Son güncelleme: 10 Temmuz 2025
1.1 Uygulama kapsamı. Bu belge, Drilldown S.r.l. tarafından geliştirilen ve sağlanan, yasal merkezi Viale Isonzo 8, 20135 Milano (MI), İtalya adresinde bulunan, KDV/Vergi No. 12392590969 olan "Tuduu" adlı çevrimiçi platformun (bundan sonra "Platform") genel kullanım şartlarını (bundan sonra "Şartlar") belirler. Bu Şartlar, Platforma kayıt olan ve hizmetlerini kullanan tüm Profesyonel Kullanıcılara uygulanır. Profesyonel Kullanıcılar, örnek olarak: "Ricette" ve "Nutrition" bölümlerini kullanan beslenme uzmanları (örn. nutricionista, dietologo, dietista); ağırlıklı olarak "Ricette" bölümünü kullanan içerik üreticileri ve içerik sağlayıcıları; ve "Shop" ile "Ricette" bölümlerini kullanan e-ticaret operatörlerini ifade eder.
1.2 Kabul. Kullanıcının Platforma erişimi, kaydı ve herhangi bir kullanımı, bu Şartların ve bunlarla bağlantılı herhangi bir belgenin (Gizlilik Politikası ve, uygulanabildiği ölçüde, Veri İşleme Sözleşmesi gibi) eksiksiz okunmasını ve açıkça kabul edilmesini gerektirir. Kabul edilmemesi halinde Platformun kullanımı izinli değildir. Kullanıcı, Şartları okuduğunu beyan eder ve her zaman bunlara uymayı taahhüt eder.
1.3 Kullanıcı gereklilikleri. Platform, reşit ve hukuki ehliyete sahip Profesyonel Kullanıcılara yöneliktir. Kayıt olarak Kullanıcı, en az 18 yaşında olduğunu (veya kendi ülkesindeki yasal reşit olma yaşında olduğunu) ve bir şirket veya kurum adına hareket ediyorsa gerekli temsil yetkilerine sahip olduğunu garanti eder. Drilldown, Kullanıcının mesleki statüsünü doğrulamak için ek bilgi veya belge talep etme hakkını saklı tutar (örneğin, yürürlükteki mevzuatın gerektirdiği durumlarda beslenme uzmanları için bir meslek odasına kayıt belgesi).
2.1 Kayıt süreci. Platforma kayıt (i) Platformun web sitesinde sunulan uygun çevrimiçi kayıt formu aracılığıyla, Kullanıcının istenen verileri sağlamasıyla veya (ii) Drilldown tarafından doğrudan gönderilen davet yoluyla (örneğin, iş birlikleri, pilot programlar veya ortaklıklar kapsamında) yapılabilir. Her iki durumda da kayıt tamamlandığında Kullanıcı için kişisel bir hesap oluşturulur (bundan sonra "Hesap").
2.2 Sağlanan veriler ve kimlik bilgileri. Kullanıcı, kayıt sırasında doğru, eksiksiz ve gerçek bilgiler vermeyi (örneğin: ad, soyad, e-posta adresi, mesleki bilgiler vb.) ve bunları güncel tutmayı taahhüt eder. Hesap erişim bilgileri (kullanıcı adı ve parola) kişiseldir ve devredilemez. Kullanıcı, kimlik bilgilerini son derece gizli tutmak ve üçüncü kişilerle paylaşmamak zorundadır. Hesabın kaybolması, çalınması veya yetkisiz kullanım şüphesi halinde Kullanıcı derhal Drilldown’u bilgilendirmelidir; Drilldown gerekli önlemleri alabilir (ör. Hesabın geçici olarak askıya alınması).
2.3 Hesap tekilliği. Drilldown’un belirli ihtiyaçlar için yazılı olarak aksi yönde izin vermesi dışında, her Kullanıcı yalnızca bir Hesap oluşturabilir (örneğin, aynı organizasyonun farklı iş ortakları için ayrı hesaplar). Drilldown, aynı Kullanıcıya ait yinelenen hesapları silme veya birleştirme hakkını saklı tutar.
2.4 Hesabın yönetimi ve askıya alınması. Kullanıcı, kendi Hesabı üzerinden gerçekleştirilen tüm faaliyetlerden sorumludur. Drilldown, bu Şartların ihlali, Platformun kötüye kullanılması veya güvenlik nedenleriyle herhangi bir zamanda ve ön bildirimde bulunmaksızın bir kaydı veya Hesabı reddetme, askıya alma veya silme yetkisini saklı tutar. Drilldown tarafından Şartların ihlali nedeniyle Hesabın silinmesi halinde, uygulanabilir hukukun aksini öngördüğü durumlar saklı kalmak üzere, Kullanıcı kullanılmayan hizmet dönemleri için ödenmiş bedellerin iadesine hak kazanmaz.
3.1 "Ricette" bölümü. Platform, Kullanıcıların yemek tarifleri oluşturabildiği, yükleyebildiği ve yönetebildiği bir "Ricette" bölümü sunar. Bu bölüm, kayıtlı tüm Profesyonel Kullanıcılara açıktır; özellikle: (i) kendi müşterilerinin beslenme planlarına dahil etmek veya diğer kullanıcılarla paylaşmak üzere tarifler oluşturabilen beslenme uzmanları; (ii) özgün tarifleri metinler, malzemeler, talimatlar ve görsellerle yayımlayabilen ve bunları Platformda erişilebilir kılan creator ve content provider’lar; (iii) kendi çevrimiçi mağazalarının ürünlerini tariflerin malzemeleri olarak ilişkilendirebilen ve böylece bu tarifleri gıda ürünlerinin tanıtım ve satış aracı haline getirebilen e-ticaret operatörleri. Ricette bölümü, belirli ihtiyaçlara uygun yemekleri bulmayı kolaylaştırmak için beslenme ve gıda tercih filtreleri (ör. vejetaryen, vegan, glütensiz tarifler vb.) uygulanmasına izin verir. Yüklenen tarifler, Platform tarafından malzemeleri analiz eden ve porsiyon başına besin değerlerini (örneğin kalori, makrobesinler vb.) ile belirli diyetlerle uyumluluğu otomatik olarak hesaplayan algoritmalarla işlenir.
3.2 "Shop" bölümü. "Shop" bölümü, e-ticaret ve/veya perakende alanında, ayrıca gıda veya beslenme sektöründe faaliyet gösteren Profesyonel Kullanıcılara yöneliktir. Bu bölümde Kullanıcı, gıda ürünleri veya malzemelerden oluşan kendi kataloğunu Tuduu Platformuna entegre edebilir. Özellikle, e-ticaret operatörü kendi çevrimiçi mağazasındaki ürünleri Tuduu üzerindeki tariflerle ilişkilendirebilir; bu, örneğin tarifte listelenen bir malzemenin operatörün mağazasında satın alınabilir bir ürünle eşleşmesini sağlar. Platformun son kullanıcıları (örn. ziyaretçiler veya operatörün müşterileri), bu malzemeleri/ürünleri tek tıkla doğrudan satın alma sepetine ekleyebilir ve bir "satın alınabilir tarif" deneyimi oluşturabilir. Platform ayrıca, çevrimiçi görünürlüğü artırmak amacıyla mağaza ile entegre edilen tarifler için otomatik SEO (Search Engine Optimization) özellikleri sunar. Shop’a bağlı ürünler için de Platform besin analizi ve kategorilendirme algoritmaları uygulayabilir: örneğin, beslenme özelliklerini veya alerjenlerin varlığını/yokluğunu belirleyip kullanıcıların beslenme ihtiyaçlarına uygun ürünleri bulmasına yardımcı olacak filtreler (örn. "laktozsuz", "organik" vb.) otomatik olarak oluşturabilir.
3.3 "Nutrition" bölümü. "Nutrition" bölümü öncelikle beslenme uzmanlarına (nutricionista, dietologo, dietista veya yetkili diğer mesleklere) yöneliktir. Platformun bu alanında profesyonel, müşterileri/hastaları için bilgi ve beslenme planları yönetebilir. Nutrition bölümünün işlevleri arasında beslenme planları, diyetler veya beslenme raporları oluşturma ve özelleştirme araçları bulunur. Profesyonel, beslenme planları içinde tarifleri (kendi tariflerini veya Platformda bulunanları) kullanabilir; porsiyonları değiştirme ve entegre besin hesaplama algoritmaları sayesinde besinsel etkileri gerçek zamanlı görme imkânına sahiptir. Ayrıca Nutrition bölümü, PDF belgeleri oluşturma olanağı (örneğin müşteriye verilecek diyet fişleri veya raporlar) ve özel bir mobil uygulama kullanımı sunar: bu mobil uygulama, son kullanıcının kendi beslenme planını, önerilen tarifleri ve profesyonel tarafından paylaşılan diğer bilgileri doğrudan akıllı telefonunda görüntülemesini sağlar. Bu, Platform üzerinden profesyonel ile müşteri arasında sürekli izleme ve daha doğrudan etkileşimi teşvik eder.
