Amaç
Bu politika ile, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (6698 KVKK) kapsamına giren kişisel verilerin, veri sorumlusu sıfatıyla İstanbul Faktoring A.Ş. (Politikada “İstanbul Faktoring” olarak anılacaktır) tarafından kişisel veri işlenmesine ve korunmasına yönelik uygulanan kural ve düzenlemelerin açıklanması amaçlanmaktadır.
Kapsam
Bu politika, aşağıda yer alan hususları kapsamaktadır;
- 6698 KVKK ve ilgili diğer yönetmelik ve tebliğlerde belirtilen hususları,
- İstanbul Faktoring A.Ş. tesislerini,
- Bu tesislerde gerçekleştirilen veri işlemle faaliyetlerini,
- Veri işleme faaliyeti ile ilgili tarafları ve paydaşları,
- Veri işleme faaliyetinde yer alan tüm kaynakları kapsamaktadır.
Veri Sorumlusuna İlişkin Bilgiler
Web Adresi: https://istanbulfaktoring.com.tr
Telefon: +90 444 81 82
Elektronik Posta: kvkk@istanbulfaktoring.com.tr
KEP: istanbulfaktoring@hs03.kep.tr
Posta Adresi: Maslak Mahallesi Bilim Sok Sun Plaza Apt. No:5A/20 Sarıyer/ İSTANBUL
Şahsen Başvuru Adresi: Maslak Mahallesi Bilim Sok Sun Plaza Apt. No:5A/20 Sarıyer/ İSTANBUL
Aydınlatma Metni Web Adresi: https://istanbulfaktoring.com.tr/kvkk
Tanımlar ve Kısaltmalar
Kavram / İfade | Kanundaki Tanım Kısaltmanın Açılımı |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu |
Kurum | Kişisel Verileri Koruma Kurumu |
Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Özel Nitelikli Kişisel Veri | Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir. |
İlgili kişi / Veri Sahibi | Kişisel verisi işlenen gerçek kişi (Politika’ da “veri sahibi” şeklinde ifade edilmektedir) |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Veri Sorumlusu Temsilcisi | Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete ’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Açık rıza | Belirli bir konuya ilişkin, bilgilendirmeye ve özgür iradeye dayanan, tereddütte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay |
Aydınlatma Metni | Veri sorumlusu veya yetkilendirdiği kişi aydınlatma yükümlülüğünü yerine getirirken Veri sorumlusunun ve varsa temsilcisinin kimliğini bildirmelidir. Veri işleme amacını, toplama yöntemini, Hukuki sebebini ve Kanunun 11. maddesinde belirtilmiş olan haklar konusunda ilgili kişiyi bilgilendirmek için yazılmış olan metin. Sözlü de aktarılabilir |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Silme, Yok Etme ve Anonimleştirme | Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi Anonimleştirme: Kişisel verilerin başka verilerle eşleştirilirse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
Maskeleme | Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortamlar | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
Kurul | Kişisel Verileri Koruma Kurulu |
Politika | Kişisel Verileri Saklama ve İmha Politikası |
Sicil | Başkanlık tarafından tutulan Veri Sorumluları Sicili |
(VERBİS)Veri Sorumluları Sicil Bilgi Sistemi: | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi |
Yönetmelik | 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
Teknik ve İdari Tedbirler Tanımlar
Kavram / İfade | Tanım/Açıklama |
Ağ iletişimi | IPv4 ve IPv6 trafiği |
OTP | Bir seferlik parola |
Cihaz | Tüm Yazılımsal veya Donanımsal ürün ve yazılımlar. |
Firewall | Güvenlik Duvarı |
Misafir Ağı | Personel ve Sunucu ağlarından izole ve bu ağlara kontrolsüz geçiş izni olmayan ağ. |
Yönetici Makine | Switch, Router, Modem, Kablosuz yayın cihazı kontrol sistemi, Sunucu, Yedekleme üniteleri, Yazıcı, Bilgisayarla yönetilen ve log gönderme özelliği olan sistemler. |
Makine | Kişisel Bilgisayar, Kiosk |
Çalışan | Çalışanlar, stajyerler, ortaklar, hissedarlar, danışmanlar, denetçiler. |
Kullanıcı | Şirket içi ve dışı tüm çalışanlar. |
Veri işleme | Görüntüleme, Çoğaltma, çıktı alma, başka ortamlara aktarma, silme, değiştirme, erişilebilir hale getirme, erişimini engelleme, maskeleme, anonimleştirme, şifreleme, sınıflandırma |
Zafiyet Testi | Yasal hackleme denemesi ile zafiyetin belirlenmesi |
SIEM | SIEM (Security Information and Event Management) tehdit ve olay yönetimidir. Logların tek merkezde toplanıp analiz edilmesini sağlayan yazılım. |
Sızma Testi | Sistem güvenliği değerlendirmesi için yetkilendirilmiş temsili siber saldırı işlemi |
Yetki Matrisi | Elektronik ortamlarda hangi kişilerin, hangi sistem ve uygulamalara ne kadar süre ile erişebileceği yetkilerinin dokümante edilmesi |
