Veri İşlenmesinde Uyulacak Esaslara Dair Genel Şartlar

 

1.Madde - Uygulama Alanı
İşbu Veri İşlenmesinde Uyulacak Esaslara Dair Genel Şartlar metni (“Sözleşme”), İstanbul Ticaret Sicili’ne [875379] sicil numarası ile kayıtlı, Maslak Mahallesi Atatürk Oto Sanayi Sitesi 53. Sokak no:7/1 Sarıyer/İSTANBUL adresinde yerleşik OTO GONG ARACILIK VE DANIŞMANLIK HİZ. TİC. LTD. ŞTİ. ile  Sözleşme yapılan Veri İşleyen Şirket arasında Sözleşme’nin imza tarihi öncesinde yürürlüğe girmiş ve/veya sonrasında yürürlüğe girecek tüm sözleşmelerde 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan ve kişisel verilerin korunmasına ilişkin yürürlükteki ve/veya yürürlüğe girebilecek sair mevzuat ile Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurulu kararlarından doğan ve/veya doğabilecek yükümlülüklere ilişkin tüm hususlarda uygulanır.

2.Madde – Tanımlar
Bu sözleşmede geçen anlaşılır.

İşbu sözleşmede geçen;

“Veri Sorumlusu” deyiminden OTO GONG ARACILIK VE DANIŞMANLIK HİZ. TİC. LTD. ŞTİ.
“Veri İşleyen” deyiminden işbu Sözleşmenin diğer tarafı olan Şirketiniz,
“Taraf” veya “Taraflar” deyimlerinden tek başlarına ya da birlikte Veri Sorumlusu ve Veri İşleyen,
“(kişisel verilerin) işlenme(si)”,“İlgili Kişi” deyimlerinden 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 3.maddesindeki tanımlar;
 “Hizmet” deyiminden Taraflar arasında yapılmış ve/veya yapılacak sözleşme/lere göre Veri İşleyen tarafından sunulacak tüm hizmetler,
“Kişisel Veri”  deyiminden Hizmet kapsamında işlenen Kanun’un 3. maddesi anlamındaki kişisel veriler,
"Güvenlik İhlali" ifadesinden herhangi bir Kişisel Veri'nin izinsiz olarak açıklanması ya da Veri İşleyen'in Kişisel Veri'yi bulundurduğu sistemlere izinsiz olarak erişilmesi (fiziksel ve diğer yollarla) durumları,
“Teknik ve İdari Tedbirler” teriminden işbu Sözleşme’nin 6.maddesinde yer alan “Teknik ve İdari Tedbirler”
“Kurum” teriminden Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurumu
anlaşılır.

3.Madde – Veri İşleyenin Yükümlülükleri
Veri İşleyen işbu Sözleşme uyarınca Veri Sorumlusu adına Kişisel Veri işlediği hallerde;

yalnızca Veri Sorumlusu’nun talimatları doğrultusunda, hizmetin gerektirdiği şekilde ve Sözleşme’ye uygun bir biçimde Veri Sorumlusu adına Kişisel Verileri işleyeceğini;
ancak emredici hukuk kaidelerine göre gerekli olduğu ölçüde Kişisel Veri işleyebileceğini;
Kişisel Verilerin hukuka aykırı olarak işlenmesini, bunlara hukuka aykırı olarak erişilmesini önlemeye, bunların muhafazasını sağlamaya; veri kaybı oluşmasını, verilerin yok olmasını, zarar görmesini, değiştirilmesini veya açıklanmasını engellemeye yönelik gerekli, söz konusu verinin nitelikleri göz önünde bulundurularak, veriye yetkisiz veya hukuka aykırı erişim sebebiyle oluşabilecek veri kaybı, yok olması veya zarar görmesi durumunda oluşacak zarar ile orantılı, Teknik ve İdari önlemleri almayı;
Hizmetin ifası için yalnızca Türkiye Cumhuriyeti sınırları dâhilinde veri işlemeyi,
Hizmetin ifasına esas teşkil eden sözleşme/lerin feshi veya başka bir nedenle son bulması halinde Veri Sorumlusu’na derhal geri vermeyi veya Veri Sorumlusu’nun talebine göre silmeyi ve/veya yok etmeyi
taahhüt, kabul ve beyan eder.

4.Madde - Veri İşleyenin Çalışanı
Veri İşleyen, Kişisel Veri’ye erişimi olan çalışanının güvenilirliğini temin bakımından gerekli önlemleri alacak, Kişisel Verilerin işlenmesinde yalnızca kişisel verilerin korunması mevzuatı ve Kişisel Verilerin niteliği hakkında bilgilendirilmiş çalışan kullanacaktır.

