ÖRNEK ÇALIŞMADIR
Kişisel Verilerin Korunması Politikası
Tasarruf Ödeme ve Elektronik Para Hizmetleri A.Ş. olarak kişisel verilerinize önem veriyoruz. Bu kapsamda başta özel hayatın gizliliği olmak üzere hangi ürün ve hizmetlerimizi kullanırsa kullansın tüm müşterilerimizin temel hak ve özgürlükleri ile kişisel verilerinin korunması amacıyla düzenlenen 6698 sayılı Kişisel Verilerin Korunması Kanunu hakkında duyuru metnini bilgilerinize sunarız.
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumlusu sıfatıyla, kişisel verileriniz aşağıda açıklandığı çerçevede; işlenecek ve mevzuatın izin verdiği durumlarda 3. kişilere aktarılabilecektir.
Kişisel verilerin işlenme amaçları ve hukuki sebepleri:
6493 Sayılı Kanun ve diğer mevzuat kapsamında elektronik para kuruluşu sıfatıyla sunulan her türlü ürün ve hizmetlerde kullanılmak; işlem sahibinin bilgilerini tespit için kimlik, adres ve diğer gerekli bilgileri kaydetmek; elektronik veya kağıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek; mevzuat, BDDK, TCMB ve diğer otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak; talep edilen / diğer Kuruluşumuz ürün / hizmetlerini sunabilmek ve akdettiğiniz sözleşmenin gereğini yerine getirmektir.
Yukarıda belirtilen amaçlarla, kişisel verilerin aktarılabileceği kişi / kuruluşlar:
6493 Sayılı Kanun ve diğer mevzuat hükümlerinin izin verdiği kişi veya kuruluşlar; bunlarla sınırlı olmamak üzere 6493 Sayılı Kanunda sayılan finansal kuruluşlar ile diğer 3. kişiler; BDDK, SPK, TCMB ve bunlarla sınırlı olmamak üzere tüm kamu tüzel kişileri; ana hissedarımız, doğrudan / dolaylı yurtiçi / yurtdışı iştiraklerimiz; elektronik para ihracı faaliyetlerimizi yürütmek üzere hizmet aldığımız, işbirliği yaptığımız, program ortağı kuruluşları, yurtiçi / yurtdışı iş ortaklarımız ve bunlarla sınırlı olmamak üzere diğer tüm 3. kişiler ve tüm resmi mercilerdir.
Kişisel verilerin toplanma yöntemi:
Genel Müdürlük, Şubeler, Temsilciler, kiosklar, ATM’ler, internet şubesi ve çağrı merkezi gibi kanallar aracılığıyla kişisel verileriniz sözlü, yazılı veya elektronik ortamda toplanabilir.
6698 Sayılı Kişisel Verilerin Korunması Kanununun 11. maddesi gereği kullanıcı hakları: Kuruluşumuza başvurarak, kişisel verilerinizin; a) işlenip işlenmediğini öğrenme, b) işlenmişse bilgi talep etme, c) işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, ç) yurt içinde / yurt dışında aktarıldığı 3. kişileri bilme, d) eksik / yanlış işlenmişse düzeltilmesini isteme, e) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme, f) aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme, g) münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, ğ) kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme hakkına sahipsiniz.
Bilgilerinize sunarız.
Saygılarımızla
KVKK BAŞVURU FORMU
Kişisel Verilerin Korunması Talep Formu
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA BİLGİ TALEP FORMU
GENEL AÇIKLAMALAR
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (‘‘KVK Kanunu’’) ilgili kişi olarak tanımlanan kişisel veri sahiplerine (‘‘Bundan böyle ‘‘Başvuru Sahibi’’ olarak anılacaktır.) KVK Kanunu’nun 11. maddesinde kişisel verilerinin işlenmesine ilişkin birtakım taleplerde bulunma hakkı tanınmıştır.
KVK Kanunu’nun 13/I. Maddesi uyarınca veri sorumlusu olan Şirketimize bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kişisel Verilerin Korunması Kurulu (‘‘Kurul’’) tarafından belirlenen diğer yöntemlerle tarafımıza iletilmesi gerekmektedir.
Hakkınızda tuttuğumuz kişisel verilerin doğru ve güncel olması önemlidir. Bu nedenle kişisel verilerinizde bir değişiklik meydana geldiğinde lütfen bize bildiriniz. 6698 sayılı Kişisel Verilerin Koruması Kanunu ve ilgili mevzuat uyarınca kendinizle ilgili;
– Kişisel veri işlenip işlenmediğini öğrenebilir,
– Topladığımız bilgilere ilişkin ayrıntıları talep edebilir,
– Bu bilgilerin ne amaçla toplandığını ve ne şekilde kullanıldığını, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenebilir veya
– Eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini, güncellenmesini veya bunların işlenmesini gerektiren sebepler ortadan kalktıysa silinmesini aktarım yapılan üçüncü kişilere yapılacak bildirimleri de kapsayacak şekilde isteyebilirsiniz.
Bu çerçevede ‘‘yazılı’’ olarak Şirketimize yapılacak başvurular, işbu formun çıktısı alınarak ve imzalanarak;
• Başvuru sahibinin şahsen başvurusu ile,
• Posta yolu ile,
• Islak imzalı başvuru formunun taranarak info@tasarrufcard.com adresine elektronik posta vasıtası ile gönderilmelidir.
Yapılacak başvurularda seçilecek başvuru yoluna göre zarf üzerine veya e-posta konu başlığına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” ibaresi eklenmelidir.
Şahsen veya posta yolu ile yapılacak başvurularda başvuru formu “Tokatköy Mah. Mezbaha Sok. No:5 Beykoz/İSTANBUL” adresine gönderilmelidir.
Ayrıca, Kurul’un belirleyeceği diğer yöntemler duyurulduktan sonra bu yöntemler üzerinden de başvuruların ne şekilde alınacağı Şirketimizce duyurulacaktır.
Tarafımıza iletilmiş olan başvurularınız KVK Kanunu’nun 13/2. maddesi gereğince, talebin niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren 30 (Otuz) gün içinde yanıtlandırılacaktır. Yanıtlarımız KVK Kanunu’nun 13/2. maddesi gereğince, yazılı veya elektronik ortamdan tarafınıza ulaştırılacaktır.
A. BAŞVURU SAHİBİNE İLİŞKİN BİLGİLER
Adı Soyadı :
T.C. Kimlik Numarası :
Başvuru Sahibi (Müşteri/İş Ortağı/Diğer) :
Adres :
Cep Telefonu :
Elektronik Posta Adresi :
B. LÜTFEN ŞİRKETİMİZ İLE OLAN İLİŞKİNİZİ BELİRTİNİZ. (Müşteri, iş ortağı, çalışan adayı, eski çalışan, üçüncü taraf firma çalışanı, hissedar, tedarikçi, broker, danışman gibi)
□ Müşteri
□ Ziyaretçi
□ İş Ortağı
□
Diğer: ……………………………………..………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
Şirketimiz içerisinde iletişimde olduğunuz Birim: …………………………………………………………………………………………………………………………………………
Konu:…………………………………………………………………………………………. ……………………………………………………………………………………………………………………………………………………………………………………………………
C.BAŞVURU SAHİBİ TALEP DETAYI
Kişisel Verilerin Korunması Kanunu kapsamında talebinizi detaylı olarak aşağıda belirtiniz :
_________________________________________________________________________________________________
D. Lütfen başvurunuza vereceğimiz yanıtın tarafınıza bildirilme yöntemini seçiniz:
□ Adresime gönderilmesini istiyorum.
□ E-posta adresime gönderilmesini istiyorum. (E-posta yöntemini seçmeniz halinde size daha hızlı yanıt verebileceğiz.)
□ Elden teslim almak istiyorum.
(Vekaleten teslim alınması durumunda noter tasdikli vekaletname veya yetki belgesi olması gerekmektedir.)
