Yurt Dışındaki Veri İşleyene Aktarım Taahhütnamesi
Yurt Dışındaki Veri İşleyene Aktarım Taahhütnamesi
Konu : 24/03/2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanununun (bundan sonra “6698 sayılı Kanun” olarak anılacaktır) 9 uncu maddesinin ikinci fıkrasının (b) bendi kapsamında kişisel verilerin yurtdışına aktarılmasında veri sorumlusu ile veri işleyenin yapacağı yazılı taahhüt.
Kişisel verilerin, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri işleyene aktarımına ilişkin olarak, 6698 sayılı Kanunun 12’nci maddesinin ikinci fıkrasına istinaden hazırlanacak sözleşmede asgari olarak aşağıdaki hususlara yer verilmesi zorunlu olup, bu sözleşme hükümleri ile taraflar kişisel verilerin aktarımında kişisel verilerin korunması için gereken yeterli korumayı tesis edeceklerini taahhüt ederler.
Madde 1- Veri Sorumlusunun Yükümlülükleri
Veri sorumlusu, aşağıda belirtilen yükümlülükleri yerine getirdiğini ve getireceğini taahhüt eder.
a) Kişisel veriler, 6698 sayılı Kanun ve ilgili diğer mevzuata uygun olarak işlenmiş ve aktarılmış olacaktır.
b) Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalı ve veri işleyen tarafından da bu tedbirlerin alınmasını sağlamalıdır.
c) Veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kuruluna (bundan sonra “Kurul” olarak anılacaktır) ve söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
d) Veri sorumlusu veri işleyene, aktarılan kişisel verilerin yalnızca kendi adına ve 6698 sayılı Kanun ile sözleşme hükümlerine uygun olarak işleneceği yönünde talimat verir.
e) Veri sorumlusu, veri işleyenden aldığı ihlal bildirimlerini, bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula ve söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirir.
f) Veri sorumlusu, bu sözleşmede yer alan hükümlerin veri işleyen tarafından yerine getirilmesi ile ilgili ortaya çıkan sorunlar hakkında Kurula en kısa sürede bilgi verir.
g) Veri sorumlusu, veri işleyenin bu maddelerden doğan yükümlülüklerini yerine getirebilecek yeterliliğe sahip olduğunu taahhüt eder.
h) Veri sorumlusu, 6698 sayılı Kanun gereğince veri aktarımına başlamadan önce bu taahhütnameyi Kurula onaylatır.
Madde 2- Veri İşleyenin Yükümlülükleri
Veri işleyen, aşağıda belirtilen yükümlülükleri yerine getirdiğini ve getireceğini taahhüt eder.
a) Veri işleyen; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alır.
b) Veri işleyen; kişisel verileri veri sorumlusu adına, onun verdiği talimatlara ve sözleşmeye uygun olarak işler. Herhangi bir sebeple veri sorumlusunun talimatlarına ve sözleşmeye uygunluk sağlanamazsa, veri sorumlusunu konu ile ilgili en kısa sürede bilgilendirir. Bu durumda veri sorumlusunun veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.
c) Veri işleyen, aktarılan kişisel verilere ilişkin olarak; sözleşme tarihinde sözleşmeye aykırı ulusal düzenleme olup olmadığını araştırır, böyle bir düzenlemenin bulunduğunu fark etmesi ya da sözleşmede yer alan taahhütlerini yerine getirmesini etkilemesi muhtemel bir mevzuat değişikliği yapılması hallerinde durumu veri sorumlusuna en kısa sürede bildirir ve bu durumda veri sorumlusunun veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.
d) Veri işleyen; bu sözleşmenin feshedilmesi veya yürürlük süresinin sona ermesi halinde, veri sorumlusunun tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte veri sorumlusuna geri göndereceğini ya da kişisel verileri tamamen yok edeceğini, mevzuatta veri işleyenin bu yükümlülüğü yerine getirmesini engelleyen hükümler varsa, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli her türlü teknik ve idari tedbiri alacağını ve veri işleme faaliyetini durduracağını kabul eder.
