Veri İşleme Sözleşmesi

İşbu Sözleşme, bir tarafta Omnilegal hizmetine abone olan ve kişisel verilerin işlenme amaç ve vasıtalarını belirleyen kurumsal müşteri (“Veri Sorumlusu”) ile diğer tarafta Topluyıldız Danışmanlık A.Ş. (“Veri İşleyen” veya “Omnilegal”) arasında akdedilmiştir. Taraflar, birlikte “Taraflar”, ayrı ayrı “Taraf” olarak anılacaktır.

İşbu Sözleşme’de geçen “kişisel veri”, “özel nitelikli kişisel veri”, “ilgili kişi”, “veri sorumlusu”, “veri işleyen”, “işleme” ve “açık rıza” kavramları, KVKK’nın 3’üncü maddesinde tanımlandığı anlamı taşır. Avrupa Birliği hukukunun uygulanabildiği hâllerde aynı kavramlar, GDPR’ın 4’üncü maddesindeki karşılıklarıyla birlikte yorumlanır. “Alt İşleyen”, Veri İşleyen’in işbu Sözleşme kapsamındaki işleme faaliyetlerinin tamamını veya bir kısmını yerine getirmek üzere yetkilendirdiği üçüncü kişiyi ifade eder.

“Omnilegal”, avukatlar ve hukuk büroları için tasarlanmış, müvekkil kabulünden işin teslimine kadar bürodaki çalışmayı tek bir sistemde birleştiren hukuki yapay zekâ işletim sistemini; “Abonelik Sözleşmesi” ise Tarafların Omnilegal hizmetinin kullanımına ilişkin akdettikleri ana sözleşmeyi ifade eder. İşbu Sözleşme ile Abonelik Sözleşmesi arasında kişisel verilerin korunmasına ilişkin bir çelişki bulunması hâlinde işbu Sözleşme hükümleri öncelikle uygulanır.

İşbu Sözleşme’nin konusu, Veri İşleyen’in Omnilegal hizmetini sunması kapsamında Veri Sorumlusu adına gerçekleştirdiği kişisel veri işleme faaliyetlerinin kapsamının, niteliğinin ve sınırlarının belirlenmesidir. İşleme; müvekkil kabulü, dosya ve belge yönetimi, hukuki araştırma, taslak hazırlama, yazışma ve avukat denetimindeki yapay zekâ destekli çıktı üretimi gibi süreçlerde gerçekleşir.

İşlemenin niteliği; verilerin toplanması, kaydedilmesi, depolanması, düzenli olarak yedeklenmesi, maskelenmesi, sınıflandırılması, sorgulanması, dosya bazında ayrıştırılması ve Veri Sorumlusu’nun talimatları doğrultusunda silinmesi ya da iade edilmesi işlemlerini kapsar. İşlemenin amacı, münhasıran Omnilegal hizmetinin Veri Sorumlusu’na sözleşmeye uygun biçimde sunulması ve Veri Sorumlusu’nun mesleki faaliyetlerinin desteklenmesidir.

İşleme süresi, Abonelik Sözleşmesi’nin yürürlükte kaldığı süre boyunca devam eder. Abonelik Sözleşmesi’nin herhangi bir sebeple sona ermesi hâlinde işleme, işbu Sözleşme’nin verilerin iadesi veya imhasına ilişkin hükümleri saklı kalmak kaydıyla, sona erer.

Veri İşleyen tarafından Veri Sorumlusu adına işlenebilecek kişisel veri kategorileri; kimlik bilgileri, iletişim bilgileri, müvekkil ve dosyalara ilişkin içerik verileri, hukuki uyuşmazlığa konu olgulara dair veriler, yazışma ve belge içerikleri ile Veri Sorumlusu’nun Omnilegal sistemine girdiği sair verilerdir. İşlenen verilerin tür ve kapsamını esas itibarıyla Veri Sorumlusu, sisteme aktardığı içerik aracılığıyla belirler.