İşbu başvuru formu, Şirketimiz ile olan ilişkinizi tespit ederek, varsa, Şirketimiz tarafından işlenen kişisel verilerinizi eksiksiz olarak belirleyerek, ilgili başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için Şirketimiz ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar. Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması halinde Şirketimiz, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı mesuliyet kabul etmemektedir.
Başvuru Sahibi (Kişisel Veri Sahibi) Adı Soyadı :
Başvuru Tarihi :
İmza :
AYDINLATMA METİNLERİ
AÇIK RIZA METİNLERİNDE BULUNMASI GEREKEN ZORUNLU UNSURLAR
Kanunun yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlardan birisi de “açık rıza” kavramıdır. Kanunun 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Ayrıca Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Açık rıza, Kanunda hem özel nitelikli kişisel veriler, hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden bir tanesidir.
Buna göre sırasıyla Kanunun;
• 5. maddesinin, 1. fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”,
• 6. maddesinin 2. fıkrasında “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır”,
• 8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz”,
• 9. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” düzenlemeleri yer almaktadır.
Açık rıza, uluslararası metinlerde de kendine yer bulan önemli bir kavramdır. 95/46/EC sayılı Avrupa Birliği Direktifine göre rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. Direktifte yalnızca özel nitelikli (hassas) verilerin işlenmesi için açık rıza aranmakta iken, Kanunda ve GDPR’da kural olarak her türlü kişisel verinin işlenmesi için açık rızaya ihtiyaç duyulmaktadır.
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza açıklamasının bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza açıklaması, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağlayacaktır. Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.
Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:
• Belirli bir konuya ilişkin olması
• Rızanın bilgilendirmeye dayanması
• Özgür iradeyle açıklanması
A) Belirli Bir Konuya İlişkin Olması
Veri işlemek üzere verilen açık rızanın geçerli olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Buna göre, ilgili kişinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rızası tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması gerekir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekecektir. Aynı durum, verilerin işlenme amaçlarının değişmesi halinde de geçerlidir. 4 Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü C) Özgür İradeyle Açıklanması
B) Bilgilendirmeye Dayanması
Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir. Bilgilendirme, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Bilgilendirmenin mutlaka verinin işlemesinden önce yapılması gerekir. İşlenecek verinin niteliği, aynı zamanda bilgilendirme düzeyini belirleyecektir. İlgili kişinin bilgilendirilmesi aynı zamanda kişinin kendi geleceğini belirleme hakkının bir yansımasını oluşturmaktadır. Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.
C) Özgür iradeyle açıklanması
Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda özgür bir irade açıklamasından bahsedilemez.
Ancak, buradaki her sebep kendi içerisinde değerlendirilmeli, rızayı etkileme derecesi belirlenmelidir. Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.
Öte yandan, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.
ÖRNEK AÇIK RIZA METNİ
TEDARİKÇİ AÇIK RIZA BEYAN METNİ
6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ek mevzuatı doğrultusunda kişisel verilerimin işlenmesine ve aktarılmasına ilişkin olarak ………………………. A.Ş. (“……………………”) tarafından gerekli bilgilendirme tarafıma yapılmış, açık rızamı istediğim zaman geri alabileceğim konusunda bilgilendirme yapılmıştır.
Kişisel verilerimin işlenmesine ilişkin olarak;
Faturalandırma işleminin yapılması, tahsilat – tediye süreçleri kapsamında Adı Soyadı, Adresi, T.C. Kimlik Numarası, telefon numarası, E-Posta, IBAN, Hesap Numarası bilgilerimin işlenmesine,
açık rıza göstermekteyim. Söz konusu kişisel verilerin işlenmesine ve işlenme amacına yönelik açık rızamı, yukarıda kutucuklara paraf atarak ortaya koymaktayım. Açık rızam olmayan faaliyetlerin kutucuklarını boş bıraktığımı beyan ederim.
(İşbu form 2 nüsha olarak düzenlenmiş olup, bir nüshası işverene, diğer nüshası tedarikçi yetkilisine/çalışanına/temsilcisine teslim edilmiştir.)
Çalışanın Adı Soyadı:
Tarih:
İmza:
AYDINLATMA YÜKÜMLÜLÜĞÜ YERİNE GETİRİLİRKEN UYULMASI GEREKEN USUL ve ESASLAR
Kanuna göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Aydınlatma yükümlülüğüne ilişkin hükümlerin yer aldığı Kanunun 10. maddesine göre ilgili kişilere aydınlatma yükümlülüğü yerine getirilirken veri sorumlusu veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki şartları içermesi gerekmektedir:
1. Veri sorumlusunun ve varsa temsilcisinin kimliği
Veri sorumlusu ve varsa temsilcisi, aydınlatma sırasında kimliğini ortaya koyan bilgileri ve kendisiyle farklı yöntemlerle kolaylıkla iletişime geçilebilecek iletişim bilgilerini açıklamalıdır. Örneğin; veri sorumlusu tüzel kişi ise tüzel kişinin unvanı, gerçek kişi ise gerçek kişinin adı soyadı, yurtdışında yerleşik veri sorumlusu ise, atadığı veri sorumlusu temsilcisinin adı / unvanı gibi kimlik bilgileri ile telefon numarası, e-posta adresi, internet adresi veya posta adresi gibi iletişim bilgileri belirtilmelidir.
2. Kişisel verilerin hangi amaçla işleneceği
Tebliğin 5. maddesi birinci fıkrasına göre; aydınlatma yükümlülüğü yerine getirilirken işleme amacının belirli, açık ve meşru olması gerekir. Ayrıca bilgilendirmede; genel nitelikte, muğlak ve gündeme gelmesi muhtemel başka amaçlar için işlenebileceği kanaatini uyandıran ifadelerden kaçınılmalıdır. Örneğin bir çalışana ait kişisel verilerin bir şirketin insan kaynakları sürecinin planlanması için işleneceği ya da bir sempozyum katılımcısının kişisel verilerinin katılımcıya geri dönüş yapılabilmesi gibi amaçlarla işlenebileceği açıkça belirtilmelidir. “Kişisel verilerinizi yeni hizmetler geliştirmek için kullanabiliriz” ya da “Kişisel verilerinizi araştırma amaçlı olarak kullanabiliriz” şeklinde muğlak ifadelerden kaçınılmalıdır.
3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
Tebliğin 5. maddesine göre, veri sorumlusunca aydınlatma yükümlülüğü yerine getirilirken kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları da açıkça belirtilmelidir. Kişisel verilerin yurt içinde ve yurt dışına aktarımı hususları Kanunun 8 ve 9. maddelerinde düzenlenmiştir. Buna göre veri sorumluları, işlemekte oldukları kişisel verilerin yurtiçinde ve yurtdışına aktarımı durumunda bu hükümlere uygun hareket etmek zorundadır. Söz konusu alıcı gruplarına iş ortağı, tedarikçi, iştirakler, hissedarlar, kanunen yetkili kamu kurum ve kuruluşları, kanunen yetkili özel hukuk kişileri, topluluk şirketleri vb. örnek olarak verilebilir.
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi
Tebliğin 5. maddesine göre; Kanunun 5 ve 6. maddelerinde sayılan kişisel veri işleme şartlarından hangisine dayanılarak kişisel verinin işlendiğinin açıkça belirtilmesi gerekir. Yine bu maddeye göre; kişisel verilerin tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiğinin açık bir şekilde belirtilmesi de gerekmektedir. Örneğin, “bu kişisel veriler, kanunlarda açıkça öngörülmesi hukuki sebebine dayanarak, elektronik ortamda başvuru formu doldurulması suretiyle işlenmektedir.” şeklinde bilgilendirmede bulunulabilir.
Veri toplama yöntemlerine örnek olarak; bir form doldurulması, telefon görüşmesi, web sitesi, veri entegrasyonu yoluyla ya da kamera çekimi vasıtasıyla kişisel veri elde edilmesi verilebilir. Veri sorumlusu, veri toplama yöntemi ve aracına kendisi karar verecektir.
