KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINDA KULLANILACAK STANDART SÖZLEŞME – 2
KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINDA KULLANILACAK STANDART SÖZLEŞME – 2
(VERİ SORUMLUSUNDAN VERİ İŞLEYENE)
BİRİNCİ BÖLÜM
Genel Hükümler
Madde 1- Amaç ve Kapsam
(a) Bu standart sözleşmenin amacı, kişisel verilerin yurt dışına aktarılmasında 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “Kanun” olarak anılacaktır) ile 10/7/2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (bundan sonra “Yönetmelik” olarak anılacaktır) hükümlerine riayet edilmesini sağlamaktır.
(b) Kişisel verileri yurt dışına aktaran veri sorumlusu (bundan sonra “veri aktaran” olarak anılacaktır) ve veri aktarandan kişisel verileri alan yurt dışındaki veri işleyen (bundan sonra “veri alıcısı” olarak anılacaktır) bu standart sözleşmeyi (bundan sonra “Sözleşme” olarak anılacaktır) kabul etmişlerdir.
(c) Bu Sözleşme, Ek I’de detaylarına yer verilen yurt dışına kişisel veri aktarımı ile ilgili olarak uygulanır.
(d) Bu Sözleşmenin ekleri (bundan sonra “Ekler” olarak anılacaktır), bu Sözleşmenin ayrılmaz bir parçasını oluşturur.
Madde 2- Sözleşmenin Etkisi ve Değişmezliği
(a) Herhangi bir ekleme, çıkarma veya değişiklik yapılmaması kaydıyla bu Sözleşme, Kanunun 9 uncu maddesinin dördüncü fıkrası ve Yönetmelik uyarınca ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması dahil olmak üzere kişisel verilerin yurt dışına aktarılmasında sağlanacak uygun güvenceleri öngörür.
(b) Bu Sözleşme; Xxxxx, Yönetmelik ve ilgili diğer mevzuat uyarınca veri aktaranın tabi olduğu yükümlülüklere halel getirmez.
Madde 3- Üçüncü Taraf Yararlanıcı Hakları
(a) İlgili kişiler, aşağıdaki istisnalar dışında, üçüncü taraf yararlanıcı olarak bu Sözleşme hükümlerini veri aktarana ve/veya veri alıcısına karşı ileri sürebilir:
i) Madde 1, Madde 2, Madde 3 ve Madde 6.
ii) Madde 7.1(b) ve Madde 7.9(a), (c), (d) ve (e).
iii) Madde 8(a), (c), (d) ve (e).
iv) Madde 11(a), (d) ve (f).
v) Madde 12.
(b) (a) fıkrası, ilgili kişilerin Kanun kapsamındaki haklarına halel getirmez.
Madde 4- Yorum
(a) Kanun, Yönetmelik ve ilgili diğer mevzuatta yer alan terimlerin, bu Sözleşmede kullanıldığı durumlarda ilgili düzenlemede yer alan tanım geçerlidir.
(b) Bu Sözleşme; Xxxxx, Yönetmelik ve ilgili diğer mevzuata uygun olarak yorumlanır.
(c) Bu Sözleşme; Xxxxx, Yönetmelik ve ilgili diğer mevzuatta öngörülen hak ve yükümlülüklerle çelişecek şekilde yorumlanamaz.
Madde 5- Çatışma Kuralı
Bu Sözleşmenin hükümleri ile Taraflar arasında bu Sözleşmenin kabul edildiği tarihte var olan veya daha sonra yürürlüğe giren ilgili diğer sözleşmelerin hükümleri arasında bir çelişki olması durumunda bu Sözleşme hükümleri uygulanır.
Madde 6- Aktarımın Detayları
Aktarıma konu kişisel veri kategorileri, aktarımın hukuki sebebi ve aktarımın amacı veya amaçları başta olmak üzere bu Sözleşme çerçevesinde gerçekleştirilecek yurt dışına kişisel veri aktarımının detayları, Ek I’de belirtildiği şekildedir.
