TOPRAK MAHSULLERİ OFİSİ GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI
Gizlilik ve Kişisel Verilerin Korunması Ek Protokolü (Üçüncü Kişi)
TOPRAK MAHSULLERİ OFİSİ GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI
EK PROTOKOLÜ
1. EK PROTOKOLÜN KONUSU
İşbu Gizlilik ve Kişisel Verilerin Korunması Ek Protokolü (“Protokol”);
• Kayıtlı adresi adresinde bulunan
……………………………………………………….. (İşbu Protokol’de “Tedarikçi” olarak anılacaktır) ile
• Kayıtlı adresi …………………………………………………………….’da bulunan
Toprak Mahsulleri Ofisi (İşbu Sözleşme’de “İşveren” olarak anılacaktır)
arasında ……………. tarihinde imzalanan Sözleşmesi’ne (İşbu Protokolde
“Sözleşme” olarak anılacaktır) ek olarak tarafların mutabakatı sağlanarak aşağıda belirlenen hüküm ve şartlar çerçevesinde imzalanmıştır.
2. EK PROTOKOLÜN HÜKÜMLERİ Madde 1: Gizli Bilgi ve Kişisel Verinin Tanımı
1.1. İşverene ait ve/veya Tedarikçiye iletilen her türlü yazılı, sözlü, dijital bilgi ve belge, fikir, buluş, rapor, metot, resim, şema, grafik, çizim, grafikler, formül, süreç, dizayn, plan, proje, buluş, iş, ilerleme, ilerlemeye yönelik sair proje, patent, telif hakkı, marka, ticari sır, yasal korumaya konu olan veya olmayan her türlü yenilik, çalışma, iş ve hizmet ilişkisi içerisinde öğrenilebilecek yazılı veya sözlü tüm ticari, mali, teknik bilgiler ve konuşma bilgileri, bilgisayar programı, tasarım, analiz, şifre, sistem, teknik bilgiler, deneysel çalışmalar, know-how, müşteri bilgileri gizli bilgi olarak kabul edilir.
1.2. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” ve “özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri)” kişisel veri olarak kabul edilir.
Madde 2: Gizli Olmayan Bilgi
Aşağıda belirtilen durumlar Gizli Bilgi kapsamına dahil değildir:
a) Açıklandığı esnada kamuya mal olan bilgiler,
b) Gizli tutma yükümlülüğü bulunmaksızın daha önceden bilindiği ispat edilebilen bilgiler,
c) Yürürlükte olan kanun, ilgili mevzuat, sair yasal düzenlemeler gereğince ve/veya yargı organları ve/veya yetkili mercilerce yasal usullere uyularak istenmesi halinde sadece istenildiği kadarı ile ifşa edilmesi kaydı ile ve önceden haber verilerek açıklanan, açıklanması gereken bilgiler.
Madde 3: Gizli Bilginin Korunması ve Kullanılması
3.1. Tedarikçi, İşveren ile olan ilişkisi esnasında edindiği gizli bilgileri/gizli bilgilerin;
a) Hiçbir şekilde İşverenin yazılı izni olmaksızın üçüncü kişi/kurumlara yasal yükümlülükler dışında açıklayamaz.
b) Emniyetini sağlar, muhafazası için gerekli tedbirleri alır, kendi gizli bilgilerini korumakta gösterdikleri hassasiyetin aynısını gösterir.
3.2. Tedarikçi, ancak zorunlu hallerde ve işi gereği bu bilgiyi öğrenmesi gereken kişilere bu bilgiyi verebileceği gibi, bu bilginin gizliliği hususunda da ilgili kişileri uyarır.
3.3. Tedarikçi, İşverenin gizli bilgisi hakkında yetkisiz bir ifşanın varlığına yol açtığından haberdar olursa veya şüphe duyarsa İşvereni derhal, yazılı ve sözlü olarak söz konusu yetkisiz ifşa hakkında bilgilendirir ve İşverenin bu sebeple maruz kalacağı zararları azaltmak için elinden gelen tüm çabayı gösterir.
