Madde 7- Kişisel Verilerin Korunmasına Yönelik Güvenceler
Veri aktaran; veri alıcısının, uygun teknik ve idari tedbirleri almak suretiyle bu Sözleşmeden doğan yükümlülüklerini yerine getirebilecek yeterliliğe sahip olduğunu belirlemek için makul çabayı gösterdiğini taahhüt eder.
Madde 7.1- Talimatlar
(a) Veri alıcısı, kişisel verileri yalnızca veri aktaranın talimatlarına göre işler. Veri aktaran, veri alıcısının veri aktaran adına kişisel veri işleme faaliyetinde bulunduğu süre boyunca bu tür talimatlar verebilir.
(b) Veri alıcısı, bu talimatları yerine getiremeyeceği durumda, veri aktarana derhâl bilgi verir.
Madde 7.2- Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Veri alıcısı, kişisel verileri Ek I’de belirtilen amaçla/amaçlarla bağlantılı, sınırlı ve ölçülü olarak işler.
Madde 7.3- Doğru ve Gerektiğinde Güncel Olma
Veri alıcısı, aktarılan kişisel verilerin yanlış olduğunu veya güncelliğini yitirdiğini fark ederse, gecikmeksizin veri aktaranı bilgilendirir. Bu durumda, veri alıcısı kişisel verileri imha etmek veya düzeltmek için veri aktaranla iş birliği yapar.
Madde 7.4- İşleme Faaliyetinin Süresi ve Kişisel Verilerin Tamamen Yok Edilmesi veya Geri Gönderilmesi
Veri alıcısı tarafından sadece Ek I’de belirtilen süre kadar kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri alıcısının veri aktaran adına kişisel veri işleme faaliyetinde bulunmasının sona ermesi durumunda veri aktaranın tercihine bağlı olarak veri alıcısı; veri aktaran adına işlediği bütün kişisel verileri yedekleri ile birlikte veri aktarana geri gönderir veya kişisel verileri tamamen yok eder. Veri alıcısı, mevzuatta bu yükümlülüğü yerine getirmesini engelleyen hükümler yer alıyor olsa bile bu Sözleşmeyle uyum sağlamaya devam edeceğini, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli teknik ve idari tedbirleri alacağını ve yalnızca mevzuatın gerektirdiği ölçü ve süre boyunca işleme faaliyetine devam edeceğini taahhüt eder. Madde 13 hükmü saklıdır. Veri alıcısı, verilerin yok edildiğini veri aktaran için belgelendirir. Veriler geri gönderilene veya tamamen yok edilene kadar, veri alıcısı bu Sözleşmeye uyum sağlamaya devam eder.
Madde 7.5- Aydınlatma Yükümlülüğü
Veri aktaran, talep üzerine, Taraflarca doldurulan Ekler de dahil olmak üzere bu Sözleşmenin bir nüshasını ilgili kişiye ücretsiz olarak sağlar. Ek II’de belirtilen tedbirler ve kişisel veriler de dahil olmak üzere ticari sırların veya diğer gizli bilgilerin korunması için gerekli olduğu ölçüde, veri aktaran ilgili kişiyle paylaşacağı nüshada yer verilen Ekler üzerinde değişiklik yaparak metnin bir kısmını çıkarabilir. Ancak, aksi durumda içeriğin anlaşılamayacağı veya ilgili kişi haklarının kullanılamayacağı hâllerde veri aktaran ilgili kişiye anlamlı bir özet sunar. Taraflar, talep üzerine, mümkün olduğu ölçüde, çıkarılan bilgileri açıklamaksızın, yapılan değişikliklerin nedenlerini ilgili kişiye bildirir. Veri aktaranın Kanunun 10 uncu maddesi ve 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamındaki yükümlülükleri saklıdır.
Madde 7.6- Veri Güvenliği
(a) Veri alıcısı ve aktarım aşamasında veri aktaran; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ve kişisel verilerin sehven kaybını, yok edilmesini veya zarar görmesini önlemek amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu tedbirlerin belirlenmesinde; teknolojik gelişmişlik düzeyi, uygulama maliyeti, kişisel veri işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçları ve ilgili kişilerin temel hak ve özgürlüklerine karşı ortaya çıkabilecek riskler göz önünde bulundurulur. Veri alıcısı, bu fıkra kapsamındaki yükümlüklerini yerine getirirken asgari olarak Ek II’de belirtilen teknik ve idari tedbirleri almak zorundadır. Veri alıcısı, bu tedbirlerin uygun bir güvenlik düzeyini sağlamaya devam ettiğini teyit etmek için düzenli kontroller gerçekleştirir.
