KİŞİSEL VERİLERİN KORUNMASI PROTOKOLÜ

İşbu Kişisel Verilerin Korunmasına Yönelik Ek-Protokol (“Protokol”) Yeniköy Mah. Köybaşı Cad. No:83 Sarıyer / İstanbul adresinde faaliyet gösteren Oto Plan Operasyonel Taşıt Kiralama Tic. A.Ş. (“Oto Plan”) ve bu sözleşmeyi ERM Sistemi üzerinden okuduğunu ve protokolü kabul ettiğini bildiren (“SERVİS”) arasında akdedilmiştir

İşbu Protokol kapsamında Oto Plan ve SERVİS ayrı ayrı “Taraf” birlikte “Taraflar” olarak anılacaklardır.

Madde 1- Protokolün Konusu

İşbu Protokol, Taraflar arasında mevcut ticari ilişki kapsamında Kişisel Verilerin paylaşımı ve İşlenmelerine yönelik Tarafların hak ve yükümlülüklerinin düzenlenmesi amacıyla Taraflar arasında akdedilen sözleşmelerin eki ve ayrılmaz bir parçası olarak aşağıdaki şekil ve şartlarla akdedilmiştir. Sözleşmedeki diğer hükümlerin tamamı bu Protokolden etkilenmeksizin ve her halükarda içerik itibariyle 6698 sayılı Kanuna muhalefet ettiği takdirde işbu Protokolün hükümleri üstün ve öncelikli olarak uygulanacaktır.


Madde 2- Tanımlar

İşbu Protokol’de ayrıca tanımlanmayan ancak büyük harf ile belirtilen terimler 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik mevzuat kapsamında kendilerine atfedilen anlamları ifade eder.


Madde 3- Veri Konumları

Yukarıda belirtilen Sözleşme ilişkisi kapsamında Taraflarca işlenecek Kişisel Verilerin işlenmesine ilişkin kararların alınması (kişisel verilerin verilerin toplanması ve toplama yöntemi, toplanacak veri türleri, verilerin hangi amaçlarla kullanılacağı, ne kadar süreyle saklanacağı, paylaşılıp paylaşılmayacağı/kiminle paylaşılacağı gibi hususlarda) hususunda yetkisi olan taraf Veri Sorumlusu sıfatına haiz olacak olup, Sözleşme kapsamında işlenecek kişisel verilerin tamamı veya bir kısmı bakımından Taraflar birlikte Veri Sorumlusu olabilecekleri gibi, her bir taraf bir kısım kişisel veri bakımından Veri Sorumlusu, diğer veriler bakımından Veri İşleyen sıfatına haiz olabilmektedir.

3.1. Taraflar Sözleşme kapsamında birlikte işleyecekleri Kişisel Verilerin işlenmesine ilişkin kararların alınmasında yetkili olduğu için aşağıda sayılan veriler bakımından biltikte Veri Sorumlusudur:


3.2. Sözleşme kapsamında işlenecek aşağıda sayılan Kişisel Veriler bakımından Oto Plan Veri Sorumlusu, SERVİS ise Sözleşme amacı kaspamında işlenen kişisel veriler bakımından Veri İşleyen konumundadır:


3.3. Sözleşme kapsamında işlenecek aşağıda sayılan Kişisel Veriler bakımından SERVİS Veri Sorumlusu konumundadır:

ve/veya Sözleşme kapsamında SERVİS tarafından işlenecek başka kişilere her türlü kişisel veriler.


Madde 4-Her İki Tarafın da Veri Sorumlusu Olduğu Kişisel Veriler Bakımından Yükümlülükler

Her bir Taraf ayrı ayrı, birlikte veya tek başına Veri Sorumlusu sıfatına haiz olduğu Kişisel Veriler bakımından aşağıdaki yükümlülüklere sahiptir:



a) Her bir Taraf Sözleşme kapsamında kendisinin işleyeceği kişisel verinin 6698 sayılı Kişisel Verilerin Korunması Kanunu, kısaca (KVKK) başta olmak üzere ilgili kişisel verilerin korunmasına yönelik kanunlara, yönetmeliklere, tebliğlere, Kişisel Veri Korum Kurulu karalarına ve diğer her türlü veri koruma ve kişisel bilgilerle ilgili Türk Hukuk mevzuatına uygun olmasını sağlayacaktır.

