VERİ İŞLEYEN SÖZLEŞMESİ

Sayfa:1 /6 F.7.1.1/37 Rev:00 Tarih: 12.10.2021 VERİ İŞLEYEN SÖZLEŞMESİ

 

İşbu Kişisel Verilerin İşlenmesine, Aktarılmasına ve Korunmasına İlişkin Sözleşme (“Sözleşme”), 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bağlantılı mevzuat düzenlemeleri doğrultusunda kişisel verinin işlenmesi hususunda, ………………………………………………………… adresinde faaliyet gösteren ANSAN METAL VE PLASTİK SAN. TİC. PAZ. LTD. ŞTİ. (kısaca “ANSAN” “Şirket” olarak anılacaktır.) ile ………………………………………………. adresinde faaliyet gösteren ………………………………………………. (bundan böyle “Firma” veya “Veri İşleyen” olarak anılacaktır.) arasında; (her biri ayrı ayrı “Taraf” ve birlikte “Taraflar” olarak anılacaktır) tarafından Firma’ya aktarılan veya Firma tarafından doğrudan ANSAN adına elde edilen EK-1’de listeli kişisel verilerin işlenmesine ilişkin olarak, uygun güvenlik tedbirlerinin belirlenmesi amacıyla ……………………… tarihinde imzalanmıştır. 1. TANIMLAR: Bu Sözleşme amaçları doğrultusunda: (a) “Kanun”; 6698 sayılı Kişisel Verilerin Korunması Kanunu, (b) “Kişisel Veri”; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, (c) “Özel Nitelikli Kişisel Veri”; Kanunun 6. Maddesinde tanımlanan veriler, (d) “Kişisel Verilerin İşlenmesi”; Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, (e) “Veri İşleyen”; Veri Sorumlusu konumundaki ANSAN ’ın verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen işbu Sözleşme tarafı, (f) “Veri Sorumlusu”; Kişisel Verilerin, İşleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tarafı, (g) “Veri Kayıt Sistemi”; Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, (h) “İlgili Kişi”; Kişisel verisi işlenen gerçek kişiyi ifade eder. (i) “Kurum”; Kişisel Verileri Koruma Kurumu (j) “Kurul”; Kişisel Verileri Koruma Kurulu 2. AKTARIM DETAYLARI: 2.1. Sözleşme kapsamında toplanacak ve/veya işlenecek kişisel veriler EK-1’de yer almaktadır. 2.2. Kişisel veriler, Firma’ya yazılı olarak, elektronik ortamda ve sair şekillerde aktarılabilecektir. 3. AMAÇLA SINIRLI KULLANIM: 3.1. Kişisel veriler, Firma tarafından münhasıran taraflar arasında mutabık kalınmış olan ve EK-1’de belirtilen ANSAN adına yürütülecek ………………………………………………………………………….. hizmetlerinin sunulması ve bu amaçla imzalanan hizmet sözleşmelerinin ifası amacıyla işlenebilecektir. Kişisel verilerin anılan kapsamın dışında herhangi bir şekilde işlenmesi, ANSAN ’ın konuya ilişkin ön yazılı onayına tabi olacaktır. Herhangi bir şüpheye mahal bırakmamak için belirtilir ki; ANSAN tarafından aktarılan kişisel verilerin Firma’nın kendi nam ve hesabına olarak yürütülecek faaliyetler için kullanılması yasaklanmıştır.