Kriptolama | Yazının veya metnin bir yazılım aracılığıyla başkaları tarafından okunmasının önlenmesi için bir kurala bağlı olarak anlamsız bir şekle dönüştürülmesidir. |
Xdsl | Dijital abone hattı (DSL) üzerinden yayın yapan bütün teknolojilerin ortak adıdır. |
Hashleme | Elektronik ortamda bir metnin bir daha geri döndürülemeyecek bir şekilde şifrelenmesi |
Zaman Damgası | Elektronik bir verinin, üretildiği, değiştirildiği, gönderildiği, alındığı veya kaydedildiği zamanın tespit edilmesi amacıyla, hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıtların resmi olarak kanıtlanması. |
DLP | DLP (Data Loss/Leak Prevention: Veri Kaybı/Sızıntı Önleme) Yazılımı |
Veri Analizi, Veri Envanteri, Veri/Mahremiyet Etki Değerlendirme ve Risk Analizi Tanımlar
Kavram / İfade | Tanım/Açıklama |
Veri Analizi | “Kişisel ve özel nitelikli kişisel verilerin” tespiti için excel dosyası formatında hazırlanan Kişisel Veri Haritası üzerinden yapılan analiz. |
Veri Etki ve Mahremiyet Etki Değerlendirme | Olası bir veri ihlali durumunda, veri sahiplerine olabilecek olumsuz etkileri açısından veri etki değerlendirmesi analizi. |
Etki Değeri Analizi | Olası bir veri ihlali durumda veri sahibinin Kişisel verileri ile ilgili “Çok Yüksek, Yüksek, Orta, Düşük ve Etki Yok” ifade edecek şekilde 1 ile 5 arasında sayısal değer verilerek etki değerinin belirlenmesidir: · Finansal-Ekonomik Kayıp Etkisi · Bedensel ve Fiziksel Olumsuzluk Etkisi · Mesleki Kariyer Olumsuzluk Etkisi · Aile ve Sosyal Çevre Olumsuzluk Etkisi · Yasal Cezai Yaptırım Etkisi · Dini İnanç ve İbadet Özgürlüğü Olumsuz Etki Hususlarında kişisel veriler için değerler verilir, bu 6 kategoride verilen değerlerden en yükseği Etki Değeri’ dir. |
Risk Analizi | Olası bir veri ihlalinin veri sahibine Etkisi ve Riskin gerçekleşme ihtimalinin yüksekliğine uygun olarak tedbirlerin alınabilmesi için Veri Etki analizi ile Risk analizinin birleştirilmesidir: “Düşük, Orta, Yüksek ve Çok Yüksek” ifade edecek şekilde 1 ile 4 arasında sayısal değer verilerek riskin oluşma ihtimali belirlenmesidir. |
Risk Etki Değeri | Etki Değeri ve Risk Analizinden elde edilen sayısal değerler çarpılarak risk etki değerine ulaşılmasıdır. Çıkan sonuca göre uygulanması gereken teknik ve idari tedbirler belirlenir. |
KVKK Yönetimi Organizasyon, Rol ve Sorumlulukları
ÜNVAN | GÖREVİ |
Komite Başkanı | Komite başkanlığı, hukuksal sürecin yönetimi, proje önderliği, proje için finansman ve gerekli işgücünün sağlanmasından sorumludur. Çalışanların politikaya uygun hareket etmesinden sorumludur. |
Komite Sözcüsü | Çalışanların politikaya uygun hareket etmesinden ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur. |
Komite Üyesi | Politikanın yayınlanması, yürütülmesi, güncellenmesi ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur. |
Komite Üyesi | Politikanın yayınlanması, yürütülmesi, güncellenmesi ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur. |
- Kişisel verilerin korunması ve işlenmesi ile politika ve prosedürleri hazırlamak ve yürürlüğe konulması için gerekli aksiyonları almak,
- Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak ve ilgili aksiyonların alındığının takibinin gerçekleştirmek, eksiklerin giderilmesini sağlamak ve bunun için gerekli birimlere gerekli desteği sağlamak.
- Kişisel verilerin politika ve hukuka aykırı olarak işlenmesini engellemek, kişisel verilerin işlendiği tüm ortamlarda ve tüm aşamalarda güvenliğini sağlamak.
- Kanun’un 12. maddesi uyarınca yapılacak denetimlerin takibini yapmak,
- Kanuna uyulması için, Kişisel veri işleyen tüm personelin Kişisel Verilerin Korunması Kanunu ile ilgili gerekli eğitimleri almasından ve konunun anlaşılmasından,
- Kanun’un uygulaması ile ilgili şirket içinde farkındalığı arttırmak için alınacak aksiyonları belirlemek, aksiyonlara ilişkin gerekli görev dağılımını yapmak,
- Kanun ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek soru ve sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,
- Gereken hallerde veri sahibi başvurularının çözümü için gerekli aksiyonları almak,
- Veri ihlali durumlarında, kanunda belirtilmiş olan esaslara uygun olarak
- Kişisel Verileri Koruma Kurumuna bilgi vermek,
- Gerekli durumlarda Veri Sahibine bilgi vermek,
- Kişisel Verileri Koruma Kurumu ile olan ilişkileri yürütmektir.
