KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINDA KULLANILACAK STANDART SÖZLEŞME – 3

(VERİ İŞLEYENDEN VERİ İŞLEYENE)

BİRİNCİ BÖLÜM

Genel Hükümler

Madde 1- Amaç ve Kapsam

(a) Bu standart sözleşmenin amacı, kişisel verilerin yurt dışına aktarılmasında 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “Kanun” olarak anılacaktır) ile … tarihli ve … sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (bundan sonra “Yönetmelik” olarak anılacaktır) hükümlerine riayet edilmesini sağlamaktır.

(b) Kişisel verileri yurt dışına aktaran veri işleyen (bundan sonra “veri aktaran” olarak anılacaktır) ve veri aktarandan kişisel verileri alan yurt dışındaki veri işleyen (bundan sonra “veri alıcısı” olarak anılacaktır) bu standart sözleşmeyi (bundan sonra “Sözleşme” olarak anılacaktır) kabul etmişlerdir.

(d) Bu Sözleşmenin ekleri (bundan sonra “Ekler” olarak anılacaktır), bu Sözleşmenin ayrılmaz bir parçasını oluşturur.

Madde 2- Sözleşmenin Etkisi ve Değişmezliği

(a) Herhangi bir ekleme, çıkarma veya değişiklik yapılmaması kaydıyla bu Sözleşme, Kanunun 9 uncu maddesinin dördüncü fıkrası ve Yönetmelik uyarınca ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması dahil olmak üzere kişisel verilerin yurt dışına aktarılmasında sağlanacak uygun güvenceleri öngörür.

(b) Bu Sözleşme; Xxxxx, Yönetmelik ve ilgili diğer mevzuat uyarınca veri aktaranın tabi olduğu yükümlülüklere halel getirmez.

Madde 3- Üçüncü Taraf Yararlanıcı Hakları

(a) İlgili kişiler, aşağıdaki istisnalar dışında, üçüncü taraf yararlanıcı olarak bu Sözleşme hükümlerini veri aktarana ve/veya veri alıcısına karşı ileri sürebilir:

i) Madde 1, Madde 2, Madde 3 ve Madde 6.

ii) Madde 7.1(a), (c) ve (d) ve Madde 7.9(a), (c), (d), (e), (f) ve (g).

iii) Madde 8(a), (c), (d) ve (e)

iv) Madde 11(a), (d) ve (f).

v) Madde 12.

(b) (a) fıkrası, ilgili kişilerin Kanun kapsamındaki haklarına halel getirmez.

Madde 4- Yorum

(a) Kanun, Yönetmelik ve ilgili diğer mevzuatta yer alan terimlerin, bu Sözleşmede kullanıldığı durumlarda ilgili düzenlemede yer alan tanım geçerlidir.

(b) Bu Sözleşme; Xxxxx, Yönetmelik ve ilgili diğer mevzuata uygun olarak yorumlanır.

(c) Bu Sözleşme; Xxxxx, Yönetmelik ve ilgili diğer mevzuatta öngörülen hak ve yükümlülüklerle çelişecek şekilde yorumlanamaz.

Madde 5- Çatışma Kuralı

Bu Sözleşmenin hükümleri ile Taraflar arasında bu Sözleşmenin kabul edildiği tarihte var olan veya daha sonra yürürlüğe giren ilgili diğer sözleşmelerin hükümleri arasında bir çelişki olması durumunda bu Sözleşme hükümleri uygulanır.

Madde 6- Aktarımın Detayları

Aktarıma konu kişisel veri kategorileri, aktarımın hukuki sebebi ve aktarımın amacı veya amaçları başta olmak üzere bu Sözleşme çerçevesinde gerçekleştirilecek yurt dışına kişisel veri aktarımının detayları, Ek I’de belirtildiği şekildedir.

İKİNCİ BÖLÜM

Tarafların Yükümlülükleri

Madde 7- Kişisel Verilerin Korunmasına Yönelik Güvenceler

Veri aktaran; veri alıcısının, bu Sözleşmeden doğan yükümlülüklerini yerine getirebilecek idari ve teknik yeterliliğe sahip olduğunu taahhüt eder.

Madde 7.1- Talimatlar

(a) Veri aktaran; işleme faaliyetine başlamadan önce kendisinin, veri alıcısına bildirdiği veri sorumlusunun/sorumlularının talimatları doğrultusunda hareket eden bir veri işleyen olduğu hususunda veri alıcısını bilgilendirir.

