LETTER OF UNDERTAKING FOR PROTECTION OF PERSONAL DATA

Article 1 – Subject

This hereby Letter of Undertaking for Protection of Personal Data (“Letter of Undertaking”) contains the Company’s undertakings in respect of transfer of personal data and data security under the [•] Contract (the “Contract”), which was concluded on [27 May 2021] between [Universal Turizm ve Ticaret A.Ş.] (the “Company”), resident at the address [Ferah Sokak No: 29 Teşvikiye Şişli İstanbul], and Türkiye Soroptimist Kulüpleri Federasyonu (“TSKF”) resident at the address [Telsizler Mahallesi Hakim Sokak No: 4 Kağıthane –İstanbul].

This hereby Letter of Undertaking is an integral part of the Contract.

Article 2 – Definitions

Under this Letter of Undertaking, the following terms shall have the following meanings:

  1. LPPD/Law: Law No.6698 on the Protection of Personal Data
  2. Personal data: Any information relating to an identity specific or specifiable natural person,
  3. Board: The Board of Protection of Personal Data,
  4. Authority: The Personal Data Protection Authority,
  5. Sensitive personal data: Biometric and genetic data of persons and data with respect to the race, ethnic origin, political opinion, philosophical belief, religion, denomination or other beliefs, clothing and apparel, association, foundation or trade union membership, health, sexual life, criminal conviction and security measures of persons (the expression of “personal data” used in continuation of this hereby Agreement also covers sensitive personal data as appropriate),
  6. Processing of personal data: Any transaction carried out on the data, such as obtaining, recording, storing, preserving, altering, reorganizing, disclosing, transfer, taking over, making available, classifying the personal data or preventing its usage, by fully or partly automatic means, or by non-automatic means provided that they are part of a data recording system.

 

 

 

Article 3 – Undertakings

With regard to the personal data transferred by TSKF and/or the Company shall obtain by similar means and/or it shall transfer to TSKF under the Contract, the Company irrevocably, definitely and unconditionally accepts, declares and undertakes that:

  1. It shall process personal data and transfer to TSKF in compliance with the procedure and principles contained in the Law, including informing data subjects duly and obtaining explicit consent in cases where necessary, with the subordinate regulations issued in this context, with the provisions in the relevant legislation for protection of personal data, and with the decisions of the Board,
  2. Under the obligation to inform data subjects and obtaining their explicit consent in cases where necessary, specified in Article 3, paragraph a. of this hereby Letter of Undertaking, it shall inform the data subjects owning personal data of:
    1. That the Company has a legal relationship with TSKF under the Contract,
    2. The fact that it may transfer personal data to TSKF under the Contract,
    3. That the personal data transferred to TSKF pursuant to the Contract may be transferred by TSKF to third parties, limited to provision of the services under the Contract, and
    4. shall inform the data subject regarding the purposes of personal data transfer to TSKF,