İKİNCİ BÖLÜM
Tarafların Yükümlülükleri
Madde 7- Kişisel Verilerin Korunmasına Yönelik Güvenceler
Veri aktaran; veri alıcısının, uygun teknik ve idari tedbirleri almak suretiyle bu Sözleşmeden doğan yükümlülüklerini yerine getirebilecek yeterliliğe sahip olduğunu belirlemek için makul çabayı gösterdiğini taahhüt eder.
Madde 7.1- Talimatlar
(a) Veri alıcısı, kişisel verileri yalnızca veri aktaranın talimatlarına göre işler. Veri aktaran, veri alıcısının veri aktaran adına kişisel veri işleme faaliyetinde bulunduğu süre boyunca bu tür talimatlar verebilir.
(b) Veri alıcısı, bu talimatları yerine getiremeyeceği durumda, veri aktarana derhâl bilgi verir.
Madde 7.2- Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Veri alıcısı, kişisel verileri Ek I’de belirtilen amaçla/amaçlarla bağlantılı, sınırlı ve ölçülü olarak işler.
Madde 7.3- Doğru ve Gerektiğinde Güncel Olma
Veri alıcısı, aktarılan kişisel verilerin yanlış olduğunu veya güncelliğini yitirdiğini fark ederse, gecikmeksizin veri aktaranı bilgilendirir. Bu durumda, veri alıcısı kişisel verileri imha etmek veya düzeltmek için veri aktaranla iş birliği yapar.
Madde 7.4- İşleme Faaliyetinin Süresi ve Kişisel Verilerin Tamamen Yok Edilmesi veya Geri Gönderilmesi
Veri alıcısı tarafından sadece Ek I’de belirtilen süre kadar kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri alıcısının veri aktaran adına kişisel veri işleme faaliyetinde bulunmasının sona ermesi durumunda veri aktaranın tercihine bağlı olarak veri alıcısı; veri aktaran adına işlediği bütün kişisel verileri yedekleri ile birlikte veri aktarana geri gönderir veya kişisel verileri tamamen yok eder. Veri alıcısı, mevzuatta bu yükümlülüğü yerine getirmesini engelleyen hükümler yer alıyor olsa bile bu Sözleşmeyle uyum sağlamaya devam edeceğini, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli teknik ve idari tedbirleri alacağını ve yalnızca mevzuatın gerektirdiği ölçü ve süre boyunca işleme faaliyetine devam edeceğini taahhüt eder. Madde 13 hükmü saklıdır. Veri alıcısı, verilerin yok edildiğini veri aktaran için belgelendirir. Veriler geri gönderilene veya tamamen yok edilene kadar, veri alıcısı bu Sözleşmeye uyum sağlamaya devam eder.
Madde 7.5- Aydınlatma Yükümlülüğü
Veri aktaran, talep üzerine, Taraflarca doldurulan Ekler de dahil olmak üzere bu Sözleşmenin bir nüshasını ilgili kişiye ücretsiz olarak sağlar. Ek II’de belirtilen tedbirler ve kişisel veriler de dahil olmak üzere ticari sırların veya diğer gizli bilgilerin korunması için gerekli olduğu ölçüde, veri aktaran ilgili kişiyle paylaşacağı nüshada yer verilen Ekler üzerinde değişiklik yaparak metnin bir kısmını çıkarabilir. Ancak, aksi durumda içeriğin anlaşılamayacağı veya ilgili kişi haklarının kullanılamayacağı hâllerde veri aktaran ilgili kişiye anlamlı bir özet sunar. Taraflar, talep üzerine, mümkün olduğu ölçüde, çıkarılan bilgileri açıklamaksızın, yapılan değişikliklerin nedenlerini ilgili kişiye bildirir. Veri aktaranın Kanunun 10 uncu maddesi ve 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamındaki yükümlülükleri saklıdır.
