6698 SAYILI KANUN GEREĞİ MESLEK MENSUBU İLE MÜKELLEF ARASINDA VERİ GÜVENLİĞİ SÖZLEŞMESİ (ÖRNEK)
1. Madde - Uygulama Alanı
İşbu Veri İşlenmesinde Uyulacak Esaslara Dair Genel Şartlar metni (“Sözleşme”), ____________ Ticaret Sicili’ne ______ sicil numarası ile kayıtlı, ____________________________________________________ adresinde yerleşik __________________________________ ile
_______________________________________________ adresinde yerleşik 3568 Sayılı yasa kapsamında Yetki almış meslek mensubu S.M. MALİ MÜŞAVİR ______________________________ arasında Sözleşme’nin imza tarihi öncesinde yürürlüğe girmiş ve/veya sonrasında yürürlüğe girecek tüm sözleşmelerde 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan ve kişisel verilerin korunmasına ilişkin yürürlükteki ve/veya yürürlüğe girebilecek sair mevzuat ile Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurulu kararlarından doğan ve/veya doğabilecek yükümlülüklere ilişkin tüm hususlarda uygulanır.
2. Madde – Tanımlar
Bu sözleşmede geçen anlaşılır:
İşbu sözleşmede geçen;
“Veri Sorumlusu” deyiminden _____________________________________ ŞİRKETİ “Veri İşleyen” deyiminden 3568 sayılı kanun kapsamında yetki almış meslek mensubu _________________________
(a) “Taraf” veya “Taraflar” deyimlerinden tek başlarına ya da birlikte Veri Sorumlusu ve Veri İşleyen,
(b) ”(kişisel verilerin) işlenme(si)”,“Ilgili Kişi” deyimlerinden 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 3.maddesindeki tanımlar;
(c) “Hizmet“ deyiminden Taraflar arasında yapılmış ve/veya yapılacak sözleşme/lere göre Veri İşleyen tarafından sunulacak tüm hizmetler,
(d) “Kişisel Veri“ deyiminden Hizmet kapsamında işlenen Kanun’un 3. maddesi anlamındaki kişisel veriler,
(e) "Güvenlik İhlali" ifadesinden herhangi bir Kişisel Veri' nin izinsiz olarak açıklanması ya da Veri İşleyen'in Kişisel Veri'yi bulundurduğu sistemlere izinsiz olarak erişilmesi (fiziksel ve diğer yollarla) durumları,
(f) “Teknik ve İdari Tedbirler” teriminden işbu sözleşmenin 6.maddesinde yer alan “Teknik ve İdari Tedbirler”
(g) “Kurum” teriminden Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurumu anlaşılır.
3. Madde – Veri İşleyenin Yükümlülükleri
Veri İşleyen işbu sözleşme uyarınca Veri Sorumlusu adına Kişisel Veri işlediği hallerde;
(a) Yalnızca Veri Sorumlusunun talimatları doğrultusunda, hizmetin gerektirdiği ve Sözleşme’ye uygun bir biçimde Veri Sorumlusu adına Kişisel Verileri işleyeceğini;
(b) Ancak emredici hukuk kaidelerine göre gerekli olduğu ölçüde Kişisel Veri işleyebileceğini;
(c) Kişisel Verilerin hukuka aykırı olarak işlenmesini, bunlara hukuka aykırı olarak erişilmesini önlemeye, bunların muhafazasını sağlamaya; veri kaybı oluşmasını, verilerin yok olmasını, zarar görmesini, değiştirilmesini veya açıklanmasını engellemeye yönelik gerekli, söz konusu verinin nitelikleri göz önünde bulundurularak, veriye yetkisiz veya hukuka aykırı erişim sebebiyle oluşabilecek veri kaybı, yok olması veya zarar görmesi durumunda oluşacak zarar ile orantılı, Teknik ve İdari önlemleri almayı;