3.4 Beslenme analizi algoritmaları. Yukarıda açıklanan tüm bölümlerde Tuduu Platformu, tarif ve ürünlerin beslenme analizinde gelişmiş algoritmalar kullanır. Bu algoritmalar, Kullanıcılar tarafından sağlanan verileri (tarif malzemeleri, ürünlerin besin bilgileri, porsiyonlar vb.) işler ve otomatik olarak şu çıktıları üretir: besin değerlerinin hesaplanması (örn. enerji, makrobesinler, mikrobesinler), mevcut alerjenler veya belirli maddelere ilişkin göstergeler ve tariflerin/ürünlerin özel diyetlerle uyumluluğuna dair öneriler (örneğin bir tarifin vegan veya glütensiz diyete uygun olup olmadığı). Algoritmalar faydalı ve doğru bilgiler sağlamayı amaçlar; ancak bunlar mevcut verilere ve genel kurallara dayanarak, doğrudan insan müdahalesi olmaksızın çalışır. Bu nedenle üretilen çıktılar her zaman kusursuz derecede doğru veya her duruma uygun olmayabilir. Özellikle beslenme uzmanı olan Kullanıcının, bunları kullanmadan veya müşterilerine aktarmadan önce algoritmik olarak sağlanan beslenme bilgilerini ve önerileri inceleyip doğrulaması kendi sorumluluğundadır. Kullanıcıların olası hata veya tutarsızlıkları nasıl yöneteceği, bu Şartların aşağıdaki bölümlerinde açıklanmıştır.
4.1 Uygun ve yasal kullanım. Kullanıcı, Platformu ve ilgili hizmetleri bu Şartlara, Drilldown tarafından sağlanan talimatlara ve uygulanabilir yasa ve düzenlemelere uygun şekilde kullanmayı taahhüt eder. Kullanıcının Platformu yasa dışı veya yetkisiz amaçlarla kullanması yasaktır. Özellikle Kullanıcı: (i) Platformu üçüncü kişilerin haklarını veya yasal düzenlemeleri ihlal edecek şekilde kullanmamalıdır (örneğin fikri mülkiyet, kişisel verilerin korunması, dürüst rekabet vb. alanlardaki kurallar); (ii) zararlı, saldırgan, iftira niteliğinde, müstehcen veya başka şekilde uygunsuz içerik ya da materyal eklememelidir; (iii) Platformun işlevlerine, başkalarının hesaplarına veya Drilldown’un bilişim sistemlerine yetkisiz erişim girişiminde bulunmamalı, Platformun güvenliğini veya bütünlüğünü tehlikeye atmamalıdır (örneğin virüs, kötü amaçlı yazılım veya başka bozucu faaliyetler yoluyla).
4.2 Algoritmik çıktıları doğrulama. 3.4. paragrafta açıklandığı üzere, Platform beslenme bilgilerini ve önerileri algoritmalar yoluyla otomatik olarak üretir. Kullanıcı, bu bilgilerin yol gösterici nitelikte olduğunu ve her zaman eleştirel biçimde değerlendirilmesi gerektiğini kabul eder. Özellikle beslenme uzmanı olan Kullanıcının, bunları profesyonel amaçlarla kullanmadan veya müşterileri ya da kamu ile paylaşmadan önce algoritmik çıktıları (örneğin bir tarif için hesaplanan besin değerleri veya bir ürüne atanan beslenme/diyet etiketleri) doğrulaması ve tutarlılığını kontrol etmesi zorunludur. Kullanıcı, Platform tarafından üretilen verilerde hata, tutarsızlık veya anormallik tespit ederse bunu sağlanan destek veya iletişim araçları üzerinden derhal Drilldown’a bildirmeyi taahhüt eder. Kullanıcı, bu doğrulama yükümlülüğüne uyulmamasının yanlış bilgilerin yayılmasına yol açabileceğinin ve bunun sorumluluğunun kendisine ait olacağının farkındadır.
4.3 Kullanıcı içerikleri – Lisanslar ve garantiler. Kullanıcı tarafından Platforma yüklenen, yayımlanan veya başka şekilde girilen tüm içerikler (örnek olarak: metinler, tarifler, malzemeler, fotoğraflar, videolar, markalar, logolar, ürün açıklamaları) Kullanıcının yasal tasarrufu altında olmalıdır. Kullanıcı, bu içerikler üzerinde gerekli haklara (fikri mülkiyet ve/veya kullanım hakları) sahip olduğunu veya en azından hak sahiplerinden uygun izinleri aldığını, böylece içeriklerin Platformda ve Drilldown tarafından bu Şartlar uyarınca kullanılmasının üçüncü kişilerin haklarını ihlal etmeyeceğini garanti eder. Ayrıca, Platforma içerik yükleyerek Kullanıcı, Drilldown’a bu içerikleri yalnızca Platform hizmetlerinin sunulması ve Platformun tanıtım faaliyetleriyle bağlantılı olarak kullanma, çoğaltma, değiştirme, yayımlama, çevirme, dağıtma, görüntüleme ve icra etme konusunda münhasır olmayan, devredilebilir alt lisans içerebilen ve ücretsiz bir hak ve lisans verir. Bu lisans, Kullanıcının içerikleri Hesaptan veya Platformdan kaldırmasıyla sona erer; ancak saklama, yasal yükümlülükler veya hakların korunması nedeniyle gerekliyse bu durum saklıdır. Kullanıcı ayrıca sağlanan içeriklerin doğru, gerçek (örneğin bir tarifin besin bilgileri veya malzemeleri gerçeğe uygun) ve yasa veya düzenlemelere aykırı olmadığını (örneğin gıda alanında yanıltıcı veya izin verilmeyen beyanlar içermediğini) garanti eder. Kullanıcı, Platforma girdiği içeriklerden doğan tüm sorumluluğu üstlenir ve Drilldown’u bu içeriklerden kaynaklanan üçüncü kişi taleplerine karşı tazmin eder ve zararsız tutar (bkz. 9.4. paragraftaki Tazminat Hükmü). Drilldown, kendi takdirine göre bu Şartları veya üçüncü kişilerin haklarını ihlal ettiğini ya da uygunsuz olduğunu düşündüğü herhangi bir Kullanıcı içeriğini kaldırma veya gizleme hakkını saklı tutar.
4.4 E-ticaret operatörleri için özel yükümlülükler. Shop bölümünü e-ticaret operatörü sıfatıyla kullanan Kullanıcı, sunduğu ürünlerden ve Platform üzerinden gerçekleştirilen ticari işlemlerden tek başına sorumludur. Buna, örnek olmak üzere ama bunlarla sınırlı olmamak kaydıyla: gıda ürünlerinin yürürlükteki mevzuata uygunluğu (örneğin gıda güvenliği, etiketleme, beslenme ve sağlık beyanları alanlarında); ürün açıklamalarının doğruluğu ve eksiksizliği (malzemeler, alerjenler, beslenme özellikleri, fiyat vb.); son kullanıcılar tarafından verilen siparişlerin, sevkiyatın, teslimatın, faturalandırmanın ve satış sonrası desteğin, iade ve geri ödemelerin uygulanabilir hukuka göre yönetimi (örneğin son kullanıcıya uygulanıyorsa Tüketici Kanunu) dahildir. Drilldown, e-ticaret operatörü ile son alıcı kullanıcılar arasında köprü kurmayı kolaylaştırmak için yalnızca Platformun teknolojik altyapısını sağlar: üçüncü taraf ortakların müdahalesi dışında Drilldown, e-ticaret operatörü Kullanıcı ile son müşteriler arasındaki ürün satış sözleşmelerinin tarafı değildir ve bu Kullanıcılar tarafından satılan ürünler için garanti yükümlülüğü üstlenmez. E-ticaret operatörü, sunduğu ürünler veya Platform üzerinden gerçekleştirdiği ticari işlemlerle ilgili her türlü şikâyet, ihtilaf, zarar veya ihlalden doğan sorumluluk veya masraftan Drilldown’u tamamen ari tutacaktır.