Madde 7.6- Veri Güvenliği
(a) Veri alıcısı ve aktarım aşamasında veri aktaran; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ve kişisel verilerin sehven kaybını, yok edilmesini veya zarar görmesini önlemek amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu tedbirlerin belirlenmesinde; teknolojik gelişmişlik düzeyi, uygulama maliyeti, kişisel veri işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçları ve ilgili kişilerin temel hak ve özgürlüklerine karşı ortaya çıkabilecek riskler göz önünde bulundurulur. Veri alıcısı, bu fıkra kapsamındaki yükümlüklerini yerine getirirken asgari olarak Ek II’de belirtilen teknik ve idari tedbirleri almak zorundadır. Veri alıcısı, bu tedbirlerin uygun bir güvenlik düzeyini sağlamaya devam ettiğini teyit etmek için düzenli kontroller gerçekleştirir.
(b) Veri alıcısı, personelinin, aktarıma konu kişisel verilere erişimini, veri aktaran adına gerçekleştireceği kişisel veri işleme faaliyetleri için kesinlikle gerekli olduğu ölçü ve kapsamla sınırlı tutar ve bu kişisel verilere yalnızca ilgili personel tarafından erişilebilmesini sağlar. Veri alıcısı, kişisel verilere erişim hususunda yetkilendirmiş olduğu gerçek kişilerin, öğrendikleri kişisel verileri bu Sözleşmeye aykırı olarak üçüncü taraflara açıklamamasını ve işleme amacı dışında kullanmamasını sağlar.
(c) Veri alıcısı tarafından bu Sözleşme çerçevesinde işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu kişisel veri ihlalini ve bu ihlalin muhtemel olumsuz etkilerini gidermek amacıyla gerekli tedbirleri alır. Ayrıca, veri alıcısı, herhangi bir gecikmeye yer vermeksizin bu durumu veri aktarana bildirir. Söz konusu bildirim Kişisel Verileri Koruma Kurulu (bundan sonra “Kurul” olarak anılacaktır) tarafından belirlenip Kişisel Verileri Koruma Kurumu’nun (bundan sonra “Kurum” olarak anılacaktır) resmî internet sitesinde ilan edilen “Veri İhlali Bildirim Formu” kullanılarak yapılır. Formda
yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hâllerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanır.
(d) Veri alıcısı, Kurul’a ve ilgili kişilere bildirimde bulunma başta olmak üzere veri aktaranın Kanun kapsamındaki yükümlülüklerini yerine getirebilmesini teminen kişisel veri işleme faaliyetinin niteliğini ve kendisinin vakıf olduğu bilgileri göz önünde bulundurarak; veri aktaranla iş birliği yapar ve veri aktarana yardımcı olur.
Madde 7.7- Özel Nitelikli Kişisel Veriler
(a) Veri alıcısı, özel nitelikli kişisel verilerin hassas niteliğine uygun olarak Ek II’de belirtilen ilave teknik ve idari tedbirleri alır.
(b) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Xxxxx tarafından belirlenen yeterli önlemlerin alınması şarttır.
Madde 7.8- Sonraki Aktarımlar
(a) Veri alıcısına aktarılan kişisel veriler, veri alıcısı tarafından yurt dışında (veri alıcısı ile aynı ülkede veya başka bir ülkede) yerleşik üçüncü bir tarafa ancak veri aktaranın talimatıyla ve aşağıdaki hâllerde aktarılabilir:
i) Sonraki aktarımın Kanunun 9 uncu maddesinin birinci fıkrası uyarınca hakkında yeterlilik kararı verilen bir ülkeye yapılması.
ii) Sonraki aktarımın yapılacağı üçüncü tarafın Kanunun 9 uncu maddesinin dördüncü fıkrasında düzenlenen uygun güvencelerden birini sağlaması.
iii) Belirli idari veya yargısal süreçler bağlamında bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
iv) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
(b) Herhangi bir sonraki aktarımda veri alıcısı, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi başta olmak üzere bu Sözleşme kapsamındaki diğer tüm güvencelere uygun hareket etmekle yükümlüdür.