(b) Veri alıcısı, personelinin, aktarıma konu kişisel verilere erişimini, veri aktaran adına gerçekleştireceği kişisel veri işleme faaliyetleri için kesinlikle gerekli olduğu ölçü ve kapsamla sınırlı tutar ve bu kişisel verilere yalnızca ilgili personel tarafından erişilebilmesini sağlar. Veri alıcısı, kişisel verilere erişim hususunda yetkilendirmiş olduğu gerçek kişilerin, öğrendikleri kişisel verileri bu Sözleşmeye aykırı olarak üçüncü taraflara açıklamamasını ve işleme amacı dışında kullanmamasını sağlar.
(c) Veri alıcısı tarafından bu Sözleşme çerçevesinde işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu kişisel veri ihlalini ve bu ihlalin muhtemel olumsuz etkilerini gidermek amacıyla gerekli tedbirleri alır. Ayrıca, veri alıcısı, herhangi bir gecikmeye yer vermeksizin bu durumu veri aktarana bildirir. Söz konusu bildirim Kişisel Verileri Koruma Kurulu (bundan sonra “Kurul” olarak anılacaktır) tarafından belirlenip Kişisel Verileri Koruma Kurumu’nun (bundan sonra “Kurum” olarak anılacaktır) resmî internet sitesinde ilan edilen “Veri İhlali Bildirim Formu” kullanılarak yapılır. Formda 4 yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hâllerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanır.
(d) Veri alıcısı, Kurul’a ve ilgili kişilere bildirimde bulunma başta olmak üzere veri aktaranın Kanun kapsamındaki yükümlülüklerini yerine getirebilmesini teminen kişisel veri işleme faaliyetinin niteliğini ve kendisinin vakıf olduğu bilgileri göz önünde bulundurarak; veri aktaranla iş birliği yapar ve veri aktarana yardımcı olur.
Madde 7.7- Özel Nitelikli Kişisel Veriler
(a) Veri alıcısı, özel nitelikli kişisel verilerin hassas niteliğine uygun olarak Ek II’de belirtilen ilave teknik ve idari tedbirleri alır.
(b) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Madde 7.8- Sonraki Aktarımlar
(a) Veri alıcısına aktarılan kişisel veriler, veri alıcısı tarafından yurt dışında (veri alıcısı ile aynı ülkede veya başka bir ülkede) yerleşik üçüncü bir tarafa ancak veri aktaranın talimatıyla ve aşağıdaki hâllerde aktarılabilir:
(i) Sonraki aktarımın Kanunun 9 uncu maddesinin birinci fıkrası uyarınca hakkında yeterlilik kararı verilen bir ülkeye yapılması.
(ii) Sonraki aktarımın yapılacağı üçüncü tarafın Kanunun 9 uncu maddesinin dördüncü fıkrasında düzenlenen uygun güvencelerden birini sağlaması.
(iii) Belirli idari veya yargısal süreçler bağlamında bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
(iv) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
(b) Herhangi bir sonraki aktarımda veri alıcısı, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi başta olmak üzere bu Sözleşme kapsamındaki diğer tüm güvencelere uygun hareket etmekle yükümlüdür.
(c) Bu Sözleşmenin Kurum’a bildirilmesinden önce, sonraki aktarım yapılacak alıcıların belirli olması durumunda bu alıcılar veya alıcı grupları Ek I’de belirtilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, sonraki aktarım yapılacak alıcılarda veya alıcı gruplarında değişiklik olması hâlinde Ek I güncellenir ve bu durum Kurum’a bildirilir.
Madde 7.9- Belgeleme ve Uyumluluk
(a) Veri alıcısı, bu Sözleşme kapsamında gerçekleştirilen işleme faaliyetine ilişkin olarak veri aktarandan gelen soruları gecikmeksizin ve yeterli bir biçimde cevaplandırır.
(b) Veri alıcısı, talep üzerine bu tür belgeleri Kurul’a sunar. Taraflar, bu Sözleşmeye uyum sağladığını gösterebilmelidir. Veri alıcısı, veri aktaran adına yürüttüğü işleme faaliyetlerine ilişkin bilgi, belge ve kayıtları tutmak ve saklamakla yükümlüdür.
(c) Veri alıcısı, bu Sözleşmede yer alan yükümlülüklere uyum sağladığını göstermek için gerekli olan tüm bilgi ve belgeleri veri aktarana sağlar ve veri aktaranın talebi üzerine, makul aralıklarla veya bu Sözleşmeye uyum sağlanmadığına dair göstergelerin varlığı durumunda bu Sözleşme kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin denetimine izin verir ve sürece destek olur.
