(a) Bu standart sözleşmenin amacı, kişisel verilerin yurt dışına aktarılmasında 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “Kanun” olarak anılacaktır) ile 10/7/2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (bundan sonra “Yönetmelik” olarak anılacaktır) hükümlerine riayet edilmesini sağlamaktır. 

(b) Kişisel verileri yurt dışına aktaran veri sorumlusu (bundan sonra “veri aktaran” olarak anılacaktır) ve veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu (bundan sonra “veri alıcısı” olarak anılacaktır) bu standart sözleşmeyi (bundan sonra “Sözleşme” olarak anılacaktır) kabul etmişlerdir. 

(c) Bu Sözleşme, Ek I’de detaylarına yer verilen yurt dışına kişisel veri aktarımı ile ilgili olarak uygulanır. 

(d) Bu Sözleşmenin ekleri (bundan sonra “Ekler” olarak anılacaktır), bu Sözleşmenin ayrılmaz bir parçasını oluşturur.

(a) Herhangi bir ekleme, çıkarma veya değişiklik yapılmaması kaydıyla bu Sözleşme, Kanunun 9 uncu maddesinin dördüncü fıkrası ve Yönetmelik uyarınca ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması dahil olmak üzere kişisel verilerin yurt dışına aktarılmasında sağlanacak uygun güvenceleri öngörür. 

(b) Bu Sözleşme; Kanun, Yönetmelik ve ilgili diğer mevzuat uyarınca veri aktaranın tabi olduğu yükümlülüklere halel getirmez.

(a) İlgili kişiler, aşağıdaki istisnalar dışında, üçüncü taraf yararlanıcı olarak bu Sözleşme hükümlerini veri aktarana ve/veya veri alıcısına karşı ileri sürebilir: 

(i) Madde 1, Madde 2, Madde 3 ve Madde 6.

(ii) Madde 7.5(e) ve Madde 7.9 (b).

(iii) Madde 10(a) ve (d).

(iv) Madde 11.

(b) (a) fıkrası, ilgili kişilerin Kanun kapsamındaki haklarına halel getirmez.

(a) Kanun, Yönetmelik ve ilgili diğer mevzuatta yer alan terimlerin, bu Sözleşmede kullanıldığı durumlarda ilgili düzenlemede yer alan tanım geçerlidir. 

(b) Bu Sözleşme; Kanun, Yönetmelik ve ilgili diğer mevzuata uygun olarak yorumlanır. 

(c) Bu Sözleşme; Kanun, Yönetmelik ve ilgili diğer mevzuatta öngörülen hak ve yükümlülüklerle çelişecek şekilde yorumlanamaz.

Bu Sözleşmenin hükümleri ile Taraflar arasında bu Sözleşmenin kabul edildiği tarihte var olan veya daha sonra yürürlüğe giren ilgili diğer sözleşmelerin hükümleri arasında bir çelişki olması durumunda bu Sözleşme hükümleri uygulanır.

Aktarıma konu kişisel veri kategorileri, aktarımın hukuki sebebi ve aktarımın amacı veya amaçları başta olmak üzere bu Sözleşme çerçevesinde gerçekleştirilecek yurt dışına kişisel veri aktarımının detayları, Ek I’de belirtildiği şekildedir.

Veri aktaran; veri alıcısının, uygun teknik ve idari tedbirleri almak suretiyle bu Sözleşmeden doğan yükümlülüklerini yerine getirebilecek yeterliliğe sahip olduğunu belirlemek için makul çabayı gösterdiğini taahhüt eder.

Veri alıcısı, kişisel verileri Ek I’de belirtilen amaçla/amaçlarla bağlantılı, sınırlı ve ölçülü olarak işler.

(a) Taraflardan her biri, kişisel verilerin doğru olmasını ve gerektiğinde güncel tutulmasını sağlar. Veri alıcısı, işleme amacını/amaçlarını göz önünde bulundurarak; yanlış olan kişisel verilerin imha edilmesini veya düzeltilmesini sağlamak için makul adımları gecikmeksizin atar. 