5. İlgili kişinin, Kanunun 11. maddesinde sayılan diğer hakları
Veri sorumlusu ve varsa temsilcisi ilgili kişiye aydınlatmada bulunurken Kanunun 11. maddesinde sayılan haklara da sahip olduğunu belirtmelidir. Bu bilgi, bir formda sayma suretiyle verilebileceği gibi yine aynı formda söz konusu Kanun maddesine atıfta bulunarak da verilebilir.
Buna göre, herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenebilir, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilir, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilir, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı kişileri öğrenebilir, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilir. Ayrıca Kanunun 7. maddesi çerçevesinde kişisel verilerinin silinmesi ya da yok edilmesini isteyebilir, eksik veya yanlış işleme düzeltilmişse ya da silme, yok etme veya anonim hale getirme işlemleri yapılmışsa bu durumun, verinin aktarıldığı üçüncü kişilere bildirilmesini isteyebilir ya da kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararının giderilmesini isteyebilir.
TEBLİĞ : https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm
ÖRNEK AYDINLATMA METNİ
……………………………. A.Ş.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA TEDARİKÇİ HİSSEDARLARI VE PERSONELİNE İLİŞKİN AYDINLATMA METNİ
………………….. A.Ş. (“…………..”), yürütmekte olduğu faaliyetler nedeniyle kişisel verilerinizin işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olarak her türlü teknik ve hukuki tedbiri almaktadır.
Kişisel verileriniz, …………………. tarafından veri sorumlusu sıfatı ile;
• Hukuka ve dürüstlük kuralına uygun olarak,
• Tedarikçi çalışanlarımızla aramızda doğan iş akdi çerçevesinde,
• Bize bildirdiğiniz veya bildirildiği haliyle güncelliğini ve doğruluğunu koruyarak,
• İşlenme amacına uygun, sınırlı ve ölçülü şekilde,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek üzere, işlenmektedir.
İlgili kişiler, işlenen kişisel verileri, kişisel verilerinin işlenme amaçları, üçüncü kişilere aktarılması, kişisel veri toplamanın hukuki sebepleri ile KVKK’ da yer alan hakları konularında detaylı bilgiye aşağıdaki aydınlatma metninden ulaşabilirler.
A.Hukuki Sebep
……………………..’ün veri işleme esnasında dayandığı hukuki sebepler şunlardır:
• Açık rızanın varlığı (“m.5/1”).
• Kanunlarda açıkça öngörülmesi (“m.5/2-a”).
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (“m.5/2-c”).
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (“m.5/2-ç”).
• İlgili kişinin kendisi tarafından alenileştirilmiş olması (“m.5/2-d”).
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (“m.5/2-e”).
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (“m.5/2-f”).
B.İşlenen Kişisel Veriler
Veri İşleme Amacı İşlenen Kişisel Veriler Veri İşleme Şartları Veri Toplama Yöntemleri Evrak Kayıtlarının Yapılması ve İlgili Birime Ulaştırılması Ad, Soyad, Tckn, İmza. m.5/2-c, m.5/2-ç (Otomatik olmayan yollarla). Faturalandırma Faaliyetinin Yapılması ve Likit Varlık Süreçlerinin Yürütülmesi, (Tahsilat – Tediye) Adı Soyadı, Adresi, T.C Kimlik Nu., IBAN, Telefon, E-Posta, IBAN, Hesap No m.5/2-c, m.5/2-ç m.5/2-e, m.5/2-f Tedarikçi Hissedarları, Yetkilileri, Çalışanlarından Fiziki Evrak İle.
C. Kişisel Verilerin Yurtiçindeki Üçüncü Kişilere Aktarılması
Veri Aktarma Amacı Aktarılan Alıcı Grupları Yasal Yükümlülüklerin Yerine Getirilmesi Amacıyla Mahkemeler, Kolluk Kuvvetleri, Vergi Dairesi, YMM, Emniyet Müdürlüğü, Avukat Ödeme ve Tahsilat Süreçlerinin Yürütülmesi Banka, Vergi Dairesi, YMM, Bağımsız Denetçiler, Avukatlar D. İlgili Kişinin Hakları
İlgili kişiler, …………………….’ün aşağıda belirtilen adresine noter aracılığıyla gönderecekleri ihtarname, kimliğini ispatlayıcı belge ile e-posta veya kimlik ibrazında bulunarak şahsen başvuru yöntemiyle; • Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel veri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Tarafımıza iletilen başvurular, talebin niteliğine göre talebin ……………………..’e ulaştığı tarihten itibaren en geç 30 (otuz) gün içerisinde yanıtlandırılmaktadır. Değerlendirme ve karar verme işleminin ayrıca bir maliyeti gerektirmesi durumunda Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret esas alınacaktır. Bilgilerinize sunarız.
Veri Sorumlusunun Kimliği
İnternet Adresi :
Telefon Numarası :
Adres :
HES KODU/TERMAL KAMERA KİŞİSEL VERİ İŞLEME İLE İLGİLİ ÖRNEK AYDINLATMA METNİ
COVID-19 SALGINIYLA MÜCADELE KAPSAMINDA DOĞALGAZ BORCU ÖDEME / ZİYARET AŞAMALARINDA HES KODU VE TERMAL KAMERA BİLGİLERİNİN İŞLENMESİ HAKKINDA AYDINLATMA METNİ
Bu aydınlatma metni 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında veri sorumlusu sıfatıyla [VERİ SORUMLUSU] tarafından Covid-19 salgınıyla mücadele kapsamında doğalgaz ile ilgili işlemleri gerçekleştirmek ve ziyaretçi olarak binaya girmek için kişisel verilerin işlenmesine ilişkin açıklamalarda bulunmak ve bilgilendirmek için hazırlanmıştır.
T.C. Sağlık Bakanlığı’nın talimatı uyarınca, Covid-19 salgınıyla mücadele kapsamında, Türk vatandaşlığına sahip müşterilerimizin binaya girişlerinin kabul edilebilmesi için Türkiye Cumhuriyeti Sağlık Bakanlığından HES kodu almaları ve bu kodun kurum güvenlik personeliyle birlikte durumu sorgulanarak binaya girişi esnasında Şirketimize bildirilmesi gerekmektedir.
Şirketimize bildireceğiniz HES kodunuz ve alınan termal kamera bilgileriniz, sadece binaya giriş esnasında sağlık bilginizin teyidi için kullanılacak olup hiçbir şekilde sistemlerimize kaydedilmeyecek ve depolanmayacaktır. Şirkete bildireceğiniz HES kodunuz yukarıda yer alan mevzuat uyarınca o anda Türkiye Cumhuriyeti Sağlık Bakanlığı’nca hazırlanan uygulama üzerinden gönderilecek olup, Türkiye Cumhuriyeti Sağlık Bakanlığı bildirdiğiniz HES kodu üzerinden giriş için uygun olup olmadığınızı Şirketimize bildirecektir. HES kodunuzun giriş için uygunluk arz etmemesi halinde, can güvenliğini sağlamak adına binaya girişinize izin verilmeyecektir. HES kodunuzun TC Sağlık Bakanlığı’na ait sisteme girilmemesi, HES kodunuzun yanlış olması, HES kodunun geçerliliğinin bulunmaması ve/veya kodun geçerlilik süresinin bitmiş olması, kodun yenilenmesi gerekmesi ve kod ile ilgili herhangi başka bir işleme ihtiyaç duyulması durumunda da işlemi tekrarlamanız ve sonuç alana kadar paylaşmanız istenebilecektir.
Kurum güvenlik personeline uygulama üzerinden sorgulama yapmak için HES kodunuzu bildirmeniz gerekmektedir. Bildireceğiniz HES kodu Türkiye Cumhuriyeti Sağlık Bakanlığı veri tabanına gönderilecek olup, Bakanlık tarafından verilecek uygulama cevabına göre kabul işlemleri gerçekleştirilecektir.
