VERİ KORUMA SÖZLEŞMESİ
Last Updated: 01 January 2026
This Data Protection Agreement (“Agreement”) governs the processing of personal data within the scope of professional legal services provided by Aigerim Sabit Bikmaz, Attorney-at-Law, in accordance with the Turkish Law on the Protection of Personal Data No. 6698 (“KVKK”), Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (“GDPR”), where applicable, the Attorneyship Act No. 1136, as well as all relevant secondary legislation, binding decisions, guidelines, and established practice of the Turkish Personal Data Protection Authority.
This Agreement is an integral part of the attorney–client relationship and shall be interpreted in light of statutory duties arising from the legal profession, including attorney–client privilege, professional secrecy, and the independence of the legal profession.
1. Taraflar
Bu Sözleşme aşağıdaki taraflar arasında akdedilmiştir:
Aigerim Sabit Bikmaz, Avukat, Ankara Barosu’na 41640 sicil numarası ile kayıtlı olup, kayıtlı adresi Mustafa Kemal Mahallesi Dumlupınar Bulvarı No: 274/2 D:75, Çankaya, Ankara, Türkiye olan, Vergi Kimlik Numarası 11793190618, Maltepe Vergi Dairesi (bundan sonra “Avukat” olarak anılacaktır)
ve
Hukuki hizmet alan gerçek veya tüzel kişi (bundan sonra “Müvekkil” olarak anılacaktır).
Avukat ve Müvekkil bundan sonra ayrı ayrı “Taraf” ve birlikte “Taraflar” olarak anılacaktır.
2. Tanımlar
Bu Sözleşme kapsamında aşağıdaki terimler aşağıda belirtilen anlamları ifade eder.
“Kişisel Veri”, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(1) maddesinde tanımlandığı üzere, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
“Özel Nitelikli Kişisel Veri”, 6698 sayılı Kanun’un 6. maddesi ve Genel Veri Koruma Tüzüğü’nün 6. maddesi kapsamında düzenlendiği üzere, ırk veya etnik köken, siyasi düşünce, dini veya felsefi inanç, sendika üyeliği, genetik veriler, bir gerçek kişinin benzersiz şekilde tanımlanmasına yönelik işlenen biyometrik veriler, sağlık verileri veya kişinin cinsel hayatı ya da cinsel yönelimine ilişkin verileri ifade eder.
“İşleme” veya “Kişisel Verilerin İşlenmesi”, 6698 sayılı Kanun’un 3. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(2) maddesi kapsamında tanımlandığı üzere, kişisel verilerin toplanması, kaydedilmesi, depolanması, uyarlanması, değiştirilmesi, açıklanması, aktarılması, elde edilmesi, sınırlandırılması, silinmesi veya yok edilmesi dahil ancak bunlarla sınırlı olmamak üzere kişisel veriler üzerinde gerçekleştirilen her türlü işlem veya işlem dizisini ifade eder.
“Veri Sorumlusu”, 6698 sayılı Kanun’un 3. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(7) maddesi kapsamında, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişiyi ifade eder.
“Veri İşleyen”, 6698 sayılı Kanun’un 3. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(8) maddesi kapsamında, Veri Sorumlusu adına ve onun talimatları doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“İlgili Kişi”, kişisel verileri işlenen gerçek kişiyi ifade eder.
“Veri Koruma Mevzuatı”, 6698 sayılı Kanun, uygulanabildiği ölçüde Genel Veri Koruma Tüzüğü, ilgili tüm ikincil mevzuat, Kişisel Verileri Koruma Kurumu’nun bağlayıcı karar ve rehberleri ile yürürlükte bulunan diğer veri koruma mevzuatını ifade eder.
“Kişisel Veri İhlali”, 6698 sayılı Kanun’un 12. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(12) maddesinde tanımlandığı üzere, kişisel verilerin kazara veya hukuka aykırı olarak yok edilmesi, kaybolması, değiştirilmesi, yetkisiz şekilde açıklanması veya erişilmesine yol açan güvenlik ihlalini ifade eder.
“Hukuki Hizmetler”, Avukat tarafından Müvekkile sağlanan tüm profesyonel hukuki hizmetleri ifade eder; bunlara hukuki danışmanlık, dava takibi, tahkim, arabuluculuk, icra işlemleri, düzenleyici danışmanlık, uyum danışmanlığı ve hukuki yetki kapsamında sağlanan diğer tüm destek hizmetleri dahildir ancak bunlarla sınırlı değildir.
“Talimatlar”, Müvekkil tarafından, uygulanabildiği ölçüde, kişisel verilerin işlenmesine ilişkin olarak Avukata verilen hukuka uygun, açık ve belgelendirilmiş talimatları ifade eder; ancak bu talimatlar emredici hukuk kuralları, Avukatın mesleki bağımsızlığı, kanuni gizlilik yükümlülükleri veya avukat–müvekkil gizliliği ile çelişemez.
“Alt Veri İşleyen”, Avukat tarafından, yalnızca Hukuki Hizmetlerin sunulması için objektif olarak gerekli olduğu ölçüde, kendi adına kişisel veri işlemek üzere görevlendirilen üçüncü kişiyi ifade eder ve bu kişiler işbu Sözleşme ile uyumlu gizlilik ve veri koruma yükümlülüklerine tabidir.
