VERİ SORUMLUSUNDAN VERİ SORUMLUSUNA AKTARIM KİŞİSELVERİ KORUMA PROTOKOLÜ
VERİ SORUMLUSUNDAN VERİ SORUMLUSUNA AKTARIM KİŞİSELVERİ KORUMA PROTOKOLÜ
1) TARAFLAR
İşbu Kişisel Veri Koruma Ek Protokolü (Bundan böyle “Ek Protokol” olarak anılacaktır.) bir taraftan ticari xxxxxxxXxxxxxx xxx Xxxxxxx xxxx. xx 000 X/0 Xxxxxx / XXXXX adresinde olan DENT XXXXXXXXXX XXXX SAĞLIK HİZMETLERİ VE TİC LTD (ŞbuTnİdan böyle kısaca “Klinik”) ile diğer tarafta ticari merkezi [KARŞI ŞİRKET ADRESa]dresinde olan [KARŞI ŞİRKET TAM ÜNVAN(]bundan böyle kısaca “[KARŞI ŞİRKET KISA ÜNVAN]”) arasında aşağıdaki şartlarda ve belirlenen koşularla imzalanmıştır.
“Veri Aktaran” tarafa ve “Veri Alıcısı”taraf beraberce “Taraflar” ve tek başlarına “Taraf” olarak anılacaklardır.
2) SÖZLEŞMENİN KONUSU VE AMACI
İşbu Ek Protokol,Kliniğimiz ile [KARŞI ŞİRKET KISA ÜNVANa]rasında imzalanmış olan ve aşağıda belirtilen Ana Sözleşme çerçevesinde ve Ana Sözleşme’ye ek olarak kişisel veri güvenliği konusunda kişisel verilerin korunması ve gizliliğinin sağlanması ile temel hak ve özgürlüklerin korunması için uygun güvenlik tedbirlerinin belirlenmesi amacıyla Tarafların hak ve yükümlülüklerini düzenleyen bir Sözleşmedir. İşbu Ek Protokol hükümleri ile taraflar kişisel verilerin aktarımında kişisel verilerin korunması için gereken yeterli korumayı tesis edeceklerini taahhüt ederler.
3) TANIMLAR
İşbu Ek Protokol içerisinde kulanılan muhtelif ifadeler için aşağıdaki tanımlar geçerli olacaktır:
Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu
Xxx Sözleşme Taraflar arasında veri aktarımın dayanağı olan sözleşmeyi.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. İşbu Ek Protokol kapsamında “kişisel veri” ifadesi uygun olduğu ölçüde “özel nitelikli kişisel veriler”i de kapsayacaktır.
İşleme : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yo larla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kulanılmasının enge lenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Veri Sahibi : Kişisel verisi işlenen gerçek kişidir.
Kurul : Kişisel Verileri Koruma Kurulu
Kurum : Kişisel Verileri Koruma Kurumu (KVKK)
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen : Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel
verileri işleyen gerçek veya tüzel kişidir.
4) VERİ AKTARANIN YÜKÜMLÜLÜKLERİ
Veri aktaran taraf, aşağıda belirtilen yükümlülükleri yerine getirdiğini ve getireceğini taahhüt eder:
a) Kişisel veriler, 6698 sayılı Kanun ve ilgili diğer mevzuata uygun olarak işlenmiş ve aktarılmış olacaktır.
b) Veri Aktaran; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalı ve Veri Alıcısı tarafından da bu tedbirlerin alındığından emin olmalıdır.
c) Veri Aktaran, Veri Alıcısına; aktarılan kişisel verilerin 6698 sayılı Kanun ile bu Ek Protokol hükümlerine uygun olarak işleneceğini bildirir.
ç) Veri Aktaran, bu Ek Protokolde yer alan hükümlerin Veri Alıcısı tarafından yerine getirilmesi ile ilgili ortaya çıkan sorunlar hakkında en kısa sürede Kurula derhal bilgi verir.
d) Veri Aktaran; Veri Alıcısının, ilgili kişilerden ve Kuruldan gelen sorulara cevap vereceği konusunda anlaşmaya varılmış olmasına rağmen cevap vermesinin mümkün olmaması halinde, elinde bulunan tümbilgi ve belgeler ışığında makul bir süre içerisinde ilgili kişi veya Kurula cevap verir.
e) Veri Aktaran; Veri Alıcısının bu Ek Protokolde belirtilen yükümlülüklerini ihlâl etmesi halinde, söz konusu ihlâl düzeltilene dek veri aktarımını
askıya alabilir ya da Ana Sözleşme’yi ve Ek Protokolü feshedebilir.
f) Veri Alıcısı; bu maddelerden doğan yükümlülüklerini yerine getirebilecek idari ve teknik yeterliliğe sahip olduğunu taahhüt eder.
