KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN VERİ İŞLEME ANLAŞMASI (Veri Sorumlusu – Veri İşleyen)


KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN VERİ İŞLEME ANLAŞMASI


(Veri Sorumlusu – Veri İşleyen)


İşbu Kişisel Verilerin Korunmasına İlişkin Veri İşleme Sözleşmesi “Sözleşme” bir tarafta Gebze Teknik Üniversitesi (bundan sonra GTU veya “Veri Sorumlusu” olarak anılacaktır) ile diğer tarafta ........................................................... (bundan sonra “ŞİRKET” veya “Veri İşleyen” olarak anılacaktır) arasında …/…/…. tarihinde yapılmış olan ………… Sözleşmesi’ne ek olarak aşağıda yer verilen şartlar dahilinde akdedilmiştir.


İşbu Sözleşme kapsamında GTU ile Şirket/Kurum ayrı ayrı “Taraf” birlikte “Taraflar” olarak anılacaktır.


  1. TANIMLAR


Xxxx Xxxx” Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,


Anonim Hale Getirme” Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,


Alt Veri İşleyen” Veri İşleyen emir ve talimatları doğrultusunda, kendisine verilen yetki dahilinde veri işleme faaliyetini yerine getiren tarafı,


Veri Koruma Mevzuatı” başta 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil düzenlemeler ile kişisel verinin tabii olacağı kişisel verilerin korunmasına ilişkin sair mevzuatı,


İlgili Kişi” Kişisel verisi işlenen gerçek kişiyi,


İmha” Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,


Kişisel Veri” kimliği belirlenmiş ya da belirlenebilecek olan bir bireye ilişkin her türlü bilgi,


Kurul” Kişisel Verileri Koruma Kurulu’nu,


Kurum” Kişisel Verileri Koruma Kurumu’nu,


Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri,


Teknik ve İdari Güvenlik Tedbirleri” kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla alabilecekleri tedbirlerdir.


Veri İşleme” Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. “İşlem” kelimesinden türetilen tüm kelimelerin anlamı bu bağlamda tanımlanır.


Veri İşleyen” Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,


Veri Sorumlusu” Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,


ifade eder. Yukarıda yer verilmeyen kavramlar, işbu Sözleşme’de aksi belirtilmediği müddetçe KVKK ile ikincil düzenlemelerinde yer alan tanımlara tabii olacaktır.


  1. SÖZLEŞMENİN KONUSU


İşbu Sözleşme’nin konusunu, …….. Sözleşmesi kapsamında GTU’e sunulan hizmetlere ilişkin olarak, GTU tarafından veri işleyen ŞİRKET’e yapılan kişisel veri aktarımı ile veri işleme faaliyetinin veri koruma mevzuatına uygun bir şekilde gerçekleştirilmesini sağlamak ve tarafların hak ve yükümlülüklerini düzenlemekten ibarettir.


  1. TARAFLARIN HAK ve YÜKÜMLÜLÜKLERİ


    1. GEBZE TEKNİK ÜNİVERSİTESİ’NİN HAK ve YÜKÜMLÜLÜKLERİ


      1. Gebze Teknik Üniversitesi, ŞİRKET’e aktarılan ve ŞİRKET tarafında işlenen kişisel verilerin hukuka ve ilgili mevzuata uygun şekilde elde edilmiş olduğunu, işlendiğini ve aktarıldığını kabul, beyan ve taahhüt eder.



      1. Gebze Teknik Üniversitesi, ŞİRKET’e aktarılan ve ŞİRKET tarafında işlenen kişisel verilere ilişkin olarak, ilgili kişilere KVKK ve ikincil mevzuat hükümleri ile sair kişisel veri mevzuatı dahilinde aydınlatma yükümlülüğünü yerine getireceğini ve yine mevzuat uyarınca xxxx xxxx alınması gereken hallerin mevcudiyeti halinde ilgili kişilerin açık rızalarının alınacağını kabul, beyan ve taahhüt eder.