- Kişisel Verileri Koruma Kurumunun Kararlarına uyulmasından sorumludur.
Kişisel Verilerin İşlenmesine İlişkin İlkeler
- Hukuka ve dürüstlük kurallarına uyum: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmelidir. Veri sorumlusu olarak, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uyulmaktadır.
- Doğruluk ve güncellik: Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulanmalıdır. Bu doğrultuda verilerini, veri işleme sistemine doğru girilmesi için gerekli veri giriş, kontrol ve doğrulama süreçleri oluşturulmuştur. Bununla birlikte veri sahibinin güncellenen veya yanlışlıkla hatalı girilen kişisel verilerinin güncellenmesi için gerekli talep, inceleme ve güncelleme süreçleri oluşturulmuş olup, dijital ortamlarda veri girişi ve veri güncellemeye ilişkin işlem logları da tutulmaktadır.
- Belirli, açık ve meşru amaçlar için işleme: Veri sorumluları, Kanun kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda, İstanbul Faktoring bilgilendirme/aydınlatma metninde belirtildiği üzere, VERBİS sistemine de uygun olarak veri işleme amaçları belirtilmiştir. Bakınız: “https://istanbulfaktoring.com.tr/kvkk/kisisel-verilerin-korunmasi/”
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Veri sorumluları, Kanun kapsamında belirledikleri veri işleme amaçları ile sınırlı ve yeterli düzeyde veri işlemekle yükümlüdür. Bu doğrultuda, İstanbul Faktoring tarafından, veri sahibine bildirilen amaçları gerçekleştirmek için gerekli olan yeterli düzeyde kişisel veri alınmakta ve işlenmektedir.
Kişisel Verisi İşlenen Gruplar
Veri sorumlusu konumunda olan İstanbul Faktoring tarafından aşağıda belirtilmiş olan, ilişkide bulunduğu üçüncü kişilerin, kurumların ve kuruluşların çalışanlarına ait kişisel verileri Kanuna uygun olarak saklar ve imha eder.
Çalışan |
Çalışan Adayı |
Çalışanın Bakmakla Yükümlü Olduğu Kişi veya Çocuk |
Habere Konu Kişi |
Hissedar/Ortak |
Kamu Çalışanı |
Olaya Karışan Kişi |
Potansiyel Ürün veya Hizmet Alıcısı |
Referans Gösterilen Kişi |
Stajyer |
Tedarikçi Çalışanı |
Tedarikçi Yetkilisi |
Ürün veya Hizmet Alan Kişi |
Web Sayfası Ziyaretçisi |
Ziyaretçi |
Kişisel Veri Saklamayı Gerektiren Hukuksal Sebepler
1136 Sayılı Avukatlık Kanunu |
1512 Noterlik Kanunu |
2004 Sayılı İcra ve İflas Kanunu |
213 Sayılı Vergi Usul Kanunu |
2559 Sayılı Polis Vazife ve Salahiyet Kanunu |
2803 Sayılı Jandarma Teşkilat, Görev Ve Yetkileri Kanunu |
2918 Sayılı Karayolları Trafik Kanunu |
3568 Sayılı SMMM ve YMM Kanunu |
4208 Sayılı Karaparanın Aklanmasının Önlenmesine Dair Kanun |
4721 Sayılı Türk Medeni Kanunu Madde 881 |
4857 Sayılı İş Kanunu |
5070 Sayılı Elektronik İmza Kanunu |
5411 Sayılı Bankacılık Kanunu |
5429 Sayılı Türkiye İstatistik Kanunu |
5490 Sayılı Nüfus Hizmetleri Kanunu |
5651 İnternet Ortamında Yapılan Yayınların Düzenlenmesi |
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi |
5684 Sayılı Sigortacılık Kanunu |
5941 Sayılı Çek Kanunu |
6098 Sayılı Türk Borçlar Kanunu |
6102 Sayılı Türk Ticaret Kanunu |
6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu |
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu |
6361 Sayılı Finansal Kiralama Faktoring Finansman ve Tasarruf Finansman Şirketleri Kanunu |
6362 Sayılı Sermaye Piyasası Kanunu |
6362 Sayılı Sermaye Piyasası Kanununun Borçlanma Araçları Tebliği |
6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun |
6698 Sayılı Kişisel Verilerin Korunması Kanunu |
6740 Sayılı Zorunlu Otomatik Bireysel Emeklilik Sistemi |
BDDK Finansal Kiralama, Faktoring Ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ |
Elektronik Tebligat Yönetmeliği 6 Aralık 2018 Tarih 30617 Sayılı Resmî Gazete |
Konsolosluk İlişkileri Hakkında Viyana Sözleşmesi 27 Eylül 1975 tarih 15369 sayılı Resmî Gazete |
Sermaye Şirketlerinin Açacakları İnternet Sitelerine Dair Yönetmelik 28663 Sayılı Resmî Gazete |
Takasbank Para Piyasası Prosedürü |
Kişisel Verilerin İşlenme Amaçları
Kanun’un 5 ve 6. maddeleri, kişisel veriler ve özel nitelikli kişisel verilerin işlenmesine yönelik şartları belirtmektedir. Özel nitelikli kişisel veriler, kanunun 6. maddesinde sınırlı bir şekilde belirtilmiş olup, aşağıdakilerle sınırlıdır:
- Kişilerin ırkı
- Etnik kökeni
- Siyasi düşüncesi
- Felsefi inancı
- Dini, mezhebi veya diğer inançları
- Kılık ve kıyafeti
- Dernek, vakıf ya da sendika üyeliği
- Sağlığı, cinsel hayatı
