KİŞİSEL VERİLERİN KORUNMASI MEVZUATI UYARINCA TEDARİK SÖZLEŞMELERİNE EKLENECEK TASLAK HÜKÜMLER
Bu dokümanın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesi kapsamında kişisel verilerin Veri Sorumlusu ve Veri İşleyen tarafından güvenliğinin sağlanmasına ilişkin yükümlülüklerin Tedarik Sözleşmesi’ne eklenmesi hakkındaki esasları tanımlamaktır.
Eskişehir Osmangazi Üniversitesi (“Üniversite”) ve Tedarikçileri arasında kişisel verilerin aktarımı söz konusu olduğunda, kişisel verilerin korunması amacı ile Tedarik Sözleşmelerine eklenmek üzere KVKK maddeleri hazırlanmış, aşağıda açıklanmıştır.
- TANIMLAR
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Veri Aktaran: 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun olarak, işbu sözleşme kapsamında karşı tarafa veri aktarımında bulunacak kişiyi,
Veri Alıcısı: Kendisine veri aktaran tarafından veri aktarımı yapılacak kişiyi,
Veri İşleyen: Veri Sorumlusu’ nun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
- Üniversite’ ye mal ve/veya hizmet sağlayan gerçek ve/veya tüzel kişi
- SÖZLEŞMEDE ÜNİVERSİTE’NİN VERİ AKTARAN TARAF OLMASI DURUMUNDA
Üniversite Veri Sorumlusu sıfatı ile veri alıcısı olan Tedarikçi’ ye, ilgili kişinin kişisel verilerini aktarması halinde, Veri İşleyen bu kapsamda öğrendiği kişisel verileri KVK Kanunu ve yönetmelikleri başta olmak üzere yürürlükteki mevzuat hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük taraflar arasındaki hukuki ilişki sona erse dahi devam eder.
Tedarikçi’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında;
Md.12/1 (a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Md.12/1 (b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Md.12/1 (c) Kişisel verilerin muhafazasını sağlamak,
Amaçları ile gerekli hukuki, idari ve teknik tedbirleri alma yükümlülüğü vardır.
Md.12/2 Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Md.12/3 Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Md.12/4 Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Md.12/5 İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Bu bağlamda Kanun’un 12. maddesinde geçen veri güvenliğine ilişkin hükümlerin Tedarik Sözleşmesi’ne eklenmesi gerekmektedir.
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN MADDE:
Tedarikçi, sözleşme kapsamındaki yükümlülüklerini yerine getirirken, işbu madde altında düzenlenenler ile sınırlı olmaksızın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu”) “Veri Sorumlusu” ve “Veri İşleyen” için öngördüğü tüm yükümlülüklere uymak zorundadır.
Tedarikçi; sözleşmenin ifası sırasında veya sözleşmenin ifasıyla bağlantılı olarak hakkında öğrendiği, eriştiği veya herhangi bir şekilde elde ettiği kişisel verileri yalnızca Sözleşme’ de belirtilen amaçlar doğrultusunda işleyebilecek, söz konusu kişisel verilerin hukuka aykırı işlenmesini, bu verilere hukuka aykırı erişilmesini önlemek ve söz konusu
Tedarikçi, Sözleşme’nin ifası sırasında veya sözleşmenin ifasıyla bağlantılı olarak öğrendiği kişisel verileri ancak zorunlu hallerde ve işi gereği bu bilgiyi öğrenmesi gereken işçilerine veya çalışanlarına sözleşmenin ifası ile ilgili ve gerekli olduğu ölçüde verebilecek olup, işçilerinin ve çalışanlarının da sözleşmenin maddedeki yükümlülüklerine uygun davranmasını sağlamakla yükümlüdür.
Tedarikçi tarafından sözleşme kapsamında elde edilen her türlü kişisel veri tedarikçinin sözleşmenin ifası doğrultusunda destek alması zorunlu olan danışmanları hariç olmak üzere hiçbir suretle üçüncü kişilere ve/veya yurt dışına aktarılamaz. Üçüncü kişilere ve/veya yurtdışına aktarım kanuni olarak zorunluluk arz ettiğinde, Tedarikçi söz konusu aktarımı öncesinde Üniversite’ den onay almakla yükümlüdür.