3. Sözleşmenin Konusu
Bu Sözleşme, Avukat tarafından Müvekkile sağlanan Hukuki Hizmetlerin ifası ile bağlantılı olarak ve bu hizmetlerle sınırlı şekilde gerçekleştirilen kişisel veri işleme faaliyetlerini düzenler.
Bu Sözleşme ayrıca, resmi bir avukat–müvekkil ilişkisinin kurulmasından önce paylaşılan kişisel verilerin işlenmesine de uygulanır. Buna ön görüşmeler, ilk iletişimler ve talepler sırasında paylaşılan veriler de dahildir ve bu verilerin tamamı gizli kabul edilir ve meslek sırrı kapsamında korunur.
4.Tarafların Hukuki Niteliği
Hukuki Hizmetlerin niteliğine ve veri işleme faaliyetinin fiili koşullarına bağlı olarak Taraflar, veri koruma mevzuatı kapsamında Veri Sorumlusu sıfatını taşıyabilir veya kişisel verilerin yalnızca Müvekkilin hukuka uygun ve belgelendirilmiş talimatları doğrultusunda işlenmesi halinde Avukat Veri İşleyen sıfatıyla hareket edebilir.
İşbu Sözleşme’de yer alan hiçbir hüküm, Avukatın kanundan doğan yükümlülüklerini, meslek sırrı yükümlülüklerini veya avukatlık mesleğinden kaynaklanan bağımsızlığını sınırlayıcı şekilde yorumlanamaz.
Açıklığa kavuşturmak amacıyla, hukuki hizmetlerin sunulması bağlamında Avukat esas itibarıyla bağımsız bir Veri Sorumlusu olarak hareket eder ve kişisel verilerin işlenme amaçlarını ve araçlarını 1136 sayılı Avukatlık Kanunu’ndan doğan yasal yükümlülükler doğrultusunda belirler.
Avukat yalnızca istisnai ve sınırlı durumlarda Veri İşleyen sıfatıyla hareket edebilir. Bu durum, kişisel verilerin yalnızca Müvekkilin hukuka uygun, açık ve belgelendirilmiş talimatları doğrultusunda işlendiği ve bu işlemenin emredici hukuk kuralları, meslek sırrı, avukat–müvekkil gizliliği veya Avukatın mesleki bağımsızlığı ile çelişmediği hallerle sınırlıdır.
5. İşlemenin Kapsamı, Amacı ve Süresi
Kişisel veriler yalnızca belirli, açık ve meşru amaçlarla ve doğrudan Hukuki Hizmetlerin yerine getirilmesiyle bağlantılı olarak işlenecektir. Veri işleme faaliyetleri, amaçla bağlantılı, sınırlı ve ölçülü olacaktır.
Kişisel veriler yürürlükteki mevzuat, avukatlık mesleğinden doğan mesleki yükümlülükler, baro düzenlemeleri ve yasal zamanaşımı süreleri uyarınca gerekli olan süre boyunca saklanacaktır.
Her durumda kişisel veriler, 1136 sayılı Avukatlık Kanunu’nun 39. maddesi uyarınca, danışmanlık, işlem bazlı, proje bazlı ve çekişmesiz hukuki hizmetler dahil olmak üzere profesyonel hukuki faaliyetler kapsamında oluşturulan tüm dosya ve kayıtların ilgili hukuki işin tamamlanmasından sonra en az üç (3) yıl süreyle saklanmasını gerektiren hükümlere uygun şekilde muhafaza edilir.
6. Kişisel Verilerin İşlenmesine İlişkin Yükümlülükler
Avukat, kişisel verileri Veri Koruma Mevzuatı’na tam uyum içinde işlemeyi ve avukat–müvekkil gizliliği, meslek sırrı ile kanundan doğan gizlilik yükümlülüklerine titizlikle riayet etmeyi taahhüt eder.
Avukat, Hukuki Hizmetlerin niteliğine ve kişisel verilerin işlenmesinden kaynaklanan risklere uygun bir güvenlik seviyesini sağlamak amacıyla uygun teknik ve idari tedbirleri uygulayacak ve sürdürecektir.
Avukat, kişisel verileri işlemeye yetkili olan herkesin hukuken bağlayıcı bir gizlilik yükümlülüğüne tabi olmasını sağlayacaktır.
Avukatın Veri İşleyen sıfatıyla hareket ettiği durumlarda, kişisel veriler yalnızca Hukuki Hizmetlerin sunulmasıyla bağlantılı amaçlar doğrultusunda ve Müvekkilin hukuka uygun Talimatlarına uygun şekilde işlenecektir.
Avukat, veri sahiplerinden gelen taleplere cevap verilmesi konusunda, kanunen gerekli olduğu ve meslek sırrı ile uyumlu olduğu ölçüde Müvekkile yardımcı olacaktır.
Avukat, uygulanabilir Veri Koruma Mevzuatı kapsamında gerekli olduğu ölçüde herhangi bir Kişisel Veri İhlali’ni gecikmeksizin Müvekkile bildirecektir.
Uygulanabilir veri koruma mevzuatı kapsamında veri sahiplerinin haklarının kullanılması, meslek sırrı, avukat–müvekkil gizliliği ve 1136 sayılı Avukatlık Kanunu’ndan doğan kanuni gizlilik yükümlülüklerine tabidir.
