KİŞİSEL VERİLERİN KORUNMASI VE VERİ GÜVENLİĞİ PROTOKOLÜ
KİŞİSEL VERİLERİN KORUNMASI VE VERİ GÜVENLİĞİ PROTOKOLÜ
İşbu Kişisel Verilerin Korunması ve Veri Güvenliği Protokolü (“Protokol”), İstanbul Ticaret Sicili’ne 180625-5 Sicil No. ile Kayıtlı Xxxxxxxxxxx Xxx. Xxxxxx Xxx. Xx:000/0 Xxxxxxx / Xxxxxxxx / Xxxxxxx adresinde mukim olan Art de Huile Aroma Terapi Hizmetleri Sanayi ve Ticaret Anonim Şirketi (“Art de Huile”) ile adresinde mukim olan
TC Kimlik Xx.xx / Mersis Xx.xx_ . (“Bayi” olarak anılacaktır) (Art de Huile ve Bayi tek tek “Taraf” ve birlikte “Taraflar” olarak anılacaktır) arasında imzalanan Bayilik Sözleşmesi (“Sözleşme”) kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) ilişkin Taraflar’ın taahhütlerini içermektedir.
1. Tanımlar
Alt İşleyici
“Kişisel Veri”: Taraflar arasında aktarılacak kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
“Özel Nitelikli Kişisel Veri”: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir (işbu Protokol kapsamında “Kişisel Veri” ve “Özel Nitelikli Kişisel Veri” birlikte “Kişisel Veri” olarak anılacaktır).
“İşleme”: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
“Alt İşleyici”: Xxxx tarafından görevlendirilmiş, akabinde Xxxx tarafından Sözleşme kapsamında paylaşılan Kişisel Veri’lerin işlenmesi hususunda yetkilendirilmiş ve her halükârda Bayi’nin talimatlarına uygun olarak veri işleyen kişidir.
“Kurul”: Kişisel Verileri Koruma Kurulu’dur.
“Veri Sahibi”: Kişisel Veri’si işlenen gerçek kişidir.
“Veri Sorumlusu”: Kişisel Veri’lerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
“Veri İşleyen”: Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veri’leri işleyen gerçek veya tüzel kişiyi ifade etmektedir.
“Veri Vakası”: aşağıda sayılan anlamların birini veya tümünü ifade etmektedir:
i. Kişisel Veri’nin arızi ve/veya hukuka aykırı bir şekilde yok edilmesi veya
kaybedilmesi;
ii. Kişisel Veri’nin yetkisiz ve/veya hukuka aykırı bir şekilde toplanması, kullanılması, kopyalanması, değiştirilmesi, ortadan kaldırılması, ifşa edilmesi veya erişilmesi veya bunlara benzer riskler ve;
iii. KVKK’da düzenlenmiş diğer tüm hukuka aykırı işleme yöntemleri ve ihlal teşkil
edecek durumlar.
2. Taahhütler
2.1 Sözleşme kapsamında Kişisel Veri, Taraflar arasında fiziksel ortamda ve/veya e-posta, sunucu (server), bulut (cloud) ortamları da dahil fakat bununla sınırlı kalmaksızın elektronik ortamda paylaşılabilecektir.
2.2 Bayi, Kişisel Veriler’i Sözleşme’de belirlenen amaçlar dışında hiçbir surette kullanmayacağını, işlemeyeceğini, arşivlemeyeceğini ve yurt içi veya yurt dışındaki üçüncü kişi veya kuruluşlara aktarmayacağını kabul, beyan ve taahhüt eder.
2.3 Bayi, Kişisel Veriler’e ilişkin olarak KVKK’da yer alan usul ve esaslara, ilgili düzenleyici işlemlere, ilgili mevzuatta yer verilen kişisel verilerin korunmasına dair hükümlere ve Kişisel Verileri Koruma Kurulu kararlarına uyacağını kabul, beyan ve taahhüt eder.
