Bu politika ile, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (6698 KVKK) kapsamına giren kişisel verilerin, veri sorumlusu sıfatıyla İstanbul Faktoring A.Ş. (Politikada “İstanbul Faktoring” olarak anılacaktır) tarafından kişisel veri işlenmesine ve korunmasına yönelik uygulanan kural ve düzenlemelerin açıklanması amaçlanmaktadır.  

Bu politika, aşağıda yer alan hususları kapsamaktadır;

  1. 6698 KVKK ve ilgili diğer yönetmelik ve tebliğlerde belirtilen hususları,
  2. İstanbul Faktoring A.Ş. tesislerini,
  3. Bu tesislerde gerçekleştirilen veri işlemle faaliyetlerini,
  4. Veri işleme faaliyeti ile ilgili tarafları ve paydaşları,
  5. Veri işleme faaliyetinde yer alan tüm kaynakları kapsamaktadır.

Veri Sorumlusu: İstanbul Faktoring A.Ş.
Web Adresi: https://istanbulfaktoring.com.tr
Telefon: +90 444 81 82
Elektronik Posta: kvkk@istanbulfaktoring.com.tr
KEP: istanbulfaktoring@hs03.kep.tr
Posta Adresi: Maslak Mahallesi Bilim Sok Sun Plaza Apt. No:5A/20 Sarıyer/ İSTANBUL
Şahsen Başvuru Adresi: Maslak Mahallesi Bilim Sok Sun Plaza Apt. No:5A/20 Sarıyer/ İSTANBUL
Aydınlatma Metni Web Adresi: https://istanbulfaktoring.com.tr/kvkk
Kavram / İfadeKanundaki Tanım
Kısaltmanın Açılımı
Kanun6698 Sayılı Kişisel Verilerin Korunması Kanunu
KurumKişisel Verileri Koruma Kurumu
Kişisel veriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikli Kişisel VeriÖğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
İlgili kişi / Veri SahibiKişisel verisi işlenen gerçek kişi (Politika’ da “veri sahibi” şeklinde ifade edilmektedir)
Veri sorumlusuKişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumlusu TemsilcisiTürkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete ’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi

 

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
Veri İşleyenVeri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Kişisel verilerin işlenmesiKişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel Veri İşleme EnvanteriVeri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Veri kayıt sistemiKişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Kayıt OrtamıTamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Alıcı GrubuVeri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Açık rızaBelirli bir konuya ilişkin, bilgilendirmeye ve özgür iradeye dayanan, tereddütte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay
Aydınlatma MetniVeri sorumlusu veya yetkilendirdiği kişi aydınlatma yükümlülüğünü yerine getirirken Veri sorumlusunun ve varsa temsilcisinin kimliğini bildirmelidir. Veri işleme amacını, toplama yöntemini, Hukuki sebebini ve Kanunun 11. maddesinde belirtilmiş olan haklar konusunda ilgili kişiyi bilgilendirmek için yazılmış olan metin. Sözlü de aktarılabilir
İmhaKişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Silme, Yok Etme ve Anonimleştirme

Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Anonimleştirme: Kişisel verilerin başka verilerle eşleştirilirse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

MaskelemeKişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir.
Periyodik İmhaKanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Elektronik OrtamKişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan OrtamlarElektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Kurul Kişisel Verileri Koruma Kurulu
PolitikaKişisel Verileri Saklama ve İmha Politikası
SicilBaşkanlık tarafından tutulan Veri Sorumluları Sicili
(VERBİS)Veri Sorumluları Sicil Bilgi Sistemi:Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
Yönetmelik28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Teknik ve İdari Tedbirler Tanımlar
Kavram / İfadeTanım/Açıklama
Ağ iletişimiIPv4 ve IPv6 trafiği
OTPBir seferlik parola
CihazTüm Yazılımsal veya Donanımsal ürün ve yazılımlar.
FirewallGüvenlik Duvarı
Misafir AğıPersonel ve Sunucu ağlarından izole ve bu ağlara kontrolsüz geçiş izni olmayan ağ.
Yönetici MakineSwitch, Router, Modem, Kablosuz yayın cihazı kontrol sistemi, Sunucu, Yedekleme üniteleri, Yazıcı, Bilgisayarla yönetilen ve log gönderme özelliği olan sistemler.
MakineKişisel Bilgisayar, Kiosk
ÇalışanÇalışanlar, stajyerler, ortaklar, hissedarlar, danışmanlar, denetçiler.
KullanıcıŞirket içi ve dışı tüm çalışanlar.
Veri işlemeGörüntüleme, Çoğaltma, çıktı alma, başka ortamlara aktarma, silme, değiştirme, erişilebilir hale getirme, erişimini engelleme, maskeleme, anonimleştirme, şifreleme, sınıflandırma
Zafiyet TestiYasal hackleme denemesi ile zafiyetin belirlenmesi
SIEMSIEM (Security Information and Event Management) tehdit ve olay yönetimidir. Logların tek merkezde toplanıp analiz edilmesini sağlayan yazılım.
Sızma TestiSistem güvenliği değerlendirmesi için yetkilendirilmiş temsili siber saldırı işlemi
Yetki MatrisiElektronik ortamlarda hangi kişilerin, hangi sistem ve uygulamalara ne kadar süre ile erişebileceği yetkilerinin dokümante edilmesi
KriptolamaYazının veya metnin bir yazılım aracılığıyla başkaları tarafından okunmasının önlenmesi için bir kurala bağlı olarak anlamsız bir şekle dönüştürülmesidir.
XdslDijital abone hattı (DSL) üzerinden yayın yapan bütün teknolojilerin ortak adıdır.
HashlemeElektronik ortamda bir metnin bir daha geri döndürülemeyecek bir şekilde şifrelenmesi
Zaman DamgasıElektronik bir verinin, üretildiği, değiştirildiği, gönderildiği, alındığı veya kaydedildiği zamanın tespit edilmesi amacıyla, hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıtların resmi olarak kanıtlanması.
DLPDLP (Data Loss/Leak Prevention: Veri Kaybı/Sızıntı Önleme) Yazılımı
Veri Analizi, Veri Envanteri, Veri/Mahremiyet Etki Değerlendirme ve Risk Analizi Tanımlar
Kavram / İfadeTanım/Açıklama
Veri Analizi“Kişisel ve özel nitelikli kişisel verilerin” tespiti için excel dosyası formatında hazırlanan Kişisel Veri Haritası üzerinden yapılan analiz.
Veri Etki ve Mahremiyet Etki DeğerlendirmeOlası bir veri ihlali durumunda, veri sahiplerine olabilecek olumsuz etkileri açısından veri etki değerlendirmesi analizi.
Etki Değeri Analizi