b) Kişisel Veriler Taraflar arasında mevcut olan Sözleşmenin gerektidiği verilerle ve amaçlarla sınırlı olarak işlenecektir.

c) Açık Rıza beyanı alınması gerekmesi halinde, kural olarak ilgili kişiyle veriyi toplayan Taraf Rıza Beyanını temin etmekle yükümlü olmakla beraber ilgili süreçler Taraflarca iyi niyetle ve işbirliği içerisinde belirlenir. Aynı esaslar ilgili veri sahiplerine yürürlükte bulunan kişisel verilerin korunması mevzuatı kapsamında gerekli bilgilendirmelerin yapılması hususunda da uygulanacaktır.Bu durumda her bir Taraf kendi Kişisel Veri İşleme süreçlerinden KVK Düzenlemeleri kapsamında bizzat sorumludur. Taraflar bu hususu ayrıca yazılı şekilde belirler.

d) Taraflar arasındaki Sözleşme kapsamında işlenen Kişisel Veriler, herhangi bir şekilde yetkisiz erişim gerçekleşmesi ve/veya adli bir makamdan gelen ve kişisel verilerin söz konusu adli makama açıklanmasını gerektiren yasal olarak bağlayıcı taleplerin bulunması durumlarında, talebin yöneltildiği Taraf diğer Tarafa derhal (bir gün içerisinde) söz konusu durumu bildirecek ve bu durumdan doğabilecek zararların önlenmesi veya minimize edilmesi için makul işbirliği içerisinde olacaktır. Taraflar talep edilen her türlü bilgi, belge ve desteği birbirlerine gecikmeksizin sağlayacaktır, birlikte gerekli işlemleri yürütecek ve gerekli savunmaları gerçekleştirecektir.

e) Protokol kapsamında İşlenen Kişisel Veriler ilgili Veri Sorumlusunun uhdesinde kalacatır ve Taraflar ilgili Veri Sorumlusuna karşı Kişisel Veriler bakımından süresiz olarak sır saklama yükümlülüğüne tabi olacaktır.


Madde 5- SERVİSin Veri İşleyen Konumunda olduğu Veriler Bakımından SERVİS’in Yükümlülükleri

SERVİSin kişisel verilere ilişkin olarak Veri İşleyen sıfatıyla hareket ettiği durumlarda işbu Prokolde düzenlemesi bulunan diğer hükümlere uyacaktır ve ek olarak ayrıca SERVİS:

5.1. Oto Plan tarafından SERVİS’e aktarılan yahut Oto Plan’ın yazılı onayı üzerine Oto Plan adına toplanan Kişisel Veriler, SERVİS tarafından yalnızca SERVİS ile akdedilen sözleşmeler kapsamında SERVİS yükümlülüklerini yerine getirmek amacıyla ve gerekli ölçüde, KVK Düzenlemeleri’ne uygun olarak işlenir, amacın kapsamadığı veya amacı aşacak şekilde işlemeye tabi tutulamaz.


5.2.SERVİS tarafından Oto Plan’ın izni ile toplanacak kişisel veriler bakımından, kişisel verilerin işlenmesi için ilgili veri sahiplerine yürürlükte bulunan kişisel verilerin korunması mevzuatı kapsamında gerekli bilgilendirmelerin yapılması ve veri sahiplerinden bahsi geçen mevzuata uygun içerik ve formatta gerekli izin ve onayların alınması münhasıran SERVİSin sorumluluğunda olacaktır.


5.3. Veri sahibinin herhangi bir şekilde SERVİSten ilgili yasal mevzuat kapsamındaki haklarıyla ilgili bir talepte bulunması halinde, SERVİS söz konusu talebe ilişkin olarak derhal (her halükarda ertesi iş günü) Oto Plan’a yazılı bildirimde bulunacak ve gerekli aksiyonları derhal alacaktır.