Sayfa:2 /6 F.7.1.1/37 Rev:00 Tarih: 12.10.2021 3.2. Firma, taraflar arasındaki hizmet, danışmanlık, vb. diğer tüm ticari ilişkilere yönelik yürürlükteki sözleşme/sözleşmelerin (kısaca hepsi birlikte “Hizmet Sözleşmesi”) sona ermesi ile birlikte anılan Hizmet Sözleşmesi ile ilgili kişisel verilerin kayıtlı bulunduğu her türlü medya ve ortamı ANSAN imza karşılığı teslim edecek ve akabinde kendi nezdindeki kayıtları silecek, yok edecek veya anonim hale getirecektir. Şu kadar ki Firma, yasal zorunlulukları olması halinde, yasal sorumluluklarının gerektirdiği ölçüde, kişisel verileri saklayabilecektir. 4. VERİ GÜVENLİĞİ VE YÜKÜMLÜLÜKLER 4.1. Firma, kişisel verilere gerek kendi personeli gerekse üçüncü taraflarca yetkisiz bir şekilde erişilmesini ve kişisel verilerin kendisine aktarımı amacı dışında kullanılmasını engelleyecek şekilde gerekli ve Kanun’da belirtilen uygun güvenlik düzeyi önlemlerini almakla yükümlüdür. Firma, bu kapsamda alınacak önlemlerin her halükarda (varsa) yürürlükteki mevzuat veya benzer alanlarda faaliyet gösteren basiretli bir tacir tarafından kendi nezdinde saklanan kişisel verilerin güvenliği için alınan önlemlerden daha az olmayacağını kabul ve beyan eder. Bu tedbirler sayılanlarla sınırlı olmamak üzere; EK-2’de belirtilen hususları da içerecektir. ANSAN tarafından sözleşme kapsamında “Özel Nitelikli Kişisel Veriler’in paylaşımının söz konusu olması halinde, söz konusu veriler, Kurul tarafından “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca belirlenen nitelikler nezdinde uygun güvenlik düzeyi önlemlerine ve yetkilendirmelerine tabi şekilde korunacaktır. 4.2. Kişisel verilere herhangi bir şekilde yetkisiz erişim gerçekleşmesi veya kişisel verilerin herhangi bir şekilde işbu Sözleşme’ye aykırı şekilde üçüncü taraflarca erişilebilir hale gelmesi durumunda Firma derhal (aynı gün içerisinde) ANSAN ’a bildirecek ve bir zararın doğmaması ya da oluşabilecek zararın asgariye indirilebilmesi için ANSAN tarafından talep edilen her türlü bilgi, belge ve desteği gecikmeksizin sağlayacaktır. 4.4. Firma, kişisel verilerin işlenmesine ilişkin olarak işbu Sözleşme kapsamında öngörülen hususlarda, personelini ve varsa alt yüklenicisinin personelini yazılı bir şekilde bilgilendirmekle yükümlüdür. Bahsi geçen personelin Sözleşme veya mevzuatta yer alan düzenlemelere aykırı davranması halinde oluşacak zararlardan Firma müşterek ve müteselsilen sorumlu olacaktır. 4.5. Firma, kişisel verileri gizli bilgi olarak muhafaza etmekle yükümlüdür. Firma’nın, ANSAN ile olan hizmet ve/veya gizlilik sözleşmelerinde yer alan gizlilik ile ilgili yükümlülükleri kişisel veriler bakımından da geçerli olacaktır. 5. İLGİLİ KİŞİ’NİN HAKLARI: Firma, ANSAN tarafından kendisine iletilen, İlgili Kişi’nin taleplerini bir hafta içinde yerine getirmekle ve bu işlemi kanıtları ile birlikte ANSAN bildirmekle yükümlüdür. İlgili Kişi’nin herhangi bir şekilde doğrudan Firma’dan talepte bulunması halinde söz konusu talebe ilişkin olarak derhal (her halükarda ertesi iş günü) ANSAN ’a yazılı bildirimde bulunulacak ve ANSAN ’ın talep ve talimatları doğrultusunda aksiyon alınacaktır.

