Veri Sorumlusu’ ndan Veri Sorumlusu’ na Kişisel Veri Transferine ilişkin Çerçeve Sözleşme (“Sözleşme”);
Veri Sorumlusu’ ndan Veri Sorumlusu’ na Kişisel Veri Transferine ilişkin Çerçeve Sözleşme (“Sözleşme”);
7 Nisan 2016 tarihli Resmi Gazete’ de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun 8. ve 9. maddelerinin amaçları doğrultusunda Kişisel Veri’ nin aktarılması hususunda hazırlanmıştır.
Meşelik Kampüsü Büyükdere Mah. Prof. Dr. Xxxx XXXX Bulvarı No:4 26040 Odunpazarı – ESKİŞEHİR adresinde mukim, Eskişehir Osmangazi Üniversitesi (kısaca “Üniversite”)
⮚ ................................................................ adresinde bulunan, .............. Ticaret Sicilinde no ile
xxxxxxxx , (Kısaca “Firma”)
(her biri ayrı ayrı "Taraf" ve birlikte "Taraflar" olarak anılacaktır) arasında; Veri Gönderen tarafından Veri Alan’a aktarılan EK-1’de belirtilen Kişisel Verilerin, Xxxx Xxxx tarafından Veri Sorumlusu sıfatıyla İşlenmesine ilişkin olarak, kişilerin mahremiyetinin ve temel hak ve özgürlüklerinin korunması için uygun güvenlik tedbirlerinin belirlenmesi amacıyla ………… tarihinden itibaren geçerli olmak üzere tarihinde imzalanmıştır.
1. TANIMLAR:
Bu Sözleşme amaçları doğrultusunda aşağıdaki terimler; belirtilen anlamlarda kullanılmıştır.
Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler (işbu Sözleşme kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde “Özel Nitelikli Kişisel Veriler”i de kapsayacaktır).
İşleme : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Xxxx Xxxxxxen : Kişisel veriyi, veri alana transfer eden veri sorumlusu.
Xxxx Xxxx : Veri gönderenden kişisel veriyi alan ve işbu sözleşme maddeleri uyarınca kendi adına işleyen veri sorumlusu.
Veri Sorumlusu : Kişisel Verilerin, İşleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tarafı ifade eder. Bu Sözleşme’nin amaçları bakımından hem Veri Gönderen hem de Veri Alan taraf Veri Sorumlusu olarak addedilecektir.
2. TRANSFERİN DETAYLARI:
2.1. Sözleşme kapsamında Veri Gönderen’ den Veri Alan’ a aktarılacak Kişisel Veriler EK-1’de yer almaktadır. Veri Gönderen’ den Veri Alan’ a Kişisel Veri transferinin detaylarını düzenleyen EK-1 işbu Sözleşmenin ayrılmaz bir parçasıdır.
2.2. Kişisel Veriler, Veri Alana sözlü veya yazılı olarak, elektronik ortamda ve sair (başka) şekillerde aktarılabilecektir.
3. AMAÇLA SINIRLI KULLANIM:
3.1. Kişisel Veriler, Veri Gönderen tarafından Veri Alan’ a, EK-1’de belirtilen amaçlar doğrultusunda aktarılmaktadır. Kişisel Veriler’ in, anılan amaç dışında herhangi bir şekilde işlenmesi Veri Alan’ ın söz konusu işlemeye yönelik ilgili kişiye ilgili mevzuat uyarınca uygun bir aydınlatma yapması ve verinin işlenmesi için hukuki sebep bulunmadığı takdirde ancak xxxx xxxx alması halinde mümkün olacaktır.
3.2. Veri Sorumlusu sıfatını haiz Veri Alan, Kişisel Verileri EK-1’de belirtilen amaç ve bu amacın ifası için gerekli süre ile sınırlı olarak saklama ile ilgili gerekli tüm idari ve teknik tedbirleri alarak kendi nezdinde saklayacaktır. Veri Alan, söz konusu amacın ifası için üçüncü kişi konumundaki sağlayıcıların hizmetlerini kullanması halinde kişisel verileri üçüncü kişilere aktarabilir.(yeniden değerlendirilecektir.) Veri Alan, söz konusu üçüncü kişilerin, seçiminde yüksek özen göstermekle yükümlü olup, bu sözleşme kapsamında Veri Alan’ a aktarılan Kişisel Veriler ile ilgili bu sözleşme hükümlerine riayet etmesini sağlamayı kabul ve taahhüt eder. Bu madde kapsamında Veri Alan ya da sağlayıcıları tarafından yurt dışına kişisel veri aktarımının gerekli olması halinde veri alan, Kişisel Veriler’ in yurtdışındaki üçüncü kişilere aktarımı için Kanun’un aradığı şartların yerine getirilmesinden ve Kişisel Verileri Koruma Kurulu tarafından çıkarılacak tüm düzenlemelere riayet edilmesinden münhasıran sorumludur.
