Veri Sorumlusundan Veri Sorumlusuna Aktarım

Konu              : 24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun (bundan sonra “6698 sayılı Kanun” olarak anılacaktır) 9 uncu maddesinin ikinci fıkrasının (b) bendi kapsamında kişisel verilerin yurtdışına aktarılmasında veri sorumlularının yapacağı yazılı taahhüt.

Kişisel verilerin Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna aktarımına ilişkin olarak, 6698 sayılı Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendine istinaden hazırlanacak sözleşmede aşağıdaki hususlara asgari olarak yer verilmesi zorunlu olup, bu sözleşme  hükümleri ile taraflar kişisel verilerin aktarımında kişisel verilerin korunması için gereken yeterli korumayı tesis edeceklerini taahhüt ederler.

Madde 1- Veri Aktaran Veri Sorumlusunun Yükümlülükleri

Veri Aktaran veri sorumlusu (bundan sonra “Veri Aktaran” olarak anılacaktır), aşağıda belirtilen yükümlülükleri yerine getirdiğini ve getireceğini taahhüt eder:

a) Kişisel veriler, 6698 sayılı Kanun ve ilgili diğer mevzuata uygun olarak işlenmiş ve aktarılmış olacaktır. 

b) Veri Aktaran; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalı ve Veri Alıcısı olan veri sorumlusu (bundan sonra “Veri Alıcısı” olarak anılacaktır) tarafından da bu tedbirlerin alındığından emin olmalıdır.

c) Veri Aktaran, Veri Alıcısına; aktarılan kişisel verilerin 6698 sayılı Kanun ile bu sözleşme hükümlerine uygun olarak işleneceğini bildirir.

d) Veri Aktaran, Veri Alıcısına, tabi olduğu 6698 sayılı Kanun ve ilgili diğer veri koruma düzenlemeleri hakkında bilgi verir. 

e) Veri Aktaran; Veri Alıcısına, aktarılan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede kendisine bildirmek zorunda olduğu hakkında bilgi verir. Veri Aktaran bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (bundan sonra “Kurul” olarak anılacaktır) bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

f) Veri Aktaran, Veri Alıcısından aldığı bildirimleri, ilgili mevzuat hükümleri çerçevesinde Kurula iletir.

g) Veri Aktaran, bu sözleşmede yer alan hükümlerin Veri Alıcısı tarafından yerine getirilmesi ile ilgili ortaya çıkan sorunlar hakkında en kısa sürede Kurula derhal bilgi verir.

h) Veri Aktaran; Veri Alıcısının, ilgili kişilerden ve Kuruldan gelen sorulara cevap vereceği konusunda anlaşmaya varılmış olmasına rağmen cevap vermesinin mümkün olmaması halinde, elinde bulunan tüm bilgi ve belgeler ışığında makul bir süre içerisinde ilgili kişi veya Kurula cevap verir. 

i) Veri Aktaran; Veri Alıcısının bu sözleşmede belirtilen yükümlülüklerini ihlâl etmesi halinde, söz konusu ihlâl düzeltilene dek veri aktarımını askıya alabilir ya da sözleşmeyi feshedebilir.

j) Veri Aktaran, veri aktarımının askıya alınması ya da sözleşmenin feshedilmesi halinde bu durumu en kısa sürede Kurula bildirir. 

k) Veri Aktaran; Veri Alıcısının, bu maddelerden doğan yükümlülüklerini yerine getirebilecek idari ve teknik yeterliliğe sahip olduğunu taahhüt eder. 

l) Veri Aktaran, 6698 sayılı Kanun gereğince veri aktarımına başlamadan önce,  bu taahhütnameyi Kurula onaylatır.

Madde 2- Veri Alıcısının Yükümlülükleri

Veri Alıcısı, aşağıda belirtilen yükümlülükleri yerine getirdiğini ve getireceğini taahhüt eder:

a) Veri Alıcısı; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alır.

b) Veri Alıcısı, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, (a) bendinde belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Veri işleyenler de dâhil olmak üzere Veri Alıcısının yetkisi altında faaliyet gösteren kişiler, kişisel verileri ancak ve sadece Veri Alıcısından aldıkları talimatlara uygun olarak işlemekle yükümlüdür. 

c) Veri Alıcısı; kişisel verileri 6698 sayılı Kanuna ve Veri Aktaranla arasındaki sözleşmeye uygun olarak işler, herhangi bir sebeple Kanuna ve sözleşmeye uygunluk sağlanamazsa, Veri Aktaranı konu ile ilgili derhal bilgilendirir. Bu durumda Veri Aktaranın veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.