      1. Gebze Teknik Üniversitesi, ŞİRKET’e veri aktarımını gerekli teknik ve idari tedbirler alınarak güvenli yöntemler ile gerçekleştirileceğini kabul, beyan ve taahhüt eder.


      1. Gebze Teknik Üniversitesi, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önleyeceğini, mevzuat hükümlerine uygun olarak muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacağını kabul, beyan ve taahhüt eder.



      1. Gebze Teknik Üniversitesi’nin makul bir süre öncesinden haber vermek kaydıyla normal iş günleri ve çalışma saatleri içerisinde aşağıdaki hususları gözden geçirme hakkı saklıdır:


  1. ŞİRKET tarafından alınan teknik ve idari emniyet tedbirleri;

  2. ŞİRKET’in KVKK, ikincil düzenlemeler ve sair mevzuat hükümlerine riayeti ve

  3. ŞİRKET’in işbu sözleşmeye riayeti.


      1. Gebze Teknik Üniversitesi, söz konusu gözden geçirmeyi ŞİRKET’in işyerinde bilgi almak ya da belirli bir depolama tesisinde ya da bilgi işlem merkezinde saklanan ve kişisel verilerini ve ŞİRKET’in tesislerinde gerçekleştirilen veri işleme faaliyetlerini denetlemek şeklinde gerçekleştirilebilir. Gebze Teknik Üniversitesi bu hakkını sadece işbu Sözleşme kapsamında ŞİRKET’e aktarılan kişisel verilerle ilgili olarak kullanma hakkına sahiptir.


      1. Gebze Teknik Üniversitesi, kendi adına ŞİRKET tarafından işlenen kişisel verilere ilişkin şüpheli güvenlik ihlali ile kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde ŞİRKET tarafından kendisine iletilen bildirimleri 72 saat içerisinde Kurul’a iletmekle yükümlü olduğunu kabul, beyan ve taahhüt eder.


      1. Gebze Teknik Üniversitesi, zaman zaman KVKK veya sair düzenlemelerde meydana gelen değişiklik veya eklemeler sonucunda işbu Sözleşmede verilen talimatları yazılı şekilde değiştirebilir ya da ek talimatlar verebilir.


    1. ŞİRKET’İN HAK ve YÜKÜMLÜLÜKLERİ



      1. ŞİRKET; ….. Sözleşmesi kapsamında Gebze Teknik Üniversitesi’ne sunacağı hizmetler dahilinde, Gebze Teknik Üniversitesi tarafından aktarılan kişisel verileri, Gebze Teknik Üniversitesi adına ve Gebze Teknik Üniversitesi’nin talimatlarına ve ayrıca işbu Sözleşmede yer verilen hükümlere uygun şekilde “Veri İşleyen” sıfatıyla işleyeceğini kabul, beyan ve taahhüt eder.


      1. ŞİRKET; veri işleme esnasında KVKK ve sair mevzuat hükümleri ile Kurulun karar ve görüşlerine uyacağını, kabul, beyan ve taahhüt eder.


      1. ŞİRKET; Gebze Teknik Üniversitesi talimatlarına ve işbu sözleşmede belirlenen yükümlülüklerine aykırı hareket etmesi halinde, Gebze Teknik Üniversitesi veri transferini durdurma ve/veya işbu Sözleşme’yi feshetme hakkına sahip olduğunu kabul, beyan ve taahhüt eder.


      1. ŞİRKET; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önleyeceğini, mevzuat hükümleri uygun olarak muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari güvenlik önlemleri alacağını, personelini bilgilendirmek ve düzenli olarak yapacağı veya yaptıracağı testler ve değerlendirmelerle bu önlemlerin etkinliğini sürdüreceğini kabul, beyan ve taahhüt eder.



      1. Aktarılan verilerin niteliğine göre Gebze Teknik Üniversitesi veri aktarımının kendi belirleyeceği güvenli aktarım yöntemiyle gerçekleştirebilecek olup bu halde, ŞİRKET bu yöntemlere uymakla yükümlü olduğunu kabul, beyan ve taahhüt eder.