(b) Veri alıcısı, veri aktaran tarafından kendisine bildirildiği üzere, yalnızca veri sorumlusunun talimatları ve veri aktaranın ilave talimatları doğrultusunda kişisel verileri işler. Bu ilave talimatlar, veri sorumlusunun talimatları ile çelişemez. Veri alıcısının veri aktaran adına kişisel veri işleme faaliyetinde bulunduğu süre boyunca, veri işleme faaliyetine ilişkin olarak veri sorumlusu veya veri aktaran, bu tür talimatlar verebilir.

(c) Veri alıcısı, bu talimatları yerine getiremeyeceği durumda, gecikmeksizin veri aktaranı bilgilendirir. Veri alıcısının, veri sorumlusu tarafından verilen talimatları yerine getiremeyeceği durumda ise veri aktaran gecikmeksizin veri sorumlusuna bildirimde bulunur.

(d) Veri aktaran, veri sorumlusu adına gerçekleştirdiği kişisel veri işleme faaliyetleri bakımından üstlendiği veri koruma yükümlülüklerinin veri alıcısı tarafından da aynen üstlenileceğini taahhüt eder.

Madde 7.2- Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Veri alıcısı, kişisel verileri Ek I’de belirtilen amaçla/amaçlarla bağlantılı, sınırlı ve ölçülü olarak işler.

Madde 7.3- Doğru ve Gerektiğinde Güncel Olma

Veri alıcısı, aktarılan kişisel verilerin yanlış olduğunu veya güncelliğini yitirdiğini fark ederse, gecikmeksizin veri aktaranı bilgilendirir. Bu durumda, veri alıcısı kişisel verileri imha etmek veya düzeltmek için veri aktaranla iş birliği yapar.

Madde 7.4- İşleme Faaliyetinin Süresi ve Kişisel Verilerin Tamamen Yok Edilmesi veya Geri Gönderilmesi

Veri alıcısı tarafından sadece Ek I’de belirtilen süre kadar kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri alıcısının veri aktaran adına kişisel veri işleme faaliyetinde bulunmasının sona ermesi durumunda veri aktaranın tercihine bağlı olarak veri alıcısı; veri aktaran adına işlediği bütün kişisel verileri yedekleri ile birlikte veri aktarana geri gönderir veya kişisel verileri tamamen yok eder. Veri alıcısı, mevzuatta bu yükümlülüğü yerine getirmesini engelleyen hükümler yer alıyor olsa bile bu Sözleşmeyle uyum sağlamaya devam edeceğini, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli idari ve teknik tedbirleri alacağını ve yalnızca mevzuatın gerektirdiği ölçü ve süre boyunca işleme faaliyetine devam edeceğini taahhüt eder. Madde 13 hükmü saklıdır. Veri alıcısı, verilerin yok edildiğini veri aktaran için belgelendirir. Veriler geri gönderilene veya tamamen yok edilene kadar, veri alıcısı bu Sözleşmeye uyum sağlamaya devam eder.

Madde 7.5- Bilgilendirme Yükümlülüğü

Veri aktaran, talep üzerine, Taraflarca doldurulan Ekler de dahil olmak üzere bu Sözleşmenin bir nüshasını ilgili kişiye ücretsiz olarak sağlar. Kişisel veriler de dahil olmak üzere ticari sırların veya diğer gizli bilgilerin korunması için gerekli olduğu ölçüde, veri aktaran ilgili kişiyle paylaşacağı nüshada yer verilen Ekler üzerinde değişiklik yaparak metnin bir kısmını çıkarabilir. Ancak, aksi durumda içeriğin anlaşılamayacağı veya ilgili kişi haklarının kullanılamayacağı hâllerde ilgili kişiye anlamlı bir özet sunar. Taraflar, talep üzerine, mümkün olduğu ölçüde, çıkarılan bilgileri açıklamaksızın ilgili kişiye yapılan değişikliklerin nedenlerini bildirir.