Sayfa:3 /6 F.7.1.1/37 Rev:00 Tarih: 12.10.2021 6. DENETİM: 6.1. Firma, Sözleşme kapsamındaki kişisel veri işleme faaliyetleri bakımından ANSAN denetimine tabi olduğunu kabul ve beyan eder. ANSAN, söz konusu denetim hakkını masrafı kendisine ait olmak üzere bizzat veya üçüncü bir kişi eliyle kullanabilecek veya Firma’dan söz konusu denetimi gerçekleştirmesini talep edebilecektir. Söz konusu denetimler neticesinde Firma’nın kişisel verilere ilişkin yükümlülüklerine aykırı davrandığının tespit edilmesi halinde, ilgili denetim masrafları Firma tarafından ANSAN ’e ödenecektir. 6.2. Firma’nın bu Sözleşme’de yer alan yükümlülüklerinin herhangi birini yerine getirmemesi halinde ANSAN, işbu Sözleşme ve Taraflar arasında yürürlükte bulunan diğer sözleşmeleri derhal geçerli olmak üzere feshedebilecektir. 7. TAZMİNAT: ANSAN ’in, Firma tarafından işbu sözleşme hükümlerinin ihlali de dahil olmak üzere Firma’dan kaynaklanan nedenlerle bir zarara uğraması, yasal, idari veya cezai bir yaptırıma tabi tutulması ya da herhangi bir zararı tazminle mükellef kılınması halinde, söz konusu tutarlar Firma’ya rücu edilecek ve ilk yazılı talepte tüm ferileri ile birlikte ANSAN ’e ödenecektir. 9. UYGULANACAK HUKUK VE YETKİLİ MAHKEME: Sözleşme, Türk hukukuna tabi olacaktır. Sözleşmeden kaynaklanan ihtilafların hallinde İstanbul Merkez Mahkemeleri ve İcra Daireleri yetkilidir. 10. SÖZLEŞME’NİN DEVRİ: 10.1. Taraflar sözleşme ve sözleşmeden kaynaklanan hak ve yükümlülüklerini üçüncü kişilere devir ve temlik edemez, Firma ANSAN ’ın yazılı onayı ile alt yüklenici kullanabilecektir. Firma, alt yüklenici kullanılan hallerde dahi sözleşme kapsamındaki sorumluluğunun aynen devam edeceğini ve alt yüklenici ihlallerinden de bizzat sorumlu olacağını kabul eder. ANSAN alt yüklenici ile belirli bir içerikte sözleşme kullanılması ve alt yüklenici ile imza edilen sözleşmenin bir kopyasının ANSAN ’a verilmesini talep hakkı saklıdır. ANSAN METAL VE PLASTİK ………………………………………. SAN. VE TİC. LTD. ŞTİ.

Sayfa:4 /6 F.7.1.1/37 Rev:00 Tarih: 12.10.2021 EK 1 Sözleşme Konusu Kişisel Veriler Sözleşme kapsamında Firma tarafından işlenmesi gerçekleştirilen/gerçekleştirilmesi planlanan kişisel veriler ve işleme faaliyetleri ile işleme faaliyetinin amacı ve kişisel veri aktarım yöntemi aşağıda belirtilmektedir: A. Kişisel Veriler : Kimlik, İletişim ……………………… C. İşleme Faaliyetleri : Kaydetme, Aktarma, Saklama, D. İşleme Faaliyeti’nin Amacı : Çağrı merkezi hizmetlerinin yönetimi E. Kişisel Veri Aktarım Yöntemi: E-Posta, Web ortamında veri transferi İşbu EK-1 taraflar arasında yürürlükte bulunan Kişisel Verilerin İşlenmesine İlişkin Çerçeve Sözleşme’ye ek olarak ………………………………………………… tarihinde imza edilmiştir. ANSAN METAL VE PLASTİK …………………………….. SAN. TİC. PAZ. LTD. ŞTİ.