Bir veri sahibi talebinin yerine getirilmesi meslek sırrı veya hukuki imtiyaz kapsamında korunan bilgilerin açıklanmasını gerektirdiği takdirde, Avukat bu talebi kanunun izin verdiği ölçüde hukuka uygun şekilde sınırlama veya reddetme hakkına sahiptir.
7. Alt Veri İşleme
Avukat, yalnızca Hukuki Hizmetlerin sunulması için objektif olarak gerekli olduğu durumlarda Alt Veri İşleyenler ile çalışabilir. Tüm Alt Veri İşleyenler, işbu Sözleşmede belirtilen yükümlülüklere eşdeğer gizlilik ve veri koruma yükümlülüklerine tabi olacaktır.
Avukat, uygulanabilir hukuk uyarınca gerekli olduğu ölçüde Alt Veri İşleyenlerin fiil ve ihmallerinden sorumlu olmaya devam eder.
8. Kişisel Verilerin Aktarılması
Kişisel veriler, hukuken izin verilen veya gerekli görülen durumlarda, mahkemelere, tahkim heyetlerine, yargısal ve idari makamlara, bankalara, finansal kuruluşlara, sigorta şirketlerine, denetçilere ve Hukuki Hizmetlerin yerine getirilmesine dahil olan hizmet sağlayıcılara aktarılabilir.
Kişisel verilerin sınır ötesi aktarımı, 6698 sayılı Kanun’un 9. maddesine ve uygulanabildiği ölçüde Genel Veri Koruma Tüzüğü’nün V. Bölümü’ne tam uyum içinde, geçerli bir hukuki dayanak ve uygun güvenceler temelinde ve meslek sırrı ile avukat–müvekkil gizliliği yükümlülüklerine halel getirmeksizin gerçekleştirilecektir.
9. Saklama, Silme ve Anonimleştirme
Kişisel veriler, yürürlükteki mevzuat ve mesleki yükümlülükler kapsamında öngörülen süreler boyunca saklanacaktır. Bu sürelerin sona ermesi halinde kişisel veriler, 6698 sayılı Kanun ve Kişisel Verileri Koruma Kurumu’nun rehberleri doğrultusunda güvenli şekilde silinecek, yok edilecek veya anonim hale getirilecektir.
10. VERBİS Kaydı
Taraflar, avukatların kanundan doğan gizlilik yükümlülükleri ve avukatlık mesleğinin niteliği nedeniyle Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğünden muaf olduklarını kabul eder. Bu muafiyet, Avukatın 6698 sayılı Kanun kapsamında öngörülen maddi yükümlülüklere uymasını ortadan kaldırmaz.
11. Sorumluluk
Her Taraf, Veri Sorumlusu veya Veri İşleyen sıfatıyla kendi rolü kapsamında veri koruma yükümlülüklerine uyumdan sorumlu olmaya devam eder. Taraflardan hiçbiri diğer Tarafın hukuka aykırı fiil, ihmal veya talimatlarından kaynaklanan ihlallerden sorumlu tutulamaz.
12. İletişim
Kişisel verilerin işlenmesine ilişkin tüm talepler, bildirimler veya yazışmalar aşağıdaki e-posta adresine ve/veya kayıtlı adresine gönderilecektir:
E-posta: abikmaz@gratanet.com
Kayıtlı adres: Mustafa Kemal Mahallesi Dumlupınar Bulvarı No: 274/2 D:75, Çankaya, Ankara, Türkiye.
13. Uygulanacak Hukuk ve Yetkili Mahkeme
İşbu Sözleşme Türkiye Cumhuriyeti hukuku uyarınca yönetilecek ve yorumlanacaktır. Aksi zorunlu kanuni düzenlemeler bulunmadıkça Türkiye Cumhuriyeti mahkemeleri münhasır yetkiye sahip olacaktır.
14. Eklerin Sözleşmeye Dahil Edilmesi ve Hukuki Etkisi
Eklerin Sözleşmeye Dahil Edilmesi ve Hukuki Etkisi
Bu Sözleşme’ye ekli olan ve ayrılmaz bir parçasını oluşturan Ekler, özellikle Ek 1 (Teknik ve İdari Tedbirler) ve Ek 2 (Alt Veri İşleyenler), işbu Sözleşme’ye açıkça atıf yoluyla dahil edilmiş olup Sözleşme’nin ayrılmaz, bölünemez ve hukuken bağlayıcı bir parçasını teşkil eder.
Eklerde yer alan hükümler, işbu Sözleşme’nin ana metninde yer alan hükümler ile aynı hukuki geçerliliğe sahip olacak ve birlikte yorumlanıp uygulanacaktır.
İşbu Sözleşme hükümleri ile herhangi bir Ek hükmü arasında tutarsızlık veya çelişki bulunması halinde, ilgili Ek’te açıkça aksi belirtilmediği sürece işbu Sözleşme hükümleri geçerli olacaktır.
Eklerde yer alan hükümlere uyulması zorunlu sözleşmesel bir yükümlülüktür ve Eklerin esaslı şekilde ihlali işbu Sözleşme’nin ihlali olarak kabul edilecektir.
VERİ KORUMA SÖZLEŞMESİ
EK 1
TEKNİK VE İDARİ TEDBİRLER
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi ve Regulation (EU) 2016/679’un 32. maddesi uyarınca Avukat, işleme faaliyetinin niteliğini, kapsamını, bağlamını ve amaçlarını ve ayrıca gerçek kişilerin hak ve özgürlükleri bakımından ortaya çıkabilecek farklı olasılık ve ağırlıktaki riskleri dikkate alarak uygun teknik ve idari tedbirleri uygulamış ve uygulamaya devam edecektir.