(d) Hizmetin ifası için yalnızca Türkiye Cumhuriyeti sınırları dahilinde veri işlemeyi,
(e) Hizmetin ifasına esas teşkil eden sözleşme/lerin feshi veya başka bir nedenle son bulması halinde Veri Sorumlusu’na derhal geri vermeyi veya Veri Sorumlusu’nun talebine göre silmeyi ve/veya yok etmeyi
(f) İşlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğü altındadır. Bu yükümlülük veri sorumlusu ile veri işleyen arasındaki iş ilişkisinin son bulması halinde de süresiz devam edeceğini bildiğini;
(g) Veri sahiplerini; KVKK kapsamında sahip olduğu haklar ve Kişisel Verilerinin işlenmesi ve aktarılması ile ilgili ispat edilebilir bir şekilde bilgilendirmiş olduğunu, KVKK’da belirtilen istisna kapsamına girmeyen işlemler ile ilgili veri sahiplerinin açık rızalarını kanuna uygun bir şekilde almış ve muhafaza etmiş olduğunu, Veri Sorumlusu’nun talep etmesi halinde ilgili form, belge, görüntü, ve bilgisayar kayıtları da dahil ve fakat bununla sınırlı olmaksızın her türlü bilgi ve/veya belgeyi derhal Veri Sorumlusu’na ibraz edeceğini ve KVKK kapsamında kişisel verilerin işlenmesi için gerekli tüm yükümlülükleri yerine getirdiğini ve KVKK kapsamında veri sahiplerinden aldığı rızaların bir kopyasını Veri Sorumlusu ile paylaşacağını; taahhüt, kabul ve beyan eder.
4. Madde - Veri İşleyenin Personeli
Veri İşleyen Kişisel Veri’ye erişimi olan personelinin güvenilirliğini temin bakımından gerekli önlemleri alacak, Kişisel Verilerin İşlenmesinde yalnızca kişisel verilerin korunması mevzuatı ve Kişisel Verilerin niteliği hakkında bilgilendirilmiş personel kullanacaktır.
5. Madde – Kişisel Verilerin Kullanımı ve 3. Kişilerle Paylaşımı
Veri İşleyen işbu sözleşmenin açıkça izin verdiği haller haricinde ve Hizmet zorunlu kılmadıkça, Veri Sorumlusunun yazılı izni olmadıkça veya Türkiye Cumhuriyeti mevzuatı uyarınca yetkili idari veya adli makamlarınca hukuka uygun biçimde talep edilmedikçe Kişisel Verileri işlemeyecek, kullanmayacak veya ifşa etmeyecektir. Veri İşleyen Hizmet’in ifasının kısmen veya tamamen devri dahil Kişisel Verileri 3.kişilere bir sözleşme kapsamında aktarmadan, başka şekilde yayınlamadan veya ifşa etmeden önce Veri Sorumlusunun yazılı rızasını alacaktır. Yetkili idari veya adli makamların hukuka uygun talepleri karşısında veri paylaşılması gereken hallerde, Veri İşleyen Veri Sorumlusu’nu derhal durumdan haberdar edecek ve Taraflar’ın hukuki ve ticari menfaatleri açısında gerekli iş birliğinde bulunacaktır.
6. Madde – Teknik ve İdari Tedbirler
Veri İşleyen (Teknik);
(a) Kişisel verinin işlenmekte olduğu yerlere izinsiz kişilerin girişi
(b) İzinsiz kişilerin veri taşıyıcıları okuması, kopyalaması, değiştirmesi ve çıkarmasını Veri Kişisel Veri’nin açıklanması ya da veri ortamında taşınması sırasında izinsiz kişilerin bunları okuması, kopyalaması, değiştirmesi ve silmesini Kişisel Veri’nin bellekte izinsiz olarak bulundurulması,
(c) Kişisel verilere izinsiz olarak erişilmesi ve bunların değiştirilmesi ya da silinmesini
(d) Otomatik veri işleme sistemlerinin izinsiz kişilerce iletim sistemleriyle (örneğin uzaktan erişim) kullanılmasını engelleyecektir.
