KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN SÖZLEŞME (VERİ AKTARIM SÖZLEŞMESİ)
BÖLÜM 1 – BİLGİLENDİRME VE HUKUKİ ÇERÇEVE
Sözleşme Tanımı ve Amacı
Kişisel Verilerin Korunmasına İlişkin Sözleşme (Veri Paylaşım/Aktarım Sözleşmesi), iki ticari işletme (şirket) arasında mevcut veya yeni kurulacak bir iş ilişkisi kapsamında (Örn: Bir şirketin çalışanlarına ait verileri bordro firmasına göndermesi veya kargo şirketine müşteri isim-adres verilerinin aktarılması) tarafların birbirleriyle paylaştıkları Kişisel Verilerin KVKK’ya uygun şekilde işlenmesini, korunmasını ve hukuka aykırı şekilde başkalarına aktarılmamasını güvence altına alan hukuki anlaşmadır.
Tarafların Rolleri (Veri Sorumlusu – Veri İşleyen)
- Kişisel Veri Paylaşan (Veri Sorumlusu): Müşterinin veya çalışanın verisini ilk elde eden ve bu verinin ne amaçla kullanılacağına karar veren şirkettir.
- Kişisel Veri Alan (Veri İşleyen): Veri Sorumlusunun verdiği talimatlar doğrultusunda, onun adına o veriyi işleyen taşeron, ajans veya danışman şirkettir.
- KVKK Madde 12 uyarınca, veri işleyen şirket eğer verileri sızdırırsa (hacklenirse), Veri Sorumlusu olan şirket de Kurul nezdinde müteselsilen (birlikte) sorumlu olur ve ağır idari para cezaları öder. Bu nedenle veriyi paylaşan şirketin bu sözleşmeyi karşı tarafa imzalatarak kendini güvenceye alması ve cezayı rücu etme hakkı kazanması hayati önem taşır.
Sözleşmenin Gereklilikleri
Bu sözleşme tek başına, ana ticari sözleşmeden (Örn: Hizmet Sözleşmesi) ayrı olarak imzalanabileceği gibi, ana sözleşmenin bir “Ek Protokolü” olarak da düzenlenebilir. Veri Alan tarafın bu verileri yurtdışına aktarmaması ve işi bitince iade/imha etmesi temel kuraldır.
BÖLÜM 2 – YASAL SÖZLEŞME ŞABLONU
KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ VE GİZLİLİK SÖZLEŞMESİ
Madde 1 – TARAFLAR
1.1. KİŞİSEL VERİ PAYLAŞAN (Veri Sorumlusu)
Unvanı: [Veriyi Gönderen Şirketin Tam Unvanı]
Vergi Dairesi ve No: [Vergi Dairesi ve No]
Merkez Adresi: [Şirket Adresi]
(Bundan böyle kısaca “Veri Paylaşan” veya “Veri Sorumlusu” olarak anılacaktır.)
1.2. KİŞİSEL VERİ ALAN (Veri İşleyen)
Unvanı: [Veriyi Alan/İşleyen Şirketin Tam Unvanı]
Vergi Dairesi ve No: [Vergi Dairesi ve No]
Merkez Adresi: [Şirket Adresi]
(Bundan böyle kısaca “Veri Alan” veya “Veri İşleyen” olarak anılacaktır.)
Madde 2 – SÖZLEŞMENİN KONUSU VE AMACI
İşbu Sözleşme’nin konusu; Taraflar arasında akdedilmiş olan [Ana Sözleşme Tarihi: GG/AA/YYYY] tarihli “[Ana Sözleşmenin Adı: Örn: Kargo Dağıtım Hizmet Sözleşmesi veya Çağrı Merkezi Hizmet Sözleşmesi]” kapsamında; Veri Paylaşan tarafından Veri Alan’a aktarılacak olan kişisel verilerin (müşteri, çalışan, tedarikçi verileri) 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuata uygun olarak işlenmesi, korunması, saklanması ve imha edilmesine ilişkin tarafların hak ve yükümlülüklerinin belirlenmesidir.
Madde 3 – KİŞİSEL VERİ ALANIN YÜKÜMLÜLÜKLERİ VE GÜVENLİK
3.1. Amaca Uygunluk ve Talimatlar: Veri Alan, kendisine aktarılan kişisel verileri SADECE ana sözleşmede belirtilen iş/hizmet amacını yerine getirmek için, KVKK hükümlerine ve Veri Paylaşan’ın yazılı talimatlarına uygun olarak işleyebilir. Veri Alan, bu verileri başka hiçbir kendi ticari/pazarlama faaliyeti için kullanamaz.
3.2. Veri Güvenliği ve İdari-Teknik Tedbirler: Veri Alan, aktarılan kişisel verilerin hukuka aykırı olarak işlenmesini, bu verilere hukuka aykırı olarak erişilmesini ve verilerin yetkisiz 3. kişilerin eline geçmesini (hacklenme/siber saldırı) önlemek amacıyla KVKK’nın 12. maddesinde ve Kurul rehberlerinde öngörülen tüm makul idari ve teknik tedbirleri (güvenlik duvarı, şifreleme, personel gizlilik taahhütnameleri vb.) almak zorundadır.