İlgili kişi grupları; Veri Sorumlusu’nun müvekkilleri, karşı taraflar ve onların temsilcileri, tanıklar, üçüncü kişiler ile Veri Sorumlusu’nun çalışanları ve iş ortaklarıdır. Veri Sorumlusu, sisteme aktardığı veriler arasında özel nitelikli kişisel veri (sağlık, ceza mahkûmiyeti, biyometrik veri ve benzeri) bulunabileceğini kabul eder ve bu verilerin hukuka uygun biçimde elde edildiğini taahhüt eder.

Veri İşleyen, Omnilegal’in yapısı gereği, herhangi bir yapay zekâ modeline çağrı yapılmadan önce kişisel verilerin maskelendiğini; modelin yalnızca maskelenmiş metni gördüğünü ve maskeleme anahtar veya tablosunun yetki alanından çıkmadığını beyan eder. Maskeleme işleminin başarısız olması hâlinde ilgili akış, veri sızıntısını önlemek amacıyla durdurulur.

Veri Sorumlusu, işbu Sözleşme kapsamında işlenen kişisel veriler bakımından işleme amaç ve vasıtalarını belirleyen taraf olup KVKK ve, uygulanabildiği ölçüde, GDPR uyarınca veri sorumlusuna düşen tüm yükümlülüklerden sorumludur. Veri Sorumlusu, sisteme aktardığı kişisel verilerin işlenmesi için geçerli bir hukuki sebebin (KVKK m.5 ve m.6, GDPR md.6 ve md.9) mevcut olduğunu, gerekli aydınlatmanın yapıldığını ve gereken hâllerde açık rızanın alındığını taahhüt eder.

Veri Sorumlusu, Veri İşleyen’e verdiği talimatların hukuka uygun olmasından münhasıran sorumludur. Veri İşleyen, kendisine verilen bir talimatın KVKK’ya, GDPR’a veya sair mevzuata aykırı olduğu kanaatine varması hâlinde durumu gecikmeksizin Veri Sorumlusu’na bildirir.

Veri İşleyen, kişisel verileri yalnızca işbu Sözleşme ile belirlenen amaçlarla ve Veri Sorumlusu’nun talimatları çerçevesinde işler; KVKK’nın 12’nci maddesi ve GDPR’ın 28’inci maddesi uyarınca veri işleyene düşen yükümlülükleri yerine getirir.

Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusu’nun belgelenmiş, yazılı talimatları doğrultusunda işler; bir hukuki yükümlülük nedeniyle aksinin gerekmesi hâli saklıdır. Bu istisnai hâlde Veri İşleyen, hukuken yasaklanmadıkça, söz konusu yükümlülüğü işlemeden önce Veri Sorumlusu’na bildirir.

Veri İşleyen, kişisel verileri işleyen kişilerin gizlilik yükümlülüğü altında olmasını veya uygun bir kanuni gizlilik yükümlülüğüne tabi bulunmasını sağlar. Bu gizlilik yükümlülüğü, işbu Sözleşme’nin sona ermesinden sonra da süresiz olarak devam eder.

Veri İşleyen, KVKK’nın 12’nci maddesi uyarınca kişisel verilerin hukuka aykırı işlenmesini ve verilere hukuka aykırı erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alır. Bu tedbirler; aktarım hâlinde ve durağan hâlde şifreleme, dosya bazında izolasyon ile onay, atıf ve maskeleme adımlarına ilişkin denetim izinin tutulmasını kapsar.

Veri İşleyen; herhangi bir yapay zekâ modeline çağrı yapılmadan önce müvekkil verisinin maskeleneceğini, müvekkil verisiyle herhangi bir modelin eğitilmeyeceğini ve maskeleme anahtarının yetki alanından çıkarılmayacağını taahhüt eder. Ayrıca Veri İşleyen, teknik olarak mümkün olduğu ölçüde, ilgili kişilerin KVKK’nın 11’inci ve GDPR’ın 12 ila 22’nci maddeleri kapsamındaki taleplerini karşılaması ve KVKK’nın 12 ila 15’inci maddeleri ile GDPR’ın 32 ila 36’ncı maddeleri kapsamındaki yükümlülüklerini yerine getirmesi konusunda Veri Sorumlusu’na uygun yardımı sağlar.