it shall obtain their explicit consents in cases where necessary,

  1. In case personal data are processed deficient or wrongly, upon the request by the data subject and/or instruction by TSKF and the Board, it shall correct its records in respect of the personal data,
  2. Within the scope of deletion, destroying or anonymizing of personal data, it shall act in compliance with the Law, the subordinate regulations issued in this context, the provisions of the relevant legislation and the decisions of the Board and in case the conditions for processing of personal data contained in the Law disappear completely and/or upon the instruction by TSKF, it shall delete, destroy or anonymize the personal data on the first periodical destroying transaction following the date on which the obligation to delete, destroy or anonymize the personal data has arisen,
  3. It shall in no way transfer the personal data to third persons, on condition that the circumstances specified in article 8 of the Law are reserved,
  4. In case of any data breach and/or threat in respect of access by third persons to personal data such as a cyber attack, it shall immediately (within the same day) inform TSKF, and in addition to its legal obligations, it shall comply with the guidance, instruction and orders to be given by TSKF,
  5. It shall take all the necessary technical and administrative measures in relation to security of personal data and inform as is required the persons employed by it in this respect, and in addition, it shall comply with the instructions to be given by TSKF and in any way, fulfil the aforementioned requests within a reasonable period,
  6. To ensure realization of transfer with regard to the personal data that it shall transfer to TSKF in accordance with law, it shall take all the necessary technical and administrative measure.
  7. In case the personal data that it shall transfer to TSKF are among those data which are included in the definition of personal data with private characteristic counted in article 6 of the Law, health data being in the first place, it shall transfer the aforementioned personal data to TSKF in compliance with the provisions contained in article 6 of the Law and the relevant legislation and the decisions of the Board and subject to additional security measures and authorizations,
  8. It shall allow TSKF and/or persons to be authorized by TSKF to make audit in respect of the personal data even without obtaining prior consent, at any time they wish and with the methods to be determined by TSKF and it shall provide any information and document to be needed by TSKF during this audit,
  9. It shall immediately (within 2 (two) business days at the latest) inform TSKF of the applications to be made by the data subjects pursuant to the Law,
  10. It shall immediately finalize the requests of the data subjects communicated to it by TSKF in compliance with the procedure and principles contained in the Law, the relevant regulatory procedures, the provisions contained in the relevant legislation and the decisions of the Board, and if necessary, it shall communicate all the information, document and certificates to TSKF,
  11. It shall immediately (within 2 (two) business days at the latest) inform TSKF of any examination, inspection, request for defence and similar circumstances to be realized by the relevant institution and organizations, the Authority and the Board being in the first place,
  12. The damages to be incurred, legal, administrative and criminal sanctions to be encountered and indemnities obliged to be paid by TSKF due to its act in breach of this hereby Letter of Undertaking, the Law, provisions of other legislation or the decisions of the Board or for the reasons arising from the Company, from the Company’s employee, from those persons who are in cooperation with the Company or from third parties to which personal data are transferred by the Company, TSKF has the right to recourse to the Company, and in case TSKF makes any request to the Company for these reasons, it shall immediately pay to TSKF in cash and in full the direct or indirect damages incurred by TSKF together with the ancillaries thereof, within 2 (two) business days following the written request by TSKF,
  13. For continuation and even following expiry of all the written and oral contracts it has executed with TSKF, first and foremost this hereby Letter of Undertaking, before any transfers of personal data of natural persons to be provided by the Company at certain times during both the signature and the performance of the contracts to TSKF, it shall fulfil its obligation to inform in respect of such transfer and obtain all the legally required permits, consents and decisions.

Article 4 – Governing Law, Competent Courts and Language

Turkish Law shall be applied to evaluation of this hereby Letter of Undertaking, and Istanbul Central (Çağlayan) Courts and Execution Offices are competent to rule in the disputes arising from the Letter of Undertaking.

This Letter of Undertaking was drafted and signed by the Parties in Turkish and English languages. In case of any inconsistencies between the two texts, the Turkish version shall prevail.

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN TAAHHÜTNAME

Madde 1 – Konu

İşbu Kişisel Verilerin Korunmasına ilişkin Taahhütname (“Taahhütname”), [Ferah Sokak No: 29 Teşvikiye Şişli İstanbul] adresinde mukim [Universal Turizm ve Ticaret A.Ş.] (“Şirket”) ile [Telsizler Mahallesi Hakim Sokak No: 4 Kağıthane –İstanbul] adresinde mukimTürkiye Soroptimist Kulüpleri Federasyonu (“TSKF”) arasında [26 Mayıs 2021] tarihinde akdedilmiş olan [•] Sözleşmesi (“Sözleşme”) kapsamında kişisel veri aktarımı ve veri güvenliğine ilişkin Şirket’in taahhütlerini içermektedir.

 

İşbu Taahhütname Sözleşme’nin mütemmim cüzüdür.

