隐私与个人数据保护(K.V.K.K.)协议

 

第一条- 当事方

位于伊斯坦布尔阿塔谢希尔区伊切伦科伊马哈伊切伦科伊路8/34号的 GÜLER海关咨询有限公司(数据控制者/数据处理者),另一方为位于……………………………..地址的 …………………………………..(数据控制者/数据处理者)双方在以下条款下达成协议。

以下条款中 GÜLER海关咨询有限公司”GÜLER‘, ………………………………………….. ”公司” 将被提及。 GÜLER 与公司共同 “双方”, 单独 “一方”

第二条-目的-定义

目的: 为制定涵盖各方之间将提供/接收的服务的工作计划,以及建立业务关系相关或关联的任何磋商与谈判,并为项目范围内开展的所有工作,各方相互提供的任何机密信息/个人数据,以及在业务关系框架内与服务相关的、合同履行过程中涉及的各方员工、股东、实习生、 分包商雇员及业务合作伙伴的个人及特殊性质个人数据时,双方相互间权利、原则及责任的规范。

保密信息: 在合同签订日期之前或之后,由一方或其指定的第三方,为实现合同目的,向另一方披露的业务计划(无论是以书面、口头、纸质、CD、外部存储设备或其他媒介或方式披露),该业务计划由披露方编制或代表其编制的,均应视为机密信息。 (无论以书面、口头、纸质、CD、外部存储器或其他媒介或方式)披露的业务计划、披露方编制或其授权的任何其他机构编制的报告或数据、财务模型、财务模拟及示例,以及其他任何信息,包括但不限于 披露方的营销与服务活动、流程、计划、目标、产品信息、专有技术、设计权、商业秘密、软件、计算机程序、源代码、规格说明、市场机遇、客户、项目名称、业务活动及主题相关的任何信息与数据,以及个人和特殊性质的个人数据,但不包括以下信息或数据:

  • 接收方在未违反本协议的情况下,已公开或曾公开的信息或数据;或接收方在从披露方获取前,通过使用、存储于文件、计算机或其他记录介质等方式已持有或知悉的信息,且该等信息此前未受接收方保密义务约束; 或接收方或其代表在任何时间独立于披露方所披露的信息而开发的信息或数据;或接收方在未违反任何保密或禁用义务的情况下,从其他来源获得或获取的信息或数据,或在该信息被披露时未行使拒绝权的信息或数据。

个人数据: 与特定或可识别的自然人相关的任何信息。

个人数据的处理: 个人数据的获取、记录、存储、保存、修改、重新整理、披露、传输、接收、使之可获取、分类或禁止使用等任何操作,无论该操作是完全或部分自动进行的,还是通过任何数据记录系统的一部分以非自动方式进行的,均属于个人数据处理的范畴。

个人数据的传输 :个人数据将根据本协议所述目的进行记录、存储、分类、更新,并在必要时可向国内或国外第三方进行传输。

KVKK: 2016年3月24日颁布的第6698号《个人数据保护法》

数据处理者: 基于数据控制者授予的授权,代表其处理个人数据的自然人或法人。

数据控制者: 指确定个人数据处理目的和方式,并对数据记录系统的建立和管理负责的自然人或法人。

第三条- 保密信息/个人数据的保护与使用

保密信息/个人数据 披露和泄露,双方均不得以任何形式获取或使用对方 保密信息/个人数据 作出以下承诺:

  1. 保密信息/个人数据 保密处理,仅用于指定目的,不得用于任何其他目的。
  2. 除为实现目的所必需的合理范围内的复制、翻印或转录外,且披露方仍保留所有权的前提下, 不得复制或复制保密信息/个人数据 的任何部分。
  3. 各方承诺: 并承诺将通过与相关员工、专业顾问签订的合同,要求其承担不泄露此类保密信息/个人数据的义务;若自身、员工或专业顾问违反上述义务,将根据法院裁决按过错比例赔偿最终确定的损失。
  4. 属于对方 机密信息/个人数据、具有知识产权性质的信息采取KVK机构建议的安全措施并予以高度谨慎。
  5. 任何法律或国家机关或有权机关,不得要求接收信息的方 要求披露保密信息/个人数据 的任何信息,接收方应立即将该要求或命令告知披露方。所要求的信息范围应以目的为限,由双方协商后进行通知。
  6. 保密信息/个人数据 接收方在除本协议规定情形外获悉保密信息/个人数据被披露或使用时,应立即向披露方发出通知,并就该披露或使用行为导致接收方遭受或可能遭受的后果采取必要措施。
  7. 各方承诺、声明并保证,将仅根据相关方的指示使用所获的机密信息/个人数据,对所获信息予以保密,且不会以任何其他方式使用该信息。
  8. 各方承诺、声明并保证,未经对方书面许可,不得复制或记录任何一方提供的机密信息/个人数据的任何部分。
  9. 双方交换的文件不得在任何情况下未经披露方书面同意而被第三方用于任何用途。
  10. 若各方需通过电子邮件附件发送包含机密和/或特殊性质个人数据的信息文件,则应采用加密传输方式。若无法加密传输,则需通过快递以CD介质形式交付。
  11. 若各方需发送包含机密和/或特殊性质个人数据的信息或文件,应使用密封信封寄送,并在信封上附上特别说明。