Madde 7.6- Veri Güvenliği

(a) Veri alıcısı ve aktarım aşamasında veri aktaran; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ve kişisel verilerin sehven kaybını, yok edilmesini veya zarar görmesini önlemek amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu tedbirlerin belirlenmesinde; teknolojik gelişmişlik düzeyi, uygulama maliyeti, kişisel veri işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçları ve ilgili kişilerin temel hak ve özgürlüklerine karşı ortaya çıkabilecek riskler göz önünde bulundurulur. Veri alıcısı, bu fıkra kapsamındaki yükümlüklerini yerine getirirken asgari olarak Ek II’de belirtilen idari ve teknik tedbirleri almak zorundadır. Veri alıcısı, bu tedbirlerin uygun bir güvenlik düzeyini sağlamaya devam ettiğini teyit etmek için düzenli kontroller gerçekleştirir.

(b) Veri alıcısı, personelinin, aktarıma konu kişisel verilere erişimini, veri aktaran adına gerçekleştireceği kişisel veri işleme faaliyetleri için kesinlikle gerekli olduğu ölçü ve kapsamla sınırlı tutar ve bu kişisel verilere yalnızca ilgili personel tarafından erişilebilmesini sağlar. Veri alıcısı, kişisel verilere erişim hususunda yetkilendirmiş olduğu gerçek kişilerin, öğrendikleri kişisel verileri bu Sözleşmeye aykırı olarak üçüncü taraflara açıklamamasını ve işleme amacı dışında kullanmamasını sağlar.

(c) Veri alıcısı tarafından bu Sözleşme çerçevesinde işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu kişisel veri ihlalini ve bu ihlalin muhtemel olumsuz etkilerini gidermek amacıyla gerekli tedbirleri alır. Ayrıca, veri alıcısı, herhangi bir gecikmeye yer vermeksizin bu durumu veri aktarana ve uygun olduğu ölçüde veri sorumlusuna bildirir. Söz konusu bildirim Kişisel Verileri Koruma Kurulu (bundan sonra “Kurul” olarak anılacaktır) tarafından belirlenip Kişisel Verileri Koruma Kurumu’nun (bundan sonra “Kurum” olarak anılacaktır) resmî internet sitesinde ilan edilen “Veri İhlali Bildirim Formu” kullanılarak yapılır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hâllerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanır.

(d) Veri alıcısı, Kurul’a ve ilgili kişilere bildirimde bulunabilmesi için, adına kişisel veri işleme faaliyeti gerçekleştirdiği veri sorumlusuna bildirimde bulunmak başta olmak üzere Kanun kapsamındaki yükümlülüklerini yerine getirebilmesini teminen kişisel veri işleme faaliyetinin niteliğini ve kendisinin vakıf olduğu bilgileri göz önünde bulundurarak; veri aktaranla iş birliği yapar ve veri aktarana yardımcı olur.

Madde 7.7- Özel Nitelikli Kişisel Veriler

(a) Veri alıcısı, özel nitelikli kişisel verilerin hassas niteliğine uygun olarak Ek II’de belirtilen ilave teknik ve idari tedbirleri alır.

(b) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Xxxxx tarafından belirlenen yeterli önlemlerin alınması şarttır.

Madde 7.8- Sonraki Aktarımlar

(a) Veri alıcısına aktarılan kişisel veriler, veri alıcısı tarafından yurt dışında (veri alıcısı ile aynı ülkede veya başka bir ülkede) yerleşik üçüncü bir tarafa ancak veri aktaran tarafından veri alıcısına bildirildiği üzere veri sorumlusunun talimatıyla ve aşağıdaki hâllerde aktarılabilir:

i) Sonraki aktarımın Kanunun 9 uncu maddesinin birinci fıkrası uyarınca hakkında yeterlilik kararı verilen bir ülkeye yapılması.

ii) Sonraki aktarımın yapılacağı üçüncü tarafın Kanunun 9 uncu maddesinin dördüncü fıkrasında düzenlenen uygun güvencelerden birini sağlaması.

iii) Belirli idari veya yargısal süreçler bağlamında bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

iv) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

(b) Herhangi bir sonraki aktarımda veri alıcısı, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi başta olmak üzere bu Sözleşme kapsamındaki diğer tüm güvencelere uygun hareket etmekle yükümlüdür.

(c) Bu Sözleşmenin Kurum’a bildirilmesinden önce, sonraki aktarım yapılacak alıcıların belirli olması durumunda bu alıcılar veya alıcı grupları Ek I’de belirtilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, sonraki aktarım yapılacak alıcılarda veya alıcı gruplarında değişiklik olması hâlinde Ek I güncellenir ve bu durum Kurum’a bildirilir.