5.4.SERVİS, Sözleşmenin feshedilmesi, yürürlük süresinin sona ermesi veya başka herhangi bir sebepten son bulması veya kişisel veri işleme amacının ortadan kalkması hallerinde, Oto Plan’ın tercihine bağlı olarak, kişisel verileri yedekleri ile birlikte Oto Plan’a iade edecektir ya da kişisel verileri tamamen yok edecektir. Mevzuatta bu yükümlülüğü yerine getirmesini engelleyen (saklama yükümlülüklerine dair) hükümler varsa, ilgili kişisel verilerin gizliliğini güvence altına almak için gerekli idari ve teknik tedbirleri alacaktır ve veri işleme faaliyetini durduracaktır.


5.5.SERVİS kendisinin, tüm çalışanlarının, temsilcilerinin, ortaklarının ve işbirliği içinde bulunduğu alt işverenlerinin bu Sözleşmenin parçası olarak, kişisel veri işlerken yukarıda belirtilen tüm koşullara ve 6698 sayılı Kanun ile ikincil mevzuata uyacaklarını ve kendisinin bu konuda gerekli tüm teknik ve idari önlemleri alacağını kabul, beyan ve taahhüt eder.

SERVİS, çalışanlarını ve temsilcilerini KVK mevzuatı çerçevesinde bilgilendirecek, yalnızca ilgili personelin kişisel verilere erişimine izin verecektir.SERVİS Oto Plan’ın talebi üzerine, Kişisel Verilere erişimi olan çalışanların listesini derhal Oto Plan’a yazılı olarak bildirir.

SERVİS, Sözleşme konusu hizmeti ifa ederken, kişisel verileri, bir grup şirketine veya alt işverene aktarması gereken hallerde,

a) Aktarmadan önce Oto Plan’ı bu konuda bilgilendirecektir ve onayını alacaktır,

b) Grup şirketi veya alt işverenin asgari olarak bu Protokolde düzenlenen kapsamda Kişisel Verilerin Korunması ve ilgili mevzuata uyum sağlamasını temin edecektir,

c) Alt işverenle arasındaki sözleşmede, bu Protokolde mevcut taahhütname ve hükümlerin içermesini sağlayacaktır.

d) KVK mevzuatında öngörülen teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacaktır,

e) Grup şirketi ve/veya alt işverenin verileri Oto Plan’ın talimatlarına uygun olarak işlemesini sağlamak ve Oto Plan’ın talebi üzerine gereken bilgi ve belgeleri Oto Plan’a temin etmekle yükümlü olacaktır,

f) Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi’nin gerektiği durumlarda ilgili üçüncü kişilerin de ilgili işlemleri kendi sistemlerinde yapacaklarını taahhüt eder, bunu bizzat denetler, garanti eder ve talep üzerine uygun araçlarla bunu ispatlar.


5.6.SERVİS Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik yeterli fiziksel ve siber güvenlik uygulamaları ve özel nitelikli kişisel verilere özgü güvenlik önlemleri dâhil olmak üzere gerekli her türlü teknik ve idari tedbirleri alacaktır. SERVİS, KVK Düzenlemeleri’nin uygulanmasını sağlamak amacıyla gerekli tüm denetimleri yapmakla ve/veya yaptırmakla, Oto Planın talep etmesi halinde gerekli güvenlik önlemleri alındığını bilişim güvenliğinde uzman bir şirket tarafından sunulan raporla kanıtlamakla yükümlüdür.


5.7.SERVİS, Kişisel Verilerin işlenmesine, depolanmasına, eğer söz konusuysa alt işverene aktarmasına ve kullanılmasına ilişkin olarak KVK Mevzuatına uygun kayıt tutacak ve Oto Planın talebi üzerine bu kayıtları derhal Oto Plan’a sunacaktır.


5.8. Oto Plan’ın Kişisel Veri koruma bağlamında KVK mevzuatına ve bu maddede düzenlenen taahhüt ve yükümlülüklerine uyumluluk konusunda denetim yapma ve yaptırma ve gerekli gördüğü yönlendirmeleri yapma yetkisine sahiptir. SERVİS bu yönde gerekli kolaylığı sağlayacaktır.