- Biyometrik ve genetik verileri
Kanunun 5. Maddesinde, veri sahibinin açık rızası olmadan, kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:
- Kanunlarda açıkça ön görülmesi.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin (veri sahibi) kendisi tarafından alenileştirilmiş̧ olması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanunun 6. Maddesinde, veri sahibinin açık rızası olmadan, özel nitelikli kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
Veri sorumlusu olarak İstanbul Faktoring öncelikli olarak veri sahiplerinden açık rıza alma yolunu seçmiştir. Bununla birlikte sunulan ürün ve hizmetlerden kendi isteği ile faydalanmak isteyen müşterilerin ve sunulan ürün ve hizmetlerden ve bunların neticesinden menfaat elde eden çalışanların, tedarikçilerin ve diğer paydaşların kişisel verilerini yukarıda belirtilen istisnalar kapsamında işleyecektir. Bu işleme, bilgilendirme/aydınlatma metninde belirtilen amaçlar doğrultusunda, sınırlı ve ihtiyaç duyulduğu kadar verinin işlenmesi şeklinde olacaktır.
Veri sorumlusu olarak İstanbul Faktoring, bilgilendirme ve açık rıza almak için şu yöntemleri kullanmaktadır:
- Islak imzalı açık rıza beyanı alma: Ürün ve/veya hizmet talebinde bulunulduğunda ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
- Tedarikçi sözleşmeleri: Firma ile sözleşme imzalanırken ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
- Çalışan ile İş Sözleşmeleri: Personel ile iş akdi yapılırken veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
- Dijital ortamda onay alınması: Hizmet talebinde bulunurken, sipariş verirken ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
- Sesli onay sistemi: Santral aracılığı ile onay alınması
Veri sorumlusu olarak İstanbul Faktoring , VERBİS sisteminde de yer alan aşağıda belirtilen amaçlar doğrultusunda kişisel ve özel nitelikli kişisel verileri işlemektedir:
Bilgi Güvenliği Süreçlerinin Yürütülmesi |
Çalışan Adayı / Stajyer Seçme ve Yerleştirme Süreçlerinin Yürütülmesi |
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi |
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
Denetim / Etik Faaliyetlerinin Yürütülmesi |
Eğitim Faaliyetlerinin Yürütülmesi |
Faaliyetlerin Mevzuata Uygun Yürütülmesi |
Finans ve Muhasebe İşlerinin Yürütülmesi |
Fiziksel Mekân Güvenliğinin Temini |
Hukuk İşlerinin Takibi ve Yürütülmesi |
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi |
İletişim Faaliyetlerinin Yürütülmesi |
İş Faaliyetlerinin Yürütülmesi / Denetimi |
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi |
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi |
Mal / Hizmet Satış Süreçlerinin Yürütülmesi |
Organizasyon Ve Etkinlik Yönetimi |
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi |
Risk Yönetimi Süreçlerinin Yürütülmesi |
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi |
Sözleşme Süreçlerinin Yürütülmesi |
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi |
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini |
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi |
Yönetim Faaliyetlerinin Yürütülmesi |
Kişisel Veri Kayıt Ortamları
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
Sunucular (DHCP Sunucusu, Domain Controller, Dosya Sunucusu, DVR, Firewall, Ortak Klasör, Qnap, Santral, Server) | Kâğıt |
Yazılımlar (Antivirüs, Araç Takip Sistemi, E-Finans, E-posta, Excel, Finsis, Log Kaydı Uygulaması, Anlık Mesajlaşma Uygulaması, Microsoft Teams, Outlook, PDF/JPG, Winper, Yedekleme Programı, World) | Manuel veri kayıt sistemleri (Talep ve şikayetleri, anket formları, Veri sahibi haklarına ilişkin yazılı başvurular, diğer yazılı başvurular, denetleme ve görev tutanakları …) |
Harici depolama üniteleri (Harici Disk, Hard Disk) | Tüm yazılı, basılı, görsel ortamlar |
Kişisel Bilgisayarlar (İş Bilgisayarı) | |
Fotokopi Makinesi, Faks Makinesi, Telefon Santrali | |
Mobil Cihazlar (Cep Telefonu) | |
Optik Diskler | |
Kişisel Telefonlar | |
Dosya Uzantısı (xml, PDF, JPG, MP4) | |
Web Sayfaları (GİB, Alo Maliye, Mersis, MKK, Risk Merkezi, Web Sayfası, SGK E-bildirge) |
Kişisel Verilerin Aktarılması
Kişisel veriler, veri sorumlusu sıfatıyla İstanbul Faktoring A.Ş. tarafından KVKK da belirtilen yükümlülükler ve 6. Madde de yer alan amaçlar için “Yurt İçinde ve Yurt Dışında başka bir Tüzel veya Gerçek kişi ile paylaşılabilir.