(d) Veri aktaran, denetimi kendisi gerçekleştirebileceği gibi bağımsız bir denetçi de görevlendirebilir. Denetim kapsamında veri alıcısının yerleşkelerinde veya fiziki tesislerinde incelemelerde bulunulabilir. Uygun olması durumunda, makul bir süre öncesinde denetim yapılacağına dair bildirim yapılır.
(e) Taraflar, veri alıcısı nezdinde gerçekleştirilen denetimin sonuçları dahil olmak üzere, talep üzerine (b) ve (c) fıkralarında belirtilen bilgileri Kurul’a sunar.
Madde 8- Alt Veri İşleyen
(a) Veri alıcısı, bu Sözleşme uyarınca veri aktaran adına gerçekleştirdiği işleme faaliyetlerini, veri aktaranın önceden onay vermiş olduğu bir listede yer alan alt veri işleyen(ler)e devredebilir. Veri alıcısı, listede bulunan alt veri işleyenlerin başkalarıyla değiştirilmesi veya listeye yeni alt veri işleyenlerin eklenmesi hususunu en az 30 (otuz) gün önce yazılı olarak veri aktarana bildirir ve yeni alt veri işleyen(ler)in katılımından önce veri aktaranın, bu tür değişikliklere itiraz edebilmesi için yeterli süreyi verir. Veri alıcısı, veri aktaranın itiraz hakkını kullanabilmesi için gerekli bilgileri veri aktarana sağlar. Veri aktaran tarafından yetkilendirilmiş alt veri işleyenlerin listesine Ek III’te yer verilir. Bu Sözleşmenin Kurum’a bildirilmesinin ardından, alt veri işleyenlerde değişiklik olması hâlinde Ek III güncellenir ve bu durum Kurum’a bildirilir.
(b) Veri alıcısı, (veri aktaran adına gerçekleştirilecek) belirli kişisel veri işleme faaliyetlerini devretmesi durumunda, alt veri işleyenle yazılı bir sözleşme yapar. Sözleşmenin asgari olarak ilgili kişiler için üçüncü taraf yararlanıcı hakları dahil olmak üzere bu Sözleşmede yer alan güvenceleri içermesi şarttır. Taraflar, söz konusu sözleşmenin yapılması durumunda veri alıcısının Madde 7.8 kapsamındaki yükümlülüklerini yerine getirdiğini kabul eder. Veri alıcısı, alt veri işleyenin bu Sözleşme uyarınca veri alıcısının tabi olduğu yükümlülüklere uymasını sağlar.
(c) Veri alıcısı, veri aktaranın talebi üzerine bu tür bir alt veri işleme sözleşmesinin ve sonrasında yapılan her değişikliğin bir nüshasını veri aktarana sağlar. Kişisel veriler de dahil olmak üzere ticari sırların veya diğer gizli bilgilerin korunması için gerekli olduğu ölçüde, veri alıcısı paylaşacağı nüsha üzerinde değişiklik yaparak ilgili kısımları çıkarabilir.
(d) Veri alıcısı, alt veri işleyen ile yaptığı sözleşme kapsamında alt veri işleyenin yükümlülüklerini yerine getirmesi bakımından veri aktarana karşı tamamen sorumludur. Veri alıcısı, alt veri işleyenin söz konusu sözleşme kapsamındaki yükümlülüklerini yerine getirememesi durumunda veri aktarana bildirimde bulunur.
(e) Veri alıcısı alt veri işleme sözleşmesinde, –veri alıcısının hukuken kişiliğinin sona ermesi veya iflas etmesi gibi durumlarda– veri aktaranın alt veri işleme sözleşmesini feshetme ve aktarıma konu kişisel verilerin alt veri işleyen tarafından yedekleriyle birlikte tamamen yok edilmesi veya kendisine geri gönderilmesi hususunda talimat verme hakkına sahip olduğunu düzenleyen veri aktaran lehine bir üçüncü taraf yararlanıcı maddesine yer verilmesi hususunda alt veri işleyenle anlaşır.
Madde 9- İlgili Kişinin Hakları
(a) Veri alıcısı, ilgili kişiden aldığı her talebi derhâl veri aktarana bildirir. Veri aktaran tarafından yetkilendirilmediği müddetçe, bu talebi kendisi sonuçlandırmaz.
(b) Veri alıcısı, ilgili kişilerin Kanun kapsamındaki haklarını kullanmak için yaptıkları talepleri sonuçlandırma yükümlülüğünü yerine getirebilmesinde veri aktarana yardımcı olur. Bu bağlamda, Taraflar, gerekli yardımın kapsamının yanı sıra yardımın sağlanacağı işleme faaliyetinin niteliğini dikkate alarak, uygun teknik ve idari tedbirleri Ek II’de belirler.
(c) Veri alıcısı, (a) ve (b) fıkraları kapsamındaki yükümlülüklerini yerine getirirken veri aktaranın talimatlarına uyar.