      1. Gebze Teknik Üniversitesi tarafından sözleşme uyarınca “Özel Nitelikli Kişisel Veriler”in aktarımın söz konusu olması halinde, söz konusu veriler ŞİRKET tarafından niteliklerine uygun bir şekilde ek güvenlik önlemleri ve yetkilendirmelere tabi şekilde korunacağını ve amacın gerçekleşmesini veya yasal saklama süresinin sona ermesini takiben silme/yok etme veya anonim hale getirme işlemlerine tabi tutulacağını kabul, beyan ve taahhüt eder.



      1. ŞİRKET; personelinin, alt çalışanlarının ve kendisine bağlı olarak çalışan diğer kişilerin kişisel verilere erişim yetkilerini mevzuata uygun olarak tanımlayacağını; personelinin, alt çalışanlarının ve kendisine bağlı olarak çalışan diğer kişilerin tanımlanan erişim yetkilerini kullanarak erişilen kişisel verileri ve erişim için kullandığı şifreleri/metotları hiç kimse ile paylaşmamasını sağlayacağını; bu kapsamda gerekli gizlilik sözleşmelerinin akdedileceğini kabul, beyan ve taahhüt eder.


      1. ŞİRKET’in kendi personelinin ister kendi bünyesinde çalıştığı dönemde isterse ayrılmasını müteakip herhangi bir şekilde işbu sözleşmenin ifası kapsamında edinilen kişisel verileri üçüncü kişilere açıklaması halinde doğabilecek her türlü zararlardan dolayı personel ile ŞİRKET müştereken sorumlu olacaklarını kabul, beyan ve taahhüt eder.



      1. ŞİRKET; Gebze Teknik Üniversitesi’nin 3.1.5. maddesinde tanımlandığı şekilde, gözden geçirme yetkisine sahip olduğunu ve bu inceleme sırasında işbirliği yaparak gerekli her türlü bilgi ve belgeyi vermeyi kabul, beyan ve taahhüt eder.



      1. ŞİRKET; gözden geçirme işleminin doğrudan Gebze Teknik Üniversitesi tarafından veya mevzuat hükümleri dahilinde yetkilendirilecek denetçiler vasıtasıyla gerçekleştirilmesini kabul, beyan ve taahhüt eder.



      1. ŞİRKET; işbu sözleşme kapsamında Gebze Teknik Üniversitesi’nden gelen soruları mümkün olan en kısa sürede usulüne uygun olarak cevaplandıracağını, ilgili kişiler tarafından KVKK ve sair düzenlemeler uyarınca Gebze Teknik Üniversitesi’ne iletilen her türlü talebin yerine getirilmesi adına Gebze Teknik Üniversitesi’nin ŞİRKET’ten bilgi ve belge almasına gerek bulunduğu durumlarda, gerekli bilgi ve belgeyi en kısa zamanda karşılamayı kabul, beyan ve taahhüt eder.



      1. ŞİRKET; Gebze Teknik Üniversitesi adına işlediği kişisel verilere ilişkin şüpheli güvenlik ihlali ile kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde bu durumu en geç 12 saat içerisinde Gebze Teknik Üniversitesi’ne bilgilendirmekle yükümlüdür. ŞİRKET bu süre zarfında gerekli kurtarma tedbirlerini alacak ve Gebze Teknik Üniversitesi’ne söz konusu vaki veya şüpheli güvenlik ihlali hakkında her türlü bilgi ve yardımı temin edecektir.



      1. ŞİRKET; (i) yetkili resmi bir makamdan gelen ve kişisel verilerin söz konusu makama açıklanması gereken bağlayıcı erişim talepleri veya (ii) yetkili resmi bir kurumun ŞİRKET’e karşı tedbire başvurması halinde, ŞİRKET’in kanunen Gebze Teknik Üniversitesi’ni söz konusu talep ya da tedbirler konusunda bilgilendirmekten alıkonmadığı hallerde, Gebze Teknik Üniversitesi’ni en geç 12 saat içerisinde durumdan haberdar edeceğini kabul, beyan ve taahhüt eder.



