Kişisel Veriler ve Genel Gizlilik Sözleşmesi

1
KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINDA
KULLANILACAK STANDART SÖZLEŞME – 1
(VERİ SORUMLUSUNDAN VERİ SORUMLUSUNA)
BİRİNCİ BÖLÜM
Genel Hükümler
Madde 1- Amaç ve Kapsam
(a) Bu standart sözleşmenin amacı, kişisel verilerin yurt dışına aktarılmasında 24/3/2016 tarihli
ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “Kanun” olarak anılacaktır)
ile 10/7/2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel
Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (bundan
sonra “Yönetmelik” olarak anılacaktır) hükümlerine riayet edilmesini sağlamaktır.
(b) Kişisel verileri yurt dışına aktaran veri sorumlusu (bundan sonra “veri aktaran” olarak
anılacaktır) ve veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu (bundan sonra
“veri alıcısı” olarak anılacaktır) bu standart sözleşmeyi (bundan sonra “Sözleşme” olarak
anılacaktır) kabul etmişlerdir.
(c) Bu Sözleşme, Ek I’de detaylarına yer verilen yurt dışına kişisel veri aktarımı ile ilgili olarak
uygulanır.
(d) Bu Sözleşmenin ekleri (bundan sonra “Ekler” olarak anılacaktır), bu Sözleşmenin ayrılmaz
bir parçasını oluşturur.
Madde 2- Sözleşmenin Etkisi ve Değişmezliği
(a) Herhangi bir ekleme, çıkarma veya değişiklik yapılmaması kaydıyla bu Sözleşme, Kanunun
9 uncu maddesinin dördüncü fıkrası ve Yönetmelik uyarınca ilgili kişinin aktarımın yapılacağı
ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması dahil
olmak üzere kişisel verilerin yurt dışına aktarılmasında sağlanacak uygun güvenceleri öngörür.
(b) Bu Sözleşme; Kanun, Yönetmelik ve ilgili diğer mevzuat uyarınca veri aktaranın tabi olduğu
yükümlülüklere halel getirmez.
Madde 3- Üçüncü Taraf Yararlanıcı Hakları
(a) İlgili kişiler, aşağıdaki istisnalar dışında, üçüncü taraf yararlanıcı olarak bu Sözleşme
hükümlerini veri aktarana ve/veya veri alıcısına karşı ileri sürebilir:
i) Madde 1, Madde 2, Madde 3 ve Madde 6.
ii) Madde 7.5(e) ve Madde 7.9 (b).
iii) Madde 10(a) ve (d).
iv) Madde 11.
(b) (a) fıkrası, ilgili kişilerin Kanun kapsamındaki haklarına halel getirmez.
2
Madde 4- Yorum
(a) Kanun, Yönetmelik ve ilgili diğer mevzuatta yer alan terimlerin, bu Sözleşmede kullanıldığı
durumlarda ilgili düzenlemede yer alan tanım geçerlidir.
(b) Bu Sözleşme; Kanun, Yönetmelik ve ilgili diğer mevzuata uygun olarak yorumlanır.
(c) Bu Sözleşme; Kanun, Yönetmelik ve ilgili diğer mevzuatta öngörülen hak ve
yükümlülüklerle çelişecek şekilde yorumlanamaz.
Madde 5- Çatışma Kuralı
Bu Sözleşmenin hükümleri ile Taraflar arasında bu Sözleşmenin kabul edildiği tarihte var olan
veya daha sonra yürürlüğe giren ilgili diğer sözleşmelerin hükümleri arasında bir çelişki olması
durumunda bu Sözleşme hükümleri uygulanır.
Madde 6- Aktarımın Detayları
Aktarıma konu kişisel veri kategorileri, aktarımın hukuki sebebi ve aktarımın amacı veya
amaçları başta olmak üzere bu Sözleşme çerçevesinde gerçekleştirilecek yurt dışına kişisel veri
aktarımının detayları, Ek I’de belirtildiği şekildedir.