5.Madde – Kişisel Verilerin Kullanımı ve 3. Kişilerle Paylaşımı
Veri İşleyen işbu Sözleşme’nin açıkça izin verdiği haller haricinde ve Hizmet zorunlu kılmadıkça, Veri Sorumlusu’nun yazılı izni olmadıkça veya Türkiye Cumhuriyeti mevzuatı uyarınca yetkili idari veya adli makamlarca hukuka uygun biçimde talep edilmedikçe Kişisel Verileri işlemeyecek, kullanmayacak veya ifşa etmeyecektir. Veri İşleyen, Hizmet’in ifasının kısmen veya tamamen devri dâhil Kişisel Verileri 3.kişilere bir sözleşme kapsamında aktarmadan, başka şekilde yayınlamadan veya ifşa etmeden önce Veri Sorumlusu’nun yazılı rızasını alacaktır. Yetkili idari veya adli makamların hukuka uygun talepleri karşısında veri paylaşılması gereken hallerde, Veri İşleyen Veri Sorumlusu’nu derhal durumdan haberdar edecek ve Taraflar’ın hukuki ve ticari menfaatleri açısından gerekli iş birliğinde bulunacaktır.

6.Madde – Teknik ve İdari Tedbirler


Veri İşleyen;

Kişisel Veri’nin işlenmekte olduğu yerlere izinsiz kişilerin girişi (Giriş Denetimi),
İzinsiz kişilerin veri taşıyıcılarını okuması, kopyalaması, değiştirmesi ve çıkarmasını Veri (Veri Ortamıyla Bağlantılı Çalışanın Denetimi),
Kişisel Veri’nin açıklanması ya da veri ortamında taşınması sırasında izinsiz kişilerin bunları okuması, kopyalaması, değiştirmesi ve silmesini (Taşıma Denetimi),
Kişisel Veri’nin bellekte izinsiz olarak bulundurulması, kişisel verilere izinsiz olarak erişilmesi ve bunların değiştirilmesi ya da silinmesini (Kayıt Denetimi),
Otomatik veri işleme sistemlerinin izinsiz kişilerce iletim sistemleriyle (örneğin uzaktan erişim) kullanılmasını engelleyecektir.


Veri İşleyen;

Kişisel Veri’nin iletim sistemleriyle açıklandığı alıcıların kimliklerinin belirlenebilir olmasını (Denetlenebilirlik),
Yetkili kişilerin kişisel veriye erişiminin, görevlerini ifa etmeleri için zorunlu erişim düzeyiyle sınırlı olmasını (Erişim Denetimi),
Otomatik sistemlerde, hangi kişisel verinin ne zaman ve kim tarafından girildiği geriye dönük olarak takip edilebilmesini (Girdi Denetimi) sağlayacaktır.
7.Madde – Talep ve Şikâyetleri Veri Sorumlusuna Bildirim Yükümlülüğü
İlgili kişi tarafından Kişisel Veri’ye erişim talep edilmesi veya Kanun çerçevesinde Veri Sorumlusu’nun yükümlülüklerine ilişkin şikâyette bulunulması veya Veri Sorumlusu’ndan Kanun’un 11. maddesi uyarınca herhangi bir talepte bulunulması ile Güvenlik İhlali halinde,  ilgili kişiye herhangi bir bilgi vermeden, bir (1) işgünü içerisinde Veri Sorumlusu’nu haberdar edecektir. Veri İşleyen, Veri Sorumlusu’na kendisine iletilen her türlü şikâyet ve talep hakkında her türlü desteği verecek ve Veri Sorumlusu ile işbirliği yapacaktır. Burada sayılanlarla sınırlı olmamak üzere Veri İşleyen;

Veri Sorumlusu’na şikâyet veya talebe ilişkin tüm detayları ileteceğini,
Kişisel verinin yasa gereği açıklanması gerekli olduğu hallerde derhal Veri Sorumlusu'na ihbarda bulunmayı,
Veri Sorumlusu’na her türlü bilgi ve belgeyi vereceğini kabul, beyan ve taahhüt eder.


8.Madde – Veri İşleyenin Denetimi
Veri İşleyen, Veri Sorumlusu’nun (gizliliğe ilişkin gerekli önlemlerin alınması şartıyla), Veri İşleyen’in aralarındaki Sözleşmesel ilişki kapsamıyla sınırlı olarak faaliyetlerini denetlemesine müsaade edecek ve işbu Sözleşme’den doğan yükümlülüklerini usulü dairesinde yerine getirip getirmediğinin denetlenmesi hususunda her türlü makul talep ve talimatlarına uyacaktır. Veri Sorumlusu, denetim faaliyetlerinin Hizmet kapsamında belirtilen işleme faaliyetleriyle sınırlı olarak, Veri Sorumlusu bünyesinde yer alan ya da bağımsız üyelerden oluşan ve Veri Sorumlusu tarafından seçilen, gerekli mesleki niteliklere sahip ve gizlilik yükümlülüğüne tabi olan bir inceleme organı tarafından gerçekleştirileceğini taahhüt eder.