Veri İşleyen (İdari);
(a) Kişisel Veri’nin iletim sistemleriyle açıklandığı alıcıların kimlikleri belirlenebilir olmasını,
(b) Yetkili kişilerin kişisel veriye erişimi, görevlerini ifa etmeleri için zorunlu erişim düzeyiyle sınırlı olmasını,
(c) Otomatik sistemlerde, hangi kişisel verinin ne zaman ve kim tarafından girildiği geriye dönük olarak takip edilebilmesini sağlayacaktır.
7. Madde– Talep ve Şikayetleri Veri Sorumlusuna Bildirim Yükümlülüğü
İlgili kişi tarafından Kişisel Veriye erişim talep edilmesi veya Kanun çerçevesinde Veri Sorumlusunun yükümlülüklerine ilişkin şikayette bulunulması veya Veri Sorumlusundan Kanun’un 11. maddesi uyarınca herhangi bir talepte bulunulması ile Güvenlik İhlali halinde, İlgili kişiye herhangi bir bilgi vermeden, bir (1) işgünü içerisinde Veri Sorumlusu’nu haberdar edecektir. Veri İşleyen, Veri Sorumlusu’na kendisine iletilen her türlü şikayet ve talep hakkında her türlü desteği verecek ve Veri Sorumlusu ile işbirliği yapacaktır. Burada sayılanlarla sınırlı olmamak üzere Veri İşleyen;
(a) Veri Sorumlusuna şikayet veya talebe ilişkin tüm detayları ileteceğini,
(b) Kişisel verinin yasa gereği açıklanması gerekli olduğu hallerde derhal Veri Sorumlusu'na ihbarda bulunmayı,
(c) Veri Sorumlusuna her türlü bilgi ve belgeyi vereceğini kabul, beyan ve taahhüt eder.
8. Madde – Veri İşleyenin Denetimi
Veri İşleyen, Veri Sorumlusunun (gizliliğe ilişkin gerekli önlemlerin alınması şartıyla), Veri İşleyenin faaliyetlerini denetlemesine müsaade edecek ve işbu sözleşmeden doğan yükümlülüklerini usulü dairesinde yerine getirip getirmediğinin denetlenmesi hususunda her türlü makul talep ve talimatlarına uyacaktır. Veri Sorumlusu, denetim faaliyetlerinin Hizmet kapsamında belirtilen işleme faaliyetleriyle sınırlı olarak, Veri Sorumlusu bünyesinde yer alan ya da bağımsız üyelerden oluşan ve veri sorumlusu tarafından seçilen, gerekli mesleki niteliklere sahip ve gizlilik yükümlülüğüne tabi olan bir inceleme organı tarafından gerçekleştirileceğini taahhüt eder.
Denetime ilişkin talepler, Veri Sorumlusu tarafından en geç 15 gün öncesinde Veri İşleyene yazılı olarak bildirilecektir. Veri İşleyen, iş faaliyetlerinin yoğunluğu ve ilgili personelin denetime refakatinin mümkün olmaması gerekçeleriyle denetim talebinin bir defaya mahsus ileri bir tarihe ertelenmesini talep edebilir. Bu erteleme her durumda 15 günden fazla olamaz. Taraflar, Kurum’un Veri İşleyene yönelik denetim yapabileceğini kabul ederler.
Bu madde kapsamında Veri Sorumlusu tarafından gerçekleştirilecek denetleme sırasında Veri İşleyen soruların cevaplanması için yeterli uzmanlık ve yetki düzeyine sahip bir veya birden fazla personeli hazır bulunduracaktır.
Veri İşleyen Hizmet kapsamında belirtilen işleme faaliyetleriyle sınırlı olarak veri işlenmesine ilişkin tüm kayıt ve dokümanları Veri Sorumlusunun talebi halinde veri işlemenin mevzuata ve işbu sözleşmeye uygunluğu bakımından incelenmesi için Veri Sorumlusuna gönderecek ya da Veri Sorumlusunun erişimine açacaktır.
