KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN TARAFLAR ARASI PROTOKOL

1. KONU VE KAPSAM

İşbu Kişisel Verileri Koruma Politikası ve Protokolü (“Protokol”), taraflar arasındaki ana Hizmet Sözleşmesi’nin ayrılmaz bir parçası olup, hizmetin ifası sırasında kişisel verilerin işlenmesine ilişkin usul ve esasları belirler.

Metinde geçen; "İşleme", "Kişisel Veri", "Veri Sorumlusu" ve "Veri İşleyen" terimleri; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), 6102 sayılı Türk Ticaret Kanunu (TTK) ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun tahtındaki tanımları ile kullanılacaktır. Veri İşleyen, Veri Sorumlusu adına Ek-2’de belirtilen kategorilerdeki verileri, yalnızca ana sözleşmenin ifası amacıyla işleyecektir.

2. TARAFLARIN HAK VE YÜKÜMLÜLÜKLERİ

2.1. Veri İşleyen; kişisel verileri yalnızca Veri Sorumlusu’nun yazılı talimatları doğrultusunda ve ana sözleşmenin sınırları içerisinde işlemeyi taahhüt eder. Veri İşleyen, kendisine iletilen verileri kendi ticari amaçları veya üçüncü tarafların menfaati için kullanamaz.

2.2. Veri İşleyen, veri işleme faaliyetlerinde uzmanlığından faydalanılan bir hizmet sağlayıcıdır. Ancak teknik araçların seçimi ve operasyonel süreçlerin yürütülmesinde Veri Sorumlusu’nun genel talimatlarına ve yasal mevzuata sadık kalarak kendi profesyonel takdir yetkisini kullanabilir.

3. VERİ GÜVENLİĞİ VE SAKLAMA KOŞULLARI

3.1. Veri İşleyen, KVKK Madde 12 uyarınca veri güvenliğini sağlamak amacıyla aşağıdaki teknik ve idari tedbirleri almayı kabul eder:

• Erişim Kısıtlaması: Verilere yalnızca hizmetin ifası için gerekli olan sınırlı sayıda yetkili personelin erişmesi sağlanır.
• Siber Güvenlik: Veriler hem aktarım sırasında hem de sunucularda dinlenme halindeyken güncel şifreleme (AES-256 vb.) yöntemleri ile korunur.
• Gizlilik Taahhüdü: Verileri işleyen tüm personel, iş akdi sona erse dahi süresiz devam edecek olan yazılı gizlilik taahhüdü altındadır.
• Fiziki Güvenlik: Verilerin tutulduğu veri merkezleri ve ofis alanları 7/24 izlenmekte ve yetkisiz erişime karşı korunmaktadır.

3.2. Veri İşleyen, Veri Sorumlusu’nun talebi halinde uygulanan güvenlik politikalarını belgelemek, denetimlere imkan tanımak ve mevzuattaki değişikliklere göre bu politikaları güncellemekle yükümlüdür.

3.3. Veri Sahibi Başvuruları: Herhangi bir veri sahibi (Müşteri) haklarını kullanmak için Veri İşleyen ile iletişime geçerse, Veri İşleyen bu talebi en geç 2 (iki) iş günü içinde Veri Sorumlusu’na iletir. Veri İşleyen, Veri Sorumlusu’nun KVKK Madde 11 ve GDPR Bölüm 3 kapsamındaki yanıt yükümlülüklerini yerine getirmesine teknik destek sağlar.

4. GÜVENLİK DENETİMİ VE İYİLEŞTİRMELER

4.1. Siber tehditlerin değişken yapısı gereği Veri İşleyen, güvenlik önlemlerini periyodik olarak gözden geçirir. Sızma testleri ve zafiyet taramaları ile sistemlerini güncel tutar.

4.2. Veri Sorumlusu, ek güvenlik önlemleri talep edebilir. Bu taleplerin maliyet ve operasyonel etkileri taraflarca iyi niyetle müzakere edilerek ana sözleşmeye zeyilname olarak eklenir.

5. DENETİM HAKKI

5.1. Veri Sorumlusu, Veri İşleyen’in işbu Protokol hükümlerine uyumunu yılda bir kezden fazla olmamak üzere (haklı bir şüphe hali hariç) denetleme hakkına sahiptir. Denetim, tarafların üzerinde mutabık kaldığı bağımsız bir denetçi tarafından gerçekleştirilir.