İşbu aydınlatma metni kapsamında T.C. Sağlık Bakanlığı’na aktarılacak olan HES kodunuz olacaktır. Sağlık Bakanlığı tarafından sistemimize gönderilecek olan veri ise Covid-19 salgını ile mücadele kapsamında HES kodunuzun giriş için sizin uygunluk arz edip etmediğine ilişkin bilgi olacaktır.
Yukarıda belirtilen kişisel verileriniz, Covid-19 salgınıyla mücadele kapsamında yetkili kamu kurum ve kuruluşlarının talimatlarına ve mevzuata uyarak, kamu düzeni ve güvenliğini tesis etmek, salgının yayılmasını önlemek, yolcularımızın sağlıklarını koruyabilmek amaçlarıyla sınırlı olarak işlenmektedir.
İşbu metinde belirtilen kişisel verileriniz KVKK 5/2 (ç) ve GDPR 6/1 (c) maddesinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hukuki sebebine dayalı olarak işlenmekte ve aktarılmaktadır.
Bahse konu kişisel verileriniz, yukarıda zikredilen amaçlar için o an kullanılacak ve depolanmadığı için herhangi bir silme işlemi gerçekleştirilmeyecektir.
Kişisel Verilerin Korunması Kanunu’nun “ilgili kişinin haklarını düzenleyen” 11. maddesi kapsamında yukarıda yer alan taleplerinizi “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ”ine göre aşağıdaki belirtilen iletişim adresine yazılı olarak ileterek başvuruda bulunabilirsiniz.
İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla;
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel veri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Tarafımıza iletilen başvurular, talebin niteliğine göre talebin şirketimizin aşağıdaki adresine ulaştığı tarihten itibaren en geç 30 (otuz) gün içerisinde yanıtlandırılmaktadır. Değerlendirme ve karar verme işleminin ayrıca bir maliyeti gerektirmesi durumunda Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret esas alınacaktır. Bilgilerinize sunarız.
Veri Sorumlusunun Kimliği : Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi
İnternet Adresi : https://www.tasarrufcard.com
Telefon Numarası : 444 0 186
Adres : Tokatköy Mah. Mezbaha Sok. No:5 Beykoz/İSTANBUL
Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi
BİNA GİRİŞLERİ ve BİNA İÇERİSİNDE KAPALI DEVRE KAMERA KAYIT SİSTEMLERİ AYDINLATMA METNİ
Değerli Müşterimiz; Fiziksel Güvenlik Yönetimi faaliyetleri sırasında elde edilen kişisel verilerinizin 6698 sayılı Kişisel Verilerin Korunması Kanununun 10.maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında toplanması, işlenmesi, aktarılması ve bunlara ilişkin yasal haklarınız hususunda bilgilendirmeniz amacıyla veri sorumlusu sıfatıyla Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi (“Şirket”) sizlere işbu aydınlatma metnini sunmaktadır.
Şirket lokasyonlarında kullanılan kapalı devre kayıt sistemleri vasıtasıyla toplanan kişisel verilerinin işlenmesine ilişkin usul ve esaslara ilişkin olarak veri sahiplerinin aydınlatılması amaçlanmaktadır.
Kişisel Verilerin İşlenme Amacı
Toplanan kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, Şirket ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temin edilmesi ve Şirket’e ait lokasyonların güvenliğinin sağlanması amaçları dahilinde işlenmektedir.
Kişisel Verilerinizin Elde Edilme ve Saklama Yöntemleri:
Kişisel verileriniz tamamen otomatik olarak kameralar ile görüntü ve ses olarak elde edilmekte ve dijital olarak sunucu disk ortamında kanunlara göre belirlenmiş ve amacını aşmayacak süre kadar saklanmaktadır. KVKK’nın 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Kişisel Verilerin Aktarılabileceği Taraflar ve Aktarım Amacı
Toplanan kişisel veriler, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, Şirket ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temin edilmesi ve Şirket’e ait lokasyonların güvenliğinin sağlanması amaçları dahilinde, hukuken yetkili kurum ve kuruluşlar ile paylaşılabilecektir.
Kişisel Veri Toplamanın Hukuki Sebebi
Kişisel veriler, lokasyonlarda yer alan kapalı devre kamera sistemleri vasıtasıyla Kanun’un 5. Maddesinde belirtilen meşru menfaat hukuki sebebine dayalı şekilde toplanılmaktadır.
İlgili Kişi Hakları
İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla;
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel veri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Yukarıda sıralanan haklarınıza yönelik başvurularınızı, https://www.tasarruf.com.tr internet adresinde yer alan Kişisel Veri Sahipleri Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Formu kullanarak, tasarrufcard@hs03.kep.tr kayıtlı elektronik posta adresine, bilgi@tasarrufcard.com e-posta adresine veya dilekçe yoluyla Tokatköy Mah. Mezbaha Sok. No:5 Beykoz/İSTANBUL adresine yazılı olarak iletebilirsiniz.
Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi , talebin niteliğine göre talebiniz ulaşmasından sonra en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, tarafımızca Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınacaktır.
Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi iletişim bilgileri:
Veri sorumlusu: Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi
Telefon numarası:
KEP (Kayıtlı Elektronik Posta) adresi: tasarruf@hs03.kep.tr
İnternet adresi: https://www.tasarruf.com
İletişim adresi: Tokatköy Mah. Mezbaha Sok. No:5 Beykoz/İSTANBUL
ÇEREZ POLİTİKASI
TASARRUF KART ÇEREZ POLİTİKASI
Bu Çerez (Cookie) Politikası şirketimiz tarafından veya şirketimiz adına yürütülen internet siteleri veya üçüncü parti internet siteleri (Google gibi) ile bu internet siteleri üzerinden erişilen ve kullanılan uygulamalar için geçerlidir.
Çerezler, web-sitelerinin, kullanıcıların deneyimlerini daha verimli hale getirmek amacıyla kullandığı küçük metin dosyalarıdır. Bir internet sitesini ziyaret ettiğinizde bilgisayarınızda (veya akıllı telefonlar ve tabletler gibi internet özellikli diğer cihazlarda) depolanabilecek dosyalar veya bilgi parçacıklarıdır. Bir çerez genellikle; alındığı internet sitesinin adını, çerezin süresini (cihazınızda ne kadar süre saklanacağı) ve genellikle rastgele şekilde oluşturulan kendine özgü bir sayı değeri içerir. Yasalara göre, bu sitenin işletilmesi için kesinlikle gerekli olan çerezleri cihazınıza yerleştirebiliyoruz.
Diğer çerez türleri için ise sizin tercihlerinize göre hareket ediyoruz. Bu sitede farklı çerez türleri kullanılabilmektedir. Bazı çerezler, sayfalarımızda yer alan üçüncü şahıs hizmetler tarafından yerleştirilir.
Ziyaretçilerin/Üyelerin/Kullanıcıların İnternet Sitesinden/Mobil Uygulamalardan en verimli şekilde faydalanabilmesi ve kullanıcı deneyiminin geliştirilmesi için bu internet sitesinde Çerezler kullanılmaktadır.
Sitemizi kullanarak, çerezlerin bu Çerez Politikasına uygun şekilde kullanılmasına onay vermiş oluyorsunuz. Çerez kullanılmasını tercih etmezseniz tarayıcınızın ayarlarından Çerezleri silebilir ya da engelleyebilirsiniz. Ancak bu durum internet sitesi/mobil uygulama kullanımınızı etkileyebileceğini hatırlatmak isteriz.
Çerez Türleri:
Gerekli çerezler, sayfada gezinme ve internet sitesinin güvenli alanlarına erişim gibi temel işlevleri sağlayarak internet sitesinin daha kullanışlı hale getirilmesine yardımcı olur. İnternet sitesi bu çerezler olmadan doğru bir şekilde işlev gösteremez.
