Veri İşleyenler İçin Bağlayıcı Şirket Kuralları Başvuru Formu

KİŞİSEL VERİLERİ KORUMA KURUMU BAĞLAYICI ŞİRKET KURALLARI VERIǚ IǚŞLEYENLER IǚÇIǚN BAGǎLAYICI ŞIǚ RKET KURALLARI BAŞVURU FORMU -- 1 of 20 -- 2/20 TANIMLAR Alt Veri İşleyen : Veri işleyenin talimatları doğrultusunda hareket eden, veri işleyen adına kişisel verileri işleyen bir gerçek veya tüzel kişiyi ifade eder. Bağlayıcı Şirket Kuralları : Ortak bir ekonomik faaliyette bulunan bir teşebbüs grubu (Grup) içinde yer alan Türkiye'de yerleşik bir veri sorumlusu veya veri işleyen tarafından, aynı Grup içinde yer alan yurt dışında yerleşik bir veri sorumlusu veya veri işleyene yapılan kişisel veri aktarım faaliyetleri bakımından Grup Üyeleri tarafından uyulması gereken kişisel veri koruma kurallarını ifade eder. BŞK Üyesi : Veri İşleyenler için Bağlayıcı Şirket Kuralları ile bağlı olan Grup Üyesini ifade eder. Dâhili Alt Veri İşleyen : Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesinde yer alan alt veri işleyeni ifade eder. Grup : Ortak bir ekonomik faaliyette bulunan bir teşebbüs grubunu ifade eder. Grup Üyesi : Ortak bir ekonomik faaliyette bulunan bir teşebbüs grubundaki her bir kuruluşu ifade eder. Harici Alt Veri İşleyen : Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesinde yer almayan alt veri işleyeni ifade eder. Hizmet Sözleşmesi : Veri sorumlusu ile veri işleyen ve veri işleyen ile alt veri işleyen arasındaki veri işleme faaliyetini gösteren Türk hukukunda geçerli bir sözleşme ya da diğer bir hukuki işlemi ifade eder. Temas Kurulacak Kişi/Birim : Veri İşleyenler İçin Bağlayıcı Şirket Kuralları’na ilişkin işlemleri yürütmek adına Kurum ile irtibat kuracak kişi veya birimi ifade eder. -- 2 of 20 --

Türk hukukunda geçerli bir sözleşme ya da diğer bir hukuki işlemi ifade eder. Temas Kurulacak Kişi/Birim : Veri İşleyenler İçin Bağlayıcı Şirket Kuralları’na ilişkin işlemleri yürütmek adına Kurum ile irtibat kuracak kişi veya birimi ifade eder. -- 2 of 20 -- 3/20 KISALTMALAR Başvuru Formu : 04/06/2024 tarihli ve KVKK-BŞK/2024-3 sayılı Veri İşleyenler için Bağlayıcı Şirket Kuralları Başvuru Formu Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu Kurul : Kişisel Verileri Koruma Kurulu Kurum : Kişisel Verileri Koruma Kurumu Vİ BŞK : Veri İşleyenler için Bağlayıcı Şirket Kuralları VS BŞK : Veri Sorumluları için Bağlayıcı Şirket Kuralları Yardımcı Kılavuz : 04/06/2024 tarihli ve KVKK-BŞK/2024-4 sayılı Veri İşleyenler için Bağlayıcı Şirket Kuralları Yardımcı Kılavuzu -- 3 of 20 --

BAŞVURUYA İLİŞKİN GENEL TALİMATLAR VE AÇIKLAMALAR  Başvuru Formunun ve Yardımcı Kılavuzun yalnız bir kopyasının doldurulması ve Kuruma sunulması gerekmektedir. Yardımcı Kılavuz, Başvuru Formunun eki niteliğindedir.  Hem VS BŞK hem de Vİ BŞK için Kuruma onay başvurusu yapılması durumunda, her bir başvuru için ayrı bir form doldurulması gerekmektedir.  Başvuruların, Kuruma elden, posta yolu veya Kurul tarafından belirlenecek diğer yöntemler ile iletilmesi mümkündür1.  Başvuru Formunda ve Yardımcı Kılavuzda yer alan ilgili alanlarda yanıtlar için yeterli alan bulunmaması durumunda ek sayfalara veya eklere yer verilmesi mümkündür.  Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.  Ticari olarak hassas olan ve gizli tutulması gerektiği değerlendirilen yanıtlar veya dokümanlar başvuruda belirtilebilir.  Yapılacak olan başvuruda, başvurmaya yetkili kişinin adı soyadı, adresi, imzası gibi hususlarla birlikte imzaya yetkili olduğuna dair tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir. Bu kapsamda, tüzel kişiler tarafından yapılacak başvuruların, bu konuda temsil ve imzaya yetkili kişiler tarafından yapılması ile başvuruya bu hususu tevsik edici belgelerin eklenmesi; ayrıca, vekil marifetiyle yapılacak başvurularda da vekâletname aslı veya onaylı örneğinin bulunması gerekmektedir.  Başvuruya ilişkin sürecin sonraki adımları Yardımcı Kılavuzda açıklanmaktadır.  Vİ BŞK’nın yıllık güncellemeleri sırasında (bkz. Yardımcı Kılavuz Bölüm 1.6) Başvuru Formunun 2. Bölümünün 4 nolu kısmı (“Mal Varlığı”) doldurularak yeterli mal varlığının bulunduğu hususunun teyit edilmesi gerekmektedir.  Grubun merkezinin Türkiye’de bulunması halinde, Başvuru Formu bu kuruluş veya belirli koşullar altında kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği Türkiye’de yerleşik başka bir kuruluş tarafından doldurulmalı ve Kuruma sunulmalıdır2. İkinci durumda, Grup, merkez kuruluş niteliğini haiz olmayan Türkiye’de