(b) Taraflardan her biri, aktarılan kişisel verilerin yanlış olduğunu veya güncelliğini yitirdiğini fark ederse gecikmeksizin diğer Tarafı bilgilendirir.

Veri alıcısı, kişisel verileri yalnızca işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Veri alıcısı; bu yükümlülüğü yerine getirmek amacıyla, kişisel verilerin ve tüm yedeklerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

(a) Veri alıcısı, Madde 8 uyarınca haklarını etkin bir şekilde kullanabilmelerini sağlamak için doğrudan veya veri aktaran aracılığıyla ilgili kişilere; 

(i) Kimliği ve iletişim bilgileri, 

(ii) İşlenen kişisel veri kategorileri,

(iii) Bu Sözleşmenin bir örneğini alma hakkı,

(iv) Kişisel verilerin üçüncü bir tarafa veya taraflara aktarılabileceği durumlarda; alıcı veya alıcı grupları ve bu tür bir sonraki aktarımın amacı ile Madde 7.7 uyarınca dayanağı, konusunda bilgi vermekle yükümlüdür. 

(b) Taraflar; talep üzerine, kendileri tarafından doldurulan Ekler de dahil olmak üzere bu Sözleşmenin bir nüshasını ilgili kişiye ücretsiz olarak sağlar. Kişisel veriler de dahil olmak üzere ticari sırların veya diğer gizli bilgilerin korunması için gerekli olduğu ölçüde, Taraflar ilgili kişiyle paylaşacakları nüshada yer verilen Ekler üzerinde değişiklik yaparak metnin bir kısmını çıkarabilirler. Ancak, aksi durumda içeriğin anlaşılamayacağı veya ilgili kişi haklarının kullanılamayacağı hâllerde Taraflar ilgili kişiye anlamlı bir özet sunar. Taraflar, talep üzerine, mümkün olduğu ölçüde, çıkarılan bilgileri açıklamaksızın ilgili kişiye yapılan değişikliklerin nedenlerini bildirir.

(c) Veri aktaranın Kanunun 10 uncu maddesi ve 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamındaki yükümlülükleri saklıdır.

(a) Veri alıcısı ve aktarım aşamasında veri aktaran; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ve kişisel verilerin sehven kaybını, yok edilmesini veya zarar görmesini önlemek amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu tedbirlerin belirlenmesinde; teknolojik gelişmişlik düzeyi, uygulama maliyeti, kişisel veri işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçları ve ilgili kişilerin temel hak ve özgürlüklerine karşı ortaya çıkabilecek riskler göz önünde bulundurulur. 

(b) Taraflar, Ek II’de belirtilen teknik ve idari tedbirlerin alınması hususunda anlaşmıştır. Veri alıcısı; Ek II’de belirtilen teknik ve idari tedbirlerin yeterli güvenlik düzeyini sağlamaya devam ettiğini teyit etmek için düzenli kontroller gerçekleştirir.

(c) Veri alıcısı, kişisel verilere erişim hususunda yetkilendirmiş olduğu gerçek kişilerin, öğrendikleri kişisel verileri bu Sözleşmeye aykırı olarak üçüncü taraflara açıklamamasını ve işleme amacı dışında kullanmamasını sağlar.

(d) Bu Sözleşme çerçevesinde veri alıcısı tarafından işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu kişisel veri ihlalini ve bu ihlalin muhtemel olumsuz etkilerini gidermek amacıyla gerekli tedbirleri alır. 

(e) Bu Sözleşme çerçevesinde veri alıcısı tarafından işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu durumu gecikmeksizin ve en geç 72 saat içinde veri aktarana ve Kişisel Verileri Koruma Kurulu’na (bundan sonra “Kurul” olarak anılacaktır) bildirir. Söz konusu bildirim Kurul tarafından belirlenip Kişisel Verileri Koruma Kurumu’nun (bundan sonra “Kurum” olarak anılacaktır) resmî internet sitesinde ilan edilen “Veri İhlali Bildirim Formu” kullanılarak yapılır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hâllerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanır.