İKİNCİ BÖLÜM
Tarafların Yükümlülükleri
Madde 7- Kişisel Verilerin Korunmasına Yönelik Güvenceler
Veri aktaran; veri alıcısının, uygun teknik ve idari tedbirleri almak suretiyle bu Sözleşmeden
doğan yükümlülüklerini yerine getirebilecek yeterliliğe sahip olduğunu belirlemek için makul
çabayı gösterdiğini taahhüt eder.
Madde 7.1- Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Veri alıcısı, kişisel verileri Ek I’de belirtilen amaçla/amaçlarla bağlantılı, sınırlı ve ölçülü olarak
işler.
Madde 7.2- Doğru ve Gerektiğinde Güncel Olma
(a) Taraflardan her biri, kişisel verilerin doğru olmasını ve gerektiğinde güncel tutulmasını
sağlar. Veri alıcısı, işleme amacını/amaçlarını göz önünde bulundurarak; yanlış olan kişisel
verilerin imha edilmesini veya düzeltilmesini sağlamak için makul adımları gecikmeksizin atar.
(b) Taraflardan her biri, aktarılan kişisel verilerin yanlış olduğunu veya güncelliğini yitirdiğini
fark ederse gecikmeksizin diğer Tarafı bilgilendirir.
Madde 7.3- Sınırlı Süre ile Saklama
Veri alıcısı, kişisel verileri yalnızca işlendikleri amaç için gerekli olan süre kadar muhafaza
eder. Veri alıcısı; bu yükümlülüğü yerine getirmek amacıyla, kişisel verilerin ve tüm
yedeklerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi için gerekli her türlü teknik
ve idari tedbirleri almakla yükümlüdür.
Madde 7.4- Aydınlatma Yükümlülüğü
3
(a) Veri alıcısı, Madde 8 uyarınca haklarını etkin bir şekilde kullanabilmelerini sağlamak için
doğrudan veya veri aktaran aracılığıyla ilgili kişilere;
i) Kimliği ve iletişim bilgileri,
ii) İşlenen kişisel veri kategorileri,
iii) Bu Sözleşmenin bir örneğini alma hakkı,
iv) Kişisel verilerin üçüncü bir tarafa veya taraflara aktarılabileceği durumlarda; alıcı
veya alıcı grupları ve bu tür bir sonraki aktarımın amacı ile Madde 7.7 uyarınca
dayanağı,
konusunda bilgi vermekle yükümlüdür.
(b) Taraflar; talep üzerine, kendileri tarafından doldurulan Ekler de dahil olmak üzere bu
Sözleşmenin bir nüshasını ilgili kişiye ücretsiz olarak sağlar. Kişisel veriler de dahil olmak
üzere ticari sırların veya diğer gizli bilgilerin korunması için gerekli olduğu ölçüde, Taraflar
ilgili kişiyle paylaşacakları nüshada yer verilen Ekler üzerinde değişiklik yaparak metnin bir
kısmını çıkarabilirler. Ancak, aksi durumda içeriğin anlaşılamayacağı veya ilgili kişi haklarının
kullanılamayacağı hâllerde Taraflar ilgili kişiye anlamlı bir özet sunar. Taraflar, talep üzerine,
mümkün olduğu ölçüde, çıkarılan bilgileri açıklamaksızın ilgili kişiye yapılan değişikliklerin
nedenlerini bildirir.
(c) Veri aktaranın Kanunun 10 uncu maddesi ve 10/3/2018 tarihli ve 30356 sayılı Resmî
Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde
Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamındaki yükümlülükleri saklıdır.
Madde 7.5- Veri Güvenliği
(a) Veri alıcısı ve aktarım aşamasında veri aktaran; kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel
verilerin muhafazasını sağlamak ve kişisel verilerin sehven kaybını, yok edilmesini veya zarar
görmesini önlemek amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu tedbirlerin
belirlenmesinde; teknolojik gelişmişlik düzeyi, uygulama maliyeti, kişisel veri işleme
faaliyetinin niteliği, kapsamı, bağlamı ve amaçları ve ilgili kişilerin temel hak ve özgürlüklerine
karşı ortaya çıkabilecek riskler göz önünde bulundurulur.
