Ultralytics Veri İşleme Anlaşması (DPA)
Kişisel verilerin işlenmesi, güvenlik önlemleri ve AB ve Birleşik Krallık veri koruma yasalarına uyum konularını kapsayan Ultralytics Veri İşleme Sözleşmesini incele.
Bu Veri İşleme Sözleşmesi ("DPA"), (i) Ultralytics Hizmet Şartları'nın ve/veya (ii) bu DPA'ya atıfta bulunan geçerli herhangi bir sipariş formunun, kurumsal anlaşmanın veya diğer yazılı anlaşmaların (her biri "Anlaşma") bir parçası olup bu belgelere dahil edilmiştir ve Müşteri ("Müşteri", "sen") ile Ultralytics, Inc. ("Ultralytics", "Şirket", "biz") arasındaki ilişkiyi düzenler.
Bu DPA, tarafların aşağıdakilere ilişkin mutabakatını yansıtır:
- (A) Veri Sorumlusundan Veri İşleyene hükümler: Ultralytics'in, Hizmetlerle bağlantılı olarak Müşteri adına bir Veri İşleyen (veya Müşteri'nin bir Veri İşleyen olduğu durumlarda alt işleyen) olarak Müşteri Kişisel Verilerini İşlemesi; ve
- (B) Veri Sorumlusundan Veri Sorumlusuna hükümler: her bir tarafın, yalnızca Bölüm 10'da açıklanan kapsamda, bağımsız bir Veri Sorumlusu olarak Veri Sorumlusu Kişisel Verilerini İşlemesi.
Bu DPA, Anlaşma süresince ve Ultralytics'in Müşteri adına Müşteri Kişisel Verilerini İşlediği sürece yürürlükte kalır.
Bu DPA, yalnızca Ultralytics'in Ultralytics Platform içerisinde gerçekleştirdiği Müşteri Kişisel Verileri İşleme süreçleri için geçerlidir. Şüpheye mahal vermemek adına; bu DPA, Müşteri'nin Ultralytics Platform dışında kullandığı, dağıttığı veya çalıştırdığı Ultralytics YOLO açık kaynak modelleri için geçerli değildir; bu kullanım tamamen Müşteri'nin sorumluluğundadır.
Ultralytics, yasalardaki, düzenleyici rehberlikteki veya Hizmetlerdeki değişiklikleri yansıtmak amacıyla bu DPA'yı zaman zaman güncelleyebilir. Güncellemeler yayınlandığı tarihten itibaren geçerli olur; ancak güncellemeler, Müşteri'nin onayı olmaksızın Müşteri Kişisel Verileri için sağlanan gizlilik korumalarını maddi olarak azaltamaz (yürürlükteki yasaların gerektirdiği durumlar hariç).
Link to this sectionTanımlar#
"İştirak", doğrudan veya dolaylı olarak bir tarafı kontrol eden, bir taraf tarafından kontrol edilen veya bir tarafla ortak kontrol altında olan herhangi bir tüzel kişiliği ifade eder; burada "kontrol", oy haklarının %50'sinden fazlasına sahip olmak anlamına gelir.
"Uygun Güvenceler", Kişisel Verilerin aktarımı için yürürlükteki Veri Koruma Yasaları kapsamında izin verilen ve yasal olarak uygulanabilir mekanizmaları ifade eder; buna özellikle, ancak bunlarla sınırlı olmamak üzere, GDPR Madde 46 dahildir.
"Alt İşleyen", Ultralytics veya İştiraklerinin, Hizmetlerle bağlantılı olarak Müşteri Kişisel Verilerini Ultralytics adına İşlemek için görevlendirdiği herhangi bir İşleyeni ifade eder.
"Şirket Hesap Verileri", Şirket'in Müşteri ile olan ilişkisine dair kişisel verileri ifade eder; buna, Müşteri tarafından Müşteri'nin hesabına erişim yetkisi verilen kişilerin isimleri veya iletişim bilgileri ile Müşteri'nin hesabı ile ilişkilendirdiği kişilerin fatura bilgileri dahildir. Şirket Hesap Verileri ayrıca, Şirket'in Müşteri ile olan ilişkisini yönetmek, kimlik doğrulaması yapmak veya yürürlükteki yasaların ve düzenlemelerin gerektirdiği şekilde toplamak zorunda olduğu verileri de içerir.
"Şirket Kullanım Verileri", Hizmetlerin sağlanmasıyla bağlantılı olarak Şirket tarafından toplanan ve işlenen hizmet kullanım verilerini ifade eder; buna bir iletişimin kaynağını ve hedefini tanımlamak için kullanılan veriler, etkinlik günlükleri ve Hizmetlerin performansını optimize etmek ve sürdürmek, sistem suistimallerini araştırmak ve önlemek için kullanılan veriler dahildir.
"Müşteri Verileri", Müşteri'nin veya yetkili kullanıcılarının Hizmetlerle bağlantılı olarak İşlenmesi için yüklediği, gönderdiği, ilettiği veya başka bir şekilde kullanıma sunduğu her türlü veri, içerik, materyal, dosya veya bilgiyi (veri kümeleri, görüntüler, videolar, açıklamalar, etiketler, meta veriler, model girdileri ve çıktıları ve diğer içerikler dahil) ifade eder; buna Müşteri'nin Hizmetleri kullanımı aracılığıyla Müşteri için oluşturulan veriler de dahildir.
"Müşteri Kişisel Veri İhlali", Ultralytics veya Alt İşleyenleri tarafından Hizmetlerle bağlantılı olarak İşlenen Müşteri Kişisel Verilerinin kazara veya yasa dışı bir şekilde imha edilmesine, kaybolmasına, değiştirilmesine, izinsiz ifşasına veya bunlara izinsiz erişime yol açan bir güvenlik ihlalini ifade eder. Müşteri Kişisel Veri İhlali; başarısız girişimleri veya Müşteri Kişisel Verilerini tehlikeye atmayan faaliyetleri (örneğin; başarısız giriş denemeleri, bağlantı noktası taramaları, hizmet engelleme saldırıları veya güvenlik duvarlarına ya da ağ sistemlerine yönelik diğer saldırılar) kapsamaz.
"Veri Koruma Yasaları", bir tarafın Anlaşma kapsamındaki Kişisel Verileri İşlemesine uygulanan, gizlilik ve veri korumaya ilişkin yürürlükteki tüm yasaları ifade eder; buna (geçerli olduğu şekilde) GDPR, UK GDPR, İsviçre FADP, eGizlilik/PECR, CCPA/CPRA ve diğer yürürlükteki ABD eyalet gizlilik yasaları dahildir.
"GDPR", (AB) 2016/679 sayılı Tüzük anlamına gelir; "UK GDPR", İngiltere hukukuna dahil edildiği şekliyle GDPR anlamına gelir; "İsviçre FADP", İsviçre Federal Veri Koruma Yasası (revize edilmiş haliyle) anlamına gelir. "Talimatlar", Müşteri'nin Ultralytics'e Müşteri Kişisel Verilerinin İşlenmesi konusunda verdiği ve Bölüm 2.2'de açıklanan belgelendirilmiş talimatları ifade eder.
"SCC'ler", AB standart sözleşme maddeleri (Karar 2021/914) anlamına gelir; "İngiltere Eki", ICO Uluslararası Veri Aktarımı Ekini ifade eder. Diğer büyük harfle başlayan terimler, Veri Koruma Yasalarında ve/veya Anlaşmada belirtilen anlamlara sahiptir.
"Hizmetler", Ultralytics tarafından Anlaşma kapsamında Müşteri'ye sunulan hizmetleri ve işlevleri ifade eder; buna Ultralytics Platform ve Anlaşma'da daha detaylı açıklanan ilgili destek, yönetim ve dokümantasyon dahildir.
"Ultralytics Platform", Müşterilerin veri kümelerini yükleyebildiği, yönetebildiği, açıklama ekleyebildiği ve sürüm oluşturabildiği; bilgisayarlı görü modellerini eğitebildiği, değerlendirebildiği, karşılaştırabildiği, dışa aktarabildiği ve dağıtabildiği; projeleri ve kullanıcıları yönetebildiği; ilgili özelliklere ve desteğe erişebildiği ve Ultralytics'in bu DPA uyarınca Müşteri adına Müşteri Kişisel Verilerini İşlediği, Ultralytics'in bulut tabanlı hizmet olarak yazılım (SaaS) ortamını ifade eder.
"Ultralytics YOLO Açık Kaynak Modelleri", Ultralytics tarafından geçerli açık kaynak lisansları kapsamında sunulan ve Müşterilerin kendi ortamlarında bağımsız olarak indirip dağıtabildiği, barındırabildiği ve çalıştırabildiği açık kaynaklı bilgisayarlı görü modellerini ve ilgili kaynak kodunu ifade eder. Netlik adına; Müşterilerin Ultralytics YOLO Açık Kaynak Modellerini Ultralytics Platform dışında dağıttığı veya kullandığı durumlarda, Ultralytics bu DPA kapsamında Müşteri adına Kişisel Veri İşlemez.
Link to this sectionMüşteri Sorumlulukları#
2.1 Yasalara Uyumluluk. Müşteri, Kişisel Verileri İşlemesi ve Hizmetleri kullanımıyla bağlantılı olarak Veri Koruma Yasalarına uymaktan sorumludur; buna gerekli bildirimlerin sağlanması ve gerekli onay ve izinlerin alınması dahildir.