3.3. Veri Alan, taraflar arasındaki hizmet, danışmanlık, vb. diğer tüm ticari ilişkilere yönelik yürürlükteki sözleşme/sözleşmelerin (kısaca hepsi birlikte “Anlaşma/Anlaşmalar”) sona ermesi ile birlikte başkaca bir hukuki sebep bulunmuyor ise, anılan Anlaşma/Anlaşmalar ile ilgili Kişisel Verilerin kayıtlı bulunduğu her türlü medya ve ortamı Veri Gönderen’ in talebine uygun olarak kendi nezdindeki kayıtları silecek ve yok edecektir (kurumun gözetimi ve onayı dahilinde) ancak Veri Alan, Kanunlarda açıkça öngörülmesi durumunda hukuki yükümlülüğünü yerine getirmesi amacıyla ve yasal sorumluluklarının gerektirdiği ölçüde ve Veri Sorumlusu sıfatıyla söz konusu Kişisel Verileri saklayabilecektir. (kurumun onayı dahilinde). Veri Alan, kurumun onayı dışında, doğrudan ilgili kişilerden veri işleme faaliyetleri için izin talep edemez ve bu verilerin işlenmesini isteyemez.
4. VERİ GÜVENLİĞİ:
4.1. Veri Alan, Kişisel Veriler’ e gerek kendi personeli gerekse üçüncü taraflarca yetkisiz bir şekilde erişilmesini ve Kişisel Veriler’ in kendisine aktarımı amacı dışında kullanılmasını engelleyecek şekilde Kişisel Verilerin Korunması Kurulu tarafından ilan edilenler başta olmak ve bunlarla sınırlı olmamak üzere gerekli önlemleri almakla yükümlüdür. Veri Xxxx, bu kapsamda alınacak önlemlerin her halükarda (varsa) yürürlükteki mevzuat veya benzer alanlarda faaliyet gösteren basiretli bir tacir tarafından kendi nezdinde saklanan Kişisel Verilerin güvenliği için alınan önlemlerden daha az olmayacağını kabul ve beyan eder. Bu tedbirler sayılanlarla sınırlı olmamak üzere; EK-2’ de belirtilen hususları da içerecektir. Sözleşme kapsamında “Özel Nitelikli Kişisel Veriler”in paylaşımının söz konusu olması halinde, söz konusu veriler Xxxx Xxxx tarafından niteliklerine uygun bir şekilde ek güvenlik önlemleri ve yetkilendirmelere tabi şekilde korunacaktır.
4.2. Xxxx Xxxx tarafından sözleşme’ de izin verilen şekilde Kişisel Veriler’ in üçüncü bir tarafa aktarımının gerçekleştirildiği hallerde de veri aktarımının güvenli bir şekilde sağlanmasından ve üçüncü kişilerin de veri güvenliği için gerekli tedbirleri almasından Veri Alan sorumlu olacaktır.
4.3. Kişisel Veriler’ e herhangi bir şekilde yetkisiz erişim gerçekleşmesi veya Kişisel Veriler’ in herhangi bir şekilde sözleşme’ ye aykırı şekilde üçüncü taraflarca erişilebilir hale gelmesi durumunda Veri Alan meydana gelen zaafiyeti ve olası sonuçları ile bundan etkilenecek kişilere ilişki bilgileri derhal (24 saati geçmemek üzere) Veri Gönderen’ e bildirecek ve bir zararın doğmaması ya da oluşabilecek zararın asgariye indirilebilmesi için Veri Gönderen tarafından talep edilen her türlü bilgi, belge ve desteği gecikmeksizin sağlayacaktır.
4.4. Veri Alan, Kişisel Veriler’ in işlenmesine ilişkin olarak işbu Sözleşme kapsamında öngörülen hususlarda personelini ve varsa alt yüklenicisinin personelini yazılı bir şekilde bilgilendirmekle yükümlüdür. Bahsi geçen
personelin Sözleşme veya mevzuatta yer alan düzenlemelere aykırı davranması halinde oluşacak zararlardan Veri Alan bu kişilerle birlikte müştereken ve müteselsilen sorumlu olacaktır.