第4条——遵守《个人数据处理法》的义务

  1. 各方在合同订立准备阶段履行主合同规定的义务时,包括合同终止过程在内,均应遵守第6698号《个人数据保护法》及相关法规的规定。
  2. 各方应按照主合同的主题和目的处理其获取的个人数据。
  3. 各方在处理另一方提供的个人数据时,应遵循另一方的指示和指导行事,不得进行任何违反这些指示和指导的行为。
  4. 各方应确保在主合同范围内处理的数据的保密性和安全性,并对此提供保障。各方保密义务在合同终止后仍将继续有效。
  5. 各方在履行主合同项下服务时,如需雇佣人员,应就此通知对方,对其雇员进行KVK相关培训,并与雇员签订保密协议。
  6. 各方在使用工具、软件及提供各类服务时,均应在安装过程中确保隐私保护 (隐私默认保护)、个人数据最小化(数据最小化)及数据唯一化原则。据此,公司将在数据保护方面采用符合机构指南所公布标准的软硬件设备。
  7. 各方应采取一切技术和组织(管理)措施以保护个人数据。在此范围内,各方将使用最新且经过授权的防病毒软件等工具,采取所有必要的网络安全措施,并按照委员会指南中规定的方法(如加密等)确保处理个人数据的计算机和服务器等环境的安全性。
  8. 各方在主合同有效期内不得在未经对方许可和知情的情况下修改、删除或销毁个人数据。当主合同终止且法定保存期限届满时,任何一方均应通过删除、销毁或匿名化处理的方式处理相关数据,并在操作完成后3(三)个工作日内通知另一方。 此通知发出后,与数据相关的义务即告终止。若主合同未签署,则合同签订前交换的保密和/或个人数据将在未签署合同的意愿表明后3(三个)工作日内予以销毁,并通知对方。
  9. 各方可在必要时相互要求提供信息,以确认是否已按照《个人数据保护法》的规定行事。
  10. 各方应采取一切必要措施,确保根据第6698号法律对“特殊/敏感个人数据”的保护,并严格遵守委员会就此事项作出的各项决定和通告。
  11. 任何一方如发现涉及违反个人数据处理规则的情况,应立即通知另一方。在此通知范围内,另一方应为相关方向主管机关提交申请所需的任何文件、信息和证据提供支持。
  12. 数据主体行使根据第6698号法律及相关法规享有的权利(如个人数据的删除、更正、访问等)时,双方应相互提供一切支持并予以便利。若一方要求另一方提供相关信息,另一方应在3(三)个工作日内提供所要求的信息。
  13. 若各方使用的信息系统基础设施及企业邮箱服务由境外提供,在安全国家名单发布前或获得境外个人数据传输许可期间,合同流程的执行过程中,向相关人员告知并获取明确同意的义务由各方自行承担。各方可就履行该义务事宜相互索取信息。
  14. 各方在发送信息或文件时,若其中包含超出履行主合同约定服务所需范围的个人数据,应注意通过删除、匿名化、遮蔽或掩盖等方式处理相关不必要的个人数据后再行共享。 若一方在业务性质未要求的情况下仍向另一方共享个人数据,双方有义务相互提醒并确保各自系统得到规范管理。
  15. 各方承诺以最广泛的意义保护个人数据。各方承诺,对于其在任何时间点获取的与相关个人相关的个人数据,均不得用于与主合同履行无关的任何目的。
  16. 各方在合同过程中获取的个人数据,除法律法规规定的文件保存义务外,应在合同终止期限届满时,或在任何情况下达到个人数据处理目的所需期限届满时,或相关法律法规规定的文件保存期限届满时,立即 (最迟在定期销毁周期内)予以删除、销毁及/或匿名化处理。

第五条-个人数据收集方式及法律依据

履行法律义务、履行劳动合同、 基于法律规定的原因及当事人合法利益要求而直接提出的请求、在劳动合同订立时预先提出的请求、为履行法律义务而由当事人相互传递的法律文件及通知,或在建立劳动关系过程中当事人选择相互共享的数据,通过记录、存储、处理等方式收集。

个人数据应在各方签订的合同中规定的范围内,根据合同目的进行处理;