Madde 2 – Tanımlar

İşbu Taahhütname kapsamında:

  1. KVKK/Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  2. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
  3. Kurul: Kişisel Verileri Koruma Kurulu,
  4. Kurum: Kişisel Verileri Koruma Kurumu,
  5. Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler (işbu Sözleşme’nin devamında kullanılan “kişisel veri” ifadesi, uygun olduğu ölçüde özel nitelikli kişisel verileri de kapsamaktadır),
  6. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,

anlamına gelmektedir.

 

 

Madde 3 – Taahhütler

Şirket, Sözleşme tahtında TSKF tarafından aktarılan ve/veya sair şekillerde elde edeceği ve/veya TSKF’ye aktaracağı kişisel veriler bakımından:

 

  1. Kişisel verileri kişisel veri sahiplerine usulüne uygun olarak aydınlatma yapılması ve gerekli hallerde açık rızanın temin edilmesi de dahil Kanun’da yer alan usul ve esaslara, bu kapsamda yayımlanan ikincil düzenlemelere, ilgili mevzuatta yer alan kişisel verilerin korunmasına dair hükümlere ve Kurul kararlarına uygun olarak işleyeceğini ve TSKF’ye aktaracağını,
  2. İşbu Taahhütname’nin 3. maddesinin a. bendinde belirtilen kişisel veri sahiplerinin aydınlatılması ve gerekli hallerde açık rızalarının temin edilmesi yükümlülüğü kapsamında kişisel verilerin sahibi olan ilgili kişileri,
    1. Şirket’in Sözleşme kapsamında TSKF ile hukuki ilişkisi olduğu,
    2. Sözleşme kapsamda kişisel verileri TSKF’ye aktarabileceği,
    3. Sözleşme gereğince TSKF’ye aktarılan kişisel verilerin, sadece Sözleşme’nin kapsamındaki hizmetlerin sunulması ile sınırlı olacak şekilde, TSKF tarafından üçüncü kişilere aktarılabileceği, ve
    4. İlgili kişisel verilerin TSKF’ye aktarılma amaçları,

