Kişisel Verilerin İşlenmesi Protokolü

1.   Giriş

1.1. İşbu Kişisel Verilerin İşlenmesi Protokolü (“Protokol”), İstanbul Ticaret Sicili’ne […] sicil numarası ile kayıtlı, [, İstanbul…] adresinde yerleşik [ (“Müşteri”) ile İstanbul Ticaret Sicili’ne 520550-0 sicil numarası ile kayıtlı, Haldun Taner Sok.No:27/20 Tozkoparan Güngören İstanbul adresinde yerleşik Verimsoft Yazılım Anonim Şirketi (“Verimsoft”) (Veirmsoft ve Müşteri tek başlarına “Taraf” veya birlikte “Taraflar” olarak anılabileceklerdir.) arasında Protokol’ün imza tarihi öncesinde yürürlüğe girmiş ve/veya sonrasında yürürlüğe girecek tüm sözleşmelerde (“Sözleşme”) tanımlanan borç ve yükümlülüklerin yerine getirilmesi esnasında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan ve kişisel verilerin korunmasına ilişkin yürürlükteki ve/veya yürürlüğe girebilecek sair mevzuat ile Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurulu kararlarından doğan ve/veya doğabilecek yükümlülüklere uyumlu hareket edilmesine yönelik hüküm ve şartları düzenlenmektedir.

1.2. Bu Protokol, Sözleşmeler kapsamında sağlanan hizmetler (aşağıda tanımlandığı şekliyle) için geçerlidir. İşbu Protokol’de düzenlenmeyen hususlarda Sözleşme hükümleri uygulanmaya devam edecektir.

2.   Tanımlar

Protokol’de geçen terimler karşılarında yer verilen anlamları taşımaktadır;

2.1. Güvenlik İhlali: herhangi bir Kişisel Veri’nin izinsiz olarak açıklanması ya da Veri İşleyen’in Kişisel Veri’yi bulundurduğu sistemlere izinsiz olarak erişilmesi (fiziksel ve diğer yollarla) durumları,

2.2. Teknik ve İdari Tedbirler: işbu Protokolün 9.maddesinde yer alan “Teknik ve İdari Tedbirler”,

2.3. Kurum: Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurumu,

2.4. Yazılım: Sözleşme konusu “Verimsoft” V3 yazılımı veya “Verimsoft” tarafından sunulacak uyarlama hizmetleri çerçevesinde geliştirilecek yazılım. “Yazılım” “İstemci” ve “Sunucu Uygulaması” bölümlerinden oluşmaktadır. “Sunucu Uygulaması”, “Şirket” sunucularında çalışacak olan yazılımlardır; “İstemci” ise “Birim” ve “Şirket İş Ortağı”nın “Sunucu Uygulaması”na erişmek için kullanılan ve kendi fiziksel lokasyonlarındaki terminal bilgisayarlarda kurulmuş olan (veya uzak masaüstü erişimi sağlayan bir uygulama biçiminde olan) veya Web üzerinden ulaşılabilen arayüzü olan yazılımlardır.

2.5. Hizmetler: Düzenlenmiş olması halinde yazılım lisans uyarlama hizmetleri ve verimlilik artırıcı danışmanlık hizmeti de dahil olmak üzere Sözleşme’de tarif edilen bakım, destek ve sair hizmetleri,

2.6. Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu,

2.7. Müşteri Verileri: Sözleşme ve işbu Protokol kapsamında Hizmetler’in sunulması amacıyla Verimsoft ile varılan bir mutabakat üzerine, Müşteri tarafından Verimsoft’e teslim edilen, Son Kullanıcı’lara ait Kişisel Veriler’i,

2.8. Son Kullanıcı: Müşteri’nin hizmetlerinden faydalanmak üzere Müşteri uygulamalarını (dijital ortamda olsun ya da olmasın Müşteri tarafından kendi müşterilerine sunulan tüm servisler dahil olmak üzere) kullanan tüketici sıfatına sahip olsun ya da olmasın tüm gerçek kişileri ifade eder.