4.5 Mesleki mevzuata uyum. Kullanıcı, etik kurallara veya belirli yasal gerekliliklere tabi bir profesyonel ise (örneğin bir meslek odasına kayıtlı beslenme uzmanı), Platformu mesleki statüsünden doğan yükümlülüklere uygun şekilde kullanmalıdır. Örneğin beslenme uzmanı, Platform araçlarının (diyet hazırlama veya beslenme tavsiyeleri gibi) kullanımının mesleğine uygulanabilir kılavuz ve mevzuata uygun olmasını sağlamalıdır. Bu Şartlarda yer alan hiçbir şey, Kullanıcıyı bu mesleki yükümlülüklere uymaktan muaf tutmaz.
5.1 Ücretli hizmetler ve SaaS planları. Platformun bazı işlevlerine veya bölümlerine erişim (örneğin e-ticaret için Ricette bölümünün gelişmiş kullanımı veya Nutrition bölümünün gelişmiş araçları), ücretli bir SaaS (Software-as-a-Service) abonelik planı satın alınmasına bağlı olabilir. Drilldown, farklı hizmet seviyeleri içeren çeşitli planlar sunabilir (örneğin: yönetilebilecek maksimum tarif sayısı, "satın alınabilir" tarifler gibi ek işlevler, Tuduu filigranının kaldırılması, öncelikli destek vb.), bunlar Platformda veya Drilldown’un ticari dokümanlarında açıklandığı şekilde sunulur. Bazı planlar, sonunda Kullanıcı tarafından zamanında iptal edilmediği sürece ücretli hale gelen başlangıçta ücretsiz bir deneme süresi içerebilir.
5.2 Bedeller ve ödeme yöntemleri. Çeşitli abonelik paketlerinin fiyatları (bundan sonra "Bedeller") Platformda belirtilir veya abonelik sırasında Drilldown tarafından Kullanıcıya bildirilir. Bedeller normalde KDV ve uygulanabilir vergiler hariç olarak ifade edilir; vergi mevzuatına göre gerekliyse bunlar ayrıca eklenir. Bedellerin ödemesi Stripe gibi harici elektronik ödeme sistemleri aracılığıyla yapılır. Abonelik sırasında Kullanıcıdan kredi kartı veya desteklenen başka bir ödeme yönteminin bilgilerini girmesi istenebilir ve Kullanıcı, Drilldown’un (veya üçüncü taraf sağlayıcı Stripe’ın) seçilen planın öngördüğü periyotta (ör. aylık veya yıllık) tahsil edilmesi gereken Bedeli otomatik olarak çekmesine izin verir. Tüm işlemler Stripe ödeme sağlayıcısının şart ve koşullarına tabidir; Drilldown, Kullanıcının kredi kartı bilgilerinin tam detaylarını saklamaz, bunlar Stripe tarafından güvenli şekilde yönetilir.
5.3 Fiyat değişiklikleri. Drilldown, abonelik planlarının fiyatını herhangi bir zamanda değiştirme hakkını saklı tutar. Olası fiyat değişiklikleri, Kullanıcıya yapılan bildirimden sonraki faturalama döneminden önce yürürlüğe girmez. Drilldown, fiyat değişikliklerini makul bir önceden bildirimle Kullanıcıya uygun biçimde iletecektir (örneğin e-posta yoluyla veya Platform içi bildirimle). Kullanıcı yeni fiyatı kabul etmek istemezse, değişiklik yürürlüğe girmeden önce aboneliğini iptal edebilir; değişikliğin yürürlüğe girmesinden sonra hizmetin kullanılmaya devam edilmesi yeni fiyatın kabulü anlamına gelir.
5.4 Abonelik süresi ve iptal. Aksi belirtilmedikçe, abonelikler otomatik yenileme esasına tabidir: her dönemin sonunda (aylık, yıllık vb.) abonelik, Kullanıcı tarafından iptal edilmediği veya aşağıda belirtilen süre içinde Drilldown tarafından feshedilmediği sürece aynı süreyle otomatik olarak yenilenir. Kullanıcı, Platform üzerindeki ilgili işlevi kullanarak (örneğin Hesap ayarlarında) veya iptal talebiyle Drilldown desteğiyle iletişime geçerek abonelikten herhangi bir zamanda çıkabilir. İptal, önceden ödenmiş abonelik döneminin sonunda yürürlüğe girer: bu tarihe kadar Kullanıcı ücretli özelliklere erişimini sürdürür ve kullanılmayan dönemler için iade yapılmaz. Bedelin ödenmemesi halinde (örneğin geçersiz kredi kartı veya yetersiz bakiye) ya da Kullanıcının bu Şartları ihlal etmesi durumunda Drilldown aboneliği askıya alabilir veya sonlandırabilir; bu durumda Kullanıcı, fesih tarihine kadar tahakkuk eden tutarları ödemekle yükümlü olmaya devam eder ve fesih Kullanıcının temerrüdü nedeniyle gerçekleşmişse Drilldown’un ek zararlar için tazminat hakkı saklıdır.
Drilldown ve Kullanıcı, Platform kullanımına ilişkin özel şart ve koşullar içeren yazılı bir anlaşma (örneğin özelleştirilmiş bir hizmet sözleşmesi, kurumsal veya ortaklık anlaşması) veya içeriklerin (tarifler ve ürünler) Tuduu.it pazaryeri ya da diğer ortak kanallar gibi dış kanallarda yayımlanmasına yönelik bir anlaşma yapmışsa, bu özel anlaşmanın hükümleri bu Şartlara ek olarak uygulanır. Özelleştirilmiş sözleşme hükümleri ile bu genel Şartlar arasında çelişki olması durumunda, yalnızca çelişen konularla sınırlı olmak üzere özelleştirilmiş sözleşme hükümleri geçerli olur. Özel anlaşmada açıkça düzenlenmeyen tüm hususlar için bu Genel Şartlar uygulanır.
7.1 Platform ve Drilldown içerikleri. Platform (yazılım, kaynak kod, tasarım, kullanıcı arayüzü, veritabanları, "Tuduu" ve "Drilldown" markaları, logolar, alan adları ve yukarıda tanımlanan Kullanıcı İçerikleri hariç site ve uygulamadaki diğer tüm içerik ve materyaller dahil) Drilldown’un veya varsa lisans verenlerinin münhasır mülkiyetindedir. Bu unsurlar telif hakkı, marka, patent, endüstriyel tasarım ve/veya fikri mülkiyeti koruyan diğer mevzuatlar ile korunur. Kullanıcı, Drilldown veya hukukça açıkça izin verilmediği sürece Platformun veya sahipliğine tabi içeriklerinin herhangi bir bölümünü kopyalamamayı, değiştirmemeyi, dağıtmamayı, satmamayı veya bunlardan türev eserler oluşturmamayı taahhüt eder. Platforma erişim, Kullanıcıya hiçbir şekilde Drilldown’a ait yazılım veya diğer unsurlar üzerinde fikri mülkiyet hakkı devri anlamına gelmez; yalnızca bu Şartlara uygun olarak Platformu kullanmaya yönelik sınırlı, geri alınabilir ve münhasır olmayan bir kullanım lisansı sağlar.
7.2 Kullanıcı içerikleri. Kullanıcı, Platforma yüklediği kendi içerikleri üzerindeki tüm hak sahipliğini korur (4.3. paragrafta tanımlandığı üzere). Ancak 4.3. maddede belirtildiği gibi, Kullanıcı bu içeriklerin kullanımına ilişkin olarak Drilldown’a orada açıklanan amaçlar ve sınırlamalar çerçevesinde bir kullanım lisansı verir. Kullanıcı, Platformda yayımlanan bu içeriklerin diğer kullanıcılar veya, tarifler ya da kamuya açık bilgiler söz konusu olduğunda, kayıtlı olmayan ziyaretçiler tarafından da görülebileceğini kabul eder ve Drilldown’u, Platformun işlevlerinin öngördüğü sınırlar içinde bu içeriklere görünürlük sağlamak için gerekli olabilecek yayımlama, paylaşma veya dizine ekleme faaliyetlerini gerçekleştirmeye yetkilendirir.
