KİŞİSEL VERİLERİN KORUNMASI HAKKINDA TAAHHÜTNAME
KİŞİSEL VERİLERİN KORUNMASI HAKKINDA TAAHHÜTNAME
İşbu Kişisel Verilerin Korunması Hakkında Taahhütname (“Taahhütname”);
- Bir tarafta Ankara Sanayi Odası I. Organize Sanayi Bölgesi Ahi Evran Osb Mahallesi Aso Bulvarı 1/101 Pk: 06935 Sincan/Ankara adresinde yerleşik Xxxxxx Xxxxxx Xxxxx 0. Xxxxxxxx Xxxxxx Xxxxx Müdürlüğü (“ASO1OSB”) ile,
- ………………………………. adresinde mukim (“Firma”) arasında,
Firma tarafından ASO1OSB’ye verilecek Tamamlayıcı Sağlık Sigortası hizmeti kapsamında kişisel verilerin korunmasına ilişkin olarak akdedilmiştir.
ASO1OSB ve Firma ayrı ayrı ¨Taraf¨, birlikte “Taraflar” olarak anılacaktır.
Madde 1 – Tanımlar
Bu Taahhütname kapsamında;
(a) “Kişisel Veri”; Sözleşme kapsamında ASO1OSB ve/veya hizmetten faydalanacak olan kişiler tarafından doğrudan Firma’ya aktarılacak olan ve gerçek kişilerin kimliğini belirleyen veya belirlenebilmesini sağlayan her türlü bilgi,
(b) “Özel Nitelikli Kişisel Veri”; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler (işbu Taahhütname kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde “Özel Nitelikli Kişisel Veriler”i de kapsayacaktır),
(c) “İşleme”; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,
(d) “Mevzuat”: Başta Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 5237 sayılı Türk Ceza Kanunu olmak üzere, yürürlükteki kanun, yönetmelik, karar ve sair diğer düzenlemeler ile kurul kararları,
anlamına gelecektir.
Madde 2 – Firmanın Taahhütleri
Firma, Hizmetin yerine getirilmesiyle bağlantılı olarak Kişisel Verileri işlemesi halinde:
• Firma’ya aktarılacak Kişisel Veriler’in işlenmesi ile ilgili olarak Mevzuat’ta öngörülen genel ilkelere ve işleme şartlarına ve ayrıca ASO1OSB’nin vereceği hukuka uygun talimatlara gereği gibi uyacaktır. Kişisel Veriler’i ASO1OSB’nin verdiği talimatlar doğrultusunda ve sadece Hizmet kapsamında belirtilen amaçlarla sınırlı olarak ASO1OSB adına işleyecek ve herhangi bir sebeple talimatlara, Mevzuata ve/veya Hizmet amacına riayet edemeyecek olması halinde, bu durumu ASO1OSB’ye derhal yazılı olarak bildirecektir.
• İşbirliği yapmayı ve Kişisel Verileri Koruma Kurumu da dahil olmak üzere, düzenleyici otoritelere karşı sorumluluklarını yerine getirmek için ASO1OSB’ye makul ve gerekli olan her türlü desteği sağlamayı kabul eder.
• Firma, Veri İşleyen olarak Mevzuat’ın ve ilgili Kurul’un öngördüğü ve sonradan öngörülebilecek her türlü teknik ve idari tedbirleri aldığını ve/veya alacağını, bu yönde çalıştırdığı kişileri gereği gibi bilgilendireceğini taahhüt eder.
• Gerekli olduğunda: (i) Resmi makamların Kişisel Verilere yönelik taleplerini ve (ii) ilgili kişinin kendisine yaptığı başvuruları ASO1OSB’ye derhal ve yazılı olarak bildireceğini, ASO1OSB’nin talimatı olması halinde vakit kaybetmeksizin ilgili talimatı, hukuka uygun olmak kaydıyla, yerine getireceğini taahhüt eder.
• ASO1OSB’nin Mevzuat kapsamında öngörülen denetimleri doğrudan veya yetkilendireceği bir üçüncü kişi vasıtasıyla yapabilmesi için ASO1OSB’ye erişim ve denetim hakkı vermeyi taahhüt eder. ASO1OSB gerekli gördüğü hallerde bu denetimleri tekrarlayabilecek, bu bağlamda tespit edeceği ihlalleri Firma’ya bildirecek ve Firma bu uyarı ve talimatları derhal ve gereği gibi yerine getirecektir.