İşbu Protokol kapsamında kullanılan “Kişisel Veri”, “özel nitelikli kişisel veri”, “ilgili kişi”, “işleme”, “veri işleyen” ve “veri sorumlusu” terimleri Kanun kapsamında belirlenen anlamlara gelecektir.

3.   Mevzuata Uyum

3.1. Taraflar, Hizmetler’in sağlanmasına ilişkin olarak Kanun başta olmak üzere Kanun’a dayanarak yürürlüğe konulan ikincil mevzuat ve Kurum kararları da dahil, Kişisel Veriler’in korunması hakkında yürürlükteki tüm kanun ve düzenlemelere uygun hareket edecektir. Ancak, Verimsoft, yazılı olarak aksi Taraflar arasında kararlaştırılmadıkça, genel anlamda bilgi teknolojisi hizmet tedarikçileri için geçerli olmayan ancak Müşteri veya Müşteri’nin hizmetlerini sunduğu sektöre spesifik olan kanun, düzenlemeler veya sektör uygulamalarına uyum sağlanmasından sorumlu değildir. Bu bağlamda, Verimsoft, Müşteri Verileri de dahil olmak üzere, Müşteri tarafından Hizmetler kapsamında Verimsoft’e aktarılacak olan verilerin spesifik bir kanun veya düzenlemeye tabi bilgiler içerip içermediğine ilişkin bir inceleme gerçekleştirmemektedir ve bu konuda mesuliyet üstlenmemektedir.  

3.2. Müşteri, Hizmetler’in tedariğine yönelik olarak, başta Son Kullanıcı’lara ait olmak üzere, Kişisel Veriler’in Verimsoft’e aktarılmasına dair tüm kanun ve düzenlemelere uygun hareket etmek zorundadır. Bilhassa, Müşteri, veri sorumlusu sıfatıyla, Kişisel Verileri’ni elde ettiği, topladığı, aktardığı ya da sair surette işlediği Son Kullanıcı’larına karşı Kanun’da yer verilen yükümlülüklerini yerine getirdiğini taahhüt eder. Söz konusu yükümlülüklerin yerine getirilmiş olması konusunda Verimsoft’in herhangi bir şekilde bilgi sahibi olması mümkün olmadığı gibi olası bir uyumsuzluktan dolayı ortaya çıkabilecek zarardan da sorumluluğu söz konusu olmayacaktır.

4.   Veri İşleyen ve Veri Sorumlusu Sıfatları

4.1. Taraflar, aksi işbu Protokol’de yazılı olarak farklı surette kararlaştırılamadığı sürece Sözleşme’de tarif edildiği şekilde sunulan Hizmetler ile ilgili kural olarak (i) Müşteri’nin veri sorumlusu, Verimsoft’in veri işleyen sıfatıyla hareket ettiğini; (ii) Müşteri’nin veri işleyen sıfatıyla hareket ettiği hallerde ise Verimsoft’in Müşteri adına alt veri işleyen olarak hareket ettiğini kabul ederler.

4.2. Taraflar, Yazılım’ın yalnızca Müşteri tarafından yönetilen ortamlarda barındırıldığı durumlarda Yazılım’ın sadece Müşteri tarafından kontrol edilen ortamlarda çalışmakta olduğunu ve Verimsoft’in Yazılım’da yer alan Müşteri Verileri’ne herhangi bir şekilde erişimi olmadığından, veri sorumlusu veya veri işleyen sıfatlarından herhangi birine sahip olmayacağını beyan ederler. Müşteri tarafından Verimsoft’e, gerek çevrimiçi erişim ile gerek çevrimdışı ortamlardan sağlanan dokümanlar ile zaman zaman kişisel veriler içeren materyaller iletilebilmektedir. Bu durumlarda söz konusu kişisel veriler yalnızca teknik destek ve sorun çözümü ile sınırlı olarak işbu Protokol’e uygun şekilde işlenebilecektir.

