-
AMAÇ
Bu politikada kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla Vizyon Elektronik Para ve Ödeme Hizmetleri A.Ş.’ de yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve yeknesaklığın sağlanması amaçlanır.
2.TANIMLAR
Vizyon /Hakim Şirket : Vizyon Elektronik Para ve Ödeme Hizmetleri A.Ş.
KVKK : 07.04.2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu
6493 sayılı Kanun : 27.06.2013 tarihli ve 28690 sayılı Resmî Gazete’de yayımlanan, 20.06.2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Hakkında Kanunu
Kurul : Kişisel Verileri Koruma Kurulu’nu
Politika : Vizyon Kişisel Verilerin İşlenmesi ve Korunması Politikasını
A Grubu Kişisel Veriler : Vizyon nezdinde elektronik para veya ödeme hesabı bulunan ve/veya hesap açılması için müracaatta bulunan gerçek ve tüzel kişilere ait kişisel verileri
B Grubu Kişisel Veriler : A Grubu Kişisel Veriler Dışında kalan kişisel verilerdir. (Örneğin personel giriş çıkış kayıtları, müşteri olan / olmayan 3. kişilerin, personelin, ziyaretçilerin ses görüntü ve internet erişim kayıtları vb.)
3.KAPSAM VE SORUMLULUKLAR
Bağlı bulunan kanun, mevzuat ile standartlar doğrultusunda Vizyon çalışanları ve Vizyon’un Kartlı ödeme, elektronik para, cüzdan ve mobil uygulama sistemlerini kullanan kişi, kurum ve kuruluşlara ait verilerin işlenmesi ve saklanmasına dair yöntem ve sürçleri kapsamaktadır.
4.UYGULAMA
4.1 Mevzuata ve Dürüstlük Kurallarına Uygun Davranma
Vizyon kişisel verilerin işlenmesi faaliyetleri kapsamında mevzuata, dürüstlük kurallarına ve veri işleme amaçlarına uygun hareket edecektir.
4.2 Gerekli Olan Süre Kadar Muhafaza Et
Vizyon, A GRUBU KİŞİSEL VERİLERİ 6493 Sayılı Kanun’da belirtildiği süre kadar ve B GRUBU KİŞİSEL VERİLERİ işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Vizyon öncelikle 6493 Sayılı Kanun md.23’ye göre A GRUBU KİŞİSEL VERİLERİ 10 (On) yıl süre ile saklamakla yükümlüdür. Vizyon Elektronik Para ve Ödeme Hizmetleri A.Ş., B GRUBU KİŞİSEL VERİLERİ ise işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde Vizyon kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir.
4.3 Kişisel Verileri Gerçeğe Uygun ve Güncel Tutma
Vizyon işlemekte olduğu kişisel verilerin gerçeğe uygun ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır. Veri sahibinin kendisiyle ilgili olarak Vizyon Elektronik Para ve Ödeme Hizmetleri A.Ş.’de tutulan verilerin eksik veya yanlış olduğunu düşünmesi halinde, veri sahibinin Vizyon ’a durumu derhal yazılı olarak bildirmesi gerekmektedir. Aksi halde Vizyon veri sahibine ait hatalı/güncel olmayan kişisel veriye dayalı yapılan işlemlerden sorumlu tutulamaz.
4.4 Kişisel Verileri Belirli, Açık ve Meşru Amaçlarla İşleme
Vizyon kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Vizyon kişisel verilerin hangi amaçla işleneceğini veri sahiplerine bildirmelidir. Kişisel veriler, veri sahiplerine belirtilen amaçlar dışında işlenmemelidir.
4.5 KİŞİSEL VERİLERİN İŞLENME VE ÜÇÜNCÜ KİŞİLERE AKTARILMASI ŞARTLARI
a) Kişisel veriler kural olarak, KVKK. md.5’de belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmelidir. Bu kapsamda Vizyon 5 kişisel veri işleme faaliyetlerinin KVKK. md.5 kapsamına girip girmediğini değerlendirmeli ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurulmalıdır.
b) Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK. md.8-9’da öngörülen düzenlemelere uygun hareket etmeye yönelik sistemler kurgulanmalıdır. Kişisel verilerin 3.kişilere aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır. Kişisel veriler, hukuka aykırı ve amacını aşacak şekilde 3. Kişilere aktarılmamalıdır. Bunun önüne geçilmesi adına Vizyon Elektronik Para ve Ödeme Hizmetleri A.Ş. içerisinde gerekli sistemler kurgulanmalı ve kurum içi farkındalık yaratılmalıdır.