Kişisel verilerin işlenmesini gerektiren hukuki sebepler ortadan kalktığı takdirde tedarikçi; her halükarda zorunlu olarak veya Üniversite’ nin talebi üzerine söz konusu kişisel verileri ve bu verilerin izi veya uzantısı olabilecek her türlü veriyi, geri getirilemeyecek şekilde imha etmekle ve silinen kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli olan her türlü teknik ve idari tedbiri Üniversite tarafından oluşturulacak kontrol teşkilatı nezaretinde almakla yükümlüdür.
Üniversite, tedarikçiden bilgi talep ettiğinde, tedarikçi talep edilen bilgileri Üniversite’ ye iletmekle yükümlüdür. Ayrıca Tedarikçi, güvenliğini sağlamakla yükümlü olduğu kişisel verilere üçüncü kişilerce kanuni olmayan yollarla herhangi bir erişim sağlandığında veya kişisel veriler hukuka aykırı olarak üçüncü kişiler tarafından ele geçirildiğinde, bu durumu öğrendiği andan itibaren derhal Üniversite’ ye bildirmekle ve söz konusu ihlalin giderilmesi için gerekli çalışmaları yapmakla yükümlüdür.
Şüpheye mahal vermemek amacıyla; Tedarikçi yükümlüklerini, kendi çalışanları, danışmanları ve/veya yetkilendirdiği kişilerin uymamasından dolayı doğrudan sorumlu olacaktır.
- SÖZLEŞMEDE ÜNİVERSİTE’ NİN VERİ ALICISI OLARAK TARAF OLMASI
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12.maddesinin 2.fıkrası Veri Sorumlusunun kişisel verileri kendi adına başka bir gerçek ya da tüzel kişi tarafından işlenmesi halinde 1. fıkrada veri güvenliğine ilişkin olarak alınması gereken tedbirler hususunda Veri Sorumlusu ve Veri İşleyenin müştereken sorumlu olacağını belirtmektedir. Üniversite’ nin ilgili kişinin kişisel verilerini tedarikçiden alması sebebiyle, Üniversite’ ye aktarılan kişisel verilerin 6698 sayılı Kanun’a uygun alınmış olduğunun tedarikçi tarafından taahhüt edildiğine ilişkin hükümlerin sözleşmeye eklenmesi gerekmektedir. Üniversite, ilgili kişilerin kişisel verilerinin üçüncü kişiden alması nedeniyle ilgili kişilere aydınlatma yükümlülüğünü yerine getirebilmesi amacıyla ilgili kişilerin iletişim bilgilerini de tedarikçilerden talep edecektir.
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN MADDE:
Tedarikçi Üniversite’ ye aktaracağı kişisel verileri 6698 sayılı Kanun’a ve ilgili diğer mevzuata uygun olarak elde ettiğini, işleme ve aktarım konusunda gerekli aydınlatma yükümlülükleri ve gerekiyorsa açık rıza şartlarını yerine getirdiğini kabul, beyan ve taahhüt eder. Söz konusu yükümlülüklerini yerine getirmemesinden kaynaklı her türlü zarardan Tedarikçi kendisi münferiden sorumlu olacaktır. Üniversite talep ettiği takdirde, Tedarikçi, mevzuat kapsamında aydınlatma yükümlülüğünü yerine getirdiğini ve alması gereken açık rızaları aldığını ve gösterir yazılı belgeleri Üniversite’ ye ibraz etmekle yükümlüdür.
Üniversite, kendisi tarafından alınan veya tedarikçi tarafından kendisine aktarılan kişisel verileri, hukuka ve dürüstlük kurallarına uygun olarak, meşru amaçları doğrultusunda işleyeceğini; kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edeceğini kabul beyan ve taahhüt eder. Üniversite ayrıca kendisine aktarılan verilerle ilgili olarak ilgili kişileri aydınlatma yükümlülüğünü, makul süre içerisinde yerine getirecektir. Tedarikçi, Üniversite’ nin bu yükümlülüğünü yerine getirebilmesi için ilgili kişilerin iletişim bilgilerini Üniversite ile paylaşacağını kabul ve taahhüt eder.