Olası bir veri ihlali durumda veri sahibinin Kişisel verileri ile ilgili “Çok Yüksek, Yüksek, Orta, Düşük ve Etki Yok” ifade edecek şekilde 1 ile 5 arasında sayısal değer verilerek etki değerinin belirlenmesidir:

·         Finansal-Ekonomik Kayıp Etkisi

·         Bedensel ve Fiziksel Olumsuzluk Etkisi

·         Mesleki Kariyer Olumsuzluk Etkisi

·         Aile ve Sosyal Çevre Olumsuzluk Etkisi

·         Yasal Cezai Yaptırım Etkisi

·         Dini İnanç ve İbadet Özgürlüğü Olumsuz Etki

Hususlarında kişisel veriler için değerler verilir, bu 6 kategoride verilen değerlerden en yükseği Etki Değeri’ dir.

Risk AnaliziOlası bir veri ihlalinin veri sahibine Etkisi ve Riskin gerçekleşme ihtimalinin yüksekliğine uygun olarak tedbirlerin alınabilmesi için Veri Etki analizi ile Risk analizinin birleştirilmesidir: “Düşük, Orta, Yüksek ve Çok Yüksek” ifade edecek şekilde 1 ile 4 arasında sayısal değer verilerek riskin oluşma ihtimali belirlenmesidir.
Risk Etki DeğeriEtki Değeri ve Risk Analizinden elde edilen sayısal değerler çarpılarak risk etki değerine ulaşılmasıdır. Çıkan sonuca göre uygulanması gereken teknik ve idari tedbirler belirlenir.
İstanbul Faktoring  bünyesinde, Kanuna uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla bir Kişisel Verilerin Korunması Komitesi (“Komite” olarak anılacaktır) kurulmuştur.  Kanuna ve Politikaya uygun olarak Kişisel verilerin saklaması ve imhası süreçlerinde yer alan kişilerin unvanları, birimleri ve görev tanımları
ÜNVAN GÖREVİ
Komite Başkanı Komite başkanlığı, hukuksal sürecin yönetimi, proje önderliği, proje için finansman ve gerekli işgücünün sağlanmasından sorumludur. Çalışanların politikaya uygun hareket etmesinden sorumludur.
Komite Sözcüsü Çalışanların politikaya uygun hareket etmesinden ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur.
Komite Üyesi Politikanın yayınlanması, yürütülmesi, güncellenmesi ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur.
Komite Üyesi Politikanın yayınlanması, yürütülmesi, güncellenmesi ve teknik ve idari tedbirlerin uygulanıp denetlenmesinden sorumludur.
Bu Komite’ nin başlıca görevleri şöyledir;
  • Kişisel verilerin korunması ve işlenmesi ile politika ve prosedürleri hazırlamak ve yürürlüğe konulması için gerekli aksiyonları almak,
  • Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak ve ilgili aksiyonların alındığının takibinin gerçekleştirmek, eksiklerin giderilmesini sağlamak ve bunun için gerekli birimlere gerekli desteği sağlamak.
  • Kişisel verilerin politika ve hukuka aykırı olarak işlenmesini engellemek, kişisel verilerin işlendiği tüm ortamlarda ve tüm aşamalarda güvenliğini sağlamak.
  • Kanun’un 12. maddesi uyarınca yapılacak denetimlerin takibini yapmak,
  • Kanuna uyulması için, Kişisel veri işleyen tüm personelin Kişisel Verilerin Korunması Kanunu ile ilgili gerekli eğitimleri almasından ve konunun anlaşılmasından,
  • Kanun’un uygulaması ile ilgili şirket içinde farkındalığı arttırmak için alınacak aksiyonları belirlemek, aksiyonlara ilişkin gerekli görev dağılımını yapmak,
  • Kanun ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek soru ve sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,
  • Gereken hallerde veri sahibi başvurularının çözümü için gerekli aksiyonları almak,
  • Veri ihlali durumlarında, kanunda belirtilmiş olan esaslara uygun olarak
  • Kişisel Verileri Koruma Kurumuna bilgi vermek,
  • Gerekli durumlarda Veri Sahibine bilgi vermek,
  • Kişisel Verileri Koruma Kurumu ile olan ilişkileri yürütmektir.
  • Kişisel Verileri Koruma Kurumunun Kararlarına uyulmasından sorumludur.
Veri sorumlusu konumunda olan İstanbul Faktoring  6698 KVKK’nın 4. maddesi gereğince kişisel verilerin işlenmesinde aşağıdaki ilkelere uygun hareket etmektedir:
  • Hukuka ve dürüstlük kurallarına uyum: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmelidir. Veri sorumlusu olarak, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uyulmaktadır.
  • Doğruluk ve güncellik: Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulanmalıdır. Bu doğrultuda verilerini, veri işleme sistemine doğru girilmesi için gerekli veri giriş, kontrol ve doğrulama süreçleri oluşturulmuştur. Bununla birlikte veri sahibinin güncellenen veya yanlışlıkla hatalı girilen kişisel verilerinin güncellenmesi için gerekli talep, inceleme ve güncelleme süreçleri oluşturulmuş olup, dijital ortamlarda veri girişi ve veri güncellemeye ilişkin işlem logları da tutulmaktadır.
  • Belirli, açık ve meşru amaçlar için işleme: Veri sorumluları, Kanun kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda, İstanbul Faktoring bilgilendirme/aydınlatma metninde belirtildiği üzere, VERBİS sistemine de uygun olarak veri işleme amaçları belirtilmiştir. Bakınız: “https://istanbulfaktoring.com.tr/kvkk/kisisel-verilerin-korunmasi/
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Veri sorumluları, Kanun kapsamında belirledikleri veri işleme amaçları ile sınırlı ve yeterli düzeyde veri işlemekle yükümlüdür. Bu doğrultuda, İstanbul Faktoring tarafından, veri sahibine bildirilen amaçları gerçekleştirmek için gerekli olan yeterli düzeyde kişisel veri alınmakta ve işlenmektedir.
İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Kişisel veriler, yürürlükte bulunan mevzuat, taraflarca imzalanan sözleşme gereksinimleri ve işleme amaçları ile doğrultusunda belirlenen süreler boyunca muhafaza edilmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Sürelerin sona ermesinin ardından kişisel veriler, şirket prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Veri sorumlusu konumunda olan İstanbul Faktoring  tarafından aşağıda belirtilmiş olan, ilişkide bulunduğu üçüncü kişilerin, kurumların ve kuruluşların çalışanlarına ait kişisel verileri Kanuna uygun olarak saklar ve imha eder.