Tercih çerezleri, internet sitesinin, tercih ettiğiniz dil veya bulunduğunuz bölge gibi internet sitesinin muamele ve görüntüsünü değiştiren bilgileri hatırlamasını sağlar.
İstatistik çerezler, İnternet sitesi sahiplerinin, isimsiz olarak bilgi toplayıp raporlama yaparak ziyaretçilerin web-siteleriyle nasıl etkileşim halinde olduklarını anlamalarına yardımcı olur.
Pazarlama çerezleri web-sitelerindeki ziyaretçileri izlemek amacıyla kullanılır. Amaç, bireysel kullanıcıya yönelik onun ilgisini çeken reklamlar göstermek olup yayıncı ve üçüncü taraf reklamcılara değer sağlamaktır.
Çerezleri ne amaçla kullanırız?
Çerezleri sitemizin kullanımını kolaylaştırmak, site ve ürünlerimizi ilgi ve ihtiyaçlarınız doğrultusunda daha iyi bir şekilde özelleştirmek amacıyla kullanıyoruz. Çerezler daha sonra sitemiz üzerinde gerçekleştireceğiniz işlemleri ve deneyimlerinizi hızlandırmak amacıyla da kullanılabilir. Bu bilgiler sizin kimliğinizi tanımlamamızı sağlayacak bilgiler değildir.
Sitemizde “oturum çerezleri” ve “kalıcı çerezler” olmak üzere iki türlü çerez kullanılabilir. “Oturum çerezleri” sitemizden ayrılana kadar cihazınızda tutulan geçici çerezlerdir. Kalıcı bir çerez ise, siz cihazınızdan silene kadar daha uzun süreli saklanmaktadır. Bu sürenin ne kadar olacağı o çereze ait süreye, ömre ve tarayıcınız ayarlarına bağlı olarak değişecektir.
Ziyaret ettiğiniz bazı sayfalar tanıtım faaliyetlerimizi ve internet sitesi geliştirmelerimizi desteklemekte olan üçüncü partilerle paylaşılabilecek bilgiler alabilir. Örneğin sitemize gelen ziyaretçilere dair internet sitesi kullanım bilgileri arama sonuçlarının iyileştirilmesi veya belli hizmetlerin yerine getirilebilmesi için üçüncü partilerle paylaşılabilir. Ancak bu bilgiler sizin kimliğinizi tanımlayamazlar.
Sitemizde Kullanılan Çerezler:
Sitemizde aşağıdaki çerezler yer almaktadır.
Çerez Adı Domain (Etki Alanı) Tipi TS01777262 .www.tasarrufcard.com Oturum
tasarrufcard www.tasarrufcard.com Oturum
ASPSESSIONIDCSSBRSRR www.tasarrufcard.com Oturum
ASPSESSIONIDAQSDTTRQ merchant.tasarrufcard.com Oturum
Çerez ayarlarımı nasıl değiştiririm?
Web sitemiz için çerez kullanımını ve kabulünüzü dilediğiniz zaman değiştirebilir veya geri çekebilirsiniz.
Ziyaretçilerin/Üyelerin/Kullanıcıların tarayıcı ayarlarını değiştirerek çerezlere ilişkin tercihlerini kişiselleştirme imkanına sahiptir. Eğer kullanılan tarayıcı bu imkânı sunmaktaysa, tarayıcı ayarları üzerinden çerezlere ilişkin tercihleri değiştirmek mümkündür. Böylelikle tarayıcının sunmuş olduğu imkanlara göre farklılık gösterebilmekle birlikte, veri sahiplerinin çerezlerin kullanılmasını engelleme, çerez kullanılmadan önce uyarı almayı tercih etme veya sadece bazı çerezleri devre bırakma ya da silme imkanları bulunmaktadır.
Çerezlere ilişkin tercihlerin, kullanıcının internet sitesine erişim sağladığı her bir cihaz özelinde ayrı ayrı yapılması gerekmektedir.
Tüm web sitelerinde Google Analytics tarafından izlenmekten vazgeçmek için http://tools.google.com/dlpage/gaoptout adresini ziyaret edebilirsiniz. Kim olduğumuz, bizimle nasıl iletişime geçebileceğiniz ve kişisel verilerinizi nasıl kullandığımız hakkında daha fazla bilgiyi Bilgi Güvenliği Politikamızdan öğrenebilirsiniz.
İzniniz tasarrufcard.com ve alt etki alanları için geçerlidir.
VERİ SAKLAMA VE İMHA PROSEDÜRÜ
Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Doküman Bilgileri
Doküman Adı Kişisel Veri Saklama ve İmha Politikası
Doküman No:
Doküman İçeriği: Bu dokümanda Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi tarafından işlenen kişisel verilere ilişkin süreçler ve bu verilerin saklanması, korunma ve imhası yöntemlerini açıklanmaktadır.
Referans: 6698 sayılı Kişisel Verilerin Korunması Kanunu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi
Hazırlayan:
Onaylayan:
1. GİRİŞ br> 1.1. Amaç
Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi
(“TasarrufCard”); kişisel verilerin işlenmesi sürecini Türkiye Cumhuriyeti Anayasası, Uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işletmekte olup, kişisel verilerin işlenmesi esnasında alması gereken tüm idari ve teknik tedbirleri almakta ve ilgili kişilerin kişisel verilerine yönelik sahip oldukları haklarını etkin bir şekilde kullanmalarını sağlamaktadır.
Bu süreç kişisel verilerin gerekli olduğu saklama süresinden daha uzun saklanmamasını ve işlenmemesini de kapsamakta olup, Şirketimiz ilgisiz, yanlış, güncel olmayan ve gereksiz kişisel verileri işlememek için her türlü özeni göstermekte, yanlızca iş süreçleri için zorunlu kişisel verileri KVKK ve ilgili mevzuata uygun olarak, en iyi uygulama örneklerini referans almak suretiyle işlemektedir.
Bunun yanında KVKK ve ilgili mevzuat bize verisi işlenen kişileri, işlediğimiz kişisel verilerini ne kadar süre ile sakladığımız ve nasıl imha ettiğimiz konusunda bilgilendirme yükümlülüğü de yüklemektedir. Bu yükümlülüğü yerine getirmek, kişisel verilerin saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla işbu politika hazırlanmış olup, kişisel verilerin saklanması ve imhasına ilişkin süreçler, işbu politikada belirlenen esaslara uygun gerçekleştirilmektedir.
1.2. Kapsam
Verisi işlenen kişilere ait veriler bu politika kapsamında yer almakta olup, TasarrufCard tarafından gerçekleştirilen kişisel veri işleme faaliyetleri ile verilerin bulunduğu kayıt ortamları için bu Politika uygulanır.
Bu politika Şirketimiz tarafından işlenen kişisel veriler ve bu veriler ile ilişkili olan kağıt, elektronik ortam, manyetik disk, bulut ortamı , e-posta ortamı gibi ortamların saklama ve imha süreçlerini kapsamaktadır.
1.3. Kısaltmalar ve Tanımlar
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişiler
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan TsaarrufCard çalışanı
Degaussing yöntemi İstenmeyen bir manyetik alanı nötr hale getirme (azaltma ya da yok etme) süreci.