(b) Taraflar, Ek II’de belirtilen teknik ve idari tedbirlerin alınması hususunda anlaşmıştır. Veri
alıcısı; Ek II’de belirtilen teknik ve idari tedbirlerin yeterli güvenlik düzeyini sağlamaya devam
ettiğini teyit etmek için düzenli kontroller gerçekleştirir.
(c) Veri alıcısı, kişisel verilere erişim hususunda yetkilendirmiş olduğu gerçek kişilerin,
öğrendikleri kişisel verileri bu Sözleşmeye aykırı olarak üçüncü taraflara açıklamamasını ve
işleme amacı dışında kullanmamasını sağlar.
(d) Bu Sözleşme çerçevesinde veri alıcısı tarafından işlenen kişisel verilerin hukuka aykırı
yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu kişisel veri ihlalini ve bu
ihlalin muhtemel olumsuz etkilerini gidermek amacıyla gerekli tedbirleri alır.
(e) Bu Sözleşme çerçevesinde veri alıcısı tarafından işlenen kişisel verilerin hukuka aykırı
yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu durumu gecikmeksizin ve en
geç 72 saat içinde veri aktarana ve Kişisel Verileri Koruma Kurulu’na (bundan sonra “Kurul”
olarak anılacaktır) bildirir. Söz konusu bildirim Kurul tarafından belirlenip Kişisel Verileri
Koruma Kurumu’nun (bundan sonra “Kurum” olarak anılacaktır) resmî internet sitesinde ilan
edilen “Veri İhlali Bildirim Formu” kullanılarak yapılır. Formda yer alan bilgilerin aynı anda
4
sağlanmasının mümkün olmadığı hâllerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı
olarak sağlanır.
(f) Bu Sözleşme çerçevesinde veri alıcısı tarafından işlenen kişisel verilerin hukuka aykırı
yollarla başkaları tarafından elde edilmesi hâlinde, veri alıcısı bu durumu ilgili kişiye bildirir.
Veri alıcısı tarafından ilgili kişiye yapılacak olan ihlal bildirimi açık ve sade bir dille yapılır ve
asgari olarak;
i) Kişisel veri ihlalinin ne zaman gerçekleştiği,
ii) Kişisel veri kategorileri bazında (kişisel veri/özel nitelikli kişisel veri ayrımı
yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
iii) Kişisel veri ihlalinin olası sonuçları,
iv) Kişisel veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması
önerilen tedbirler,
v) İlgili kişilerin kişisel veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin
isim ve iletişim detayları veya veri alıcısının web sayfasının tam adresi, çağrı merkezi
vb. iletişim yolları
unsurlarını içerir.
(g) Veri alıcısı; veri ihlaline ilişkin bilgileri, ihlalin etkilerini ve alınan önlemleri kayıt altına
alır ve Kurul’un incelemesine hazır hâlde bulundurur.
Madde 7.6- Özel Nitelikli Kişisel Veriler
(a) Veri alıcısı, özel nitelikli kişisel verilerin hassas niteliğine uygun olarak ilave teknik ve idari
tedbirleri alır.
(b) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli
önlemlerin alınması şarttır.
Madde 7.7- Sonraki Aktarımlar
(a) Veri alıcısına aktarılan kişisel veriler, veri alıcısı tarafından yurt dışında (veri alıcısı ile aynı
ülkede veya başka bir ülkede) yerleşik üçüncü bir tarafa ancak aşağıdaki hâllerde aktarılabilir:
i) Sonraki aktarımın Kanunun 9 uncu maddesinin birinci fıkrası uyarınca hakkında
yeterlilik kararı verilen bir ülkeye yapılması.
ii) Sonraki aktarımın yapılacağı üçüncü tarafın Kanunun 9 uncu maddesinin dördüncü
fıkrasında düzenlenen uygun güvencelerden birini sağlaması.