4.5. Veri Alan, Kişisel Verileri “gizli bilgi” olarak sınıflandırmakla ve muhafaza etmekle yükümlüdür.
5. İLGİLİ KİŞİNİN HAKLARI:
5.1. Veri Xxxx, Xxxx Xxxxxxen tarafından kendisine iletilen, İlgili kişinin taleplerini derhal yerine getirmekle yükümlüdür. Herhangi bir nedenle aynı gün içerisinde yerine getirilemeyen talepler, nedeni yazılı olarak bildirilerek takip eden takvim günü içerisinde yerine getirilecektir.
5.2. İlgili kişinin herhangi bir şekilde Taraflar’ dan herhangi birinden ilgili yasal mevzuat kapsamındaki haklarıyla ilgili bir talepte bulunması halinde, söz konusu talep kendisine ulaşan Taraf, söz konusu talebe ilişkin olarak derhal (her halükarda ertesi iş günü) diğer Taraf’ a bildirimde bulunacaktır. Taraflar bu talep ile ilgili Kanun ve ilgili mevzuat hükümleri çerçevesinde alınması gereken aksiyonlar konusunda mutabık kalacaklar ve yasal yükümlülüklerini yerine getireceklerdir.
5.3. Veri Alan, İlgili kişinin, sayılanlarla sınırlı olmamak üzere aşağıda belirtilen haklarını kullanmasına imkân verecek bir kayıt ve kontrol sistemini kurmakla yükümlüdür.
a) Kişisel Veri işlenip işlenmediğini öğrenme,
b) Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
f) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
h) Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
6. DENETİM:
Firma, Sözleşme kapsamındaki Kişisel Veri İşleme faaliyetleri bakımından Üniversite ve Kişisel Verileri Koruma Kurulu denetimine tabi olduğunu kabul ve beyan eder. Üniversite, söz konusu denetim hakkını bizzat veya üçüncü bir kişi eliyle kullanabilecek veya Firma’ dan söz konusu denetimi gerçekleştirmesini talep edebilecektir. Söz konusu denetimler neticesinde Firma’ nın Kişisel Veriler’ e ilişkin yükümlülüklerine aykırı davrandığının tespit edilmesi halinde, ilgili denetim masrafları Firma tarafından Üniversite’ ye ödenecektir.
Üniversite’ nin bu denetim hakkını kullanmak istemesi halinde, karşı taraf derhal bu talebini yerine getirecek ve Üniversite’ nin denetim gerçekleştirebilmesi için ihtiyacı olan tüm desteği(bilgi/belge/kapalı alanlara giriş vb) gecikmeksizin sağlayacaktır.
7. HUKUKİ SORUMLULUK:
7.1. Taraflar, Kanun ve Kişisel Verileri Koruma Kurulu kararları başta olmak üzere, Kişisel Verilerin korunması ile ilgili yürürlükte bulunan tüm düzenlemelere, usul ve esaslara uygun davranmakla yükümlüdür.
7.2. Bahsi geçen düzenlemeler kapsamında meydana gelebilecek herhangi bir değişiklik veya güncelleme nedeniyle Taraflar’ ın süreçlerinde bir değişiklik gerekmesi halinde, söz konusu gereklilikten haberdar olan Taraf derhal diğer Taraf’ı bilgilendirecek ve Taraflar söz konusu değişikliği en geç ilgili yeni/güncel düzenleme yürürlüğe girmeden evvel tamamlamakla yükümlü olacaktır. Bahsi geçen düzenlemenin sözleşme kapsamında bir değişiklik gerektirmesi halinde ise, taraflar sözleşme’ nin uygun şekilde tadilini gerçekleştirecektir. Değişiklik gereken sözleşme hükmü, taraflarca bu hususta bir aksiyon alınmamış olsa dahi yürürlük tarihi itibariyle güncel mevzuata uygun şekilde uygulanacaktır.
7.3. İşbu sözleşmenin imzalanmasından sonra KVK Kurulu tarafından yeni bir düzenleme yahut ilke karar/karar yayınlanması halinde, bu değişiklikler yahut yeni düzenlemeler doğrudan işbu sözleşmenin eki niteliğini haiz olacak, taraflar ayrıca bir talebe gerek olmaksızın süreçlerini bu kararlara uygun olarak revize edecektirler.