(f) Bu Sözleşme çerçevesinde veri alıcısı tarafından işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu durumu ilgili kişiye bildirir. Veri alıcısı tarafından ilgili kişiye yapılacak olan ihlal bildirimi açık ve sade bir dille yapılır ve asgari olarak; 

1. Kişisel veri ihlalinin ne zaman gerçekleştiği,

2. Kişisel veri kategorileri bazında (kişisel veri/özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,

3. Kişisel veri ihlalinin olası sonuçları,

4. Kişisel veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,

5. İlgili kişilerin kişisel veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları veya veri alıcısının web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarını içerir.

(g) Veri alıcısı; veri ihlaline ilişkin bilgileri, ihlalin etkilerini ve alınan önlemleri kayıt altına alır ve Kurul’un incelemesine hazır hâlde bulundurur.

(a) Veri alıcısı, özel nitelikli kişisel verilerin hassas niteliğine uygun olarak ilave teknik ve idari tedbirleri alır.

(b) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

(a) Veri alıcısına aktarılan kişisel veriler, veri alıcısı tarafından yurt dışında (veri alıcısı ile aynı ülkede veya başka bir ülkede) yerleşik üçüncü bir tarafa ancak aşağıdaki hâllerde aktarılabilir: 

(i) Sonraki aktarımın Kanunun 9 uncu maddesinin birinci fıkrası uyarınca hakkında yeterlilik kararı verilen bir ülkeye yapılması. 

(ii) Sonraki aktarımın yapılacağı üçüncü tarafın Kanunun 9 uncu maddesinin dördüncü fıkrasında düzenlenen uygun güvencelerden birini sağlaması.

Belirli idari veya yargısal süreçler bağlamında bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

(iii) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

(iv) Yukarıdaki hâllerin yokluğunda aktarımın amacı/amaçları, sonraki aktarımın yapılacağı üçüncü tarafın kimliği ve uygun veri koruma güvencelerinin bulunmaması nedeniyle bu tür bir aktarımın muhtemel riskleri hakkında bilgilendirilmesi kaydıyla veri alıcısı tarafından sonraki aktarım için ilgili kişinin açık rızasının alınması ile veri alıcısının veri aktaranı bilgilendirmesi ve ilgili kişiye sağlanan bilgilerin bir örneğini talebi hâlinde veri aktarana iletmesi.

(b) Herhangi bir sonraki aktarımda veri alıcısı, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi başta olmak üzere bu Sözleşme kapsamındaki diğer tüm güvencelere uygun hareket etmekle yükümlüdür. 

(c) Bu Sözleşmenin Kurum’a bildirilmesinden önce, sonraki aktarım yapılacak alıcıların belirli olması durumunda bu alıcılar veya alıcı grupları Ek I’de belirtilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, sonraki aktarım yapılacak alıcılarda veya alıcı gruplarında değişiklik olması hâlinde Ek I güncellenir ve bu durum Kurum’a bildirilir.

Veri alıcısı, veri işleyenler de dâhil olmak üzere yetkisi altında faaliyet gösteren kişilerin, kişisel verileri ancak ve sadece kendisinden aldıkları talimatlara uygun olarak işlemesini sağlar.

(a) Her bir Taraf, bu Sözleşme kapsamındaki yükümlülüklerine uyum sağladığını gösterebilmelidir. Veri alıcısı, kendi sorumluluğu altında yürütülen işleme faaliyetlerine ilişkin bilgi, belge ve kayıtları tutmak ve saklamakla yükümlüdür.

(b) Veri alıcısı, talep üzerine bu tür belgeleri Kurul’a sunar.