4.6 YÜKÜMLÜLÜKLER
4.6.1 Kişisel Veri Sahiplerini Aydınlatma Yükümlülüğü
Vizyon, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri aşağıda sayılan hususlarda aydınlatmalıdır:
(1) Kişisel verilerin hangi amaçla işleneceği,
(2) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(3) Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
(4) Kişisel veri sahibinin sahip olduğu hakları
4.6.2 Kişisel Veri Sahiplerinin Veri Sorumlusuna Başvuru Hakkı ve Veri Sorumlusunun Başvuruları Yanıtlama Yükümlülüğü
KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:
- Kişisel verisinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel veri sahipleri, yazılı olarak “Kişisel Veri Sahibi Başvuru Formu” (Ek-1) başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan ve yukarıda sayılan haklarını kullanabilirler. Vizyon başvuruyu en geç 30(otuz) gün içinde yanıtlandırabilir veya gerekçeli olarak reddedebilir. Vizyon, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK.md.13 kapsamındaki yükümlülüklerini yerine getirmek için gereken teknik ve hukuki önlemleri almalıdır. Ancak 10.03.2018 tarihli ve 30356 sayılı Resmi Gazetede yayımlanan Veri Sorumlusu Başvuru Usul ve Esasları Hakkında Tebliğ’in 7. maddesine göre veri sahibinin başvurusuna yazılı olarak cevap verilecekse VİZYON 10(on) sayfanın üzerindeki her sayfa için 1(Bir) TL işlem ücreti alabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.
4.6.3 Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Vizyon, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik, idari ve hukuki tedbirleri almalıdır.
Vizyon, alacağı teknik, idari ve hukuki tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları KVKK Komisyonu’nca incelenmeli ve gerekli aksiyonlar alınmalıdır.
Vizyon, işlenen kişisel verilerin rıza dışı ve/veya gayri resmi yollarla 3. kişiler tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVKK’nın gerektirmesi halinde Kişisel Verilerin Korunması Kurulu’na bildirmekle yükümlüdür.
Vizyon tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.
4.6.4 Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik, İdari ve Hukuki Tedbirlerin Alınması
Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler Vizyon tarafından alınmalıdır:
- Veri işleme faaliyetlerinin analizi
- Analiz neticesinin bir rapor haline getirilmesi,
- Analiz raporu uyarınca, kişisel veriler ile ilgili yapılan işlemlerin hukuka uygunluğunun sağlanması.
Ayrıca, kişisel verileri işleme süreçleri, geliştirilecek teknik sistemlerle denetlenmeli ve ilgilisine raporlanmalıdır. Vizyon çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilmeli ve eğitilmelidir. Vizyon ile çalışanları, çalışan adayları, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine, ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulmalıdır. Kişisel verilere erişim, işlenme amacı doğrultusunda görevli çalışanlarla sınırlandırılmalı, aynı zamanda çalışanların, görevlerinin gerektirmediği kişisel verilere erişimleri engellenmelidir.
4.6.5 Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik, İdari ve Hukuki Tedbirlerin Alınması
Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler alınmalıdır:
- Erişim ve yetkilendirme teknik süreçleri tasarlanmalı ve devreye alınmalıdır.
- Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknik önlemler alınmalı, periyodik olarak güncellenmeli, ilgilisine raporlanmalı, güvenlik riski olan hususlara teknolojik çözüm üretilmelidir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmalıdır.
- Vizyon çalışanları, bu kapsamda alınan teknik tedbirler konusunda eğitilmeli ve teknik konularda bilgili personel istihdam edilmelidir. Vizyon çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmalıdır. Bu taahhüt işten ayrılmalarından sonra da devam edecektir.
- Vizyon tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmelidir.
4.6.6 Veri Sorumluları Siciline Kaydolma Yükümlülüğü
Kişisel verilere erişim, işlenme amacı doğrultusunda görevli çalışanlarla sınırlandırılmalı, aynı zamanda çalışanların, görevlerinin gerektirmediği kişisel verilere erişimleri engellenmelidir. Vizyon, Kurul tarafından ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kaydolmalıdır.
Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):
-
Veri sorumlusu olarak Vizyon ’ye ait bilgiler,
-
Vizyon ’un temsilcilerine ait Kimlik ve adres bilgileri
-
Kişisel verilerin hangi amaçla işleneceği,
-
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
-
Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
-
Yabancı ülkelere aktarımı öngörülen kişisel veriler,
-
Kişisel veri güvenliğine ilişkin alınan tedbirler,
-
Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
4.7 KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Vizyon, 6493 sayılı Kanun md.23’e göre bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklamak zorundadır.
