1. TARAFLAR:

 ENKAYMODA KONFEKSİYON SANAYİ VE TİCARET ANONİM ŞİRKETİ

Taraflar kısaca  Veri Sorumlusu ve Veri İşleyen olarak anılacaktır.

Tarafların isimlerinin yanında yazılı olan adresleri yasal tebligat adresleri olup, adresini değiştiren taraf işbu değişikliği karşı tarafa yazılı olarak tebliğ etmediği sürece, eski adrese yapılan tebligatlar geçerli olup, anılan taraf tebligat itirazından vazgeçmiş sayılacaktır.

2. KONU:

             İşbu ek sözleşme, taraflar arasında yürürlüğe girmiş ve/veya girecek tüm sözleşmelerde, “6698 sayılı Kişisel Verilerin Korunması Kanunu” ndan ve kişisel verilerin korunmasına ilişkin yürürlükteki ve/veya yürürlüğe girebilecek sair mevzuattan doğan ve/veya doğabilecek yükümlülüklerine dayalı olarak uygulanır.

3. AMAÇ:
   • Bu sözleşmenin amacı, Veri Sorumlusu ile Veri İşleyen arasındaki hizmet ve/veya tedarik ilişkisi (bundan sonra “İlişki” olarak anılacaktır) kapsamında gerçekleşecek olan kişisel veri aktarımında, tarafların kişisel verilerin korunması için gereken yeterli korumayı taahhüt etmesini sağlamaktır.
   • Çalışmanın devamlılığı için Taraflar aşağıdaki maddelerde yer alan kurallar ile aşağıda belirtilenlerle tahdit edilmemiş tüm etik, gizlilik ve kişisel verilerin korunması kurallarını yerine getirmekle yükümlüdür.

4. TANIMLAR:

İşbu sözleşmede geçen;

• Kişisel veri, Kişisel verilerin işlenmesi, İlgili kişi, Veri sorumlusu, Veri işleyen, tanımlamalarından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesindeki tanımlar,
• Hizmet/Asıl sözleşme tanımından taraflar arasında yapılmış ve/veya yapılacak sözleşme/lere göre Veri İşleyen tarafından sunulacak tüm hizmetler,
• Veri güvenliği tanımından ayni Kanun’un 12. maddesine göre alınması gereken teknik ve idari tedbirler anlaşılır.

5. VERİ İŞLEYENİN YÜKÜMLÜLÜKLERİ:

• Veri işleyen asıl sözleşme uyarınca veri sorumlusu adına kişisel veri işlediği hallerde;

• Yalnızca veri sorumlusunun talimatları doğrultusunda, ancak KVKK madde 5/2 (c) uyarınca, iş bu sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması sebebiyle, ve/veya KVKK madde 5/2 (ç) uyarınca olarak hukuki yükümlülüklerin yerine getirilebilmesi için zorunlu olması sebebiyle, ve/veya KVKK madde 5/2 (d) uyarınca bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması sebebiyle, ve/veya KVKK madde 5/2 (f) uyarınca Veri Sorumlusunun meşru menfaatleri için zorunlu olması sebebiyle ve işbu sözleşmeye uygun bir biçimde toplamayı, işlemeyi ve aktarmayı,

• İşleyenin İlişkinin ifası amacıyla Veri Sorumlusu adına kişisel veri toplaması ve işlemesi halinde; Veri İşleyen, kişisel verilerin toplanması, işlenmesi, saklanması ve aktarılması için yürürlükteki mevzuata uygun olacak şekilde, Veri Sorumlusu adına ilgili kişilere gerekli bildirimlerde bulunup aydınlatma yükümlülüklerini yerine getirmeyi ve kişisel verilerinin toplanması, işlenmesi, saklanması ve aktarılması için gerektiği durumlarda “açık rızalarını almayı”,

• Ancak hizmetin/asıl sözleşmenin gerektirdiği veya emredici hukuk kurallarına göre “gerekli olduğu ölçüde” ve her halde Kanun’a uygun biçimde “meşru amaçlarla” sınırlı olarak kişisel veri işlemeyi;

• Kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara hukuka aykırı olarak erişilmesini önlemeye, bunların muhafazasını sağlamaya; veri kaybı oluşmasını, verilerin yok olmasını, zarar görmesini, değiştirilmesini veya açıklanmasını engellemeye yönelik gerekli “teknik ve idari tedbirleri almayı”;