hakkında aydınlatacağını ve gerekli hallerde açık rızalarını temin edeceğini,

  1. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde, kişisel veri sahibinin talebi ve/veya TSKF ile Kurul’un talimatı üzerine kişisel verilere ilişkin kayıtlarını düzelteceğini,
  2. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi kapsamında Kanun’a, bu kapsamda yayımlanan ikincil düzenlemelere, ilgili mevzuat hükümlerine ve Kurul kararlarına uygun davranacağını ve Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde ve/veya TSKF’nin talimatı üzerine kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri sileceğini, yok edeceğini veya anonim hale getireceğini,
  3. Kişisel verileri Kanun’un 8’inci maddesinde belirtilen şartlar saklı kalmak kaydıyla hiçbir şekilde üçüncü kişilere aktarmayacağını,
  4. Siber saldırı gibi üçüncü kişiler tarafından kişisel verilerin erişimine dair herhangi bir saldırı ve/veya tehdit olması durumunda derhal (aynı gün içerisinde) yazılı olarak TSKF’yi bilgilendireceğini ve yasal yükümlülüklerinin yanı sıra TSKF’nin vereceği yönlendirme, talimat ve emirlere uyacağını,
  5. Kişisel verilerin güvenliği ile ilgili olarak gereken tüm teknik ve idari önlemleri alacağını ve bu yönde çalıştırdığı kişileri gereği gibi bilgilendireceğini ve ayrıca TSKF tarafından verilecek talimatlara riayet edeceğini ve her halükarda söz konusu talepleri makul süre içerisinde yerine getireceğini,
  6. TSKF’ye aktaracağı kişisel verilere ilişkin olarak aktarımın hukuka uygun olarak gerçekleştirilmesini sağlamak üzere gerekli her türlü teknik ve idari tedbiri alacağını,
  7. TSKF’ye aktaracağı kişisel verilerin, sağlık verisi başta olmak üzere Kanun’un 6’ncı maddesinde sayılan özel nitelikli kişisel veri tanımına dahil olan verilerden olması halinde, söz konusu kişisel verileri, Kanun’un 6’ncı maddesi ve ilgili mevzuatta yer verilen hükümler ile Kurul kararlarına uygun olarak ve ek güvenlik önlemleri ve yetkilendirmelere tabi şekilde TSKF’ye aktaracağını,
  8. TSKF tarafından ve/veya TSKF’nin yetkilendireceği kişilerin kişisel verilere ilişkin olarak önceden izin almaksızın dahi dilediği zaman ve TSKF’nin belirleyeceği yöntemlerle denetim yapmasına izin vereceğini ve bu denetim esnasında TSKF’nin ihtiyaç duyacağı her türlü bilgi ve belgeyi temin edeceğini,
  9. Kişisel veri sahipleri tarafından Kanun uyarınca yapılacak başvuruları derhal (en geç 2 (iki) iş günü) TSKF’ye bildireceğini,
  10. TSKF tarafından kendisine iletilen ilgili kişi taleplerini derhal Kanun’da yer alan usul ve esaslara, ilgili düzenleyici işlemlere, ilgili mevzuatta yer verilen hükümlere ve Kurul kararlarına uygun olarak sonuçlandıracağını ve gerekmesi halinde tüm bilgi, belge ve dokümanları TSKF’ye ileteceğini,
  11. Başta Kurum ve Kurul olmak üzere, ilgili kurum ve kuruluşlar tarafından gerçekleştirilebilecek herhangi bir inceleme, denetim, savunma talebi ve benzeri durumları TSKF’ye derhal (en geç 2 (iki) iş günü) bildireceğini,
  12. işbu Taahhütname’ye, Kanun’a, diğer mevzuat hükümlerine veya Kurul kararlarına aykırı davranması dolayısıyla ya da Şirket’ten, Şirket çalışanından, Şirket’in iş birliği içinde olduğu kişilerden ya da Şirket tarafından kişisel verilerin aktarıldığı üçüncü taraflardan kaynaklanan sebepler ile TSKF’nin uğrayacağı zararlar, karşılaşacağı hukuki, idari ve cezai yaptırımlar ile ödemek zorunda kalabileceği tazminatlar için TSKF’nin Şirket’e rücu hakkı bulunduğunu ve TSKF’nin bu nedenlerle Şirket’e talepte bulunması halinde TSKF’nin yazılı talebini müteakip 2 (iki) iş günü içinde TSKF’nin uğradığı doğrudan veya dolaylı zararları ferileriyle birlikte derhal, nakden ve tamamen TSKF’ye ödeyeceğini,
  13. TSKF ile imzalamış olduğu başta işbu Taahhütname olmak üzere taraflar arasında münakid yazılı ve sözlü tüm sözleşmelerin devamı süresince ve dahi sona ermesini müteakip, gerek sözleşmelerin imzalanması sürecinde gerekse sözleşmelerin ifası sürecinde belirli zamanlarda Şirket tarafından sağlanacak gerçek üçüncü kişilere ait kişisel verilerin TSKF’ye aktarılmasından önce söz konusu aktarıma ilişkin olarak aydınlatma yükümlülüğünü yerine getireceğini ve hukuken gerekli olan tüm izin, onay ve kararları alacağını,

Gayrikabili rücu, kesin ve şartsız olarak yukarıdaki hususları kabul, beyan ve taahhüt eder.

Madde 4 – Uygulanacak Hukuk, Yetkili Mahkeme ve Dil

İşbu Taahütname’nin değerlendirilmesinde Türk hukuku uygulanacak olup, Taahütname’den kaynaklanan ihtilaflarda İstanbul Merkez (Çağlayan) Mahkemeleri ve İcra Daireleri yetkilidir.

İşbu taahhütname Türkçe ve İngilizce dillerinde hazırlanmış ve imzalanmıştır. İki metin arasında fark olması halinde Türkçe metin üstün tutulacaktır