Uygulanan tedbirler Avukatın mesleki faaliyetlerinin ölçeği ve hukuki hizmetlerin hassas niteliği ile orantılıdır ve aşağıdakileri içerir ancak bunlarla sınırlı değildir:
1. Fiziksel Erişim Kontrolü
Kişisel verilerin işlendiği veya saklandığı tesislere, alanlara ve fiziksel depolama ortamlarına yetkisiz fiziksel erişimi önlemek amacıyla uygulanan tedbirler:
2. Sistem Erişim Kontrolü
Kişisel verilerin işlendiği bilgi sistemlerine yetkisiz erişimi önlemeye yönelik tedbirler:
3. Veri Erişim Kontrolü
Kişisel verilerin yalnızca yetkili kişiler tarafından ve yalnızca Hukuki Hizmetlerin yürütülmesi için gerekli olduğu ölçüde erişilebilir olmasını sağlayan tedbirler:
4. İletim ve Açıklama Kontrolü
Kişisel verilerin güvenli şekilde iletilmesini, aktarılmasını ve açıklanmasını düzenleyen tedbirler:
5. Girdi Kontrolü ve İzlenebilirlik
Kişisel verilerin ne zaman, kim tarafından girildiğini, değiştirildiğini veya silindiğini doğrulamayı sağlayan tedbirler:
6. Erişilebilirlik ve Bütünlük Kontrolü
Kişisel verileri kazara veya hukuka aykırı yok edilme, kayıp veya erişilemezlik risklerine karşı koruyan tedbirler:
VERİ KORUMA SÖZLEŞMESİ
EK 2
ALT VERİ İŞLEYENLER
Profesyonel hukuki hizmetlerin sunulması amacıyla Avukat, yalnızca Hukuki Hizmetlerin yerine getirilmesi için objektif olarak gerekli olduğu ölçüde üçüncü kişileri alt veri işleyen olarak görevlendirebilir.Alt veri işleyen kategorileri ve işleme faaliyetlerinin kapsamı aşağıda belirtilmiştir.
2. Muhasebe, Vergi ve Finansal Hizmet Sağlayıcıları
Muhasebe ve finansal uyum hizmetleri sunan alt veri işleyenler şunları içerir:
3. Arşivleme, Belge Yönetimi ve İmha Hizmetleri
Alt veri işleyenler aşağıdaki hizmetler için görevlendirilebilir:
4. Profesyonel Destek ve Yardımcı Hizmetler
Duruma göre görevlendirilen alt veri işleyenler şunları içerebilir:
5. Tüm Alt Veri İşleyenler İçin Geçerli Genel Yükümlülükler
This Data Protection Agreement (“Agreement”) governs the processing of personal data within the scope of professional legal services provided by Aigerim Sabit Bikmaz, Attorney-at-Law, in accordance with the Turkish Law on the Protection of Personal Data No. 6698 (“KVKK”), Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (“GDPR”), where applicable, the Attorneyship Act No. 1136, as well as all relevant secondary legislation, binding decisions, guidelines, and established practice of the Turkish Personal Data Protection Authority.
This Agreement is an integral part of the attorney–client relationship and shall be interpreted in light of statutory duties arising from the legal profession, including attorney–client privilege, professional secrecy, and the independence of the legal profession.
1. Taraflar
Bu Sözleşme aşağıdaki taraflar arasında akdedilmiştir:
Aigerim Sabit Bikmaz, Avukat, Ankara Barosu’na 41640 sicil numarası ile kayıtlı olup, kayıtlı adresi Mustafa Kemal Mahallesi Dumlupınar Bulvarı No: 274/2 D:75, Çankaya, Ankara, Türkiye olan, Vergi Kimlik Numarası 11793190618, Maltepe Vergi Dairesi (bundan sonra “Avukat” olarak anılacaktır)
ve
Hukuki hizmet alan gerçek veya tüzel kişi (bundan sonra “Müvekkil” olarak anılacaktır).
Avukat ve Müvekkil bundan sonra ayrı ayrı “Taraf” ve birlikte “Taraflar” olarak anılacaktır.
2. Tanımlar
Bu Sözleşme kapsamında aşağıdaki terimler aşağıda belirtilen anlamları ifade eder.
“Kişisel Veri”, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(1) maddesinde tanımlandığı üzere, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
“Özel Nitelikli Kişisel Veri”, 6698 sayılı Kanun’un 6. maddesi ve Genel Veri Koruma Tüzüğü’nün 6. maddesi kapsamında düzenlendiği üzere, ırk veya etnik köken, siyasi düşünce, dini veya felsefi inanç, sendika üyeliği, genetik veriler, bir gerçek kişinin benzersiz şekilde tanımlanmasına yönelik işlenen biyometrik veriler, sağlık verileri veya kişinin cinsel hayatı ya da cinsel yönelimine ilişkin verileri ifade eder.