Veri Sorumlusu, Veri İşleyen’in işbu Sözleşme kapsamındaki hizmetin sunulması için alt işleyenlerden yararlanmasına genel olarak yetki verir. İşbu Sözleşme’nin imzası anında Veri İşleyen tarafından kullanılan alt işleyenler, başlıca [barındırma sağlayıcısı] ve [yapay zekâ model sağlayıcısı]’dır.

Veri İşleyen, her bir alt işleyenle, işbu Sözleşme’de öngörülen veri koruma yükümlülükleriyle özünde aynı yükümlülükleri içeren bir sözleşme akdeder ve alt işleyenin söz konusu yükümlülüklere uymasından Veri Sorumlusu’na karşı sorumlu kalır.

Veri İşleyen, mevcut alt işleyenlerin değiştirilmesi veya yeni alt işleyenlerin eklenmesi durumunda Veri Sorumlusu’nu makul bir süre önceden bilgilendirir ve Veri Sorumlusu’na haklı sebeplere dayanarak itiraz etme imkânı tanır. İtiraz hâlinde Taraflar iyi niyetle bir çözüm üzerinde mutabık kalmaya çalışır.

Kişisel verilerin yurt dışına aktarılması, KVKK’nın 9’uncu maddesi ile Yurt Dışına Aktarıma İlişkin Yönetmelik ve, Avrupa Birliği hukukunun uygulandığı hâllerde, GDPR’ın V. Bölümü hükümlerine uygun olarak gerçekleştirilir. Aktarım; yeterlilik kararı bulunan bir ülkeye, uygun güvencelerin (standart sözleşme, taahhütname, bağlayıcı şirket kuralları veya GDPR kapsamındaki standart veri koruma hükümleri) sağlanması suretiyle ya da kanunda öngörülen istisnai hâllerde yapılabilir.

Veri İşleyen, alt işleyenler aracılığıyla yurt dışına aktarım yapılması hâlinde, ilgili aktarım için gerekli hukuki mekanizmanın tesis edilmesini sağlar. Omnilegal’in yapısı gereği, maskeleme anahtar veya tablosu yetki alanından çıkarılmaz ve yapay zekâ modeli yalnızca maskelenmiş metni görür; gömme (embedding) işlemleri Avrupa Birliği’ne yönlendirilebilir.

Avrupa Birliği’nde yerleşik ilgili kişiler bakımından bir temsilci atanması gerektiğinde, Veri Sorumlusu [veri sorumlusu temsilcisi, varsa] bilgisini Veri İşleyen’e bildirir. Taraflar, yurt dışı aktarıma ilişkin yürürlükteki mevzuat ve Kurul kararlarındaki değişikliklere uyum sağlamak üzere işbu maddeyi gözden geçirmeyi kabul eder.

Veri İşleyen, işlediği kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edildiğini öğrenmesi hâlinde, durumu herhangi bir gecikme olmaksızın ve makul olan en kısa sürede Veri Sorumlusu’na bildirir. Bu bildirim; ihlalin niteliğini, etkilenmesi muhtemel ilgili kişi ve kayıt kategorilerini, olası sonuçlarını ve alınan ya da alınması önerilen tedbirleri içerecek biçimde, Veri Sorumlusu’nun kendi yükümlülüklerini yerine getirmesine yetecek ayrıntıda yapılır.

Kişisel veri ihlalinin Kişisel Verileri Koruma Kurulu’na ve ilgili kişilere bildirilmesi yükümlülüğü, KVKK’nın 12’nci maddesi ile Kurul’un ilgili kararları uyarınca Veri Sorumlusu’na aittir. Veri Sorumlusu, ihlali, Kurul tarafından belirlenen usul ve süreler çerçevesinde (Kurul’a, ihlalin öğrenildiği tarihten itibaren gecikmeksizin ve en geç yetmiş iki saat içinde) Kurul’a ve ilgili kişilere bildirmekle yükümlüdür.

Veri İşleyen, Veri Sorumlusu’nun bu bildirim yükümlülüklerini yerine getirebilmesi için gerekli bilgi ve belgeleri sağlamak suretiyle Veri Sorumlusu’na uygun yardımı yapar.