3.4. Tedarikçi;
a) Gizli bilginin tamamını Sözleşmenin hükümlerine uygun olarak ele almayı,
b) Gizli bilginin kararlaştırılmış başkaca bir amaç için kullanılmasına dair önceden İşveren tarafından yazılı muvafakat verilmediği sürece gizli bilgiyi sadece belirlenen amaç ile ilgili olarak kullanmayı,
c) Gizli bilgiyi, kendisine ait benzer gizli bilgiler için gösterdiği derecede özen (ancak makul derecede özenin altında olmamak kaydıyla) göstererek gizli tutmayı ve Sözleşmenin hükümleri ile orantılı bir şekilde kullanmayı,
d) Gizli bilgiyi haksız ve usulsüz rekabet için kullanmamayı,
e) Gizli bilgiyi değiştirmeyeceğini, tadil etmeyeceğini, ters mühendislikle kullanmamayı ve kaynak koduna dönüştürmemeyi kabul ve taahhüt eder.
3.5. Gizli bilgilerin açıklanması, gizli bilgilere ve/veya gizli bilgiler esas alınarak yapılan herhangi bir çalışmaya ilişkin lisans hakkı veya başka bir şekilde, herhangi bir mülkiyet hakkı tanınası şeklinde yorumlanmayacaktır.
3.6. Tedarikçi, İşverenin servislerine ve/veya sağlamış olduğu hizmete erişim ve kullanım haklarını doğrudan veya dolaylı olarak hiçbir şekilde kişi ve kurumlara ücretli veya ücretsiz olarak kısmen veya tamamen devredemez, kopyalayamaz, kiralayamaz, yetkilendiremez, kullandıramaz ya da lisanslayamaz.
3.7. Tedarikçi, gizli bilgileri tanıtım, reklam, kampanya, promosyon, duyuru ve bunun benzeri pazarlama faaliyetleri için kullanamaz.
3.8. Tedarikçinin, İşveren ile akdettiği sözleşmenin dışında kalan her türlü kullanım, işbu Protokolün ihlali anlamına gelmektedir.
Madde 4: Kişisel Verilerin Korunması
4.1. Tedarikçi, kendisi ile paylaşılacak olan kişisel verileri, Xxxxxxx tarafından izin verilen ve KVKK’nın 8’inci ve 9’uncu maddelerinde aktarım şartlarını taşıyan haller hariç olmak üzere hiçbir şekilde üçüncü kişi ya da kurumlara aktaramaz; başka bir amaçla başka bir sözleşme ilişkisinde veya ticari olsun veya olmasın herhangi bir faaliyette kullanamaz. Bu bilgilerin gizliliğinin ve güvenliğinin sağlanmasından bizzat Tedarikçi sorumludur.
4.2. Tedarikçi, İşveren ile sözleşmesel ilişkisini sürdürdüğü süre boyunca edindiği Kişisel Verileri, bu verilerle ilgili tüm belgeleri, araç ve gereçleri ve sair tüm unsurları, amacı dışında,
başka bir sözleşme ilişkisinde veya sair herhangi bir işte kullanamaz, işleyemez, dağıtamaz, üçüncü kişilere ya da kurumlara ya da yurt dışına aktaramaz ve sair herhangi bir surette işleyemez.
4.3. Tedarikçi, İşveren ile akdedilen Sözleşme dahilindeki tüm faaliyetlerinde KVKK ve ilgili mevzuat hükümlerine uygun şekilde hareket etmeyi, edindiği kişisel verilerin güvenliğine ve gizliliğini sağlamayı, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek için en az kendi bünyesinde bulunan gizli bilgileri ve kişisel verileri korumakta gösterdiği özen, çaba ve hassasiyeti göstermeyi, kişisel verileri yetkisiz kimse ile paylaşmamayı, hukuka aykırı olarak başkasına aktarmamayı, veri işleme amacı dışında kullanmamayı, işleme amacı ortadan kalktığı takdirde varsa yasal süre içerisinde, herhangi bir yasal süre yoksa derhal kişisel veriyi imha etmeyi, özel nitelikli kişisel verilerle ilgili olarak Kişisel Verileri Koruma Kurulu’nun (“Kurul”) almış olduğu “Özel Nitelikli Kişisel Verilerin Veri Sorumluları Tarafından Alınacak Yeterli Önlemler” kararındaki tüm idari ve teknik tedbirleri almayı taahhüt eder. Tedarikçinin bu yükümlülüğü, Sözleşmenin sona ermesi halinde dahi sözleşme sürecinde temin etmiş olduğu kişisel verilere ilişkin olarak süresiz devam edecektir.