DoD 5220.22-M Veri Silme yöntemi Bir sabit disk veya diğer depolama aygıtı üzerinde mevcut bilgilerin üzerine çeşitli dosya parçalama ve üzerine yazma işlemleri yapılarak silinmesi ile yazılım tabanlı dosya kurtama yöntemlerinin bilgiyi geri getirmesini ve donanım tabanlı kurtarma yöntemlerinin bir çoğunu engellemeye yarayan silme yöntemi
Doğrudan tanımlayıcılar Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar
Dolaylı tanımlayıcılar Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar
Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Gutmann metodu Bilgisayar diskinde yer alan verilerin silinmesi ve geri getirilmesinin engellenmesi için silinen bölgeye 35 kez rastgele veriler yazılması metodu
İlgili Kişi Kişisel verisi işlenen gerçek kişi
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere TasarrufCard organizasyonu içerisinde veya TasarrufCar’dan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun/KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu
Karartma Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri TasarrufCard’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırılan envanter
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul Kişisel Verileri Koruma Kurulu
Maskeleme Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Şirket/Şirketimiz Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi (“TasarrufCard”)
TBK 6098 sayılı Türk Borçlar Kanunu
TTK 6102 sayılı Türk Ticaret Kanunu
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu TasarrufCard Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi ) Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen bilişim sistemi
Verisi işlenen kişiler TasarrufCard tarafından kişisel verileri işlenen veri sahipleri
Yönetmelik 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
2. GÖREV DAĞILIMLARI VE SORUMLULUKLAR
TasarrufCard bünyesindeki tüm birimler ve çalışanlar, Politika kapsamında alınan teknik ve idari tedbirleri uygulanması konusunda destek vermekte olup, Kişisel verilerin saklama ve imha süreçlerinde görev alanların ünvanları, birimleri ve görev tanımları aşağıdaki tabloda yer almaktadır.
UNVAN BİRİM GÖREV TANIMI Çalışanların politikaya uygun hareket etmesinden sorumludur.
Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. Bilgi Teknolojileri, Finans, İnsan Kaynakları, Muhasebe Diğer Birimler Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.
Çalışanların Şirket saklama ve imha politikasından kaynaklanan gereksinimleri ve bu gereksinimlerden kaynaklanan sorumluluklarının anlamaları için gerekli eğitim süreçlerinin düzenlenmesinden sorumludur.
İmha edilecek verilerin politikaya uygun olarak saklanmasından ve imha edilmesinden sorumludur.
3. KİŞİSEL VERİLERİN KAYIT ORTAMLARI
TasarrufCard tarafından işlenen kişisel veriler elektronik ve elektronik olmayan ortamlarda güvenli şekilde saklanmaktadır. Veri türlerine göre saklama ortamları aşağıda yer almaktadır.
Elektronik saklama ortamları:
e-posta sunucusu, Fiziki saklama ortamları, HDD, Kişisel bilgisayar (Masaüstü, dizüstü), Veritabanı
Fiziki saklama ortamları:
Kişisel verilerin TasarrufCard tarafından kağıt, manuel veri kayıt sistemleri (formlar, ziyaretçi kayıt defteri vb.) üzerine yazılı basılı olarak saklandığı ortamlardır.
4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI SÜREÇLERİ
4.1. Amaçlar
Şirketimiz işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır.
• Acil Durum Yönetimi Süreçlerinin Yürütülmesi, Bilgi Güvenliği Süreçlerinin Yürütülmesi,
• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi,
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi,
• Çalışanlar İçin Giriş-Çıkış Kayıtlarının Tutulması,
• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
• Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,
• Çalışanların Maaş İşlemleri Süreçlerinin Yürütülmesi,
• Eğitim Faaliyetlerinin Yürütülmesi,
• Erişim Yetkilerinin Yürütülmesi,
• Faaliyetlerin Mevzuata Uygun Yürütülmesi,
• Fiziksel Mekan Güvenliğinin Temini,
• Görevlendirme Süreçlerinin Yürütülmesi,
• İnsan Kaynakları Süreçlerinin Planlanması,
• İş Faaliyetlerinin Yürütülmesi / Denetimi,
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi,
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi,
• Risk Yönetimi Süreçlerinin Yürütülmesi,
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
• Yetkili Kişi/ Kurum Ve Kuruluşlara Bilgi Verilmesi
4.2. Hukuki Sebepler Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Şirketimiz, verisi işlenen kişilere ait kişisel verileri ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklar ve sürenin sona ermesi ile imha eder.
TasarrufCard tarafından işlenen kişisel veriler;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 sayılı İş Kanunu,
• 213 sayılı Vergi Usul Kanunu,
• 6102 sayılı Türk Ticaret Kanunu
• Yukarıda yer alan kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Arşiv Hizmetleri Hakkında Yönetmelik
• İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
TasarrufCard ’nın yaptığı iş ve sunduğu hizmete ilişkin olarak tabi olduğu ilgili mevzuatlar, TasarrufCard tarafından işlenen kişisel verilerin belirli bir süre boyunca saklanmasını açıkça öngörmüş ise, işlenen kişisel veriler, ilgili mevzuatta öngörülen azami süre boyunca saklanmakta, bu süre sona erdiğinde ise imha edilmektedir.
KVKK ve diğer ilgili mevzuatlarda kişisel verilerin muhafazasına ilişkin açıkça bir hüküm öngörülmemiş ise TasarrufCard , KVKK ve tabi olduğu ilgili mevzuatta düzenlenmiş hukuki ve kanuni gerekçelere dayanarak kendi bünyesinde almış olduğu kararlar ile belirlediği idari işleme amaçları doğrultusunda, işlemiş olduğu kişisel verilerin saklanması ve imhasına ilişin kararlaştırdığı idari süre boyunca kişisel verileri saklamakta ve sonrasında imha etmektedir.
4.3. 4.3 İmha Yapılmasını Gerektiren Hukuki Sebepler
İşlenmekte olan kişisel veriler aşağıdaki durumlarda TasarrufCard tarafından resen veya veri sahibinin talebi üzerine verinin niteliğine uygun olarak silinir, yok edilir veya anonim hale getirilir.
• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanunun 5. ve 6. maddelerinde düzenlenen kişisel verileri işleme şartlarının ortadan kalkması,
• Kişisel veri işlemenin sadece açık rızaya dayanması hukuki sebebi ile gerçekleştirilmesi halinde, ilgili kişinin açık rızasını geri alması,
• İlgili kişinin, kanunun ilgili kişinin haklarını düzenleyen 11. maddesinin (e) ve (f) bendindeki hakları uyarınca kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yapmış olduğu başvurunun TasarrufCard tarafından kabul edilmesi,
• TasarrufCard’nın ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapmış olduğu başvuruyu reddetmesi, başvuruyu kanunda öngörülen süre boyunca cevapsız bırakması veya TasarrufCard’nın vermiş olduğu cevabın yetersiz bulunması hallerinde; Kurula şikayette bulunulması ve yapılan şikayet talebinin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
5. KİŞİSEL VERİLERİN SAKLANMASINA, HUKUKA AYKIRI İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİNE İLİŞKİN ALINAN TEKNİK VE İDARİ TEDBİRLER
TasarrufCard tarafından işlenen kişisel verilerin ilgili mevzuata aykırı olarak işlenmesini, erişimini, açıklanmasını engellemek ve hukuka uygun imha edilmesini sağlamak için gerekli idari ve teknik tedbirler alınmaktadır.
Bu kapsamda Şirketimiz bünyesinde gerekli idari ve teknik tedbirleri almak, uygulamak ve süreçlerin Kanuna uygun yürütülmesini sağlamak amacıyla bir birim oluşturulmuş ve kişisel verilerin korunması için aşağıdaki idari ve teknik tedbirler alınmıştır:
5.1. İdari Tedbirler
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
5.2. Teknik Tedbirler
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Kişisel verilerin imhası haricinde bu bilgilerin saklandığı bilgisayar vb. saklama ortamlarının veya çevre birimlerinin, kişisel verilere erişim için kullanılan yazılımların satışı, başka bir birime aktarılması veya kullanımdışı bırakılması Şirketimiz tarafından işlenen kişisel verilere yetkisiz erişime neden olabileceği göz önüne alınarak risk olarak değerlendirilmektedir.
6. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ
Bu politikanın “4.3 İmha Yapılmasını Gerektiren Hukuki Sebepler” bölümünde sayılan imhayı gerektiren herhangi bir durumda halinde, Kurul tarafından aksine bir karar alınmadıkça TasarrufCard imha edilecek verinin niteliğine göre aşağıda belirtilen yöntemlerden hangisinin kullanılarak imhanın gerçekleştireceğini belirler.