Kişisel verilerin aktarılmasına ilişkin şartlar kanunun 8. Maddesinde belirtilmektedir. Kanun burada; kişisel verilerin aktarımı ile ilgili olarak verinin “özel nitelikli kişisel” veri olup olmadığına göre bir ayrıma gitmiştir. Bununla birlikte, yukarıda 5. Madde de kişisel verilerin işlenme amaçları kısmında belirtilen işleme şartlarından birinin varlığı halinde ve yeterli “idari ve teknik güvenlik tedbirlerini” almak koşuluyla üçüncü kişilere aktarılabilmesine izin vermektedir. Yukarıda 5’inci maddede ve kanunun 5-6. Maddelerinde yer alan açık rıza ve istisna durumları kişisel verilerin aktarılması içinde geçerlidir.
İstanbul Faktoring Firması tarafından YURT İÇİNDE aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmaktadır:
Adli Merciler |
Anlaşmalı Araç Servis Firması |
Anlaşmalı Araç Takip Firması |
Anlaşmalı Avukat ve/veya Avukatlık Bürosu |
Anlaşmalı Bağımsız Denetim Firması |
Anlaşmalı Banka |
Anlaşmalı Bireysel Emeklilik Acentesi/Firması |
Anlaşmalı Eğitim Firması |
Anlaşmalı E-İmza Sağlayıcı Firma |
Anlaşmalı Seyahat Acentesi |
Anlaşmalı Sigorta Acentesi/Firması |
Anlaşmalı Yeminli Mali Müşavir |
Bağımsız Denetçi veya Denetim Firması |
Bankacılık Düzenleme ve Denetleme Kurumu |
Domain & Hosting Firması |
Edenred Kurumsal Çözümler A.Ş (Ticket) |
E-finans Fatura Entegratörü |
E-posta Servis Sağlayıcı |
Finansal Kurumlar Birliği (MFKS) |
İstanbul Faktoring Web Sayfası |
İstanbul Takas ve Saklama Bankası A.Ş. |
Kamu Kurum ve Kuruluşları (GİB, İcra İşleri Dairesi, Noter, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, SGK, TUİK, Türkiye İş Kurumu) |
KKB Kredi Kayıt Bürosu A.Ş |
Kolluk Kuvvetleri |
KVKK Danışman Firması |
Mali Suçlar Araştırma Kurulu (MASAK) |
Merkezi Kayıt Kuruluşu A.Ş |
Potansiyel Ürün veya Hizmet Alıcısı |
Sektör Birlikleri |
Sermaye Piyasası Kurulu Aracı Kuruluşları |
Tapu Kadastro Genel Müdürlüğü (TAKBİS) |
Türkiye Bankalar Birliği Risk Merkezi |
TÜVTÜRK |
Ürün veya Hizmet Alan Kişi veya Firma |
Ürün veya Hizmet Veren Kişi veya Firma |
Yurt dışına kişisel veri aktarımında kanun aşağıda yer alan hususlara uyulmasını şart beklemektedir:
- Veri sahibinin açık rızasının bulunması veya açık rıza istisnaları şartlarından birinin veya birkaçının karşılanması halinde,
- Verilerin aktarıldığı ülkede yeterli koruma (*) bulunması halinde,
- Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ise, veri sorumlusu sıfatıyla İstanbul Faktoring ilgili yabancı ülkedeki veri sorumlusu ile yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması şartı ile aktarılabilmektedir.
(*) Yeterli korumanın bulunduğu ülkeler KVKK Kurulu tarafından belirlenerek ilan edilir.