5.2. Denetim sonucunda bir ihlal tespit edilmezse masraflar Veri Sorumlusu’na, Protokol’e aykırılık tespit edilirse tüm masraflar Veri İşleyen’e aittir.

6. ULUSLARARASI VERİ AKTARIMI

6.1. Veri İşleyen, kişisel verileri Türkiye sınırları dışına veya GDPR kapsamında "yeterli koruma bulunmayan" ülkelere, Veri Sorumlusu’nun önceden yazılı onayı olmadan aktaramaz.

6.2. Aktarım onayı verildiği takdirde; KVKK Madde 9 ve GDPR Madde 44-50 arasındaki hükümler (Standart Sözleşme Maddeleri - SCC veya Taahhütnameler) uyarınca gerekli hukuki altyapı tesis edilir.

7. VERİ İHLALİ BİLDİRİMİ VE OLAY YÖNETİMİ

7.1. Veri İşleyen, işlenen verilere yönelik herhangi bir yetkisiz erişim, kayıp veya sızıntı ("Veri İhlali") tespit ettiğinde, durumu öğrendiği andan itibaren gecikmeksizin ve en geç 24 saat içinde Veri Sorumlusu’na bildirmekle yükümlüdür.

7.2. Bildirim; ihlalin mahiyetini, etkilenen kişi sayısını, veri kategorilerini ve alınan/alınacak önlemleri içermelidir. Veri İşleyen, Veri Sorumlusu’nun Kişisel Verileri Koruma Kurulu’na (Kurul) yapacağı bildirim sürecine tam destek verir.

8. ALT İŞLEYİCİLER (SUB-PROCESSORS)

8.1. Veri İşleyen, hizmetin ifası için üçüncü taraf alt işleyiciler (hosting, kargo, ödeme sistemleri vb.) kullanabilir. Mevcut işleyiciler Veri Sorumlusu tarafından kabul edilmiş sayılır.

8.2. Yeni bir alt işleyici ile çalışılacağı durumda Veri İşleyen, bu durumu Veri Sorumlusu’na bildirir. Veri İşleyen, alt işleyicinin tüm eylemlerinden Veri Sorumlusu’na karşı müştereken ve müteselsilen sorumludur. Alt işleyici ile yapılan sözleşme, işbu Protokol’deki standartlardan daha düşük olamaz.

9. VERİLERİN İADESİ VE İMHASI

9.1. Hizmet ilişkisi sona erdiğinde veya Veri Sorumlusu’nun talebi üzerine Veri İşleyen; elindeki tüm kişisel verileri Veri Sorumlusu’na iade eder ve tüm kopyaları "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" uyarınca imha eder.

9.2. İmha işlemi gerçekleştirildikten sonra, talebe istinaden bir "İmha Tutanağı" düzenlenerek Veri Sorumlusu’na sunulur. Yasal saklama yükümlülükleri (TTK ve Vergi Usul Kanunu kapsamındaki süreler) saklıdır.

10. BAŞVURU USULÜ VE VERİ SAHİBİ HAKLARI

10.1. Veri Sahipleri, Ek-1’de belirtilen hakları kapsamında başvurularını; "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ"e uygun olarak Veri İşleyen’in yukarıdaki adresine veya KEP adresine iletebilirler.

10.2. Yanıt Süresi: Talepler, niteliğine göre en geç 30 (otuz) gün içinde ücretsiz olarak (maliyet gerektiren haller hariç) sonuçlandırılır.

11. SORUMLULUK VE TAZMİNAT

11.1. Veri İşleyen, işbu Protokol’deki yükümlülüklerini kusuruyla ihlal etmesi sonucunda Veri Sorumlusu’nun uğradığı doğrudan zararları ve idari para cezalarını tazmin etmeyi kabul eder. Veri Sorumlusu’nun talimatlarının kanuna aykırı olması durumunda Veri İşleyen, bu aykırılığı bildirmekle yükümlüdür; aksi halde sorumluluk paylaşılır.

12. SÜRE, FESİH VE YETKİLİ MAHKEME

12.1. Protokol, ana sözleşme ile aynı anda yürürlüğe girer. Sözleşme feshedilse dahi, verilerin imha edilmesine kadar geçen süreçte Protokol hükümleri geçerliliğini korur.

12.2. Uyuşmazlıkların Çözümü: İşbu Protokol Türkiye Cumhuriyeti yasalarına tabidir. İhtilaf halinde Çorlu (Tekirdağ) Mahkemeleri ve İcra Daireleri münhasır yetkilidir.