• Taraflar arasındaki iş ilişkisi kapsamında kişisel verilerin toplanması, kullanılması, işlenmesi, aktarılması, değiştirilmesi, imha edilmesi ve açıklanması hususunda 6698 sayılı Kişisel Verilerin Korunması Kanunu da dahil olmak üzere kişisel verilerin korunması ve gizliliğe ilişkin yürürlükteki tüm mevzuata ve kişisel verilerin korunması ve gizliliğe ilişkin Veri Sorumlusu kural ve ilkelerine uymayı,

• Hizmetin ifası için yalnızca Türkiye Cumhuriyeti sınırları içinde veri işlemeyi;

• Hizmetin ifasına esas teşkil eden asıl sözleşme/lerin feshi veya başka bir nedenle son bulması veya veri sorumlusunun bildireceği hallerde ve/veya verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusuna derhal geri vermeyi veya veri sorumlusunun talebine göre silmeyi ve/veya yok etmeyi taahhüt, kabul ve beyan eder.

• Alınacak önlemler söz konusu verinin nitelikleri göz önünde bulundurularak, veriye yetkisiz veya hukuka aykırı erişim sebebiyle oluşabilecek veri kaybı, yok olması veya zarar görmesi durumunda oluşacak zarar ile orantılı olacaktır.

• Veri işleyen, verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, herhangi bir nedenle üçüncü kişi/ kurumlar ile paylaşılması ve/veya bilgi güvenliği zafiyetine neden olacak herhangi bir durumun ortaya çıkması halinde durumu derhal ve en geç iki (2) iş günü içerisinde veri sorumlusuna bildirecektir.

• Veri İşleyen, Kişisel Verileri, İlişkide açıkça yetkilendirildiği haller veya bu tür verilerin açıklanmasının kanun, yönetmelik veya idari makam kararlarının gerektirdiği haller dışında, önceden Veri Sorumlusunun yazılı onayını almaksızın alt yüklenici ya da danışman kullanarak edindiği bilgileri hiçbir zaman açıklamayacak ve devretmeyecektir.

• Veri Sorumlusu tarafından Veri İşleyenin alt yüklenici kullanmasına yazılı olarak izin verilmesi halinde Veri İşleyen tüm altyüklenicilerin bu maddenin koşullarına uymasını sağlayacaktır ve Veri İşleyen işbu madde altında belirtilen yükümlülüklerin alt yüklenici tarafından ihlal edilmesi halinde Veri Sorumlusuna karşı tek sorumlu olmayı kabul etmektedir.
• Veri İşleyen; ilgili kişilerin KVKK kapsamında kendi kişisel verilerine ilişkin olarak çeşitli haklarının bulunduğunun farkındadır. İlgili kişilerin bu hakları kullanmak istemeleri halinde, buna ilişkin olarak Veri Sorumlusunun kendisine vereceği talimatlara uyacağını beyan ve taahhüt eder.

6. VERİ İŞLEYENİN, PERSONELİNE YÖNELİK YÜKÜMLÜLÜKLERİ:

• Veri İşleyen, Kişisel Verileri, İlişkide açıkça yetkilendirildiği haller veya bu tür verilerin açıklanmasının kanun, yönetmelik veya idari makam kararlarının gerektirdiği haller dışında, önceden Veri Sorumlusunun yazılı onayını almaksızın Veri İşleyenin taşeronları ya da danışmanları dâhil olmak ancak bunlarla sınırlı olmamak üzere üçüncü kişilere hiçbir zaman açıklamayacak ve devretmeyecektir.
• Veri işleyen, personelinin, veri sorumlusunun yazılı izni ile çalıştırdığı alt yüklenici kuruluşların ve kendisine bağlı olarak çalışan diğer kişilerin işbu protokol yükümlülüklerine uymalarını sağlamak için gerekli önlemleri almayı, buna aykırı davranmaları halinde doğrudan kendisinin sorumlu olacağını kabul ve taahhüt eder. Burada belirtilen yükümlülükler, gerek personel gerekse veri işleyen açısından personelin görevden ayrılmasından sonra da devam eder.

7. VERİ İŞLEYENİN KİŞİSEL VERİLERİN KULLANIMI ve ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI:

• Veri işleyen işbu sözleşmenin açıkça izin verdiği haller ve hizmet zorunlu kılmadıkça veya veri sorumlusunun yazılı izni olmadıkça kişisel verileri işlemeyecek, kullanmayacak veya ifşa etmeyecektir.

