KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN TAAHHÜTNAME

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN TAAHHÜTNAME

LETTER OF UNDERTAKING FOR PROTECTION OF PERSONAL DATA

Madde 1 - Konu

İşbu Kişisel Verilerin Korunmasına ilişkin Taahhütname (“Taahhütname”), [•] adresinde mukim [•] (“Şirket”) ile [•] adresinde mukim Danish Refugee Council Türkiye (“DRC”) arasında [•] tarihinde akdedilmiş olan [•] Sözleşmesi (“Sözleşme”) kapsamında kişisel veri aktarımı ve veri güvenliğine ilişkin Şirket’in taahhütlerini içermektedir.

İşbu Taahhütname Sözleşme’nin mütemmim cüzüdür.

Madde 2 - Tanımlar

İşbu Taahhütname kapsamında:

a. KVKK/Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu,

b. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,

c. Kurul: Kişisel Verileri Koruma Kurulu,

d. Kurum: Kişisel Verileri Koruma Kurumu,

e. Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler (işbu Sözleşme’nin devamında kullanılan “kişisel veri” ifadesi, uygun olduğu ölçüde özel nitelikli kişisel verileri de kapsamaktadır),

f. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,

anlamına gelmektedir.

Article 1 - Subject

This hereby Letter of Undertaking for Protection of Personal Data (“Letter of Undertaking”) contains the Company’s undertakings in respect of transfer of personal data and data security under the [•] Contract (the “Contract”), which was concluded on [•] between [•] (the “Company”), resident at the address [•], and Danish Refugee Council Türkiye (“DRC”) resident at the address [*].

This hereby Letter of Undertaking is an integral part of the Contract.

Article 2 - Definitions

Under this Letter of Undertaking, the following terms shall have the following meanings:

a. LPPD/Law: Law No.6698 on the Protection of Personal Data

b. Personal data: Any information relating to an identity specific or specifiable natural person,

c. Board: The Board of Protection of Personal Data,

d. Authority: The Personal Data Protection Authority,

e. Sensitive personal data: Biometric and genetic data of persons and data with respect to the race, ethnic origin, political opinion, philosophical belief, religion, denomination or other beliefs, clothing and apparel, association, foundation or trade union membership, health, sexual life, criminal conviction and security measures of persons (the expression of "personal data" used in continuation of this hereby Agreement also covers sensitive personal data as appropriate),

f. Processing of personal data: Any transaction carried out on the data, such as obtaining, recording, storing, preserving, altering, reorganizing, disclosing, transfer, taking over, making available, classifying the personal data or preventing its usage, by fully or partly automatic means, or by non- automatic means provided that they are part of a data recording system.

Madde 3 - Taahhütler

Şirket, Sözleşme tahtında DRC tarafından aktarılan ve/veya sair şekillerde elde edeceği ve/veya DRC'ye aktaracağı kişisel veriler bakımından:

a. Kişisel verileri kişisel veri sahiplerine usulüne uygun olarak aydınlatma yapılması ve gerekli hallerde açık rızanın temin edilmesi de dahil Kanun’da yer alan usul ve esaslara, bu kapsamda yayımlanan ikincil düzenlemelere, ilgili mevzuatta yer alan kişisel verilerin korunmasına dair hükümlere ve Kurul kararlarına uygun olarak işleyeceğini ve DRC'e aktaracağını,

b. İşbu Taahhütname’nin 3. maddesinin a. bendinde belirtilen kişisel veri sahiplerinin aydınlatılması ve gerekli hallerde açık rızalarının temin edilmesi yükümlülüğü kapsamında kişisel verilerin sahibi olan ilgili kişileri,

i. Şirket'in Sözleşme kapsamında DRC ile hukuki ilişkisi olduğu,

ii. Sözleşme kapsamda kişisel verileri DRC'ye aktarabileceği,

iii. Sözleşme gereğince DRC'ye aktarılan kişisel verilerin, sadece Sözleşme’nin kapsamındaki hizmetlerin sunulması ile sınırlı olacak şekilde, DRC tarafından üçüncü kişilere aktarılabileceği, ve

iv. İlgili kişisel verilerin DRC'ye aktarılma amaçları,

hakkında aydınlatacağını ve gerekli hallerde açık rızalarını temin edeceğini,

c. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde, kişisel veri sahibinin talebi ve/veya DRC ile Kurul’un talimatı üzerine kişisel verilere ilişkin kayıtlarını düzelteceğini,

d. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi kapsamında Kanun’a, bu kapsamda yayımlanan ikincil düzenlemelere, ilgili mevzuat hükümlerine ve Kurul kararlarına uygun davranacağını ve Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde ve/veya DRC'nin talimatı üzerine kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri sileceğini, yok edeceğini veya anonim hale getireceğini,

