PRM SİGORTA ARACILIK HİZMETLERİ LTD.ŞTİ.

KİŞİSEL VERİLERİN KORUNMASINA DAİR ÇERÇEVE sözleşmesi

(1)         Türkiye Cumhuriyeti yasalarına uygun olarak kurulmuş ve faaliyet göstermekte olan, “……………” adresinde kain ve ………………….. Ticaret Sicil Müdürlüğü’ne …………… sicil numarası ile kayıtlı olan “PRM SİGORTA ARACILIK HİZMETLERİ LTD.ŞTİ.” (“Veri Sorumlusu - 1 olarak anılacaktır.”) ve

(2)         Türkiye Cumhuriyeti yasalarına uygun olarak kurulmuş ve faaliyet göstermekte olan, kayıtlı merkezi ……………. olan, ………………………………………………… adresinde kain ve ………………….. Ticaret Sicil Müdürlüğü’ne …………… sicil numarası ile kayıtlı olan “X Firması” (Veri Sorumlusu - 2 olarak anılacaktır.) arasında akdedilmiştir.

Madde 1. Konu

Tarafların 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ilgili mevzuat ve Kişisel Verileri Koruma Kurulu’nun kararları doğrultusunda kişisel verilere ilişkin yükümlülükleri bu sözleşmede düzenlenmesidir. Taraflar arasında yürürlüğe girmiş ve/veya girecek tüm sözleşmelerde KVKK ve kişisel verilerin korunmasına ilişkin yürürlükteki ve/veya yürürlüğe girebilecek sair mevzuattan doğan ve/veya doğabilecek yükümlülüklere ilişkin tüm hususlarda da uygulanır.

VERİ SORUMLUSU-1, aşağıda belirtilen hususlar kapsamında hem Veri Sorumlusu hem de Veri İşleyen sıfatına sahip olabileceğini ve işbu KVKK Çerçeve Sözleşmesi kapsamındaki hükümlerin, faaliyetlerini yürütmesi esnasında Veri Sorumlusu ve/veya Veri İşleyen sıfatıyla hareket etmesine göre uygulama alanı bulacağını kabul eder.

VERİ SORUMLUSU-2 de, aşağıda belirtilen hususlar kapsamında hem Veri Sorumlusu hem de Veri İşleyen sıfatına sahip olabileceğini ve işbu KVKK Çerçeve Sözleşmesi kapsamındaki hükümlerin, faaliyetlerini yürütmesi esnasında Veri Sorumlusu ve/veya Veri İşleyen sıfatıyla hareket etmesine göre uygulama alanı bulabileceğini kabul eder.

Madde 2. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na İlişkin Tarafların Hak ve Yükümlülükleri

1.      Taraflar kendileri ile paylaşılacak olan ve KVKK ve ilgili sair yasalar kapsamında Kişisel Veri ve Özel Nitelikli Kişisel Veri (birlikte Kişisel Veriler olarak anılacaktır) olarak tanımlanan her türlü veriyi ancak ve sadece Sözleşmenin ifası kapsamında kullanmakla yükümlüdür. Taraflar işbu verileri, hiçbir şekilde birbirlerinin yazılı rızası olmadan üçüncü kişi ya da kurumlara aktaramaz veya başka bir amaçla başka bir sözleşme ilişkisinde veya sair ticari olsun veya olmasın herhangi bir faaliyette kullanamaz. Bu bilgilerin gizliliğinin sağlanmasından, korunmasından, izinsiz aktarılmamasından bizzat verileri alan taraf sorumludur. Taraflar bu kapsamda özellikle; Sözleşme ile ilgili olarak yaptıkları çalışmalar sonucunda edindikleri Kişisel Verileri ve bu verilerle ilgili tüm belgeleri, araç ve gereçleri ve sair tüm unsurları, amacı dışında, başka bir sözleşme ilişkisinde veya sair herhangi bir işte kullanamaz, işleyemez, dağıtamaz, üçüncü kişilere ya da kurumlara ya da yurtdışına aktaramaz ve sair herhangi bir surette işleyemez.

2.      Taraflar, işbu KVKK Çerçeve Sözleşmenin ifası sırasında öğrendiği Kişisel Verilerin korunması ile ilgili olarak KVKK’de düzenlenen tüm önlemleri almak, gizliliğini sağlamak, gizlilik esaslarına uygun hareket etmek, bu bilgilerin yetkisiz kişilerce kullanımını önlemek, veri sorumlusu tarafından verilen imha, silme, yok etme, anonimleştirme taleplerini istisnasız ve tam olarak yerine getirmek ve her türlü suistimalden korumak için her türlü fiziki ve teknik önlemi tedbiri almakla yükümlüdür. Tarafların bu yükümlülüğü, işbu protokolün sona ermesi halinde dahi  elde edilen verilerin imha süresi sonuna kadar devam edecektir.

3.      Taraflar, KVKK’de sayılan istisnalar hariç olmak üzere, Kişisel Veriler’in hukuka aykırı olarak işlenmesini önlemek, Kişisel Veriler’e hukuka aykırı olarak erişilmesini önlemek, Kişisel Veriler’in muhafazasını sağlamak amacıyla Kişisel Verileri Koruma Kurulu’nun vereceği kararlar veya KVKK’ye dayanılarak çıkarılacak yönetmelikler ve sair hukuki düzenlemeler kapsamında getirilebilecek standartlarda güvenlik düzeyini temin edici her türlü teknik ve idari tedbirleri almak zorundadır. Bu hükmün ihlali halinde doğabilecek her türlü hukuki, idari ve cezai sorumluluk ihlali gerçekleştirene ait olup, bu hükümlerin ihlalinden doğacak her türlü zararın tazmini de yine ihlali gerçekleştirene aittir. Böyle bir ihlalin gerçekleşmesi durumunda taraflar herhangi bir tazminat ödemeksizin Sözleşmeyi derhal feshetme hakkına sahiptir. Ayrıca, sorumlular aleyhinde ilgili tarafça ve/veya zarara uğrayan kişiler tarafından Cumhuriyet Savcılığı’na suç duyurusunda bulunma veya Kişisel Verileri Koruma Kurulu’na başvurma hakları saklıdır.