(a) Veri alıcısı, gerektiğinde veri aktarandan yardım alarak, kişisel verilerinin işlenmesine ve bu Sözleşmede yer alan haklarını kullanabilmesine ilişkin olarak ilgili kişiden gelen soru ve talepleri karşılamak için soru veya talebin alınmasından itibaren en geç otuz gün içinde yanıt verir. Veri alıcısı, bu sorulara ve taleplere yanıt vermek ve ilgili kişi haklarının kullanılmasını temin etmek için uygun tedbirleri alır. İlgili kişiye sağlanan her türlü bilgi, anlaşılabilir ve kolayca erişilebilir olmalı ve bilgilendirmede açık ve sade bir dil kullanılmalıdır.

(b) İlgili kişi veri alıcısına başvurarak, özellikle kendisiyle ilgili;

(i) Kişisel veri işlenip işlenmediğini öğrenme, 

(ii) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme ve Ek I’deki bilgilerin bir nüshasının sağlanmasını isteme,

(iii) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

(iv) Kişisel verilerin aktarıldığı üçüncü kişileri ve Madde 7.7 uyarınca sonraki aktarımın dayanağını bilme,

(v) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

(vi) Madde 7.3 çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 

(vii) (v) ve (vi) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(viii) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(ix) Kişisel verilerin bu Sözleşmeye aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,haklarına sahiptir.

(c) Veri alıcısı, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Söz konusu cevapta ilgili kişi, Madde 9(c) uyarınca Kurul’a şikâyette bulunma hakkı olduğu hususunda bilgilendirilir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri alıcısı tarafından gereği yerine getirilir.

(d) Veri alıcısı, ilgili kişinin talebini ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücreti alabilir. Talebin kendi hatasından kaynaklanması hâlinde veri alıcısı, alınan ücreti ilgili kişiye iade eder.

(a) İlgili kişi ile veri alıcısı arasında bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarına ilişkin olarak bir uyuşmazlığın doğması durumunda ilgili kişi, bu konuya ilişkin taleplerini veri alıcısına iletebilir. Veri alıcısı, şeffaf ve kolay erişilebilir bir formatta, ilgili kişilere bizzat bildirimde bulunarak veya internet sitesinde yayımlayarak taleplerini sonuçlandırmak için yetkilendirilmiş bir irtibat noktası hususunda ilgili kişileri bilgilendirir. Veri alıcısı, ilgili kişilerin taleplerini gecikmeksizin ele alır. 

(b) İlgili kişi ile Taraflardan biri arasında bu Sözleşmeye uygunluk konusunda bir uyuşmazlığın ortaya çıkması durumunda, ilgili Taraf sorunu dostane bir şekilde ve mümkün olan en kısa süre içinde çözmek için elinden gelen çabayı gösterir. Taraflar, bu tür uyuşmazlıklar hakkında birbirini bilgilendirir ve bunların çözümünü sağlamada uygun olduğu ölçüde iş birliği yapar.

(c) İlgili kişinin Madde 3 uyarınca bir üçüncü taraf yararlanıcı hakkına başvurması durumunda, veri alıcısı ilgili kişinin Kurul’a şikâyette bulunma ve Madde 17 kapsamında görevli ve yetkili mahkemelere başvurma hakkına sahip olduğunu kabul eder.

(d) Veri alıcısı, Türk hukukuna göre bağlayıcı olan kararlara uyacağını taahhüt eder.

(e) Veri alıcısı, ilgili kişi tarafından yukarıda belirtilen hak arama yöntemlerinden birine başvurulmasının, ilgili kişinin meri mevzuata göre ileri sürebileceği diğer haklara halel getirmeyeceğini kabul eder.

(a) Taraflardan her biri, bu Sözleşmenin herhangi bir şekilde ihlal edilmesiyle ortaya çıkan zararlardan diğer Tarafa karşı sorumludur.

(b) Taraflardan her biri ilgili kişiye karşı sorumludur. İlgili kişi, Tarafların bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarını ihlal ederek ilgili kişiye verdiği maddi veya manevi zararlar için tazminat alma hakkına sahiptir. Bu durum, veri aktaranın Kanun kapsamındaki sorumluluğuna halel getirmez.