• Veri işleyen, hukuken paylaşılması zorunlu olan haller dışında kişisel verileri, veri sorumlusunun yazılı rızası olmaksızın hiçbir şekilde 3. kişilere veya yurtdışına aktaramaz, paylaşamaz, yayımlayamaz veya ifşa edemez.

8. VERİ İŞLEYENİN TALEP VE ŞİKÂYETLERİ VERİ SORUMLUSUNA BİLDİRİM YÜKÜMLÜLÜĞÜ:

• İlgili kişi (veri sahibi) tarafından kişisel veriye erişim talep etmesi veya kişisel verileri koruma mevzuatı çerçevesinde veri sorumlusunun yükümlülüklerine ilişkin şikâyette veya herhangi bir talepte bulunulması halinde iki (2) işgünü içerisinde veri sorumlusunu haberdar edecektir.

• Veri işleyen; kişisel verilerin adli bir makamdan gelen ve kişisel verilerin söz konusu adli makama açıklanmasını gerektiren yasal olarak bağlayıcı talepleri olması halinde bu durumu iki (2) işgünü içerisinde veri sorumlusuna bildirecektir.
• Veri İşleyen, kişisel verilere izinsiz erişim olması halinde; ilgili erişimi engellemek, söz konusu erişimin ilgili kişilere vereceği zararın azaltılması veya mümkünse yok edilebilmesini sağlamak için her türlü çalışmayı ve düzeltici işlemi derhal yapacak veya dışarıdan uzman tutarak yapılmasını sağlayacak ve yapılan bu çalışmaların kaydını tutarak, Veri Sorumlusunun talebi halinde bu kayıtları Veri Sorumlusuna verecektir. Veri İşleyen, ayrıca Kurul’a ve ilgili kişilere yapılacak bildirimlerin hazırlanması konusunda Veri Sorumlusuna gerekli her türlü desteği sağlayacağını ve bu bildirimlerde kullanılmak üzere gerekli bilgileri vereceğini taahhüt eder. Veri       

         İşleyen, Kurul’un söz konusu izinsiz erişim ile ilgili Veri Sorumlusundan birçok bilgi talep edebileceğinin, bu bilgilerin herhangi bir güvenlik eksikliği olup olmadığına ilişkin de olabileceğinin farkındadır ve Kurul tarafından Veri Sorumlusundan talep edilen tüm bu bilgileri Veri Sorumlusuna vermekle yükümlüdür.

• Veri İşleyen tarafından tutulan kişisel verilere yetkisiz erişim durumunda; (i) Veri Sorumlusunun söz konusu yetkisiz erişim ile ilgili kriz yönetimi hizmeti almak, Kişisel Verilerin Korunması Kanunu uyarınca gerekli bildirimleri yapmak amacıyla ve bunlarla sınırlı olmaksızın söz konusu yetkisiz erişim nedeniyle yapacağı masrafları Veri Sorumlusunun talebi üzerine derhal Veri Sorumlusuna ödeyecektir.
• Veri Sorumlusu ilgili kişilerin zararını tazmin etmek zorunda kalırsa (Veri Sorumlusunun kendi kararı veya bir mahkeme kararı sonucunda), Veri İşleyen söz konusu tazminata eşit bir tutarı, Veri Sorumlusu ilgili kişilere ödemeden önce Veri Sorumlusuna ödeyecektir.
• Kurul’un yetkisiz erişim nedeniyle ceza kesmesi halinde, söz konusu cezayı derhal Veri Sorumlusuna ödeyecektir.

• Veri İşleyen, veri sorumlusuna kendisine iletilen her türlü şikâyet ve talep hakkında her türlü desteği verecek ve veri sorumlusu ile işbirliği yapacaktır. Burada sayılanlarla sınırlı olmamak üzere veri işleyen;

• Veri sorumlusuna şikâyet veya talebe ilişkin tüm detayları ileteceğini,

• Veri sorumlusunun talimatları doğrultusunda veriye erişim taleplerini yerine getireceğini,

• Veri sorumlusu tarafından belirlenecek makul süre içerisinde veri sorumlusu ile ilgili kişilerden herhangi biri hakkında işlenmiş kişisel verileri paylaşacağını,

• Veri sorumlusuna her türlü bilgi ve belgeyi vereceğini kabul, beyan ve taahhüt eder.