2.2 Talimatlar. Anlaşma (bu DPA dahil) ve Müşteri'nin Hizmetleri Anlaşma uyarınca yapılandırması ve kullanımı, Müşteri'nin Müşteri Kişisel Verilerini İşlemesi için Ultralytics'e verdiği eksiksiz Talimatları oluşturur. Müşteri, Anlaşma ve Hizmetlerle tutarlı olmaları kaydıyla, sözleşme süresince ek Talimatlar verebilir. Ultralytics'in ek Talimatların önemli değişiklikler veya yükler gerektirdiğine makul şekilde inanması durumunda, taraflar iyi niyetle görüşeceklerdir.
2.3 Yasak Veriler. Taraflarca yazılı olarak açıkça kabul edilmedikçe (yürürlükteki Veri Koruma Yasalarının gerektirdiği ek güvenceler üzerinde mutabık kalınması dahil), Müşteri, GDPR Madde 9 (veya eşdeğeri) kapsamındaki Özel Nitelikli Kişisel Verileri veya GDPR Madde 10 kapsamındaki cezai mahkumiyetler veya suçlarla ilgili verileri Ultralytics'e sağlamayacak, göndermeyecek veya başka bir şekilde kullanıma sunmayacaktır.
Örnek vermek gerekirse ve sınırlama olmaksızın, Yasak Veriler şunları içerir:
- devlet tarafından verilen kimlik numaraları (pasaport numaraları, ulusal kimlik numaraları veya sosyal güvenlik numaraları gibi);
- gerçek bir kişiyi benzersiz şekilde tanımlamak amacıyla kullanılan biyometrik tanımlayıcılar dahil, sağlık veya tıbbi bilgiler;
- bir bireyin ırksal veya etnik kökeni, siyasi görüşleri, dini veya felsefi inançları veya sendika üyeliği ile ilgili bilgiler;
- gerçek bir kişiyi benzersiz şekilde tanımlamak amacıyla işlenen genetik veriler veya biyometrik veriler;
- yürürlükteki Veri Koruma Yasaları ile kısıtlandığı durumlarda çocuklar ile ilgili kişisel veriler;
- ve cezai mahkumiyetler, iddia edilen cezai davranışlar veya kolluk kuvveti faaliyetleri ile ilgili veriler.
Ayrıca Hizmetler, ödeme kartı verileri, banka hesap numaraları veya hassas konum verileri gibi yürürlükteki Veri Koruma Yasaları kapsamında daha yüksek koruma gerektiren diğer verileri işlemek için tasarlanmamıştır. Müşteri, Hizmetlere yüklenen veya Hizmetler aracılığıyla işlenen veri kümelerinin, görüntülerin, videoların, açıklamaların, etiketlerin, meta verilerin veya diğer içeriklerin Yasak Veriler içermemesini sağlamaktan tamamen sorumludur. Bu Bölümün ihlali ile gerçekleştirilen her türlü Yasak Veri İşlemesi, bu DPA'nın esaslı bir ihlalini oluşturur.
2.4 Uygunsuz Veriler; Tazminat. Müşteri, Ultralytics'e sağlanan Müşteri Kişisel Verilerinin yasallığından ve bu verilerin Hizmetler için uygun olduğundan emin olmaktan tamamen sorumludur. Müşteri, Anlaşma'nın, bu DPA'nın veya yürürlükteki Veri Koruma Yasalarının ihlali suretiyle Hizmetlere sağlanan Kişisel Verilerden kaynaklanan üçüncü taraf taleplerine karşı Ultralytics'i savunacak ve tazmin edecektir.
Link to this sectionİşleyen Olarak Ultralytics'in Yükümlülükleri#
3.1 Amaç Sınırlaması. Ultralytics, Müşteri Kişisel Verilerini yalnızca (a) Anlaşma ve Ek A uyarınca Hizmetleri sağlamak, (b) Müşteri'nin Talimatları doğrultusunda ve (c) yürürlükteki yasaların gerektirdiği şekilde İşleyecektir. Ultralytics, Müşteri tarafından yazılı olarak veya Hizmetler aracılığıyla açıkça talimat verilmedikçe, Müşteri Kişisel Verilerini veya Müşteri Verilerini Ultralytics'in genel veya ticari olarak mevcut modellerini eğitmek, geliştirmek veya iyileştirmek için kullanmayacaktır.
3.2 Yasalar Arası Çatışma. Ultralytics, yasal bir zorunluluk nedeniyle Müşteri Kişisel Verilerini Talimatlara uygun şekilde İşleyemeyeceğini fark ederse, yasaların izin verdiği ölçüde Müşteri'yi bilgilendirecek ve gerektiğinde Müşteri uyumlu Talimatlar verene kadar etkilenen İşleme sürecini (güvenli depolama dışında) askıya alacaktır.
3.3 Personel Gizliliği. Ultralytics, Müşteri Kişisel Verilerini işleme yetkisi olan kişilerin gizlilik yükümlülüklerine bağlı kalmasını sağlayacaktır. Müşteri, Ultralytics'in, Anlaşma/DPA'nın ifasıyla bağlantılı olarak makul ölçüde gerekli olması halinde, gizlilik yükümlülüklerine tabi olmak kaydıyla Müşteri Kişisel Verilerini profesyonel danışmanlarına ve denetçilerine açıklamasına onay verir.
3.4 Alt İşleme. Ultralytics, Bölüm 5 uyarınca Alt İşleyenleri görevlendirebilir ve eşdeğer yükümlülüklerin yerine getirilmesinden sorumludur.
3.5 Silme / İade. Hizmetlerin sona ermesi üzerine Ultralytics, yasaların gerektirdiği saklama durumları hariç, Anlaşma ve Ek A uyarınca Müşteri Kişisel Verilerini silecek veya iade edecektir. SCC'ler kapsamındaki silme sertifikası, Müşteri'nin talebi üzerine sağlanacaktır.
Link to this sectionVeri Sahibinin (veya Tüketicinin) Hakları#
4.1 Veri Sahibi (veya Tüketici) Talebi. Ultralytics, yasal olarak izin verilen ölçüde, bir Veri Sahibinden (veya Tüketiciden) erişim (veya ifşa) hakkı, düzeltme hakkı, İşleme kısıtlaması, silme (veya "unutulma hakkı"), veri taşınabilirliği, İşlemeye itiraz etme veya otomatik bireysel karar alma mekanizmasına tabi olmama hakkını kullanma talebi ("Veri Sahibi (veya Tüketici) Talebi") alırsa, gecikmeksizin hesapta kayıtlı birincil kişi aracılığıyla Müşteri'yi bilgilendirecektir.
4.2 Destek. İşleme sürecinin doğasını göz önünde bulunduran Ultralytics, Müşteri'nin mevcut Hizmet işlevlerini kullanarak talebi yerine getiremediği durumlarda, Veri Koruma Yasaları kapsamındaki Veri Sahibi haklarını kullanma taleplerini yanıtlaması için Müşteri'ye makul destek sağlayacaktır.
4.3 DPIA; Ön Danışmanlık. İşleme sürecinin doğasını ve Ultralytics'in sahip olduğu bilgileri göz önünde bulunduran Ultralytics, (i) veri koruma etki değerlendirmeleri ve (ii) Veri Koruma Yasalarının gerektirdiği durumlarda ve Müşteri'nin ilgili bilgilere başka şekilde erişemediği hallerde Müşteri'nin denetleyici makamlarla danışma ve/veya iş birliği süreçlerinde Müşteri'ye makul destek sağlayacaktır. Veri Koruma Yasalarının gerektirdiği veya bir Müşteri Kişisel Veri İhlali ile bağlantılı durumlar haricinde, Müşteri bu tür bir yardımı on iki (12) aylık dönemde birden fazla kez talep edemez. Müşteri, yasaların izin verdiği durumlarda, Ultralytics'in bu desteği sağlarken katlandığı makul maliyetleri ve giderleri karşılayacaktır.
Link to this sectionAlt İşleyenler#
5.1 Genel Yetkilendirme. Müşteri, Ultralytics'e Hizmetler için Müşteri Kişisel Verilerini İşlemek amacıyla Alt İşleyenleri görevlendirmesi için genel bir yazılı yetki verir.
5.2 Liste ve Bildirim. Güncel Alt-İşleyici listesine Ultralytics Alt-İşleyici Listesi adresinden ("Liste") ulaşabilirsin. Ultralytics, Liste güncellemelerine abone olman için bir mekanizma sağlayacak ve yeni Alt-İşleyicileri Müşteri Kişisel Verilerini İşlemeleri için yetkilendirmeden en az on (10) gün önce bildirimde bulunacaktır. Müşteri, mevcut olduğunda bu tür bildirimlere abone olmaktan sorumludur; eğer Müşteri abone olmazsa, bu mekanizma aracılığıyla önceden bildirim alamayabileceğini kabul eder. Her durumda, Liste üzerindeki güncellemeler Alt-İşleyici değişikliklerine dair bildirim niteliği taşır. Müşteri, bazı Alt-İşleyicilerin Hizmetleri sağlamak için gerekli olduğunu ve bir alt-işleyicinin kullanımına itiraz etmenin, Şirketin Müşteriye Hizmetleri sunmasını engelleyebileceğini kabul eder.