5) VERİ ALICISININ YÜKÜMLÜLÜKLERİ
Veri Alıcısı, aşağıda belirtilen yükümlülükleri yerine getirdiğini ve getireceğini taahhüt eder:
a) Veri Alıcısı; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alır.
b) Veri Alıcısı, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Veri İşleyenler de dâhil olmak üzere Veri Alıcısının yetkisi altında faaliyet gösteren kişiler, kişisel verileri ancak ve sadece Veri Alıcısından aldıkları talimatlara uygun olarak işlemekle yükümlüdür.
c) Veri Alıcısı; kişisel verileri 6698 sayılı Kanuna ve Veri Aktaranla arasındaki Ana Sözleşmeye ve bu Ek Protokole uygun olarak işler, herhangi bir sebeple Kanuna ve Ana Sözleşmeye ve Ek Protokole uygunluk sağlanamazsa, Veri Aktaranı konu ile ilgili derhal bilgilendirir. Bu durumda Veri Aktaranın veri aktarımını askıya alma ve Xxx sözleşme ile Ek Protokolü feshetme hakkına sahip olacağını kabul eder.
ç) Veri Alıcısı; aktarılan kişisel verilere ilişkin olarak adli bir makamdan gelen talepleri, derhal Veri Aktarana bildirir. Bu durumda Veri Aktaranın talebin niteliğine göre Xxx Sözleşmeyi ve Ek Protokolü askıya alma veya feshetme hakkına sahip olacağını kabul eder.
d) Veri Alıcısı, Ek Protokol kapsamında Veri Aktarandan gelen soruları mümkün olan en kısa sürede usulüne uygun olarak cevaplandırır ve aktarıma konu kişisel verilerin işlenmesi hususunda Kurulun karar ve görüşlerine uyar.
e) Veri Alıcısı, Veri Aktaranın, taahhüt ve yükümlülüklerin yerine getirilip getirilmediğine yönelik denetim yapma ve yaptırma yetkisine sahip olduğunu kabul eder ve bu yönde gerekli kolaylığı sağlar.
f) Veri Alıcısı; bu Ek Protokolün veya Ana Sözleşmenin feshedilmesi ve/veya yürürlük süresinin sona ermesi halinde, Veri Aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte Veri Aktarana geri göndereceğini ya da kişisel verileri tamamen yok edeceğini, mevzuatta Veri Alıcısının bu yükümlülüğü yerine getirmesini enge leyen hükümler varsa, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli idari ve teknik tedbirleri alacağını ve veri işleme faaliyetini durduracağını kabul eder.
g) Veri Alıcısı, bu maddelerden doğan yükümlülüklerini yerine getirebilecek idari ve teknik yeterliliğe sahip olduğunu kabul eder.
ğ) Veri Alıcısı Xxx Sözleşme ve Ek Protokol konusu hizmeti ifa ederken, bunlara konu kişisel verileri, bir alt işverene aktarması gereken ha lerde, Veri Aktaranı ispat edilebilir şekilde bilgilendirmeli ve onayını almalıdır. Veri Alıcısının alt işveren ile yapacağı sözleşmenin, asgari olarak Veri Aktaran ile Veri Alıcısı arasındaki Ana Sözleşme ve bu taahhütnamedeki hükümleri içermesi şarttır.
Kişisel Veriye Erişim
Veri Alıcısı, Kişisel Veri’ye erişim hakkı bulunan kişilerin;
h) Kişisel Veri’nin gizliliğini ve güvenliğini korumalarından, sözleşme veya diğer yo larla yükümlü olmalarını sağlar, ı) Bu Ek Protokol kapsamındaki yükümlülüklerini anlayıp bunlara uygun hareket etmelerini sağlar,
i) Güvenilirliğini, ilgili yasaların izin verdiği ölçüde genel bilgi taraması da yapmak yoluyla doğrulatmak için gerekli tümadımları atar,
j) İşbu Ek Protokol hükümlerini ihlal etmeleri, kişisel bilgileri başkasına açıklamaları veya kendi çıkarları için kulanmaları halinde söz konusu ihla lerden sorumlu olacağını kabul ve taahhüt eder.
