XVII.6. Kişisel Veri İşleme Sözleşmesi

KİŞİSEL VERİLERİN KORUNMASI KANUNU

Taraflar
Madde 1 – (1) Bir taraftan …………………………..yerleşim yeri adresi olan……………………………………ile diğer tarafta …………………………………..yerleşim yeri adresi olan …………………………………arasında aşağıdaki hükümlerle bu Kişisel Veri İşleme Sözleşmesi kurulmuştur.
(2) Bu sözleşme’de ……………………………..ile ………………………………den her biri için “taraf” ve birlikte “taraflar” olarak belirtilecektir.
Konu ve amaç
Madde 2- (1) Bu sözleşme’nin konusu, ………………………………..’nın verdiği yetkiye dayanarak onun organizasyonu dışında ve adına, sadece vereceği talimatları doğrultusunda ……………………………….. tarafından bu sözleşme’de belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket ederek ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak kişisel verilerin işlenmesi ve bu işleme sürecinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleme (gerçek ve tüzel kişi) yükümlülükleri ile uyacağı usul ve esasları düzenlemektir.
Kapsam
MADDE 2- (1) Bu sözleşme hükümleri, ………………………………’nın verdiği yetkiye dayanarak onun adına kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen …………………………………..(gerçek ve tüzel kişi) hakkında uygulanır.
Tanımlar ve kısaltmalar
Madde 3- (1) Bu Kişisel Veri İşleme Sözleşmesinin uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Güvenli giriş katmanı (SSL): Sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikayı,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
e) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
f) Kişisel sağlık kaydı sistemi: İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-devlet uygulamalarına uygun olarak kurulan sistemi,
g) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
ğ) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
h) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
ı) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
i) Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
j) Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini,
k) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
l) Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
m) Kurul: Kişisel Verileri Koruma Kurulunu,
n) Kurum: Kişisel Verileri Koruma Kurumunu,
o) KSVHY : Sağlık Bakanlığınca 21/06/2019 tarih ve 30808 sayılı Resmi Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğini,
ö) KVK : 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
p) Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
r) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,
s) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,
ş) Sözleşme : İş bu “Kişisel Veri İşleme Sözleşmesi” ni,
t) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen …………………………………i (gerçek veya tüzel kişi),
u) Veri kaybı/sızıntısı önleme (DLP): Kişisel verilerin, yanlışlıkla ya da kötü niyetli kişilerce kurum dışına çıkarılmasına engel olan ya da engel olmadan işlemi raporlamaya yarayan güvenlik yazılımını,
ü) Veri kayıt sistemi: Kişisel verilerin belirli bir kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
v) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
y) Veri kaybı/sızıntısı önleme (DLP): Kişisel verilerin, yanlışlıkla ya da kötü niyetli kişilerce kurum
dışına çıkarılmasına engel olan ya da engel olmadan işlemi raporlamaya yarayan güvenlik yazılımını, z) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan ……………………………. ‘yi (gerçek veya tüzel kişi), ifade eder.
Kişisel Verilerin İşlenmesi
Genel ilkeler MADDE 4- (1) Veri İşleyen tarafından, bu sözleşme konusu kişisel veriler, ancak bu sözleşme’de, KVK ve buna dayalı yayımlanan ikincil düzenlemeler ile diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Veri İşleyen, sadece Veri Sorumlusu’nun talimatları doğrultusunda, bu sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket etmek ve Kişisel Veri Saklama ve İmha Politikasına uygun davranmak zorundadır.
(3) Veri İşleyen tarafından, kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme (KVK m.4).
Kişisel verilerin işlenme şartları
MADDE 5- (1) Veri İşleyen, kişisel verileri ilgili kişinin açık rızası olmaksızın işleyemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (KVK m.5).
Özel nitelikli kişisel verilerin işlenme şartları
Madde 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Üstte birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, Veri İşleyen tarafından kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu sözleşme, KVK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine Veri İşleyen tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin aktarılması