iii) Belirli idari veya yargısal süreçler bağlamında bir hakkın tesisi, kullanılması veya
korunması için kişisel verilerin aktarılmasının zorunlu olması.
iv) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
v) Yukarıdaki hâllerin yokluğunda aktarımın amacı/amaçları, sonraki aktarımın
yapılacağı üçüncü tarafın kimliği ve uygun veri koruma güvencelerinin bulunmaması
nedeniyle bu tür bir aktarımın muhtemel riskleri hakkında bilgilendirilmesi kaydıyla
veri alıcısı tarafından sonraki aktarım için ilgili kişinin açık rızasının alınması ile veri
alıcısının veri aktaranı bilgilendirmesi ve ilgili kişiye sağlanan bilgilerin bir örneğini
talebi hâlinde veri aktarana iletmesi.
5
(b) Herhangi bir sonraki aktarımda veri alıcısı, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi
başta olmak üzere bu Sözleşme kapsamındaki diğer tüm güvencelere uygun hareket etmekle
yükümlüdür.
(c) Bu Sözleşmenin Kurum’a bildirilmesinden önce, sonraki aktarım yapılacak alıcıların belirli
olması durumunda bu alıcılar veya alıcı grupları Ek I’de belirtilir. Bu Sözleşmenin Kurum’a
bildirilmesinin ardından, sonraki aktarım yapılacak alıcılarda veya alıcı gruplarında değişiklik
olması hâlinde Ek I güncellenir ve bu durum Kurum’a bildirilir.
Madde 7.8- Veri Alıcısının Yetkisi Altında İşleme
Veri alıcısı, veri işleyenler de dâhil olmak üzere yetkisi altında faaliyet gösteren kişilerin, kişisel
verileri ancak ve sadece kendisinden aldıkları talimatlara uygun olarak işlemesini sağlar.
Madde 7.9- Belgeleme ve Uyumluluk
(a) Her bir Taraf, bu Sözleşme kapsamındaki yükümlülüklerine uyum sağladığını
gösterebilmelidir. Veri alıcısı, kendi sorumluluğu altında yürütülen işleme faaliyetlerine ilişkin
bilgi, belge ve kayıtları tutmak ve saklamakla yükümlüdür.
(b) Veri alıcısı, talep üzerine bu tür belgeleri Kurul’a sunar.
Madde 8- İlgili Kişinin Hakları
(a) Veri alıcısı, gerektiğinde veri aktarandan yardım alarak, kişisel verilerinin işlenmesine ve
bu Sözleşmede yer alan haklarını kullanabilmesine ilişkin olarak ilgili kişiden gelen soru ve
talepleri karşılamak için soru veya talebin alınmasından itibaren en geç otuz gün içinde yanıt
verir. Veri alıcısı, bu sorulara ve taleplere yanıt vermek ve ilgili kişi haklarının kullanılmasını
temin etmek için uygun tedbirleri alır. İlgili kişiye sağlanan her türlü bilgi, anlaşılabilir ve
kolayca erişilebilir olmalı ve bilgilendirmede açık ve sade bir dil kullanılmalıdır.
(b) İlgili kişi veri alıcısına başvurarak, özellikle kendisiyle ilgili;
i) Kişisel veri işlenip işlenmediğini öğrenme,
ii) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme ve Ek I’deki bilgilerin bir
nüshasının sağlanmasını isteme,
iii) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
iv) Kişisel verilerin aktarıldığı üçüncü kişileri ve Madde 7.7 uyarınca sonraki aktarımın
dayanağını bilme,
v) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
vi) Madde 7.3 çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
vii) (v) ve (vi) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
viii) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ix) Kişisel verilerin bu Sözleşmeye aykırı olarak işlenmesi sebebiyle zarara uğraması
hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
6
(c) Veri alıcısı, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye
yazılı olarak veya elektronik ortamda bildirir. Söz konusu cevapta ilgili kişi, Madde 9(c)
uyarınca Kurul’a şikâyette bulunma hakkı olduğu hususunda bilgilendirilir. Başvuruda yer alan
talebin kabul edilmesi hâlinde veri alıcısı tarafından gereği yerine getirilir.