Netlik adına; Ultralytics Ltd (İngiltere) ve Ultralytics AI İspanya, S.L. dahil olmak üzere Hizmetlerin sağlanmasına dahil olan Ultralytics İştirakleri, Ultralytics Inc. adına Hizmetlerle bağlantılı olarak Müşteri Kişisel Verilerini İşledikleri durumlarda grup içi Alt İşleyen olarak hareket edebilirler.
5.3 Yeni Alt İşleyenlere İtiraz. Müşteri, Bölüm 5.2'ye göre makul veri koruma gerekçeleriyle yeni bir Alt İşleyenin görevlendirilmesine yazılı olarak itiraz edebilir. Ultralytics'in Müşteri'nin itirazını makul bir şekilde çözememesi durumunda, Müşteri bu tür bir sonlandırmadan önce tahakkuk eden ücretlerden muaf olmaksızın, yazılı bildirimde bulunarak etkilenen Hizmeti sonlandırabilir.
5.4 Yükümlülüklerin Aktarılması. Ultralytics, Alt İşleyenleri ancak Alt İşleyenin, yürürlükteki Veri Koruma Yasalarına uygun olarak Müşteri Kişisel Verileri için uygun bir koruma düzeyi sağlayıp sağlayamayacağını değerlendirmek amacıyla makul, risk temelli bir durum tespiti yaptıktan sonra görevlendirecek ve satıcı yönetim programının bir parçası olarak Alt İşleyenleri periyodik olarak izleyecektir. Ultralytics, Alt İşleyenlerinin bu DPA'da belirtilenlere maddi olarak eşdeğer veya bunlardan daha koruyucu olan veri koruma yükümlülüklerine tabi olmasını sağlayacaktır. Müşteri'nin talebi üzerine Ultralytics, SCC'ler uyarınca gerekli olan ilgili Alt İşleyen veri koruma hükümlerinin kopyalarını (gizlilik nedeniyle sansürlenmiş olabilir) sağlayacaktır.
Link to this sectionGüvenlik#
6.1 Önlemler. Teknik seviyeyi, işlemenin doğasını, kapsamını, bağlamını ve amaçlarını, gerçek kişilerin hak ve özgürlükleri için değişen olasılık ve ağırlıktaki riskleri göz önünde bulunduran Ultralytics, GDPR Madde 32 dahil olmak üzere yürürlükteki Veri Koruma Yasalarına uygun olarak, söz konusu risk için uygun bir güvenlik düzeyi sağlamak amacıyla uygun teknik ve organizasyonel önlemleri uygulayacak ve sürdürecektir. Bu önlemler, Ultralytics'in zaman zaman güncelleyebileceği Ek C'de açıklanmıştır; ancak bu güncellemeler, Müşteri Kişisel Verileri için sağlanan genel koruma düzeyini maddi olarak azaltamaz.
6.2 Müşteri Sorumlulukları. Yukarıdakilere bakılmaksızın Müşteri; bu DPA'da açıkça belirtilenler hariç olmak üzere, hesap kimlik doğrulama bilgilerini korumak, erişim kontrollerini uygun şekilde yapılandırmak ve kullanıcılarının Hizmetlere yürürlükteki Veri Koruma Yasaları ve Ultralytics tarafından sunulan güvenlik özellikleriyle tutarlı bir şekilde erişmesini ve bunları kullanmasını sağlamak dahil olmak üzere, Hizmetleri güvenli kullanımından kendisinin sorumlu olduğunu kabul eder.
Link to this sectionMüşteri Denetimleri ve Uyumluluğun Gösterilmesi#
7.1 Dokümantasyon. Makul bir talep üzerine Ultralytics, bu DPA'ya uyumluluğu göstermek için makul ölçüde gerekli bilgileri (varsa, güncel üçüncü taraf denetim raporları veya sertifikalar dahil) kullanıma sunacaktır. Ultralytics, bu DPA'ya uyumluluğu göstermek için yeterli kayıtları tutacak ve yasalarca daha uzun bir süre gerekmedikçe, sonlandırmadan sonra makul bir süre (örneğin, üç (3) yıl) boyunca bu kayıtları saklayacaktır.
7.2 Denetim. Veri Koruma Yasalarının gerektirdiği ve dokümantasyonun yetersiz olduğu durumlarda Müşteri, makul bir ön yazılı bildirimle ve Müşteri'nin masrafları kendisine ait olmak üzere, Ultralytics'in ilgili sistemlerinin ve süreçlerinin denetimini veya incelemesini talep edebilir. Her türlü denetim veya inceleme, yalnızca tarafların denetimin kapsamı, zamanlaması ve süresi ile denetimle bağlantılı olarak harcanan Ultralytics'in zamanı ve kaynakları için makul geri ödeme oranı konusunda karşılıklı yazılı mutabakatı sonrasında gerçekleştirilecektir. Bu Bölüm uyarınca yürütülen herhangi bir denetim:
- (a) on iki (12) aylık dönemde en fazla bir kez gerçekleşecek;
- (b) Ultralytics'in normal çalışma saatleri içinde gerçekleşecek;
- (c) makul gizlilik, güvenlik ve emniyet kontrollerine tabi olacak; ve
- (d) Müşteri Kişisel Verilerinin İşlenmesi ile makul ölçüde ilgili sistemler ve kayıtlarla sınırlı olacaktır.
Müşteri, Ultralytics'e bu tür bulguları ele alması için makul bir fırsat tanımak amacıyla, denetim sırasında tespit edilen herhangi bir maddi uyumsuzluğu derhal Ultralytics'e bildirecektir.
Link to this sectionKişisel Veri İhlalleri#
8.1 Bildirim. Ultralytics, bir Müşteri Kişisel Veri İhlali'nden haberdar olduktan sonra 72 saati geçmeyecek şekilde Müşteri'yi gecikmeksizin bilgilendirecektir.
8.2 Destek. Ultralytics, Ultralytics'in sahip olduğu bilgileri göz önünde bulundurarak, Müşteri'nin düzenleyicilere ve etkilenen Veri Sahiplerine yapması gereken bildirimler için makul destek sağlayacaktır.
8.3 Kabul Etmeme. İhlal bildirimi, hata veya sorumluluk kabulü anlamına gelmez. İhlal bildirim yükümlülüğü, bir Müşteri Kişisel Veri İhlali'nin Müşteri'nin veya kullanıcılarının eylem veya ihmallerinden kaynaklandığı ölçüde geçerli değildir.
Link to this sectionAktarımlar (AB/İngiltere/İsviçre)#
9.1 Uluslararası Aktarımlar. Müşteri, Ultralytics'in temel işleme operasyonlarının Amerika Birleşik Devletleri'nde ve Hizmetleri sağlamak için gerekli olan diğer konumlarda gerçekleşebileceğini kabul eder.
Netlik adına; Müşteri Kişisel Verileri, bu tür İştiraklerin Hizmetlerle bağlantılı olarak Ultralytics Inc. adına Alt İşleyen olarak hareket ettiği durumlarda Ultralytics Inc. ve İştirakleri (Ultralytics Ltd (İngiltere) ve Ultralytics AI İspanya, S.L. dahil) arasında aktarılabilir. Bu tür aktarımların yürürlükteki Veri Koruma Yasaları kapsamında uluslararası aktarım olarak nitelendirildiği durumlarda, bu aktarımlar SCC'ler (geçerli olduğu durumlarda Modül 3) veya diğer geçerli aktarım mekanizmaları dahil olmak üzere Uygun Güvencelere tabi olacaktır.
Yeterli düzeyde veri koruması sağladığı kabul edilmeyen bir ülkeye Müşteri Kişisel Verilerinin aktarılması gerektiğinde, bu tür aktarımlar yürürlükteki Veri Koruma Yasalarına uygun olarak, geçerli olduğu durumlarda bu DPA'ya dahil edilen SCC'ler ve İngiltere Eki dahil olmak üzere Uygun Güvencelere tabi olarak gerçekleştirilecektir.
9.2 AB SCC'leri. GDPR'ye tabi Müşteri Kişisel Verilerinin yeterlilik kararı olmayan bir üçüncü ülkeye aktarımı için taraflar AB SCC'lerini dahil eder. Müşteri bir Veri Sorumlusu olduğunda Modül İki (Veri Sorumlusu→Veri İşleyen); Müşteri bir Veri İşleyen olduğunda Modül Üç (Veri İşleyen→Alt İşleyen) geçerlidir. SCC ekleri, Ek B (Ek I/III) ve Ek C (Ek II) kullanılarak tamamlanır.
9.3 İngiltere Eki. UK GDPR'ye tabi aktarımlar için taraflar, Ek B/C ve geçerli aktarım mekanizması seçimi referans alınarak tamamlanan İngiltere Eki'ni dahil eder.
9.4 İsviçre. İsviçre aktarımları için AB SCC'leri standart İsviçre değişiklikleri ile geçerlidir (GDPR referansları İsviçre FADP'yi içerir; yetkili makam olarak FDPIC, vb.), bunlar Ekler referans alınarak tamamlanır.
9.5 Hükümet Erişim Talepleri. Ultralytics, Müşteri Kişisel Verilerine yönelik yasal olarak bağlayıcı talepleri, yasal olarak izin verilen durumlarda Müşteri'ye bildirim ve makul iş birliği dahil olmak üzere, yürürlükteki yasalara ve SCC'lere uygun olarak ele alacaktır.