MADDE 8- (1) Veri İşleyen tarafından kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) Bu sözleşme’nin 5 inci maddesinin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, Bu Sözleşme’nin 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Veri İşleyen tarafından kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, bu sözleşme’nin 5 inci maddesinin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurul’ca belirlenerek ilan edilir.
(4) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Veri İşleyen’in faaliyetleri, yetkileri ve görevleri
Madde 10 – (1) Veri İşleyen’in faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlı olup, aşağıda belirtilen konularda tek başına yetkili ve görevli kılınmıştır:
a) Kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatma amacı ile bilgilendirme,
b) KVK ve ilgili diğer kanunlar ile ikincil düzenleme hükümlerine uygun olarak kişisel verileri işleme ve işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri re’sen veya ilgili kişinin talebi üzerine silme, yok etme veya anonim hale getirme,
c) Kişisel verileri yurt içi ve yurt dışına aktarma,
d) Kişisel verileri hukuka aykırı olarak işlenmesini önleme,
e) Kişisel verileri hukuka aykırı olarak erişilmesini önleme,
f) Kişisel verilerin muhafazasını sağlama,
g) Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere Veri sorumlusu üst yönetimin onayına sunma,
ğ) Kişisel Verilerin Korunması ve İşlenmesi Politikasının Veri sorumlusu içi görevlendirmede bulunma ve koordinasyonu sağlama hususlarını Veri sorumlusu üst yönetiminin onayına sunma,
h) KVK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etme ve yapılması gerekenleri Veri Sorumlusu üst yönetimin onayına sunmak, uygulanmasını gözetme ve koordinasyonunu sağlama,
ı) Kişisel Verilerin Korunması ve İşlenmesi konusunda Veri sorumlusu içerisinde ve iş ortakları nezdinde farkındalığı arttırma,
i) Veri Sorumlusu’nun kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etme ve iyileştirme önerilerini Veri sorumlusu üst yönetiminin onayına sunma,
j) Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlama ve icra edilmesini sağlama,
k) Kişisel veri sahiplerinin başvurularını karara bağlama,
l) Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etme,
m) Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etme, bu gelişmelere ve düzenlemelere uygun olarak Veri Sorumlusu içinde yapılması gerekenler konusunda üst yönetime önerilerde bulunma, n)Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
o) Kişisel verileri …………………… yöntemiyle saklama,
ö) Kişisel verilerin aktarımını ……………… yöntemiyle yapma,
p) Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için………………. metodunu kullanma,
r) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için …………….yöntemlerini kullanma.
s) Veri sorumlusu üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etme.
(2) Veri sorumlusu için, kişisel verilerin işleme amaçlarını ve vasıtalarının belirleyen, veri kayıt sisteminin kurulması ve yönetilmesi ile ilgili çalışmalarda bulunarak rapor halinde Veri sorumlusu üst yönetimine sunma.
Kişisel verilerin kaydedilmesi, verilmesi ve ele geçirilmesi
Madde 11 – (1) Veri işleyen tarafından, bu sözleşme kapsamında;
a) Hukuka aykırı olarak kişisel verilerin kaydı yapılamaz.
b) Kişisel verileri, hukuka aykırı olarak bir başkasına veremez, yayamaz veya ele geçiremez.
c) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmede görevini yerine getirmekle yükümlüdür.
Kişisel veriler, kişisel veri kategorisi ve veri konusu kişi grubu
Madde 12 – (1) Bu sözleşme konusu kişisel veriler şunlardır:
A. a) Ad, soyad,
b) T.C. Kimlik numarası,
c) Pasaport numarası,
ç) Anne, baba adı,
d) KPPS puanı,
e) Bakmakla yükümlü olduğu kişilerin ad ve soyadı bilgisi,
f) İzin bilgisi,
g) Mal bildirimi beyanı,
ğ) İnternet adresi/e – posta,
h) Meslek,
ı) Fotoğraf,
i) Unvan,
j) Posta adresi
B. Özel nitelikli kişisel veriler
a) Adli sicil kaydı,
b) Sağlık raporu.
(2) Bu sözleşme konusu veri kategorileri şunlardır:
a) Kimlik,
b) İletişim,
c) Eğitim,
ç) Özlük,
d) Sağlık,
e) Finansal,
f) Lokasyon.
(3) Bu sözleşme konusu kişi grubu şunlardır:
a) Çalışanlar,
b) Çalışan yakınları,
c) Eğitmen,
ç) İhaleye katılan gerçek kişiler,
d) Hizmet alan kişiler.
Güvenlik önlemleri
Madde 13 – (1) Veri işleyen, öğrendikleri kişisel verileri KVK hükümlerine aykırı olarak başkasına açıklayamaz ve işlem amacı dışında kullanamaz. Bu yükümlülük sözleşme’nin sona ermesinden sonra da süresiz olarak devam eder.
(2) Kişisel verilerin korunması için Veri işleyen tarafından alınacak güvenlik önlemleri diğerleri yanında şunlardır:
A. Kişisel veri güvenliğine ilişkin idari tedbirler
a) Mevcut risk ve tehditlerin belirlenmesi Üstte 11 inci madde hükmünde belirtilen ve Veri işleyen tarafından işlenecek olan kişisel verilerin güvenliğinin sağlanması için, bu verilerin korunmasına ilişkin ortaya çıkabilecek riskler ve kayıpların önlenmesi için, buna uygun tedbirleri alacaktır.