4.3. Verimsoft, Müşteri Verileri’ni, yalnızca Müşteri’nin talimatları doğrultusunda ve Hizmetler’in sağlanması amacıyla işleyebilecektir. Müşteri, işbu Protokol de dahil olmak üzere, Sözleşme’nin, Müşteri’nin bilgisine sunulan çeşitli tanıtım materyalleri ile kullanım yönergelerinin, Müşteri’nin Verimsoft’e Kişisel Veriler’in işlenmesine ilişkin olarak verdiği talimatlar olduğunu kabul etmektedir. Müşteri tarafından, Kişisel Veriler’in işlenmesi konusundaki ilave talimatlar Verimsoftextra portalı, e-posta ve sair yazılı iletişim kanalları üzerinden verilecektir.

5.   Veri İşleyenin Yükümlülükleri

5.1. 1.1. Verimsoft işbu Protokol uyarınca Kişisel Veri işlediği hallerde;

5.1.1. Yalnızca Müşteri’nin talimatları doğrultusunda, Hizmet’in gerektirdiği ve Sözleşme’ye ve Protokol’e uygun bir biçimde Müşteri adına Kişisel Verileri işleyeceğini;

5.1.2. Ancak emredici hukuk kaidelerine göre gerekli olduğu ölçüde Kişisel Veri işleyebileceğini;

5.1.3. Kişisel Veriler’in hukuka aykırı olarak işlenmesini, bunlara hukuka aykırı olarak erişilmesini önlemeye, bunların muhafazasını sağlamaya; veri kaybı oluşmasını, verilerin yok olmasını, zarar görmesini, değiştirilmesini veya açıklanmasını engellemeye yönelik gerekli, söz konusu verinin nitelikleri göz önünde bulundurularak, veriye yetkisiz veya hukuka aykırı erişim sebebiyle oluşabilecek veri kaybı, yok olması veya zarar görmesi durumunda oluşacak zarar ile orantılı, teknik ve idari önlemleri almayı;

5.1.4. Hizmet’in ifası için yalnızca Türkiye Cumhuriyeti sınırları dahilinde veri işlemeyi;

5.1.5. Hizmet’in ifasına esas teşkil eden Sözleşme’nin feshi veya başka bir nedenle son bulması halinde Kişisel Verileri Müşteri’ye derhal geri vermeyi veya Müşterinin yazılı talebi olması kaydıyla ilgili Müşteri Verileri’ni silmeyi ve/veya yok etmeyi taahhüt eder.

6.   Veri İşleyenin Personeli

6.1. Verimsoft, Müşteri Verisi’ne erişimi olan personelinin güvenilirliğini temin bakımından gerekli önlemleri alacak, Kişisel Veriler’in işlenmesinde yalnızca kişisel verilerin korunması mevzuatı ve Kişisel Veriler’in niteliği hakkında bilgilendirilmiş personel istihdam edecektir.

7.   Veri Sorumlusunun Yükümlülükleri

7.1. Müşteri, Sözleşmeler ve Hizmet kapsamında Verimsoft’e aktaracağı Kişisel Veriler’i Kanun’da yer alan usul ve esaslara, ilgili düzenleyici işlemlere, ilgili mevzuatta yer verilen kişisel verilerin korunmasına dair hükümlere uygun olarak işlediğini ve Verimsoft’e aktaracağı Kişisel Veriler’in sahiplerini Kanun’da yer alan usul ve esaslara, ilgili düzenleyici işlemlere, ilgili mevzuatta yer verilen kişisel verilerin korunmasına dair hükümlere uygun olarak aydınlattığını, şartların gerektirmesi durumunda veri sahiplerinin açık rızalarını elde ettiğini, işleme amaçlarının belirli, açık ve meşru olduğunu, işlenen Kişisel Veriler’in işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olduğunu; Kanun uyarınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri aldığını ve aynı zamanda Verimsoft’i gerektiği hallerde söz konusu teknik ve idari tedbirlere gereği gibi uyum hususunda bilgilendireceğini kabul, beyan ve taahhüt eder.

7.2. Müşteri, Verimsoft’e aktarılan Kişisel Veriler’in sahibi ilgili kişilerin işleme ve aktarıma yönelik açık rızalarını geri çekmeleri ve/veya Kişisel Veriler’in silinmesine yönelik taleplerini iletmeleri durumunda, Verimsoft’e bu verilerin silinmesi için gerekli bilgilendirmeyi uygun sürede yapacağını taahhüt eder.