Link to this sectionVeri Sorumlusundan Veri Sorumlusuna Hükümler (Ultralytics Hesabı / Kullanım / Güvenlik Operasyonları)#
10.1 Kapsam. Bu Bölüm, Ultralytics'in Şirket Hesap Verilerini ve Şirket Kullanım Verilerini İşlemesi dahil olmak üzere, her bir tarafın bağımsız bir Veri Sorumlusu olarak (ortak veri sorumluları değil) Veri Sorumlusu Kişisel Verilerini İşlemesi için geçerlidir.
10.2 Bağımsız Veri Sorumlusu Yükümlülükleri. Her bir taraf:
- (a) Veri Sorumlusu Kişisel Verilerini Veri Koruma Yasalarına uygun olarak İşleyecektir;
- (b) uygun güvenlik önlemlerini uygulayacaktır; ve
- (c) kendi İşleme süreçleriyle ilgili düzenleyici iletişimlere yanıt verecektir.
10.3 Ultralytics Veri Sorumlusu İşleme Süreçleri. Ultralytics, hesap yönetimi, faturalandırma, güvenlik izleme ve suistimal önleme, kimlik doğrulama, yasal uyumluluk, denetim/muhasebe ve hizmet operasyonları (performans ve güvenilirlik dahil) için Şirket Hesap Verilerini ve Şirket Kullanım Verilerini Veri Sorumlusu olarak İşler. Bu tür İşleme süreçleri, Ultralytics Gizlilik Politikası'nda açıklanmıştır. Bu DPA'daki hiçbir ifade, taraflar arasında ortak bir veri sorumlusu ilişkisi oluşturduğu şeklinde yorumlanamaz.
Şüpheye mahal vermemek adına; Ultralytics ve İştirakleri, ticari erişim, tanıtımlar, ortaklıklar ve müşteri ilişkileri yönetimi faaliyetleri bağlamında, bağımsız Veri Sorumluları olarak sınırlı iş iletişim verilerini (isimler, kurumsal e-posta adresleri ve profesyonel iletişim bilgileri gibi) işleyebilir.
Link to this sectionKaliforniya Hükümleri (CCPA/CPRA)#
11.1 Hizmet Sağlayıcı / İşleyen. CCPA/CPRA'nın geçerli olduğu ve Ultralytics'in Müşteri adına Müşteri Kişisel Verilerini İşlediği ölçüde, Ultralytics bir "hizmet sağlayıcı" ve/veya "işleyen" olarak hareket eder ve bu kişisel bilgileri "satmaz" veya "paylaşmaz".
11.2 Sınırlı Kullanım. Ultralytics, CCPA/CPRA tarafından izin verilen durumlar haricinde, Müşteri Kişisel Verilerini Hizmetleri sağlama yönündeki doğrudan ticari amaç dışında saklamayacak, kullanmayacak veya ifşa etmeyecektir.
11.3 Ayrımcılık. Taraflar, haklarını kullandıkları gerekçesiyle bir Tüketiciye karşı ayrımcılık yapmamalıdır.
Link to this sectionGenel Hükümler#
12.1 Sorumluluk Sınırlaması. Anlaşma'daki sınırlamalar ve hariç tutmalar, yasalarca veya SCC'ler/İngiltere Eki tarafından yasaklanmadıkça bu DPA için de geçerlidir.
12.2 Bölünebilirlik. Bu DPA'nın herhangi bir hükmünün geçersiz veya uygulanamaz olması durumunda, bu DPA'nın geri kalanı geçerli ve yürürlükte kalacaktır. Geçersiz veya uygulanamaz hüküm, (i) Tarafların niyetlerini mümkün olduğunca koruyacak şekilde geçerliliğini ve uygulanabilirliğini sağlamak için gerekli görüldüğü şekilde değiştirilecek veya bu mümkün değilse, (ii) geçersiz veya uygulanamaz kısım hiç mevcut değilmiş gibi yorumlanacaktır.
12.3 Bu DPA'nın İcrası. Bu DPA, Anlaşma'nın bir parçası olup Anlaşma'ya dahil edilmiştir. Müşteri, bu DPA'yı (geçerli olduğu yerlerde, AB SCC'leri ve İngiltere Eki dahil) şu yollarla onaylar:
- (a) Anlaşma'yı kabul ederek veya bağlı kalmayı kabul ederek (Hizmet Şartları'na "kabul ediyorum" veya benzeri bir mekanizmaya tıklayarak),
- (b) Anlaşma'yı içeren veya ona atıfta bulunan bir sipariş formu, iş bildirimi veya diğer yazılı anlaşmaları imzalayarak, veya
- (c) bu DPA Şirket tarafından kullanıma sunulduktan sonra Hizmetleri kullanarak veya kullanmaya devam ederek.
Müşteri, Anlaşma'yı kabul eden ve/veya Hizmetleri Müşteri adına kullanan kişinin, Müşteri'yi ve geçerli olduğu yerlerde İştiraklerini bağlama yetkisine sahip olduğunu beyan ve taahhüt eder.
12.4 İletişim. Gizlilik talepleri: privacy@ultralytics.com; DPO: dpo@ultralytics.com; yasal bildirimler: legal@ultralytics.com.
Link to this sectionTaraflar; İştirakler#
Müşteri, bu DPA'yı kendi adına ve Anlaşma uyarınca Hizmetlerin yetkili kullanıcıları olan ve Müşteri Kişisel Verilerinin Veri Sorumlusu/Veri İşleyeni olan İştirakleri ("İzin Verilen İştirakler") adına imzalar. Müşteri, İzin Verilen İştirakleri bağlama yetkisine sahip olduğunu beyan eder.
Link to this sectionEk A: Kişisel Veri İşleme Detayları#
Doğa: Ultralytics, Anlaşma'da açıklandığı üzere, Müşterilerin model eğitimi, çıkarım, veri kümesi yönetimi, dağıtım iş akışları ve ilgili destek ve yönetim dahil olmak üzere Ultralytics ürünlerine ve özelliklerine ("Hizmetler") erişmesini ve bunları kullanmasını sağlayan bulut tabanlı bir yazılım ve ilgili hizmetleri sunar.
Netlik adına; Hizmetler, Ultralytics'in bu DPA uyarınca Müşteri adına Müşteri Kişisel Verilerini İşlediği Ultralytics Platform'u içerir. Ayrı olarak Ultralytics, Müşterilerin kendi ortamlarında bağımsız olarak dağıtıp çalıştırabileceği Ultralytics YOLO açık kaynak modellerini de sunar. Müşterilerin Ultralytics YOLO modellerini Ultralytics Platform dışında dağıttığı veya kullandığı durumlarda, Ultralytics Müşteri adına Kişisel Veri İşlemez; bu tür bir dağıtım ve kullanımla bağlantılı olarak uygun teknik ve organizasyonel önlemleri uygulamaktan, İşleme amaçlarını ve araçlarını belirlemekten ve yürürlükteki Veri Koruma Yasalarına uyumluluğu sağlamaktan tamamen Müşteriler sorumludur.
Amaç: Ultralytics, Müşteri Kişisel Verilerini, Müşteri adına aşağıdaki amaçlarla işler:
- Hizmetleri Sözleşme ve Müşterinin belgelendirilmiş Talimatları doğrultusunda sağlamak, yürütmek, güvenliğini sağlamak ve desteklemek;
- Müşteri tarafından sağlanan ve bu Sözleşme ve bu DPA ile tutarlı olan diğer belgelendirilmiş makul talimatlara uymak;
- Müşteri veya yetkili kullanıcıları tarafından Hizmetlerin kullanımı sırasında başlatılan taleplere (müşteri destek talepleri dahil) yanıt vermek;
- Güvenlik olaylarını, dolandırıcılığı, istismarı ve hizmetin kötüye kullanımını izlemek, önlemek ve tespit etmek; ve
- Geçerli yasal yükümlülüklere uymak.
Ultralytics, Müşteri Kişisel Verilerini, Müşteri tarafından yazılı olarak veya Hizmetler aracılığıyla açıkça talimat verilmedikçe Ultralytics'in genel modellerini eğitmek veya geliştirmek için kullanmayacaktır. Netlik kazandırmak gerekirse, Ultralytics, Hizmetleri yürütmek, güvenliğini sağlamak ve iyileştirmek için Şirket Kullanım Verilerini ve (izin verilen durumlarda) toplulaştırılmış veya kimlikten arındırılmış verileri kullanabilir.
Müşterinin veri kümelerini, modellerini veya diğer içeriği Hizmetlerin topluluk veya herkese açık özellikleri aracılığıyla paylaşmayı seçtiği durumlarda, bu paylaşım Müşterinin belgelendirilmiş talimatını oluşturur. Müşteri, bu tür verileri diğer kullanıcılara sunmak için gerekli tüm haklara ve yasal dayanaklara sahip olduğundan emin olma konusunda tek başına sorumludur.
