KVKK Aydınlatma Metni
KVKK Aydınlatma Metni
1. GİRİŞ
Veri sorumlusu olarak, BRQ LİNK ÖDEME HİZMETLERİ ANONİM ŞİRKETİ(“BRQ Link”) için, müşterileri, çalışanları ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması büyük önem arz etmektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Prosedür ve Politika ve BRQ Link bünyesindeki diğer yazılı prosedür ve politikalar ile yönetilen süreç ve hedeflenen gaye; müşteri, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.
Bu kapsamda, 6698 sayılı Kanun ve ilgili mevzuat gereğince kişisel verilerin işlenmesi ve korunması için BRQ Link tarafından gereken idari ve teknik tedbirler alınmaktadır.
Bu prosedür ve politika kapsamında kişisel verisi işlenen gerçek kişiler, Veri İlgilisi, İlgili Kişi veya Kişisel Veri Sahibi olarak ifade edilmiştir.
Bu Politika ve Prosedür’ de kişisel verilerin işlenmesi süreçleri için BRQ Link ‘in benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:
• Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
• Kişisel verileri doğru ve gerektiğinde güncel tutma,
• Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
• Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
• Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
• İlgili kişileri aydınlatma ve bilgilendirme,
• İlgili kişilerin haklarını kullanması için gerekli altyapıyı oluşturma,
• Kişisel verilerin korunması için gerekli tedbirleri alma,
• Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
• Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi.
2. AMAÇ VE KAPSAM
2.1.
Bu politika ve prosedür ile BRQ Link tarafından kişisel verileri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda müşterilerimiz, iş ortaklarımız, mevcut ve aday çalışanlarımız, ziyaretçilerimiz ve üçüncü kişiler başta olmak üzere kişisel verileri işlenen kişilerin bilgilendirilerek şeffaflığın sağlanması amaçlanmaktadır.
2.2.
Politika ve prosedür ile öngörülen temel düzenlemeler doğrultusunda BRQ Link işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacak, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır.
3.İLGİLİ KİŞİ YARDIM MASASI VE KVK KOMİSYONU
BRQ Link nezdinde işbu politika ve prosedür ile belirlenen işlemlerin etkili bir şekilde gerçekleştirilmesi adına “İlgili Kişi Yardım Masası” ve “KVK Komisyonu” kurulmuştur.
4.1.
BRQ Link, Veri Sorumlusu sıfatı ile işbu Politikanın ve Prosedürün tüm iç işleyişlerinin ve süreçlerinin düzenlenmesi yönünden uygulanmasından sorumludur.
4.2.
İşbu Politika ve Prosedür doğrultusunda hazırlanacak yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin BRQ Link bünyesinde uygulanmasından danışman firma desteği ile KVK Komisyonu yetkili ve sorumlu olacaktır.
4.3.
Tüm BRQ Link departmanları ve organları, -tüm personeli ile birlikte-Politika ve Prosedür’e uygun hareket etmek ve Politika ve Prosedür’ün hükümlerine uyulmasını sağlamak ile yükümlüdür.
5.1. Açık rıza:
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
İlgili kişinin bilgilendirildiğini ve aydınlatıldığını ispat yükü veri sorumlusu üzerinde olacağından ilgili kişinin açık rızasının ve bilgilendirme kayıtlarının saklanması ve korunması şirket iç prosedürlerine göre yapılacaktır.
5.2. Anonim hâle getirme:
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
Kişisel verilerin KVKK kapsamını ve Açık Rıza’yı ihlal etmeyen çeşitli amaçlarla, ilgili kişinin talebi ve/veya rızasına uygun olarak anonim hale getirilmesi mümkündür. Anonim hale getirilen kişisel verinin çeşitli yöntemler ile kişiyi belirlenebilir kılan bir hale getirilmemesi için BRQ Link içerisinde gerekli önlemler alınacaktır.
5.3. İlgili kişi:
Kişisel verisi işlenen gerçek kişiyi ifade eder.
BRQ Link ‘in Çalışanlarının (aktif, işten ayrılmış, emekli olmuş vb), Çalışan adaylarının, Tedarikçi kurum temsilcilerinin, Stajyerlerin ve stajyer adaylarının, İş ortaklarının, Ziyaretçilerin, İş başvurusu yapanların, İlişkide olunan diğer tüzel kişilerin gerçek kişi temsilcileri, Üçüncü kişilerin ve diğer gerçek kişi paydaşlarının kişisel veri niteliğindeki verilerinin işlenmesi ve korunması KVKK ve Politika kapsamında BRQ Link tarafından ele alınacaktır.