Article 3 - Undertakings

With regard to the personal data transferred by DRC and/or the Company shall obtain by similar means and/or it shall transfer to DRC under the Contract, the Company irrevocably, definitely and unconditionally accepts, declares and undertakes that:

a. It shall process personal data and transfer to DRC in compliance with the procedure and principles contained in the Law, including informing data subjects duly and obtaining explicit consent in cases where necessary, with the subordinate regulations issued in this context, with the provisions in the relevant legislation for protection of personal data, and with the decisions of the Board,

b. Under the obligation to inform data subjects and obtaining their explicit consent in cases where necessary, specified in Article 3, paragraph a. of this hereby Letter of Undertaking, it shall inform the data subjects owning personal data of:

i. That the Company has a legal relationship with DRC under the Contract,

ii. The fact that it may transfer personal data to DRC under the Contract,

iii. That the personal data transferred to DRC pursuant to the Contract may be transferred by DRC to third parties, limited to provision of the services under the Contract, and

iv. shall inform the data subject regarding the purposes of personal data transfer to DRC,

it shall obtain their explicit consents in cases where necessary,

c. In case personal data are processed deficient or wrongly, upon the request by the data subject and/or instruction by DRC and the Board, it shall correct its records in respect of the personal data,

d. Within the scope of deletion, destroying or anonymizing of personal data, it shall act in compliance with the Law, the subordinate regulations issued in this context, the provisions of the relevant legislation and the decisions of the Board and in case the conditions for processing of personal data contained in the Law disappear completely and/or upon the instruction by DRC, it shall delete, destroy or anonymize the personal data on the first periodical destroying transaction following the date on which the obligation to delete, destroy or anonymize the personal data has arisen,

e. It shall in no way transfer the personal data to third persons, on condition that the circumstances specified in article 8 of the Law are reserved,

e. Kişisel verileri Kanun’un 8’inci maddesinde belirtilen şartlar saklı kalmak kaydıyla hiçbir şekilde üçüncü kişilere aktarmayacağını,

f. Siber saldırı gibi üçüncü kişiler tarafından kişisel verilerin erişimine dair herhangi bir saldırı ve/veya tehdit olması durumunda derhal (aynı gün içerisinde) yazılı olarak DRC’i bilgilendireceğini ve yasal yükümlülüklerinin yanı sıra DRC'nin vereceği yönlendirme, talimat ve emirlere uyacağını,

g. Kişisel verilerin güvenliği ile ilgili olarak gereken tüm teknik ve idari önlemleri alacağını ve bu yönde çalıştırdığı kişileri gereği gibi bilgilendireceğini ve ayrıca DRC tarafından verilecek talimatlara riayet edeceğini ve her halükarda söz konusu talepleri makul süre içerisinde yerine getireceğini,

h. DRC'ye aktaracağı kişisel verilere ilişkin olarak aktarımın hukuka uygun olarak gerçekleştirilmesini sağlamak üzere gerekli her türlü teknik ve idari tedbiri alacağını,

i. DRC'ye aktaracağı kişisel verilerin, sağlık verisi başta olmak üzere Kanun’un 6’ncı maddesinde sayılan özel nitelikli kişisel veri tanımına dahil olan verilerden olması halinde, söz konusu kişisel verileri, Kanun’un 6’ncı maddesi ve ilgili mevzuatta yer verilen hükümler ile Kurul kararlarına uygun olarak ve ek güvenlik önlemleri ve yetkilendirmelere tabi şekilde DRC'e aktaracağını,

j. DRC tarafından ve/veya DRC'nin yetkilendireceği kişilerin kişisel verilere ilişkin olarak önceden izin almaksızın dahi dilediği zaman ve DRC'nin belirleyeceği yöntemlerle denetim yapmasına izin vereceğini ve bu denetim esnasında DRC'nin ihtiyaç duyacağı her türlü bilgi ve belgeyi temin edeceğini,

k. Kişisel veri sahipleri tarafından Kanun uyarınca yapılacak başvuruları derhal (en geç 2 (iki) iş günü) DRC'ye bildireceğini,

l. DRC tarafından kendisine iletilen ilgili kişi taleplerini derhal Kanun’da yer alan usul ve esaslara, ilgili düzenleyici işlemlere, ilgili mevzuatta yer verilen hükümlere ve Kurul kararlarına uygun olarak sonuçlandıracağını ve gerekmesi halinde tüm bilgi, belge ve dokümanları DRC'ye ileteceğini,

m. Başta Kurum ve Kurul olmak üzere, ilgili kurum ve kuruluşlar tarafından gerçekleştirilebilecek herhangi bir inceleme, denetim, savunma talebi ve benzeri durumları DRC'ye derhal (en geç 2 (iki) iş günü) bildireceğini,

n. işbu Taahhütname’ye, Kanun’a, diğer mevzuat hükümlerine veya Kurul kararlarına aykırı davranması dolayısıyla ya da Şirket'ten, Şirket çalışanından, Şirket'in iş birliği içinde olduğu

f. In case of any data breach and/or threat in respect of access by third persons to personal data such as a cyber attack, it shall immediately (within the same day) inform DRC, and in addition to its legal obligations, it shall comply with the guidance, instructions and orders to be given by DRC,

g. It shall take all the necessary technical and administrative measures in relation to security of personal data and inform as is required the persons employed by it in this respect, and in addition, it shall comply with the instructions to be given by DRC and in any way, fulfil the aforementioned requests within a reasonable period,

h. To ensure realization of transfer with regard to the personal data that it shall transfer to DRC in accordance with law, it shall take all the necessary technical and administrative measures.