Madde 7.9- Belgeleme ve Uyumluluk

(a) Veri alıcısı, bu Sözleşme kapsamında gerçekleştirilen işleme faaliyetine ilişkin olarak veri aktaran veya veri sorumlusundan gelen soruları gecikmeksizin ve yeterli bir biçimde cevaplandırır.

(b) Taraflar, bu Sözleşmeye uyum sağladıklarını gösterebilmelidir. Veri alıcısı, veri sorumlusu adına yürüttüğü işleme faaliyetlerine ilişkin bilgi, belge ve kayıtları tutmak ve saklamakla yükümlüdür.

(c) Veri alıcısı, bu Sözleşmede yer alan yükümlülüklere uyum sağladığını göstermek için gerekli olan tüm bilgi ve belgeleri veri aktarana sağlar. Veri aktaran da söz konusu bu bilgileri veri sorumlusuna gönderir.

(d) Veri alıcısı, makul aralıklarla veya bu Sözleşmeye uyum sağlanmadığına dair göstergelerin varlığı durumunda ya da veri aktaranın veri sorumlusunun talimatıyla bir denetim yapmayı talep etmesi hâlinde bu Sözleşme kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin veri aktaran tarafından denetimine izin verir ve sürece destek olur.

(e) Denetimin, veri sorumlusunun talimatları doğrultusunda gerçekleştirilmesi hâlinde veri aktaran, denetimin sonuçlarını veri sorumlusuna iletir.

(f) Veri aktaran denetimi kendisi gerçekleştirebileceği gibi bağımsız bir denetçi de görevlendirebilir. Denetim kapsamında veri alıcısının yerleşkelerinde veya fiziki tesislerinde incelemelerde bulunulabilir. Uygun olması durumunda, makul bir süre öncesinde denetim yapılacağına dair bildirim yapılır.

(g) Taraflar, veri alıcısı nezdinde gerçekleştirilen denetimin sonuçları dahil olmak üzere, talep üzerine (b) ve (c) fıkralarında belirtilen bilgileri Kurul’a sunar.

Madde 8- Alt Veri İşleyen

(Sözleşmede Tarafların tercih ettiği seçeneğe yer verilir.)

[1. SEÇENEK: ÖZEL YETKİLENDİRME: (a) Veri alıcısı, bu Sözleşme uyarınca veri aktaran adına gerçekleştirdiği işleme faaliyetlerinden hiçbirini, veri sorumlusunun önceden özel yazılı izni olmaksızın bir alt veri işleyene devredemez. Veri alıcısı, ilgili alt veri işleyenin görevlendirilmesinden en az [Süreyi belirtin] önce özel yetkilendirme talebini veri sorumlusunun yetkilendirme hususunda yapacağı değerlendirme için gerekli bilgilerle birlikte veri sorumlusuna sunar. Veri alıcısı, veri aktaranı alt veri işleyenin katılımı hakkında bilgilendirir. Veri sorumlusu tarafından yetkilendirilmiş alt veri işleyenlerin listesine Ek III’te yer verilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, alt veri işleyenlerde değişiklik olması hâlinde Ek III güncellenir ve bu durum Kurum’a bildirilir.]

[2. SEÇENEK: GENEL YETKİLENDİRME: (a) Veri alıcısı, bu Sözleşme uyarınca veri aktaran adına gerçekleştirdiği işleme faaliyetlerini, veri sorumlusunun önceden onay vermiş olduğu bir listede yer alan alt veri işleyen(ler)e devredebilir. Veri alıcısı, listede bulunan alt veri işleyenlerin başkalarıyla değiştirilmesi veya listeye yeni alt veri işleyenlerin eklenmesi durumunu en az [Süreyi belirtin] önce yazılı olarak veri sorumlusuna bildirir ve yeni alt veri işleyen(ler)in katılımından önce veri sorumlusunun, bu tür değişikliklere itiraz edebilmesi için yeterli süreyi verir. Veri alıcısı, veri sorumlusunun itiraz hakkını kullanabilmesi için gerekli bilgileri veri sorumlusuna sağlar. Veri alıcısı, veri aktaranı yeni alt veri işleyenlerin katılımı hakkında bilgilendirir. Veri sorumlusu tarafından yetkilendirilmiş alt veri işleyenlerin listesine Ek III’te yer verilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, alt veri işleyenlerde değişiklik olması hâlinde Ek III güncellenir ve bu durum Kurum’a bildirilir.]