e) Veri işleyen; kişisel verilerin adli bir makamdan gelen ve kişisel verilerin söz konusu adli makama açıklanmasını gerektiren yasal olarak bağlayıcı talepleri ve kişisel verilere yetkisiz kişilerce erişilmesi durumunu en kısa sürede veri sorumlusuna bildirir.
f) Veri işleyen, sözleşme kapsamında veri sorumlusundan gelen soruları mümkün olan en kısa sürede usulüne uygun olarak cevaplandırır ve aktarıma konu kişisel verilerin işlenmesi hususunda Kurulun karar ve görüşlerine uyar.
g) Veri işleyen, taahhüt ve yükümlülüklerinin yerine getirilip getirilmediğine yönelik veri sorumlusunun denetim yapma ve yaptırma yetkisine sahip olduğunu kabul eder ve bu yönde gerekli kolaylığı sağlar.
h) Veri işleyen sözleşme konusu hizmeti ifa ederken, sözleşmeye konu kişisel verileri, bir alt işverene aktarması gereken hallerde, veri sorumlusunu ispat edilebilir şekilde bilgilendirmeli ve onayını almalıdır. Veri işleyenin alt işveren ile yapacağı sözleşmenin, asgari olarak veri sorumlusu ile veri işleyen arasındaki sözleşme ve bu taahhütnamedeki hükümleri içermesi şarttır.
Madde 3- Ortak Hükümler
a) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen idari ve teknik tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumludur.
b) Veri sorumlusu ve veri işleyen, işledikleri kişisel verileri 6698 sayılı Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.
c) Veri sorumlusu ve veri işleyen için bu yükümlülük herhangi bir süre ile sınırlı değildir.
Veri sorumlusu adına:
Ad Soyad:
Açık Adres:
İrtibat Numarası:
E-posta:
(Varsa sözleşmenin bağlayıcı olması için belirtilmesi gereken diğer bilgiler.)
İmza/Kaşe
Veri işleyen adına:
Ad Soyad:
Açık Adres:
İrtibat Numarası:
E-posta:
(Varsa sözleşmenin bağlayıcı olması için belirtilmesi gereken diğer bilgiler.)
İmza/Kaşe
YURDIŞINDAKİ VERİ İŞLEYENE AKTARIM TAAHHÜTNAMESİ EKİ
(Taraflarca doldurulacaktır)
Veri sorumlusu
(Veri aktarımı ile ilgili faaliyetlerinizi kısaca belirtiniz.)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
Veri işleyen
(Veri işleme ile ilgili faaliyetlerinizi kısaca belirtiniz.)
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
Veri aktarımının hukuki sebebi
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
Veri konusu kişi grubu ve grupları
İşlenecek kişisel veriler, aşağıda belirtilen kişi grubu ve grupları (örneğin; çalışan verisi, müşteri verisi gibi) ile ilgilidir
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
Veri kategorileri
İşlenecek kişisel veriler, aşağıda belirtilen veri kategorileri (kişisel veri veya özel nitelikli kişisel veri) ile ilgilidir.
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
İşleme faaliyetleri
Aktarılan kişisel veriler, aşağıda belirtilen temel işleme faaliyetlerine tâbi tutulacaktır: (Açıkça belirtiniz.)
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
Veri işleyen tarafından alınacak teknik ve idari tedbirler
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
Özel nitelikli kişisel veriler için alınacak ek önlemler
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
Veri sorumlusunun Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri
(Kayıt yükümlülüğünün bulunması halinde)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
Ek faydalı bilgiler
(Saklama süreleri ve ilgili diğer bilgiler)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
İrtibat kişisi iletişim bilgileri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
Veri sorumlusu adına: Veri işleyen adına:
Ad Soyad: Ad Soyad:
Açık Adres: Açık Adres:
İrtibat Numarası: İrtibat Numarası:
E-posta: E-posta:
(Varsa sözleşmenin bağlayıcı olması için (Varsa sözleşmenin bağlayıcı olması için
belirtilmesi gereken diğer bilgiler.) belirtilmesi gereken diğer bilgiler.) İmza/Xxxx Xxxx/Kaşe