7.3. Müşteri tarafından Verimsoft’e aktarılacak Kişisel Veriler’in özel nitelikli veri olması halinde, Müşteri söz konusu Kişisel Verileri, Kanun’un 6. maddesine, ilgili mevzuat hükümlerine ve Kişisel Verileri Koruma Kurulu kararlarına uygun olarak, ek güvenlik önlemleri ve yetkilendirmelere tabi şekilde Verimsoft’e aktaracaktır.

8.   Kişisel Verilerin Kullanımı ve 3. Kişilerle Paylaşımı

8.1. Verimsoft, işbu Protokol’ün açıkça izin verdiği haller haricinde ve Hizmet zorunlu kılmadıkça, Müşteri’nin yazılı izni olmadıkça veya Türkiye Cumhuriyeti mevzuatı uyarınca yetkili idari veya adli makamlarınca hukuka uygun biçimde talep edilmedikçe Kişisel Verileri işlemeyecek, kullanmayacak veya ifşa etmeyecektir.

8.2. Verimsoft, Hizmet’in ifasının kısmen veya tamamen devri dahil Kişisel Verileri 3.kişilere bir sözleşme kapsamında aktarmadan, başka şekilde yayınlamadan veya ifşa etmeden önce Müşteri’nin yazılı rızasını alacaktır.

8.3. Verimsoft, (i) Müşteri’nin yazılı olarak talep ettiği durumlar, (ii) işbu Protokol’de tarif edilen durumlar (iii) veya kanunen gerekli olan haller hariç olmak üzere Müşteri Verileri’ni Verimsoft, Verimsoft’in teknolojik altyapı hizmeti aldığı iş ortakları veya iştirakleri ve bağlı ortaklıkları dışına aktarmayacaktır.

8.4. Verimsoft, Müşteri Verileri’ni kanunen gerekli haller hariç olmak üzere, kanunen yetkili adli ve idari makamlara ifşa etmeyecektir. Yasal yetkililerin Verimsoft’den Müşteri Verileri’ni talep etmesi halinde Verimsoft, söz konusu idari adli makamları, ilgili verileri Müşteri’den talep etmeye yönlendirmeyi deneyecektir. Müşteri Verileri’ni kanunen yetkili idari ve adli makamlara ifşa etmek durumunda kalması halinde kanunen aksine açık bir hüküm bulunmaması şartıyla Verimsoft, Müşteri’yi derhal bilgilendirecek ve yasal bir engel bulunmaması şartıyla adli ve idari makamlardan gelen talebin bir kopyasını Müşteri’ye verecektir.

8.5. Verimsoft, işbu maddede sayılan haller dışında herhangi bir üçüncü tarafa (a) Müşteri Verileri’ne doğrudan, dolaylı, geniş veya sınırsız erişim ya da (b) Müşteri Verileri’nin güvenliğinin sağlanmasında kullanılan platform şifreleme anahtarlarını veya bu şifrelemenin çözülmesine ilişkin yöntemleri vermeyecektir.

9.   Teknik ve İdari Tedbirler

9.1. Verimsoft, Müşteri Verileri’nin işlenmesinde görev alan çalışanlarının, (i) söz konusu Müşteri Verileri yalnızca Müşteri’nin talimatları ile sınırlı olarak işlemesini ve (ii) iş ilişkinin sona ermesinden sonra dahi bu verilerin gizlilik ve güvenliğinin sağlanmasından sorumlu olmasını sağlayacaktır.

9.2. Verimsoft, Müşteri Verileri’ne erişimi bulunan çalışanları için, profesyonel bir bilgi teknolojileri hizmeti tedarikçisi olarak Verimsoft için bağlayıcı olan kanunlara ve endüstri standartlarına uygun şekilde periyodik ve zorunlu veri gizliliği ve güvenliği eğitimleri ve farkındalık sağlayacaktır.