7.3 Geri bildirim ve öneriler. Kullanıcı Platform veya hizmetlerle ilgili yorum, öneri veya fikirler sağlarsa (örneğin yeni özellikler veya iyileştirmeler hakkında bildirimler), bu katkılar gizli kabul edilmeyecektir. Drilldown, bu geri bildirimleri herhangi bir amaçla kullanmakta serbesttir; bunun Kullanıcı için herhangi bir ücret veya tanınma hakkı doğurması gerekmez ve uygulanan değişiklikler veya iyileştirmeler üzerinde Kullanıcıya herhangi bir hak devri anlamına gelmez.
8.1 Kişisel verilerin işlenmesi. Drilldown, Kullanıcı tarafından sağlanan veya Platform kullanımı sırasında başka şekilde toplanan kişisel verileri, AB Tüzüğü 2016/679’a ("GDPR") ve uygulanabilir İtalyan gizlilik mevzuatına uygun olarak işler. Kişisel verilerin işlenme yöntemleri ve amaçlarına ilişkin bilgiler, Kullanıcıya sunulan ve Platformun sitesinde bulunan Gizlilik Bildiriminde ayrıntılı olarak açıklanmıştır. Kullanıcı, bu Şartları kabul ederek söz konusu bildirimi okuduğunu beyan eder.
8.2 Kullanıcı tarafından girilen üçüncü kişi verileri. Kullanıcının (örneğin bir beslenme uzmanının) Platforma üçüncü kişilere ait kişisel veriler, yani kendi müşterileri veya hastalarına ilişkin bilgiler (örn. ad, iletişim bilgileri, sağlık veya beslenme düzenine ilişkin veriler) girmesi halinde, bu verileri hukuka uygun şekilde elde ettiğini ve gerektiğinde ilgili kişilerin bu verilerin Platform içinde kullanımı için bilgilendirilmiş onayını aldığını garanti eder. Bu işlemler bakımından Kullanıcı Veri Sorumlusu, Drilldown ise GDPR’ın 28. maddesi uyarınca, yalnızca Platform hizmetlerini sağlamak için gerekli saklama ve işleme faaliyetleriyle sınırlı olmak üzere Veri İşleyen sıfatıyla hareket eder. Bu kapsamda, kişisel verilerin korunmasına ilişkin ilgili yükümlülükleri ayrıntılı biçimde düzenleyen özel bir Veri İşleme Sözleşmesi (Data Processing Agreement) hazırlanabilir; uygulanabildiği durumlarda bu sözleşme, bu Şartların ayrılmaz parçası sayılır.
8.3 Kullanım verileri ve toplulaştırılmış veriler. Drilldown, hizmeti iyileştirmek ve Platformun doğru çalışmasını sağlamak amacıyla kullanıcıların Platformu kullanımına ilişkin verileri (örneğin kullanılan işlevler, oluşturulan tarif sayısı, arama parametreleri, gezinme istatistikleri, verilen geri bildirimler vb.) toplama ve işleme yetkisine sahiptir. Toplanan bu kullanım verileri, artık Kullanıcıların veya gerçek kişilerin doğrudan ya da dolaylı olarak tanımlanmasına izin vermeyecek şekilde anonimleştirme ve toplulaştırma süreçlerine tabi tutulabilir. Kullanıcı, yürürlükteki mevzuata uygun olarak Drilldown’un bu anonim ve toplulaştırılmış verileri istatistiksel analiz, araştırma ve geliştirme amaçlarıyla ve ayrıca ticari ve para kazanma amaçlarıyla kullanabileceğini açıkça kabul eder. Buna, örneğin kullanıcıların toplu verilerinden elde edilen beslenme eğilimlerine ilişkin raporlar veya içgörüler yayımlanması ya da anonim biçimde ilgi duyan üçüncü taraflarla (örneğin ticari ortaklarla) istatistiksel verilerin paylaşılması dahil olabilir. Hiçbir durumda bu faaliyetler, Kullanıcının kişisel kimlik verilerinin kendisinin rızası olmaksızın veya hukukça öngörülen başka geçerli bir hukuka uygunluk sebebi olmaksızın üçüncü kişilere iletilmesi sonucunu doğurmaz.
9.1 Platformun işlevleri - "olduğu gibi". Tuduu Platformu ve tüm hizmetleri ile işlevleri Kullanıcıya "olduğu gibi" ve "mevcut olduğu haliyle" ("as is" ve "as available") sunulur. Bu, Drilldown Platformu çalışır ve güncel tutmak için çaba gösterse de, hataların veya kesintilerin olmayacağına dair özel bir garanti verilmediği anlamına gelir. Özellikle Drilldown şunları garanti etmez: (i) Platformun Kullanıcının özel ihtiyaçlarını tam olarak karşılayacağı; (ii) Platformun kullanımından elde edilen sonuçların (algoritmik beslenme analizleri dahil) her zaman kesin, doğru veya güvenilir olacağı; (iii) Platformun kesinti, gecikme, arıza veya hatalardan ari çalışacağı; (iv) yazılımdaki olası kusurların veya hataların derhal düzeltileceği. Kullanıcı, Platformu kendi riskinde kullandığını kabul eder.
9.2 Drilldown’un sorumluluğunun sınırlandırılması. Uygulanabilir hukukun izin verdiği azami ölçüde, Drilldown, Platformun kullanımı veya kullanılamaması ile bağlantılı olarak Kullanıcının veya üçüncü kişilerin uğradığı dolaylı, arızi, sonuçsal, özel veya cezai zararlardan sorumlu olmayacaktır. Yukarıdaki sınırlar dahilinde her hâlükârda tazminat kapsamı dışında tutulan zararlar şunlardır: kâr kaybı, kazanç veya tasarruf kaybı, ticari fırsat kaybı, veri kaybı, faaliyet kesintisi veya üçüncü kişilerin Kullanıcıya karşı talepleri. Drilldown’un Kullanıcı ile sözleşmesel ilişki kapsamında herhangi bir nedenle sorumlu tutulması halinde, Drilldown’un toplam sorumluluğu, sorumluluğa yol açan olaydan önceki 12 ay içinde Kullanıcının Drilldown’a ödediği bedelleri aşamaz (Platformun ücretsiz kullanılması halinde üst sınır olarak 100 Euro). Bu sorumluluk sınırı, hukukça izin verilen azami ölçüde uygulanır ve bu Şartlarda yer alan hiçbir şey Drilldown’un kast veya ağır ihmalden doğan sorumluluğunu ya da hukukça sınırlandırmaya izin verilmeyen diğer hâlleri sınırlamayı amaçlamaz.
9.3 Tıbbi veya tanısal danışmanlık yoktur. Kullanıcı, Platformun ve sunulan işlevlerin tıbbi cihaz niteliği taşımadığını ve hiçbir şekilde tıbbi danışmanlık, tanı veya kişiselleştirilmiş sağlık tedavisi sunmadığını kabul eder. Tuduu aracılığıyla üretilen beslenme bilgileri, veriler ve öneriler yalnızca bilgilendirme ve mesleki destek amaçlıdır ve hiçbir durumda tıbbi görüşün veya yetkili bir sağlık profesyonelinin değerlendirmesinin yerini almaz. Bir bireyin sağlığı, diyeti veya tedavisine ilişkin her türlü karar, somut vakaya doğrudan bakarak yetkin bir profesyonel tarafından verilmelidir. Kullanıcı bir beslenme uzmanı ise, müşterileri/hastalarına verdiği danışmanlıklardan tam olarak kendisi sorumludur: Platformun kullanımı, Kullanıcıyı kişisel değerlendirme yükümlülüğünden ve en iyi mesleki uygulamalara uyma gereğinden muaf tutmaz. Kullanıcı bir sağlık çalışanı değilse, tanı veya tedavi tavsiyeleri için her zaman doktorlara veya nitelikli uzmanlara danışmalıdır. Drilldown, Platform kullanımından doğan herhangi bir sağlık veya fiziksel durum sonucunu garanti etmez ve Platform aracılığıyla elde edilen bilgilere yalnızca güvenilmesinden kaynaklanan sonuçlardan sorumluluk üstlenmez.