4.4. Tedarikçi, Protokol hükümlerini ihlal etmesi sebebiyle İşverenin ve/veya ilgili kişilerin uğrayacakları tüm zararları karşılamakla yükümlüdür. Tedarikçi, İşverenin ödemek zorunda kaldığı idari para cezalarını, tazminatları, ferileri vb. masrafları İşverenin ilk ihbarı üzerine İşverene ödeyecektir.
4.5. Tedarikçi, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu derhal (karışıklığa mahal vermemek adına, derhal deyiminden “öğrenir öğrenmez” ifadesi anlaşılmalıdır) İşverene güvenli olan bir yolla bildirecektir.
4.6. Tedarikçi, KVKK ve ek mevzuatı gereği sözleşme süresinde temin ettiği kişisel verilere ilişkin olarak bir başvuru olursa; hakkının ihlal edildiğini iddia eden ilgili kişilere ve Xxxxx tarafından talep edilmişse Kurula; İşverene durumu bildirdikten ve İşverenin görüş ve uyarılarını dikkate aldıktan sonra bilgi verecektir. Tedarikçinin bu madde hükmüne aykırı hareket etmesi halinde meydana gelebilecek zararlardan veya para cezalarından Tedarikçi sorumludur. Tedarikçi, bu zarar ve cezaları İşverenin ilk talebiyle herhangi bir ihbar veya ihtara veya mahkemelerden hüküm istihsaline gerek olmadan nakden ve defaten ödeyecektir.
4.7. Tedarikçi, KVKK’nın 22’nci maddesi kapsamında yapılacak denetimlerde Kurul tarafından talep edilecek her türlü bilgi ve belgeyi zamanında ve doğru olarak Kurul’a vermekle ve bunlara ilişkin her türlü elektronik, manyetik ve benzeri ortamlardaki kayıtları, bu kayıtlara erişim ve kayıtları okunabilir hale getirmek için gerekli tüm sistem ve şifreleri incelemeye hazır bulundurmak ve işletmekle yükümlüdür.
4.8. Tedarikçi, İşverenin temin etmiş olduğu kişisel verilere ilişkin olarak ilgili kişilerin KVKK’nın 11’inci maddesinde yer alan hakları konusunda İşvereni ilgilendiren başvurularda Tedarikçiye başvurmaları halinde bu başvuruları İşverene derhal bildirecektir.
4.9. Tedarikçi, Protokolün ve/veya eklendiği Sözleşmenin konusu hizmete ilişkin olarak alt yüklenici çalıştırması ve dolayısıyla İşverenin kendisine aktardığı kişisel verileri alt yükleniciye aktarması gereken durumlarda, İşverenden yazılı onay almak zorundadır.
4.10. Tedarikçinin alt yüklenicisi ile imzalayacağı sözleşme ve/veya protokol, gizlilik ve kişisel verilerin korunmasına yönelik hükümler içermek zorunda olup, bu hükümler en az bu Protokoldeki şartlara sahip olmak durumundadır. Tedarikçi ile alt yüklenicisi arasında mutlaka bir gizlilik sözleşmesi bulunmalıdır.
4.11. Tedarikçi KVKK’ya uygun bir biçimde kişisel verilerin silinmesi, yok edilmesi, anonimleştirilmesi değiştirilmesi ve benzeri taleplerin İşveren tarafından kendisine iletilmesi
halinde ilgili talepleri derhal yerine getireceğini, İşverenin ilgili politika, prosedür ve yazılı talimatlarına uygun hareket edeceğini kabul, beyan ve taahhüt eder.
4.12. Tedarikçi, İşverenin kendisine sunduğu KVK Politikasına uygun hareket etmeyi kabul, taahhüt ve beyan eder.
4.13. Tedarikçi, veri güvenliğinin sağlanmasına ilişkin olarak İşverenin bizzat veya üçüncü bir kişi eliyle denetim hakkının bulunduğunu ve İşveren tarafından bu kapsamda denetim talebinde bulunulması durumunda söz konusu denetime izin vermeyi ve İşveren ile iş birliği içerisinde hareket edeceğini kabul, beyan ve taahhüt eder.