(c) Bu Sözleşmenin Kurum’a bildirilmesinden önce, sonraki aktarım yapılacak alıcıların belirli olması durumunda bu alıcılar veya alıcı grupları Ek I’de belirtilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, sonraki aktarım yapılacak alıcılarda veya alıcı gruplarında değişiklik olması hâlinde Ek I güncellenir ve bu durum Kurum’a bildirilir.
Madde 7.9- Belgeleme ve Uyumluluk
(a) Veri alıcısı, bu Sözleşme kapsamında gerçekleştirilen işleme faaliyetine ilişkin olarak veri aktarandan gelen soruları gecikmeksizin ve yeterli bir biçimde cevaplandırır.
(b) Taraflar, bu Sözleşmeye uyum sağladığını gösterebilmelidir. Veri alıcısı, veri aktaran adına yürüttüğü işleme faaliyetlerine ilişkin bilgi, belge ve kayıtları tutmak ve saklamakla yükümlüdür.
(c) Veri alıcısı, bu Sözleşmede yer alan yükümlülüklere uyum sağladığını göstermek için gerekli olan tüm bilgi ve belgeleri veri aktarana sağlar ve veri aktaranın talebi üzerine, makul aralıklarla veya bu Sözleşmeye uyum sağlanmadığına dair göstergelerin varlığı durumunda bu Sözleşme kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin denetimine izin verir ve sürece destek olur.
(d) Veri aktaran, denetimi kendisi gerçekleştirebileceği gibi bağımsız bir denetçi de görevlendirebilir. Denetim kapsamında veri alıcısının yerleşkelerinde veya fiziki tesislerinde incelemelerde bulunulabilir. Uygun olması durumunda, makul bir süre öncesinde denetim yapılacağına dair bildirim yapılır.
(e) Taraflar, veri alıcısı nezdinde gerçekleştirilen denetimin sonuçları dahil olmak üzere, talep üzerine (b) ve (c) fıkralarında belirtilen bilgileri Kurul’a sunar.
Madde 8- Alt Veri İşleyen
(Sözleşmede Tarafların tercih ettiği seçeneğe yer verilir.)
[1. SEÇENEK: ÖZEL YETKİLENDİRME: (a) Veri alıcısı, bu Sözleşme uyarınca veri aktaran adına gerçekleştirdiği işleme faaliyetlerinden hiçbirini, veri aktaranın önceden özel yazılı izni olmaksızın bir alt veri işleyene devredemez. Veri alıcısı, ilgili alt veri işleyenin görevlendirilmesinden en az [Süreyi belirtin] önce özel yetkilendirme talebini veri aktaranın yetkilendirme hususunda yapacağı değerlendirme için gerekli bilgilerle birlikte veri aktarana sağlar. Veri aktaran tarafından yetkilendirilmiş alt veri işleyenlerin listesine Ek III’te yer verilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, alt veri işleyenlerde değişiklik olması hâlinde Ek III güncellenir ve bu durum Kurum’a bildirilir.]
[2. SEÇENEK: GENEL YETKİLENDİRME: (a) Veri alıcısı, bu Sözleşme uyarınca veri aktaran adına gerçekleştirdiği işleme faaliyetlerini, veri aktaranın önceden onay vermiş olduğu bir listede yer alan alt veri işleyen(ler)e devredebilir. Veri alıcısı, listede bulunan alt veri işleyenlerin başkalarıyla değiştirilmesi veya listeye yeni alt veri işleyenlerin eklenmesi hususunu en az [Süreyi belirtin] önce yazılı olarak veri aktarana bildirir ve yeni alt veri işleyen(ler)in katılımından önce veri aktaranın, bu tür değişikliklere itiraz edebilmesi için yeterli süreyi verir. Veri alıcısı, veri aktaranın itiraz hakkını kullanabilmesi için gerekli bilgileri veri aktarana sağlar. Veri aktaran tarafından yetkilendirilmiş alt veri işleyenlerin listesine Ek III’te yer verilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, alt veri işleyenlerde değişiklik olması hâlinde Ek III güncellenir ve bu durum Kurum’a bildirilir.]