2.4 Kanunlarda saklamaya ilişkin yükümlülükler öngörülmesi hali saklı kalmak koşuluyla, Kişisel Veriler’in işlenme sebebinin ortadan kalkması ile birlikte Bayi, Art de Huile adına elde ettiği Kişisel Veriler’in kayıtlı bulunduğu her türlü medya ve ortamı ve kendi nezdindeki kayıtları silme ve yok etme yükümlülüğü altındadır. Bayi, KVKK’ya uygun bir biçimde Kişisel Veriler’in silinmesi, yok edilmesi, anonimleştirilmesi değiştirilmesi ve benzeri taleplerin Art de Huile tarafından kendisine iletilmesi halinde ilgili talepleri derhal yerine getireceğini kabul, beyan ve taahhüt eder.
2.5 Bayi, Sözleşme kapsamında elde ettiği Kişisel Veriler’e, çalışanları veya üçüncü kişiler tarafından hukuka aykırı bir şekilde erişilmesini ve ilgili verilerin aktarım amacı dışında hukuka aykırı olarak kullanılmasını önlemek üzere gerekli her türlü kurumsal, teknik ve idari tedbiri alacağını kabul, beyan ve taahhüt eder. Söz konusu tedbirler, Kişisel Veri’nin yeterli bir şekilde korunması için KVKK dahil ancak bununla sınırlı olmaksızın, asgari olarak uygulanabilir ulusal ve uluslararası mevzuat uyarınca öngörülen ve genel olarak geçerli kabul edilen korumayı sağlayacaktır.
2.6 Bayi’nin Art de Huile adına özel nitelikli kişisel veri elde etmesi durumunda, Bayi, KVKK’nın 6. maddesine, ilgili mevzuat hükümlerine ve Kişisel Verileri Koruma Kurulu kararlarına uygun olarak, özel nitelikli kişisel verilere özgü ek güvenlik önlemlerini alacağını kabul, beyan ve taahhüt eder.
2.7 Bayi, çalışanlarının ve varsa hizmet alınan taşeron çalışanlarının ve alt işleyici’lerinin Sözleşme kapsamında elde edeceği kişisel verilerin güvenliğini sağlamalarından sorumludur. Bayi, çalışanlarının veya varsa taşeron çalışanının ve Alt İşleyici’lerinin
faaliyetleri sonucu doğacak zararlardan sorumlu olduğunu ve Art de Huile nezdinde doğan her türlü zararı Art de Huile’nin talebi üzerinde derhal, nakden ve tamamen ödeyeceğini kabul, beyan ve taahhüt eder.
2.8 Bayi, Alt İşleyici’nin Kişisel Veri’ye erişimini, Bayi’nin Sözleşme kapsamındaki yükümlülüklerini yerine getirebilmesi adına gerekli olanla sınırlayacaktır ve Alt İşleyici’lerin Kişisel Veri’ye herhangi farklı bir sebepten dolayı erişimi yasaklanacaktır.
2.9 Bayi, tüm Alt İşleyici’lere yazılı bir şekilde ve en az işbu Protokol’ün, Sözleşme’nin ve KVKK dahil ancak bununla sınırlı olmaksızın uygulanabilir tüm mevzuat hükümleri kadar koruyucu olan sözleşmesel yükümlülükler getirecektir.
2.10 Bayi, işbu Protokol, Sözleşme ve KVKK dahil ancak bununla sınırlı olmaksızın uygulanabilir tüm mevzuat hükümleri kapsamında Bayi için getirilen tüm yükümlülüklerin, Alt İşleyici tarafından da yerine getirilmesini sağlayacak, işbu sayılanlara aykırı davranılması halinde ortaya çıkacak tüm zararlardan tamamen sorumlu olacak ve işbu zararları Art de Huile’nin ilk talebi üzerine derhal, nakden ve defaten tazmin edecektir.
2.11 Xxxx, çalışanlarının yetkisiz bir şekilde Kişisel Veri’yi işlemesini engelleyecektir. Aynı doğrultuda Bayi, çalışan veya Alt İşleyici’ye herhangi bir yazılım, veri tabanı ve sistemlerde erişim sağlanması halinde, söz konusu erişimin yetki matrisini özen ve ihtimam dahilinde belirleyeceğini; erişim yetkisi tanınan kişiye özel ve gizli bir şifre belirleyeceğini; oluşabilecek tüm siber saldırılara karşı alınacaklar dahil ancak bununla sınırlı olmaksızın yazılımın, veri tabanının ve sistemin güvenli bir şekilde kullanımı için gerekli tüm kurumsal, teknik ve idari tedbirleri alacağını kabul, beyan ve taahhüt etmektedir. Söz konusu tedbirler, Kişisel Veri’nin yeterli bir şekilde korunması için KVKK dahil ancak bununla sınırlı olmaksızın, asgari olarak uygulanabilir ulusal ve uluslararası mevzuat uyarınca öngörülen ve genel olarak geçerli kabul edilen korumayı sağlayacaktır.