koşullar altında kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği Türkiye’de yerleşik başka bir kuruluş tarafından doldurulmalı ve Kuruma sunulmalıdır2. İkinci durumda, Grup, merkez kuruluş niteliğini haiz olmayan Türkiye’de yerleşik başka bir kuruluşun neden başvurucu olarak belirlendiğine ilişkin ek gerekçeler sunmalıdır.  Grubun merkezinin Türkiye dışında olması halinde, Grup Türkiye’de yerleşik bir Grup kuruluşunu, kişisel verilerin korunmasına ilişkin sorumlulukların devredilmiş olduğu Yetkili Grup Üyesi olarak atamalıdır. Bu kuruluş daha sonra Grup adına başvuruyu Kuruma sunmalıdır.  Kurum tarafında başvuruya ilişkin soruların iletilebileceği ‘temas kurulacak kişi/birim’in bildirilmesi gerekir. Pratik nedenlerle bu kişi/birimin Türkiye’de bulunması tavsiye edilir. 1 Başvurunun posta yoluyla ‘Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Çankaya/Ankara/TÜRKİYE’ adresine iletilebilmesi mümkündür. 2 Grubun Türkiye’de yerleşik bir üyesi Türkiye’de yerleşik olmayan ilgili herhangi bir Grup Üyesinin bağlayıcı şirket kurallarını ihlal etmesi durumunda her zaman sorumluluğu kabul etmelidir.

5/20 BÖLÜM 1 : BAŞVURUCU BİLGİSİ 1. ORTAK EKONOMİK FAALİYETTE BULUNAN TEŞEBBÜS GRUBUNUN YAPISI VE İRTİBAT BİLGİLERİ 1.1. Grubun adı ve Grubun genel merkezinin adresi (hâkim şirket): 1.2. Başvurucunun adı ve adresi: 1.3. Başvurucunun Vergi Kimlik Numarası/MERSİS Numarası/Ticaret Sicil Numarası ve Bağlı Olunan Vergi Dairesi: 1.4. Başvurucunun hukuki statüsü (şirket, ortaklık vb.): 1.5. Başvurucunun Grup içindeki pozisyonu (Grubun Türkiye’de yerleşik merkezi veya Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkilendirilmiş Türkiye’de yerleşik bir Grup Üyesi) 1.6. Temas kurulacak kişinin adı ve görevi veya birim (temas kurulacak kişinin değişebilecek olması nedeniyle ‘kişi’ yerine ‘birim’ belirtilebilir)(bir veya birden fazla temas kişisi/birimi belirtilebilir): 1.7. Temas kurulacak kişinin/birimin adresi: 1.8. Temas kurulacak kişinin/birimin irtibat bilgileri: Telefon Numarası: Fax: E-posta adresi: -- 5 of 20 --