4.      Veri işleyenin işbu KVKK Çerçeve Sözleşmesi hükümleri ihlal etmesi neticesinde; veri sorumlusu taraf idari para cezası ile muhatap olur ya da 3. kişilere tazminat ödemek zorunda kalır ise, işbu idari para cezası ve/veya tazminat tutarı ve ferileri veri sorumlusu tarafından diğer tarafa rücu edilecektir.

5.      Taraflar, kendi merkezi veya iştiraklerinde veya diğer tarafın yazılı onayı ile çalışılan alt yüklenici firmalarda, KVKK hükümlerinin uygulanmasını sağlamak amacıyla KVKK kapsamında gerekli denetimleri yapmak veya yaptırmak zorundadır. Taraflar işbu protokolü imzalamakla, veri sorumlusunun denetim ile görevlendireceği kişilerin veri işleyen olarak yükümlendiği edimler ile ilgili olarak kendisinden her türlü bilgi ve belgeyi talep etme yetkisinin bulunduğunu, bu denetimlerin yapılabilmesi için bilgi işlem sistemleri ile kayıt ve defterlerinin veri sorumlusunun denetimine açık tutulacağını ve veri sorumlusunun bu talebi karşılamakla yükümlü olduğunu kabul ve taahhüt eder.         

6.      Taraflar birbirleri  ile paylaşılan Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi ve/veya Kişisel Veriler’in işlenmesine engel bir husus ortaya çıkması hâlinde, bu durumu derhal veri sorumlusu tarafa güvenli olan bir yolla bildirmeyi kabul, beyan ve taahhüt eder. Aksi takdirde veri sorumlusunun doğrudan ya da dolaylı olarak uğrayacağı herhangi bir zarardan veri işleyen taraf sorumlu olacaktır.

7.      Veri İşleyen taraf, KVVK’nin 22. maddesi kapsamında Kişisel Verileri Koruma Kurulu’na verilen yetkiler kapsamında yapılacak denetimlerde Kurul tarafından talep edilecek her türlü bilgi ve belgeyi zamanında ve doğru olarak vermekle ve bunlara ilişkin her türlü elektronik, manyetik ve benzeri ortamlardaki kayıtları ve bu kayıtlara erişim ve kayıtları okunabilir hale getirmek için gerekli tüm sistem ve şifreleri incelemeye hazır bulundurmak ve işletmekle yükümlüdür.

8.      Taraflar birbirleri ile paylaşılan Kişisel Veri’lerin KVKK’deki istisnalar saklı kalmak kaydı ile muhafazası ve açıklanmaması için her türlü güvenlik önlemlerini almak, çalışanlarını bilgilendirmek, eğitmek ve KVKK kapsamındaki yükümlülüklerin yerine getirilmesini sağlamak için gerekli hukuki düzenlemeleri yapmak ve bunları sürdürmekle mükelleftir.

9.      Veri işleyen, yukarıda taahhüt ettiği hususların kendi çalışanları bakımından da aynen geçerli olduğunu, bu minvalde çalışanlarının verilere erişim ve işleme yetkilerini KVKK ve ilgili mevzuata uygun olarak sadece yüklendiği edimlerin yerine getirilmesi için bilinmesi gerektiği kadar tanımlayacağını, bu erişim yetkilerini kullanırken çalışanların erişilen bilgiler ve erişim için kullandığı şifreler/metotları hiç kimse ile paylaşmamasını sağlayacağını; çalışanlarına KVKK ve ilgili sair mevzuat yükümlülükleri kapsamında bilgilendirme yapacağını, tüm bu yükümlülükleri yerine getirirken gerekli hukuki, idari ve teknik tedbirleri alacağını kabul ve taahhüt eder.

10.   Veri İşleyen işbu KVKK Çerçeve Sözleşmesinin ek olduğu Sözleşmeye konu hizmetlerin ifasında, veri sorumlusunun yazılı onayı ile alt yüklenici kullanılması halinde, yukarıdaki yer alan hükümlere, alt yüklenici firmalar ile yapılacak sözleşmelerde ve protokollerde de aynen yer vereceğini ve bu firmaların işbu hükümleri ihlal etmesinden kaynaklanabilecek her türlü zararın tazmininden, bu firmalarla birlikte veri sorumlusuna karşı müşterek ve müteselsil sorumluluğu bulunduğunu kabul ve taahhüt eder.

11.   Veri İşleyen Sözleşmenin ifası kapsamında elde etmiş olduğu Kişisel Veri’lerin işlenmesini gerektiren sebeplerin ortadan kalkmasını takiben, kanunda aksi belirtilmedikçe mevcut kişisel verileri kanunda belirtilen yasal süreler zarfında sileceğini, yok edeceğini veya anonimleştireceğini ve bu hususu Veri Sorumlusu yazılı olarak bildireceğini kabul ve beyan eder.

Yukarıdaki hükümler dahilinde işbu Protokol …./…./20….imza tarihli sözleşmeye ek olarak ..../..../20… tarihinde imzalanmış olup, işbu ek protokolde hüküm bulunmayan hallerde Sözleşme’deki hükümler geçerli olacaktır.