8. UYGULANACAK HUKUK VE YETKİLİ MAHKEME:
Sözleşme, Türk hukukuna tabi olacaktır. Sözleşme’ den kaynaklanan ihtilafların hallinde Eskişehir Mahkemeleri ve İcra Daireleri yetkilidir.
9. SÖZLEŞME’NİN DEVRİ:
9.1. Veri Xxxx, sözleşme ve sözleşme’ den kaynaklanan hak ve yükümlülüklerini bizzat yerine getirmekle yükümlü olup, üçüncü kişilere devir ve temlik edemez.
9.2. Veri Xxxx’ ın alt yüklenici kullanması halinde, Sözleşme’nin Kişisel Veriler ile ilgili düzenlemelerinin ilgili alt yüklenici sözleşmesine aynen yansıtılması zorunludur. Veri Alan, alt yüklenici kullanılan hallerde dahi Sözleşme kapsamındaki sorumluluğunun aynen devam edeceğini ve alt yüklenici ihlallerinden bizzat sorumlu olacağını kabul eder. Veri Gönderen’ in, altyükleniciler ile belirli bir içerikte sözleşme kullanılması ve altyükleniciler ile imza edilen sözleşmelerin bir kopyasının Veri Gönderen’ e verilmesini talep hakkı saklıdır. Veri Alan bu talebi yerine getirmekle yükümlüdür.
10. GENEL:
10.1. Bu Sözleşme, Taraflar arasında imza edilmiş olan ve Kişisel Veri İşleme faaliyetlerini gerekli kılan Anlaşma/Anlaşmaların ayrılmaz bir parçasıdır. Kişisel Veriler’ e ilişkin olarak bu Sözleşme’ de düzenlenmiş olan özel hükümler dışında Anlaşma/Anlaşmaların genel hükümleri işbu Sözleşme bakımından da geçerli olacaktır.
10.2. İşbu sözleşme, imza tarihinden itibaren geçerli olmak üzere her bir tarafça saklanacak iki nüsha olarak akdedilmiştir. Her bir taraf, Sözleşmenin kendi nüshasına ilişkin damga vergisinden sorumlu olacaktır.
Ek 1: Veri Gönderen’ den Veri Xxxx’ a Transfer Edilecek Kişisel Veriler
EK 2: Veri Güvenliği Tedbirleri
Eskişehir Osmangazi Üniversitesi Firma Ünvanı
EK 1
VERİ GÖNDEREN’ DEN VERİ XXXX’ A TRANSFER EDİLECEK KİŞİSEL VERİLER
Sözleşme kapsamında Veri Gönderen tarafından Veri Alan’ a transferi gerçekleştirilen/gerçekleştirilmesi planlanan Kişisel Veriler ve İşleme faaliyetleri ile İşleme faaliyetinin amacı ve Kişisel Veri aktarım yöntemi aşağıda belirtilmektedir:
A. Kişisel Veriler:
………………………………………………………………………………………………………………………………………………………………………….
B. Özel Nitelikli Kişisel Veriler:
………………………………………………………………………………………………………………………………………………………………………….
C. İşleme Faaliyetleri:
Yukarıda belirtilen kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, aktarılması ve sınıflandırılması.
D. İşleme Faaliyetinin Amacı:
………………………………………………………………………………………………………………………………………………………………………….
E. Hukuki Sebebi:
………………………………………………………………………………………………………………………………………………………………………….
F. Kişisel Veri Aktarım Yöntemi ve Aktarılan Taraflar:
…………………………………………………………………………………………………………………………………………………………………………. Kişisel veriler, e-posta yolu ile ve Üniversite tarafından belirlenebilecek diğer yöntemler ile aktarılabilecektir.
İşbu EK-1 Taraflar arasında yürürlükte bulunan Veri Sorumlusu’ ndan Veri Sorumlusu’ na Kişisel Veri Transferine İlişkin Çerçeve Sözleşmeye ek olarak ……….. tarihinden itibaren geçerli olmak üzere tarihinde imza
edilmiştir.
Eskişehir Osmangazi Üniversitesi Firma Ünvanı
EK-2
VERİ GÜVENLİĞİ TEDBİRLERİ
Kişisel Veriler’ in işlenmesi ile ilgili olarak Veri Alan’ ın almakla yükümlü olduğu veri güvenliği tedbirleri sayılanlarla sınırlı olmamak üzere aşağıda yer alan hususları da kapsar:
1) Kişisel Veri Güvenliği’ ni de kapsayan bir bilgi güvenliği politikası ve prosedürleri oluşturmalıdır. Çalışan tüm personel bu politika ve prosedürler konusunda bilgilendirilmelidir.