(d) Veri alıcısı, ilgili kişinin talebini ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir
maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücreti alabilir. Talebin
kendi hatasından kaynaklanması hâlinde veri alıcısı, alınan ücreti ilgili kişiye iade eder.
Madde 9- Hak Arama Yöntemleri
(a) İlgili kişi ile veri alıcısı arasında bu Sözleşme kapsamındaki üçüncü taraf yararlanıcı
haklarına ilişkin olarak bir uyuşmazlığın doğması durumunda ilgili kişi, bu konuya ilişkin
taleplerini veri alıcısına iletebilir. Veri alıcısı, şeffaf ve kolay erişilebilir bir formatta, ilgili
kişilere bizzat bildirimde bulunarak veya internet sitesinde yayımlayarak taleplerini
sonuçlandırmak için yetkilendirilmiş bir irtibat noktası hususunda ilgili kişileri bilgilendirir.
Veri alıcısı, ilgili kişilerin taleplerini gecikmeksizin ele alır.
[Tarafların tercihine bağlı olarak sözleşmede yer verilebilir: Veri alıcısı, ilgili kişilerin ücretsiz
olarak ayrıca bağımsız bir uyuşmazlık çözüm kuruluşuna şikâyette bulunabileceğini kabul eder.
Veri alıcısı, (a) fıkrasında belirtilen şekilde, bu tür bir hak arama yönteminin varlığı ve bu
yönteme başvurmalarının veya öncelikle bu yönteme başvurmalarının zorunlu olmadığı
hususunda ilgili kişileri bilgilendirir.]
(b) İlgili kişi ile Taraflardan biri arasında bu Sözleşmeye uygunluk konusunda bir uyuşmazlığın
ortaya çıkması durumunda, ilgili Taraf sorunu dostane bir şekilde ve mümkün olan en kısa süre
içinde çözmek için elinden gelen çabayı gösterir. Taraflar, bu tür uyuşmazlıklar hakkında
birbirini bilgilendirir ve bunların çözümünü sağlamada uygun olduğu ölçüde iş birliği yapar.
(c) İlgili kişinin Madde 3 uyarınca bir üçüncü taraf yararlanıcı hakkına başvurması durumunda,
veri alıcısı ilgili kişinin Kurul’a şikâyette bulunma ve Madde 17 kapsamında görevli ve yetkili
mahkemelere başvurma hakkına sahip olduğunu kabul eder.
(d) Veri alıcısı, Türk hukukuna göre bağlayıcı olan kararlara uyacağını taahhüt eder.
(e) Veri alıcısı, ilgili kişi tarafından yukarıda belirtilen hak arama yöntemlerinden birine
başvurulmasının, ilgili kişinin meri mevzuata göre ileri sürebileceği diğer haklara halel
getirmeyeceğini kabul eder.
Madde 10- Sorumluluk
(a) Taraflardan her biri, bu Sözleşmenin herhangi bir şekilde ihlal edilmesiyle ortaya çıkan
zararlardan diğer Tarafa karşı sorumludur.
(b) Taraflardan her biri ilgili kişiye karşı sorumludur. İlgili kişi, Tarafların bu Sözleşme
kapsamındaki üçüncü taraf yararlanıcı haklarını ihlal ederek ilgili kişiye verdiği maddi veya
manevi zararlar için tazminat alma hakkına sahiptir. Bu durum, veri aktaranın Kanun
kapsamındaki sorumluluğuna halel getirmez.
(c) Bu Sözleşmenin ihlali sonucunda ilgili kişiye verilen herhangi bir zarardan her iki Tarafın
sorumlu olduğu durumlarda, Tarafların ikisi de ilgili kişiye karşı müteselsilen sorumludur ve
ilgili kişi bu Taraflardan herhangi birine karşı yargı yoluna başvurma hakkına sahiptir.
(d) Taraflardan birinin (c) fıkrası uyarınca ilgili kişinin zararını tamamıyla tazmin etmesi
durumunda, kusuru oranında diğer tarafa rücu etme hakkı saklıdır.