Bu riskler belirlenirken;
i. Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
ii. Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliğini dikkate alacaktır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya koyacaktır.

b) Çalışanların eğitilmesi ve farkındalık çalışmaları Veri sorumlusu nezdinde çalışan herkesin, hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarını belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanacaktır.

Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişiklikleri, çalışanların bilgisine sunacak ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulmasını sağlayacaktır.

c) Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, Veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilecektir.

Bu kapsamda alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetimi, çalışanlar üzerinde ortaya çıkabilecek baskıyı azaltmak amacı ile, politika ve prosedürler kapsamında; düzenli olarak kontroller yapacak, yapılan kontrolleri belgeleyecek, geliştirilmesi gereken hususları belirleyecek ve gerekli güncellemeleri yerine getirildikten sonra da düzenli olarak kontrollere devam edecekdir. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceğini de açıkça belirleyecektir.

ç) Kişisel verilerin mümkün olduğunca azaltılması KVK’nun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
Ancak, özellikle uzun süredir faaliyet gösteren veri sorumluları, çok fazla miktarda kişisel veri toplamakta olduğundan söz konusu kişisel verilerin bir kısmı zamanla doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir. Bunun önüne geçebilmek için, Veri Sorumlusu’nun işleme amaçları bakımından anılan kişisel verilere hala ihtiyaç olup olmadığının değerlendirilmesi ve kişisel verilerin doğru yerde muhafaza edilmesini sağlayacaktır.

Bunun yanında, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, Veri Sorumlusu’nun sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesini önerecek ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesini sağlayacaktır.

d) Veri işleyen ile ilişkilerin yönetimi Veri Sorumlusu’nun, Veri işleyenlerin kişisel veriler konusunda en az kendisi tarafından sağlanan güvenlik seviyesinin sağlandığından emin olması gerekmektedir. Zira KVK’nun 12 nci maddesinin ikinci fıkrası gereği Veri işleyen de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.

Veri işleyen, Veri sorumlusu adına işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabidir.

Herhangi bir veri ihlali olması durumunda, Veri işleyen bu durumu derhal Veri sorumlusuna bildirmekle yükümlüdür. Veri sorumlusu da bu ihlali derhal Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye bildirme yükümlülüğünü yerine getirecektir.

Veri sorumlusu, Veri işleyen’e ait kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptırır, denetim sonucunda ortaya çıkan raporları ve bu hizmet sağlayıcıyı yerinde inceleyebilir.
B. Kişisel veri güvenliğine ilişkin teknik tedbirler
a) Siber güvenliğin sağlanması Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı ilk savunma hattı olarak iyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlallerini durduracak önlemleri alacak ve internet ağ geçidi ile çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyici teknik tedbirleri alacaktır.. Bu çerçevede kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilebilecek yöntemi de uygulayabilecektir.

Ayrıca, yama yönetimi ve yazılım güncellemeleri olup yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığı düzenli olarak kontrol edilecek de olası güvenlik açıklarının kapatılması sağlanacaktır.

Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanıyan ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlayıcı bir yapı oluşturacaktır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesini sağlayacaktır.

Buna bağlı olarak Veri sorumlusu’nun, erişim yetki ve kontrol matrisi oluşturması ve ayrı bir erişim politika ve prosedürleri oluşturarak kendi organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınmasını sağlayacaktır.

Güçlü şifre ve parola kullanımının yanı sıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesini sağlamalı, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve Veri sorumlusu’yla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılmasını sağlayacaktır.