değişebilecek olması nedeniyle ‘kişi’ yerine ‘birim’ belirtilebilir)(bir veya birden fazla temas kişisi/birimi belirtilebilir): 1.7. Temas kurulacak kişinin/birimin adresi: 1.8. Temas kurulacak kişinin/birimin irtibat bilgileri: Telefon Numarası: Fax: E-posta adresi: -- 5 of 20 -- 6/20 2. KİŞİSEL VERİLERİN İŞLENMESİ VE VERİ AKIŞINA İLİŞKİN KISA AÇIKLAMALAR3 2.1. Aşağıdaki hususları açıklayınız: Vİ BŞK kapsamında aktarılması öngörülen kişisel verilerin niteliği; veri kategorileri, kişisel veri işleme faaliyetinin amaçları; kişisel verilerin işlenmesinden etkilenen ilgili kişi kategorileri (örneğin, müşterilere, tedarikçilere ve diğer üçüncü taraflara ait işlerinin düzenli bir parçası olarak çalışanlara ilişkin veriler ...): 2.2. Kişisel veri aktarımlarının öngörülen amaçları: 2.3. Vİ BŞK yalnızca Türkiye’den yapılan aktarımlarda mı yoksa Grup üyeleri arasındaki aktarımlarda mı uygulanacaktır? 2.4. Kişisel verilerin aktarılabileceği Türkiye’deki ve Türkiye dışındaki Grup Üyelerine ilişkin bir açıklama ve irtibat bilgisi de dâhil olmak üzere Vİ BŞK kapsamına giren Grup içi aktarımların kapsamı: 3 KVKK-BŞK/2024-4 Bölüm 4.1’e bakınız. -- 6 of 20 --

2.4. Kişisel verilerin aktarılabileceği Türkiye’deki ve Türkiye dışındaki Grup Üyelerine ilişkin bir açıklama ve irtibat bilgisi de dâhil olmak üzere Vİ BŞK kapsamına giren Grup içi aktarımların kapsamı: 3 KVKK-BŞK/2024-4 Bölüm 4.1’e bakınız. -- 6 of 20 -- 7/20 BÖLÜM 2: GEÇERLİLİK ESASLARI VERİ İŞLEYENLER İÇİN BAĞLAYICI ŞİRKET KURALLARININ BAĞLAYICI NİTELİĞİ 1. DAHİLİ BAĞLAYICILIK4 1.1. Grup Bünyesinde Alt Veri İşleyen Olarak Hareket Eden Kuruluşlar Bakımından Bağlayıcılık5 1.1.1. Vİ BŞK, Grup Üyeleri üzerinde nasıl bağlayıcı hale getirilmektedir? Grup Üyelerinin tamamı üzerinde yasal olarak bağlayıcı olan önlemler veya kuralların varlığı: Grup Üyeleri arasındaki sözleşmeler veya Grup içi anlaşmalar: Hâkim şirket tarafından yapılan veya verilen ve Grubun diğer üyeleri için bağlayıcı olan tek taraflı beyanlar veya taahhütler6: Diğer yöntemler7 (Açıklayınız): 4 KVKK-BŞK/2024-4 Bölüm 1.1 ve 1.2’ye bakınız. 5 KVKK-BŞK/2024-4 Bölüm 1.2 (i)’ye bakınız. 6 Bu sadece, sorumluluk ve yükümlülüğü üstlenen Vİ BŞK Üyesinin, tek taraflı beyanları veya taahhütleri bağlayıcı olarak tanıyan bir ülkede bulunması ve bu Vİ BŞK üyesinin, Vİ BŞK’ya tâbi diğer üyeleri V, BŞK’ya bağlı kılma yetkisine sahip olması durumunda mümkündür. 7 Grubun, Vİ BŞK’nın bağlayıcı niteliğinin nasıl sağlandığını tevsik etmesi halinde mümkündür. -- 7 of 20 --

bağlı kılma yetkisine sahip olması durumunda mümkündür. 7 Grubun, Vİ BŞK’nın bağlayıcı niteliğinin nasıl sağlandığını tevsik etmesi halinde mümkündür. -- 7 of 20 -- 8/20 1.1.2. Yukarıda belirtilen mekanizmaların, diğer Grup üyeleri (özellikle genel merkez) bakımından bağlayıcılığının nasıl sağlanacağını açıklayınız. 1.1.3. Vİ BŞK’nın Grup içindeki bağlayıcı etkisi tüm Grup için geçerli midir? (Bazı Grup üyelerinin muaf tutulması gerekli ise söz konusu muafiyetin neden ve nasıl sağlandığını açıklayınız.) 1.1.4. Dahili alt veri işleyenlerin veri işleme faaliyetlerinin yalnızca veri sorumlularına önceden bilgi verildikten sonra ve onların önceden alınan yazılı onayı ile gerçekleştirildiğini teyit ediniz. 1.2. Çalışanlar Bakımından Bağlayıcılık8 1.2.1. Grup, Vİ BŞK’nın çalışanlar bakımından bağlayıcı olmasını sağlamak için aşağıdaki yöntemlerden bir veya birkaçını öngörebilir. Ancak bunlar dışında başka yöntemler de öngörülebilir. Aşağıda detaylara yer veriniz. ☐Yaptırımları olan bireysel ve ayrı bir sözleşme/taahhüt ☐Yaptırımlar içeren iş sözleşmesi ☐Yaptırımlar içeren toplu sözleşmeler ☐Çalışanların, Vİ BŞK’yı veya Vİ BŞK’nın dâhil edildiği ilgili etik kuralları okuduklarına ilişkin imza atması veya bunu teyit etmesi ☐Yaptırımlar içeren iç politikalar 8 KVKK-BŞK/2024-4 Bölüm 1.2. (ii)’e bakınız. -- 8 of 20 --