5.4. Kişisel veri:
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup T.C. kimlik numarası, ad-soyad, e-posta adresi, telefon numarası, adresi, doğum tarihi, banka hesap numarası gibi bilgiler kişisel verilere örnek olarak verilebilir BRQ Link’in içinde bu veriler sınıflandırmaya tabi tutulmuş, her kategori verinin ne şekilde, kimler tarafından, hangi amaçla, ne kadar süre ile işlenebileceği gibi hususlar düzenlenmiştir.
5.5. Kişisel verilerin işlenmesi:
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
5.6. Özel Nitelikli Kişisel Veri:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
5.7. Veri işleyen:
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Kişisel verilere erişim yetkisi olan ve bu verileri KVKK anlamında işleyen personelin kimler olduğu, bu personelin verilere hangi ölçüde, hangi amaçla, ne kadar süre ile erişebileceği ve veriler üzerinde gerçekleştirebilecekleri işlemler iç prosedürler ile departmanlar bazında belirlenmiştir.
5.8. Veri sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
KVKK kapsamında BRQ Link veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kaydolacaktır. Bunun dışında KVK Kurumu ile yürütülecek işlemleri yürütmek üzere BRQ Link içerisinde KVK Komisyonu atanacak olup, KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan bu KVK Komisyonu sorumlu olacaktır. Karar alınmasını gerektiren durumlarda KVK Komisyonu, Hukuk Müşavirinin / KVK Danışmanının görüşünü aldıktan sonra yönetime tavsiye niteliğindeki kararını sunacak, yönetimin onayını müteakip alınan karar uygulamaya konulacaktır.
6. KİŞİSEL VERİLERİN AKTARILMASI
KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılması düzenlenmiştir. Ana kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü şahıslara aktarılamaz. Kişisel verilerin aktarılmasına dair süreçlerde aşağıdaki kriterlere uygunluk sağlanacaktır. Kişisel verilerin aktarılmasına ilişkin olarak tüm mevzuat hükümlerine uygun hareket edilmesi ve aktarım süreçlerinin yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlanması BRQ Link’in sorumluluğunda olup KVK Komisyonu, tarafından bu süreçler takip ve koordine edilecektir.
6.1.1.
İlgili kişinin kişisel verilerin aktarılması için açık rızasının bulunması
KVKK’nun 8. maddesi gereği kişisel verilerin üçüncü şahıslara aktarılması için ana kural ilgili kişinin açık rızasının bulunması olarak belirlenmiştir. BRQ Link tarafından ilgili kişinin hangi kişisel verilerinin yurt içinde üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek kişisel veriler aktarılacaktır.
6.1.2.
İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması
İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Prosedür ve Politika’nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve 6.8. maddeleri ile açıklanan ve KVKK’nun 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.
6.1.3.
İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verilerin aktarılması yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile kişisel verilerin aktarılması
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara aktarılması açık rıza bulunmasa dahi, verilerin işlenmesinin mevzuat hükümlerinde öngörülmesi sebebiyle mümkündür. Bu durumda BRQ Link, işbu Prosedür ve Politika’nın 7. maddesinde düzenlenen koşulların gerçekleştiğini tespit etmek sureti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir. Özel nitelikli kişisel verilerin işlenmesine ilişkin olan gerekli önlemleri alma yükümlülüğü, bu verilerin aktarılması için de öngörülmüş olup, alınacak önlemler KVK Komisyonu, tarafından takip edilerek BRQ Link iç süreçlerine dahil edilmesi sağlanacaktır. Özel nitelikli kişisel verilerin aktarılacağı üçüncü şahısların da söz konusu önlemleri almış olması zorunludur. Aktarım süreçlerinde gerekli önlemlere ilişkin tespit ve koordinasyon, ilgili departman ile KVK Komisyonu, gözetiminde gerçekleştirilir.
6.2.1.
İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının bulunması
KVKK’nun 9. maddesi gereği kişisel veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu nedenle BRQ Link tarafından kişisel verilerin yurt dışına aktarılması için ilgili kişinin açık rızasının alınması temel esas olarak uygulanacaktır. BRQ Link tarafından ilgili kişinin hangi kişisel verilerinin yurt dışında üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek ve Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak kişisel veriler aktarılacaktır.
6.2.2.
İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması
İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Prosedür ve Politika’nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve 6.8. maddeleri ile açıklanan ve KVKK’nun 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin yurt dışında üçüncü şahıslara aktarılması Kişisel Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak mümkündür.