Çalışan
Çalışan Adayı
Çalışanın Bakmakla Yükümlü Olduğu Kişi veya Çocuk
Habere Konu Kişi
Hissedar/Ortak
Kamu Çalışanı
Olaya Karışan Kişi
Potansiyel Ürün veya Hizmet Alıcısı
Referans Gösterilen Kişi
Stajyer
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
Web Sayfası Ziyaretçisi
Ziyaretçi

 

1136 Sayılı Avukatlık Kanunu

1512 Noterlik Kanunu

2004 Sayılı İcra ve İflas Kanunu

213 Sayılı Vergi Usul Kanunu

2559 Sayılı Polis Vazife ve Salahiyet Kanunu

2803 Sayılı Jandarma Teşkilat, Görev Ve Yetkileri Kanunu

2918 Sayılı Karayolları Trafik Kanunu

3568 Sayılı SMMM ve YMM Kanunu

4208 Sayılı Karaparanın Aklanmasının Önlenmesine Dair Kanun

4721 Sayılı Türk Medeni Kanunu Madde 881

4857 Sayılı İş Kanunu

5070 Sayılı Elektronik İmza Kanunu

5411 Sayılı Bankacılık Kanunu

5429 Sayılı Türkiye İstatistik Kanunu

5490 Sayılı Nüfus Hizmetleri Kanunu

5651 İnternet Ortamında Yapılan Yayınların Düzenlenmesi

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi

5684 Sayılı Sigortacılık Kanunu

5941 Sayılı Çek Kanunu

6098 Sayılı Türk Borçlar Kanunu

6102 Sayılı Türk Ticaret Kanunu

6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu

6331 Sayılı İş Sağlığı ve Güvenliği Kanunu

6361 Sayılı Finansal Kiralama Faktoring Finansman ve Tasarruf Finansman Şirketleri Kanunu

6362 Sayılı Sermaye Piyasası Kanunu

6362 Sayılı Sermaye Piyasası Kanununun Borçlanma Araçları Tebliği

6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu

6740 Sayılı Zorunlu Otomatik Bireysel Emeklilik Sistemi

BDDK Finansal Kiralama, Faktoring Ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ

Elektronik Tebligat Yönetmeliği 6 Aralık 2018 Tarih 30617 Sayılı Resmî Gazete

Konsolosluk İlişkileri Hakkında Viyana Sözleşmesi  27 Eylül 1975 tarih 15369 sayılı Resmî Gazete

Sermaye Şirketlerinin Açacakları İnternet Sitelerine Dair Yönetmelik 28663 Sayılı Resmî Gazete

