimatların doğruluğu, niteliği ve meşruluğundan sorumludur. Müşteri, Zoom'a Sözleşme'yi veya işbu Ek'i ihlal eden hiçbir Müşteri Kişisel Verisi sağlamayacak veya bu tür veriyi Zoom için erişilir kılmayacaktır.
   4. Müşteri, sınırlı durumlarda Kişisel Verilerin taranması ve raporlanması için Zoom'u yetkilendirmektedir (ör. Çocuk Cinsel İstismarı Materyalinin tespit edilmesi ve raporlanması; diğer geçerli Kanunlara uyulması, Zoom'un Kabul Edilebilir Kullanım Yönergelerine uyumun temin edilmesi).
3. Yetkilendirilen Şahıslar. Zoom, Müşteri Kişisel Verilerini İşlemek için yetkilendirilen tüm şahısların Müşteri Kişisel Verilerinin gizli mahiyeti hakkında bilgilendirilmesini ve bu verilere ilişkin bir gizlilik yükümlülüğüne tabi olmasını temin edecektir.
4. Taşeronlar ve Alt İşleyiciler. Zoom'un bir İşleyici olduğu durumlarda Müşteri, Zoom'a bu Bölüm C(4) uyarınca genel olarak taşeronlar ve alt işleyiciler görevlendirme yetkisi vermektedir.
   1. Müşteri, Zoom'un Müşteri'nin Kişisel Verilerini İşlemesi için https://explore.zoom.us/tr/subprocessors/ adresinde bulunan sağlayıcılarla çalışmasını onaylamaktadır.
   2. Zoom sağlayıcıları kaldırabilir değiştirebilir veya ek sağlayıcılar atayabilir. Müşteri'nin https://explore.zoom.us/tr/subprocessors/ adresindeki güncellemelere abone olması koşuluyla Zoom, bu sağlayıcı görevlendirmelerindeki değişiklikleri Müşteri'ye bildirecektir. Geçerli Eyalet Veri Koruma Kanunlarının gerektirdiği durumlarda Zoom, Müşteri'ye işbu belgenin C(4)(d) ve C(4)(e) Bölümleri uyarınca görevlendirmeye itiraz etme fırsatı da sağlayacaktır.
   3. Hizmetlerin kullanılabilirliği veya güvenliği ile ilgili acil bir durumda, Zoom'un alt yüklenicilerin görevden alınması, değiştirilmesi veya atanması konusunda Müşteri'ye önceden bildirimde bulunması gerekmez ancak alt yüklenici değişikliğini takip eden yedi (7) iş günü içinde bildirimde bulunacaktır.
   4. Her iki durumda da Müşteri, söz konusu bildirimin Zoom tarafından alınmasından itibaren on beş (15) iş günü içinde yazılı olarak bir alt yüklenicinin bu şekilde görevlendirilmesine itiraz edebilir.
   5. Müşteri'nin yeni bir alt yüklenicinin görevlendirilmesine itiraz etmesi hâlinde Zoom, aşağıdaki seçeneklerden biri aracılığıyla itirazı ortadan kaldırma hakkına sahip olacaktır (tamamen Zoom'un takdirine bağlı olarak seçilecektir):
      1. Zoom, Müşteri Kişisel Verileri ile ilgili olarak taşeronu görevlendirme planlarını iptal edebilir.
      2. Zoom, Müşteri'nin itirazında talep ettiği düzeltici adımları (Müşteri'nin itirazını ortadan kaldıran) atabilir ve Müşteri Kişisel Verileri ile ilgili olarak taşeronu görevlendirmeye devam edebilir.
      3. Zoom, Hizmetin Müşteri Kişisel Verileri ile ilgili olarak böyle bir alt yüklenicinin görevlendirilmesini içeren belirli bir yönünü sağlamayı durdurabilir veya Müşteri, Hizmetin bu şekildeki belirli bir yönünü (geçici veya kalıcı olarak) kullanmamayı kabul edebilir. Zoom, Müşteri'ye, Hizmetlerde değişiklik yapılması da dahil ancak bununla sınırlı olmamak üzere, söz konusu görevlendirmenin ticari açıdan makul alternatiflerini (varsa) yazılı bir açıklamayla sunacaktır. Zoom tamamen kendi takdirine göre, böyle alternatifler sağlayamazsa veya Müşteri söz konusu alternatifleri kabul etmezse, Zoom ve Müşteri işbu Ek dahil olmak üzere Sözleşmeyi altmış (60) gün önceden yazılı bildirimde bulunarak feshedebilir. Fesih, Müşteri'yi Sözleşme kapsamında feshin yürürlük tarihine kadar sağlanan Hizmetler için Zoom'a borçlu olduğu hiçbir ücret veya masraftan kurtarmayacaktır.
      4. Müşteri, Zoom'dan bildirimde bulunulmasını takip eden 15 iş günü içinde yeni bir taşeronun görevlendirilmesine itiraz etmezse, söz konusu yeni taşeron kabul edilmiş sayılacaktır.
   6. Zoom, Müşteri'nin Kişisel Verilerini yalnızca yazılı bir sözleşme uyarınca İşleyen bir taşeronu görevlendirir ve taşerona, Zoom'un söz konusu Kişisel Verilerle ilgili tüm yükümlülüklerini yerine getirmesini şart koşar. Söz konusu taşeronun, yükümlülükleri doğrultusunda çalışırken verilerin korunması konusundaki yükümlülüklerini yerine getirmemesi hâlinde, Zoom, ilgili fiiller veya ihmalleri kendisinin gerçekleştirmesi durumunda olacağı gibi işbu Ek kapsamında sorumlu Müşteri'ye karşı sorumlu olmaya devam eder.
5. Bilgi Güvenliği. İşleme bağlamını göz önünde bulundurarak Zoom, bu Ek'e uygun olarak veya Sözleşme'de açıkça belirtildiği şekilde riske uygun bir güvenlik düzeyi sağlamak için Müşteri'nin Kişisel Verileri ile ilgili uygun teknik ve organizasyonel önlemleri alacaktır.
6. Uyumluluk Bilgileri. Müşteri'nin makul talebi üzerine Zoom, geçerli Kanunlarla tutarlı bir şekilde ve bu Kanunlar uyarınca, Zoom'un sahip olduğu ve Zoom'un işbu Ek'teki yükümlülüklerine uyduğunu göstermek için gereken makul bilgileri Müşteri'ye temin edecektir.