9.4 Kullanıcının tazmin yükümlülüğü. Kullanıcı, Drilldown’u ve onun temsilcilerini, çalışanlarını ve iş ortaklarını; (i) Kullanıcı tarafından Platforma sağlanan ve üçüncü kişilerin haklarını veya hukuk kurallarını ihlal eden içeriklerden; (ii) Kullanıcının Platformu kullanırken bu Şartları veya yasal yükümlülükleri ihlal etmesinden; (iii) Kullanıcının Platform kullanımındaki ihmal, dikkatsizlik veya kastından; (iv) Kullanıcı tarafından Platform aracılığıyla satılan veya pazarlanan ürünlerden (e-ticaret operatörü durumunda), bunlara ilişkin kalite, uygunluk veya güvenlik iddiaları dahil olmak üzere doğabilecek herhangi bir üçüncü kişi talebi nedeniyle ortaya çıkabilecek her türlü kayıp, zarar, sorumluluk, maliyet veya giderden (makul avukatlık ücretleri dahil) tazmin etmeyi ve zararsız tutmayı taahhüt eder. Drilldown, bu tür taleplerin doğması halinde Kullanıcıyı derhal bilgilendirecek ve savunmada makul ölçüde iş birliği yapacaktır; bununla birlikte Drilldown’un kendi hukuki savunmasını bağımsız olarak yürütme hakkı saklıdır.
10.1 Sözleşmenin süresi. Kullanıcı ile Drilldown arasındaki bu sözleşmesel anlaşma, Kullanıcının Şartları kabul etmesiyle (kayıt ve/veya Platformun ilk kullanımı) yürürlüğe girer ve Kullanıcının Platformu kullanmaya devam ettiği süre boyunca geçerliliğini korur. Kullanıcının hesabı ve varsa aboneliği, yukarıda açıklandığı üzere periyodik otomatik yenilemeli belirsiz süreli olup, aşağıda belirtilen şekilde sona erdirilebilir.
10.2 Kullanıcının cayma hakkı. Kullanıcı, Hesabını sildirmeyi talep ederek ve Platform kullanımını sonlandırarak bu sözleşmesel ilişkiden herhangi bir zamanda dönebilir. Hesap silme işlemi Platform üzerindeki ilgili işlev aracılığıyla (varsa) veya Drilldown’a yazılı olarak başvurularak yapılabilir. Gönüllü fesih halinde, Kullanıcı, önceki 5.4. paragrafta belirtilen devam eden abonelikler haricinde, tam olarak yararlanılmamış hizmetler için önceden ödenmiş bedellerin iadesine hak kazanmaz. Hesabın kapatılması, Gizlilik Politikasında belirtildiği üzere yasal yükümlülükler veya hakların korunması için veri saklama zorunlulukları saklı kalmak kaydıyla, Kullanıcının Platforma girdiği veri ve içeriklere gelecekte erişilememesi sonucunu doğurur.
10.3 Drilldown tarafından askıya alma veya fesih. Drilldown, aşağıdaki durumlarda Kullanıcının Platform erişimini geçici olarak askıya alma veya bu sözleşmeyi derhal feshetme (Hesabı devre dışı bırakma) hakkını saklı tutar: (i) Platformun veya verilerin güvenliğini sağlamak için gerekli olması halinde (örneğin siber güvenlik ihlali veya tehdidi durumunda); (ii) Kullanıcı tarafından bu Şartların ciddi veya tekrarlayan ihlali halinde (örneğin Platformun hukuka aykırı kullanımı, ödenmesi gereken bedellerin ödenmemesi, gizli verilerin yetkisiz ifşası vb.); (iii) bir otorite kararı veya kanun hükmü gerektirdiğinde; (iv) Drilldown’un Platformla ilgili faaliyetinin sona ermesi veya hizmetleri sunmasının sonradan imkânsız hale gelmesi halinde. Kanun veya kararlar tarafından yasaklanmadığı sürece (örn. derhal erişim engeli kararı), Drilldown Kullanıcıya askıya alma veya feshi yazılı olarak bildirecek, gerekçeleri belirtecek ve mümkün olduğunda makul önceden bildirimde bulunacaktır. Kullanıcıya atfedilemeyen bir fesih halinde (örneğin yukarıdaki (iv) durumu), Drilldown, uygulanabildiği ölçüde, fesih tarihinden sonra yararlanılmayan abonelik dönemine ilişkin önceden ödenmiş bedel kısmını Kullanıcıya iade edecektir.
10.4 Sona ermenin sonuçları. Sözleşmesel ilişkinin herhangi bir nedenle sona ermesi halinde Kullanıcı, Platform kullanımını derhal durdurmalıdır. Niteliği gereği sona ermeyi takip etmeye devam etmesi amaçlanan bu Şartların tüm hükümleri (örneğin: doğmuş ödeme yükümlülükleri, garanti dışlamaları, sorumluluk sınırlamaları, tazmin hükümleri, fikri mülkiyet ve veri işleme hükümleri) tam olarak yürürlükte kalmaya devam eder. Şartların yürürlükten kalkması, o ana kadar taraflar lehine doğmuş hakları veya yasal başvuru yollarını etkilemez.
Drilldown, örneğin mevzuat değişikliklerine uyum sağlamak, yeni işlevler veya hizmetler eklemek ya da diğer organizasyonel ihtiyaçlar nedeniyle, bu Şartları herhangi bir zamanda güncelleme veya değiştirme hakkını saklı tutar. Şartlarda esaslı bir değişiklik olması halinde Drilldown, bunu Platform sitesinde bir bildirim yayımlayarak ve/veya Kullanıcının kayıtlı e-posta adresine ileti göndererek uygun bir önceden bildirimle Kullanıcıya duyuracaktır. Değişiklikler, bildirilen tarihten itibaren (veya tarih belirtilmemişse bildirimi takip eden 15 gün sonra) yürürlüğe girer. Kullanıcı değişiklikleri kabul etmek istemezse, yürürlük tarihinden önce Hesabını silerek sözleşmeden dönebilir. Bu süre içinde cayma olmazsa, yeni Şartlar kabul edilmiş sayılır ve belirtilen yürürlük tarihinden itibaren Kullanıcıya uygulanır.
Bu Şartlar ve bunlardan doğan tüm sözleşmesel ilişkiler İtalyan hukukuna tabidir. Drilldown ile Kullanıcı arasında bu Şartların yorumlanması, geçerliliği, ifası veya feshiyle ya da Platform kullanımına ilişkin olarak ortaya çıkabilecek herhangi bir uyuşmazlık, uygulanabilir hukukta öngörülen emredici yetkili mahkemeler saklı kalmak üzere, münhasıran Milano Mahkemesi’nin yetkisine tabidir.
13.1 Sözleşmenin bütünü. Bu Şartlar (Gizlilik Bildirimi ve, uygulanabildiği ölçüde Veri İşleme Sözleşmesi gibi atıf yapılan veya eklenen belgelerle birlikte), Kullanıcının Platformu kullanımına ilişkin olarak Kullanıcı ile Drilldown arasındaki tam sözleşmeyi oluşturur ve aynı konuya ilişkin taraflar arasındaki önceki sözlü veya yazılı tüm anlaşmaların yerini alır. Yukarıdaki 6. maddeye göre özel sözleşmeler yapma imkânı saklıdır.
13.2 Kısmi hükümsüzlük. Bu Şartların herhangi bir hükmü yetkili bir makam tarafından (örneğin bir Mahkeme) hükümsüz, geçersiz veya etkisiz bulunursa, bu hüküm izin verilen azami ölçüde uygulanır ve kalan hükümler bundan etkilenmez; bunlar tam olarak geçerli ve bağlayıcı kalmaya devam eder.
13.3 Feragat yoktur. Drilldown lehine bu Şartlarla öngörülen bir hak veya yetkinin kullanılmaması ya da gecikmeli kullanılması, hiçbir şekilde o hak veya yetkiden feragat edildiği anlamına gelmez; söz konusu hak veya yetki, kanunun izin verdiği sınırlar içinde daha sonra da ileri sürülebilir.
13.4 Sözleşmenin devri. Kullanıcı, Drilldown’un önceden yazılı onayı olmaksızın bu sözleşmeyi üçüncü kişilere devredemez veya aktaramaz (yani kendi Hesabını ve Şartlardan doğan hak/yükümlülükleri). Drilldown, Kullanıcıya bildirimde bulunmak kaydıyla, şirket devri, olağanüstü kurumsal işlemler veya hâkim, bağlı ya da iştirak şirketlere devir kapsamında bu sözleşmeyi devredebilir; ancak bu durum Kullanıcının bu Şartlar kapsamındaki haklarını zedelemeyecektir.
13.5 Dil ve versiyonlar. Bu Genel Kullanım Şartları İtalyanca olarak hazırlanmıştır. Diğer dillere yapılan çeviriler veya yerel versiyonlar yalnızca kolay başvuru amacıyla sağlanmıştır; herhangi bir farklılık veya yorum şüphesi halinde İtalyanca metin diğerlerine üstün gelir.