9. VERİ İŞLEYENİN DENETİMİ:

• Veri işleyen, veri sorumlusunun (gizliliğe ilişkin gerekli önlemlerin alınması şartıyla), veri işleyenin faaliyetlerini denetlemesine müsaade edecek ve işbu sözleşmeden doğan yükümlülüklerini usulü dairesinde yerine getirip getirmediğinin denetlenmesi hususunda her türlü makul talep ve talimatlarına uyacaktır.

• Veri sorumlusunun ve/veya yetkili denetim kurumlarının, dilediği zamanda denetim yapmasına olanak sağlayacaktır.

• Veri işleyen veri işlenmesine ilişkin tüm kayıt ve dokümanları veri sorumlusunun talebi halinde veri işlemenin mevzuata ve işbu sözleşmeye uygunluğu bakımından incelenmesi için veri sorumlusuna gönderecektir.

• Veri işleyen veri sorumlusunun talebi halinde veri sorumlusu tarafından belirlenecek makul süre içerisinde almış olduğu teknik ve idari tedbirler, veri işleyenin kişisel verilerin korunması mevzuatına uyumu ve ilgili kişilerin hakları hakkında bilgiyi yazılı olarak iletecektir.

• Veri sorumlusu, kendisi ve/veya yetkili denetim kurumları tarafından yapılan değerlendirme neticesinde, denetimi engelleyici veya risk doğurucu hususların varlığına kanaat getirmesi ve/veya düzenleyici/denetim mercileri tarafından hizmet alınmasının sınırlanması veya yasaklanması halinde sözleşmeye konu hizmet alımını (asıl sözleşmeyi) sona erdirmeye yetkili olup sözleşmeyi tek taraflı ve tazminatsız olarak feshedebilir.

10. VERİ İŞLEYENE RÜCU ŞARTLARI VE TAZMİNAT:

Veri işleyen yürüttüğü veri işleme faaliyetleri kapsamında veri sorumlusunun ilgili kişilere/üçüncü kişilere karşı yükümlülüklerini göz önünde bulunduracaktır. Veri işleyenin işbu sözleşmeye aykırı davranması sebebiyle veri sorumlusunun herhangi bir zarara uğraması ve/veya dava sonucu veya ilama gerek kalmaksızın ilgili kişilere/üçüncü kişilere herhangi bir tazminat veya ilgili mercilere idari para cezası ödemekle yükümlü kalması halinde; veri işleyen doğrudan sorumlu olup, veri sorumlusu veri işleyene rücu edebilecektir. Bu durumda veri işleyen veri sorumlusunun tazminatlar, ücretler, cezalar, makul vekâlet ücretleri ve yargılama masrafları da dâhil tüm giderleri ve uğrayacağı her türlü zararı ilk talebinde, derhal, nakden ve defaten veri sorumlusuna ödeyecektir.

11. ASIL SÖZLEŞME YANINDA ÖNCELİKLE UYGULANMA ve SON HÜKÜMLER:

• İşbu ek sözleşmenin birinci maddesi uyarınca uygulama alanına giren hallerde işbu sözleşmenin hükümleri ile taraflar arasında yapılmış ve/veya yapılacak sözleşme hükümleri arasında ihtilaf çıktığında işbu sözleşme hükümleri öncelikle uygulanır.

• İşbu ek sözleşme 6698 SK gereği olduğundan, veri sorumlusundan bu ek sözleşme hükümlerini değiştirmesi istenemez.

• Bu sözleşmenin yapılmış olması taraflar arasındaki mevcut İlişki haricinde başkaca bir ticari ilişki meydana getirmez.

• İşbu ek sözleşmeye yönelik anlaşmazlıklar, asıl sözleşmedeki usule bağlıdır.

• Asıl sözleşmenin feshi, bu sözleşmenin doğrudan feshi anlamına gelmez. Bu ek sözleşme ancak veri işleyenin, kişisel verilerle ilgili sorumluluklarını tamamen yerine getirmesi ve bu konuda Veri Sorumlusunun onu ibra etmesiyle sona erer.

• İşbu ek sözleşme   ../../2024  tarihinde, iki nüsha olarak düzenlenerek taraflarca imzalanmıştır.

• İşbu ek sözleşmeye ilişkin vergi ve harçlar Veri İşleyen tarafından karşılanacaktır.

• İşbu ek sözleşme, asıl sözleşmenin yürürlüğe girdiği tarihte yürürlüğe girer.

 VERİ SORUMLUSU                                             VERİ İŞLEYEN