“İşleme” veya “Kişisel Verilerin İşlenmesi”, 6698 sayılı Kanun’un 3. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(2) maddesi kapsamında tanımlandığı üzere, kişisel verilerin toplanması, kaydedilmesi, depolanması, uyarlanması, değiştirilmesi, açıklanması, aktarılması, elde edilmesi, sınırlandırılması, silinmesi veya yok edilmesi dahil ancak bunlarla sınırlı olmamak üzere kişisel veriler üzerinde gerçekleştirilen her türlü işlem veya işlem dizisini ifade eder.
“Veri Sorumlusu”, 6698 sayılı Kanun’un 3. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(7) maddesi kapsamında, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişiyi ifade eder.
“Veri İşleyen”, 6698 sayılı Kanun’un 3. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(8) maddesi kapsamında, Veri Sorumlusu adına ve onun talimatları doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“İlgili Kişi”, kişisel verileri işlenen gerçek kişiyi ifade eder.
“Veri Koruma Mevzuatı”, 6698 sayılı Kanun, uygulanabildiği ölçüde Genel Veri Koruma Tüzüğü, ilgili tüm ikincil mevzuat, Kişisel Verileri Koruma Kurumu’nun bağlayıcı karar ve rehberleri ile yürürlükte bulunan diğer veri koruma mevzuatını ifade eder.
“Kişisel Veri İhlali”, 6698 sayılı Kanun’un 12. maddesi ve Genel Veri Koruma Tüzüğü’nün 4(12) maddesinde tanımlandığı üzere, kişisel verilerin kazara veya hukuka aykırı olarak yok edilmesi, kaybolması, değiştirilmesi, yetkisiz şekilde açıklanması veya erişilmesine yol açan güvenlik ihlalini ifade eder.
“Hukuki Hizmetler”, Avukat tarafından Müvekkile sağlanan tüm profesyonel hukuki hizmetleri ifade eder; bunlara hukuki danışmanlık, dava takibi, tahkim, arabuluculuk, icra işlemleri, düzenleyici danışmanlık, uyum danışmanlığı ve hukuki yetki kapsamında sağlanan diğer tüm destek hizmetleri dahildir ancak bunlarla sınırlı değildir.
“Talimatlar”, Müvekkil tarafından, uygulanabildiği ölçüde, kişisel verilerin işlenmesine ilişkin olarak Avukata verilen hukuka uygun, açık ve belgelendirilmiş talimatları ifade eder; ancak bu talimatlar emredici hukuk kuralları, Avukatın mesleki bağımsızlığı, kanuni gizlilik yükümlülükleri veya avukat–müvekkil gizliliği ile çelişemez.
“Alt Veri İşleyen”, Avukat tarafından, yalnızca Hukuki Hizmetlerin sunulması için objektif olarak gerekli olduğu ölçüde, kendi adına kişisel veri işlemek üzere görevlendirilen üçüncü kişiyi ifade eder ve bu kişiler işbu Sözleşme ile uyumlu gizlilik ve veri koruma yükümlülüklerine tabidir.
3. Sözleşmenin Konusu
Bu Sözleşme, Avukat tarafından Müvekkile sağlanan Hukuki Hizmetlerin ifası ile bağlantılı olarak ve bu hizmetlerle sınırlı şekilde gerçekleştirilen kişisel veri işleme faaliyetlerini düzenler.
Bu Sözleşme ayrıca, resmi bir avukat–müvekkil ilişkisinin kurulmasından önce paylaşılan kişisel verilerin işlenmesine de uygulanır. Buna ön görüşmeler, ilk iletişimler ve talepler sırasında paylaşılan veriler de dahildir ve bu verilerin tamamı gizli kabul edilir ve meslek sırrı kapsamında korunur.
4.Tarafların Hukuki Niteliği
Hukuki Hizmetlerin niteliğine ve veri işleme faaliyetinin fiili koşullarına bağlı olarak Taraflar, veri koruma mevzuatı kapsamında Veri Sorumlusu sıfatını taşıyabilir veya kişisel verilerin yalnızca Müvekkilin hukuka uygun ve belgelendirilmiş talimatları doğrultusunda işlenmesi halinde Avukat Veri İşleyen sıfatıyla hareket edebilir.
İşbu Sözleşme’de yer alan hiçbir hüküm, Avukatın kanundan doğan yükümlülüklerini, meslek sırrı yükümlülüklerini veya avukatlık mesleğinden kaynaklanan bağımsızlığını sınırlayıcı şekilde yorumlanamaz.
Açıklığa kavuşturmak amacıyla, hukuki hizmetlerin sunulması bağlamında Avukat esas itibarıyla bağımsız bir Veri Sorumlusu olarak hareket eder ve kişisel verilerin işlenme amaçlarını ve araçlarını 1136 sayılı Avukatlık Kanunu’ndan doğan yasal yükümlülükler doğrultusunda belirler.
Avukat yalnızca istisnai ve sınırlı durumlarda Veri İşleyen sıfatıyla hareket edebilir. Bu durum, kişisel verilerin yalnızca Müvekkilin hukuka uygun, açık ve belgelendirilmiş talimatları doğrultusunda işlendiği ve bu işlemenin emredici hukuk kuralları, meslek sırrı, avukat–müvekkil gizliliği veya Avukatın mesleki bağımsızlığı ile çelişmediği hallerle sınırlıdır.
5. İşlemenin Kapsamı, Amacı ve Süresi
Kişisel veriler yalnızca belirli, açık ve meşru amaçlarla ve doğrudan Hukuki Hizmetlerin yerine getirilmesiyle bağlantılı olarak işlenecektir. Veri işleme faaliyetleri, amaçla bağlantılı, sınırlı ve ölçülü olacaktır.