i. In case the personal data that it shall transfer to DRC are among those data which are included in the definition of sensitive personal data counted in article 6 of the Law, health data being in the first place, it shall transfer the aforementioned personal data to DRC in compliance with the provisions contained in article 6 of the Law and the relevant legislation and the decisions of the Board and subject to additional security measures and authorizations,

j. It shall allow DRC and/or persons to be authorized by DRC to make audit in respect of the personal data even without obtaining prior consent, at any time they wish and with the methods to be determined by DRC and it shall provide any information and document to be needed by DRC during this audit,

k. It shall immediately (within 2 (two) business days at the latest) inform DRC of the applications to be made by the data subjects pursuant to the Law,

l. It shall immediately finalize the requests of the data subjects conveyed to it by DRC in compliance with the procedure and principles contained in the Law, the relevant regulatory procedures, the provisions contained in the relevant legislation and the decisions of the Board, and if necessary, it shall convey all the information, documents and certificates to DRC,

m. It shall immediately (within 2 (two) business days at the latest) inform DRC of any examination, inspection, request for defence and similar circumstances to be realized by the relevant institution and organizations, the Authority and the Board being in the first place,

n. The damages to be incurred, legal, administrative and criminal sanctions to be encountered and indemnities obliged to be paid by DRC due to its act in breach of this hereby Letter of Undertaking, the

kişilerden ya da Şirket tarafından kişisel verilerin aktarıldığı üçüncü taraflardan kaynaklanan sebepler ile DRC'nin uğrayacağı zararlar, karşılaşacağı hukuki, idari ve cezai yaptırımlar ile ödemek zorunda kalabileceği tazminatlar için DRC'nin Şirket'e rücu hakkı bulunduğunu ve DRC'nin bu nedenlerle Şirket'e talepte bulunması halinde DRC'nin yazılı talebini müteakip 2 (iki) iş günü içinde DRC'nin uğradığı doğrudan veya dolaylı zararları ferileriyle birlikte derhal, nakden ve tamamen DRC'ye ödeyeceğini,

o. DRC ile imzalamış olduğu başta işbu Taahhütname olmak üzere taraflar arasında münakid yazılı ve sözlü tüm sözleşmelerin devamı süresince ve dahi sona ermesini müteakip, gerek sözleşmelerin imzalanması sürecinde gerekse sözleşmelerin ifası sürecinde belirli zamanlarda Şirket tarafından sağlanacak gerçek üçüncü kişilere ait kişisel verilerin DRC'ye aktarılmasından önce söz konusu aktarıma ilişkin olarak aydınlatma yükümlülüğünü yerine getireceğini ve hukuken gerekli olan tüm izin, onay ve kararları alacağını,

Gayrikabili rücu, kesin ve şartsız olarak yukarıdaki hususları kabul, beyan ve taahhüt eder.

Madde 4 - Uygulanacak Hukuk, Yetkili Mahkeme ve Dil

İşbu Taahütname’nin değerlendirilmesinde Türk hukuku uygulanacak olup, Taahütname’den kaynaklanan ihtilaflarda İstanbul Merkez (Çağlayan) Mahkemeleri ve İcra Daireleri yetkilidir.

İşbu taahhütname Türkçe ve İngilizce dillerinde hazırlanmış ve imzalanmıştır. İki metin arasında fark olması halinde Türkçe xxxxx xxxxx tutulacaktır.

Law, provisions of other legislation or the decisions of the Board or for the reasons arising from the Company, from the Company’s employee, from those persons who are in cooperation with the Company or from third parties to which personal data are transferred by the Company, DRC has the right to recourse to the Company, and in case DRC makes any request to the Company for these reasons, it shall immediately pay to DRC in cash and in full the direct or indirect damages suffered by DRC together with the ancillaries thereof, within 2 (two) business days following the written request by DRC,

o. For continuation and even following expiry of all the written and oral contracts it has executed with DRC, first and foremost this hereby Letter of Undertaking, before any transfers of personal data of natural persons to be provided by the Company at certain times during both the signature and the performance of the contracts to DRC, it shall fulfil its obligation to inform in respect of such transfer and obtain all the legally required permits, consents and decisions.

Article 4 - Governing Law, Competent Courts and Language

Turkish Law shall be applied to evaluation of this hereby Letter of Undertaking, and Istanbul Central (Çağlayan) Courts and Execution Offices are competent to rule in the disputes arising from the Letter of Undertaking.

This Letter of Xxxxxxxxxxx was drafted and signed by the Parties in Turkish and English languages. In case of any inconsistencies between the two texts, the Turkish version shall prevail.

Xxxxxx adına/On behalf of the Company:

Name: [*] Signature:

(Stamp)