13.6 İletişim. Bu Şartlarla veya Platform kullanımıyla ilgili herhangi bir iletişim için Kullanıcı, sitede belirtilen iletişim bilgileri üzerinden Drilldown ile iletişime geçebilir (örneğin sağlanan destek e-posta adresine). Drilldown da Kullanıcıya kayıt sırasında verdiği iletişim bilgileri (e-posta, adres) üzerinden ulaşabilir.
Taraflar: İşbu Veri İşleme Sözleşmesi şu taraflar arasında akdedilmiştir:
Veri Sorumlusu (bundan sonra "Veri Sorumlusu"): nutrition modülünü kullanan ve hastaların kişisel verilerinin işlenme amaç ve araçlarını belirleyen profesyonel (gerçek veya tüzel kişi);
Veri İşleyen (bundan sonra "Veri İşleyen"): nutrition modülünü sağlayan şirket (örn. yazılım/CRM platformu), kişisel verileri Veri Sorumlusu adına işleyen.
1.1 Konu
AB Tüzüğü 2016/679 (GDPR) 28. maddesi uyarınca, işbu sözleşme, Veri İşleyen’in Veri Sorumlusu adına, kendisine sağlanan hizmetin nutrition modülü kapsamında gerçekleştirdiği kişisel veri işleme faaliyetlerini düzenler. Özellikle Veri İşleyen, Veri Sorumlusu tarafından CRM’e girilen verileri (ad, soyad, iletişim bilgileri, hastaların beslenme verileri vb.) yalnızca nutrition modülünün işlevlerini sağlamak ve Veri Sorumlusu’nun talimatlarına uygun olarak işlemekle yükümlüdür (bkz. Bölüm 6). Kişisel verilerin işlenmesi, hizmeti sunmak için gerekli olan toplama, kaydetme, düzenleme, saklama, görüntüleme, kullanım, değiştirme, silme vb. gibi GDPR 4(2). maddesinde izin verilen işlemler uyarınca gerçekleşecektir.
1.2 Süre
İşbu sözleşmenin süresi, Veri Sorumlusu ile Veri İşleyen arasındaki nutrition modülünün kullanımına ilişkin sözleşmesel ilişkinin süresiyle aynıdır. Sözleşme, Veri İşleyen Veri Sorumlusu adına kişisel veri işlediği sürece yürürlükte kalır. Ana hizmetin sona ermesi halinde (örn. hesap silme veya hizmet sözleşmesinin sona ermesi), verilerin iadesi/silinmesine ilişkin 10. Bölüm hükümleri uygulanır. Veri Sorumlusu, Veri İşleyen tarafından veri koruma kurallarının veya işbu sözleşmede öngörülen yükümlülüklerin ağır ihlali halinde bu sözleşmeyi derhal feshetme hakkına sahiptir. Tarafların, sözleşme ihlalinden kaynaklanan zararların tazminini talep etme hakkı saklıdır.
Veri İşleyen, Veri Sorumlusu’na hastaların beslenme faaliyetlerinin yönetimi için Software as a Service biçiminde bir yazılım platformu (nutrition modülü) sağlar. İşlemenin amacı, Veri Sorumlusu’nun kişiselleştirilmiş beslenme danışmanlıkları sunmak, beslenme planları hazırlamak, kilo seyrini ve diğer sağlık parametrelerini izlemek, ayrıca hastalarla iletişim ve ilgili randevuları yönetmek için hastalara ait bilgileri saklamasını ve işlemesini mümkün kılmaktır. Bu işlevler, yazılım tarafından yönetilen tıbbi/beslenmeye ilişkin uygulamalar kapsamına girer; klinik kayıtlar ve bakım planlarının yönetimine yönelik dijital sağlık hizmetlerine benzer.
Somut olarak, gerçekleştirilen işlemenin niteliği, Veri Sorumlusu’nun talimatlarına göre nutrition modülü hizmetinin sunulması için gerekli tüm işlemleri içerir; bunlar arasında verilerin toplanması, düzenlenmesi, görüntülenmesi, değiştirilmesi, kaydedilmesi, dışa aktarılması, Veri Sorumlusu’na iletilmesi, sistemde girilen verilerin silinmesi veya yok edilmesi yer alır. Veri İşleyen, verileri kararlaştırılanların ötesinde kendi amaçları için kullanmayacak ve Veri Sorumlusu’nun talimatı veya kanuni zorunluluk olmadıkça üçüncü kişilerle paylaşmayacaktır (aşağıda ayrıntılı olarak açıklandığı üzere).
Nutrition modülü kapsamında Veri İşleyen, Veri Sorumlusu adına, Veri Sorumlusu’nun hastalarına ilişkin şu tür kişisel verileri işleyecektir:
Kimlik ve iletişim verileri: ad, soyad, e-posta adresi, doğum tarihi ve yeri, telefon numaraları ve olası adresler (örn. hastayla iletişim kurmak için).
Beslenme/sağlık verileri: hastanın sağlık durumu ve beslenme alışkanlıklarına ilişkin bilgiler; örneğin beslenme tercihleri veya kısıtlamaları (özel diyetler, gıda alerjileri, vejetaryen/vegan tercihleri vb.), kilo takibi verileri ve benzer antropometrik veya sağlık parametreleri, ayrıca beslenme açısından önemli yaşam tarzı notları. Bu bilgiler GDPR’ın 4(15). maddesi anlamında sağlıkla ilgili kişisel veriler kapsamına girer ve/veya dolaylı olarak dinî ya da felsefî kanaatleri (örn. beslenme tercihleri) ortaya koyabilir; bu nedenle GDPR 9. madde anlamında özel nitelikli veri kategorilerine girer. Dolayısıyla hem Veri Sorumlusu hem de Veri İşleyen, bu hassas verileri korumak için mevzuatın öngördüğü gerekli tedbirleri ve güvenlik önlemlerini almayı taahhüt eder.
İşbu sözleşmenin uygulanması kapsamında verileri işlenen ilgili kişi kategorileri şunlardır: Veri Sorumlusu’nun hastaları (müşterileri); yani Veri Sorumlusu’ndan beslenme danışmanlığı veya diğer hizmetleri alan ve verileri nutrition modülüne girilen gerçek kişiler.
Veri Sorumlusu aşağıdakileri taahhüt eder:
Hukuka uygunluk ve şeffaflık: Veri İşleyen’e emanet edilen hastalara ait kişisel verilerin hukuka uygun şekilde toplandığını ve işlendiğini sağlamak (gerekirse hastanın bilgilendirilmiş rızasını veya GDPR madde 6 uyarınca başka bir geçerli hukuki dayanağı elde etmek) ve ilgili kişilerin GDPR 13 ve 14. maddelerine uygun olarak işleme amaçları ve yöntemleri hakkında yeterince bilgilendirildiğinden emin olmak. Veri Sorumlusu, bu verilerle ilgili yasal yükümlülüklere uyum bakımından ilgili kişilere karşı sorumluluğu taşımaya devam eder.
Belgelendirilmiş talimatlar: Veri İşleyen’e veri işlemesine ilişkin belgelenmiş, açık ve güncel talimatlar vermek (örn. bu sözleşme ve olası politika veya operasyonel talimatlar aracılığıyla). Başlangıç talimatlarına ek talimatlar veya değişiklikler yazılı olarak (e-posta, PEC veya elektronik biletleme sistemi üzerinden de olabilir) iletilmeli ve referans için saklanmalıdır. Veri İşleyen verileri yalnızca aldığı talimatlara göre işler. Veri İşleyen’in görüşüne göre Veri Sorumlusu’nun bir talimatı gizlilik mevzuatını ihlal ediyorsa, Veri İşleyen bunu derhal Veri Sorumlusu’na bildirecektir (bkz. Bölüm 6).
Denetim ve audit: Devir öncesinde ve sonrasında düzenli olarak, Veri İşleyen’in emanet edilen verilerin korunmasına uygun teknik ve organizasyonel önlemler açısından yeterli güvenceler sunduğunu ve işbu sözleşmenin hükümlerine uyduğunu doğrulamak. Veri Sorumlusu, emanet edilen verilerle ilgili Veri İşleyen faaliyetleri üzerinde makul ön bildirimle periyodik denetimler (örn. yıllık) ve incelemeler yapma veya yaptırma hakkına sahiptir; amacı veri koruma kurallarına ve kararlaştırılmış talimatlara uyumu kontrol etmektir. Veri İşleyen, kararlaştırılan sınırlar içinde bilgi veya altyapıya makul erişim sağlayarak iş birliği yapmayı taahhüt eder (denetim ve alt yükleniciler hakkında ayrıntılar için bkz. Bölüm 6 ve 8).