İstanbul Faktoring tarafından YURT DIŞINDA aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” aktarımı yapılmaktadır:
Sosyal Medya (Facebook, Instagram, Linkedin, Youtube, Twitter) |
İşlenen Kişisel Veriler
Veri Kategorisi | Kişisel Veri Kategorizasyonu Açıklama |
Kimlik Bilgileri | Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan bilgiler ve ek olarak İlk Soyad, Kullanıcı adı |
İletişim Bilgileri | Kişiyle iletişim kurulması amacıyla kullanılan bilgileri |
Lokasyon Bilgileri | Veri sahibinin konumunu tespit etmeye yarayan veriler |
Özlük Bilgileri | Çalışanların özlük haklarının oluşmasına temel olan kişisel veriler |
Hukuki İşlem Bilgileri | Kişinin mahkemelerle olan henüz sonuca bağlanmamış hukuksal işlem verileri |
Müşteri İşlem Bilgileri | Ürün ve hizmetlerimizden faydalanan müşteriler tarafından gerçekleştirilen her türlü işleme ilişkin bilgiler |
Fiziksel Mekân Güvenliği Bilgileri | Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler |
İşlem Güvenliği Bilgileri | Cihazı kullanan kişinin dijital ayak izine ulaşmayı sağlayan veriler |
Risk Yönetimi Bilgileri | Ticari, teknik, idari risklerin yönetilmesi için işlenen veriler |
Finans Bilgileri | Kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler |
Mesleki Deneyim Bilgileri | Kişinin edindiği kişisel donanım bilgileri |
Pazarlama Bilgileri | Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler |
Görsel ve İşitsel Kayıt Bilgileri | Kişisel veri sahibiyle ilişkilendirilen görüntü ve ses verileri |
Sağlık Bilgileri | Kişinin sağlığıyla ilgili olan tüm verileri |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri | Kişilerin adli makamlarla ilgili olan verileri |
Kişisel Veri İmhası
Kişisel Veri İmhasını Gerektiren Sebepler ;
- İşlenmesini gerektiren ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
- İşlenmesini gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği durumlarda, ilgili kişinin açık rızasını geri çekmesi,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun İstanbul Faktoring tarafından kabul edilmesi,
- İstanbul Faktoring ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya f. Kanunda öngörülen süre içinde cevap vermemesi hallerinde; İlgili Kişinin Kişisel Verileri Koruma Kurumuna bulunması sonrası talebin Kişisel Verileri Koruma Kurumu tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin dolmasından sonra ilgili kişinin başvurusu ile ve/veya ilk periyodik silme işleminde silinir, yok edilir veya anonim hale getirilir.
Periyodik İmha Süresi
Periyodik imhalar her yıl Ocak-Şubat aylarında yapılacaktır.
Hak ve Yükümlülükler
Veri Sahibinin Hak ve Yükümlülükleri
Veri Sahibi, Kanun’un 11. maddesine göre veri sorumlusuna karşı aşağıdaki haklara sahiptir:- Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme.
- Kendisi ile ilgili kişisel veri işlenmiş ise buna ilişkin bilgi talep etme.
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
- İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
- Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uymak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Veri Sahibi Tarafından Hakların Kullanılması
Veri sorumlusu sıfatıyla İstanbul Faktoring tarafından, talepte bulunan kişinin kimliği tespit edilecek şekilde başvuru yapan veri sahibinin talepleri değerlendirmeye alınacaktır. Kimliği belirlenemeyen veri sahibine ilişkin şirket içinde veri işleme araştırması yapılamayacağından, talep işleme alınmayacaktır. Bununla birlikte, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edilebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltilebilir. Veri sahibi yukarıda bahsi geçen haklarını kullanmak için şu kanallar vasıtasıyla talepte bulunabilir:- www.istanbulfaktoring.com.tr/kvkk adresinde yer alan başvuru formunu doldurarak, istanbulfaktoring@hs03.kep.tr veya kvkk@istanbulfaktoring.com.tr E-posta adreslerinden birine talebini E-posta ile ileterek,
- Maslak Mahallesi Bilim Sok Sun Plaza Apt. No: 5 A/20 Sarıyer/ İSTANBUL adresine fiziki posta göndererek,
- Maslak Mahallesi Bilim Sok Sun Plaza Apt. No: 5 A/20 Sarıyer/ İSTANBUL adresine fiilen gelerek yazılı başvuruda bulunarak,
- +90 444 81 82 nolu telefonu arayarak.
Veri Sorumlusunun Hak ve Yükümlülükleri
Kanunun 10, 12 ve 16. maddelerinde belirtildiği üzere veri sorumlusu aşağıda yer alan sorumluluk, hak ve yükümlülüklere sahiptir:- Aydınlatma yükümlülüklerini yerine getirmek.
- Kişisel verilere hukuku aykırı erişilmesini ve işlenmesini engellemek.
- Kişisel verilerin belirtilen işleme amaçları dışında kullanılmasını önlemek.
- Yeterli idari ve teknik tedbirleri alarak kişisel verileri veri ihlallerine karşı korumak.
- Kendi adına başka bir gerçek veya tüzel kişiye kişisel veri işletiliyor ise, müşterek sorumluluk kuralı gereğince, gerekli idari ve teknik tedbirleri almak ve aldırmak.
- Kanunda belirtilen hükümlerin uygulanmasını sağlamak amacıyla belirli periyotlarda denetimler yapmak veya yaptırmak.
- Kanuna aykırı bir durum olduğunda kurula ilgililere uygun kanallar vasıtasıyla bildirmek.
- Kurul tarafından belirtilen kurallar çerçevesinde VERBİS’ e (sicile) kayıt yaptırmak.