Veri İşleyen, işbu Sözleşme’den ve KVKK’nın 12’nci maddesi ile GDPR’ın 28’inci maddesinden doğan yükümlülüklere uyduğunu ortaya koymak için gerekli tüm bilgiyi Veri Sorumlusu’nun erişimine sunar.

Veri Sorumlusu, makul bir süre önceden yazılı bildirimde bulunmak, Veri İşleyen’in faaliyetlerine asgari düzeyde müdahale etmek ve gizlilik yükümlülüklerine uymak kaydıyla, işbu Sözleşme’ye uyumun denetlenmesi amacıyla denetim ve inceleme yaptırma hakkına sahiptir. Bu denetimler, çalışma saatleri içinde ve yılda makul sayıda yapılır; haklı bir ihlal şüphesinin varlığı hâli saklıdır.

Veri İşleyen; onay, atıf ve maskeleme adımlarına ilişkin denetim izini tuttuğunu ve hesap verebilirlik ilkesi gereğince işbu kayıtları, denetim taleplerinin karşılanmasında kullanılmak üzere muhafaza ettiğini beyan eder.

Abonelik Sözleşmesi’nin sona ermesi hâlinde Veri İşleyen, Veri Sorumlusu’nun tercihine göre, işlediği tüm kişisel verileri Veri Sorumlusu’na iade eder veya imha eder. Veri Sorumlusu, sona erme tarihinden itibaren makul bir süre içinde tercihini bildirmediği takdirde Veri İşleyen, verileri güvenli biçimde imha etme yetkisine sahiptir.

Veri İşleyen, hukuken muhafazası zorunlu olan veriler bakımından, saklamanın gerektirdiği süre ve amaçla sınırlı kalmak ve işbu Sözleşme’deki gizlilik ile güvenlik yükümlülüklerini sürdürmek kaydıyla, ilgili verileri saklamaya devam edebilir.

Veri İşleyen, talep hâlinde, iade veya imha işleminin tamamlandığını yazılı olarak teyit eder. İmha; verilerin kurtarılmasının mümkün olmayacağı yöntemlerle gerçekleştirilir.

Tarafların işbu Sözleşme kapsamındaki sorumluluğu, 6098 sayılı Türk Borçlar Kanunu’nun emredici hükümleri ile Abonelik Sözleşmesi’nde öngörülen sorumluluk düzenlemeleri çerçevesinde belirlenir. Türk Borçlar Kanunu’nun 115’inci maddesi uyarınca ağır kusur ve kasttan doğan sorumluluğun önceden kaldırılamayacağı hususu saklıdır.

Her bir Taraf, kendi kusurundan kaynaklanan kişisel veri koruma ihlallerinden doğan zararlardan kendi sorumludur. İlgili kişilerin KVKK’nın 11’inci maddesi ile sair mevzuattan doğan zararlarının tazmini talepleri saklıdır.

Veri İşleyen’in, kendisine verilen hukuka uygun talimatlara uygun davranması sebebiyle ortaya çıkan zararlardan Veri Sorumlusu sorumludur. Buna karşılık Veri İşleyen, kendisine verilen talimatların açıkça dışına çıkması hâlinde, bu hareketinden doğan zararlardan sorumlu olur.

İşbu Sözleşme, Türkiye Cumhuriyeti hukukuna tabidir ve KVKK ile ilgili ikincil mevzuat çerçevesinde yorumlanır. Avrupa Birliği’ndeki ilgili kişilere ilişkin işleme bakımından GDPR’ın emredici hükümleri saklıdır.

İşbu Sözleşme’den doğan uyuşmazlıkların çözümünde, Abonelik Sözleşmesi’nde yetkili kılınan mahkeme ve icra daireleri yetkilidir. Abonelik Sözleşmesi’nde aksine bir hüküm bulunmaması hâlinde İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri yetkilidir.

İşbu Sözleşme, firma niteliğindeki müşteriler bakımından Abonelik Sözleşmesi ile birlikte akdedilmiş olup onun ayrılmaz bir ekini ve tamamlayıcı parçasını oluşturur. İşbu Sözleşme’nin herhangi bir hükmünün geçersiz sayılması, diğer hükümlerin geçerliliğini etkilemez.