İmha talebinin ilgili kişi tarafından yapılması halinde Şirketimiz hangi imha yöntemini seçtiğini ve gerekçesini açıklar.
Kişisel veriler işbu politikaya uygun olarak güvenli ve kalıcı olarak silinir, imha edilir veya anonim hale getirilir.
6.1. Silme yöntemi
Silme işlemi gerçekleştirilirken silinecek kişisel veriler, erişim yetki ve kontrol matrisine göre bu kişisel verilere hangi kullanıcıların eriştiği, ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri tespit edildikten sonra verilerin saklandığı kayıt ortamına göre farklı silme yöntemleri kullanılmaktadır.
Silme işlemi yapılırken verilerin tekrar geri getirilmesini engelleyecek güvenli silme araçları kullanılmakta olup, silme işlemi için yanlızca yer işaretini kaldıran standart silme işleminin kullanımından kaçınılır.
Kişisel veri içeren elektronik ortamlar kullanımdan kaldırılmadan veya yeniden kullanıma sunulmadan önce güvenli olarak silinirler. Bu işlemler yapılırken mümkün olduğunca DoD 5220 22-M standartını sağlayacak şekilde veya saklama ortamının tümü en az AES-256 şifreleme tekniği ile şifrelenerek ve şifreleme anahtarı geri alanımaz şekilde silinerek işlem gerçekleştirilir.
Silinecek verilerin bulunduğu ortama göre aşağıdaki yöntemlerden uygun olanlar kullanılır.
6.1.1. Sunucular Üzerinde Yer Alan Kişisel Veriler: • Sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılır.
6.1.2. Veritabanı Üzerinde Yer Alan Kişisel Veriler:
• Veritabanında yer alan bir tablodaki kayıtların tamamının silinmesi gerekiyorsa ve tablonun silinmesi veri bütünlüğünü bozmayacak ise öncelikle tabloda yer alan veriler silinir (delete * from table_name), daha sonra ise tablo veritabanından tamamen silinir. (drop table table_name)
• Veri azaltma aşamasında işlenen verilerden herhangi birinin işlenmesinden vazgeçilirse ve bu verinin bulunduğu kolonun silinmesi veri bütünlüğünü bozmayacak ise bu verinin tutulduğu kolon silinir (Alter table table_name drop column column_name)
• Veritabanında yer alan tablodaki kayıtların bir kısmının silinmesi gerekiyor ise yanlızca bu kayıtların bulunduğu satırlar silinir (delete * from table_name where x=y)
• Veritabanında yer alan herhangi bir kaydın silinmesi veri bütünlüğünü etkileyecek ise silme yerine anonimleştirme yöntemi tercih edilir.
• Veritabanına yapılan silme işlemlerinin geri alınmasını (Roolback) engellemek için yapılan tüm işlemler kalıcı olarak gerçekleştirilir. (Commit)
• Veritabanında yer alan bilgilerin silinmesi ve değiştirilmesinin mümkün olmadığı hallerde bu veriler veritabanı yönetici haricinde kimsenin erişemeyeceği şekilde saklanmaya devam edilir.
6.1.3. Merkezi sunucuda veya ortak dosya paylaşım alanında yer alan veriler:
• Yalnızca bu verilere erişen kişilerin erişim hakları sonlandırılacak ise, sistem yöneticisi tarafından bu kişilerin ilgili dizinlere erişim yetkileri sonlandırılır. Bu işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığından emin olunur.
• Paylaşım alanında yer alan veri tamemen silinecek ise, bu veriler yedekleri ile birlikte diskten geri getirilmeyecek şekilde silinir. Silme aşamasında mümkün olması halinde Gutmann methodu tercih edilir.
6.1.4. Kişisel bilgisayarlarda yer alan veriler:
• Bu veriler yedekleri ile birlikte diskten geri getirilmeyecek şekilde silinir. Silme aşamasında mümkün olması halinde Gutmann methodu tercih edilir.
6.1.5. Taşınabilir Medya üzerinde bulunan veriler:
• Mümkün olması halinde silme yöntemi yerine imha yöntemi tercih edilir.
• Taşınabilir medyanın imhasının mümkün olmaması veya yüksek maliyetli olması halinde medya üzerinde yer alan veriler geri getirilemeyecek şekilde silinir. Silme aşamasında mümkün olması halinde Gutmann methodu tercih edilir.
• Eğer verilerin saklanması gerekiyor ise sistem yönetici tarafından kriptografik yöntemlerle şifreleme yapılır ve erişim yetkisi yanlızca sistem yöneticisinde olacak şekilde şifreleme anahtarları güvenli ortamlarda muhafaza edilir.
6.1.6. Bulut sisteminde yer alan veriler:
• Bulut sisteminde yer alan veriler eğer veritabanı üzerinde saklanıyorsa veritabanı üzerinde yapılan silme işlemleri, eğer disk üzerinde yer alıyorsa Dosya paylaşım alanında yer alan verilere ilişkin yöntem kullanılarak silme işlemi gerçekleştirilir.
• Bulut hizmetinin sona ermesi halinde bulut sisteminde yer alan tüm veriler geri getirilemeyecek şekilde silindikten sonra kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyaları da yok edilir.
• Silme işlemi yapılırken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığından emin olunur.
6.1.7. Fiziki ortamda yer alan veriler:
• Mümkün olması halinde öncelikle imha yöntemi tercih edilir.
• İmha yönetminin mümkün olmadığı durumlarda karartma yöntemi kullanılarak veriler silinir. Bu işlem ilgili evrak üzerinde yer alan kişisel verilerin kesilmesi, çizilmesi, boyanması veya silinmesi suretiyle geri döndürülmeyecek ve teknolojik çözümlerle dahi okunamayacak şekilde yapılır.
6.1.8. Yedekler (Backup) üzerinde yer alan veriler:
• Teknik olarak mümkün olması halinde veri sahiplerinin talepleri üzerine kullanım amacı sona ermiş ve saklama süresi geçmiş olan veriler yedek sistemden silinir. Ancak bunun mümkün olmaması veya çok maliyetli olması halinde başvuru yapan ilgili kişiye verilerinin kullanılan sistemlerden (operasyonel) silindiği, ancak yedek (backup) dosyalarından silinemediği, bu dosyalara yanlızca acil durumlarda sistem yönetici tarafından erişilebildiği açık ve anlaşılır şekilde açıklanır.
• Operasyonel sistemden silinen ancak herhangi bir nedenle yedekten geri dönülmesi nedeniyle yeniden operasyonel sisteme yüklenen kişisel verilerin silinmesi için, silinen verilere ilişkin bir kayıt dizini oluşturulur ve yedekten geri yükleme işleme yapıldığında bu dizinde yer alan kayıtlar derhal silinir.
6.2. Yok etme yöntemi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. TasarrufCard , veri sorumlusu olarak, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilerek, verilerin bulunduğu ortama göre aşağıda yer belirtilen yöntemlerden bir ya da birkaçı kullanımak suretiyle kişisel veriler yok edilir.
6.2.1. Disk, manyetik bant, manyetik disk ünitesi, ağ cihazları, sim kart, mobil telefonların hafıza alanları, veri kayıt ortamı çıkarılabilir olan yazıcılar, parmak izli kapı geçi sistemi ortamları veya taşınabilir medya üzerinde yer alan veriler:
Bu türdeki veri saklanan ortamların çevre birimleri için tüm veri kayıt ortamlarının söküldüğü kontrol edilir.
• Kişisel verilerin saklandığı bu tür ortamlar eğer arızalanmış veya hasar görmüş ise ve yeniden kullanım için onarılması mümkün değilse derhal fiziksel imha işlemi gerçekleştirilir. Fiziksel imha, daha fazla kullanımı önlemek için manyetik ortamın ezilmesi, yakılması, parçalanması veya eritilmesiyle gerçekleştirilebilir.
