KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROTOKOLÜ

1. TANIMLAR

İşbu Protokol amaçları doğrultusunda:

• “Kanun”; 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu,

• “Kişisel veri”; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,

• “Özel nitelikli kişisel veri”; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler (işbu Protokol kapsamında “kişisel veri” ifadesi uygun olduğu ölçüde “özel nitelikli kişisel veriler” i de kapsayacaktır),

• “İşleme”; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,

• “Kişisel Verileri Koruma Kurumu”; Kanun’da kendine sorumluluk atfedilen Kurum,

• “Veri aktaran”; Protokol diğer tarafa veri aktaran taraf,

• “Veri alıcısı”; Protokol veri aktaranın verileri aktardığı taraf,

• “Veri işleyen”; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi,

• “Veri sorumlusu”; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi,

• “Ana Sözleşme”; Varsa taraflar arasında imzalanmış olan ve aradaki iş ilişkisine konu olan Sözleşme/Sözleşmeler,

anlamına gelmektedir.

Bu Protokol’de yer almayan tanımlar, Kanunda ve ikincil düzenlemelerde belirtilen anlamlarda kullanılır.

2. PROTOKOLÜN KONUSU

İşbu Protokol’ün konusu, Taraflar’ın, Taraflar arasında kurulan iş/ticari ilişki (Ana Sözleşme ile kurulan iş/ ticari ilişki dahil) nedeniyle yaptıkları/ yapacakları kişisel veri paylaşımı kapsamında elde edecekleri kişisel verilerin [kendilerinin temsilcilerine, çalışanlarına, danışmanlarına, tedarikçilerine, müşterilerine ve ilişkide oldukları diğer kişilere ait olanlar dahil], başta 2709 sayılı Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve 5237 sayılı Türk Ceza Kanunu olmak üzere, kişisel verilerin işlenmesine ve korunmasına ilişkin mevzuata uyum içerisinde işlenmesi, gizli tutulması, saklanması ve uygun güvenlik düzeyinin sağlanması amacıyla gerekli teknik ve idari tedbirlerin alınması da dahil olmak üzere kişisel verilerin işlenmesine ve korunmasına ilişkin yükümlülüklerin yerine getirilmesinin temini ile Taraflar’ın bu kapsamdaki hak ve yükümlülüklerinin belirlenmesine ilişkindir.

Ayrıca iş bu Protokol, taraflar arasında gerçekleştirilen/gerçekleştirilecek bütün kişisel veri aktarımlarını kapsamaktadır. Kişisel veriler, taraflar arasında sözlü veya yazılı olarak, elektronik ortamda ve sair şekillerde aktarılmıştır veya aktarılabilecektir. İşbu Protokol’de her bir taraf, diğer tarafa aktardığı veriler için “veri aktaran”; kendisine aktarılan veriler açısından ise “veri alıcısı” olarak kabul edilecek olup; kişisel verilerin aktarılmasına ve korunmasına ilişkin yükümlülükleri bu şekilde belirlenecektir.

3. SÜRE

İşbu Protokol belirsiz sürelidir. Taraflar arasındaki iş ilişkisinin sonlanması halinde dahi, işbu Protokole konu kişisel verilere ilişkin gizlilik ve koruma hükümleri geçerliliğini sürdürecektir.

4. TARAFLARIN HAK VE YÜKÜMLÜLÜKLERİ

• KVKK kapsamında, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “kişisel veri”; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, yurtiçi/ yurtdışına aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem ise, “işleme” olarak kabul edilir. İşbu tanımlar, işbu Protokol kapsamında da, KVKK kapsamında kendisine verilen anlamları taşımaktadır.

• Taraflar, kişisel verileri, Kanun ve ilgili ikincil mevzuata uygun olarak işleyecek ve aktaracaktır.

• Taraflar, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alacaktır. Taraflar, bu kapsamda alınacak önlemlerin her halükârda (varsa) yürürlükteki mevzuat veya benzer alanlarda faaliyet gösteren basiretli bir tacir tarafından kendi nezdinde saklanan kişisel verilerin güvenliği için alınan önlemlerden daha az olmayacağını kabul ve beyan eder.