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılmasını sağlayacaktır. Ancak bu ürünlerin kurulumu ile birlikte güncel tutularak gereken dosyaların düzenli olarak tarandığını gerçekleştiren bir yapıyı oluşturacaktır.

Veri sorumlusu tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edildiğinde, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanacaktır.

b) Kişisel veri güvenliğinin takibi Veri sorumlularının sistemlerine hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmamasının önüne geçebilmek için;
i. Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
ii. Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
iii. Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
iv. Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
v.Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturacaktır. Söz konusu raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması sağlanacaktır.

Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilecek, bu sistemlerden gelen uyarılar üzerine harekete geçilecek, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testleri yapılacak ve ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeleri gerçekleştirilecektir.

Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanacak ve güvenli bir şekilde saklanacaktır.

c) Kişisel veri içeren ortamların güvenliğinin sağlanması
Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında da saklanmakta olup, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması için gereken tedbirler alınavcaktır. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması sağlanacaktır. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılması veya bileşenlerin ayrılması sağlanabilecektir. Aynı seviyedeki önlemlerin Veri sorumlusu yerleşkesi dışında yer alan ve Veri sorumlusu’na ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınacaktır.

Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi sağlanacaktır. Ayrıca çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için de mutlaka yeterli güvenlik tedbirleri alınacaktır. Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin gerekli önlemler alınacaktır.

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması kişisel veri güvenliğinin sağlanmasına yardımcı olacaktır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir. Benzer şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanması, söz konusu evraklara yetkisiz erişimin önlenmesi sağlanacaktır.

Bunlarla birlikte şifreleme farklı farklı formlarda kullanılan ve bu formlara göre farklı şartlar sağlayan bir güvenlik sağlama aracı olup, hangi şifreleme yöntemleri kullanılacaksa kişisel verilerin tam olarak korunması sağlanacak ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilecektir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine dikkat edilecektir.

ç) Kişisel verilerin bulutta depolanması Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan Veri sorumlusu’nun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Veri sorumlusunca değerlendirilmesi gereken destek hizmeti verecektir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerçekleştirilecektir.

Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması için gereken destek hizmeti verilecektir.

Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyalarının da yok edilmesi için gereken destek hizmeti verecektir.

d) Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri nedeniyle uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrolleri yapılacak, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilecektir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanacaktır.

Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise, bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemlerin yapılması sağlanacaktır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak dışarıya çıkartmasının engellenmesi için gerekli önlemlerin alınması sağlanacaktır.

e) Kişisel verilerin yedeklenmesi Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesini sağlayacaktır.

Ayrıca, kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesini sağlayacaktır.