3.3. Aktarım Yasağı: Veri Alan, Veri Paylaşan’ın önceden yazılı izni ve onayı olmadan bu verileri yurt içindeki veya yurt dışındaki (cloud sunucular dâhil) hiçbir üçüncü kişi veya kuruma aktaramaz, satamaz, kopyalayamaz.
3.4. Personel ve Alt Yüklenici Sorumluluğu: Veri Alan, kendi personeline veya alt yüklenicilerine kişisel verileri sadece “bilmesi gerekenler (need to know)” prensibiyle kısıtlı olarak açacaktır. Personelinin yapacağı ihlallerden doğrudan ve müteselsilen Veri Alan sorumludur.
Madde 4 – VERİ İHLALİ BİLDİRİMİ
Veri Alan, kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirildiğini, sızdırıldığını veya çalındığını tespit etmesi halinde; bu ihlali derhal (her hâlükârda en geç 24 saat içerisinde) Veri Paylaşan’a yazılı olarak (e-posta/KEP) bildirmekle yükümlüdür. Böyle bir durumda Kurula (KVKK) yapılacak bildirim süreci Veri Paylaşan’ın talimatları doğrultusunda yürütülecektir.
Madde 5 – VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA İADESİ
Taraflar arasındaki ana ticari sözleşmenin herhangi bir nedenle sona ermesi halinde veya işleme amacının ortadan kalkması üzerine; Veri Alan, Veri Paylaşan’ın talebi doğrultusunda elinde bulundurduğu tüm kişisel verileri (elektronik ve fiziki kopyaları dâhil) yasal saklama zorunluluğu olan haller hariç olmak üzere derhal geri dönülemez şekilde silecek, yok edecek veya Veri Paylaşan’a iade edecektir. Veri Alan bu imha işlemini yazılı bir tutanakla belgelemek zorundadır.
Madde 6 – DENETİM HAKKI VE BİLGİ TALEPLERİ
6.1. Veri Paylaşan, aktardığı kişisel verilerin güvenliğinin sağlanıp sağlanmadığını bizzat veya bağımsız bir denetim kuruluşu aracılığıyla denetleme hakkına sahiptir. Veri Alan bu denetimlerde gerekli her türlü bilgi, belge ve sistemi açmakla yükümlüdür.
6.2. Verisi işlenen İlgili Kişilerin (müşterilerin vb.) KVKK m.11 kapsamındaki bilgi/silme taleplerinin Veri Alan’a ulaşması halinde; Veri Alan bu talepleri en geç 2 (iki) gün içinde Veri Paylaşan’a iletecek ve cevaplanması için tam işbirliği yapacaktır.
Madde 7 – CEZAİ ŞART, RÜCU VE TAZMİNAT
Veri Alan’ın işbu sözleşmedeki güvenlik, işleme ve sır saklama yükümlülüklerini ihlal etmesi veya bir veri sızıntısına neden olması dolayısıyla Veri Paylaşan’ın Kişisel Verileri Koruma Kurulu (KVKK) tarafından idari para cezasına çarptırılması veya veri sahiplerine maddi/manevi tazminat ödemek zorunda kalması halinde; Veri Paylaşan, ödediği bu ceza ve tazminatların (ayrıca avukatlık ücretlerinin) TÜMÜNÜ VERİ ALAN’A RÜCU EDECEKTİR. Veri Alan, kendisine rücu edilen bu bedelleri ilk yazılı talepte nakden ve defaten ödemeyi kabul ve taahhüt eder.
Madde 8 – GİZLİLİK (TİCARİ SIRLAR)
Kişisel veriler haricinde, tarafların bu ilişki kapsamında birbirleri hakkında öğreneceği tüm finansal, ticari, teknik ve know-how bilgileri “Gizli Bilgi” niteliğindedir. Sözleşme sona erse dahi bu gizlilik ve sır saklama yükümlülüğü süresiz olarak devam edecektir.
Madde 9 – YÜRÜRLÜK VE YETKİLİ MAHKEME
İşbu Sözleşme, Türkiye Cumhuriyeti yasalarına tabidir. Sözleşmeden doğan ihtilafların hallinde [Yetkili İl, Örn: İstanbul (Çağlayan)] Mahkemeleri ve İcra Daireleri yetkilidir.
İşbu 9 (Dokuz) maddeden ibaret Kişisel Verilerin Korunmasına İlişkin Sözleşme, taraflarca okunarak [İmza Tarihi: GG/AA/YYYY] tarihinde 2 (iki) asıl nüsha halinde imzalanmış ve yürürlüğe girmiştir.
KİŞİSEL VERİ PAYLAŞAN (Veri Sorumlusu)
Unvanı:
Yetkili Temsilci:
Kaşe ve İmza:
KİŞİSEL VERİ ALAN (Veri İşleyen)
Unvanı:
Yetkili Temsilci:
Kaşe ve İmza:
Sözleşmenizin sizin koşullarınıza uyarlanması için iletişim sayfamızdan bizimle iletişime geçebilirsiniz.