• Taraflar arasında “özel nitelikli kişisel veriler”in işlenmesinin veya paylaşılmasının söz konusu olması halinde, söz konusu veriler, ilgili mevzuat ve Kurum kararlarına uygun olarak, niteliklerine uygun ek güvenlik önlemleri ve yetkilendirmelere tabi şekilde korunacaktır.

• Firma, kişisel verileri, mevzuatta izin verilen haller, Ana Sözleşme’ nin doğası ve ifası gereği olan haller veya işin gereği olan haller haricinde alt işverene, danışmana veya herhangi üçüncü bir tarafa, SİN TMGDK’nın yazılı onayı olmadıkça aktaramaz.

• Kişisel verilerin taraflardan biri adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, işbu Protokol’ün 4.2. maddesinde belirtilen tedbirlerin alınması hususunda adına veri işlenen taraf bu kişilerle birlikte müştereken sorumlu olacaktır. Taraflardan biri adına veri işleyenler de dâhil olmak üzere taraflardan birisinin yetkisi altında faaliyet gösteren kişiler, kişisel verileri ancak ve sadece ilgili taraftan aldıkları talimatlara ve Kanun’a uygun olarak işlemekle yükümlüdür

• İşbu Protokol kapsamında izin verilen hallerde veya Protokol’ ün 4.4. maddesi uyarınca SİN TMGDK’ın onayını alarak verilerin alt işverene, veya herhangi üçüncü taraflara aktarılması halinde Firma, kişisel verileri aktardığı kişilerin ad/unvan ve iletişim bilgilerini içerir listeyi talebi halinde SİN TMGDK’ya aktarmakla yükümlüdür. Veri aktarımı yapılacak tarafların değişecek olması halinde Firma, SİN TMGDK’yı en az otuz (30) gün önce yazılı olarak bilgilendirmekle yükümlüdür. SİN TMGDK, söz konusu listeye yeni eklenecek kişi/firmaya itiraz ettiğini bildirirse, Firma bu kişi/firmayı değiştirmekle yükümlüdür.

• Protokol’ ün 4.4. maddesi uyarınca SİN TMGDK’ın yazılı onayını alarak veya işbu Protokol kapsamında izin verilen hallerde, verilerin alt işverene veya herhangi üçüncü tarafa aktarılması halinde bu kişilerin işbu Protokol veya mevzuatta yer alan düzenlemelere aykırı davranması halinde oluşacak zararlardan Firma müştereken ve müteselsilen sorumlu olacaktır

• Firma; personellerini, alt işverenlerini danışmanlarını ve kişisel verileri kendisi adına işleyen üçüncü kişileri, işbu Protokol’ye konu kişisel verilerin gizlilik hükümlerine tabi olduğu konusunda bilgilendirmekle, gerekli eğitimleri bu kişilere sağlamakla ve bu kişilerle gizlilik Protokolleri/taahhütnameleri (aralarındaki iş ilişkisinin sona ermesinden sonra da geçerliliğini koruyacak şekilde) imzalatmakla yükümlüdür.

• Firma, iş süreçlerine uygun şekilde gerçekleştirdiği kişisel veri işleme faaliyetlerinin, kişisel verilerin korunması mevzuatına aykırılık teşkil ettiğini/edeceğini fark etmesi halinde (SİN TMGDK’dan gelen talepler de dahil olmak üzere), bu durumu derhal SİN TMGDK’ya bildirilmekle yükümlüdür.

• Veri alıcısı tarafından kişisel verilerin üçüncü bir tarafa aktarımının gerçekleştirildiği durumlarda da veri alıcısı, veri aktarımının güvenli bir şekilde sağlanmasından sorumlu olacaktır.