(b) Veri alıcısı, (veri aktaran adına gerçekleştirilecek) belirli kişisel veri işleme faaliyetlerini devretmesi durumunda, alt veri işleyenle yazılı bir sözleşme yapar. Sözleşmenin asgari olarak ilgili kişiler için üçüncü taraf yararlanıcı hakları dahil olmak üzere bu Sözleşmede yer alan güvenceleri içermesi şarttır. Taraflar, söz konusu sözleşmenin yapılması durumunda veri alıcısının Madde 7.8 kapsamındaki yükümlülüklerini yerine getirdiğini kabul eder. Veri alıcısı, alt veri işleyenin bu Sözleşme uyarınca veri alıcısının tabi olduğu yükümlülüklere uymasını sağlar.
(c) Veri alıcısı, veri aktaranın talebi üzerine bu tür bir alt veri işleme sözleşmesinin ve sonrasında yapılan her değişikliğin bir nüshasını veri aktarana sağlar. Kişisel veriler de dahil olmak üzere ticari sırların veya diğer gizli bilgilerin korunması için gerekli olduğu ölçüde, veri alıcısı paylaşacağı nüsha üzerinde değişiklik yaparak ilgili kısımları çıkarabilir.
(d) Veri alıcısı, alt veri işleyen ile yaptığı sözleşme kapsamında alt veri işleyenin yükümlülüklerini yerine getirmesi bakımından veri aktarana karşı tamamen sorumludur. Veri alıcısı, alt veri işleyenin söz konusu sözleşme kapsamındaki yükümlülüklerini yerine getirememesi durumunda veri aktarana bildirimde bulunur.
(e) Veri alıcısı alt veri işleme sözleşmesinde, –veri alıcısının hukuken kişiliğinin sona ermesi veya iflas etmesi gibi durumlarda– veri aktaranın alt veri işleme sözleşmesini feshetme ve aktarıma konu kişisel verilerin alt veri işleyen tarafından yedekleriyle birlikte tamamen yok edilmesi veya kendisine geri gönderilmesi hususunda talimat verme hakkına sahip olduğunu
düzenleyen veri aktaran lehine bir üçüncü taraf yararlanıcı maddesine yer verilmesi hususunda alt veri işleyenle anlaşır.
Madde 9- İlgili Kişi Hakları
(a) Veri alıcısı, ilgili kişiden aldığı her talebi derhâl veri aktarana bildirir. Veri aktaran tarafından yetkilendirilmediği müddetçe, bu talebi kendisi sonuçlandırmaz.
(b) Veri alıcısı, ilgili kişilerin Kanun kapsamındaki haklarını kullanmak için yaptıkları talepleri sonuçlandırma yükümlülüğünü yerine getirebilmesinde veri aktarana yardımcı olur. Bu bağlamda, Taraflar, gerekli yardımın kapsamının yanı sıra yardımın sağlanacağı işleme faaliyetinin niteliğini dikkate alarak, uygun teknik ve idari tedbirleri Ek II’de belirler.
(c) Veri alıcısı, (a) ve (b) fıkraları kapsamındaki yükümlülüklerini yerine getirirken veri aktaranın talimatlarına uyar.
Madde 10- Hak Arama Yöntemleri
(a) İlgili kişi ile veri alıcısı arasında bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarına ilişkin olarak bir uyuşmazlığın doğması durumunda ilgili kişi, bu konuya ilişkin taleplerini veri alıcısına iletebilir. Veri alıcısı, şeffaf ve kolay erişilebilir bir formatta, ilgili kişilere bizzat bildirimde bulunarak veya internet sitesinde yayımlayarak taleplerini sonuçlandırmak için yetkilendirilmiş bir irtibat noktası hususunda ilgili kişileri bilgilendirir. Veri alıcısı, ilgili kişilerin taleplerini gecikmeksizin ele alır.