Takasbank Para Piyasası Prosedürü

Kanun’un 5 ve 6. maddeleri, kişisel veriler ve özel nitelikli kişisel verilerin işlenmesine yönelik şartları belirtmektedir. Özel nitelikli kişisel veriler, kanunun 6. maddesinde sınırlı bir şekilde belirtilmiş olup, aşağıdakilerle sınırlıdır: 

  • Kişilerin ırkı
  • Etnik kökeni
  • Siyasi düşüncesi
  • Felsefi inancı
  • Dini, mezhebi veya diğer inançları
  • Kılık ve kıyafeti
  • Dernek, vakıf ya da sendika üyeliği
  • Sağlığı, cinsel hayatı
  • Biyometrik ve genetik verileri

Kanunun 5. Maddesinde, veri sahibinin açık rızası olmadan, kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:

  • Kanunlarda açıkça ön görülmesi.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin (veri sahibi) kendisi tarafından alenileştirilmiş̧ olması.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanunun 6. Maddesinde, veri sahibinin açık rızası olmadan, özel nitelikli kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Veri sorumlusu olarak İstanbul Faktoring  öncelikli olarak veri sahiplerinden açık rıza alma yolunu seçmiştir. Bununla birlikte sunulan ürün ve hizmetlerden kendi isteği ile faydalanmak isteyen müşterilerin ve sunulan ürün ve hizmetlerden ve bunların neticesinden menfaat elde eden çalışanların, tedarikçilerin ve diğer paydaşların kişisel verilerini yukarıda belirtilen istisnalar kapsamında işleyecektir. Bu işleme, bilgilendirme/aydınlatma metninde belirtilen amaçlar doğrultusunda, sınırlı ve ihtiyaç duyulduğu kadar verinin işlenmesi şeklinde olacaktır.      

 

Veri sorumlusu olarak İstanbul Faktoring, bilgilendirme ve açık rıza almak için şu yöntemleri kullanmaktadır:

  • Islak imzalı açık rıza beyanı alma: Ürün ve/veya hizmet talebinde bulunulduğunda ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
  • Tedarikçi sözleşmeleri: Firma ile sözleşme imzalanırken ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
  • Çalışan ile İş Sözleşmeleri: Personel ile iş akdi yapılırken veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
  • Dijital ortamda onay alınması: Hizmet talebinde bulunurken, sipariş verirken ve/veya veri işleme politikasında değişiklik olduğunda veri işlemeye başlamadan önce.
  • Sesli onay sistemi: Santral aracılığı ile onay alınması

Veri sorumlusu olarak İstanbul Faktoring , VERBİS sisteminde de yer alan aşağıda belirtilen amaçlar doğrultusunda kişisel ve özel nitelikli kişisel verileri işlemektedir:

 

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Çalışan Adayı / Stajyer Seçme ve Yerleştirme Süreçlerinin Yürütülmesi

Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Denetim / Etik Faaliyetlerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi

Finans ve Muhasebe İşlerinin Yürütülmesi

Fiziksel Mekân Güvenliğinin Temini

Hukuk İşlerinin Takibi ve Yürütülmesi

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İş Faaliyetlerinin Yürütülmesi / Denetimi

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Organizasyon Ve Etkinlik Yönetimi

Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

Risk Yönetimi Süreçlerinin Yürütülmesi

Saklama ve Arşiv Faaliyetlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

Yönetim Faaliyetlerinin Yürütülmesi

Elektronik Ortamlar Elektronik Olmayan Ortamlar
Sunucular (DHCP Sunucusu, Domain Controller, Dosya Sunucusu, DVR, Firewall, Ortak Klasör, Qnap, Santral, Server) Kâğıt
Yazılımlar (Antivirüs, Araç Takip Sistemi, E-Finans, E-posta, Excel, Finsis, Log Kaydı Uygulaması, Anlık Mesajlaşma Uygulaması, Microsoft Teams, Outlook, PDF/JPG, Winper, Yedekleme Programı, World) Manuel veri kayıt sistemleri (Talep ve şikayetleri, anket formları, Veri sahibi haklarına ilişkin yazılı başvurular, diğer yazılı başvurular, denetleme ve görev tutanakları …)
Harici depolama üniteleri (Harici Disk, Hard Disk) Tüm yazılı, basılı, görsel ortamlar
Kişisel Bilgisayarlar (İş Bilgisayarı)
Fotokopi Makinesi, Faks Makinesi, Telefon Santrali
Mobil Cihazlar (Cep Telefonu)
Optik Diskler
Kişisel Telefonlar
Dosya Uzantısı (xml, PDF, JPG, MP4)
Web Sayfaları (GİB, Alo Maliye, Mersis, MKK, Risk Merkezi, Web Sayfası, SGK E-bildirge)

Kişisel veriler, veri sorumlusu sıfatıyla İstanbul Faktoring A.Ş. tarafından KVKK da belirtilen yükümlülükler ve 6. Madde de yer alan amaçlar için “Yurt İçinde ve Yurt Dışında başka bir Tüzel veya Gerçek kişi ile paylaşılabilir.