Bu yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı ve veri seti yedeklerinin mutlaka ağ dışında tutulmaları sağlanmalıdır. Bu nedenle tüm yedeklerin fiziksel güvenliği de sağlanacaktır.
C) Kişisel veri güvenliğine ilişkin teknik ve idari tedbirler kapsamındaki özet tablolar
a) Teknik Tedbirler Veri sorumlusu tarafından alınabilecek teknik tedbirler aşağıda gösterilmiş olup, bunları tam olarak Veri işleyen gerçekleştirecek ve devamlı kontrol edecektir:
– Yetki Matrisi,
– Yetki Kontrol,
– Erişim Logları,
– Kullanıcı Hesap Yönetimi,
– Ağ Güvenliği,
– Uygulama Güvenliği,
– Şifreleme,
– Sızma Testi,
– Saldırı Tespit ve Önleme Sistemleri,
– Log Kayıtları,
– Veri Maskeleme,
– Veri Kaybı Önleme Yazılımları,
– Yedekleme,
– Güvenlik Duvarları,
– Güncel Anti-Virüs Sistemleri,
– Silme, Yok Etme veya Anonim Hale Getirme,
– Anahtar Yönetimi.
b) Veri sorumlusu tarafından alınabilecek idari tedbirler aşağıda gösterilmiş olup, bunları tam olarak Veri işleyen gerçekleştirecek ve devamlı kontrol edecektir:
– Kişisel Veri İşleme Envanteri Hazırlanması,
– Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.), – Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ),
– Gizlilik Sözleşmeleri,
– Veri sorumlusu İçi Periyodik ve/veya Rastgele Denetimler,
– Risk Analizleri,
– İş Sözleşmesi ve Disiplin Yönetmeliği içeriğinde kişisel veri düzenlemelerine yer verilmesi (Kanuna Uygun Hükümler İlave Edilmesi),
– Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
– Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve KVK),
– Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim.
Veri ihlalini bildirim
Madde 14 – (1) Veri İşleyen, bu sözleşme ile ilgili herhangi bir veri ihlali olması durumunda, bu durumu derhal Veri Sorumlusu’na bildirmekle yükümlüdür.
Denetim
Madde 15 – (1) Veri Sorumlusu, Veri İşleyen’in kullandığı kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptırır, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebilir.
Ücret ve ödeme
Madde 16 – (1) Veri sorumlusu, bu sözleşme ile üstlendiği edimlerini tam olarak ifa eden Veri işleyen’e aylık ……………. Türk Lirası hizmet ücreti ödeyecektir.
(2) Üst (1) nolu fıkrada belirtilen ücretler, Veri İşleyen’in ilgili banka hesabına, verilen hizmeti takip eden her ayın ilk haftası içinde havale yolu ile yatırılacaktır.
Sözleşmenin yüklenilmesi
Madde 18 – (1) Veri işleyen ile yüklenen tarafın (3. kişinin) yüklenim (sözleşmenin devri) sözleşmesi yapması ve bu sözleşmenin hüküm ve sonuç doğurması, Veri Sorumlusu’nun yazılı iznine bağlıdır. Aksi takdirde bu sözleşmenin ………. maddesi uygulanacaktır.
Alacağın temliki
Madde 19 – (1) Veri işleyen’in bu sözleşmeden doğan alacak hakkının üçüncü bir kişiye temliki tamamen yasaklanmıştır.
Borcun yüklenilmesi
Madde 20 – (1) Bu sözleşmede, Veri Sorumlusu’nun yazılı muvafakati olmadıkça, Veri işleyen’ e ait borcun, üçüncü bir kişi tarafından yüklenilmesi yasaklanmıştır.
İşletmenin devri
Madde 21 – (1) Veri işleyen, işyerini ve işletmesini kısmen de olsa başkasına satmamayı, devir etmemeyi, kiraya vermemeyi, muvazaa oluşturacak şekilde ortak sayısını arttırmamayı, işyerindeki uğraşı ve ticari faaliyet alanını değiştirmemeyi; Veri Sorumlusu’nun yazılı onayı dâhilinde işletmeyi kısmen satın ya da devir alan yahut ona ortak veya kiracı olan kişilerin de bu sözleşme hükümleri ile bağlı ve ondan dolayı Veri Sorumlusu’na karşı sorumlu olmalarını temin etmeyi ve ayrıca kendi sorumluluğunun da onlarla birlikte aynen devam edeceğini ve işyerinin başka bir yere taşınması halinde de bu sözleşme ile bağlı kalmayı kabul ve taahhüt etmektedir.
Fesih
Madde 22 – (1) Veri işleyen’in bu sözleşme’deki edimlerini zamanında ve gereği gibi yerine getirmemesi halinde, Veri Sorumlusu’nun önceden herhangi bir ihtarına gerek olmaksızın, sözleşmeyi tek taraflı ve derhal fesih hakkı vardır.
(2) Veri işleyen, sözleşme süresi içinde otuz gün önceden yazılı bildirimde bulunmak kaydıyla, sözleşmeyi dilediği zaman sona erdirebilir.
Cari hesap
Madde 23 – (1) Bu sözleşme, aynı zamanda Türk Ticaret Kanunu’nun 78 inci madde hükmü uyarınca, cari hesap sözleşmesi niteliğindedir. Bu bakımdan taraflar Türk Ticaret Kanunu’nun “cari hesap” a dair hükümlerine uymayı aynen kabul etmiştir. Taraflar en az üçer aylık dönemlerde karşılıklı cari hesap mutabakatı yaparlar.
Muvafakat
Madde 24 – (1) Veri sorumlusu bu sözleşme’den doğan haklarını kullanmaması durumunda ve bu tutum birden çok kere tekrarlansa bile, kendisinin bu hüküm ve diğer maddelerdeki hak ve yetkilerinden feragat ettiği anlamına gelmez.