☐Çalışanların, Vİ BŞK’yı veya Vİ BŞK’nın dâhil edildiği ilgili etik kuralları okuduklarına ilişkin imza atması veya bunu teyit etmesi ☐Yaptırımlar içeren iç politikalar 8 KVKK-BŞK/2024-4 Bölüm 1.2. (ii)’e bakınız. -- 8 of 20 -- 9/20 ☐Diğer yöntemler (Vİ BŞK’nın çalışanlar bakımından nasıl bağlayıcı hale getirildiğinin açıklanması gerekmektedir.) 1.2.2. Vİ BŞK’nın çalışanlar bakımından bağlayıcılığının nasıl sağlandığına ilişkin ilgili politikalardan ve prosedürlerden veya gizlilik anlaşmalarından alıntılarla desteklenen bir özet bilgi sunulması gerekmektedir. 2. HARİCİ BAĞLAYICILIK 2.1. Verileri İşleyen Harici Alt Veri İşleyenler Üzerinde Bağlayıcılık 2.1.1. Harici alt veri işleyenlerle Kanun’un başta 4, 9, 11 ve 12 nci maddelerine uygun olmak üzere yeterli düzeyde koruma sağlandığını belirten ve harici alt veri işleyenlerin veri sorumlularıyla imzalanan Hizmet Sözleşmeleri ile KVKK-BŞK/2024-4’ün9 başta 1.3, 1.4, 3 ve 6. bölümleri olmak üzere Grup Üyelerine yüklenen aynı veri koruma yükümlülüklerine uymak zorunda kalmasını sağlayan, harici alt veri işleyenin tâbi olduğu devletin mevzuatı kapsamında yazılı bir sözleşme veya başka bir yasal işlem yapıldığını teyit ediniz. 2.1.2. Vİ BŞK’nın tarafı olan veri işleyenin tâbi olduğu hukuk kapsamındaki bu tür sözleşmeler veya diğer yasal işlemler, aykırılığın sonuçlarını nasıl ele almaktadır? Aykırılık nedeniyle alt veri işleyenlere uygulanacak yaptırımları belirtiniz. 2.1.3. Harici alt veri işleyenlerin veri işleme faaliyetlerinin yalnızca veri sorumlusunun önceden bilgilendirilmiş özel veya genel yazılı onayından sonra gerçekleştirildiğini teyit ediniz.10 9 KVKK-BŞK/2024-4 Bölüm 6.1. (vii)’ye bakınız. 10 KVKK-BŞK/2024-4 Bölüm 6.1. (vii)’ye bakınız. -- 9 of 20 --

2.1.4. Alt veri işleyenlerin, veri sorumlusunun talebi üzerine, söz konusu veri sorumlusuyla ilgili veri işleme faaliyetlerinin denetimi için veri işleme tesislerini denetime sunmayı kabul ettiğini onaylayınız.11 Sistemi açıklayınız. 2.1.5. Vİ BŞK’da yer alan kurallar ilgili kişilerin yararı için (üçüncü taraf yararlanıcı hakları) harici olarak nasıl bağlayıcı hale getirilmiştir? Veya bu tür hakların nasıl sağlanması planlanmaktadır? (Örneğin sözleşmelerde veya tek taraflı beyanlarla bazı üçüncü taraf yararlanıcı hakları sağlanmış olabilir.)12 2.1.6. Vİ BŞK’nın veri sorumluları bakımından nasıl bağlayıcı hale getirildiğinin açıklanması amacıyla veri sorumluları ile uygun şekilde imzalanan sözleşmeden alıntılarla desteklenen bir özet sağlayınız.13 2.1.7. Veri sorumlularının haklarının yetkili mahkemeler nezdinde talepte bulunma hakkını ve tazminat hakkını kapsayacağını onaylayınız. 3. YASAL TALEPLER VE DAVALAR 3.1. KVKK-BŞK/2024-4 Bölüm 1.3.’te ayrıntılı olarak belirtildiği üzere Kanun’un ilgili kişilerin haklarını düzenleyen 11’inci maddesi, Kurul’a şikâyeti düzenleyen 14’üncü maddesi ve ilgili kişilerin zararının giderilmesi hakkını düzenleyen 11’inci maddesinin (1) numaralı fıkrasının (ğ) bendindeki gereklilikler kapsamındaki yükümlülüklerin nasıl yerine getirildiğini açıklayınız.14 3.2. Türkiye’de yerleşik bir veri sorumlusunun, Grubun herhangi bir üyesi veya harici bir alt veri işleyen tarafından uğratılan herhangi bir zarar için, söz konusu eylemlere 11 KVKK-BŞK/2024-4 Bölüm 2.3’e bakınız. 12 Bazı ulusal düzenlemelere göre tek taraflı beyanların veya tek taraflı taahhütlerin bağlayıcı bir etkiye sahip olmadığının farkında olmalısınız. Bu tür beyanların bağlayıcılığına ilişkin özel bir yasal hüküm bulunmaması halinde, yalnızca Grup üyeleri arasında üçüncü taraf yararlanıcı haklarına ilişkin hükümleri içeren bir sözleşme bağlayıcılığın kanıtı olabilecektir