Kişisel veriler yürürlükteki mevzuat, avukatlık mesleğinden doğan mesleki yükümlülükler, baro düzenlemeleri ve yasal zamanaşımı süreleri uyarınca gerekli olan süre boyunca saklanacaktır.
Her durumda kişisel veriler, 1136 sayılı Avukatlık Kanunu’nun 39. maddesi uyarınca, danışmanlık, işlem bazlı, proje bazlı ve çekişmesiz hukuki hizmetler dahil olmak üzere profesyonel hukuki faaliyetler kapsamında oluşturulan tüm dosya ve kayıtların ilgili hukuki işin tamamlanmasından sonra en az üç (3) yıl süreyle saklanmasını gerektiren hükümlere uygun şekilde muhafaza edilir.
6. Kişisel Verilerin İşlenmesine İlişkin Yükümlülükler
Avukat, kişisel verileri Veri Koruma Mevzuatı’na tam uyum içinde işlemeyi ve avukat–müvekkil gizliliği, meslek sırrı ile kanundan doğan gizlilik yükümlülüklerine titizlikle riayet etmeyi taahhüt eder.
Avukat, Hukuki Hizmetlerin niteliğine ve kişisel verilerin işlenmesinden kaynaklanan risklere uygun bir güvenlik seviyesini sağlamak amacıyla uygun teknik ve idari tedbirleri uygulayacak ve sürdürecektir.
Avukat, kişisel verileri işlemeye yetkili olan herkesin hukuken bağlayıcı bir gizlilik yükümlülüğüne tabi olmasını sağlayacaktır.
Avukatın Veri İşleyen sıfatıyla hareket ettiği durumlarda, kişisel veriler yalnızca Hukuki Hizmetlerin sunulmasıyla bağlantılı amaçlar doğrultusunda ve Müvekkilin hukuka uygun Talimatlarına uygun şekilde işlenecektir.
Avukat, veri sahiplerinden gelen taleplere cevap verilmesi konusunda, kanunen gerekli olduğu ve meslek sırrı ile uyumlu olduğu ölçüde Müvekkile yardımcı olacaktır.
Avukat, uygulanabilir Veri Koruma Mevzuatı kapsamında gerekli olduğu ölçüde herhangi bir Kişisel Veri İhlali’ni gecikmeksizin Müvekkile bildirecektir.
Uygulanabilir veri koruma mevzuatı kapsamında veri sahiplerinin haklarının kullanılması, meslek sırrı, avukat–müvekkil gizliliği ve 1136 sayılı Avukatlık Kanunu’ndan doğan kanuni gizlilik yükümlülüklerine tabidir.
Bir veri sahibi talebinin yerine getirilmesi meslek sırrı veya hukuki imtiyaz kapsamında korunan bilgilerin açıklanmasını gerektirdiği takdirde, Avukat bu talebi kanunun izin verdiği ölçüde hukuka uygun şekilde sınırlama veya reddetme hakkına sahiptir.
7. Alt Veri İşleme
Avukat, yalnızca Hukuki Hizmetlerin sunulması için objektif olarak gerekli olduğu durumlarda Alt Veri İşleyenler ile çalışabilir. Tüm Alt Veri İşleyenler, işbu Sözleşmede belirtilen yükümlülüklere eşdeğer gizlilik ve veri koruma yükümlülüklerine tabi olacaktır.
Avukat, uygulanabilir hukuk uyarınca gerekli olduğu ölçüde Alt Veri İşleyenlerin fiil ve ihmallerinden sorumlu olmaya devam eder.
8. Kişisel Verilerin Aktarılması
Kişisel veriler, hukuken izin verilen veya gerekli görülen durumlarda, mahkemelere, tahkim heyetlerine, yargısal ve idari makamlara, bankalara, finansal kuruluşlara, sigorta şirketlerine, denetçilere ve Hukuki Hizmetlerin yerine getirilmesine dahil olan hizmet sağlayıcılara aktarılabilir.
Kişisel verilerin sınır ötesi aktarımı, 6698 sayılı Kanun’un 9. maddesine ve uygulanabildiği ölçüde Genel Veri Koruma Tüzüğü’nün V. Bölümü’ne tam uyum içinde, geçerli bir hukuki dayanak ve uygun güvenceler temelinde ve meslek sırrı ile avukat–müvekkil gizliliği yükümlülüklerine halel getirmeksizin gerçekleştirilecektir.
9. Saklama, Silme ve Anonimleştirme
Kişisel veriler, yürürlükteki mevzuat ve mesleki yükümlülükler kapsamında öngörülen süreler boyunca saklanacaktır. Bu sürelerin sona ermesi halinde kişisel veriler, 6698 sayılı Kanun ve Kişisel Verileri Koruma Kurumu’nun rehberleri doğrultusunda güvenli şekilde silinecek, yok edilecek veya anonim hale getirilecektir.
10. VERBİS Kaydı
Taraflar, avukatların kanundan doğan gizlilik yükümlülükleri ve avukatlık mesleğinin niteliği nedeniyle Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğünden muaf olduklarını kabul eder. Bu muafiyet, Avukatın 6698 sayılı Kanun kapsamında öngörülen maddi yükümlülüklere uymasını ortadan kaldırmaz.