(b) Veri alıcısı, (veri sorumlusu adına gerçekleştirilecek) belirli kişisel veri işleme faaliyetlerini devretmesi durumunda, alt veri işleyenle yazılı bir sözleşme yapar. Sözleşmenin asgari olarak ilgili kişiler için üçüncü taraf yararlanıcı hakları dahil olmak üzere bu Sözleşmede yer alan güvenceleri içermesi şarttır. Taraflar, söz konusu sözleşmenin yapılması durumunda veri

alıcısının Madde 7.8 kapsamındaki yükümlülüklerini yerine getirdiğini kabul eder. Veri alıcısı, alt veri işleyenin bu Sözleşme uyarınca veri alıcısının tabi olduğu yükümlülüklere uymasını sağlar.

(c) Veri alıcısı, veri aktaranın veya veri sorumlusunun talebi üzerine bu tür bir alt veri işleme sözleşmesinin ve sonrasında yapılan her değişikliğin bir nüshasını veri aktarana veya veri sorumlusuna sağlar. Kişisel veriler de dahil olmak üzere ticari sırların veya diğer gizli bilgilerin korunması için gerekli olduğu ölçüde, veri alıcısı paylaşacağı nüsha üzerinde değişiklik yaparak ilgili kısımları çıkarabilir.

(d) Veri alıcısı, alt veri işleyen ile yaptığı sözleşme kapsamında alt veri işleyenin yükümlülüklerini yerine getirmesi bakımından veri aktarana karşı tamamen sorumludur. Veri alıcısı, alt veri işleyenin söz konusu sözleşme kapsamındaki yükümlülüklerini yerine getirememesi durumunda veri aktarana bildirimde bulunur.

(e) Veri alıcısı alt veri işleme sözleşmesinde, –veri alıcısının hukuken kişiliğinin sona ermesi veya iflas etmesi gibi durumlarda– veri aktaranın alt veri işleme sözleşmesini feshetme ve aktarıma konu kişisel verilerin alt veri işleyen tarafından yedekleriyle birlikte tamamen yok edilmesi veya kendisine geri gönderilmesi hususunda talimat verme hakkına sahip olduğunu düzenleyen veri aktaran lehine bir üçüncü taraf yararlanıcı maddesine yer verilmesi hususunda alt veri işleyenle anlaşır.

Madde 9- İlgili Kişi Hakları

(a) Veri alıcısı, ilgili kişiden gelen herhangi bir talebi, veri sorumlusu tarafından bu konuda yetkilendirilmediği müddetçe bu talebi sonuçlandırmaksızın, derhâl veri aktarana ve uygun olduğu durumda veri sorumlusuna bildirir.

(b) Veri alıcısı, uygun olduğu durumda veri aktaranla iş birliği içinde, ilgili kişilerin Kanun kapsamındaki haklarını kullanma taleplerini karşılama yükümlülüğünü yerine getirebilmesinde veri sorumlusuna yardımcı olur. Bu bağlamda, Taraflar, gerekli yardımın kapsamının yanı sıra yardımın sağlanacağı işleme faaliyetinin niteliğini dikkate alarak, uygun teknik ve idari tedbirleri Ek II’de belirler.

(c) Veri alıcısı, (a) ve (b) fıkraları kapsamındaki yükümlülüklerini yerine getirirken veri aktaran tarafından iletildiği şekilde veri sorumlusunun talimatlarına uyar.

Madde 10- Hak Arama Yöntemleri

(a) İlgili kişi ile veri alıcısı arasında bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarına ilişkin olarak bir uyuşmazlığın doğması durumunda ilgili kişi, bu konuya ilişkin taleplerini veri alıcısına iletebilir. Veri alıcısı, şeffaf ve kolay erişilebilir bir formatta, ilgili kişilere bizzat bildirimde bulunarak ya da internet sayfasında yayımlayarak taleplerini sonuçlandırmak için yetkilendirilmiş bir irtibat noktası hususunda ilgili kişileri bilgilendirir. Veri alıcısı, ilgili kişilerin taleplerini gecikmeksizin ele alır.