(c) Bu Sözleşmenin ihlali sonucunda ilgili kişiye verilen herhangi bir zarardan her iki Tarafın sorumlu olduğu durumlarda, Tarafların ikisi de ilgili kişiye karşı müteselsilen sorumludur ve ilgili kişi bu Taraflardan herhangi birine karşı yargı yoluna başvurma hakkına sahiptir.

(d) Taraflardan birinin (c) fıkrası uyarınca ilgili kişinin zararını tamamıyla tazmin etmesi durumunda, kusuru oranında diğer tarafa rücu etme hakkı saklıdır.

(e) Veri alıcısı, veri işleyenin veya alt veri işleyenin kusurlu olduğunu öne sürerek sorumluluktan kurtulamaz.

Veri alıcısı, bu Sözleşmeye uyumu sağlamaya yönelik her türlü iş ve işlemde Kurum’la iş birliği yapmayı, Kurul’un yetkisine tabi olmayı ve Kurul tarafından verilen kararları yerine getirmeyi kabul eder. Veri alıcısı özellikle, Kurul’un inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri göndermeyi, gerektiğinde yerinde inceleme yapılmasına imkân sağlamayı ve tespit edilen hukuka aykırılıkların giderilmesi için Kurul tarafından verilen talimatlara uymayı kabul eder. Söz konusu talimatların yerine getirildiğine dair tevsik edici bilgi ve belgeleri Kurul’a gönderir.

Veri alıcısı, bu Sözleşme kapsamında aktarılacak kişisel verilere ilişkin olarak, bu Sözleşmeye aykırı herhangi bir ulusal düzenleme veya uygulama olmadığını kabul, beyan ve taahhüt eder. Bu Sözleşme süresince veri alıcısının, bu Sözleşmede yer alan taahhütlerini yerine getirmesini etkilemesi muhtemel bir mevzuat veya uygulama değişikliği olması hâlinde durumu veri aktarana derhâl bildirir ve bu durumda veri aktaranın veri aktarımını askıya alma veya bu Sözleşmeyi feshetme hakkına sahip olacağını kabul eder.

Veri alıcısı; bu Sözleşme kapsamında aktarılan kişisel verilere ilişkin olarak idari veya adli bir makamdan gelen talepler hususunda veya bu Sözleşme kapsamında aktarılan kişisel verilere idari veya adli bir makamın doğrudan erişiminden haberdar olması hâlinde derhâl veri aktarana bildirimde bulunur. Bu durumda veri aktaranın, talebin veya erişimin niteliğine göre veri aktarımını askıya alma veya bu Sözleşmeyi feshetme hakkına sahip olacağını kabul eder.

(a) Veri alıcısı, her ne sebeple olursa olsun bu Sözleşmeye uygunluk sağlayamaması hâlinde, veri aktaranı derhâl bilgilendirir.

(b) Veri alıcısının bu Sözleşmeyi ihlal etmesi veya bu Sözleşmeye uygunluk sağlayamaması hâlinde, veri aktaran uygunluk tekrar sağlanıncaya veya Sözleşme sona erdirilene kadar kişisel verilerin veri alıcısına aktarılmasını askıya alır. Madde 12 ve Madde 13 hükümleri saklıdır.

(c) Veri aktaran, bu Sözleşme kapsamında kişisel verilerin işlenmesiyle ilgili olduğu ölçüde aşağıdaki durumlarda sözleşmeyi feshetme hakkına sahiptir:

(i) Veri aktaranın, (b) fıkrası uyarınca kişisel verilerin veri alıcısına aktarılmasını askıya almış olması ve makul bir süre içinde ve her durumda askıya almadan itibaren bir ay içinde bu Sözleşmeye uygunluk sağlanmaması. 

(ii) Veri alıcısının bu Sözleşmeyi önemli ölçüde veya sürekli olarak ihlal etmesi. 