- Asgari 6 aylık periyotlarda veri envanterini gözden geçirerek, kullanım amacı ve süresi biten verilerin imhasını gerçekleştirmek.
- Veri sahibi, veri kurulu ve diğer yasal mercilerce iletilen talepleri incelemek ve gerekli çalışmaları yapmak.
Veri Sahibinin Aydınlatılması ve Açık Rıza;
Veri sahibi, web sayfamızı ziyaretinde ve ürün hizmet kullanımı sırasında kişisel verilerin kullanım amaçları hususunda bilgilendirilmekte ve açık rıza beyanları alınmaktadır. Bunların yanı sıra tesisin muhtelif görünür yerlerinde bilgilendirme metinleri yer almaktadır.Veri İşleyenin Hak ve Yükümlülükleri
Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Veri işleyen kapsamında şunlar değerlendirilmektedir:- Ürün ve hizmet alınan tedarikçiler ve iş ortakları,
- Tedarikçiler ile ürün ve hizmet alımı sözleşmesinde görev, hak ve yükümlülükler belirtilmiştir.
Kişisel Verilerin Saklanma Sürelerinin Tespiti ve Saklama Süresi Sonu İşlemler
Kişisel verilerin saklanma süreleri yürürlükte bulunan mevzuat ve süreç konusu verilerin işlenme amaçları göz önünde tutarak belirlenmektedir. Saklama süreleri her halükârda yasal yükümlülükler ve ilgili zamanaşımı süreleri ışığında tespit edilmektedir.
Faaliyet / Süreç | Saklama Süresi | İlgili Kanun | İmha Süreleri |
Müşteri Sözleşmeleri | 11 Yıl | *6361 Sayılı Finansal Kiralama Faktoring Finansman ve Tasarruf Finansman Şirketleri Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Veri Silme Tutanak | 6 Yıl | *6698 Sayılı Kişisel Verilerin Korunması Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Bağımsız Denetim Bağımsız Denetim Raporu Tam Tasdik Denetimi | 11 Yıl | *3568 Sayılı SMMM ve YMM Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
MASAK Şüpheli İşlem Bildirimi ve Taahhüt, Online Uyum Görevlisi Atama | 11 Yıl | *5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun *6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Çalışan Özlük Bilgileri | 11 Yıl | *4857 Sayılı İş Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Çalışan Sağlık Bilgileri | 16 Yıl | *6331 Sayılı İş Sağlığı ve Güvenliği Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Asıl Borçlu Teyit, Faktoring Sözleşmesi Evrakları Konkordato Bilgileri, Kredi Komitesi KRM Raporu Finsis, Mersis Sorgulama, TBB Risk Merkezi Çapraz Rapor Sorgulama, TBB Risk Merkezi Çek Raporu Sorgulama, TBB Risk Merkezi Memzuç Rapor Sorgulama | 11 Yıl | *6098 Sayılı Türk Borçlar Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve yok etme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Ödeme Aracı Ödeme Aracı Finsis Karar Defterleri | 11 Yıl | *6102 Sayılı Türk Ticaret Kanunu | ● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Kullanıcı Bilgisayarları KVKK Dokümanları Telefon Sıfırlama Yedekleme ve Transfer | 11 Yıl | *6698 Sayılı Kişisel Verilerin Korunması Kanunu | ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Kamera Kaydı İzleme | 6 ay sonra eski verinin üzerine yenisi yazılır | *2803 Sayılı Jandarma Teşkilat, Görev Ve Yetkileri Kanunu *2559 Sayılı Polis Vazife ve Salahiyet Kanunu” | ● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Gizlilik Sözleşmesi | Çalışan işten ayrıldıktan sonra 11 yıl | *6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun | ● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
İş Görüşmesi | 1 Ay | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Asıl Borçlu Teyit Telefon Teyidi Santral Ses Kaydı Şirket Telefonu ve Hattı | 6 Ay | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Sosyal Medya | Açık Rıza süresince | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Sosyal Medya | Hesap kullanıldığı ve paylaşım silinmediği sürece | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Alan Adı Yönetimi Kartvizit ile İletişim | Ticari ilişki süresince | Kişisel Verilerin Korunması ve İşlenmesi Politikası | ● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde |
Log Gönderme | 4 Yıl | *5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi | ● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde |
Ayrıntılı saklama süreleri için ;
www.istanbulfaktoring.com.tr/kvkk adresinde yer alan başvuru formunu doldurarak, istanbulfaktoring@hs03.kep.tr veya kvkk@istanbulfaktoring.com.tr E-posta adreslerinden birine taleplerinizi iletebilirsiniz.
Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusunun kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.
- Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
- Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok edilen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilirse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemez hale getirilmesi gerekir.