[Tarafların tercihine bağlı olarak sözleşmede yer verilebilir: Veri alıcısı, ilgili kişilerin ücretsiz olarak ayrıca bağımsız bir uyuşmazlık çözüm kuruluşuna şikâyette bulunabileceğini kabul eder. Veri alıcısı, (a) fıkrasında belirtilen şekilde, bu tür bir hak arama yönteminin varlığı ve bu yönteme başvurmalarının veya öncelikle bu yönteme başvurmalarının zorunlu olmadığı hususunda ilgili kişileri bilgilendirir.]
(b) İlgili kişi ile Taraflardan biri arasında bu Sözleşmeye uygunluk konusunda bir uyuşmazlığın ortaya çıkması durumunda, ilgili Taraf sorunu dostane bir şekilde ve mümkün olan en kısa süre içinde çözmek için elinden gelen çabayı gösterir. Taraflar, bu tür uyuşmazlıklar hakkında birbirini bilgilendirir ve bunların çözümünü sağlamada uygun olduğu ölçüde iş birliği yapar.
(c) İlgili kişinin Madde 3 uyarınca bir üçüncü taraf yararlanıcı hakkına başvurması durumunda, veri alıcısı ilgili kişinin Kurul’a şikâyette bulunma ve Madde 18 kapsamında görevli ve yetkili mahkemelere başvurma hakkına sahip olduğunu kabul eder.
(d) Veri alıcısı, Türk hukukuna göre bağlayıcı olan kararlara uyacağını taahhüt eder.
(e) Veri alıcısı, ilgili kişi tarafından yukarıda belirtilen hak arama yöntemlerinden birine başvurulmasının, ilgili kişinin meri mevzuata göre ileri sürebileceği diğer haklara halel getirmeyeceğini kabul eder.
Madde 11- Sorumluluk
(a) Taraflardan her biri, bu Sözleşmenin herhangi bir şekilde ihlal edilmesiyle ortaya çıkan zararlardan diğer Tarafa karşı sorumludur.
(b) Veri alıcısı, ilgili kişiye karşı sorumludur. İlgili kişi, veri alıcısının veya alt veri işleyeninin bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarını ihlal ederek ilgili kişiye verdiği her türlü maddi veya manevi zarar için tazminat alma hakkına sahiptir.
(c) (b) fıkrası hükmü saklı olmak üzere, veri aktaran ilgili kişiye karşı sorumludur ve ilgili kişi, veri aktaran veya veri alıcısının (ya da alt veri işleyeninin) bu Sözleşme kapsamında üçüncü taraf yararlanıcı haklarını ihlal ederek ilgili kişiye verdiği her türlü maddi veya manevi zarar için tazminat alma hakkına sahiptir. Bu durum, veri aktaranın Kanun kapsamındaki sorumluluğuna halel getirmez.
(d) Veri aktaranın (c) fıkrası uyarınca veri alıcısı (veya alt veri işleyeni) tarafından ilgili kişiye verilen zararı tamamıyla tazmin etmesi durumunda, kusuru oranında veri alıcısına rücu etme hakkı saklıdır.
(e) Bu Sözleşmenin ihlali sonucunda ilgili kişiye verilen herhangi bir zarardan her iki Tarafın sorumlu olduğu durumlarda, Tarafların ikisi de ilgili kişilere karşı müteselsilen sorumludur ve ilgili kişi bu Taraflardan herhangi birine karşı yargı yoluna başvurma hakkına sahiptir.
(f) Taraflardan birinin (e) fıkrası uyarınca ilgili kişiye verilen zararı tamamıyla tazmin etmesi durumunda, kusuru oranında diğer tarafa rücu etme hakkı saklıdır.
(g) Veri alıcısı, alt veri işleyenin kusurlu olduğunu öne sürerek sorumluluktan kurtulamaz.