KVKK’nun 9. maddesi uyarınca yurt dışına kişisel verilerin aktarılması için ayrıca, verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Kurul tarafından ilan edilecek güvenli ülke listesi, KVK Komisyonu, tarafından takip edilecek ve BRQ Link iç süreçlerine dahil edilecektir.
Kurul tarafından güvenli ülke listesinin ilanından sonra, verilerin aktarılacağı ülkede yeterli koruma bulunmuyor ise verinin aktarılacağı ülkede verinin aktarılacağı üçüncü kişinin yeterli korumayı taahhüt etmesi ve Kurulun izninin bulunması kaydı ile kişisel veriler yurt dışına aktarılacaktır.
7. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Kişisel veriler, KVKK ve diğer mevzuat hükümleri ile işbu Prosedür ve Politika’ya uygun olarak işlenmiş olsa dahi, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması veya ilgili kişinin talebine istinaden bizzat BRQ Link tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. BRQ Link, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yürürlükte olan veya yürürlüğe girecek olan tüm mevzuat hükümlerini yerine getirmeye elverişli idari ve teknik yapıyı kuracaktır.
8. VERİ SORUMLUSU SIFATI İLE BRQ LİNK’ İN YÜKÜMLÜLÜKLERİ
KVKK uyarınca veri sorumlusu olarak kişisel verilerin korunması ve işlenmesi kapsamında hukuki yükümlülükler aşağıda sıralanmıştır:
8.1. Aydınlatma yükümlülüğümüz
Veri sorumlusu olarak kişisel verileri toplarken;
• Kişisel verilerinizin hangi amaçla işleneceği,
• Kimliğimiz, varsa temsilcimizin kimliğine ilişkin bilgiler,
• İşlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği,
• Verileri toplama yöntemimiz ve hukuki sebebi,
• Kanundan doğan haklar,
hususlarında İlgili Kişi’yi aydınlatma yükümlülüğümüz bulunmaktadır.
8.2. Veri güvenliğini sağlama yükümlülüğü
Veri sorumlusu olarak BRQ Link nezdinde bulunan kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen idari ve teknik tedbirler alınmaktadır. Bu kapsamda;
TEKNİK TEDBİRLER
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapclass="text-justify text-3"ılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
İDARİ TEDBİRLER
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
9. İLGİLİ KİŞİNİN HAKLARI
KVKK’nin 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu olan BRQ Link ‘e karşı aşağıdaki haklara sahiptir:
a. Kişisel verilerin işlenip işlenmediğini öğrenmek ve kişisel verileri işlenmiş ise buna ilişkin bilgi talep etmek,
b. İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,
c. Kişisel verilerin aktarıldığı kişileri bilmek,
ç. Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesini istemek,
d. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
e. Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.
Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak veya Kurul tarafından belirlenecek diğer yöntemlerle BRQ Link’e iletmesi durumunda, KVKK’nin 13. maddesi uyarınca BRQ Link talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Talebin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenecek tarifedeki ücret alınabilecektir. Başvurunun BRQ Link hatasından kaynaklandığının anlaşılması halinde alınan ücret ilgili kişiye iade edilecektir.
BRQ Link tarafından ilgili başvuru sonuçlandırılırken, kişinin anlayabileceği bir dil ve formatta bilgi vermeli ve ilgili kişiye bu bilginin yazılı olarak veya elektronik ortamda gönderilmesi sağlanmalıdır. BRQ Link, talebin niteliğine göre ilgili kişinin başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir. Başvurunun kabul edilmesi halinde talebin gereği BRQ Link tarafından gecikmeksizin yerine getirilir.
İlgili Kişinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyet hakkı bulunduğu konusunda BRQ Link gerekli uyarıları yapar.
10. YÜRÜRLÜK VE GÜNCELLEMELER
İşbu Prosedür ve Politika, BRQ Link Yönetimi tarafından onaylandığı tarihte yürürlüğe girecektir. Prosedür ve Politika’da yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konması hususunda gerekli çalışmalar KVK Komisyonu,tarafından yapılacak ve değişiklikler BRQ Link yönetim kurulu Başkanı’nın onayı ile yürürlüğe girecektir.
Prosedür ve Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda BRQ Link bu Prosedür ve Politika’yı gözden geçirme ve gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir prosedür ve politika oluşturma hakkını saklı tutar. Prosedür ve Politika’nın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi BRQ Link Yönetim Kurulu’na aittir.