 

Kişisel verilerin aktarılmasına ilişkin şartlar kanunun 8. Maddesinde belirtilmektedir. Kanun burada; kişisel verilerin aktarımı ile ilgili olarak verinin “özel nitelikli kişisel” veri olup olmadığına göre bir ayrıma gitmiştir. Bununla birlikte, yukarıda 5. Madde de kişisel verilerin işlenme amaçları kısmında belirtilen işleme şartlarından birinin varlığı halinde ve yeterli “idari ve teknik güvenlik tedbirlerini” almak koşuluyla üçüncü kişilere aktarılabilmesine izin vermektedir. Yukarıda 5’inci maddede ve kanunun 5-6. Maddelerinde yer alan açık rıza ve istisna durumları kişisel verilerin aktarılması içinde geçerlidir.

 

İstanbul Faktoring  Firması tarafından YURT İÇİNDE aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmaktadır: 

Adli Merciler

Anlaşmalı Araç Servis Firması

Anlaşmalı Araç Takip Firması

Anlaşmalı Avukat ve/veya Avukatlık Bürosu

Anlaşmalı Bağımsız Denetim Firması

Anlaşmalı Banka

Anlaşmalı Bireysel Emeklilik Acentesi/Firması

Anlaşmalı Eğitim Firması

Anlaşmalı E-İmza Sağlayıcı Firma

Anlaşmalı Seyahat Acentesi

Anlaşmalı Sigorta Acentesi/Firması

Anlaşmalı Yeminli Mali Müşavir

Bağımsız Denetçi veya Denetim Firması

Bankacılık Düzenleme ve Denetleme Kurumu

Domain & Hosting Firması

Edenred Kurumsal Çözümler A.Ş (Ticket)

E-finans Fatura Entegratörü

E-posta Servis Sağlayıcı

Finansal Kurumlar Birliği (MFKS)

İstanbul Faktoring Web Sayfası

İstanbul Takas ve Saklama Bankası A.Ş.

Kamu Kurum ve Kuruluşları (GİB, İcra İşleri Dairesi, Noter, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, SGK, TUİK, Türkiye İş Kurumu)

KKB Kredi Kayıt Bürosu A.Ş

Kolluk Kuvvetleri

KVKK Danışman Firması

Mali Suçlar Araştırma Kurulu (MASAK)

Merkezi Kayıt Kuruluşu A.Ş

Potansiyel Ürün veya Hizmet Alıcısı

Sektör Birlikleri

Sermaye Piyasası Kurulu Aracı Kuruluşları

Tapu Kadastro Genel Müdürlüğü (TAKBİS)

Türkiye Bankalar Birliği Risk Merkezi

TÜVTÜRK

Ürün veya Hizmet Alan Kişi veya Firma

Ürün veya Hizmet Veren Kişi veya Firma

 

Yurt dışına kişisel veri aktarımında kanun aşağıda yer alan hususlara uyulmasını şart beklemektedir:

  • Veri sahibinin açık rızasının bulunması veya açık rıza istisnaları şartlarından birinin veya birkaçının karşılanması halinde,
  • Verilerin aktarıldığı ülkede yeterli koruma (*) bulunması halinde,
  • Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ise, veri sorumlusu sıfatıyla İstanbul Faktoring ilgili yabancı ülkedeki veri sorumlusu ile yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması şartı ile aktarılabilmektedir. 

(*) Yeterli korumanın bulunduğu ülkeler KVKK Kurulu tarafından belirlenerek ilan edilir. 

 

İstanbul Faktoring  tarafından YURT DIŞINDA aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” aktarımı yapılmaktadır:

 

Sosyal Medya (Facebook, Instagram, Linkedin, Youtube, Twitter)