İşleme Süresi: Ultralytics, Müşteri Kişisel Verilerini, Sözleşme süresi boyunca ve Müşterinin Talimatları uyarınca Hizmetleri sağlamak için gerekli olduğu sürece işleyecektir. Sözleşmenin feshi veya sona ermesini takiben, geçerli yasa tarafından daha fazla saklama gerekmedikçe, Ultralytics Müşteri Kişisel Verilerini Sözleşme ve bu DPA uyarınca silecek veya iade edecektir. Netlik kazandırmak gerekirse, Ultralytics'in 10. Bölüm uyarınca bağımsız bir Veri Sorumlusu olarak Veri Sorumlusu Kişisel Verilerini (Şirket Hesap Verileri ve Şirket Kullanım Verileri dahil) işlediği durumlarda, bu tür İşleme, Ultralytics Gizlilik Politikası'nda belirtilen süreler boyunca gerçekleşecektir.
İlgili Kişi Kategorileri: Müşteri Kişisel Verileri, Müşteri tarafından belirlenen ve kontrol edilen aşağıdaki İlgili Kişi kategorileriyle ilgili olabilir:
- Müşterinin çalışanları, yüklenicileri, temsilcileri ve vekilleri;
- Müşterinin yetkili kullanıcıları ve yöneticileri;
- ve Müşterinin son kullanıcıları, müşterileri veya Müşterinin Hizmetlere göndermeyi seçtiği Kişisel Verilerine sahip diğer bireyler.
Kişisel Veri Kategorileri: Müşteri Kişisel Verileri, Müşteri tarafından veya adına Hizmetlere gönderilen veya başka bir şekilde Hizmetler aracılığıyla erişilebilir kılınan ölçüde aşağıdaki Kişisel Veri kategorilerini içerebilir:
- Hesap ve kullanıcı kimlik verileri, örneğin ad, e-posta adresi, kullanıcı adı/kullanıcı kimliği, kuruluş adı ve kullanıcı rolü/izinleri (örneğin, yönetici/kullanıcı).
- Kullanım ve cihaz/teknik verileri, örneğin IP adresi, cihaz tanımlayıcıları ve sistem özellikleri (örneğin, cihaz türü, işletim sistemi, tarayıcı türü), günlük dosyaları, zaman damgaları, kimlik doğrulama olayları, erişim geçmişi ve (varsa) kurumsal cihaz veya güvenlik iş akışlarının bir parçası olarak toplanan yüklü uygulamalar veya yapılandırma ayrıntıları.
- Müşteri tarafından sağlanan içerik ve girdiler, örneğin kullanıcı tarafından oluşturulan komutlar, yorumlar, ek açıklamalar, veri kümesi meta verileri veya etiketleri ve Müşterinin Hizmetler aracılığıyla yüklediği veya gönderdiği diğer tüm içerikler (resimler/video/ses veya diğer dosyalar dahil), ancak yalnızca bu tür içerik Kişisel Veri içerdiği ölçüde.
- Destek ve iletişim verileri, örneğin müşteri destek iletişimleri, sorun raporları, sorun giderme bilgileri ve idari iletişim bilgileri.
İşlenen Kişisel Veri kategorileri, Ultralytics Gizlilik Politikası'nda açıklananları da içerebilir.
Hassas Veriler veya Özel Nitelikli Veriler: Hizmetler, Özel Nitelikli Kişisel Verileri (GDPR Madde 9'da tanımlandığı şekliyle veya geçerli Veri Koruma Yasaları kapsamındaki eşdeğerleri) veya cezai mahkumiyetler ve suçlarla ilgili Kişisel Verileri (GDPR Madde 10) işlemek için tasarlanmamıştır veya bu amaçla kullanılmaz ve Müşterinin, Ultralytics ile yazılı olarak açıkça mutabık kalınmadığı ve ek güvenlik önlemlerine tabi olmadığı sürece bu tür verileri sağlaması yasaktır.
Link to this sectionEk B: Ek I ve Ek III Bilgileri (AB SCC'leri ve Birleşik Krallık Eki)#
Aşağıdakiler, AB SCC'lerinin Ek I ve Ek III'ü ile Birleşik Krallık Eki'nin Tablo 1, Ek 1A ve Ek 1B'si tarafından gerekli görülen bilgileri içerir.
1. Taraflar
Veri dışa aktaran(lar):
- Ad: Müşteri yasal kuruluş adı
- Ticari Adı (farklıysa): [İsteğe bağlı]
- Adres: Müşteri kayıtlı adresi
- Resmi Kayıt Numarası (varsa): [İsteğe bağlı]
- İletişim kişisinin adı, görevi ve iletişim bilgileri: Ad, Unvan, E-posta
- Bu Hükümler uyarınca aktarılan verilerle ilgili faaliyetler: Sözleşme kapsamındaki Hizmetlerin kullanımı; bu Sözleşme, bu DPA ve Ek A'da açıklandığı üzere Hizmetlerle bağlantılı olarak İşleme amacıyla Müşteri Kişisel Verilerinin Ultralytics'e aktarılması dahil.
- İmza ve tarih: Sözleşmenin/DPA'nın yürütülmesi/kabulü ile
- Rol (veri sorumlusu/işleyen): Veri Sorumlusu
Veri içe aktaran(lar):
- Ad: Ultralytics Inc.
- Ticari Adı (farklıysa): N/A
- Adres ve iletişim bilgileri: 5001 Judicial Way, Frederick, MD, 21703, Amerika Birleşik Devletleri; privacy@ultralytics.com
- Resmi Kayıt Numarası (varsa): 6755919
- Bu Hükümler uyarınca aktarılan verilerle ilgili faaliyetler: Müşteri Kişisel Verilerini, Hizmetleri sağlamak, yürütmek, güvenliğini sağlamak, sürdürmek ve desteklemek amacıyla ve Sözleşme, bu DPA ve Ek A'da başka şekillerde açıklandığı üzere, Müşteri adına işlemek.
- İmza ve tarih: Sözleşmenin/DPA'nın yürütülmesi/kabulü ile
- Rol (veri sorumlusu/işleyen): DPA'nın 3. Bölümünde açıklandığı gibi.
2. Aktarımın Tanımı
| Alan | Ayrıntılar |
|---|---|
| İlgili Kişiler | DPA'nın Ek A'sında açıklandığı gibi |
| Kişisel Veri Kategorileri | DPA'nın Ek A'sında açıklandığı gibi |
| Özel Nitelikli Kişisel Veriler (varsa) | DPA'nın Ek A'sında açıklandığı gibi |
| İşlemenin Niteliği | DPA'nın Ek A'sında açıklandığı gibi |
| İşleme Amaçları | DPA'nın Ek A'sında açıklandığı gibi |
| İşleme ve Saklama Süresi (veya bu süreyi belirleme kriterleri) | DPA'nın Ek A'sında açıklandığı gibi |
| Aktarım sıklığı | Sözleşme veya DPA'da sağlanan Kişisel Verilerle ilgili tüm yükümlülükleri ve hakları sağlamak ve yerine getirmek için gerektiği şekilde |
| Veri İçe Aktarana Aktarılan Kişisel Verilerin Alıcıları | Şirket, Alt-İşleyici listesini şu adreste tutacaktır: Ultralytics Alt-İşleyici Listesi |
Grup içi Alt-İşleyenler:
Ultralytics Ltd (Birleşik Krallık) - mühendislik desteği, müşteri desteği, işe alıştırma yardımı ve ticari etkileşimler (gösteriler ve ortaklıklar dahil)
Ultralytics AI Spain, S.L. (İspanya) - iş iletişim verilerinin sınırlı işlenmesini içeren mühendislik desteği, ticari etkileşimler ve müşteri odaklı faaliyetler
3. Yetkili Denetim Otoritesi
Denetim otoritesi, AB SCC'lerinin 13. Maddesi uyarınca belirlenen, Veri Dışa Aktaranın denetim otoritesi olacaktır. Birleşik Krallık Eki amaçları doğrultusunda denetim otoritesi, Birleşik Krallık Bilgi Komiserliği Ofisi olacaktır.
Link to this sectionEk C: Teknik ve İdari Güvenlik Önlemleri#
Aşağıdakiler, AB SCC'lerinin Ek II'si ve Birleşik Krallık Eki'nin Ek II'si tarafından gerekli görülen bilgileri içerir.