• Kişisel verilere herhangi bir şekilde yetkisiz erişim gerçekleşmesi veya kişisel verilerin herhangi bir şekilde işbu Protokole ve/veya kanuna aykırı şekilde üçüncü taraflarca erişilebilir hale gelmesi veya elde edilmesi durumunda, Firma bu durumu derhal (aynı gün içinde) SİN TMGDK’ya bildirecek ve bu durumdan doğan zararın en aza indirilmesi için talep edilen her türlü bilgi, belge ve desteği gecikmeksizin sağlayacaktır.

• Taraflar, SİN TMGDK’nın veri aktaran olduğu hallerde ve taraflar arasındaki ilişkinin herhangi bir şekilde sona ermesi halinde, SİN TMGDK’ın tercihine bağlı olarak, aktarıma konu kişisel verilerin yedekleri ile birlikte SİN TMGDK’a geri gönderileceğini ya da imha edileceğini kabul ederler. Mevzuatta veri alıcısının bu yükümlülüğü yerine getirmesini engelleyen hükümler varsa veya verilerin daha uzun süre saklanmasını gerektiren hukuki nedenler varsa Taraflar bunlara uygun davranacaklarını kabul ederler.

• Taraflardan biri, kişisel verileri Kanun’a ve diğer tarafla arasındaki Protokol’ e uygun olarak işlerken, herhangi bir sebeple Kanuna ve Protokol’ e uygunluk sağlanamazsa, diğer tarafı konu ile ilgili derhal bilgilendirmekle yükümlüdür.

• Taraflar, Protokol kapsamında veri aktaran diğer taraftan gelen soruları ve talepleri, mümkün olan en kısa sürede usulüne uygun olarak cevaplandırır. Taraflar, aktarıma konu kişisel verilerin işlenmesi hususunda Kurum’un karar ve görüşlerine uyar.

• Taraflar, kendilerine iletilen Veri Sahibi (İlgili Kişi) veya Kurum’un taleplerini derhal yerine getirmekle yükümlüdürler. Veri sahibi veya Kurum taleplerinin diğer tarafı ilgilendirmesi halinde, bu talepler ilgili diğer tarafa en kısa süre içerisinde bildirilir. Herhangi bir nedenle makul bir süre içerisinde yerine getirilemeyen talepler, nedeni yazılı olarak bildirilerek en kısa süre içerisinde yerine getirilecektir.

• SİN TMGDK, taahhüt ve yükümlülüklerin yerine getirilip getirilmediğine yönelik denetim yapma ve yaptırma yetkisine sahiptir. İşbu madde SİN TMGDK’ya denetim yapma yükümlülüğü getirmemekte olup, Firma gerekli tüm idari ve teknik tedbirleri almakla yükümlüdür.

• SİN TMGDK; Firmanın bu Protokol belirtilen yükümlülüklerini ihlâl etmesi halinde, söz konusu ihlâl düzeltilene dek veri aktarımını askıya alabilir ya da Ana Sözleşme’yi tazminat ve bedel ödeme yükümlülüğü olmaksızın feshedebilir.

• Taraflar, bu maddelerden doğan yükümlülüklerini yerine getirebilecek idari ve teknik yeterliliğe sahip olduklarını kabul ederler.

5. VERİ İŞLEYENE ÖZGÜ HÜKÜMLER

Taraflardan birisinin veri işleyen olarak hareket ettiği hallerde, diğer hükümlerin yanında veri işleyen özelinde aşağıdaki hükümler uygulanır:

• Veri işleyen; kişisel verileri veri sorumlusu adına, onun verdiği talimatlara ve Protokol’ e uygun olarak işlemekle yükümlüdür. Herhangi bir sebeple veri sorumlusunun talimatlarına ve Protokol’ e uygunluk sağlanamadığı takdirde, veri sorumlusunu konu ile ilgili en kısa sürede bilgilendirir.

• İşbu madde ile veri sorumlusu olarak hareket eden taraf, veri işleyene, aktarılan kişisel verilerin yalnızca kendi adına ve 6698 sayılı Kanun ile Protokol hükümlerine uygun olarak işleneceği yönünde talimat vermektedir.