Kişisel Verilerin Korunması - İdari ve Teknik Tedbirler
Veri sorumlusu sıfatıyla İstanbul Faktoring tarafından, kişisel verilerin güvenliğini sağlamaya yönelik, makul seviyede idari ve teknik tedbirler alınmıştır. İdari ve teknik tedbirler, veri işleme süreçleri bu süreçleri gerçekleştirmek için ihtiyaç duyulan varlıklar/kaynaklar ve bunlar üzerindeki veri güvenliği riskleri göz önüne alınarak belirlenmiştir.
Kişisel veri koruma açısından risk, kişisel ve özel nitelikli kişisel verilerin kasten, hata ile veya ihmal sonucu kötüye kullanımına sebebiyet verebilecek her türlü durum ve olay olarak tanımlanmaktadır.
İdari ve teknik tedbirler için veri güvenliği riskleri değerlendirme alanları ayrıntılı bilgi için www.istanbulfaktoring.com.tr/kvkk adresinde yer alan başvuru formunu doldurarak, istanbulfaktoring@hs03.kep.tr veya kvkk@istanbulfaktoring.com.tr E-posta adreslerinden birine taleplerinizi iletebilirsiniz.
Veri Sahibi Hak Kullanım Süreci ve Veri Sorumlusu Tespit Çalışması
1.Adım: Talebin Karşılanması:
- E-posta, fiziksel dilekçe veya posta yoluyla gelen tüm talepler KVKK Komitesi üyeleri tarafından karşılanır.
- Talep takip formuna gelen talep işlenir ve kanunda belirtilen 30 günlük cevaplama süresi başlatılır.
- Talep içeriği kontrol edilmek üzere aynı gün içerisinde KVKK komitesi üyelerine iletilir.
- Bir sonraki gün için KVKK komite üyeleri toplantıya çağrılır.
- Komite üyeleri tarafından talebin içeriği kontrol edilir.
- KVKK talep değerlendirme toplantısında ilgili taraflarca talep içeriği görüşülür.
- Talep sahibinin kimliği belirlenebilir değilse talep işleme alınmaz ve talep gelen kanaldan gerekçesi belirtilerek geri bildirim yapılır.
- İhtiyaç duyulması halinde ise talep sahibine kimliğini belli etmek ya da talebi daha detaylı anlamak için sorular sorulur.
- Dijital tarafta ve basılı belgelerde yapılması gereken araştırma çalışmaları belirlenir.
- Yapılacak çalışmalar için sorumlu ve görev bitiş tarihi belirlenerek görev ataması yapılır.
- KVKK komitesi başkanı tarafından talep takip formuna, görevler, sorumlular ve görev tamamlanma tarihi işlenir.
- Veri envanteri çalışması referans alınarak hem basılı belgeler hem de dijital ortamdaki bilgiler kontrol edilir.
- Talebin içeriğine uygun olarak istenen bilgiler toplanır.
- KVKK Komitesi başkanına bilgiler iletilir.
- Toplanan bilgiler, başkan tarafından konsolide edilerek taslak cevap metni oluşturulur ve komite üyelerine iletilir.
- Komiye üyeleri talep cevabının oluşturulması için toplantıya davet edilir.
- KVKK Komitesinde talep cevap metni görüşülür
- Cevap yazısı oluşturulur.
- Talep sahibinin belirttiği kanal üzerinden veya talebin geldiği kanal üzerinden talebe cevap verilir.
- Talep takip formuna talep cevaplama tarihi, kanalı bilgileri ve talebe istinaden yapılan işlemlerin özet bilgisi kaydedilir.
- Alınan talep bilgisi ve gönderilen cevap bilgisi ile varsa bunlara ilişkin basılı ve dijital belgeler arşivlenerek saklanır.
- Talep kapatılır.
Kvkk Gereksinimleri Uyumluluk Denetimi
İstanbul Faktoring tarafından, 6698 KVKK kapsamında oluşturmuş olduğu veri koruma yönetimi yapısını, yılda asgari bir kez olmak üzere kendi bünyesindeki iç denetçiler aracılığıyla veya dışarıdan denetim hizmeti satın alarak, kanunda ve bu politikada belirtilen hususları yeterlilik, uygunluk ve etkinlik yönlerinden denetime tabi tutmaktadır.
Veri İhlal Olayı Bildirimi
Bir veri ihlali olması durumunda, KVKK Kurulunun belirtiği üzere, olay anlaşıldıktan sonra 72 saat içinde KVKK kuruluna, yine kurulun belirttiği formatta bildirim yapılır.
Bildirim kararı ve bildirim içeriği, gerekli olay etki araştırması yapıldıktan sonra KVKK Komitesi tarafından oluşturulur.
Politikanın Geçerliliği ve Yürülükten Kaldırılması
Bu Politika, İstanbul Faktoring Firması ’nin Kişisel Veri İşleme amaçlarında veya yasada bir değişiklik olana kadar geçerlidir. Politikada bir değişiklik olduğunda Politika güncellenir. Komite üyeleri tarafından onaylanır ve yürürlüğe giriş tarihi belirtilir. Eski Politika arşive kaldırılarak 11 yıl saklanır.
Yürürlüğe girdiği tarih:
İlgili Kişinin Hakları
Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.