d) Veri Alıcısı, sözleşmeye istinaden aktarılacak kişisel verilere ilişkin olarak, sözleşmeye aykırı herhangi bir ulusal düzenleme olmadığını kabul, beyan ve taahhüt eder. Sözleşme süresince Veri Alıcısının, sözleşmede yer alan taahhütlerini yerine getirmesini etkilemesi muhtemel bir mevzuat değişikliği yapılması hallerinde, durumu Veri Aktarana derhal bildirir ve bu durumda Veri Aktaranın veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.

e) Veri Alıcısı; aktarılan kişisel verilere ilişkin olarak adli bir makamdan gelen talepleri, derhal Veri Aktarana bildirir. Bu durumda Veri Aktaranın talebin niteliğine göre sözleşmeyi askıya alma veya feshetme hakkına sahip olacağını kabul eder.

f) Veri Alıcısı, sözleşme kapsamında Veri Aktarandan gelen soruları mümkün olan en kısa sürede usulüne uygun olarak cevaplandırır ve aktarıma konu kişisel verilerin işlenmesi hususunda Kurulun karar ve görüşlerine uyar.

g) Veri Alıcısı, Veri Aktaranın, taahhüt ve yükümlülüklerin yerine getirilip getirilmediğine yönelik denetim yapma ve yaptırma yetkisine sahip olduğunu kabul eder ve bu yönde gerekli kolaylığı sağlar.

h) Veri Alıcısı; bu sözleşmenin feshedilmesi veya yürürlük süresinin sona ermesi halinde, Veri Aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte Veri Aktarana geri göndereceğini ya da kişisel verileri tamamen yok edeceğini, mevzuatta Veri Alıcısının bu yükümlülüğü yerine getirmesini engelleyen hükümler varsa, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli idari ve teknik tedbirleri alacağını ve veri işleme faaliyetini durduracağını kabul eder. 

i) Veri Alıcısı, bu maddelerden doğan yükümlülüklerini yerine getirebilecek idari ve teknik yeterliliğe sahip olduğunu kabul eder. 

j) Veri Alıcısı sözleşme konusu hizmeti ifa ederken, sözleşmeye konu kişisel verileri, bir alt işverene aktarması gereken hallerde, Veri Aktaranı ispat edilebilir şekilde bilgilendirmeli ve onayını almalıdır. Veri Alıcısının alt işveren ile yapacağı sözleşmenin, asgari olarak Veri Aktaran ile Veri Alıcısı arasındaki sözleşme ve bu taahhütnamedeki hükümleri içermesi şarttır.

Madde 3- Ortak Hükümler

  1. Veri Aktaran ve Veri Alıcısı, işledikleri kişisel verileri, 6698 sayılı Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.
  2.  Veri Aktaran ve Veri Alıcısı için bu yükümlülük herhangi bir süre ile sınırlı değildir.
     

Veri Aktaran adına:

Ad Soyad:      

Açık Adres:

İrtibat Numarası:

E-posta:          

(Varsa sözleşmenin bağlayıcı olması için

 belirtilmesi gereken diğer bilgiler.) 

İmza/Kaşe

Veri Alıcısı adına:

Ad Soyad:      

Açık Adres:    

İrtibat Numarası:

E-posta:

(Varsa sözleşmenin bağlayıcı olması için

 belirtilmesi gereken diğer bilgiler.) 

İmza/Kaşe

EK 1

(Taraflarca doldurulacaktır)

Veri konusu kişi grubu ve grupları 
Aktarılan kişisel veriler, aşağıda belirtilen kişi grubu ve grupları (örneğin; çalışan verisi, müşteri verisi gibi) ile ilgilidir:
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Veri kategorileri
Aktarılan kişisel veriler, aşağıda belirtilen veri kategorileri (kişisel veri veya özel nitelikli kişisel veri) ile ilgilidir:
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Veri aktarımının amaçları
Veri aktarımı, aşağıda belirtilen amaçlarla yapılmaktadır:
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Veri aktarımının hukuki sebebi ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..

Alıcı ve alıcı grupları
Aktarılan kişisel veriler, sadece aşağıda belirtilen alıcılarla paylaşılabilir. 
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Veri Alıcısı tarafından alınacak teknik ve idari tedbirler

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Özel Nitelikli Kişisel veriler için alınan ek önlemler 
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Veri Aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri 

(Kayıt yükümlülüğünün bulunması halinde) ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Ek faydalı bilgiler 

(Saklama süreleri ve ilgili diğer bilgiler)
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

İrtibat kişisi iletişim bilgileri

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………