合同的订立、履行直接相关的前提下,为处理合同双方的个人数据所必需;为履行双方的法律义务所必需;为确立、行使或保护某项权利而必须处理数据;为实现双方的合法利益所必需等原因,将收集、 处理,并将在国内和国外向第三方传输。

第六条 – 保密信息/个人数据的返还与销毁

双方各自:

  1. 在完成其目标导向的其他组织和活动后,或在任何一方提出书面要求时,其承诺、声明并保证将立即向要求方返还所有包含所提供信息的实物材料及其所有副本。
  2. 各方在履行其义务后,仍将遵守本合同第3(三)条规定的义务,并就此作出声明和承诺。
  • 双方应在合同期满时,根据委员会的规章和指南,并遵循双方就此事项作出的指示以及《个人数据存储与销毁政策》,将另一方的个人数据类别中的个人数据以不可恢复的方式删除或销毁。

第七条- 不成立合伙关系 / 个人数据的转移

7.1.各方均 保留对保密信息/个人数据 保留所有权利,除本协议明确提及者外,不得向另一方授予任何权利或义务,亦不得由此推断出任何权利或义务。 本协议中的任何条款或本协议的执行均不构成对任何一方建立业务关系的义务,亦不限制或妨碍任何一方在不违反本协议条款的前提下继续开展业务的权利。

7.2.任何一方未经另一方书面许可不得转让个人数据。若发生个人数据转让,各方应确保受让方亦遵守本协议规定的措施。

7.3. 各方拥有的个人数据不得以任何形式传输至土耳其境外国家,亦不得在境外进行处理或存储(企业邮箱从国外提供的情况除外,如Office 365等)。。若涉及个人数据的跨境转移,各方须获得对方书面许可,并有义务在《个人数据保护法》规定的框架内执行明确同意程序。

第八条 期限与解除

8.1. 本协议自签署之日起生效。主协议与保密协议构成一个整体,但本保密与KVKK协议亦可独立生效。

8.2. 若经双方书面同意终止主合同和/或本协议,则主合同履行过程中产生的个人数据处理活动所涉及的个人/特殊性质的个人及机密信息/个人数据,在依法或依据存储销毁政策规定的期限内保存后,将予以不可逆转地销毁。 在双方主合同关系终止后,且在保密信息/个人数据完成返还、销毁或匿名化处理后,除非另有约定,本协议将继续有效。

8.3.主合同及本隐私与KVKK协议的终止并不意味着保密及个人数据可被披露。

8.4.因违反隐私和个人数据保护法规而造成的损害,将使过错方承担赔偿责任。

第9条-不得转让

本协议具有专属性,未经另一方事先书面同意,任何一方均不得部分或全部转让或以其他方式转移本协议。

第10条-合同的整体性,条款的可分割性

本合同中一项或多项条款的适用,若在相关法律法规框架内被认定为违法,双方应本着善意原则采取必要措施,制定在法律上可接受且尽可能接近合同原条款的替代性规定。 若本协议任何部分被有权官方机构依法宣告无效,只要该无效部分不影响协议成立目的,协议其余部分不受影响,且被宣告无效的部分应视为先前已删除。

第11条适用法律及管辖法院

本协议的解释、适用及结果均受土耳其共和国法律管辖,各方同意本协议项下所有争议均应提交伊斯坦布尔(中心)法院及执行部门专属管辖。

第12条- 通知

除非以书面形式通知对方变更,否则向本协议第1条所列地址发出的通知应视为已送达双方。

若任何一方发生地址变更,且未在7(七)个工作日内以书面形式将新地址通知另一方,则向该地址送达的文件将产生有效送达的全部法律效力。

本协议项下所有通知均应以书面形式发出,并通过电子邮件或挂号信方式寄送至被通知方,同时注明本协议签署人的姓名。通知送达日期应视为通知发出次日。

根据第6698号法律第11条规定,个人数据负责人和处理者应: 有权了解个人数据的处理情况、处理目的及是否符合处理目的,有权知悉个人数据被转移的第三方,有权要求更正不完整数据,在处理原因消失时有权要求删除或销毁个人数据,有权提出异议,有权要求赔偿损失。 各方就上述事项提出的请求,应通过以下规定的方式相互传达,并根据请求性质,依据法律第13条第2款规定,在最短时间内(最迟三十日内)予以处理。 为行使上述权利,请将可识别身份的必要信息及明确表明与《个人数据保护法》(KVKK)相关的、针对《个人数据保护法》第11条所列权利中拟行使的权利的说明,通过以下方式提交给GÜLER: [email protected] 发送至公司邮箱,或通过安全电子签名发送至公司邮箱。

第13条- 生效

本协议共计7(七)页,包含13(十三)条条款,经双方共同接受后,于……年……月……日签署两份副本,自签署之日起生效。

公司 古勒海关咨询有限公司