Veri İşleyen Veri Sorumlusunun talebi halinde Veri Sorumlusu tarafından belirlenecek makul süre içerisinde, almış olduğu Teknik ve İdari Tedbirler listesini, Veri İşleyenin kişisel verilerin korunması mevzuatına uyumu hakkındaki taahhüdünü yazılı olarak iletir.
9. Madde – Veri İşleyene Rücu Şartları
Veri İşleyen yürüttüğü veri işleme faaliyetleri kapsamında Veri Sorumlusu’nun 3. kişilere karşı yükümlülüklerini göz önünde bulunduracaktır. Veri İşleyenin işbu sözleşmeye aykırı davranması sebebiyle Veri Sorumlusu’nun dava sonucu herhangi bir idari para cezası ödemekle yükümlü kalması halinde; Veri Sorumlusu, söz konusu aykırılıktan dolayı mevzuata aykırı hareket etmiş olması nedeniyle kusurlu olması halinde Veri İşleyene rücu edebilecektir.
10. Madde – Veri İşleyenin Veri Sorumlusu Olduğu Haller
Veri işleyen; işbu Sözleşme kapsamındaki yükümlülükler ve _____________________ ŞİRKETİ tarafından kendisine tanınan yetki dışında, veri işleme amaç ve vasıtalarını bizatihi kendi belirleyerek gerçekleştirdiği faaliyetler bakımından veri sorumlusu kabul edilecektir ve bu halde ____________________ ŞİRKETİ bakımından herhangi bir hukuki sorumluluk söz konusu olmayacaktır.
11. Madde – Sözleşmenin Yürürlüğü, Süresi ve Feshi
İşbu Sözleşme, Taraflarca imzalandığı tarihte yürürlüğe girer. Hizmet’in sunulmasına ilişkin taraflar arasında yapılmış ve/veya yapılacak sözleşmelerden herhangi birinin feshi halinde işbu sözleşme yürürlükte kalmaya devam eder.
Sözleşmenin yürürlük tarihi öncesinde Taraflar arasında akdedilmiş olan sözleşmeler kapsamında Sözleşmenin yürürlük tarihi öncesinde gerçekleştirilmiş işleme faaliyetlerinin işbu Sözleşme’ye aykırılığı ileri sürülemez.
İşbu sözleşmenin herhangi bir hükmüne aykırılık halinde Veri Sorumlusu’nun yazılı ihtarına rağmen Veri İşleyen’e verilen 30 günlük süre içerisinde aykırılık giderilmezse Veri Sorumlusu Hizmet’in sunulmasına ilişkin taraflar arasında yapılmış ve/veya yapılacak tüm sözleşmeleri feshedebilir.
12. Sözleşme’nin Bütünlüğü
Sözleşme, Taraflar arasında yürürlüğe girmiş ve/veya sonrasında yürürlüğe girecek tüm diğer sözleşmelerin ayrılmaz ve bütünleyici bir parçasını oluşturur. Kişisel veriler, ilgili sözleşmeler kapsamında ve Hizmetin gerektirdiği usulde işlenecek olup; Taraflar gerekmesi halinde, Kişisel Verilerin Korunması Kanunu’nda yer alan kişisel veri işleme şartları ve aydınlatma yükümlülüğüne ilişkin istisnalar hariç olmak üzere, aydınlatma ve açık rıza alma yükümlülüğünün bulunduğunu kabul ve beyan etmektedir. Taraflar, gerekmesi halinde gerçekleştirecekleri aydınlatma ve açık rıza yükümlülükleri kapsamında İşlenecek Veriye İlişkin Detaylar’ı belirleyebilecektir.
13. Madde – Öncelikle Uygulanma
İşbu sözleşmenin 1.maddesi uyarınca uygulama alanına giren hallerde işbu sözleşmenin hükümleri ile Taraflar arasında yapılmış ve/veya yapılacak sözleşme hükümleri arasında ihtilaf çıktığında işbu sözleşme hükümleri öncelikle uygulanır. Veri Sorumlusu bu hükmü değiştirmeye yönelik tüm icapları peşinen reddeder. ___/___/___
Mükellef / Veri Sorumlusu Meslek Mensubu
PAYLAŞ :