| Teknik ve İdari Güvenlik Önlemi | Ayrıntılar |
|---|---|
| Kişisel verilerin takma adlaştırılması ve şifrelenmesi önlemleri | Müşteri Kişisel Verileri, platform bileşenleri ve harici uç noktalar arasında endüstri standardı güvenli bağlantılar (TLS) kullanılarak aktarım sırasında şifreleme ile korunur. Bulut hizmetlerinde depolanan veriler, bulut sağlayıcısı tarafından yönetilen bekleme sırasında şifreleme ve güvenli anahtar yönetimi kontrollerinden yararlanır. |
| İşleme sistemlerinin ve hizmetlerinin gizliliğinin, bütünlüğünün, kullanılabilirliğinin ve dayanıklılığının devamlılığını sağlama önlemleri | Ultralytics, Hizmetleri için Güvenlik, Gizlilik ve Kullanılabilirlik taahhütlerini sürdürür; buna yetkisiz erişimi kısıtlamak, saldırı tespiti ve izleme, güvenlik açığı taraması ve sızma testi, aktarım ve bekleme sırasında şifreleme ve veri saklama/imha kontrolleri için tasarlanmış sistem yapılandırması dahildir. Ultralytics Platformu, kullanılabilirlik sağlayan yönetilen bulut hizmetlerini kullanarak çalışır. Hizmet olarak altyapı (IaaS) sağlayıcılarımız, çoğaltma ve yüksek kullanılabilirlik yoluyla veritabanı dayanıklılığını destekler. Ultralytics ayrıca, alt-işleyenlerin teknik ve idari önlemlerinin (TOM'lar) bu sözleşmede belirlenen standartları karşılamasını veya aşmasını sağlar. |
| Fiziksel veya teknik bir olay durumunda kişisel verilere erişilebilirliği ve erişimi zamanında geri yükleme becerisini sağlama önlemleri | Ultralytics Platformundaki Müşteri verileri, bulut sağlayıcısı tabanlı hizmetler kullanılarak yedeklenir. Yedeklemeler izlenir ve istisnalar araştırılır ve düzeltilir. Yedekleme verileri bekleme ve aktarım sırasında şifrelenir ve erişim yetkili personelle kısıtlanır. İş sürekliliği ve felaket kurtarma planlaması, kurtarma noktası hedeflerini (RPO'lar), kurtarma süresi hedeflerini (RTO'lar) ve tanımlanmış rolleri ve sorumlulukları içerir. |
| İşlemenin güvenliğini sağlamak için teknik ve idari önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve ölçme süreçleri | Ultralytics, sistem ve ağ üzerinde düzenli güvenlik açığı taramaları ve üretim ortamında sızma testleri gerçekleştirir. Güvenlik açığı yönetimi, CI/CD hatlarına entegre edilmiş bağımlılık taramasını ve güvenli geliştirme uygulamalarını içerir ve tanımlanan güvenlik açıkları, ciddiyet ve riske göre önceliklendirilir ve giderilir. Ek olarak, Ultralytics, standart ISMS uygulamasının bir parçası olarak yıllık risk değerlendirmesi ve Yönetim Gözden Geçirmesi yürütür. |
| Kullanıcı tanımlama ve yetkilendirme önlemleri | Ultralytics Platformu, kullanıcı kimlik doğrulamasını ve oturum yönetimini destekleyen bir kimlik doğrulama ve kimlik sağlayıcısı kullanır. Mühendislik sistemlerine (kaynak kodu depoları dahil) erişim yetkili personelle kısıtlıdır ve rol tabanlı izinler, dal korumaları ve gerekli gözden geçirmelerle yönetilir. Dahili erişim, en az ayrıcalık modelini ve rol tabanlı erişim kontrollerini takip eder. |
| İletim sırasında verilerin korunması önlemleri | Ultralytics Platformuna ağ girişi, belirlenmiş ön uç uç noktaları aracılığıyla güvenli HTTPS (TLS) bağlantılarıyla kısıtlanmıştır. Platform bileşenleri ve depolama hizmetleri arasındaki dahili iletişimler, TLS kullanılarak aktarım sırasında şifrelenir. |
| Depolama sırasında verilerin korunması önlemleri | Ultralytics Platformu için Müşteri verileri, yedeklilik ve yedekleme desteğine sahip şifrelenmiş, yönetilen bulut hizmetlerinde depolanır. Yönetilen bulut hizmetleri, yerleşik şifreleme, otomatik yedeklemeler, yedekli depolama ve yüksek kullanılabilirlik sağlar. Bulut sağlayıcısı tarafından yönetilen şifreleme, bekleme durumundaki verilere uygulanır. |
| Kişisel verilerin işlendiği yerlerin fiziksel güvenliğini sağlama önlemleri | Ultralytics Platformu, üçüncü taraf bulut hizmet sağlayıcıları kullanılarak barındırılır. Barındırma veri merkezleri için fiziksel ve çevresel korumalar, ilgili Alt-İşleyen kuruluşları tarafından yürütülür. Ultralytics, Alt-İşleyen kuruluşu tasdik raporlarını gözden geçirir ve en az yıllık olarak risk analizi yapar. |
| Olay günlüğünün sağlanması önlemleri | Ultralytics, izleme, sorun giderme ve olay araştırmaları için bulut tabanlı günlük kaydından yararlanır. Platform kullanılabilirliği ve güvenlikle ilgili uyarılar, dahili iletişim ve e-posta yoluyla dahili olarak ve barındırılan bir durum sayfası aracılığıyla harici olarak iletilir. Ayrıca Ultralytics, Müşteri Verilerini işleyen veya depolayan uygulamalara, araçlara ve kaynaklara erişimi düzenli olarak gözden geçirir. |
| Varsayılan yapılandırma dahil sistem yapılandırmasını sağlama önlemleri | Ultralytics, Ultralytics Platformunda ve Ultralytics YOLO model kod tabanında yapılan değişiklikleri yöneten, değişiklik başlatma, belgelendirme, geliştirme standartları, test etme, gözden geçirme ve yayınlama veya dağıtımdan önce onay dahil olmak üzere belgelendirilmiş değişiklik yönetimi süreçlerini sürdürür. Değişiklikler, eş gözden geçirme ve CI/CD hattı doğrulaması ile sürüm kontrolünde takip edilir. |
| Dahili BT ve BT güvenliği yönetişimi ve yönetimi önlemleri | Ultralytics, temel politika ve prosedürlerin yıllık gözden geçirilmesiyle, hizmet taahhütleri ve dahili uyumluluk gereksinimleriyle uyumlu güvenlik politika ve prosedürlerini sürdürür. Çalışanlar, özel bir Yönetişim, Risk, Uyumluluk (GRC) aracı aracılığıyla politikaları kabul etmelidir ve mühendislik rolleri için güvenli kodlama eğitimi dahil olmak üzere yıllık güvenlik farkındalığı eğitimi ve gizlilik eğitimi almalıdır. Riskler merkezi bir risk sicilinde belgelenir ve resmi olarak en az yılda bir kez gözden geçirilir. |
| Süreçlerin ve ürünlerin sertifikasyonu/güvencesi önlemleri | Ultralytics, üçüncü taraf yönetilen hizmetlere (alt hizmet kuruluşları dahil) güvenir ve izleme kontrollerinin bir parçası olarak SOC 2 raporlarını yıllık olarak gözden geçirir. Satıcı durum tespiti risk tabanlıdır ve satıcılar (Kritik/Yüksek/Orta/Düşük) olarak kademelere ayrılır; sözleşmesel güvenlik önlemleri ve periyodik yeniden değerlendirmeler uygulanır. |
| Veri minimizasyonunu sağlama önlemleri | Ultralytics, Müşteri verilerini müşteri sözleşmeleri ve geçerli veri koruma gereksinimleri uyarınca işler ve İşlemeyi, Hizmetleri sunmak ve desteklemek için gerekli olanla (veri kümesi yönetimi, açıklama, model eğitimi, değerlendirme ve ilgili platform işlevselliği dahil) sınırlandırır. Ultralytics YOLO açık kaynak kullanımı müşteri tarafından yönetilir ve Ultralytics bu bağlamda müşteriler için çıkarım iş yüklerini işlemez. |
| Veri kalitesini sağlama önlemleri | Ultralytics, Platform ve açık kaynak kodu sürümleri için eş gözden geçirme, otomatik test etme, CI/CD iş akışları ve kontrollü değişiklik yönetimi dahil olmak üzere bütünlüğü ve güvenilirliği desteklemek için tasarlanmış kontrollü geliştirme ve dağıtım uygulamaları kullanır. |
| Sınırlı veri saklamayı sağlama önlemleri | Ultralytics, hizmet taahhütlerinin bir parçası olarak veri saklama ve veri imha taahhütlerini uygular. Platform için Müşteri verileri, yönetilen hizmetler kullanılarak yedeklenir ve silme/iade, müşteri sözleşmeleri ve geçerli yasa uyarınca gerçekleştirilir. |
| Hesap verebilirliği sağlama önlemleri | Ultralytics, güvenlik ve gizlilik olaylarını tanımlamak, raporlamak, yönetmek ve izlemek için bir olay müdahale planı ve belgelendirilmiş prosedürler sürdürür; buna security@ultralytics.com aracılığıyla harici güvenlik açığı raporlama iletişimleri dahildir. Olaylar belgelenir ve ciddiyet gerektirdiğinde Mühendislik, Hukuk ve üst yönetimin katılımıyla ele alınır. |