6) ORTAK HÜKÜMLER
k) Veri Aktaran ve Veri Alıcısı, işledikleri kişisel verileri, 6698 sayılı Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kulanamazlar.
l) Veri Aktaran ve Veri Alıcısı için bu yükümlülük herhangi bir süre ile sınırlı değildir.
Güvenlik İhlali
Aşağıda tanımlanmış Güvenlik İhlali durumlarına, takip eden hükümler uygulanacaktır:
m) “Güvenlik İhlali” herhangi bir Kişisel Veri’nin izinsiz olarak açıklanması ya da Veri Sorumlusu’nun Kişisel Veri’yi bulundurduğu sistemlerine izinsiz olarak erişilmesi (fiziksel ve diğer yo larla) durumlarıdır.
n) Veri Aktaran ve/veya Veri Alıcısı, bir Güvenlik İhlalinden haberdar olması halinde durumu derhal yazılı olarak diğer Veri Sorumlusu’na bildirir.
o) Bir Güvenlik İhlali durumunda:
ö) Güvenlik ihlalinin oluştuğu taraf ihlal ile ilgili elinde bulunan tümbilgilerden diğer tarafı haberdar edecek, durumhakkında düzenli günce lemeler yapacaktır. Bu ve ilgili diğer bilgiler üçüncü kişilerle ilgili yasa gereği olmadığı sürece paylaşılmayacaktır.
p) Saldırıya uğrayan sistemin sahibi, dosya ve bilgilerin güvenliğini tesis etmek için gerekli tümönlemleri alacaktır.
r) Benzeri olayları önlemek için, ilgili politika, prosedür ve uygulamalar gözden geçirilecektir.
s) Bir Güvenlik İhlali durumunda, (i) etkilenen Veri Sahipleri’ne; ( i) ilgili resmi makamlara olayın bildirilip bildirilmeyeceğine, bu bilgilerin verilmesinin yasa gereği olduğu durumlar dışında, münhasıran Veri Aktaran karar verecektir.
ş) Taraflar, bu bilgilendirmelerle ilgili konularda birbirlerine karşılıklı her türlü yardımda bulunacaktır.
t) Taraflar, herhangi bir Güvenlik İhlali ile ilgili yapılan değerlendirmeleri ve hazırlanan eylem planlarını karşılıklı birbirleriyle paylaşacaktır.
7) DİĞER HÜKÜMLER
a) İşbu Sözleşme, Türk hukukuna tabidir. Sözleşme’den doğabilecek uyuşmazlıkların çözümünde İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.
b) Bu madde dahil 7 (yedi) maddeden ve 2 (iki) ekten oluşan işbu Ek Protokol, 2 (iki) nüsha olarak düzenlenmiş olup; birer nüshaları Taraflar’da kalacak şekilde .../.../20.. tarihinde imzalanarak yürürlüğe girmiştir.
DENT XXXXXXXXXX XXXX SAĞL[IKARŞI ŞİRKET TAM ÜNVAN] HİZMETLERİ VE TİC LTD ŞTİ
(Kaşe - İmza)
(Kaşe - İmza)
EK - 1
KİŞİSEL VERİ AKTARIM DETAYLARI
Veri Aktarımı Yapan Veri Sorumlusu Şirket:
Veri Alıcısı Olan Veri Sorumlusu Şirket:
Veri Alıcısı’na aktarımı söz konusu olan kişisel veriler aşağıdaki gibidir.
VERİ SAHİBİ KATEGORİSİ | KİŞİSEL VER KATEGORİSİ | Vİ ERİ AKTARIM ŞEKLİ |
Çalışan | 1 - Kimlik | |
Ürün/Hizmet Alıcısı | 2 - İletişim | |
3 - Lokasyon | ||
4 - Özlük | ||
5 - Finans | ||
Lütfen veri aktarım içeriğine göre doldurunuz.