7
(e) Veri alıcısı, veri işleyenin veya alt veri işleyenin kusurlu olduğunu öne sürerek
sorumluluktan kurtulamaz.
Madde 11- Denetim
Veri alıcısı, bu Sözleşmeye uyumu sağlamaya yönelik her türlü iş ve işlemde Kurum’la iş birliği
yapmayı, Kurul’un yetkisine tabi olmayı ve Kurul tarafından verilen kararları yerine getirmeyi
kabul eder. Veri alıcısı özellikle, Kurul’un inceleme konusuyla ilgili istemiş olduğu bilgi ve
belgeleri göndermeyi, gerektiğinde yerinde inceleme yapılmasına imkân sağlamayı ve tespit
edilen hukuka aykırılıkların giderilmesi için Kurul tarafından verilen talimatlara uymayı kabul
eder. Söz konusu talimatların yerine getirildiğine dair tevsik edici bilgi ve belgeleri Kurul’a
gönderir.
ÜÇÜNCÜ BÖLÜM
Ulusal Hukuk ve Kamu Makamları Tarafından Erişim Hâlinde Yükümlülükler
Madde 12- Sözleşmeye Uyumu Etkileyen Ulusal Hukuk ve Uygulamalar
Veri alıcısı, bu Sözleşme kapsamında aktarılacak kişisel verilere ilişkin olarak, bu Sözleşmeye
aykırı herhangi bir ulusal düzenleme veya uygulama olmadığını kabul, beyan ve taahhüt eder.
Bu Sözleşme süresince veri alıcısının, bu Sözleşmede yer alan taahhütlerini yerine getirmesini
etkilemesi muhtemel bir mevzuat veya uygulama değişikliği olması hâlinde durumu veri
aktarana derhâl bildirir ve bu durumda veri aktaranın veri aktarımını askıya alma veya bu
Sözleşmeyi feshetme hakkına sahip olacağını kabul eder.
Madde 13- Kamu Makamlarının Erişimi Durumunda Veri Alıcısının Yükümlülükleri
Veri alıcısı; bu Sözleşme kapsamında aktarılan kişisel verilere ilişkin olarak idari veya adli bir
makamdan gelen talepler hususunda veya bu Sözleşme kapsamında aktarılan kişisel verilere
idari veya adli bir makamın doğrudan erişiminden haberdar olması hâlinde derhâl veri aktarana
bildirimde bulunur. Bu durumda veri aktaranın, talebin veya erişimin niteliğine göre veri
aktarımını askıya alma veya bu Sözleşmeyi feshetme hakkına sahip olacağını kabul eder.
DÖRDÜNCÜ BÖLÜM
Son Hükümler
MADDE 14- Sözleşmeye Uyulmaması ve Fesih
(a) Veri alıcısı, her ne sebeple olursa olsun bu Sözleşmeye uygunluk sağlayamaması hâlinde,
veri aktaranı derhâl bilgilendirir.
(b) Veri alıcısının bu Sözleşmeyi ihlal etmesi veya bu Sözleşmeye uygunluk sağlayamaması
hâlinde, veri aktaran uygunluk tekrar sağlanıncaya veya Sözleşme sona erdirilene kadar kişisel
verilerin veri alıcısına aktarılmasını askıya alır. Madde 12 ve Madde 13 hükümleri saklıdır.
(c) Veri aktaran, bu Sözleşme kapsamında kişisel verilerin işlenmesiyle ilgili olduğu ölçüde
aşağıdaki durumlarda sözleşmeyi feshetme hakkına sahiptir:
8
i) Veri aktaranın, (b) fıkrası uyarınca kişisel verilerin veri alıcısına aktarılmasını askıya
almış olması ve makul bir süre içinde ve her durumda askıya almadan itibaren bir ay
içinde bu Sözleşmeye uygunluk sağlanmaması.
ii) Veri alıcısının bu Sözleşmeyi önemli ölçüde veya sürekli olarak ihlal etmesi.
iii) Veri alıcısının, bu Sözleşme kapsamındaki yükümlülüklerine ilişkin olarak yetkili
mahkemenin veya Kurul’un kararlarını yerine getirmemesi.