Bu madde Oto Plan’ın bu şekilde bir yükümlülüğü olduğu anlamına gelmemektedir ve SERVİS’in KVK mevzuatından kaynaklanan yükümlülüklerini etkilememektedir.


5.9.İşbu Protokol kapsamında SERVİS, Oto Planın Veri Sorumlusu olduğu Kişisel Veriler haricinde kendi uhdesinde olan diğer tüm Kişisel Verilerden ve bunların İşlenmesinden KVK Düzenlemeleri dahil ilgili tüm mevzuat kapsamında tek başına ve bizzat sorumludur.


5.10.SERVİS, Oto Plan’ın Kişisel Verilerin korunmasına ilişkin web sitesi veya sair kanallardan kendisine duyurulan Oto Plan Kişisel Verilerin Korunması Politikası başta olmak üzere bütün kişisel veri konulu politikalarını okuduğunu, anladığını, işbu politikalara uygun hareket edeceğini ve politikalar kapsamında yapılacak güncellemeleri takip edeceğini kabul, beyan ve taahhüt eder.


Madde 6- Yükümlülüklerin İhlali

6.1. Oto Plan; SERVİS’in bu Protokolde belirtilen yükümlülüklerini veya Kişisel Verilerin Korunması Mevzuatını ihlâl etmesi halinde, söz konusu ihlâl düzeltilene kadar Sözleşmeyi askıya alabilir ya da ihlalin niteliğine göre Sözleşmeyi tazminat talephakkı saklı kalmak kaydı ile derhal feshedebilir.


6.2.SERVİS, KVK mevzuatı ve/veya bu Protokol’de düzenlenen hükümlere aykırı davranması halinde, Oto Plan’ın, yetkililerinin, yöneticilerinin ve çalışanlarının ortaya çıkabilecek tüm alacaklarını, masraflarını, zararlarını, para cezalarını, kayıplarını, yükümlülükleri ve giderleri (yargılama giderleri, avukat ücretleri, üçüncü kişi zararı, idari para cezaları ve cezai yaptırımlar da dahil olmak üzere) doğabilecek her türlü zararlarını tazmin edecek ve zarar görmemelerini sağlayacaktır. Taraflar, Oto Plan’ın bu kapsamda herhangi bir ödeme yapmak zorunda kalması halinde, söz konusu zararını SERVİS’e rücu edebileceği hususunda mutabıklardır.

6.3. Tazminat yükümlülüğü Taraflar arasındaki ticari ilişkinin sona ermesi halinde dahi her halükârda devam edecektir.


Madde 7- Süre

İşbu Protokol süresiz şekilde akdedilmiştir. Taraflar arasındaki ticari ilişkinin sona ermesi halinde dahi (fesih dahil) Protokol süresiz olarak yürürlükte kalacaktır.


Madde 8- Feragat

İşbu Protokol’den doğan herhangi bir hakkın süresi içinde kısmen veya tamamen kullanılmamış olması o haktan feragat edildiği anlamına gelmez. Bunun gibi, Taraflardan birinin işbu Protokol’den kaynaklanan herhangi bir yükümlülüğünü yerine getirmemesi ya da eksik yerine getirmesi, bu durumun diğer Taraf tarafından kabul edildiği ya da anılan yükümlülüklerin yerine getirilmesinden feragat edildiği anlamına gelmez.


Madde 9- Ayrılabilirlik ve Değişiklikler

İşbu Protokol’de yer alan hüküm, şart ve kayıtlardaki geçersizlik, iptal edilebilirlik, herhangi bir şekilde kanuna aykırılık veya icra ve tenfiz edilemezlik Protokol’ün diğer hükümlerinin geçerliliğini etkilemez.

İşbu Protokol’de yapılacak olan her türlü değişiklik, ancak Tarafların yazılı bir şekilde karşılıklı mutabakatı bulunduğu takdirde geçerli olacaktır.


Bu Protokol dijital olarak okunmuş, kabul edilmiş ve yürürlüğe girmiştir.