9.3. Verimsoft, Güvenlik İhlali halinde, durumdan haberdar olmasını müteakip makul olan en kısa sürede ve azami 1 (bir) gün içinde, Son Kullanıcı’lara herhangi bir bilgi vermeden, Müşteri’yi durumdan haberdar edecektir. Verimsoft, kendi kontrolünde bulunan ortamlara ve Müşteri Verileri’ne ilişkin Güvenlik İhlali esnasında ve sonrasında, Güvenlik İhlali’nden kaynaklanabilecek zararların asgari seviyede tutulması, Son Kullanıcılar’ın durumdan mümkün olan en az zararı görmesi için Müşteri ile makul ve beklenebilir iş birliğinde bulunacağını beyan eder. Bu bağlamda, Müşteri’nin konu ile ilgili olarak Verimsoft’den talep edeceği bilgi, belge ve sair teknik destek konusunda Müşteri ile iş birliği sürdürülecektir.

9.4. Müşteri, Hizmetler’e ilişkin teknik veya organizasyonel tedbirlerin, Kanun kapsamındaki güvenliğe ilişkin yükümlülükler veya başkaca uygulanabilir kanun veya düzenlemeler de dahil olmak üzere Müşteri’nin konu hakkındaki gereksinimleri ile uyumlu olup olmadığına dair kararı konusunda tek başına sorumluluk sahibidir.

10.   Talep ve Şikayetleri Veri Sorumlusuna Bildirim Yükümlülüğü

10.1. Verimsoft, ilgili kişi tarafından Kanun çerçevesinde veri sorumlusunun yükümlülüklerine ilişkin şikâyette bulunulması veya veri sorumlusundan Kanun’un 11. maddesi uyarınca herhangi bir talepte bulunulması ile Güvenlik İhlali halinde, ilgili kişiye herhangi bir bilgi vermeden, 1 (bir) işgünü içerisinde Müşteri’yi haberdar edecektir. Verimsoft, Müşteri’ye, kendisine iletilen her türlü şikâyet ve talep hakkında her türlü makul desteği verecek ve Müşteri ile iş birliği yapacaktır. Burada sayılanlarla sınırlı olmamak ve, işbu maddenin kapsamı ile sınırlı olmak kaydıyla Verimsoft;

10.1.1. Veri sorumlusuna şikâyet veya talebe ilişkin tüm detayları ileteceğini,

10.1.2. Kişisel Veri’nin yasa gereği açıklanması gerekli olduğu hallerde derhal Müşteri’ye ihbarda bulunmayı,

10.1.3. Müşteri’ye her türlü bilgi ve belgeyi vereceğini kabul, beyan ve taahhüt eder.

11.       Veri İşleyene Rücu Şartları

11.1. Verimsoft yürüttüğü veri işleme faaliyetleri kapsamında Müşteri’nin 3. kişilere karşı yükümlülüklerini göz önünde bulunduracaktır. Verimsoft’in işbu Protokol’e aykırı davranması sebebiyle Müşteri’nin dava sonucu herhangi bir idari para cezası ödemekle yükümlü kalması halinde; söz konusu aykırılıktan dolayı Müşteri, Verimsoft’in mevzuata aykırı hareket etmiş olması nedeniyle kusuru olduğu kesinleşmiş mahkeme kararı ile sabit olması halinde ancak bu kararda tespit edilen tutarı Verimsoft’e rücu edebilecektir.

12.       Protokolün Yürürlüğü, Süresi ve Feshi

12.1. İşbu Protokol, Taraflarca imzalandığı tarihte yürürülüğe girer. Hizmet’in sunulmasına ilişkin Taraflar arasında yapılmış ve/veya yapılacak Sözleşmeler’den herhangi birinin feshi halinde işbu Protokol yürürlükte kalmaya devam eder.

12.2. Protokol’ün yürürlük tarihi öncesinde Taraflar arasında akdedilmiş olan Sözleşmeler kapsamında Protokol’ün yürürlük tarihi öncesinde gerçekleştirilmiş işleme faaliyetlerinin işbu Protokol’e aykırlığı ileri sürülemez.

Verimsoft   Müşteri  
Adına   Adına
Adı      :   Adı      :  
Soyadı :   Soyadı :  
Tarih   :   Tarih   :  
İmza    :   __________________ İmza    :   __________________

Ekler