Madde 5: Özel Nitelikli Kişisel Verilerin Korunması
Tedarikçi, İşverenden edindiği özel nitelikli kişisel veriler ile ilgili olarak aşağıdaki hükümlere uymayı kabul ve taahhüt eder.
Özel nitelikli kişisel verilerin bulunduğu ortam elektronik ortam ise;
a. Verileri kriptografik yöntemler kullanılarak muhafaza edilir.
b. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur.
c. Veriler üzerinde gerçekleştirilen tüm hareketler ve işlem kayıtları tutulur.
d. Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri takip edilir.
Özel nitelikli kişisel verilerin bulunduğu ortam fiziksel ortam ise;
a. Yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır.
b. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.
Özel nitelikli kişisel veriler aktarılacak ise;
a. Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.
b. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtarı farklı ortamda tutulur.
c. Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrakı “gizlilik dereceli belgeler” formatında gönderilir.
Madde 6: Kişisel Verilerin İşlenmesi
6.1. Sözleşmenin eksiksiz ve kolaylıkla ifası amacıyla Tarafların çalışanlarının ve yetkililerinin kişisel verilerinin; iş planlaması, iş süreçlerinin yürütülmesi ve benzeri iletişim süreçlerinin yürütülmesi ile sınırlı olmak kaydıyla işlenmesi KVKK’da yer alan veri işleme şartları dahilinde kabul edilir.
6.2. Tedarikçi, İşveren ile olan ilişkisi dahilinde, kişisel verilerinin işlenmesi ve aktarılması süreçleri ile ilgili olarak kendi çalışanlarını ve yetkililerini (veya sözleşme ile bağlı kalmaksızın iş ilişkisi içerisinde İşverene kişisel verisini ilettiği kişileri veya iş ilişkisi içerisinde İşverenin kişisel verisini edindiği kişileri) aydınlatmış, gerekli tedbirleri almış ve gerekiyor ise aktarım için bu kişilerin açık rızasını almıştır.
Madde 7: Geçerlilik Süresi
Protokol ve içerdiği yükümlülükler herhangi bir süreye bağlı değildir. Gizli Bilginin ve kişisel verilerin korunmasına yönelik yükümlülükler hizmet ilişkisinin sona ermesinden sonra da devam eder.
Madde 8: Tazminat
İşveren, Protokolün ihlali nedeniyle herhangi bir şekilde mağdur olduğunda, söz konusu ihlalin öğrenilmesinden itibaren tüm kanuni yollara başvurabileceği gibi maruz kaldığı her türlü zarar ve ziyanın tazminini talep edebilir.
Madde 9: Kısmi Geçersizlik Hali
Herhangi bir nedenle bu Protokolde yer alan maddenin geçersiz olması, iptal edilmesi, uygulama kabiliyetinin kaybetmesi vb. durumlarda diğer hükümler bütünlüğünü korur.
Madde 10: Sözleşme/Protokol Değişikliği
Bu Protokol tarafların gerçek niyetlerini yansıtmaktadır. Daha önce bu hususta yapılmış olan yazılı ve sözlü tüm anlaşmaların yerine geçer. Taraflarca yazılı olarak yapılmayan ve her iki tarafça da imzalanmayan hiçbir değişiklik hüküm ifade etmez.
Madde 11: Uygulanacak Hukuk ve Yetkili Mahkeme
İşbu Protokol’den doğan uyuşmazlıkların çözümü Türk Hukuku’na tabi olacak ve uyuşmazlık çözümünde yetkili mahkeme Mahkemeleri ve İcra Müdürlükleri olacaktır.
Madde 12: Tebligat Adresi
Taraflar noter kanalıyla adres değişikliklerini değişiklik tarihini izleyen günden itibaren 5 iş günü içerisinde bildirmedikleri sürece Protokolde yazılı adreslerinin Tebligat Kanunu hükümlerine göre geçerli tebligat adresleri olduğunu her türlü bildirim ve teslim için yukarıda belirtilen adreslerin kullanılacağını kabul ederler.
İşbu Protokol …………….. madde halinde tarihinde iki nüsha olarak imzalanarak
ve kaşelenerek yürürlüğe girmiştir.