sahip olmadığının farkında olmalısınız. Bu tür beyanların bağlayıcılığına ilişkin özel bir yasal hüküm bulunmaması halinde, yalnızca Grup üyeleri arasında üçüncü taraf yararlanıcı haklarına ilişkin hükümleri içeren bir sözleşme bağlayıcılığın kanıtı olabilecektir. 13 KVKK-BŞK/2024-4 Bölüm 1.4’e bakınız. 14 KVKK-BŞK/2024-4 Bölüm 1.3’e bakınız.

11/20 son verilmesi ve/veya zararın giderilmesi için uygun düzenlemelerin yapılıp yapılmadığını, yapılmış ise bunun nasıl sağlandığını açıklayınız.15 3.3. İddianın nereden kaynaklandığına bakılmaksızın bir Grup Üyesi veya harici bir alt veri işleyen tarafından neden olunduğu iddia edilen bir kural ihlaline ilişkin ispat yükümlülüğünün, Grubun Türkiye’de yerleşik olmayan üyeleri veya alt veri işleyenler tarafından neden olunan ihlaller için sorumluluğu üstlenen Türkiye’deki yerleşik Grup üyesine ait olacağını teyit ediniz. 4. Mal Varlığı16 Türkiye’de yerleşik sorumlu Vİ BŞK Üyesinin/Üyelerinin (Grubun Türkiye’de yerleşik merkezi veya Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkilendirilmiş ve Türkiye’de yerleşik bir Grup Üyesi) Türkiye’de yerleşik olmayan BŞK Üyelerinin Vİ BŞK ihlallerinden kaynaklanan tüm zararların giderilmesi için tazminat ödemesine ilişkin gerekli tedbirleri aldığını doğrulayınız ve bunun nasıl teminat altına alındığını açıklayınız. 5. Vİ BŞK’YA KOLAY ERİŞİM17 4.1. Vİ BŞK’da, Vİ BŞK’nın veri sorumluları ile imzalanan Hizmet Sözleşmelerinin eki niteliğini haiz olduğunu veya Hizmet Sözleşmelerinde Vİ BŞK’ya elektronik olarak erişim imkânı sağlandığına ilişkin bir hüküm bulunduğunu teyit ediniz. 4.2. Vİ BŞK’nın ilgili kişilerin kolayca erişebileceği bir şekilde Veri İşleyenlerin Grubunun internet sitesinde yayınlandığını veya en azından bir belgenin yayınlandığını ve KVKK-BŞK/2024-4 Bölüm 1.8’de istenen tüm bilgileri içerdiğini teyit ediniz. 15 KVKK-BŞK/2024-4 Bölüm 1.3’e bakınız. 16 KVKK-BŞK/2024-4 Bölüm 1.6’ya bakınız. 17 KVKK-BŞK/2024-4 Bölüm 1.8’e bakınız. -- 11 of 20 --

15 KVKK-BŞK/2024-4 Bölüm 1.3’e bakınız. 16 KVKK-BŞK/2024-4 Bölüm 1.6’ya bakınız. 17 KVKK-BŞK/2024-4 Bölüm 1.8’e bakınız. -- 11 of 20 -- 12/20 6. ETKİLİLİK18 6.1. Vİ BŞK’ya dayanılarak veri aktarımı gerçekleştirildiği durumlarda, Grup bünyesinde geçerli olan Vİ BŞK’nın nasıl uygulandığını ortaya koymak önem arz etmektedir. Nitekim bu husus, mevcut koruma tedbirlerinin yeterliliğinin değerlendirmesinde önemli bir rol oynayacaktır. 6.1.1. Çalışanların Eğitimi ve Farkındalığının Artırılması19 ☐Özel Eğitim Programlarının bulunması ☐Çalışanların Vİ BŞK ve kişisel verilerin korunması bakımından yetkinliğinin test edilmesi ☐Vİ BŞK’nın tüm çalışanların erişimine basılı veya çevrim içi olarak sunulması ☐Şirketin üst düzey yöneticilerinin inceleme ve onay mekanizmasının bulunması ☐ Çalışanların, yaptıkları işin kişisel verilerin korunması bakımından etkilerini, diğer bir ifadeyle gizlilik politikalarının faaliyetleri için geçerli olup olmadığını tespit edebilmesi ve buna göre hareket edebilmesi hususunda nasıl eğitildiğini açıklayınız (Çalışanların Türkiye’de yerleşik olup olmadığı önem arz etmemektedir). 18 KVKK-BŞK/2024-4 Bölüm 2’ye bakınız. 19 KVKK-BŞK/2024-4 Bölüm 2.1’e bakınız. -- 12 of 20 --