 

Denetime ilişkin talepler, Veri Sorumlusu tarafından en geç 15 (onbeş) gün öncesinde Veri İşleyen’e yazılı olarak bildirilecektir. Veri İşleyen, iş faaliyetlerinin yoğunluğu ve ilgili çalışanın denetime refakatinin mümkün olmaması gerekçeleriyle denetim talebinin bir defaya mahsus ileri bir tarihe ertelenmesini talep edebilir. Bu erteleme her durumda 15 (onbeş) günden fazla olamaz. Taraflar, Kurum’un Veri İşleyen’e yönelik denetim yapabileceğini kabul ederler.

 

Bu madde kapsamında Veri Sorumlusu tarafından gerçekleştirilecek denetleme sırasında Veri İşleyen soruların cevaplanması için yeterli uzmanlık ve yetki düzeyine sahip bir veya birden fazla çalışanı hazır bulunduracaktır.

 

Veri İşleyen, Hizmet kapsamında belirtilen işleme faaliyetleriyle sınırlı olarak veri işlenmesine ilişkin tüm kayıt ve dokümanları Veri Sorumlusu’nun talebi halinde veri işlemenin mevzuata ve işbu Sözleşme’ye uygunluğu bakımından incelenmesi için Veri Sorumlusu’na gönderecek ya da Veri Sorumlusu’nun erişimine açacaktır.

 

Veri İşleyen, Veri Sorumlusu’nun talebi halinde Veri Sorumlusu tarafından belirlenecek makul süre içerisinde, almış olduğu Teknik ve İdari Tedbirler listesini, Veri İşleyen’in kişisel verilerin korunması mevzuatına uyumu hakkındaki taahhüdünü yazılı olarak iletir.

9.Madde – Veri İşleyene Rücu Şartları
Veri İşleyen yürüttüğü veri işleme faaliyetleri kapsamında Veri Sorumlusu’nun 3. kişilere karşı yükümlülüklerini göz önünde bulunduracaktır. Veri İşleyen’in işbu Sözleşme’ye aykırı davranması sebebiyle Veri Sorumlusu’nun dava sonucu herhangi bir idari para cezası ödemekle yükümlü kalması halinde; Veri Sorumlusu, söz konusu aykırılıktan dolayı mevzuata aykırı hareket etmiş olması nedeniyle kusurlu olması halinde Veri İşleyen’e rücu edebilecektir.

10.Madde – Sözleşmenin Yürürlüğü, Süresi ve Feshi
İşbu Sözleşme, Taraflarca imzalandığı tarihte yürürlüğe girer. Hizmet’in sunulmasına ilişkin taraflar arasında yapılmış ve/veya yapılacak sözleşmelerden herhangi birinin feshi halinde işbu Sözleşme yürürlükte kalmaya devam eder.

 

Sözleşme’nin yürürlük tarihi öncesinde Taraflar arasında akdedilmiş olan sözleşmeler kapsamında Sözleşme’nin yürürlük tarihi öncesinde gerçekleştirilmiş işleme faaliyetlerinin işbu Sözleşme’ye aykırılığı ileri sürülemez.

 

İşbu Sözleşme’nin herhangi bir hükmüne aykırılık halinde Veri Sorumlusu’nun yazılı ihtarına rağmen Veri İşleyen’e verilen 30 (otuz) günlük süre içerisinde aykırılık giderilmezse Veri Sorumlusu, Hizmet’in sunulmasına ilişkin Taraflar arasında yapılmış ve/veya yapılacak tüm sözleşmeleri feshedebilir.

11.Sözleşme’nin Bütünlüğü


Sözleşme, Taraflar arasında yürürlüğe girmiş ve/veya sonrasında yürürlüğe girecek tüm diğer sözleşmelerin ayrılmaz ve bütünleyici bir parçasını oluşturur. Kişisel Veriler, ilgili sözleşmeler kapsamında ve Hizmet’in gerektirdiği usulde işlenecek olup; Taraflar, gerekmesi halinde, Kişisel Verilerin Korunması Kanunu’nda yer alan kişisel veri işleme şartları ve aydınlatma yükümlülüğüne ilişkin istisnalar hariç olmak üzere, aydınlatma ve açık rıza alma yükümlülüğünün bulunduğunu kabul ve beyan etmektedir. Taraflar, gerekmesi halinde, gerçekleştirecekleri aydınlatma ve açık rıza yükümlülükleri kapsamında ekte yer alan İşlenecek Veriye İlişkin Detaylar’ı dikkate alacaktır. Taraflar, yeni hizmet veya ürünlerin geliştirilmesi ya da uygulamaya alınması neticesinde söz konusu İşlenecek Veriye İlişkin Detaylar’ı yazılı mutabakatları neticesinde revize edebilirler.

12.Madde – Öncelikle Uygulanma
İşbu Sözleşme’nin 1.maddesi uyarınca uygulama alanına giren hallerde işbu Sözleşme’nin hükümleri ile Taraflar arasında yapılmış ve/veya yapılacak sözleşme hükümleri arasında ihtilaf çıktığında işbu Sözleşme hükümleri öncelikle uygulanır. Veri Sorumlusu bu hükmü değiştirmeye yönelik tüm icapları peşinen reddeder.