İstanbul Faktoring  tarafından, 6.Maddede belirtilen amaçlar doğrultusunda aşağıda yer alan kişisel veri kategorilerindeki kişisel ve özel nitelikli kişisel veriler paylaşılmaktadır:
Veri Kategorisi Kişisel Veri Kategorizasyonu Açıklama
Kimlik Bilgileri Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan bilgiler ve ek olarak İlk Soyad, Kullanıcı adı
İletişim Bilgileri Kişiyle iletişim kurulması amacıyla kullanılan bilgileri
Lokasyon Bilgileri Veri sahibinin konumunu tespit etmeye yarayan veriler
Özlük Bilgileri Çalışanların özlük haklarının oluşmasına temel olan kişisel veriler
Hukuki İşlem Bilgileri Kişinin mahkemelerle olan henüz sonuca bağlanmamış hukuksal işlem verileri
Müşteri İşlem Bilgileri Ürün ve hizmetlerimizden faydalanan müşteriler tarafından gerçekleştirilen her türlü işleme ilişkin bilgiler
Fiziksel Mekân Güvenliği Bilgileri Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler
İşlem Güvenliği Bilgileri Cihazı kullanan kişinin dijital ayak izine ulaşmayı sağlayan veriler
Risk Yönetimi Bilgileri Ticari, teknik, idari risklerin yönetilmesi için işlenen veriler
Finans Bilgileri Kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler
Mesleki Deneyim Bilgileri Kişinin edindiği kişisel donanım bilgileri
Pazarlama Bilgileri Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler
Görsel ve İşitsel Kayıt Bilgileri Kişisel veri sahibiyle ilişkilendirilen görüntü ve ses verileri
Sağlık Bilgileri Kişinin sağlığıyla ilgili olan tüm verileri
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri Kişilerin adli makamlarla ilgili olan verileri
Kişisel Veri İmhasını Gerektiren Sebepler ;
  • İşlenmesini gerektiren ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
  • İşlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği durumlarda, ilgili kişinin açık rızasını geri çekmesi,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun İstanbul Faktoring tarafından kabul edilmesi,
  • İstanbul Faktoring ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya f. Kanunda öngörülen süre içinde cevap vermemesi hallerinde; İlgili Kişinin Kişisel Verileri Koruma Kurumuna bulunması sonrası talebin Kişisel Verileri Koruma Kurumu tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin dolmasından sonra ilgili kişinin başvurusu ile ve/veya ilk periyodik silme işleminde silinir, yok edilir veya anonim hale getirilir.
Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da anonim hâle getirilmesi gerekir.
Periyodik İmha Süresi
Periyodik imhalar her yıl Ocak-Şubat aylarında yapılacaktır.
Veri Sahibinin Hak ve Yükümlülükleri
Veri Sahibi, Kanun’un 11. maddesine göre veri sorumlusuna karşı aşağıdaki haklara sahiptir:
  • Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme.
  • Kendisi ile ilgili kişisel veri işlenmiş ise buna ilişkin bilgi talep etme.
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
  • İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
  • Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Aşağıda belirtilen maddeler ve hususlara göre, bu kanun uygulanmayacağından, veri sahibin hakları belirtilen durumalar çerçevesinde işleme alınmayacaktır. Kanun’un 28. Maddesinin 2. Fıkrasında, kanunun 11.Maddesinde belirtilen veri sahibinin uğradığı zararın giderilmesi hakkı hariç, aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):
  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
Kanun’un 28. Maddesinin 1. Fıkrasına göre aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):
  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uymak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Veri Sahibi Tarafından Hakların Kullanılması 
 Veri sorumlusu sıfatıyla İstanbul Faktoring  tarafından, talepte bulunan kişinin kimliği tespit edilecek şekilde başvuru yapan veri sahibinin talepleri değerlendirmeye alınacaktır. Kimliği belirlenemeyen veri sahibine ilişkin şirket içinde veri işleme araştırması yapılamayacağından, talep işleme alınmayacaktır. Bununla birlikte, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edilebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltilebilir. Veri sahibi yukarıda bahsi geçen haklarını kullanmak için şu kanallar vasıtasıyla talepte bulunabilir:
  • www.istanbulfaktoring.com.tr/kvkk adresinde yer alan başvuru formunu doldurarak, istanbulfaktoring@hs03.kep.tr veya kvkk@istanbulfaktoring.com.tr E-posta adreslerinden birine talebini E-posta ile ileterek,
  • Maslak Mahallesi Bilim Sok Sun Plaza Apt. No: 5 A/20 Sarıyer/ İSTANBUL adresine fiziki posta göndererek,
  • Maslak Mahallesi Bilim Sok Sun Plaza Apt. No: 5 A/20 Sarıyer/ İSTANBUL adresine fiilen gelerek yazılı başvuruda bulunarak,
  • +90 444 81 82 nolu telefonu arayarak.
Kanunda öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen veri sahiplerine, yine Kanun’da öngörülen şekilde azami otuz gün içerisinde cevap verilmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır. Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından ücret tarifesi öngörülmesi durumunda bu tarife üzerinden ücretlendirme yapılabilecektir.
Veri Sorumlusunun Hak ve Yükümlülükleri
Kanunun 10, 12 ve 16. maddelerinde belirtildiği üzere veri sorumlusu aşağıda yer alan sorumluluk, hak ve yükümlülüklere sahiptir:
  • Aydınlatma yükümlülüklerini yerine getirmek.
  • Kişisel verilere hukuku aykırı erişilmesini ve işlenmesini engellemek.
  • Kişisel verilerin belirtilen işleme amaçları dışında kullanılmasını önlemek.
  • Yeterli idari ve teknik tedbirleri alarak kişisel verileri veri ihlallerine karşı korumak.
  • Kendi adına başka bir gerçek veya tüzel kişiye kişisel veri işletiliyor ise, müşterek sorumluluk kuralı gereğince, gerekli idari ve teknik tedbirleri almak ve aldırmak.
  • Kanunda belirtilen hükümlerin uygulanmasını sağlamak amacıyla belirli periyotlarda denetimler yapmak veya yaptırmak.
  • Kanuna aykırı bir durum olduğunda kurula ilgililere uygun kanallar vasıtasıyla bildirmek.
  • Kurul tarafından belirtilen kurallar çerçevesinde VERBİS’ e (sicile) kayıt yaptırmak.
  • Asgari 6 aylık periyotlarda veri envanterini gözden geçirerek, kullanım amacı ve süresi biten verilerin imhasını gerçekleştirmek.
  • Veri sahibi, veri kurulu ve diğer yasal mercilerce iletilen talepleri incelemek ve gerekli çalışmaları yapmak.
Veri Sahibinin Aydınlatılması ve Açık Rıza;
 Veri sahibi, web sayfamızı ziyaretinde ve ürün hizmet kullanımı sırasında kişisel verilerin kullanım amaçları hususunda bilgilendirilmekte ve açık rıza beyanları alınmaktadır. Bunların yanı sıra tesisin muhtelif görünür yerlerinde bilgilendirme metinleri yer almaktadır.
Veri İşleyenin Hak ve Yükümlülükleri
 Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Veri işleyen kapsamında şunlar değerlendirilmektedir:
  • Ürün ve hizmet alınan tedarikçiler ve iş ortakları,
Veri isleyenler öğrendikleri kişisel verileri, Kanun hükümlerine aykırı olarak başkasına açıklamama ve işleme amacı dışında kullanmama yükümlülüğü altındadır. Bu yükümlülük, veri işleyenin görevinden ayrılmasından sonra da devam etmektedir. Kişisel verilerin hukuka aykırı olarak islenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesinin önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü̈ teknik ve idari tedbirlerin alınması hususunda veri işleyen, veri sorumlusu ile müştereken sorumludur. Veri işleyen ihmal, hata veya kasıtlı olarak veri ihlali gerçekleştirmesi durumunda kanuni çerçevede cezai yaptırımla karşı karşıya kalacaktır. Veri işleyen sıfatıyla;
  • Tedarikçiler ile ürün ve hizmet alımı sözleşmesinde görev, hak ve yükümlülükler belirtilmiştir.