Bu durumlarda, veri aktaran Kurul’u bilgilendirir.
(d) (c) fıkrası kapsamında sözleşmenin feshedilmesi hâlinde veri alıcısı, veri aktaranın tercihine
bağlı olarak; aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri gönderir veya
kişisel verileri tamamen yok eder. Veri alıcısı, mevzuatta bu yükümlülüğü yerine getirmesini
engelleyen hükümler yer alıyor olsa bile bu Sözleşmeye uyum sağlamaya devam edeceğini,
aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli teknik ve idari
tedbirleri alacağını ve yalnızca mevzuatın gerektirdiği ölçü ve süre boyunca işleme faaliyetine
devam edeceğini taahhüt eder. Veri alıcısı, verilerin yok edildiğini veri aktaran için
belgelendirir. Veriler geri gönderilene veya tamamen yok edilene kadar, veri alıcısı bu
Sözleşmeye uyum sağlamaya devam eder.
Madde 15- Sözleşmenin Kurum’a Bildirilmesi (Tarafların tercihine bağlı olarak sözleşmede
yer verilebilir.)
[Veri aktaran/Veri alıcısı] bu Sözleşmeyi, imzaların tamamlanmasından itibaren beş iş günü
içinde Kurum’a bildirir.
Madde 16- Uygulanacak Hukuk
Bu Sözleşme, Türk hukukuna tabidir.
Madde 17- Görevli ve Yetkili Mahkeme
(a) Bu Sözleşmeden kaynaklanan herhangi bir uyuşmazlık, Türk mahkemeleri tarafından
görülür.
(b) Görev ve yetki bakımından genel hükümler uygulanır.
(c) Taraflar, Türk mahkemelerinin yargı yetkisini tanımayı kabul eder.
Veri Aktaran:
Adres:
İrtibat Noktasının Adı ve Soyadı, Ünvanı ve
İletişim Bilgileri:
İmzalayanın Adı ve Soyadı ve Ünvanı:
İmza ve Tarih:
Veri Alıcısı:
Adres:
İrtibat Noktasının Adı ve Soyadı, Ünvanı ve
İletişim Bilgileri:
İmzalayanın Adı ve Soyadı ve Ünvanı:
İmza ve Tarih:
9
EKLER
EK I
AKTARIMIN DETAYLARI
Veri Aktaranın Bu Sözleşme Kapsamında Aktarılan Kişisel Verilere İlişkin Faaliyetleri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Veri Alıcısının Bu Sözleşme Kapsamında Aktarılan Kişisel Verilere İlişkin Faaliyetleri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
İlgili Kişi Grubu veya Grupları
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Aktarılan Kişisel Veri Kategorileri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
(Varsa) Aktarılan Özel Nitelikli Kişisel Veri Kategorileri
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Aktarımın Hukuki Sebebi
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Aktarım Sıklığı
(Örneğin, verilerin bir defaya mahsus veya sürekli olarak aktarılıp aktarılamayacağı)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
10
İşleme Faaliyetinin Niteliği
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Veri Aktarımının ve Devamında Gerçekleştirilecek İşleme Faaliyetinin Amaçları
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Kişisel Verileri Saklama Süresi
(Aktarılan kişisel verilerin saklama süresi belirtilir. Bu sürenin belirtilmesi mümkün değilse
saklama süresini belirlemek için kullanılan kriterler açıklanır.)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Alıcılar veya Alıcı Grupları
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
Veri Aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri
(Kayıt yükümlülüğünün bulunması hâlinde)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………
11
EK II
TEKNİK VE İDARİ TEDBİRLER
(Özel nitelikli kişisel verilerin aktarılması hâlinde bu tür veriler bakımından alınan teknik ve
idari tedbirler ayrıca belirtilir.)
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
………………………………………………………………………………………