(iii) Veri alıcısının, bu Sözleşme kapsamındaki yükümlülüklerine ilişkin olarak yetkili mahkemenin veya Kurul’un kararlarını yerine getirmemesi.

Bu durumlarda, veri aktaran Kurul’u bilgilendirir.

(d) (c) fıkrası kapsamında sözleşmenin feshedilmesi hâlinde veri alıcısı, veri aktaranın tercihine bağlı olarak; aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri gönderir veya kişisel verileri tamamen yok eder. Veri alıcısı, mevzuatta bu yükümlülüğü yerine getirmesini engelleyen hükümler yer alıyor olsa bile bu Sözleşmeye uyum sağlamaya devam edeceğini, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli teknik ve idari tedbirleri alacağını ve yalnızca mevzuatın gerektirdiği ölçü ve süre boyunca işleme faaliyetine devam edeceğini taahhüt eder. Veri alıcısı, verilerin yok edildiğini veri aktaran için belgelendirir. Veriler geri gönderilene veya tamamen yok edilene kadar, veri alıcısı bu Sözleşmeye uyum sağlamaya devam eder.

Veri aktaran bu Sözleşmeyi, imzaların tamamlanmasından itibaren beş iş günü içinde Kurum’a bildirir.

Bu Sözleşme, Türk hukukuna tabidir.

(a) Bu Sözleşmeden kaynaklanan herhangi bir uyuşmazlık, Türk mahkemeleri tarafından görülür. 

(b) Görev ve yetki bakımından genel hükümler uygulanır.

(c) Taraflar, Türk mahkemelerinin yargı yetkisini tanımayı kabul eder. 

Veri Aktaran, İş Hizmetleri Şartlarını kabul eden birey ile bu bireyin adına hareket ettiği herhangi bir tüzel kişi olup, adı, adresi ve iletişim bilgileri İş Hizmetleri aracılığıyla Snap'e sağlanmaktadır.

Snap, Inc.

Adres / Address:

3000 31st Street, Santa Monica, California 90405

Bu Sözleşme kapsamında aktarılan verilere ilişkin faaliyetler, Veri Alıcısı’nın İş Hizmetleri (İş Hizmetleri Şartları ve geçerli Ek Şartlar ve Politikalar çerçevesinde tanımlandığı şekilde ve bu şartlara uygun olarak) kullanımını içermektedir. 

İşbu Sözleşme kapsamında aktarılan verilere ilişkin faaliyetler, Veri Alıcısı’nın Hizmetlerinin İş Hizmetleri Şartları ve geçerli Ek Şartlar ve Politikalar uyarınca sağlanmasını içermektedir.

İlgili Kişiler, Veri Aktaran tarafından (veya onun talimatıyla) İş Hizmetleri aracılığıyla Veri Alıcısı’na kişisel verileri sağlanan Türk bireylerini kapsamaktadır.  

Müşteri Kişisel Verileri, Veri Aktaran tarafından (veya onun talimatıyla) İş Hizmetleri aracılığıyla Snap'e sağlanan, bireylere ilişkin veriler olup bu veriler şunları içerebilir: 

• e-posta adresi

• telefon numarası

• mobil reklam kimliği (IDFA/AAID)

• IP adresi

• çerez kimliği

• tarayıcı kullanıcı aracısı

• web siteleri ve uygulamalarda gerçekleştirilen sayfa görüntüleme, satın alma, arama, ödeme, istek listesi, kurulum ve kullanıcı kaydı yöntemleri gibi işlemler ve olaylar

Uygulanabilir değildir. 

Veri Aktaran tarafından karar verilen hukuki sebeptir. 

(Örneğin, verilerin bir defaya mahsus veya sürekli olarak aktarılıp aktarılamayacağı)

Aktarım süreklilik arz etmektedir.

Aktarılan kişisel verilere ilişkin işleme faaliyetinin nitelikleri aşağıdaki şekildedir:

Veri paylaşımı, İş Hizmetleri Şartları ile Ek Şartlar ve Politikalar uyarınca ve bu belgelerde belirtildiği şekilde Hizmetlerin sağlanması amacıyla gerçekleştirilmektedir.