[Tarafların tercihine bağlı olarak sözleşmede yer verilebilir: Veri alıcısı, ilgili kişilerin ücretsiz olarak ayrıca bağımsız bir uyuşmazlık çözüm kuruluşuna şikâyette bulunabileceğini kabul eder. Veri alıcısı, (a) fıkrasında belirtilen şekilde, bu tür bir hak arama yönteminin varlığı ve bu yönteme başvurmalarının veya öncelikle bu yönteme başvurmalarının zorunlu olmadığı hususunda ilgili kişileri bilgilendirir.]

(b) İlgili kişi ile Taraflardan biri arasında bu Sözleşmeye uygunluk konusunda bir uyuşmazlığın ortaya çıkması durumunda, ilgili Taraf sorunu dostane bir şekilde ve mümkün olan en kısa süre

içerisinde çözmek için elinden gelen çabayı gösterir. Taraflar, bu tür uyuşmazlıklar hakkında birbirini bilgilendirir ve bunların çözümünü sağlamada uygun olduğu ölçüde iş birliği yapar.

(c) İlgili kişinin Madde 3 uyarınca bir üçüncü taraf yararlanıcı hakkına başvurması durumunda, veri alıcısı ilgili kişinin Kurul’a şikâyette bulunma ve Madde 18 kapsamında görevli ve yetkili mahkemelere başvurma hakkına sahip olduğunu kabul eder.

(d) Veri alıcısı, Türk hukukuna göre bağlayıcı olan kararlara uyacağını taahhüt eder.

(e) Veri alıcısı, ilgili kişi tarafından yukarıda belirtilen hak arama yöntemlerinden birine başvurulmasının, ilgili kişinin genel hükümlere göre ileri sürebileceği diğer haklara halel getirmeyeceğini kabul eder.

Madde 11- Sorumluluk

(a) Taraflardan her biri, bu Sözleşmenin herhangi bir şekilde ihlal edilmesiyle ortaya çıkan zararlardan diğer Tarafa karşı sorumludur.

(b) Veri alıcısı, ilgili kişiye karşı sorumludur. İlgili kişi, veri alıcısının veya alt veri işleyeninin bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarını ihlal ederek ilgili kişiye verdiği her türlü maddi veya manevi zarar için tazminat alma hakkına sahiptir.

(c) (b) fıkrası hükmü saklı olmak üzere, veri aktaran ilgili kişiye karşı sorumludur ve ilgili kişi, veri aktaran veya veri alıcısının (ya da alt veri işleyeninin) bu Sözleşme kapsamında üçüncü taraf yararlanıcı haklarını ihlal ederek ilgili kişiye verdiği her türlü maddi veya manevi zarar için tazminat alma hakkına sahiptir. Bu durum, veri aktaranın ve veri sorumlusunun Kanun kapsamındaki sorumluluğuna halel getirmez.

(d) Veri aktaranın (c) fıkrası uyarınca veri alıcısı (veya alt veri işleyeni) tarafından ilgili kişiye verilen zararı tamamıyla tazmin etmesi durumunda, kusuru oranında veri alıcısına rücu etme hakkı saklıdır.

(e) Bu Sözleşmenin ihlali sonucunda ilgili kişiye verilen herhangi bir zarardan her iki Tarafın sorumlu olduğu durumlarda, Tarafların ikisi de ilgili kişilere karşı müteselsilen sorumludur ve ilgili kişi bu Taraflardan herhangi birine karşı yargı yoluna başvurma hakkına sahiptir.

(f) Taraflardan birinin (e) fıkrası uyarınca ilgili kişiye verilen zararı tamamıyla tazmin etmesi durumunda, kusuru oranında diğer tarafa rücu etme hakkı saklıdır.

(g) Veri alıcısı, alt veri işleyenin kusurlu olduğunu öne sürerek sorumluluktan kurtulamaz.

Madde 12- Denetim

Veri alıcısı, bu Sözleşmeye uyumu sağlamaya yönelik her türlü iş ve işlemde Kurum’la iş birliği yapmayı, Kurul’un yetkisine tabi olmayı ve Kurul tarafından verilen kararları yerine getirmeyi kabul eder. Veri alıcısı özellikle, Kurul’un inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri göndermeyi, gerektiğinde yerinde inceleme yapılmasına imkân sağlamayı ve tespit edilen hukuka aykırılıkların giderilmesi için Kurul tarafından verilen talimatlara uymayı kabul eder. Söz konusu talimatların yerine getirildiğine dair tevsik edici bilgi ve belgeleri Kurul’a gönderir.