Sayfa:5 /6 F.7.1.1/37 Rev:00 Tarih: 12.10.2021 EK-2 VERİ GÜVENLİĞİ TEDBİRLERİ Kişisel verilerin işlenmesi ile ilgili olarak Firma’nın almakla yükümlü olduğu veri güvenliği tedbirleri sayılanlarla sınırlı olmamak üzere aşağıda yer alan hususları da kapsar: 1. Kişisel veri güvenliğini de kapsayan bir bilgi güvenliği politikası ve prosedürleri oluşturmalıdır. Çalışan tüm personel bu politika ve prosedürler konusunda bilgilendirilmelidir. 2. Tüm personele düzenli olarak bilgi güvenliği ve kişisel verilerin korunması konusunda eğitim ve bilgilendirme yapılmalıdır. 3. Firma, kişisel verilere erişebilen personel ile verinin gizliliğini korunmak üzere, verilen hizmet anlaşması çerçevesinde, erişilen verinin gizliliğinin anlaşıldığını ve buna uygun hareket edileceğini gösteren bir hükmü personel ile imzaladığı iş sözleşmesine eklemekle yükümlüdür. 4. Kişisel verilere erişimler, görev ayrılığı çerçevesinde, sadece yetkili personele tanımlanmalı, yetkisiz personelin kişisel verilere erişimi engellenmelidir. 5. Kişisel verilere erişim için erişim metodu tanımlı olmalı ve erişimler uygun onaylar ile verilmelidir. Erişimler yılda en az 1 kez ve verinin kritikliğine bağlı olarak daha sık olmak üzere incelenmeli ve yetkiler düzenlenmelidir. Yetkili personelin görev değiştirmesi veya görevden alınması durumunda, erişimler derhal kaldırılmalıdır. 6. Kişisel verilerin saklandığı tüm elektronik ortamlara erişim şifre ve kullanıcı adı ile yapılmalı ve erişim kayıtları tutulmalıdır. Firma, kişisel veri erişimleri için uygun bir şifre politikasına sahip olmalıdır. Tüm kullanıcı adları ve şifreler kişiye özel olmalı, hiçbir şekilde şifre paylaşımı yapılmamalıdır. Veriye yetkisiz ve yasal olmayan erişimlerin tespit edilmesini sağlayan kayıtlar (log) tutulmalı, uygun bir süre saklanmalı ve düzenli olarak incelenmelidir. 7. Firma, tespit ettiği herhangi bir yetkisiz erişim veya ifşayı derhal ANSAN ’a bildirmelidir. İlgili tüm log kayıtları saklanmalı ve gerektiğinde ANSAN ’a teslim edilmelidir. 8. Kişisel verilerin tutulduğu ortamlar kötücül yazılımlardan korunma ve engelleme sağlayan uygun programlar (örneğin anti-virüs yazılımları) ile korunmalı ve güncelliği sağlanmalıdır. 9. Kişisel veriler, şirket dışındaki üçüncü kişilerin erişimine açık olan ortamlarda (internet ortamı vb.) saklanmamalıdır. 10. Üçüncü kişilerin erişimine açık alanlar ve şirket veri alanları arasında uygun güvenlik önlemleri (firewall vb.) tesis edilmeli, veri gizliliğini tehlikeye atacak ataklara karşı önlemler (IDS/IPS vb.) alınmalıdır. Sayfa:6 /6 F.7.1.1/37 Rev:00 Tarih: 12.10.2021 11. Kişisel veri içeren her türlü doküman ve iletişim “Gizli Bilgi” ve “ANSAN ’a Özel Bilgi” olarak işaretlenmelidir. 12. Kişisel verilerin herhangi bir yolla (e-posta, dosya transferi protokolü (FTP), dosya paylaşımı vb.) aktarımı şifreli metodla gerçekleştirilmelidir. Kişisel veriler uygun bir şifreleme sistemi olmaksızın taşınabilir ortamlarda (USB bellek, harici disk vb.) muhafaza edilmemeli/aktarılmamalıdır. 13. Kişisel verilere şirket dışından erişimler, şirketin güvenli erişim kanalları (VPN vb.) üzerinde yapılmalıdır. Kişisel veriler şirkete ait bilgisayarlarda saklanmamalı, şirkete ait olmayan herhangi bir bilgisayar veya elektronik cihaz üzerine kopyalanmamalıdır. 14. Firma için kişisel verilerin tutulduğu, saklandığı ortamlar (sunucular, veri depolama sistemleri vb.) fiziksel olarak korunmalıdır. Bu ortamlara girişler kontrollü olmalı, sadece yetkili personel girecek şekilde sınırlandırılmalıdır. 15. Kişisel verileri silmek için uygun yöntemler kullanılmalıdır. Elektronik ortamlardaki silme işlemleri, geri döndürülemeyecek şekilde yapılmalı, diğer ortamlar için (kağıt vb.) uygun metotlar (kağıt öğütücü vb.) kullanılmalıdır. 16. Firma, kişisel veriler üzerinde, yukarıda tanımlananlar haricinde, ilgili mevzuatta belirtilen her türlü önlemi almalıdır.