Madde 12- Denetim
Veri alıcısı, bu Sözleşmeye uyumu sağlamaya yönelik her türlü iş ve işlemde Kurum’la iş birliği yapmayı, Kurul’un yetkisine tabi olmayı ve Kurul tarafından verilen kararları yerine getirmeyi kabul eder. Veri alıcısı özellikle, Kurul’un inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri göndermeyi, gerektiğinde yerinde inceleme yapılmasına imkân sağlamayı ve tespit edilen hukuka aykırılıkların giderilmesi için Kurul tarafından verilen talimatlara uymayı kabul eder. Söz konusu talimatların yerine getirildiğine dair tevsik edici bilgi ve belgeleri Kurul’a gönderir.
ÜÇÜNCÜ BÖLÜM
Ulusal Hukuk ve Kamu Makamları Tarafından Erişim Hâlinde Yükümlülükler
Madde 13- Sözleşmeye Uyumu Etkileyen Ulusal Hukuk ve Uygulamalar
Veri alıcısı, bu Sözleşme kapsamında aktarılacak kişisel verilere ilişkin olarak, bu Sözleşmeye aykırı herhangi bir ulusal düzenleme veya uygulama olmadığını kabul, beyan ve taahhüt eder. Bu Sözleşme süresince veri alıcısının, bu Sözleşmede yer alan taahhütlerini yerine getirmesini etkilemesi muhtemel bir mevzuat veya uygulama değişikliği olması hâlinde durumu veri aktarana derhâl bildirir ve bu durumda veri aktaranın veri aktarımını askıya alma veya bu Sözleşmeyi feshetme hakkına sahip olacağını kabul eder.
Madde 14- Kamu Makamlarının Erişimi Durumunda Veri Alıcısının Yükümlülükleri
Veri alıcısı; bu Sözleşme kapsamında aktarılan kişisel verilere ilişkin olarak idari veya adli bir makamdan gelen talepler hususunda veya bu Sözleşme kapsamında aktarılan kişisel verilere idari veya adli bir makamın doğrudan erişiminden haberdar olması hâlinde derhâl veri aktarana bildirimde bulunur. Bu durumda veri aktaranın, talebin veya erişimin niteliğine göre veri aktarımını askıya alma veya bu Sözleşmeyi feshetme hakkına sahip olacağını kabul eder.
DÖRDÜNCÜ BÖLÜM
Son Hükümler
Madde 15- Sözleşmeye Uyulmaması ve Fesih
(a) Veri alıcısı, her ne sebeple olursa olsun bu Sözleşmeye uygunluk sağlayamaması hâlinde, veri aktaranı derhâl bilgilendirir.
(b) Veri alıcısının bu Sözleşmeyi ihlal etmesi veya bu Sözleşmeye uygunluk sağlayamaması hâlinde, veri aktaran uygunluk tekrar sağlanıncaya veya Sözleşme sona erdirilene kadar kişisel verilerin veri alıcısına aktarılmasını askıya alır. Madde 13 ve Madde 14 hükümleri saklıdır.
(c) Veri aktaran, bu Sözleşme kapsamında kişisel verilerin işlenmesiyle ilgili olduğu ölçüde aşağıdaki durumlarda sözleşmeyi feshetme hakkına sahiptir:
i) Veri aktaranın, (b) fıkrası uyarınca kişisel verilerin veri alıcısına aktarılmasını askıya almış olması ve makul bir süre içinde ve her durumda askıya almadan itibaren bir ay içinde bu Sözleşmeye uygunluk sağlanmaması.
ii) Veri alıcısının bu Sözleşmeyi önemli ölçüde veya sürekli olarak ihlal etmesi.
iii) Veri alıcısının, bu Sözleşme kapsamındaki yükümlülüklerine ilişkin olarak yetkili mahkemenin veya Kurul’un kararlarını yerine getirmemesi.
Bu durumlarda, veri aktaran Kurul’u bilgilendirir.