      1. ŞİRKET; KVKK’nın 22. maddesi kapsamında Kurul’a verilen yetkiler kapsamında yapılacak denetimlerde Kurul tarafından talep edilecek her türlü bilgi ve belgeyi zamanında ve doğru olarak vermekle ve bunlara ilişkin her türlü elektronik, manyetik ve benzeri ortamlardaki kayıtları ve bu kayıtlara erişim ve kayıtları okunabilir hale getirmek için gerekli tüm sistem ve şifreleri incelemeye hazır bulundurmak ve işletmekle yükümlü olduğunu kabul, beyan ve taahhüt eder.



      1. ŞİRKET; önceden Gebze Teknik Üniversitesi’nin yazılı izni alınmaksızın, kişisel verilerin alt veri işleyen tarafından işlenmesi amacıyla aktaramayacağını kabul, beyan ve taahhüt eder.



      1. ŞİRKET; Gebze Teknik Üniversitesi’nin yazılı iznine istinaden kişisel verilerin Alt Veri İşleyen’e aktarılması durumunda, ŞİRKET ile Alt Veri İşleyen arasında akdedilecek sözleşmenin asgari olarak işbu sözleşmedeki hükümleri içereceğini, aktarımın Kanun ve ilgili mevzuat hükümlerine uygun olarak gerçekleştirileceğini, aktarılan verilerin Alt Veri İşleyen tarafından hukuka uygun olarak işlenmesi ve saklanması amacıyla gerekli her türlü teknik ve idari tedbirlerin alınması konusunda ŞİRKET ile Alt Veri İşleyen’in müştereken sorumlu olacağını kabul, beyan ve taahhüt eder.



      1. ŞİRKET; İşbu Sözleşme hükümlerine uygun şekilde akdedilecek Alt Veri işleme Sözleşmesinin bir kopyasını derhal Gebze Teknik Üniversitesi’ne ileteceğini kabul ve taahhüt eder.



      1. ŞİRKET; işbu sözleşmeye istinaden aktarılacak kişisel verilere ilişkin olarak, sözleşmeye aykırı herhangi bir ulusal düzenleme olmadığını kabul, beyan ve taahhüt eder. Sözleşme süresince veri alıcısının, sözleşmede yer alan taahhütlerini yerine getirmesini etkilemesi muhtemel bir mevzuat değişikliği yapılması hallerinde, durumu Gebze Teknik Üniversitesi’ne derhal bildirir ve bu durumda Gebze Teknik Üniversitesi’nin veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.


      1. ŞİRKET’in işbu Sözleşme hükümlerinin ihlali dolayısıyla Gebze Teknik Üniversitesi’nin yasal, idari veya cezai bir yaptırıma tabi tutulması ya da herhangi bir zararı tazminle mükellef kılınması halinde ŞİRKET bu zararı kusuru oranında tazmin edeceğini kabul, beyan ve taahhüt eder. Her hâlükârda, ŞİRKET’in gerçekleştirmiş olduğu ihlal dolayısıyla Kurul’un düzenleyici ve denetleyici yaptırımları ile idari para cezasına maruz bırakılması Gebze Teknik Üniversitesi’ne karşı tazminat yükümlülüğüne halel getirmeyecektir.



      1. ŞİRKET; işbu sözleşmenin feshedilmesi veya yürürlük süresinin sona ermesi halinde, Gebze Teknik Üniversitesi’nin talimatları doğrultusunda, aktarıma konu kişisel verileri yedekleri ile birlikte Gebze Teknik Üniversitesi’ne geri göndereceğini ya da kişisel verileri tamamen yok edeceğini, mevzuatta ŞİRKET’in bu yükümlülüğü yerine getirmesini engelleyen hükümler varsa, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli idari ve teknik tedbirleri alacağını ve veri işleme faaliyetini durduracağını kabul, beyan ve taahhüt eder.