edebilmesi ve buna göre hareket edebilmesi hususunda nasıl eğitildiğini açıklayınız (Çalışanların Türkiye’de yerleşik olup olmadığı önem arz etmemektedir). 18 KVKK-BŞK/2024-4 Bölüm 2’ye bakınız. 19 KVKK-BŞK/2024-4 Bölüm 2.1’e bakınız. -- 12 of 20 -- 13/20 6.1.2. Dâhili Başvuru Mekanizması20 ☐ 6.1.2.1. Vİ BŞK, (1) iddia ve taleplerin gecikmeksizin veri sorumlusuna iletilmesi ve (2) veri sorumlusunun hukuken veya fiilen varlığının sona ermiş olması gibi durumlarda; veri sorumlusu yerine Grubun üzerinde mutabık kaldığı başka bir veri sorumlusunun, ilgili kişilerin başvurularının ele alması için dâhili bir başvuru mekanizması içermekte midir? ☐ 6.1.2.2. Dâhili başvuru mekanizmasının nasıl çalıştığını açıklayınız. 6.1.3. Uyumluluk Denetimi21 6.1.3.1. Her bir Grup Üyesinin Vİ BŞK’ya uyumunun denetlenmesi ve doğrulanması amacıyla hangi mekanizmaların kullanıldığını açıklayınız: (örneğin bir denetim programı, uyum programı vb.) 6.1.3.2. Uyumluluk denetimi programlarının Grup içerisinde nasıl işlediğini açıklayınız. (Örneğin herhangi bir uyum denetimi raporunun alıcıları, bunların Grup içerisindeki pozisyonlarına ilişkin bilgiler vb.) 6.1.3.3. Vİ BŞK, uyumun doğrulanmasına ilişkin aşağıdaki denetim mekanizmalarından hangilerini içermektedir: ☐ İç denetçi ☐ Dış denetçi 20 KVKK-BŞK/2024-4 Bölüm 2.2’ye bakınız. 21 KVKK-BŞK/2024-4 Bölüm 2.3’e bakınız. -- 13 of 20 --

hangilerini içermektedir: ☐ İç denetçi ☐ Dış denetçi 20 KVKK-BŞK/2024-4 Bölüm 2.2’ye bakınız. 21 KVKK-BŞK/2024-4 Bölüm 2.3’e bakınız. -- 13 of 20 -- 14/20 ☐ Hem iç hem dış denetçi ☐ Dahili bir uyumluluk birimi tarafından denetim ☐ Diğer (açıklayınız): 6.1.3.4. Vİ BŞK’da denetim mekanizmalarının aşağıda sayılanlardan birinde yer alıp almadığı hususunda; Kişisel verilerin korunması politikasını içeren bir belgede Diğer dahili prosedür belgeleri ve denetimlerde açıklama yer almakta mıdır? 6.1.4. Personel Yapılanması22 6.1.4.1. Vİ BŞK’ya uyumluluğun sağlanması ve bunun denetlenmesi için görevlendirilmiş personel yapılanmasının üst düzey yöneticilerin belirlemesi suretiyle sağlandığını onaylayınız: 6.1.4.2. Personel yapılanmasının nasıl işlediğini açıklayınız: Dahili Yapı Görev ve Sorumluluklar 22 KVKK-BŞK/2024-4 Bölüm 2.4’e bakınız. -- 14 of 20 -- 15/20 7. KURUM İLE İŞ BİRLİĞİ23 7.1. Vİ BŞK’da Kurum ile iş birliği hususunun nasıl ele alındığını açıklayınız: 7.2. Kurumun uyumluluğu denetlemesine izin vereceğinizi onaylıyor musunuz? 7.3. Bir bütün olarak Grubun ve Grup üyelerinden her birinin, Vİ BŞK’nın yorumlanması ve uygulanmasına ilişkin olarak Kurul’un tavsiyelerine uyacağını onaylıyor musunuz? 8. VERİ SORUMLULARI İLE İŞ BİRLİĞİ24 8.1. Vİ BŞK’da veri sorumluları ile iş birliği hususunun nasıl ele alındığını açıklayınız. 8.2. Veri işleme tesislerinin, ilgili işleme faaliyetlerinin denetimi için talepte bulunan veri sorumlusuna (veya veri sorumlusu tarafından seçilen bağımsız üyelerden oluşan bir denetim organına) sunulmasının kabul edildiğini teyit etmeniz gerekmektedir. 23 KVKK-BŞK/2024-4 Bölüm 3.1’e bakınız. 24 KVKK-BŞK/2024-4 Bölüm 3.2’ye bakınız.