| Veri taşınabilirliğine izin verme ve silmeyi sağlama önlemleri | Ultralytics Platformuna gönderilen Müşteri Kişisel Verileri, Sözleşme ve bu DPA uyarınca, Müşteri tarafından ve/veya Müşterinin talebi üzerine silinebilir. Silme gerektiğinde, Ultralytics Müşteri talimatlarına ve geçerli yasal gerekliliklere göre hareket edecektir. (Taşınabilirlik, Müşterinin Müşteri Verilerini Hizmetlerden uygun şekilde dışa aktarabildiği veya alabildiği ölçüde desteklenir.) Ultralytics YOLO açık kaynak modelleri, tam veri yönetişim kontrolü sağlayarak Müşteri tarafından özel ortamlarında dağıtılır. |
| Alt-İşleyenlerin teknik ve idari önlemleri | Ultralytics, uyumluluk tasdiklerinin gözden geçirilmesi ve sözleşmesel güvenlik ve veri koruma gereksinimleri dahil olmak üzere üçüncü taraf hizmet sağlayıcılarını işe almak ve izlemek için risk tabanlı bir satıcı yönetim programı kullanır. Ultralytics ayrıca Alt Hizmet Kuruluşlarını izler ve SOC 2 raporlarını yıllık olarak gözden geçirir. Ultralytics ayrıca, Alt-İşleyenleri ile bu DPA'da yer alanlara önemli ölçüde benzer veri koruma yükümlülükleri içeren Veri İşleme Sözleşmeleri yapar. |
Link to this sectionEk D: Birleşik Krallık Eki#
AB Komisyonu Standart Sözleşme Maddelerine Uluslararası Veri Aktarımı Eki
Link to this sectionBölüm 1: Tablolar#
Tablo 1: Taraflar
| Alan | İhracatçı | İthalatçı |
|---|---|---|
| Başlangıç Tarihi | Bu Birleşik Krallık Ek'i, DPA ile aynı yürürlük tarihine sahip olacaktır | Bu Birleşik Krallık Ek'i, DPA ile aynı yürürlük tarihine sahip olacaktır |
| Tarafların Bilgileri | Müşteri | Şirket |
| Ana İletişim Kişisi | Bu DPA'nın B Ekine bakınız | Bu DPA'nın B Ekine bakınız |
Tablo 2: Seçili SCC'ler, Modüller ve Seçili Maddeler
| Alan | Ayrıntılar |
|---|---|
| AB SCC'leri | Bu Birleşik Krallık Ek'inin, DPA'da tanımlandığı ve DPA'nın 6.2 ve 6.3 Bölümleri tarafından tamamlandığı şekliyle ekli olduğu Onaylı AB SCC'lerinin Sürümü. |
Tablo 3: Ek Bilgileri
"Ek Bilgileri", Onaylı AB SCC'lerinin Ek'inde (Taraflar dışında) belirtilen seçili modüller için sağlanması gereken ve bu Birleşik Krallık Ek'i için aşağıdakilerde belirtilen bilgileri ifade eder:
| Ek | Referans |
|---|---|
| Ek 1A: Tarafların Listesi | Yukarıdaki Tablo 1'e göre |
| Ek 2B: Aktarımın Tanımı | Bu DPA'nın B Ekine bakınız |
| Ek II: Verilerin güvenliğini sağlamaya yönelik teknik ve organizasyonel önlemler dahil olmak üzere teknik ve organizasyonel önlemler | Bu DPA'nın C Ekine bakınız |
| Ek III: Alt İşleyenlerin Listesi (Sadece Modül 2 ve 3) | Bu DPA'nın B Ekine bakınız |
Tablo 4: Onaylı Birleşik Krallık Ek'i Değiştiğinde Bu Birleşik Krallık Ek'inin Sona Erdirilmesi
Not: Bu hüküm, ICO'nun onaylı Birleşik Krallık Ek'ini değiştirmesi durumunda ve bu değişikliğin (a) Birleşik Krallık Ek'i kapsamındaki yükümlülüklerini yerine getirme konusundaki doğrudan maliyetlerinde veya (b) Birleşik Krallık Ek'i kapsamındaki risklerinde önemli, orantısız ve kanıtlanabilir bir artışa doğrudan neden olması halinde, seçili tarafın (varsa) Birleşik Krallık Ek'ini feshetmesine izin verir.
| Alan | Seçim |
|---|---|
| Onaylı Birleşik Krallık Ek'i değiştiğinde bu Birleşik Krallık Ek'inin sona erdirilmesi | x İthalatçı x İhracatçı ☐ Hiçbir Taraf |
Link to this sectionBu Birleşik Krallık Ek'ini imzalamak#
Her bir taraf, diğer tarafın da bu Birleşik Krallık Ek'ine bağlı kalmayı kabul etmesi karşılığında, bu Birleşik Krallık Ek'inde belirtilen hüküm ve koşullara bağlı kalmayı kabul eder.
Onaylı AB SCC'lerinin 1A Eki ve 7. Maddesi Tarafların imzasını gerektirse de, Birleşik Krallık dışına aktarım yapılması amacıyla, Taraflar bu Birleşik Krallık Ek'ini kendileri için yasal olarak bağlayıcı kılan ve veri sahiplerinin bu Birleşik Krallık Ek'inde belirtilen haklarını kullanmalarına olanak tanıyan herhangi bir yolla imzalayabilirler. Bu Birleşik Krallık Ek'ini imzalamak, Onaylı AB SCC'lerini ve Onaylı AB SCC'lerinin herhangi bir bölümünü imzalamakla aynı etkiye sahip olacaktır.
Link to this sectionBu Birleşik Krallık Ek'inin yorumlanması#
Bu Birleşik Krallık Ek'i, Onaylı AB SCC'lerinde tanımlanan terimleri kullandığında, bu terimler Onaylı AB SCC'lerinde geçen anlamlara sahip olacaktır. Ek olarak, aşağıdaki terimler şu anlamlara gelir:
| Terim | Tanım |
|---|---|
| Birleşik Krallık Ek'i | DPA'ya Ek D olarak eklenmiş, AB SCC'lerini içeren bu Uluslararası Veri Aktarım Ek'ini ifade eder. |
| AB SCC'leri | Tablo 2'de belirtilen ve Ek Bilgileri dahil olmak üzere, bu Birleşik Krallık Ek'inin ekli olduğu Onaylı AB SCC'lerinin sürümünü/sürümlerini ifade eder |
| Ek Bilgileri | Tablo 3'te belirtilen şekilde olacaktır |
| Uygun Güvenceler | Kişisel veriler ve veri sahiplerinin hakları üzerinde, Madde 46(2)(d) UK GDPR kapsamındaki standart veri koruma maddelerine dayanarak Birleşik Krallık dışına aktarım yaptığında Birleşik Krallık Veri Koruma Yasaları tarafından gerekli görülen koruma standardını ifade eder. |
| Onaylı Birleşik Krallık Ek'i | ICO tarafından yayınlanan ve 2 Şubat 2022 tarihinde 2018 Veri Koruma Yasası'nın 119A bölümü uyarınca Parlamentoya sunulan, Birleşik Krallık Ek'inin 18. Bölümü uyarınca revize edilebilecek olan taslak Ek'i ifade eder. |
| Onaylı AB SCC'leri | Kişisel verilerin, Avrupa Komisyonu tarafından yeterli düzeyde koruma sağladığı tanınmayan ülkelere aktarılması için Avrupa Komisyonu'nun 4 Haziran 2021 tarihli ve 2021/914 sayılı Kararı ile onaylanan standart sözleşme maddelerini (zaman zaman değiştirildiği ve güncellendiği şekliyle) ifade eder. |
| ICO | Bilgi Komiserliği Ofisi'ni ifade eder. |
| Birleşik Krallık dışına aktarım | DPA'da belirtilen tanımın aynısına sahip olacaktır. |
| Birleşik Krallık | Büyük Britanya ve Kuzey İrlanda Birleşik Krallığı'nı ifade eder |
| Birleşik Krallık Veri Koruma Yasaları | UK GDPR ve 2018 Veri Koruma Yasası dahil olmak üzere, Birleşik Krallık'ta zaman zaman yürürlükte olan veri koruma, kişisel verilerin işlenmesi, gizlilik ve/veya elektronik iletişim ile ilgili tüm yasaları ifade eder. |
| UK GDPR | DPA'da belirtilen tanıma sahip olacaktır. |
Birleşik Krallık Ek'i her zaman Birleşik Krallık Veri Koruma Yasaları ile tutarlı olacak ve Tarafların Uygun Güvenceleri sağlama yükümlülüğünü yerine getirecek şekilde yorumlanmalıdır.
Birleşik Krallık Ek'inde yer alan hükümler, Onaylı AB SCC'lerini veya Onaylı Birleşik Krallık Ek'ini, Onaylı AB SCC'leri veya Onaylı Birleşik Krallık Ek'i altında izin verilmeyen bir şekilde değiştirirse, bu değişiklik(ler) Birleşik Krallık Ek'ine dahil edilmeyecek ve Onaylı AB SCC'lerinin eşdeğer hükmü onların yerini alacaktır.
Birleşik Krallık Veri Koruma Yasaları ile Birleşik Krallık Ek'i arasında herhangi bir tutarsızlık veya çelişki varsa, Birleşik Krallık Veri Koruma Yasaları uygulanacaktır.
Birleşik Krallık Ek'inin anlamı belirsizse veya birden fazla anlamı varsa, Birleşik Krallık Veri Koruma Yasaları ile en yakından uyumlu olan anlam uygulanır.
Mevzuata (veya mevzuatın belirli hükümlerine) yapılan tüm atıflar, bu mevzuatın (veya belirli hükmün) zaman içinde değişebileceği anlamına gelir. Bu, mevzuatın (veya belirli hükmün) Birleşik Krallık Ek'i imzalandıktan sonra birleştirilmesi, yeniden yürürlüğe girmesi ve/veya değiştirilmesi durumlarını da kapsar.
Link to this sectionHiyerarşi#
Onaylı AB SCC'lerinin 5. Maddesi, Onaylı AB SCC'lerinin taraflar arasındaki tüm ilgili sözleşmelere üstün geleceğini belirtse de, taraflar Birleşik Krallık dışına aktarımlar için aşağıdaki 10. Bölümdeki hiyerarşinin geçerli olacağını kabul ederler.