ÜÇÜNCÜ BÖLÜM

Ulusal Hukuk ve Kamu Makamları Tarafından Erişim Hâlinde Yükümlülükler

Madde 13- Sözleşmeye Uyumu Etkileyen Ulusal Hukuk ve Uygulamalar

Veri alıcısı, bu Sözleşmeye istinaden aktarılacak kişisel verilere ilişkin olarak, bu Sözleşmeye aykırı herhangi bir ulusal düzenleme veya uygulama olmadığını kabul, beyan ve taahhüt eder. Bu Sözleşme süresince veri alıcısının, bu Sözleşmede yer alan taahhütlerini yerine getirmesini etkilemesi muhtemel bir mevzuat veya uygulama değişikliği olması hâlinde durumu veri aktarana derhâl bildirir ve bu durumda veri aktaranın veri aktarımını askıya alma veya bu Sözleşmeyi feshetme hakkına sahip olacağını kabul eder.

Madde 14- Kamu Makamlarının Erişimi Durumunda Veri Alıcısının Yükümlülükleri

Veri alıcısı; aktarılan kişisel verilere ilişkin olarak idari veya adli bir makamdan gelen talepleri, derhâl veri aktarana bildirir. Bu durumda veri aktaranın, talebin niteliğine göre veri aktarımını askıya alma veya bu Sözleşmeyi feshetme hakkına sahip olacağını kabul eder.

DÖRDÜNCÜ BÖLÜM

Son Hükümler

Madde 15- Sözleşmeye Uyulmaması ve Fesih

(a) Veri alıcısı, her ne sebeple olursa olsun bu Sözleşmeye uygunluk sağlayamaması hâlinde, veri aktaranı derhâl bilgilendirir.

(b) Veri alıcısının bu Sözleşmeyi ihlal etmesi veya bu Sözleşmeye uygunluk sağlayamaması hâlinde, veri aktaran uygunluk tekrar sağlanıncaya veya Sözleşme sona erdirilene kadar kişisel verilerin veri alıcısına aktarılmasını askıya alır. Madde 13 ve Madde 14 hükümleri saklıdır.

(c) Veri aktaran, bu Sözleşme kapsamında kişisel verilerin işlenmesiyle ilgili olduğu ölçüde aşağıdaki durumlarda sözleşmeyi feshetme hakkına sahiptir:

i) Veri aktaranın, (b) fıkrası uyarınca kişisel verilerin veri alıcısına aktarılmasını askıya almış olması ve makul bir süre içinde ve her durumda askıya almadan itibaren bir ay içinde bu Sözleşmeye uygunluk sağlanmaması.

ii) Veri alıcısının bu Sözleşmeyi önemli ölçüde veya sürekli olarak ihlal etmesi.

iii) Veri alıcısının, bu Sözleşme kapsamındaki yükümlülüklerine ilişkin olarak yetkili mahkemenin veya Kurul’un kararlarını yerine getirmemesi.

Bu durumlarda, veri aktaran Kurul’u ve veri sorumlusunu bilgilendirir.

(d) (c) fıkrası kapsamında sözleşmenin feshedilmesi hâlinde veri alıcısı, veri aktaranın tercihine bağlı olarak; aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri gönderir veya kişisel verileri tamamen yok eder. Veri alıcısı, mevzuatta bu yükümlülüğü yerine getirmesini engelleyen hükümler yer alıyor olsa bile bu Sözleşmeye uyum sağlamaya devam edeceğini, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli idari ve teknik tedbirleri alacağını ve yalnızca mevzuatın gerektirdiği ölçü ve süre boyunca işleme faaliyetine devam edeceğini taahhüt eder. Veri alıcısı, verilerin yok edildiğini veri aktaran için belgelendirir. Veriler geri gönderilene veya tamamen yok edilen kadar, veri alıcısı bu Sözleşmeye uyum sağlamaya devam eder.

Madde 16- Sözleşmenin Kurum’a Bildirilmesi (Tarafların tercihine bağlı olarak sözleşmede yer verilebilir.)

[Veri aktaran/Veri alıcısı] bu Sözleşmeyi, imzaların tamamlanmasından itibaren beş iş günü içinde Kurum’a bildirir.