11. Sorumluluk
Her Taraf, Veri Sorumlusu veya Veri İşleyen sıfatıyla kendi rolü kapsamında veri koruma yükümlülüklerine uyumdan sorumlu olmaya devam eder. Taraflardan hiçbiri diğer Tarafın hukuka aykırı fiil, ihmal veya talimatlarından kaynaklanan ihlallerden sorumlu tutulamaz.
12. İletişim
Kişisel verilerin işlenmesine ilişkin tüm talepler, bildirimler veya yazışmalar aşağıdaki e-posta adresine ve/veya kayıtlı adresine gönderilecektir:
E-posta: abikmaz@gratanet.com
Kayıtlı adres: Mustafa Kemal Mahallesi Dumlupınar Bulvarı No: 274/2 D:75, Çankaya, Ankara, Türkiye.
13. Uygulanacak Hukuk ve Yetkili Mahkeme
İşbu Sözleşme Türkiye Cumhuriyeti hukuku uyarınca yönetilecek ve yorumlanacaktır. Aksi zorunlu kanuni düzenlemeler bulunmadıkça Türkiye Cumhuriyeti mahkemeleri münhasır yetkiye sahip olacaktır.
14. Eklerin Sözleşmeye Dahil Edilmesi ve Hukuki Etkisi
Eklerin Sözleşmeye Dahil Edilmesi ve Hukuki Etkisi
Bu Sözleşme’ye ekli olan ve ayrılmaz bir parçasını oluşturan Ekler, özellikle Ek 1 (Teknik ve İdari Tedbirler) ve Ek 2 (Alt Veri İşleyenler), işbu Sözleşme’ye açıkça atıf yoluyla dahil edilmiş olup Sözleşme’nin ayrılmaz, bölünemez ve hukuken bağlayıcı bir parçasını teşkil eder.
Eklerde yer alan hükümler, işbu Sözleşme’nin ana metninde yer alan hükümler ile aynı hukuki geçerliliğe sahip olacak ve birlikte yorumlanıp uygulanacaktır.
İşbu Sözleşme hükümleri ile herhangi bir Ek hükmü arasında tutarsızlık veya çelişki bulunması halinde, ilgili Ek’te açıkça aksi belirtilmediği sürece işbu Sözleşme hükümleri geçerli olacaktır.
Eklerde yer alan hükümlere uyulması zorunlu sözleşmesel bir yükümlülüktür ve Eklerin esaslı şekilde ihlali işbu Sözleşme’nin ihlali olarak kabul edilecektir.
VERİ KORUMA SÖZLEŞMESİ
EK 1
TEKNİK VE İDARİ TEDBİRLER
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi ve Regulation (EU) 2016/679’un 32. maddesi uyarınca Avukat, işleme faaliyetinin niteliğini, kapsamını, bağlamını ve amaçlarını ve ayrıca gerçek kişilerin hak ve özgürlükleri bakımından ortaya çıkabilecek farklı olasılık ve ağırlıktaki riskleri dikkate alarak uygun teknik ve idari tedbirleri uygulamış ve uygulamaya devam edecektir.
Uygulanan tedbirler Avukatın mesleki faaliyetlerinin ölçeği ve hukuki hizmetlerin hassas niteliği ile orantılıdır ve aşağıdakileri içerir ancak bunlarla sınırlı değildir:
1. Fiziksel Erişim Kontrolü
Kişisel verilerin işlendiği veya saklandığı tesislere, alanlara ve fiziksel depolama ortamlarına yetkisiz fiziksel erişimi önlemek amacıyla uygulanan tedbirler:
- Ofis alanlarına erişim yalnızca yetkili kişilerle sınırlıdır.
- Kişisel veri içeren fiziksel dosyalar kilitli dolaplarda veya güvenli odalarda saklanır.
- Kişisel veri içeren belgeler açık veya kamuya erişilebilir alanlarda gözetimsiz bırakılmaz.
- Hukuki hizmetlerde kullanılan ofis ekipmanları ve cihazlar hırsızlık, hasar, elektrik kesintileri ve çevresel risklere karşı fiziksel olarak korunur.
- Kişisel verilerin işlendiği alanlara ziyaretçi erişimi sınırlandırılır ve denetlenir.
2. Sistem Erişim Kontrolü
Kişisel verilerin işlendiği bilgi sistemlerine yetkisiz erişimi önlemeye yönelik tedbirler:
- Hukuki Hizmetler kapsamında kullanılan tüm bilgisayarlar, mobil cihazlar ve elektronik sistemler güçlü parolalar dahil bireysel kimlik doğrulama mekanizmaları ile korunur.
- Erişim bilgileri kişisel olarak tahsis edilir ve paylaşılmaz.
- İşletim sistemleri ve yazılımlar düzenli güvenlik güncellemeleri ve yamalar ile güncel tutulur.
- Güvenilir antivirüs, güvenlik duvarı ve kötü amaçlı yazılım koruma çözümleri uygulanır ve sürdürülür.
- Yetkilendirmenin artık gerekli olmadığı durumlarda erişim hakları gecikmeksizin kaldırılır.
3. Veri Erişim Kontrolü
Kişisel verilerin yalnızca yetkili kişiler tarafından ve yalnızca Hukuki Hizmetlerin yürütülmesi için gerekli olduğu ölçüde erişilebilir olmasını sağlayan tedbirler:
- Kişisel verilere erişim yalnızca ilgili hukuki görev için gerekli verilerle sınırlıdır.