• Kişisel Veriler’in işlenmesini gerektiren sebeplerin ya da işleme amacının herhangi bir şekilde ortadan kalkmasını müteakip veya ASO1OSB’nin talebi üzerine derhal Kişisel Verileri silecek, imha edecek ya da anonim hale getirecek ve Kişisel Verileri sildiğini, imha ettiğini ya da anonim hale getirdiğini gösteren belgeleri ASO1OSB’nin ilk talebinde ASO1OSB’ye ibraz edecektir. Ayrıca Firma, bu işlem kayıt ve belgelerini Mevzuat gereği en az 3 yıl süreyle saklamayı taahhüt eder.
• Kişisel Verilerin ASO1OSB’nin yazılı ön onayı olmadan başka bir sisteme, üçüncü kişiye ve yurt dışına aktarılmasına sebep olmayacak veya izin vermeyecektir. Kişisel Verilerin bir üçüncü kişiye verilmesine dair resmi veya idari bir kuruluştan bir emir veya talimat alması halinde, ASO1OSB’yi yazılı olarak bilgilendirecektir.
• Yasal yükümlülükleri saklı kalmak kaydıyla, Hizmet’in sona ermesinden sonra ASO1OSB’nin isteği üzerine Hizmet kapsamında edindiği Kişisel Verileri kalıcı olarak sistemlerinden silecektir. Hizmet’in sona ermesinden sonra otuz (30) gün içinde Firma, ASO1OSB’ye veri iade, silme veya imha yükümlülüklerinin yerine getirdiğine dair yazılı bir teyit sunacaktır. Firma her halükârda, edindiği Kişisel Verileri Xxxxxx’xx sona ermesini takiben 10 yıl sonra sileceğini, yok edeceğini ve imha edeceğini kabul ve beyan eder. Ancak Firmanın Hizmet kapsamında elde ettiği Kişisel Veriler’e ilişkin sır saklama yükümlülüğü Hizmet süresince ve Hizmet’in sona ermesinden itibaren süresiz olarak devam edecektir.
Madde 3 – Veri Güvenliği
• Firma, faaliyetlerine uygun olarak makul ölçüde Kişisel Verilerin gizliliği, bütünlüğü ve erişilebilirliğini koruyacak şekilde tasarlanan ve gerekli idari, teknik ve fiziki korumaları kapsayan, Mevzuata uygun güvenlik tedbirlerini uygulamayı taahhüt eder.
• Firma sistemlerinin işletiminde uygun güvenlik duvarı teknolojisini kullanacak ve asgari olarak eski kuralların kaldırılmasını ve aktif kuralların doğru şekilde yapılandırılmasını sağlamak amacıyla güvenlik duvarı kurallarını her yıl gözden geçirecektir.
• Firma; personeli, temsilcileri veya görevlendirdiği kişilerin Hizmet süresince veya sonrasında Kişisel Verilere eriştiği sürece, Kişisel Verilerin izinsiz kullanımı, elde edilmesi, paylaşılması,
çalınması, değiştirilmesi, çoğaltılması veya Kişisel Verilere erişilmesi vb. her türlü güvenlik ihlaline karşı Kişisel Verileri korumayı taahhüt etmektedir.
• Firma; personellerinin, temsilcilerinin, görevlendirdiği kişilerin, danışmanlarının vb. kişilerin bu Taahhütname kapsamındaki yükümlülüklere uymalarını sağlamayı, bu kapsamda söz konusu kişilerden gerekli yazılı gizlilik taahhütlerini almayı ve bu kişilere veri gizliliği, güvenliği ve korunmasına ilişkin olarak gerekli eğitimleri sağlamayı taahhüt eder.
• Firma, görevlendirdiği kişilerin Kişisel Verilerin bulunduğu sistemlere veya uygulamalara erişim ihtiyacının bitmesi üzerine, bu kişilerin söz konusu sistem ve uygulamalara erişimini yirmi dört (24) saat içinde iptal edecektir.