Onaylı Birleşik Krallık Ek'i ile (uygulanabilir olduğu şekilde) AB SCC'leri arasında herhangi bir tutarsızlık veya çelişki olduğunda, Onaylı Birleşik Krallık Ek'i, AB SCC'lerinin çelişkili veya tutarsız hükümlerinin veri sahipleri için daha fazla koruma sağladığı durumlar hariç olmak üzere, AB SCC'lerini geçersiz kılar; bu durumda söz konusu hükümler Onaylı Birleşik Krallık Ek'ini geçersiz kılar.
Bu Birleşik Krallık Ek'i, GDPR'ye tabi AB dışı aktarımları korumak amacıyla imzalanmış AB SCC'lerini içerdiğinde, taraflar Birleşik Krallık Ek'indeki hiçbir şeyin bu AB SCC'lerini etkilemediğini kabul ederler.
Link to this sectionAB SCC'lerinin Dahil Edilmesi ve Değişiklikler#
Bu Birleşik Krallık Ek'i, şu amaçlarla gerekli ölçüde değiştirilen AB SCC'lerini içerir:
- Birlikte, veri ihracatçısı tarafından veri ithalatçısına yapılan veri aktarımları için çalışırlar; Birleşik Krallık Veri Koruma Yasalarının, veri aktarımını gerçekleştirirken veri ihracatçısının işlemesi için geçerli olduğu ölçüde ve bu veri aktarımları için Uygun Güvenceler sağlarlar;
- Yukarıdaki 9 ila 11. Bölümler, AB SCC'lerinin 5. Maddesini (Hiyerarşi) geçersiz kılar; ve
- Birleşik Krallık Ek'i (içine dahil edilen AB SCC'leri dahil) (1) İngiltere ve Galler yasalarına tabidir ve (2) ondan kaynaklanan herhangi bir uyuşmazlık İngiltere ve Galler mahkemeleri tarafından çözülür.
Taraflar, bu Birleşik Krallık Ek'inin 12. Bölümünün gerekliliklerini karşılayan alternatif değişiklikler üzerinde anlaşmadıkça, bu Birleşik Krallık Ek'inin 15. Bölümünün hükümleri geçerli olacaktır.
Bu Birleşik Krallık Ek'inin 12. Bölümünün gerekliliklerini karşılamak dışında, Onaylı AB SCC'lerinde hiçbir değişiklik yapılamaz.
AB SCC'lerinde (bu Birleşik Krallık Ek'inin 12. Bölümü amacıyla) aşağıdaki değişiklikler yapılmıştır:
- "Maddeler"e yapılan atıflar, AB SCC'lerini içeren bu Birleşik Krallık Ek'i anlamına gelir;
- Maddede şu kelimeler silinmiştir: "ve veri sorumlularından veri işleyenlere ve/veya veri işleyenlerden veri işleyenlere yapılan veri aktarımlarına ilişkin olarak, 2016/679 sayılı Tüzük (AB) uyarınca standart sözleşme maddeleri";
- Madde (Aktarımın/Aktarımların tanımı) şu şekilde değiştirilmiştir: "Aktarımın/Aktarımların detayları ve özellikle aktarılan kişisel veri kategorileri ve aktarılma amaçları, Birleşik Krallık Veri Koruma Yasalarının, veri aktarımını gerçekleştirirken veri ihracatçısının işlemesi için geçerli olduğu durumlarda Ek I.B'de belirtilenlerdir.";
- Modül 1'in 8.7(i) maddesi şu şekilde değiştirilmiştir: "sonraki aktarımı kapsayan, UK GDPR'nin 17A Bölümü uyarınca yeterlilik düzenlemelerinden yararlanan bir ülkeye yapılması durumunda";
- Modül 2 ve 3'ün 8.8(i) maddesi şu şekilde değiştirilmiştir: "sonraki aktarım, sonraki aktarımı kapsayan, UK GDPR'nin 17A Bölümü uyarınca yeterlilik düzenlemelerinden yararlanan bir ülkeye yapılıyorsa;"
- "2016/679 sayılı Tüzük (AB)", "27 Nisan 2016 tarihli ve kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı konusunda gerçek kişilerin korunmasına ilişkin Avrupa Parlamentosu ve Konseyi'nin 2016/679 sayılı Tüzüğü (Genel Veri Koruma Tüzüğü)" ve "söz konusu Tüzük" ifadelerinin tamamı "Birleşik Krallık Veri Koruma Yasaları" ile değiştirilmiştir. "2016/679 sayılı Tüzük (AB)"nin belirli maddelerine yapılan atıflar, Birleşik Krallık Veri Koruma Yasalarının eşdeğer Madde veya Bölümü ile değiştirilmiştir;
- 2018/1725 sayılı Tüzük (AB) atıfları kaldırılmıştır;
- "Avrupa Birliği", "Birlik", "AB", "AB Üye Devleti", "Üye Devlet" ve "AB veya Üye Devlet" ifadelerinin tamamı "Birleşik Krallık" ile değiştirilmiştir;
- Birinci modülün 10(b)(i) maddesindeki "Madde 12(c)(i)" atfı, "Madde 11(c)(i)" ile değiştirilmiştir;
- Madde 13(a) ve Ek I'in C Bölümü kullanılmamaktadır;
- "Yetkili denetim makamı" ve "denetim makamı" ifadelerinin her ikisi de "Bilgi Komiseri" ile değiştirilmiştir;
- 16(e) Maddesinde, (i) alt bölümü şu şekilde değiştirilmiştir: "Bakan, 2018 Veri Koruma Yasası'nın 17A Bölümü uyarınca bu maddelerin uygulandığı kişisel veri aktarımını kapsayan yönetmelikler çıkarırsa;";
- Madde şu şekilde değiştirilmiştir: "Bu Maddeler İngiltere ve Galler yasalarına tabidir";
- Madde şu şekilde değiştirilmiştir: "Bu Maddelerden kaynaklanan herhangi bir uyuşmazlık İngiltere ve Galler mahkemeleri tarafından çözülecektir." Bir veri sahibi ayrıca veri ihracatçısına ve/veya veri ithalatçısına karşı Birleşik Krallık'taki herhangi bir ülkenin mahkemelerinde yasal işlem başlatabilir. Taraflar, bu tür mahkemelerin yargı yetkisini kabul ederler."; ve
- Onaylı AB SCC'lerinin dipnotları, 8, 9, 10 ve 11 numaralı dipnotlar hariç olmak üzere, Birleşik Krallık Ek'inin bir parçasını oluşturmaz.
Link to this sectionBirleşik Krallık Ek'inde Değişiklikler#
Taraflar, AB SCC'lerinin 17. ve/veya 18. Maddelerini İskoçya veya Kuzey İrlanda yasalarına ve/veya mahkemelerine atıfta bulunacak şekilde değiştirmeyi kabul edebilirler.
Taraflar, Onaylı Birleşik Krallık Ek'inin 1. Bölümüne dahil edilen bilgilerin formatını değiştirmek isterlerse, değişikliğin Uygun Güvenceleri azaltmaması koşuluyla, değişikliği yazılı olarak kabul ederek bunu yapabilirler.
ICO, zaman zaman aşağıdakileri yapan revize edilmiş bir Onaylı Birleşik Krallık Ek'i yayınlayabilir:
- Onaylı Birleşik Krallık Ek'indeki hataları düzeltmek dahil olmak üzere, Onaylı Birleşik Krallık Ek'inde makul ve orantılı değişiklikler yapar; ve/veya
- Birleşik Krallık Veri Koruma Yasalarındaki değişiklikleri yansıtır.
Revize edilmiş Onaylı Birleşik Krallık Ek'i, Onaylı Birleşik Krallık Ek'indeki değişikliklerin yürürlüğe gireceği başlangıç tarihini ve tarafların Ek Bilgileri dahil olmak üzere bu Birleşik Krallık Ek'ini gözden geçirmelerinin gerekip gerekmediğini belirtecektir. Bu Birleşik Krallık Ek'i, belirtilen başlangıç tarihinden itibaren revize edilmiş Onaylı Birleşik Krallık Ek'inde belirtildiği şekilde otomatik olarak değiştirilir.
ICO, bu Birleşik Krallık Ek'inin 18. Bölümü uyarınca revize edilmiş bir Onaylı Birleşik Krallık Ek'i yayınlarsa ve bir taraf, Onaylı Birleşik Krallık Ek'indeki değişikliklerin doğrudan bir sonucu olarak aşağıdakilerde önemli, orantısız ve kanıtlanabilir bir artış yaşarsa:
- Birleşik Krallık Ek'i kapsamındaki yükümlülüklerini yerine getirme konusundaki doğrudan maliyetleri; ve/veya
- Birleşik Krallık Ek'i kapsamındaki riskleri,
ve her iki durumda da söz konusu maliyetleri veya riskleri önemli ve orantısız olmayacak şekilde azaltmak için önce makul adımlar atmışsa, o taraf, revize edilmiş Onaylı Birleşik Krallık Ek'inin başlangıç tarihinden önce diğer tarafa bu süre için yazılı bildirimde bulunarak makul bir bildirim süresinin sonunda bu Birleşik Krallık Ek'ini sona erdirebilir.
Tarafların bu Birleşik Krallık Ek'inde değişiklik yapmak için herhangi bir üçüncü tarafın onayına ihtiyacı yoktur, ancak herhangi bir değişiklik şartlarına uygun olarak yapılmalıdır.