Veri paylaşımı, İş Hizmetleri Şartları ile Ek Şartlar ve Politikalar uyarınca ve bu belgelerde belirtildiği şekilde Hizmetlerin sağlanması amacıyla gerçekleştirilmektedir.

(Aktarılan kişisel verilerin saklama süresi belirtilir. Bu sürenin belirtilmesi mümkün değilse saklama süresini belirlemek için kullanılan kriterler açıklanır.)

İşbu Sözleşme süresi boyunca ve Sözleşme koşullarının sona ermesinden itibaren, işbu Sözleşme uyarınca verilerin anonimleştirilmesi, iade edilmesi veya silinmesine kadar geçen süre boyunca. 

Veri Alıcısı’nın iştirakleri, bağlı ortaklıkları ve hizmet sağlayıcıları 

(Kayıt yükümlülüğünün bulunması hâlinde)

Veri Aktaran’ın belirttiği şekildedir.

(Özel nitelikli kişisel verilerin aktarılması hâlinde bu tür veriler bakımından alınan teknik ve idari tedbirler ayrıca belirtilir.)

1. Yerleşik sektör standartlarıyla uyumlu ve Müşteri Kişisel Verilerinin niteliğine uygun idari, teknik ve fiziki koruma tedbirlerini içeren ve bu bilgileri aşağıda belirtilenlerden korumak için tasarlanmış yazılı bir bilgi güvenliği programının hayata geçirilmesi ve bu programa uyulması: yetkisiz erişim, imha, kullanım, değişiklik veya ifşa; veri sorumlusuna, veri sorumlusunun müşterilerine veya veri sorumlusunun çalışanlarına önemli ölçüde zarar veya rahatsızlık verebilecek yetkisiz erişim veya kullanım; ve bu bilgilerin güvenliğine veya bütünlüğüne yönelik öngörülen tehditler veya tehlikeler.

2. Güvenlikle ilgili makul politika ve standartların benimsenmesi ve uygulanması.

3. Bilgi güvenliği yönetimi için sorumluluk atanması.

4. Bilgi güvenliği için yeterli personel kaynağının ayrılması.

5. Müşteri Kişisel Verilerine erişimi olacak daimi personelin doğrulama kontrollerinin yapılması.

6.  Müşteri Kişisel Verilerine erişimi olan çalışanlar, tedarikçiler ve diğer kişilerin uygun geçmiş kontrollerinin yapılması ve yazılı gizlilik sözleşmelerine tabi tutulması.

7. Çalışanları ve Müşteri Kişisel Verilerine erişimi olan diğer kişileri bilgi güvenliği riskleri konusunda bilinçlendirmek ve Snap'in veri koruma ile ilgili politikalarına ve standartlarına uyumu artırmak için eğitim verilmesi.

8. Uygun şekilde fiziksel ve mantıksal (şifreler) giriş kontrolleri, veri işleme için güvenli alanlar, veri işleme tesislerinin kullanımını izleme prosedürleri, yerleşik sistem denetim izleri, güvenli şifrelerin kullanımı, ağ saldırı tespit teknolojisi, şifreleme ve kimlik doğrulama teknolojisi, güvenli oturum açma prosedürleri ve virüs koruması kullanarak Müşteri Kişisel Verilerine yetkisiz erişimin önlenmesi, Snap'in veri korumayla ilgili politika ve standartlarına uygunluğun sürekli olarak izlenmesi. Snap, özellikle, uygun olduğu şekilde ve herhangi bir sınırlama olmaksızın aşağıdakileri hayata geçirmiştir ve bunlarla uyumlu hareket etmektedir:

• Veri işleme sistemlerine yetkisiz erişimi önlemek için fiziksel erişim kontrol önlemleri (örneğin, erişim kimlik kartları, kart okuyucular, danışma görevlileri, alarm sistemleri, hareket dedektörleri, hırsız alarmları, video gözetimi ve dış güvenlik);