2) Tüm personele düzenli olarak bilgi güvenliği ve kişisel veri koruma konusunda eğitim ve bilgilendirme yapılmalıdır.
3) Veri Alan, kişisel veriye erişebilen personel ile verinin gizliliğini korunmak üzere, verilen hizmet anlaşması çerçevesinde, erişilen verinin gizliliğinin anlaşıldığını ve buna uygun hareket edileceğini gösteren bir anlaşma imzalamalıdır.
4) Kişisel Verilere erişimler, görev ayrılığı çerçevesinde, sadece yetkili personele tanımlanmalı, yetkisiz personelin Kişisel Veriler’ e erişimi engellenmelidir.
5) Kişisel Verilere erişim için erişim metodu tanımlı olmalı ve erişimler uygun onaylar ile verilmelidir. Erişimler yılda en az 1 kez ve verinin kritikliğine göre daha sık olmak üzere gözden geçirilmeli ve yetkiler düzenlenmelidir. Yetkili personelin görev değiştirmesi veya görevden alınması durumunda, erişimler derhal kaldırılmalıdır.
6) Kişisel Veriler’ in saklandığı tüm elektronik ortamlara erişim şifre ve kullanıcı adı ile yapılmalı ve erişim kayıtları tutulmalıdır. Veri Alan, Kişisel Veri erişimleri için uygun bir şifre politikasına sahip olmalıdır. Tüm kullanıcı adları ve şifreler kişiye özel olmalı, hiçbir şekilde şifre paylaşımı yapılmamalıdır. Veriye yetkisiz ve yasal olmayan erişimlerin tespit edilmesini sağlayan kayıtlar (log) tutulmalı, uygun bir süre saklanarak olası ihlallerin tespiti amacıyla düzenli olarak incelenmelidir.
7) Veri Alan, tespit ettiği herhangi bir yetkisiz erişim veya ifşayı derhal Veri Gönderene bildirmelidir. Olası adli incelemeler için ilgili sistemler müdahaleye kapatılarak korunmalıdır. İlgili tüm log kayıtları saklanmalı ve gerektiğinde Veri Gönderene de teslim edilmelidir.
8) Kişisel Verilerin tutulduğu ortamlar kötücül yazılımlardan korunma ve engelleme sağlayan uygun programlar (Örneğin anti-virüs yazılımları) ile korunmalı ve güncelliği sağlanmalıdır.
9) Kişisel Veriler, kurum dışındaki üçüncü kişilerin erişimine açık olan ortamlarda (Dosya Paylaşım Platformları, Internet ortamı vb.) saklanmamalıdır.
10) Kişisel Veriler, Faks aracılığıyla iletileceği zaman gönderilecek faks numarası kontrol edilerek verinin belirlenen alıcılara iletileceğinden emin olunmalıdır.
11) Kişisel Verilerin kuryeler aracılığıyla gönderimi yapılması halinde gönderime ilişkin alındı belgesi mutlaka muhafaza edilmelidir. Kişisel Veriler kapalı zarf içesinde iletilmeli zarf içerisindeki bilgiler zarfın dışından görünmemelidir.
12) Kişisel veriler ile ofis dışında ancak kuruma ait bilgisayarlar üzerinde çalışabilir. Kişisel Veriler çeşitli yollarla dışarı çıkarılarak, ortak kullanıma açık bilgisayar ve ortamlarda kullanılamaz. Kişisel Verilerin, kurum elektronik posta hesapları haricinde kişisel elektronik posta hesaplarından (Gmail, Yahoo, AOL vb.) gönderimi yapılmamalıdır.
13) Sistem üzerinde veri saklandığı durumlarda; üçüncü kişilerin erişimine açık alanlar ve kurum veri alanları arasında uygun güvenlik önlemleri (firewall vb.) tesis edilmeli, veri gizliliğini tehlikeye atacak ataklara karşı
önlemler (IDS/IPS vb.) alınmalıdır.
14) Kişisel Veri içeren her türlü doküman ve iletişim "Gizli Bilgi” ve " Üniversite’ ye Özel Bilgi” olarak işaretlenmelidir.