Usulsüzlüklerin bildirilmesi: Veri İşleyen tarafından gerçekleştirilen işleme yöntemlerinde işbu sözleşmeye veya yürürlükteki gizlilik kurallarına uyumsuzluk doğurabilecek hata, tutarsızlık veya ihlal tespit edilmesi halinde Veri İşleyen’i derhal bilgilendirmek. Taraflar, tespit edilen her türlü usulsüzlüğü zamanında gidermek için iş birliği yapacaktır.
Bilgilerin gizliliği: Sözleşmesel ilişki kapsamında öğrenilen güvenlik önlemleri, sistemler ve Veri İşleyen’in ticari sırlarıyla ilgili tüm bilgileri kesinlikle gizli tutmak. Bu gizlilik yükümlülüğü işbu sözleşme sona erdikten sonra da geçerliliğini korur.
İlgili kişilerin taleplerinin yönetimi: Veri Sorumlusu, kendi hastaları tarafından yapılan hak kullanımı taleplerine (erişim, düzeltme, silme, itiraz, taşınabilirlik vb. – GDPR Bölüm III) cevap vermekten sorumludur. Veri İşleyen, işbu sözleşmeye konu verilerle ilgili olarak doğrudan bir ilgili kişiden ileti veya talep alırsa, özel bir yetki olmadıkça bunu derhal Veri Sorumlusu’na iletmelidir ve kendi başına işlem yapmamalıdır. Veri Sorumlusu, bu talepleri karşılamak için Veri İşleyen’e gerekli talimatları verecektir; Veri İşleyen ise kanunun öngördüğü ölçüde Veri Sorumlusu’na yardımcı olacaktır (bkz. Bölüm 6).
Veri İşleyen, GDPR madde 28’de öngörülen tüm yükümlülükleri yerine getirmeyi taahhüt eder. Özellikle, işbu sözleşmede başka yerlerde ayrıntılı olarak belirtilen yükümlülükler saklı kalmak kaydıyla, Veri İşleyen aşağıdakileri yapmalıdır:
Yalnızca talimatla işleme: kişisel verileri yalnızca Veri Sorumlusu’nun belgelenmiş talimatı üzerine işlemek. Bu, üçüncü ülkelere veya uluslararası kuruluşlara olası veri aktarımları için de geçerlidir: Veri Sorumlusu’nun önceden talimatı/izni olmaksızın bu işlemlere izin verilmez (bkz. Bölüm 9); ancak Birlik veya üye devlet hukuku Veri İşleyen’e belirli bir işleme yükümlülüğü getiriyorsa, Veri İşleyen bu yasal yükümlülüğü işlemden önce Veri Sorumlusu’na bildirecektir; ancak önemli kamu yararı gerekçeleriyle kanun bu bildirimi yasaklıyorsa bu istisnadır.
Personelin gizliliği: kişisel verileri işlemeye yetkili kişilerin (kendi çalışanları veya olası iş ortakları) gizlilik mevzuatına uygun şekilde talimatlandırıldığını ve sözleşmesel olarak gizlilik taahhüdü altında olduklarını (veya uygun bir yasal gizlilik yükümlülüğüne tabi olduklarını) sağlamak. Veri İşleyen, kendi otoritesi altında hareket eden ve Veri Sorumlusu’nun kişisel verilerine erişimi olan herkesin bunları yalnızca Veri Sorumlusu’nun talimatı üzerine işlemesini temin edecektir. Bu gizlilik yükümlülüğü işbu sözleşme sona erdikten sonra da devam eder.
Veri güvenliği: devralınan işleme faaliyetlerinin riskine uygun bir güvenlik düzeyi sağlamak için GDPR madde 32 uyarınca yeterli teknik ve organizasyonel önlemleri almak ve sürdürmek. Bu önlemler, uygun olduğunda kişisel verilerin takma adlandırılması ve şifrelenmesi, erişim kontrol ve kimlik doğrulama sistemleri, işleme sistem ve hizmetlerinin gizlilik, bütünlük, erişilebilirlik ve dayanıklılığını güvence altına alma yeteneği ile fiziksel veya teknik olaylar durumunda verilere erişimi derhal geri yükleyebilme kapasitesini içerir. Veri İşleyen, uygulanan teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etmek, doğrulamak ve değerlendirmek için prosedürler uygulayacaktır (güvenlik önlemlerine ilişkin daha fazla ayrıntı için aşağıdaki Bölüm 7’ye de bakınız).
Kullanım sınırlamaları: Veri Sorumlusu tarafından sağlanan kişisel verileri kendi amaçları için kullanmamak ve hizmetin sunumu için gerekli olmadıkça ve her hâlükârda Veri Sorumlusu’nun rızası/talimatı olmaksızın kopya veya çoğaltma oluşturmamak. Veri İşleyen, Veri Sorumlusu adına işlenen verileri, diğer müşterilere ait verilerden veya kendi veri tabanlarından mantıksal veya fiziksel olarak ayrı tutacağını garanti eder; böylece karışma önlenir.
Alt işleyenler: Veri Sorumlusu’nun önceden (yazılı) izni olmaksızın, Veri Sorumlusu adına belirli işleme faaliyetlerini alt işleyenlere (sub-processors) devretmemekhttps://www.privacy-regulation.eu/it/28.htm. Alt işleyen kullanımı için yetki verilmesi halinde (ayrıntılar için bkz. Bölüm 8), Veri İşleyen bu kişilere işbu sözleşmede öngörülen kişisel veri koruma yükümlülüklerinin aynısını getirecek ve alt işleyenin kendi yükümlülüklerini yerine getirmesinden Veri Sorumlusu’na karşı tam sorumlu olmaya devam edecektir.
Veri Sorumlusu’na yardım: işleme niteliğini ve elindeki bilgileri dikkate alarak, Veri Sorumlusu’na veri koruma yükümlülüklerinin yerine getirilmesinde yardımcı olmak. Özellikle Veri İşleyen, ilgili kişilerin hak kullanım taleplerinin (erişim, düzeltme, silme, itiraz, taşınabilirlik vb.) karşılanabilmesi için Veri Sorumlusu’na uygun destek sağlayacaktır; örneğin Veri Sorumlusu’nun talep üzerine hasta verilerini dışa aktarmasına, düzeltmesine veya silmesine imkân tanıyan yazılım işlevlerini sunacaktır. Ayrıca Veri İşleyen, Veri Sorumlusu’na veri güvenliği yükümlülüklerine uyum ve, uygulanabildiğinde, kişisel veri ihlallerinin kontrol otoritelerine veya ilgili kişilere bildirilmesine ilişkin yükümlülüklerde GDPR 32-34. maddeleri uyarınca yardımcı olacaktır (örn. Veri Sorumlusu’nun 72 saat içinde bildirim yapabilmesi için bir veri ihlaline ilişkin bilgileri derhal sağlamak; aşağıdaki maddeye de bakınız). Benzer şekilde, Veri İşleyen, veri koruma etki değerlendirmesi (DPIA) veya GDPR 35-36. maddeler uyarınca kontrol otoritesiyle ön danışma gerektiğinde, kendi alanına giren bilgileri sağlayarak Veri Sorumlusu ile iş birliği yapacaktır.
İhlallerin bildirimi: Veri Sorumlusu adına işlenen verilere ilişkin güvenlik ihlali veya olaylar (örn. yetkisiz erişim, kayıp, yok olma veya kişisel verilerin kazara ifşası) halinde Veri Sorumlusu’nu derhal bilgilendirmek. Bu bildirim, Veri İşleyen’in öğrendiği ve Veri Sorumlusu’nun olayın ciddiyetini değerlendirmesine ve Garante Privacy’ye ve/veya GDPR 33 ve 34. maddeler uyarınca ilgili kişilere yapılacak bildirim yükümlülüklerini yerine getirmesine yardımcı olacak tüm bilgileri içermelidir. Veri İşleyen, Veri Sorumlusu’nun talimatlarına uygun olarak olayın analizi ve yönetimi ile ilgili bildirim veya iletişimlerin hazırlanmasında Veri Sorumlusu’nu desteklemeyi taahhüt eder.