2.12 Bayi, Kişisel Veri’ye erişimi olan tüm çalışanlarının, işledikleri Kişisel Veri’ye ilişkin koruma sorumluluklarını anlamaları adına uygun bir eğitim sürecinden geçmelerini temin edecektir.
2.13 Xxxx, doğrudan veya sair şekillerde dolaylı olarak kendisine iletilen, Art de Huile’yi ilgilendiren Veri Sahibi taleplerini derhal Art de Huile’ye iletileceğini ve bu kapsamda KVKK’ya uygun olarak hareket edeceğini kabul, beyan ve taahhüt eder.
2.14 Bayi, Kişisel Veri’leri, KVKK’nın 4. maddesinde yer alan; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işleme amaçlarıyla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak toplayacak veya işleyebilecektir.
2.15 Xxxx, kendisine Sözleşme kapsamında aktarılan/iletilen her türlü Kişisel Veri’lere hukuka aykırı olarak erişilmesini önlemek ve Kişisel Veri’lerin muhafazasını sağlamak
amacıyla Kişisel Veri’nin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almayı kabul, beyan ve taahhüt eder.
2.16 Bayi, Sözleşme kapsamında elde ettiği kişisel verilere ilişkin olarak veri işleyen sıfatıyla hareket ettiği durumlarda aşağıdakilere uygun davranacağını kabul, beyan ve taahhüt eder:
i. veri güvenliğinin sağlanmasına ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından önerilen veri güvenliğini sağlamaya yönelik önlemleri alacağını,
ii. veri güvenliğinin sağlanmasına ilişkin olarak Art de Huile’nin bizzat veya üçüncü bir kişi eliyle denetim hakkının bulunduğunu ve Art de Huile tarafından bu kapsamda denetim talebinde bulunulması durumunda söz konusu denetime izin vermeyi ve Art de Huile ile iş birliği içerisinde hareket edeceğini,
iii. süresiz sır saklama yükümlülüğüne tabi olacağını,
iv. herhangi bir veri işleme süreci ile ilgili olarak onay ve aydınlatma metinlerini ileride ispatı mümkün olacak şekilde ilgili kişilere sunacağını ve veri işleme süreçlerini varsa Art de Huile’nin önerileri doğrultusunda gerçekleştireceğini,
v. herhangi bir veri ihlali olması halinde bu durumu derhal Art de Huile’ye Veri
Vakası’nı bildirmekle yükümlü olacağını,
3. Veri Vakası Bildirimi
3.1 Bayi,
i. İşbu Protokol kapsamında elde edilmiş ve işlenecek olan her türlü Kişisel Veri’nin, söz konusu Kişisel Veri’yi işlemeye başlamadan önce, güvenliğini ve gizliliğini temin etmek adına elinden gelen en iyi çabayı göstereceğine ve işbu Protokol kapsamında elde edilmiş ve işlenecek olan herhangi bir Kişisel Veri’ye ilişkin olarak bir Veri Vakası ile karşılaşmamak adına uygun tüm teknik, kurumsal ve idari tedbirleri gerçekleştireceğini ve idame ettireceğini;
ii. sunulan hizmet kapsamında işlediği herhangi bir Kişisel Veri’yi etkileyen bir Veri Vakası’ndan haberdar olduğu takdirde Art de Huile’yi derhal ve en geç 12 saat içerisinde yazılı olarak:
a. Veri Vakası’nın niteliği ve eğer mümkün ise söz konusu Veri Vakası’ndan etkilenen Veri Sahibi kategorileri ve sayısı hakkında,
b. Veri Vakası’ndan etkilenen (veya etkilenebilecek olan) Kişisel Veri’ler ile söz konusu Kişisel Veri’lerin tahmini sayısı hakkında,