• Manyetik medya üzerinde yer alan verilerin bozulması için yüksek değerde manyetik bir alana maruz bırakılır. Bunun için özel donanımlar kullanılarak Degaussing yöntemi kullanılır.
• Optik veya manyetik medya eritilerek, yakılarak veya toz haline getirilerek fiziksel olarak imha edilir. Bu yöntem diskler üzerinde yazma veya manyetik alana maruz bırakma işlemi başarılı olmazsa uygulanır.
• İmha edilecek veriler üzerine rastgele verilerin belli sayıda yazılması suretiyle veri geri getirilmeyecek şekilde imha edilir. Bu yöntem uygulandığında en az yedi kez yazma işlemi gerçekleştirilir. Mümkün olması halinde Gutmann methodu tercih edilir.
• İmha işlemi gerçekleştilirken mümkün olduğunca aşağıdaki işlem sırası uygulanır: o Saklama ortamı üzerinde yer alan veriler standart okuma ve yazma komutları ile erişilemeyecek şekilde temizlenir.
o Son teknoloji labaratuvar teknikleri ile verilerin geri getirilmesini engelleyecek mantıksal ve fiziki tekinkler kullanılarak saklama ortamı tamamen veriden arındırılır.
o Saklama ortamı ileri seviye labaratuvar ortamları kullanılarak dahi erişilemeyecek şekilde ve üzerinde yeniden bilgi saklanamayacak şekilde fiziki olarak imha edilir.
6.2.2. Optik diskler
• CD, DVD, Blu-Ray disk gibi veri saklama ortamında yer alan veriler, bu disklerin yakılması, küçük parçalara ayrılması, eritilmesi gibi fiziksel yok etme yöntemleri ile imha edilir.
6.2.3. 6.3.3. Kağıt ve Mikrofiş Ortamları
• Kağıt imha ve kırpma makinesi ile okunamayacak boyutta, mümkünse yatay ve dikey olarak tekrar birleştirilmeyecek şekilde küçük parçalara bölünerek imha işlemi gerçekleştirilir.
6.3. Anonim Hale Getirme Yöntemi
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesi işlemidir. Anonimleştirme işleminden sonra verinin kime ait olduğu, veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında anlaşılması mümkün değildir.
Kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakta olan TasarrufCard , kişisel verilerin anonim hale getirilmesinde hangi yöntemi uygulayacağına verinin niteliği, büyüklüğü, çeşitliliği, verinin işlenmesi ile elde edilecek fayda, işleme amacı, işlenme sıklığı, anonimleştirmenin maliyeti gibi unsurları dikkate alarak karar verir.
Bu işlem yapılırken anonimliğin her halükarda korunması ve çeşitli işlemlerle verinin tersine döndürülerek yeniden gerçek kişileri ayırt edecek şekle döndürülmesini engelleyecek önlemler alınır.
7. SAKLAMA VE İMHA SÜRELERİ
TasarrufCard tarafından hukuka uygun olarak işlenen kişisel verilerin saklanması ve imhasına ilişkin süreler;
• Süreç bazında gerçekleştirilen işlemler için kişisel veri bazında saklama süreleri Kişisel Veri Saklama ve İmha Politikasında,
• Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta,
• Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde yer almaktadır. Bu kayıtlar üzerinde gerekmesi halinde güncellemeler yapılmaktadır.
TasarrufCard tarafından yürütülen süreçlere ilişkin saklama süreleri aşağıda yer almaktadır:
SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ Çağrı merkezi süreçleri 3 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan işe giriş-çıkış kayıtlarının tutulması 3 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Çalışan maaş ödenmesi süreci İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren İş Kanunu 32.mad uyarınca 5 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanlar için eğitim faaliyeti düzenlenmesi Eğitim tarihinden itibaren 5 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanlar için özlük dosyası oluşturulması İş hukuku mevzuatı uyarınca istihdam ilişkisi süresince ve TBK m. 72 uyarınca istihdam ilişkisinin sona ermesinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanlara sunulan yan hak ve menfaat süreçlerine ilişkin tutulan kayıtlar İş hukuku mevzuatı uyarınca istihdam ilişkisi süresince ve TBK m. 72 uyarınca istihdam ilişkisinin sona ermesinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Faturalama işlemlerinin gerçekleştirilmesi Faturanın oluşturulmasından itibaren TTK m. 82 uyarınca 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnternet trafik kayıtlarının tutulması 5651 sayılı Kanun uyarınca ilk kaydın elde edilmesinden itibaren 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnternet üzerinden müşteri üyelik işlemleri yapılması Üyelik süresince Üyelik sona erdiğinde
İstihdam ilişkisi kurulmayan çalışan adayına ait iş başvuru sürecine ilişkin süreçlerin yürütülmesi Başvuru anından itibaren 6 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera kayıtlarının tutulması Kayıt anından itibaren 1 ay Saklama süresi sona erdiğinde
Kargo gönderim işlemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Maliye Bakanlığına BABS bildirimi yapılması Maliyet Bakanlığına bildirimden itibaren 5 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri abonelik kayıtları Doğalgaz dağıtım sözleşmesi süresince Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel güvenliği ve saha işlemleri için konum bilgisi tutulması 3 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sunucu odasına giriş çıkış kayıtlarının tutulması 3 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket içi iletişime ilişkin ses kayıtlarının tutulması 3 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
8. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi uyarınca Şirketimiz, periyodik imha süresini 6 ay olarak belirlenmiş olup, Periyodik imha işlemleri her yılın Ocak ve Temmuz aylarında gerçektirilir. TasarrufCard gerekli hallerde periyodik imha süresini kısaltabilir.
İşlenen kişisel veriler silme, yok etme ve anonim hale getirme yükümlülüğü ortaya çıktıktan sonra ilk periyodik imha sürecinde imha edilir.
Kişisel verileri işlenen ilgili kişinin talebi halinde ise;
• Kişisel veri işleme şartları tamamen ortadan kalkmış ise kişisel veriler en geç otuz gün içerisinde imha edilir ve ilgili kişiye bilgi verilir.
• Eğer imha edilen veriler üçüncü kişiye aktarılmış ise bu durum üçüncü kişiye bildirilerek, Yönetmelik hükümlerine göre gerekli işlemleri yapması sağlanır.
• Kişisel veri işleme şartları tamamen ortadan kalkmamış ise, ilgili kişinin talebi Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve bu cevap ilgili kişiye en geç otuz gün içerisinde yazılı olarak veya elektronik ortamında bildirilir.
Periyodik imha işlemi ve diğer imha işlemleri yapılırken yapılan işlem bu politikada belirlenen sorumlularca yeniden gözden geçirilir, onaylanır, yapılan işlemler izlenir, log kayıtları oluşturulur ve Yönetmelik uyarınca imha işlemi tutanağa bağlanarak ve buna ilişkin kayıtlar üç yıl süreyle saklanır.
9. POLİTİKANIN YAYINLANMASI, GÜNCELLENMESİ
İşbu politika TasarrufCard internet adresinde (bilgi@TasarrufCard.com) erişilebilir şekilde yayınlanır. Gerekmesi halinde TasarrufCard tarafından politika üzerinde güncelleme gerçekleştirilir ve güncel versiyonu bilgi@TasarrufCard.com adresinde yayımlanır. Yapılan değişikliği ilişkin bilgiler politikanın son bölümünde yer alan sürüm bilgileri alanında açıklanır.
10. SÜRÜM BİLGİLERİ
Sürüm Geçmişi
Sürüm No: Sürüm Tarihi: Değişiklik Açıklaması
1 xxxx İlk Yayın
VERİ SORUMLUSU BİLGİLERİ
VERİ SORUMLUSU: Tasarruf Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi
Telefon numarası:
KEP (Kayıtlı Elektronik Posta) adresi: tasarruf@hs03.kep.tr
İnternet adresi : https://www.TasarrufCard.com
İletişim adresi : Tokatköy Mah. Mezbaha Sok. No:5 Beykoz/İSTANBUL