      1. ŞİRKET; işbu Sözleşme’den kaynaklanan hak ve yükümlülüklerini üçüncü kişilere devir ve temlik etmeyeceğini kabul, beyan ve taahhüt eder.


  1. SÜRE


İşbu sözleşme, …. tarihli sözleşmeden bağımsız olarak, Gebze Teknik Üniversitesi tarafından aktarılan kişisel verilerin ŞİRKET nezdinde işlendiği süre boyunca yürürlükte kalacak olup Tarafların Kanun ve sair mevzuattan doğan yükümlülükleri devam edecektir.


  1. YÜRÜRLÜK


İşbu Sözleşme, iki nüsha olarak imza edilerek ….../….../......... tarihi itibariyle yürürlüğe girmiştir.





  1. UYUŞMAZLIK HALİNDE YETKİ


İşbu Sözleşme’de yer alan hususlarda uyuşmazlık halinde, …………. Mahkemeleri yetkili olacak ve Türkiye Cumhuriyeti Kanunları uygulanacaktır.


  1. İHBAR


Taraflar işbu Sözleşme kapsamında gereken tüm muhaberat ve ihbarları yazılı olarak faks veya e-posta kanalı da dâhil olmak üzere aşağıdaki irtibat noktalarına gönderirler. Taraflar diğer tarafa bildirimde bulunmak suretiyle irtibat noktalarında değişiklik yapabilirler.


Gebze Teknik Üniversitesi İrtibat Noktası:

ŞİRKET İrtibat Noktası:

Ad-Soyad:

Açık Adres:

İrtibat Numarası:

E-posta:

(Varsa sözleşmenin bağlayıcı olması için

belirtilmesi gereken diğer bilgiler.)

İmza/Kaşe:

Ad-Soyad:

Açık Adres:

İrtibat Numarası:

E-posta:

(Varsa sözleşmenin bağlayıcı olması için

belirtilmesi gereken diğer bilgiler.)

İmza/Kaşe:



Gebze Teknik Üniversitesi Adına Yetkili

ŞİRKET Adına Yetkili






TARİH:














EK 1

(Taraflarca doldurulacaktır)


Veri sorumlusu

(Veri aktarımı ile ilgili faaliyetlerinizi kısaca belirtiniz.)

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


Veri işleyen

(Veri işleme ile ilgili faaliyetlerinizi kısaca belirtiniz.)

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


Veri aktarımının hukuki sebebi

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..


Veri konusu kişi grubu ve grupları

İşlenecek kişisel veriler, aşağıda belirtilen kişi grubu ve grupları (örneğin; çalışan verisi, müşteri verisi gibi) ile ilgilidir

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


Veri kategorileri

İşlenecek kişisel veriler, aşağıda belirtilen veri kategorileri (kişisel veri veya özel nitelikli kişisel veri) ile ilgilidir.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


İşleme faaliyetleri

Aktarılan kişisel veriler, aşağıda belirtilen temel işleme faaliyetlerine tâbi tutulacaktır: (Açıkça belirtiniz.)

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


Veri işleyen tarafından alınacak teknik ve idari tedbirler

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


Özel nitelikli kişisel veriler için alınacak ek önlemler

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..


Veri sorumlusunun Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri

(Kayıt yükümlülüğünün bulunması halinde) ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


Ek faydalı bilgiler

(Saklama süreleri ve ilgili diğer bilgiler)

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


İrtibat kişisi iletişim bilgileri

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………










EK 2


TEKNİK VE İDARİ TEDBİRLER


(ŞİRKET tarafından alınacak teknik ve idari tedbirleri lütfen yazınız.)

Form No:FR-0628 Yayın Tarihi:06.10.2021 Xxx.Xx:0 Değ.Tarihi:-

Document Metadata

Filed: October 6th, 2021