- Harici profesyonel destek hizmetleri kullanıldığında erişim “bilmesi gereken” ilkesi ile sınırlandırılır.
- Elektronik ortamda saklanan kişisel veriler teknik olarak mümkün olduğu ölçüde şifreleme veya eşdeğer güvenlik önlemleri ile korunur.
- Fiziksel ve elektronik veri taşıyıcıları artık gerekli olmadığında güvenli şekilde imha edilir.
4. İletim ve Açıklama Kontrolü
Kişisel verilerin güvenli şekilde iletilmesini, aktarılmasını ve açıklanmasını düzenleyen tedbirler:
- Kişisel veriler güvenli ve güvenilir iletişim kanalları aracılığıyla iletilir.
- Özellikle hassas veriler için şifreli e-posta hizmetleri veya güvenli belge paylaşım platformları kullanılır.
- Müvekkil verilerine erişim veya aktarım sırasında kamuya açık veya güvensiz ağlardan kaçınılır.
- Kişisel verilerin açıklanmasından önce alıcıların kimliği ve yetkisi doğrulanır.
5. Girdi Kontrolü ve İzlenebilirlik
Kişisel verilerin ne zaman, kim tarafından girildiğini, değiştirildiğini veya silindiğini doğrulamayı sağlayan tedbirler:
- Hukuki konulara ilişkin önemli veri işleme faaliyetleri uygun olduğu ölçüde belgelendirilir.
- Kullanılması halinde elektronik belge yönetim sistemleri erişim ve değişiklik geçmişinin izlenmesine imkan sağlar.
- İşlenen kişisel verilerin doğruluğunu, bütünlüğünü ve eksiksizliğini sağlamak için prosedürler uygulanır.
6. Erişilebilirlik ve Bütünlük Kontrolü
Kişisel verileri kazara veya hukuka aykırı yok edilme, kayıp veya erişilemezlik risklerine karşı koruyan tedbirler:
- Elektronik kişisel verilerin düzenli yedeklemeleri yapılır.
- Yedek kopyalar güvenli şekilde saklanır ve yetkisiz erişime karşı korunur.
- Faaliyet ölçeği ile orantılı makul felaket kurtarma ve iş sürekliliği tedbirleri uygulanır.
- Teknik veya fiziksel bir olay meydana gelmesi halinde kişisel verilere erişimin zamanında yeniden sağlanmasına yönelik önlemler bulunmaktadır.
VERİ KORUMA SÖZLEŞMESİ
EK 2
ALT VERİ İŞLEYENLER
Profesyonel hukuki hizmetlerin sunulması amacıyla Avukat, yalnızca Hukuki Hizmetlerin yerine getirilmesi için objektif olarak gerekli olduğu ölçüde üçüncü kişileri alt veri işleyen olarak görevlendirebilir.Alt veri işleyen kategorileri ve işleme faaliyetlerinin kapsamı aşağıda belirtilmiştir.
- Bilgi Teknolojileri ve Altyapı Hizmet Sağlayıcıları
- güvenli bulut tabanlı veri depolama hizmetleri;
- profesyonel e-posta ve iletişim hizmet sağlayıcıları;
- veri barındırma, yedekleme ve felaket kurtarma hizmet sağlayıcıları;
- şifreli belge paylaşım ve işbirliği platformu sağlayıcıları.
2. Muhasebe, Vergi ve Finansal Hizmet Sağlayıcıları
Muhasebe ve finansal uyum hizmetleri sunan alt veri işleyenler şunları içerir:
- serbest muhasebeci mali müşavirler ve finansal danışmanlar;
- faturalama, muhasebe ve vergi uyum hizmet sağlayıcıları.
3. Arşivleme, Belge Yönetimi ve İmha Hizmetleri
Alt veri işleyenler aşağıdaki hizmetler için görevlendirilebilir:
- hukuki dosyaların fiziksel veya elektronik arşivlenmesi;
- yasal saklama yükümlülüğüne tabi belgelerin güvenli uzun süreli saklanması;
- fiziksel belgelerin ve veri taşıyıcılarının profesyonel şekilde imha edilmesi.
4. Profesyonel Destek ve Yardımcı Hizmetler
Duruma göre görevlendirilen alt veri işleyenler şunları içerebilir:
- yeminli tercümanlar ve çevirmenler;
- mahkeme mübaşirleri ve icra destek personeli;
- belirli hukuki konular kapsamında görevlendirilen uzman danışmanlar;
- bakım ve teknik destek hizmeti sağlayan bilgi teknolojileri destek sağlayıcıları.
5. Tüm Alt Veri İşleyenler İçin Geçerli Genel Yükümlülükler
- Tüm alt veri işleyenler gerekli mesleki özen ve dikkat gösterilerek seçilir.
- Alt veri işleyenler işbu Sözleşmede belirtilen gizlilik ve veri koruma yükümlülüklerine eşdeğer sözleşmesel yükümlülüklere tabidir.
- Alt veri işleyenler eşdeğer güvenceler sağlamadan başka alt veri işleyenler görevlendiremez.
- Avukat, uygulanabilir hukuk kapsamında gerekli olduğu ölçüde alt veri işleyenlerin fiil ve ihmallerinden sorumlu olmaya devam eder.