Madde 4 – Güvenlik İhlalleri
• Firma, güvenlik ihlallerinin tespiti, etkilerinin hafifletilmesi ve önlenmesini sağlayabilecek bir müdahale sistemine sahip olacaktır.
• Firma, Kişisel Verilerin izinsiz tarafça elde edildiği, erişildiği veya makul olarak böyle bir güvenlik ihlalinin doğmuş olabileceğini düşündüğü yahut yürürlükteki Mevzuat hükümlerini ihlal eden bir olayın gerçekleştiği veya bunlarla sınırlı olmaksızın yetkisiz kişilerce kötüye kullanım, kayıp, tahribat veya izinsiz erişim, toplama, saklama, kaydetme veya aktarma işlemlerinin söz konusu olduğu hal ile karşılaşılması durumunda, ihlalin zararlı etkilerini hafifletecek tüm makul tedbirleri alacaktır.
• Firma, ihlali müteakip 24 saati geçmemek üzere mümkün olan en kısa sürede durumu ASO1OSB’ye bildirecektir. Bu bildirimin içeriğinde, ihlale konu olaydan etkilenen verileri; olayın açıklamasını, olayın tarihini ve biliniyorsa olayın tespit edildiği tarihi; olayın kapsamını (olayda yer alan verilerin türüne ilişkin açıklama dâhil); Firmanın, zararı azaltmak adına yaptığı işlemleri de içermek üzere, olaya müdahalesini ve ASO1OSB’nin makul olarak talep edebileceği diğer bilgileri içerir.
• Firma, Hizmet ile ilgili olarak bilinen ve bildirilen olaylar veya soruşturmalarla ilgili tüm belgeleri süresiz olarak veya ASO1OSB tarafından Firma’ya bu kayıtların artık gerekmediğini bildirene kadar saklayacaktır. Firma ASO1OSB’nin talebi üzerine ASO1OSB’nin veya üçüncü kişi denetçisinin bir olay soruşturmasıyla ilgili erişim kayıtlarını ve verilerini gözden geçirip doğrulamasına izin verecektir. Bir olayla ilgili soruşturma ve düzeltici işlemin tamamlanması üzerine, Firma (i) Olayın kapsamını; (ii) açıklanan, ifşa olan, tahrip edilen veya sair şekilde taviz verilen veya değiştirilen verileri; (iii) sistem, ağ ve uygulama kayıtları vb. gibi tüm destekleyici kanıtları; (iv) tamamlanan tüm düzeltici işlemleri; ve (v) başka olay risklerini hafifletmek için gösterilen tüm çabaları detaylı olarak açıklayan nihai bir raporu hazırlayıp ASO1OSB’ye teslim edecektir.
Madde 5 – Verilerin Mülkiyeti
Firma’ya aktarılan Kişisel Verilerin mülkiyeti ve kullanım hakkı münhasır olarak veriyi aktaran tarafa aittir. Firma, Kişisel Verileri Hizmet kapsamında açıkça izin verilen haller veya ASO1OSB’nin yazılı olarak izin verdiği haller dışında herhangi bir amaçla kullanmayacağını (veya bir üçüncü kişi tarafından kullanılmasına izin vermeyeceğini) ve sayılanlarla sınırlı olmaksızın kullanma, kopyalama, çoğaltma, gösterme, değişiklik yapma veya transfer etme vb. hakkı bulunmadığını kabul, beyan ve taahhüt eder.
Madde 6 - Yükümlülük ve Tazminat
Firma, İşbu Taahhütname kapsamındaki yükümlülüklerine aykırı davranışlarından veya güvenlik ihlaline yol açan işlemleri ile kusur derecesine bakılmaksızın her türlü zarardan sorumlu olacaktır.
İşbu Taahhütname 6 maddeden oluşup iki (2) nüsha olarak hazırlanarak Tarafların yetkili temsilcilerince …/…/2022 tarihinde imzalanmıştır.
Xxxxxx Xxxxxx Xxxxx 0. Xxxxxxxx Xxxxxx Xxxxx Müdürlüğü | FİRMA |
Yetkili: İmza | Yetkili: İmza |