c. Veri Vakası’nın Kişisel Veri’ler ile Veri Sahibi kişiler üzerindeki kesinleşmiş ve tahmini neticeleri hakkında,
d. Kişisel Veri’leri Veri Vakası’nın olumsuz etkilerinden korumak, Veri Vakası’nın olumsuz etkilerini kısıtlamak, azaltmak veya gidermek adına almış olduğu ve alacağı tüm tedbirler hakkında ve
e. Art de Huile’ye yapmış olduğu Veri Vakası bildiriminin derhal akabinde sürekli olarak ulaşılabilir olacağı telefon numarası hakkında bilgilendireceğini;
iii. söz konusu Veri Vakası’nın olumsuz etkilerinin kısıtlanması, azaltılması veya giderilmesi adına ve söz konusu Veri Vakası’ndan kaynaklanan herhangi bir zararın en aza indirgenmesi adına derhal gerekli tüm adımları atacağını ve Alt İşleyici’nin de derhal gerekli tüm adımları atmasını sağlayacağını;
iv. Art de Huile’yi, Veri Vakası’nın olumsuz etkilerini kısıtlamak, azaltmak veya gidermek adına attığı tüm adımların gidişatıyla alakalı olarak düzenli aralıklarla bilgilendireceğini ve Art de Huile’nin talebi üzerine gerekli tüm diğer bilgileri de sağlayacağını ve iş birliği içerisinde hareket edeceğini ve Alt İşleyici’nin de işbirliği içerisinde hareket etmesini sağlayacağını;
v. Art de Huile’yi, Kişisel Veri’ye, Bayi ve/veya Veri İşleyen veya İşleyici tarafından işlendiği sırada, bir iflas hali veya tasfiye durumu veya üçüncü taraflarca alınan benzer tedbirler sırasında el konulması veya el konulma tehdidinin bulunması halinde ivedi bir şekilde bilgilendireceğini;
vi. Art de Huile’yi işbu Sözleşme kapsamında soru ve taleplerine mümkün olan en kısa sürede cevap vereceğini ve;
vii. Kurul’un Kişisel Veri’nin işlenmesine dair kararlarına ve görüşlerine uyacağını
kabul, beyan ve taahhüt etmektedir.
4. Denetim
Bayi, Art de Huile’ye, ulusal ve uluslararası düzeyde kabul edilebilir harici sertifikalar (örneğin ISO 27001:2013 vs.), denetleme raporları özetleri ve/veya Bayi’nin işbu Protokol’ün 2.5, 2.11 ve 3.1’inci maddelerinde geçen teknik, kurumsal ve idari tedbirlere yeterli ölçüde uyum sağladığını Art de Huile’ye teyit edebileceği diğer belgelerle sağlayabilecektir.
5. Bütünlük
İşbu Protokol, Sözleşme’nin ayırılmaz bir parçası olup, işbu Protokol’de belirlenmeyen konularda Sözleşme maddeleri geçerli olacaktır.
6. Uygulanacak Hukuk ve Uyuşmazlıkların Çözümü
İşbu Protokol, kanunlar ihtilafına bakılmaksızın, Türkiye Cumhuriyeti yasalarına göre yorumlanacak ve tatbik edilecektir. Protokol, Türk hukukuna tabi olacaktır. Protokol’den kaynaklanan ihtilaflarda İstanbul (Çağlayan) Mahkemeleri yetkilidir.
7. Öncelik
İşbu Protokol’ün uygulama alanına giren hallerde işbu Protokol’ün hükümleri ile Taraflar arasında yapılmış ve/veya yapılacak sözleşme hükümleri arasında ihtilaf çıktığında işbu Protokol hükümleri öncelikle uygulanır.
Taraflar, yedi (7) maddeden oluşan işbu Protokol’ü özgür iradeleri çerçevesinde
tarihinde iki (2) orijinal nüsha halinde imzalamıştır.
Bayi Adına | Art de Huile Adına |
Xxxx - Xxxxxxx: Unvan: | Xxxx - Xxxxxxx: Unvan: Art de Huile Aroma Terapi Hizmetleri Sanayi ve Ticaret Anonim Şirketi |
İmza: | İmza: |
Tarih: | Tarih: |