veri sorumlusuna (veya veri sorumlusu tarafından seçilen bağımsız üyelerden oluşan bir denetim organına) sunulmasının kabul edildiğini teyit etmeniz gerekmektedir. 23 KVKK-BŞK/2024-4 Bölüm 3.1’e bakınız. 24 KVKK-BŞK/2024-4 Bölüm 3.2’ye bakınız. -- 15 of 20 -- 16/20 9. KİŞİSEL VERİLERİN İŞLENMESİ VE VERİ AKIŞINA İLİŞKİN DETAYLI AÇIKLAMALAR25 9.1. Aşağıdaki hususlara ilişkin açıklama yapınız: 9.1.1. Vİ BŞK ile aktarılması öngörülen veri kategorileri (örneğin özlük verileri): 9.1.2. Vİ BŞK ile aktarılması öngörülen kişisel verilerin niteliği: 9.1.3. Genel olarak veri akışının kapsamı: 9.1.4. Vİ BŞK kapsamındaki verilerin diğer ülkelere aktarım amaçları ve işleme türü: 9.1.5. Yukarıda niteliği ve kategorileri belirtilen hangi kişisel verilerin hangi Grup Üyelerine aktarılacağı ve Grup Üyelerinin irtibat bilgileri de dâhil olmak üzere Vİ BŞK’nın kapsamına giren Grup içerisindeki aktarımların kapsamı: 9.2. Vİ BŞK yalnızca Türkiye’den yurt dışına gerçekleştirilen kişisel veri aktarım faaliyetleri için mi yoksa Grup üyeleri arasındaki tüm aktarım faaliyetleri için mi uygulanacaktır? Açıklayınız: 25 KVKK-BŞK/2024-4 Bölüm 4.1’e bakınız. -- 16 of 20 --

9.2. Vİ BŞK yalnızca Türkiye’den yurt dışına gerçekleştirilen kişisel veri aktarım faaliyetleri için mi yoksa Grup üyeleri arasındaki tüm aktarım faaliyetleri için mi uygulanacaktır? Açıklayınız: 25 KVKK-BŞK/2024-4 Bölüm 4.1’e bakınız. -- 16 of 20 -- 17/20 10. DEĞİŞİKLİKLERİN KAYDEDİLMESİ VE RAPORLANMASINA İLİŞKİN MEKANİZMALAR26 10.1. Vİ BŞK’nın, Vİ BŞK veya BŞK üyeleri listesinde meydana gelebilecek değişikliklerden, diğer Grup Üyelerinin, Kurumun ve veri sorumlularının nasıl haberdar edileceğine dair bir hüküm içerdiğini teyit ediniz ve özet olarak açıklayınız: 10.2. Vİ BŞK metni ve uygulanması bakımından meydana gelecek her türlü değişikliği kayıt altına alacak bir sisteminizin olup olmadığını açıklayınız: 10.3. Kişisel veri işleme faaliyetine ilişkin koşulları etkileyecek bir değişiklik yapılması ihtiyacının doğması halinde, değişikliğin yapılmasından önce veri sorumlularının, sözleşmeyi feshetmelerine veya söz konusu değişikliğe itiraz etmelerine imkân tanıyacak kadar uygun bir süre öncesinde bilgilendirileceklerini teyit ediniz. 11. VERİ KORUMA ÖNLEMLERİ27 Vİ BŞK’da aşağıdaki konuların nasıl düzenlendiğini, Vİ BŞK’ya varsa tevsik edici dokümanlara atıf yaparak açıklayınız: 11.1. Hukuka ve dürüstlük kuralına uygunluk (Örneğin; veri sorumlusuna yardımcı olma hususunda genel bir yükümlülük): 11.2. Doğru ve gerektiğinde güncel olma: 11.3. Belirli, açık ve meşru amaçlar için işleme 26 KVKK-BŞK/2024-4 Bölüm 5.1’e bakınız. 27 KVKK-BŞK/2024-4 Bölüm 6’ya bakınız. -- 17 of 20 --