Kişisel verilerin saklanma süreleri yürürlükte bulunan mevzuat ve süreç konusu verilerin işlenme amaçları göz önünde tutarak belirlenmektedir. Saklama süreleri her halükârda yasal yükümlülükler ve ilgili zamanaşımı süreleri ışığında tespit edilmektedir.

Faaliyet / Süreç

Saklama Süresi

İlgili Kanun

İmha Süreleri

Müşteri Sözleşmeleri

11 Yıl

*6361 Sayılı Finansal Kiralama Faktoring Finansman ve Tasarruf Finansman Şirketleri Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Veri Silme Tutanak

6 Yıl

*6698 Sayılı Kişisel Verilerin Korunması Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Bağımsız Denetim Bağımsız Denetim Raporu Tam Tasdik Denetimi

11 Yıl

*3568 Sayılı SMMM ve YMM Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

MASAK Şüpheli İşlem Bildirimi ve Taahhüt, Online Uyum Görevlisi Atama

11 Yıl

*5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun  *6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Çalışan Özlük Bilgileri

11 Yıl

*4857 Sayılı İş Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Çalışan Sağlık Bilgileri

16 Yıl

*6331 Sayılı İş Sağlığı ve Güvenliği Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Asıl Borçlu Teyit, Faktoring Sözleşmesi Evrakları Konkordato Bilgileri, Kredi Komitesi KRM Raporu Finsis, Mersis Sorgulama, TBB Risk Merkezi Çapraz Rapor Sorgulama, TBB Risk Merkezi Çek Raporu Sorgulama, TBB Risk Merkezi Memzuç Rapor Sorgulama

11 Yıl

*6098 Sayılı Türk Borçlar Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve yok etme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Ödeme Aracı Ödeme Aracı Finsis Karar Defterleri

11 Yıl

*6102 Sayılı Türk Ticaret Kanunu

● Saklama süresinin dolmasını takip eden ilk periyodik silme işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Kullanıcı Bilgisayarları KVKK Dokümanları Telefon Sıfırlama Yedekleme ve Transfer

11 Yıl

*6698 Sayılı Kişisel Verilerin Korunması Kanunu

● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Kamera Kaydı İzleme

6 ay sonra eski verinin üzerine yenisi yazılır

*2803 Sayılı Jandarma Teşkilat, Görev Ve Yetkileri Kanunu *2559 Sayılı Polis Vazife ve Salahiyet Kanunu”

● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Gizlilik Sözleşmesi

Çalışan işten ayrıldıktan sonra 11 yıl

*6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun

● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

İş Görüşmesi

1 Ay

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Asıl Borçlu Teyit Telefon Teyidi Santral Ses Kaydı Şirket Telefonu ve Hattı

6 Ay

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Sosyal Medya

Açık Rıza süresince

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Sosyal Medya

Hesap kullanıldığı ve paylaşım silinmediği sürece

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Alan Adı Yönetimi Kartvizit ile İletişim

Ticari ilişki süresince

Kişisel Verilerin Korunması ve İşlenmesi Politikası

● Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde ● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Log Gönderme
Loglama
Güvenlik Ayarları

4 Yıl

*5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi
*BDDK Finansal Kiralama, Faktoring Ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ

● Saklama süresinin dolmasını takip eden ilk periyodik silme ve imha işleminde
● Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

Ayrıntılı saklama süreleri için ;

www.istanbulfaktoring.com.tr/kvkk adresinde yer alan başvuru formunu doldurarak, istanbulfaktoring@hs03.kep.tr veya kvkk@istanbulfaktoring.com.tr E-posta adreslerinden birine taleplerinizi iletebilirsiniz.

Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusunun kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

  • Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
  • Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok edilen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilirse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemez hale getirilmesi gerekir.

Veri sorumlusu sıfatıyla İstanbul Faktoring  tarafından, kişisel verilerin güvenliğini sağlamaya yönelik, makul seviyede idari ve teknik tedbirler alınmıştır. İdari ve teknik tedbirler, veri işleme süreçleri bu süreçleri gerçekleştirmek için ihtiyaç duyulan varlıklar/kaynaklar ve bunlar üzerindeki veri güvenliği riskleri göz önüne alınarak belirlenmiştir.

Kişisel veri koruma açısından risk, kişisel ve özel nitelikli kişisel verilerin kasten, hata ile veya ihmal sonucu kötüye kullanımına sebebiyet verebilecek her türlü durum ve olay olarak tanımlanmaktadır.