(d) (c) fıkrası kapsamında sözleşmenin feshedilmesi hâlinde veri alıcısı, veri aktaranın tercihine bağlı olarak; aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri gönderir veya kişisel verileri tamamen yok eder. Veri alıcısı, mevzuatta bu yükümlülüğü yerine getirmesini engelleyen hükümler yer alıyor olsa bile bu Sözleşmeye uyum sağlamaya devam edeceğini, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli teknik ve idari tedbirleri alacağını ve yalnızca mevzuatın gerektirdiği ölçü ve süre boyunca işleme faaliyetine devam edeceğini taahhüt eder. Veri alıcısı, verilerin yok edildiğini veri aktaran için belgelendirir. Veriler geri gönderilene veya tamamen yok edilen kadar, veri alıcısı bu Sözleşmeye uyum sağlamaya devam eder.
Madde 16- Sözleşmenin Kurum’a Bildirilmesi (Tarafların tercihine bağlı olarak sözleşmede yer verilebilir.)
[Veri aktaran/Veri alıcısı] bu Sözleşmeyi, imzaların tamamlanmasından itibaren beş iş günü içinde Kurum’a bildirir.
Madde 17- Uygulanacak Hukuk
Bu Sözleşme, Türk hukukuna tabidir.
Madde 18- Görevli ve Yetkili Mahkeme
(a) Bu Sözleşmeden kaynaklanan herhangi bir uyuşmazlık, Türk mahkemeleri tarafından görülür.
(b) Görev ve yetki bakımından genel hükümler uygulanır.
(c) Taraflar, Türk mahkemelerinin yargı yetkisini tanımayı kabul eder.
Veri Aktaran: | Veri Alıcısı: |
Adres: | Adres: |
İrtibat Noktasının Adı ve Soyadı, Ünvanı ve | İrtibat Noktasının Adı ve Soyadı, Ünvanı ve |
İletişim Bilgileri: | İletişim Bilgileri: |
İmzalayanın Adı ve Soyadı ve Ünvanı: | İmzalayanın Adı ve Soyadı: |
İmza ve Tarih: | İmza ve Tarih: |
EKLER
EK I
AKTARIMIN DETAYLARI
Veri Aktaranın Bu Sözleşme Kapsamında Aktarılan Kişisel Verilere İlişkin Faaliyetleri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Veri Alıcısının Bu Sözleşme Kapsamında Aktarılan Kişisel Verilere İlişkin Faaliyetleri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
İlgili Kişi Grubu veya Grupları
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Aktarılan Kişisel Veri Kategorileri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
(Varsa) Aktarılan Özel Nitelikli Kişisel Veri Kategorileri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Aktarımın Hukuki Sebebi
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Aktarım Sıklığı
(Örneğin, verilerin bir defaya mahsus veya sürekli olarak aktarılıp aktarılamayacağı)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
İşleme Faaliyetinin Niteliği
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Veri Aktarımının ve Devamında Gerçekleştirilecek İşleme Faaliyetinin Amaçları
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Kişisel Verileri Saklama Süresi
(Aktarılan kişisel verilerin saklama süresi belirtilir. Bu sürenin belirtilmesi mümkün değilse saklama süresini belirlemek için kullanılan kriterler açıklanır.)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
(Alt) Veri İşleyene Aktarımlarda İşleme Faaliyetinin Konusu, Niteliği ve Süresi
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Alıcılar veya Alıcı Grupları
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Veri Aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri
(Kayıt yükümlülüğünün bulunması hâlinde)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
EK II
TEKNİK VE İDARİ TEDBİRLER
(Özel nitelikli kişisel verilerin aktarılması hâlinde bu tür veriler bakımından alınan teknik ve idari tedbirler ayrıca belirtilir.)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
EK III
ALT VERİ İŞLEYENLER LİSTESİ
Veri sorumlusu aşağıdaki alt veri işleyenleri yetkilendirmiştir:
1. Adı:
Adres:
İrtibat Noktasının Adı, Ünvanı ve İletişim Bilgileri:
İşleme Faaliyetinin Detayları:
(Birden fazla alt veri işleyenin yetkilendirilmesi durumunda sorumluluklar açık bir şekilde belirtilir.)
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
……………………………………………………………………………………………… 2. ………………………………………………………………………………………………