Madde 17- Uygulanacak Hukuk

Bu Sözleşme, Türk hukukuna tabidir.

Madde 18- Görevli ve Yetkili Mahkeme

(a) Bu Sözleşmeden kaynaklanan herhangi bir uyuşmazlık, Türk mahkemeleri tarafından görülür.

(b) Görev ve yetki bakımından genel hükümler uygulanır.

Veri aktaran adına:	Veri alıcısı adına:
Ad Soyadı:	Ad Soyadı:
Açık Adres:	Açık Adres:
İrtibat Numarası:	İrtibat Numarası:
E-posta:	E-posta:
(Varsa sözleşmenin bağlayıcı olması için	(Varsa sözleşmenin bağlayıcı olması için
belirtilmesi gereken diğer bilgiler.)	belirtilmesi gereken diğer bilgiler.)
İmza/Kaşe-Tarih:	İmza/Xxxx-Xxxxx:

EKLER

EK I

AKTARIMIN DETAYLARI

Veri Aktaranın Bu Sözleme Kapsamında Aktarılan Kişisel Verilere İlişkin Faaliyetleri

…………………………………………………………………………………………………

………………………………………………………………………………………

Veri Alıcısının Bu Sözleme Kapsamında Aktarılan Kişisel Verilere İlişkin Faaliyetleri

…………………………………………………………………………………………………

………………………………………………………………………………………

İlgili Kişi Grubu veya Grupları

…………………………………………………………………………………………………

………………………………………………………………………………………

Aktarılan Kişisel Veri Kategorileri

…………………………………………………………………………………………………

………………………………………………………………………………………

(Varsa) Aktarılan Özel Nitelikli Kişisel Veri Kategorileri

…………………………………………………………………………………………………

………………………………………………………………………………………

Aktarımın Hukuki Sebebi

…………………………………………………………………………………………………

………………………………………………………………………………………

Aktarım Sıklığı

(Örneğin, verilerin bir defaya mahsus veya sürekli olarak aktarılıp aktarılamayacağı)

…………………………………………………………………………………………………

………………………………………………………………………………………

İşleme Faaliyetinin Niteliği

…………………………………………………………………………………………………

………………………………………………………………………………………

Veri Aktarımının ve Devamında Gerçekleştirilecek İşleme Faaliyetinin Amaçları

…………………………………………………………………………………………………

………………………………………………………………………………………

Kişisel Verilerin Saklama Süresi veya Bu Mümkün Değilse, Bu Süreyi Belirlemek İçin Kullanılan Kriterler

…………………………………………………………………………………………………

………………………………………………………………………………………

(Alt) Veri İşleyene Aktarımlarda İşleme Faaliyetinin Konusu, Niteliği ve Süresi

…………………………………………………………………………………………………

………………………………………………………………………………………

Alıcılar ve Alıcı Grupları

…………………………………………………………………………………………………

………………………………………………………………………………………

EK II

TEKNİK VE İDARİ TEDBİRLER

(Özel nitelikli kişisel verilerin aktarılması hâlinde bu tür veriler bakımından alınan teknik ve idari tedbirler ayrıca belirtilir.)

…………………………………………………………………………………………………

………………………………………………………………………………………

EK III

ALT VERİ İŞLEYENLER LİSTESİ

Veri sorumlusu aşağıdaki alt işleyenleri yetkilendirmiştir:

1. Adı:

Adres:

İrtibat noktası:

İşleme faaliyetinin detayları:

(Birden fazla alt veri işleyenin yetkilendirilmesi durumunda sorumluluklar açık bir şekilde belirtilir.)

………………………………………………………………………………………………

……………………………………………………………………………………………… 2. ………………………………………………………………………………………………

Veri aktaran adına:	Veri alıcısı adına:
Ad Soyad:	Ad Soyad:
Açık Adres:	Açık Adres:
İrtibat Numarası:	İrtibat Numarası:
E-posta:	E-posta:
(Varsa sözleşmenin bağlayıcı olması için	(Varsa sözleşmenin bağlayıcı olması için
belirtilmesi gereken diğer bilgiler.)	belirtilmesi gereken diğer bilgiler.)
İmza/Kaşe-Tarih:	İmza/Xxxx-Xxxxx:

Document Metadata

Table of Contents

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINDA KULLANILACAK STANDART SÖZLEŞME – 3

Document Metadata