(2) Veri sorumlusu bu sözleşme’de bulunan hükümlerin ihlali ve uyulmamasına rağmen, bu durumunu kabul etmesi, ona ihlaller karşısında hak ve yetkilerini kaybettirmez ve kısıtlamaz. Aynı şekilde ihlal edilen bir hüküm veya uygulama durumunda kendisinin hakkını aramasında geç kalması onun bu ihlal ve uyulmama karşısındaki haklarını ve yetkilerini kaybettiği anlamına gelmez.
Tedbir ve uygulama
Madde 25 – (1) Veri sorumlusu muaccel olsun veya olmasın, bu sözleşme’den doğan her türlü hak ve alacağı için ihtiyati tedbir veya ihtiyati haciz kararı alabilir veya uygulayabilir. Veri işleyen’in bu hususta hiçbir itirazı olmayacaktır. Veri Sorumlusu’nun ihtiyati tedbir ve ihtiyati haciz talebinde bulunması halinde teminat yatırmamasını da Veri işleyen kabul eder ve bu konudaki itirazlarından peşinin vazgeçer.
Gizlilik ve sır saklama
Madde 26 – (1) Bilgi sistemlerine ve bilgiye sadece yetkili kullanıcı, uygulama veya sistem tarafından erişilebilir. Bu sebeple Veri İşleyen, işbu sözleşme hükümlerinin Veri Sorumlusu’nun mutabık kalarak açıklanmasını istemediği sürece gizli olarak kalacağını üçüncü kişi, kurum ve/veya kuruluşlarda hiçbir açıklama yapmayacağını kabul ve taahhüt eder.

(2) Veri İşleyen, işlediği kişisel verileri süresiz olarak saklamakla yükümlüdür.
Değişiklik
Madde 27 – (1) Taraflar arasında yazılı ve imza altına alınmış olmadığı sürece iş bu sözleşme hükümleri sözlü olarak değiştirilemez.
Yerleşim yeri
madde 28 – (1) Taraflar yukarıda belirtilen hususların yerine getirilmesi için sözleşmenin giriş kısmında belirtilen adreslerini yasal yerleşim yeri edindiklerini beyan ve sözü geçen yere yapılacak tebliğlerin şahıslarına yapılmış sayılacağını, o yerde bulunmasalar bile, tebligatın iade edilmeyip uygulanmasını kabul ederler.

(2) Taraflardan herhangi biri yerleşim yerini değiştirse bile derhal diğer tarafa yeni yerleşim yeri göstermeyi taahhüt eder. Ancak bu surette yeni yerleşim yerini diğer tarafa noterlik eliyle tebliğ ettirmediği takdirde, yukarıda sözü geçen ilk yerleşim yerine yapılacak tebliğlere itiraz hakkı olmayacağını kabul eder.
Yetkili mahkeme ve icra dairesi
Madde 29 – (1) Bu sözleşme’nin uygulanması ve hükümlerinin yorumlanmasında ortaya çıkabilecek uyuşmazlıkların çözümlenmesinde, ivedi tedbir ve ihtiyati haciz ile tarafların mahkemelere başvurmalarını gerektiren durumlarda Bursa mahkeme ve icra daireleri yetkilidir.
Tevdi
Madde 30 (1) İş bu sözleşme iki asıl olarak düzenlenmiş olup, bir sureti Veri sorumlusu ve ikinci sureti Veri işleyen tarafından imzalanıp diğer tarafa tevdi edilmiştir.
İmza ve geçerlilik
Madde 31 – (1) Bu sözleşme madde hükümlerinin herhangi birinin geçersiz olması halinde bu durum, sözleşmenin diğer madde hükümlerinin geçerliliğini etkilemeyecektir.

(2) İş bu sözleşme otuz bir maddeden ibaret olup, taraflar/temsilcileri/vekillerince hiç bir korkutma ve aldatma olmaksızın okunmuş, anlaşılmış, özgür iradeleriyle …./…./……….. tarihinde ……………..’da imzalanarak, aynı gün yürürlüğe girmiştir.

VERİ SORUMLUSU VERİ İŞLEYEN
AD VE SOYAD AD VE SOYAD
GÖREV UNVANI GÖREV UNVANI
İMZA VE KAŞE İMZA VE KAŞE

Personal Data Protection Law