• Veri koruma sistemlerinin yetkisiz kullanımını önlemek için kullanım engelleme kontrol önlemleri (örneğin, otomatik olarak zorlanan şifre karmaşıklığı ve değişim gereksinimleri ile güvenlik duvarları);

• Bir veri işleme sistemini kullanma hakkına sahip kişilerin yalnızca erişim hakkına sahip oldukları verilere erişebilmelerini ve Müşteri Kişisel Verilerinin yetkisiz olarak okunamamasını, kopyalanamamasını, değiştirilememesini veya kaldırılamamasını sağlamak için gereksinimlere dayalı yetkilendirme şeması ve erişim hakları ve sistem erişiminin izlenmesi ve günlüğe kaydedilmesi;

• Müşteri Kişisel Verilerinin elektronik iletim, taşıma veya veri ortamında saklama ve kayıtların aktarılması ve alınması sırasında yetkisiz olarak okunamamasını, kopyalanamamasını, değiştirilememesini veya kaldırılamamasını sağlamak için veri iletimi kontrol önlemleri. Özellikle, Snap'in bilgi güvenliği programı aşağıdaki şekilde tasarlanacaktır:

  • Özel nitelikli kişisel veriler de dahil olmak üzere Snap'in elindeki tüm veri setlerini, AES -256 da dahil olmak üzere sektörün önde gelen şifreleme standartlarına dayalı uygun şifreleme düzeylerini kullanarak depolamada şifrelemek ve gerçek kullanıcı kimliğinin depolanmasını önlemek için ghost_id gibi anahtar değer çifti kullanarak kullanıcı kimliklerinin sistemde depolanması; ve

  • Snap'in BT sistemi dışındaki bir kişiye elektronik olarak (faks dışında) iletilen veya herkese açık bir ağ üzerinden iletilen özel nitelikli kişisel verilerin, iletimin güvenliğini korumak için TLS 1.2 protokolünün desteklenen en yeni sürümleri kullanılarak şifrelenmesini sağlamak;

• Snap'in Müşteri Kişisel Verilerinin veri işleme sistemlerine girilip girilmediğini ve kim tarafından girildiğini, değiştirilip değiştirilmediğini veya kaldırılıp kaldırılmadığını kontrol edebilmesini ve belirleyebilmesini sağlamak için veri girişi kontrol önlemleri;

• Bilgi güvenliği uygulamalarının ilgili, etkili ve güncel kalmasını sağlamak için yıllık sızma testleri, yazılım hatası bulma ödül programı, sistem tarama araçlarının kullanımı, masa başı tatbikatları, yedekleme geri yükleme testleri, üretim öncesi yük devretme ve ilgili felaket kurtarma planlarını güncellemek için herhangi bir gerçek olay üzerinde inceleme yapılması dahil olmak üzere sürekli güvenlik testi önlemleri;

• Snap'in alt işleyenleri kullanmasına izin verilmesi halinde, Müşteri Kişisel Verilerinin uygun olduğu şekilde veri sorumlusunun talimatlarına uygun olarak işlenmesini sağlamak için alt veri işleyen denetim önlemleri:

  • Müşteri Kişisel Verilerinin kazara tahrip edilmesi veya kaybolması gibi durumlardan korunmasını sağlamak için, uygun görüldüğü  şekilde ve sınırlama olmaksızın, veri yedekleme, veri saklama ve güvenli imha politikaları; afet kurtarma için yeterli güvenli dış depolama; kesintisiz güç kaynağı ve afet kurtarma programları dahil önlemler.

  • Farklı amaçlar için toplanan verilerin ayrı ayrı işlenmesini sağlamak için, uygun görüldüğü üzere, fiziksel veya yeterli mantıksal ayrım içeren önlemler.

9. Bu koşullar altında uygun olabilecek diğer tedbirlerin alınması.