Madde 10- Hak Arama Yöntemleri
(a) İlgili kişi ile veri alıcısı arasında bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarına ilişkin olarak bir uyuşmazlığın doğması durumunda ilgili kişi, bu konuya ilişkin taleplerini veri alıcısına iletebilir. Veri alıcısı, şeffaf ve kolay erişilebilir bir formatta, ilgili kişilere bizzat bildirimde bulunarak veya internet sitesinde yayımlayarak taleplerini sonuçlandırmak için yetkilendirilmiş bir irtibat noktası hususunda ilgili kişileri bilgilendirir. Veri alıcısı, ilgili kişilerin taleplerini gecikmeksizin ele alır.
(b) İlgili kişi ile Taraflardan biri arasında bu Sözleşmeye uygunluk konusunda bir uyuşmazlığın ortaya çıkması durumunda, ilgili Taraf sorunu dostane bir şekilde ve mümkün olan en kısa süre içinde çözmek için elinden gelen çabayı gösterir. Taraflar, bu tür uyuşmazlıklar hakkında birbirini bilgilendirir ve bunların çözümünü sağlamada uygun olduğu ölçüde iş birliği yapar.
(c) İlgili kişinin Madde 3 uyarınca bir üçüncü taraf yararlanıcı hakkına başvurması durumunda, veri alıcısı ilgili kişinin Kurul’a şikâyette bulunma ve Madde 18 kapsamında görevli ve yetkili mahkemelere başvurma hakkına sahip olduğunu kabul eder.
(d) Veri alıcısı, Türk hukukuna göre bağlayıcı olan kararlara uyacağını taahhüt eder.
(e) Veri alıcısı, ilgili kişi tarafından yukarıda belirtilen hak arama yöntemlerinden birine başvurulmasının, ilgili kişinin meri mevzuata göre ileri sürebileceği diğer haklara halel getirmeyeceğini kabul eder.
Madde 11- Sorumluluk
(a) Taraflardan her biri, bu Sözleşmenin herhangi bir şekilde ihlal edilmesiyle ortaya çıkan zararlardan diğer Tarafa karşı sorumludur.
(b) Veri alıcısı, ilgili kişiye karşı sorumludur. İlgili kişi, veri alıcısının veya alt veri işleyeninin bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarını ihlal ederek ilgili kişiye verdiği her türlü maddi veya manevi zarar için tazminat alma hakkına sahiptir.
(c) (b) fıkrası hükmü saklı olmak üzere, veri aktaran ilgili kişiye karşı sorumludur ve ilgili kişi, veri aktaran veya veri alıcısının (ya da alt veri işleyeninin) bu Sözleşme kapsamında üçüncü taraf yararlanıcı haklarını ihlal ederek ilgili kişiye verdiği her türlü maddi veya manevi zarar için tazminat alma hakkına sahiptir. Bu durum, veri aktaranın Kanun kapsamındaki sorumluluğuna halel getirmez.
(d) Veri aktaranın (c) fıkrası uyarınca veri alıcısı (veya alt veri işleyeni) tarafından ilgili kişiye verilen zararı tamamıyla tazmin etmesi durumunda, kusuru oranında veri alıcısına rücu etme hakkı saklıdır.
(e) Bu Sözleşmenin ihlali sonucunda ilgili kişiye verilen herhangi bir zarardan her iki Tarafın sorumlu olduğu durumlarda, Tarafların ikisi de ilgili kişilere karşı müteselsilen sorumludur ve ilgili kişi bu Taraflardan herhangi birine karşı yargı yoluna başvurma hakkına sahiptir.
(f) Taraflardan birinin (e) fıkrası uyarınca ilgili kişiye verilen zararı tamamıyla tazmin etmesi durumunda, kusuru oranında diğer tarafa rücu etme hakkı saklıdır.
(g) Veri alıcısı, alt veri işleyenin kusurlu olduğunu öne sürerek sorumluluktan kurtulamaz.
Madde 12- Denetim
Veri alıcısı, bu Sözleşmeye uyumu sağlamaya yönelik her türlü iş ve işlemde Kurum’la iş birliği yapmayı, Kurul’un yetkisine tabi olmayı ve Kurul tarafından verilen kararları yerine getirmeyi kabul eder. Veri alıcısı özellikle, Kurul’un inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri göndermeyi, gerektiğinde yerinde inceleme yapılmasına imkân sağlamayı ve tespit edilen hukuka aykırılıkların giderilmesi için Kurul tarafından verilen talimatlara uymayı kabul eder. Söz konusu talimatların yerine getirildiğine dair tevsik edici bilgi ve belgeleri Kurul’a gönderir.