İdari ve teknik tedbirler için veri güvenliği riskleri değerlendirme alanları ayrıntılı bilgi için www.istanbulfaktoring.com.tr/kvkk adresinde yer alan başvuru formunu doldurarak, istanbulfaktoring@hs03.kep.tr veya kvkk@istanbulfaktoring.com.tr E-posta adreslerinden birine taleplerinizi iletebilirsiniz.

Veri sahibinden, veri koruma kurulundan ve diğer ilgili yasal mercilerden gelen talepler aşağıda belirtilen adımlar gerçekleştirilerek işlenir:

1.Adım: Talebin Karşılanması:
  • E-posta, fiziksel dilekçe veya posta yoluyla gelen tüm talepler KVKK Komitesi üyeleri tarafından karşılanır.
  • Talep takip formuna gelen talep işlenir ve kanunda belirtilen 30 günlük cevaplama süresi başlatılır.
  • Talep içeriği kontrol edilmek üzere aynı gün içerisinde KVKK komitesi üyelerine iletilir.
  • Bir sonraki gün için KVKK komite üyeleri toplantıya çağrılır.
  2.Adım: Talep İçeriğinin Kontrol Edilerek Anlaşılması:
  • Komite üyeleri tarafından talebin içeriği kontrol edilir.
  • KVKK talep değerlendirme toplantısında ilgili taraflarca talep içeriği görüşülür.
  • Talep sahibinin kimliği belirlenebilir değilse talep işleme alınmaz ve talep gelen kanaldan gerekçesi belirtilerek geri bildirim yapılır.
  • İhtiyaç duyulması halinde ise talep sahibine kimliğini belli etmek ya da talebi daha detaylı anlamak için sorular sorulur.
  • Dijital tarafta ve basılı belgelerde yapılması gereken araştırma çalışmaları belirlenir.
  • Yapılacak çalışmalar için sorumlu ve görev bitiş tarihi belirlenerek görev ataması yapılır.
  • KVKK komitesi başkanı tarafından talep takip formuna, görevler, sorumlular ve görev tamamlanma tarihi işlenir.
  3.Adım: Talebe Yönelik Araştırma Yapılması:
  • Veri envanteri çalışması referans alınarak hem basılı belgeler hem de dijital ortamdaki bilgiler kontrol edilir.
  • Talebin içeriğine uygun olarak istenen bilgiler toplanır.
  • KVKK Komitesi başkanına bilgiler iletilir.
  • Toplanan bilgiler, başkan tarafından konsolide edilerek taslak cevap metni oluşturulur ve komite üyelerine iletilir.
  • Komiye üyeleri talep cevabının oluşturulması için toplantıya davet edilir.
  4.Adım: Talep Cevabının Oluşturulması:
  • KVKK Komitesinde talep cevap metni görüşülür
  • Cevap yazısı oluşturulur.
  5.Adım: Talebe Cevap Dönülmesi:
  • Talep sahibinin belirttiği kanal üzerinden veya talebin geldiği kanal üzerinden talebe cevap verilir.
  • Talep takip formuna talep cevaplama tarihi, kanalı bilgileri ve talebe istinaden yapılan işlemlerin özet bilgisi kaydedilir.
  6.Adım: Talebin Arşivlenmesi: 
  • Alınan talep bilgisi ve gönderilen cevap bilgisi ile varsa bunlara ilişkin basılı ve dijital belgeler arşivlenerek saklanır.
  • Talep kapatılır.

İstanbul Faktoring  tarafından, 6698 KVKK kapsamında oluşturmuş olduğu veri koruma yönetimi yapısını, yılda asgari bir kez olmak üzere kendi bünyesindeki iç denetçiler aracılığıyla veya dışarıdan denetim hizmeti satın alarak, kanunda ve bu politikada belirtilen hususları yeterlilik, uygunluk ve etkinlik yönlerinden denetime tabi tutmaktadır.

Bir veri ihlali olması durumunda, KVKK Kurulunun belirtiği üzere, olay anlaşıldıktan sonra 72 saat içinde KVKK kuruluna, yine kurulun belirttiği formatta bildirim yapılır.

Bildirim kararı ve bildirim içeriği, gerekli olay etki araştırması yapıldıktan sonra KVKK Komitesi tarafından oluşturulur.

Bu Politika, İstanbul Faktoring  Firması ’nin Kişisel Veri İşleme amaçlarında veya yasada bir değişiklik olana kadar geçerlidir. Politikada bir değişiklik olduğunda Politika güncellenir. Komite üyeleri tarafından onaylanır ve yürürlüğe giriş tarihi belirtilir. Eski Politika arşive kaldırılarak 11 yıl saklanır.

Yürürlüğe girdiği tarih:

personel genel Aydınlatma Metni
Personel Adayı Aydınlatma Metni
Müşteri Genel Aydınlatma Metni
Potansiyel Müşteri Aydınlatma Metni
Kamu Çalışanı Aydınlatma Metni
İş ortakları Aydınlatma Metni
Kamera Aydınlatma Metni
onlıne iş başvuru Aydınlatma Metni
Kişisel veri sahibi başvuru formu

İlgili Kişinin Hakları

Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

  • TCMB
  • BDDK
  • Mali Suçları Araştırma Kurulu
  • Finansal Kurumlar Birliği