6. MUHTELİF HÜKÜMLE

• Taraflar, işledikleri kişisel verileri 6698 sayılı Kanun hükümlerine ve Protokol’ e aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük taraflar için herhangi bir süre ile sınırlı değildir. Firma işbu Protokol’e konu kişisel veriler ile ilgili süresiz sır saklama yükümlülüğüne tabidir.

• Taraflar, kişisel verilerin işlenmesi ve paylaşılması hususlarında kişisel veri sahibi ilgili kişileri mevzuata uygun şekilde aydınlattıklarını ve hukuken gerekli olan durumlarda açık rızalarını aldıklarını kabul beyan ve taahhüt ederler.

• SİN TMGDK, diğer tarafın işbu Protokol hükümlerinin ihlali de dahil olmak üzere, herhangi bir nedenle bir zarara uğrar, yasal, idari veya cezai bir yaptırıma tabi tutulur ya da herhangi bir zararı tazminle mükellef kılınırsa, Firma’yı söz konusu tutarlardan münhasıran sorumlu tutabilir, tüm zararın ve ödemelerin tazminini talep edebilir. Firma bu talepleri ilk bildirimle birlikte yerine getirir.

• Tarafların iş süreçlerinde, Kanun ve Kurum kararları başta olmak üzere, kişisel verilerin korunması ile ilgili yürürlükte bulunan düzenlemeler, usul ve esaslarda herhangi bir değişiklik veya güncelleme nedeniyle bir değişiklik gerekmesi halinde, ilgili taraf söz konusu değişikliği en kısa süre içerisinde olası bir yaptırımla karşılaşmadan gerçekleştirmelidir. Bahsi geçen düzenleme/düzenlemelerin işbu Protokol kapsamında bir değişiklik gerektirmesi halinde ise, taraflar Protokol’ ün uygun şekilde tadilini gerçekleştirecektir. Değişiklik gereken işbu Protokol hükmü, taraflarca bu hususta bir aksiyon alınmamış olsa dahi yürürlük tarihi itibariyle güncel mevzuata uygun şekilde uygulanacaktır.

7. BÜTÜNLÜK VE BÖLÜNMEZLİK

• İş bu Protokol taraflar arasındaki kişisel verilerin korunması ve işlenmesine ilişkin iş bu Protokole konu “Ana Sözleşme” dahil tüm anlaşmaları içermekte olup; Protokol ile ilgili yapılacak değişiklikler tarafların yetkili temsilcileri tarafından yazılı olarak imza edilmedikçe geçerli olmayacaktır.

• İş bu Protokol hükümlerinden birinin, tamamının veya bir bölümünün geçersiz kılınması, Protokolün diğer hüküm ve kısımlarının geçerliliğini etkilemeyecek, Protokol hükümlerini doğurmaya devam edecektir. Böyle bir durumda taraflar, öngörülen ticari amaç doğrultusunda yeni bir hüküm belirlenmesi için müzakere edecektir.

8. DEVİR VE TEMLİK

Taraflar işbu Protokol ve Protokol’ den kaynaklanan hak ve yükümlülüklerini üçüncü kişilere devir ve temlik edemez.

9. UYUŞMAZLIKLARIN ÇÖZÜMÜ

• İş bu Protokol, Türk hukukuna tabidir ve Türk maddi hukuku uyarınca yorumlanacaktır.

• İş bu Protokolden kaynaklanan veya işbu Protokol ile bağlantılı olan uyuşmazlıkların çözümünde öncelikle Ana sözleşmede yazılı yerler yetkili olup, Ana Sözleşme’ de yazılı hüküm bulunmaması halinde İstanbul Mahkemeleri ve İcra Daireleri yargı yetkisine sahip olacaktır.

• İş bu Protokol, imza tarihinden itibaren geçerli olmak üzere ve taraflar arasında daha önce aktarılan ve halen mevcut olan kişisel verileri de kapsar şekilde, 2 (iki) nüsha olarak .... / .... / ......... tarihinde akdedilmiştir.