olma hususunda genel bir yükümlülük): 11.2. Doğru ve gerektiğinde güncel olma: 11.3. Belirli, açık ve meşru amaçlar için işleme 26 KVKK-BŞK/2024-4 Bölüm 5.1’e bakınız. 27 KVKK-BŞK/2024-4 Bölüm 6’ya bakınız. -- 17 of 20 -- 18/20 11.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (Örneğin; yalnızca veri sorumlusu adına ve veri sorumlusunun talimatlarına uygun olarak kişisel veri işlenmesi ve sözleşmenin sona ermesi halinde kişisel verilerin veri sorumlusuna iade edilmesi): 11.5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme: 11.6. Veri güvenliği: 11.7. İlgili kişilerin hakları (Örneğin; veri sorumlusuna yardımcı olma hususunda genel yükümlülük): 11.8. Grup içerisinde alt veri işleme: 11.9. Harici alt veri işleyenlere yapılacak sonraki aktarımlara yönelik kısıtlamalar: 11.10. Diğer hususlar (varsa): -- 18 of 20 --

11.7. İlgili kişilerin hakları (Örneğin; veri sorumlusuna yardımcı olma hususunda genel yükümlülük): 11.8. Grup içerisinde alt veri işleme: 11.9. Harici alt veri işleyenlere yapılacak sonraki aktarımlara yönelik kısıtlamalar: 11.10. Diğer hususlar (varsa): -- 18 of 20 -- 19/20 12. HESAP VEREBİLİRLİK VE DİĞER ESASLAR/ARAÇLAR28 12.1. BŞK Üyeleri tarafından, yükümlülüklerini yerine getirdiğini göstermek amacıyla gerekli bilgi ve belgelerin veri sorumlusuna nasıl sağlanacağını teyit ediniz ve açıklayınız: 12.2. BŞK Üyeleri tarafından, her bir veri sorumlusu adına Vİ BŞK kapsamında gerçekleştirilecek işleme faaliyetlerinin kaydının nasıl tutulacağını açıklayınız: 12.3. Kişisel verilerin korunmasına ilişkin ilkelere uyumun sağlanması ve Vİ BŞK’da öngörülen yükümlülüklere uyumun kolaylaştırılması amacıyla alınacak uygun teknik ve idari tedbirlerin uygulanmasında, BŞK Üyelerinin veri sorumlusuna karşı yükümlülüklerini açıklayınız: 12.4. Varsa yukarıda istenen bilgilere ilişkin yardımcı dokümanları ekleyiniz: Tarih, Başvurucunun İmzası ( temsile ve imzaya yetkili kişiler tarafından imzalanması zorunludur) (isim, hukuki statü, irtibat bilgilerini de belirtiniz.) 28 KVKK-BŞK/2024-4 Bölüm 6.1.2’ye bakınız. -- 19 of 20 --

Tarih, Başvurucunun İmzası ( temsile ve imzaya yetkili kişiler tarafından imzalanması zorunludur) (isim, hukuki statü, irtibat bilgilerini de belirtiniz.) 28 KVKK-BŞK/2024-4 Bölüm 6.1.2’ye bakınız. -- 19 of 20 -- 20/20 EK-1: VERİ İŞLEYENLER İÇİN BAĞLAYICI ŞİRKET KURALLARI METNİ Başvuru Formuna Veri İşleyenler için Bağlayıcı Şirket Kuralları metninin bir suretinin eklenmesi gerekmektedir. Başvuru bakımından tüm zorunlu bilgilerin Vİ BŞK belgelerine (temel belgelerin içeriğine veya eklerine) dâhil edilmesi gerekmektedir. EK-2: VERİ İŞLEYENLER İÇİN BAĞLAYICI ŞİRKET KURALLARINDA BULUNMASI GEREKEN TEMEL HUSUSLARA İLİŞKİN YARDIMCI KILAVUZ Veri İşleyenler için Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Kılavuzun bir suretinin doldurularak başvuruya eklenmesi gerekmektedir. EK-3: TEVSİK EDİCİ BELGELER Başvuruya ilişkin olarak sunulacak olan tevsik edici belgeler (Vİ BŞK’nın parçası olmayan belgeler gibi) ise yalnızca daha fazla açıklama yapılması amacıyla sunulabilir. Söz konusu ekler bakımından adlandırma [(EK-3-1), (EK-3-1-A)] şeklinde olabilir. Gönderilen tüm belgeler, uygun görüldüğü takdirde bilgi edinme mevzuatı çerçevesindeki erişim taleplerine konu olabilecektir. -- 20 of 20 --