Uyumun ispatı ve denetim: işbu sözleşmede öngörülen yükümlülüklere uyumu göstermek için gerekli tüm bilgileri Veri Sorumlusu’nun kullanımına sunmak. Veri Sorumlusu’nun talebi üzerine Veri İşleyen, uygulanan güvenlik önlemlerine ilişkin belgeler (örn. sertifikalar, iç/dış denetim raporları, uygunluk beyanları) sağlayacak ve Veri Sorumlusu veya onun görevlendirdiği bir kişi tarafından yapılacak inceleme veya denetimleri kolaylaştıracaktır. Denetim yöntemleri (zamanlama, kapsam, diğer müşterilerin verilerini korumaya yönelik güvenlik önlemleri vb.) tarafların karşılıklı ihtiyaçlarına saygı gösterilerek kararlaştırılacaktır.
Çelişkili talimatların bildirilmesi: Veri İşleyen, Veri Sorumlusu tarafından verilen bir talimatın GDPR’ı veya veri korumaya ilişkin diğer yasal düzenlemeleri ihlal ettiğini düşünürse, bu talimatı uygulamadan önce derhal Veri Sorumlusu’na bildirmeli ve Veri Sorumlusu’nun teyidi veya değişikliğine kadar uygulamayı askıya alabilmelidir (GDPR 28(3) maddesinin izin verdiği şekilde).
Veri İşleyen, GDPR madde 32’ye uygun olarak yürütülen işlemlerin riskine uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri aldığını beyan eder. Bu önlemlerin seçimi, teknolojinin mevcut durumu, uygulama maliyetleri, işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçları ile gerçek kişilerin hak ve özgürlüklerine ilişkin riskler dikkate alınarak yapılmıştır. Özellikle Veri İşleyen şu önlemleri uygular:
Erişim kontrolü: kişisel verilere yalnızca kesinlikle gerekli amaçlar için yetkili personelin erişebilmesi; kullanıcılar ve yöneticiler için güvenli kimlik doğrulama sistemlerinin benimsenmesi (örn. güçlü parolalar, iki faktörlü kimlik doğrulama).
Şifreleme ve takma adlandırma: aktarım sırasında kişisel verileri korumak için kriptografi protokollerinin kullanılması (örn. HTTPS/TLS) ve mümkün olan yerlerde sunucularda veya yedeklerde bekleyen verilerin şifrelenmesi. Toplu analizlerde hasta kimlik verilerinin, ek bilgiler olmaksızın belirli gerçek kişilere atanamayacak şekilde takma adlandırılması.
Bütünlük ve erişilebilirlik: fiziksel veya teknik olaylar durumunda kişisel verilere kısa sürede erişilebilirliği sağlamak için düzenli veri yedekleme sistemleri ve geri yükleme prosedürleri. Yetkisiz erişimi veya veri kaybını önlemek için anti-malware önlemleri, güvenlik duvarları ve izleme kullanılması.
Test ve izleme: iç denetimler, güvenlik açığı testleri, güvenlik kayıtlarının izlenmesi ve gerekirse belirlenen zayıf noktaların zamanında düzeltilmesi yoluyla benimsenen güvenlik önlemlerinin etkinliğinin periyodik olarak doğrulanması.
Veri İşleyen tarafından alınan güvenlik önlemleri, ayrıntılı teknik dokümantasyonda (örn. Teknik ve Organizasyonel Önlemler eki) daha kapsamlı açıklanır; bu dokümantasyon talep üzerine Veri Sorumlusu’na sağlanabilir ve işbu sözleşmenin ayrılmaz parçası sayılır. Veri İşleyen, bu önlemleri risklerin ve en iyi güvenlik uygulamalarının gelişimine uyacak şekilde güncel tutmayı ve emanet edilen verilerin korunmasını etkileyebilecek önemli değişiklikleri Veri Sorumlusu’na bildirmeyi garanti eder.
Veri İşleyen, diğer kişileri alt işleyen olarak yalnızca Veri Sorumlusu’nun yetkisiyle görevlendirebilir. Yetki, tek bir alt işleyen için özel olabilir veya sözleşme sırasında bilinen alt işleyen kategorileri için genel olabilir (örneğin hosting sağlayıcıları, e-posta hizmetleri vb.); bu son durumda Veri İşleyen, söz konusu alt işleyenlerin eklenmesi veya değiştirilmesine ilişkin her türlü planı Veri Sorumlusu’na bildirecek ve alt işleyen veri işlemeye başlamadan önce bu değişikliklere itiraz etmesine imkân tanıyacaktır.
Yetkilendirilmiş herhangi bir alt işleyen, Veri İşleyen tarafından yazılı bir sözleşme ile bağlanacak ve bu sözleşmede işbu sözleşmede öngörülen veri koruma yükümlülüklerinin en az aynı seviyede olanları, özellikle uygun güvenlik ve gizlilik güvenceleri yer alacaktır. Veri İşleyen, atadığı alt işleyenlerin yükümlülüklerinin yerine getirilmesinden Veri Sorumlusu’na karşı tam sorumluluğu korur; bir alt işleyen yükümlülüklerini ihlal ederse, Veri İşleyen Veri Sorumlusu’na karşı ilk elden sorumlu olacaktır.
İşbu sözleşmeye konu kişisel verilerin işlenmesi yalnızca Avrupa Birliği veya Avrupa Ekonomik Alanı içinde bulunan altyapılarda (sunucular, veri merkezleri) gerçekleşecektir. Veri Sorumlusu tarafından Bölüm 8 uyarınca yetkilendirilmiş alt işleyenlerin kullanımı için gerekebilecek durumlar dışında, Veri İşleyen tarafından kişisel verilerin üçüncü ülkelere (AEA dışına) aktarılması öngörülmemektedir. Her durumda, Veri İşleyen (veya alt işleyenlerinin) üçüncü bir ülkeye veya uluslararası bir kuruluşa yapacağı herhangi bir veri aktarımı yalnızca GDPR Bölüm V hükümlerine uygun olarak gerçekleşebilir. Özellikle Veri Sorumlusu’nun önceden izni alınmalı ve GDPR 44 ve devamı maddelerinde öngörülen koşullar bulunmalıdır; örneğin Avrupa Komisyonu’nun yeterlilik kararı, Komisyon tarafından onaylanan standart sözleşme maddeleri, bağlayıcı şirket kuralları veya diğer uygun güvenceler temelinde. Veri İşleyen, önerilen aktarımın yöntemleri ve hukuki dayanakları hakkında Veri Sorumlusu’nu bilgilendirecek, böylece Veri Sorumlusu yetki verip vermeyeceğini değerlendirebilecektir.
Nutrition modülüne ilişkin taraflar arasındaki hizmet ilişkisinin herhangi bir nedenle sona ermesi halinde (örneğin ana sözleşmenin feshi veya süresinin dolması ya da Veri İşleyen tarafından hizmetin kesin olarak durdurulması durumunda), Veri İşleyen, Veri Sorumlusu adına gerçekleştirdiği tüm kişisel veri işlemesini durduracaktır. Sözleşmenin sona erdiği anda veya kararlaştırılan süre içinde yazılı olarak bildirildiği üzere Veri Sorumlusu’nun seçimine bağlı olarak Veri İşleyen, Veri Sorumlusu adına işlenen tüm kişisel verileri iade edecek (örneğin birlikte çalışabilir bir formatta dışa aktararak) veya bu verileri sistemlerinden kalıcı olarak silecektir. Her hâlükârda Veri İşleyen, verilerin saklanması kendisi için uygulanabilir Birlik veya üye devlet mevzuatı tarafından gerekli kılınmadıkça mevcut tüm kopyaları (yedekler dahil) silecektir; bu durumda Veri İşleyen, saklama zorunluluğunu dayatan verileri ve mevzuatı Veri Sorumlusu’na bildirecek ve bunları yalnızca bu yasal saklama amacı için işleyecektir. Talep üzerine yapılan silme işlemi, Veri İşleyen tarafından yazılı olarak belgelendirilecektir.
Sözleşme sona erdikten sonra da, Veri İşleyen ve yetkili personeli tarafından sözleşme süresince üstlenilen gizlilik yükümlülükleri geçerli kalmaya devam eder. Veri İşleyen ayrıca, sona erme halinde atanmış alt işleyenlerin de Veri Sorumlusu’nun kişisel verilerinin iadesi/silinmesi ile ilgili aynı yükümlülüklere tabi olacağını garanti eder.