Vizyon ’un hizmetlerinin kullanım süresi boyunca ve bu sürenin sonrasında, Vizyon amaç ve çıkarları, denetleyici/düzenleyici makamların talepleriyle ve/veya mevzuatla tutarlı bir zaman süresi boyunca veri sahibine ait kişisel verileri işlemeye devam edebilecektir. Veri sahibinin Vizyon ’ye ait elektronik kanalların kullanımı esnasında verdiği kişisel verilerin işlenmesi, veri sahibi kişisel verilerini ilgili elektronik kanallardan silmiş olsa da devam edebilecektir. Bu tür veriler Vizyon Elektronik Para ve Ödeme Hizmetleri A.Ş’nin amaç ve çıkarlarıyla, denetleyici/düzenleyici makamların talepleriyle ve/veya mevzuatla tutarlı bir zaman süresi boyunca saklanmaya devam edebilecektir
4.8 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
Vizyon, KVKK.md.7’e uygun olarak işlenmiş olmasına rağmen, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri siler veya anonim hale getirir. Vizyon, kişisel veri sahibinin talebini en geç 30 (otuz) gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Vizyon, kişisel verileri 6 ayda bir olacak şekilde kişisel verilerin işlenme şartlarının tamamı ortadan kalktığı hallerde silebilir veya anonim hale getirir. Kurul’un, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltma hakkı saklıdır.
4.9 ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Özel nitelikli kişisel verilerin işlenmesi ile ilgili Vizyon çalışanlarına eğitim verilmeli, özel nitelikli kişisel verilere erişimi olan çalışanlar ile gizlilik sözleşmesi yapılmalıdır, Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarının ve sürelerinin net olarak tanımlanması gerekmektedir. Özel Nitelikli Kişisel veriye erişimi olan personellerinin erişim yetkisi periyodik olarak kontrol edilmelidir. Aynı zamanda özel nitelikli kişisel veriye erişimi olan çalışanlarda görev değişikliği ya da işten ayrılma olduysa işten ayrılan ya da görevi değişen bu personelin yetkilerinin derhal kaldırılması gerekmektedir. Bu kapsamda Vizyon tarafından özel nitelikli kişisel veriye erişen personele teslim edilmiş olan fiziki ve fiziki nitelikte olmayan tüm envanterin iade alınması ya da erişiminin engellenmesi zorunludur.
4.10 BAŞVURU SAHİPLERİNİN VEYA ÇALIŞANLARIN VERİLERİNİN İŞLENMESİ
Hizmet sözleşmesinden doğan özlük haklarının yerine getirilmesi ve bunların kesintisiz olarak sürdürülmesi, çalışanlara sağlanacak her türlü sigorta hizmeti, iş sağlığı ve güvenliği hizmeti, çalışma izni işlemlerinin yerine getirilmesi, kişisel iş başvurularının değerlendirilmesi, istihbarat, araştırma ve diğer işe alım süreçlerinin yürütülmesi, performans değerlendirmesi ve takibi, eğitim faaliyetleri, çalışma koşullarının iyileştirilmesi, kişisel gelişim süreçlerinin yürütülmesi gibi insan kaynakları ve eğitim süreçlerinin yerine getirilmesi gibi amaçlarla Vizyon ve İştiraki Şirketler, ilgili kişinin iş ve/veya staja başlaması sebebiyle açıkladığı kişisel bilgilerini işleme hakkına sahiptir. Başvuru sürecinde, üçüncü kişilerden başvuru sahibiyle ilgili bilgi toplanması gerekirse, KVKK hükümlerine uyulmalıdır.
İş ilişkisiyle ilgili olan ancak ilk başta iş akdinin ifasının bir parçası olmayan personel adaylarına ait kişisel verinin işlenmesi için yasal bir yetkilendirme olması gerekir.
Bu yetki;
- Başvuru sahibinin muvafakati (elektronik ve iş başvuru formu gibi elektronik olmayan yollarla),
- Vizyon ve İştiraki Şirketler veya üçüncü kişilerin meşru çıkarları,
- Bu politikanın belirtilen amaçları,
- Yasal zorunluluklardan kaynaklanabilir.
4.11 HAKİM ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLER
Vizyon’un yerine getirmiş olduğu faaliyetlerinin gereği hakim şirket amaç ve stratejilerine uygun olarak işlemekte olduğu kişisel verileri iştiraklerine aktarabilir. Vizyon tarafından işlenen kişisel veri, İştirak şirket topluluğundaki bir diğer şirket tarafından da işlenebilir.
4.12 SES, GÖRÜNTÜ VE YAZIŞMA KAYDI ALMA, GİRİŞ ÇIKIŞ TAKİBİ, İNTERNET ERİŞİMİ KAYITLARI
4.12.1 Görüntü, Ses veya Yazışma Kaydı Alma
Mülkiyetin ve gizliliğin güvenliği ve korunması amacıyla ve ayrıca hizmet kalitesinin kontrolü amacıyla, KVKK hükümleri gözetilerek, Vizyon iş yerleri içerisinde, çevresinde, girişlerinde, para gönderme ve alma işlemlerinin yapıldığı veznelerde, ATM’lerde ve diğer elektronik cihazların kullanımı sırasında video kaydı yapılmaktadır. Vizyon ile ya da Vizyon ’un yetkilendirdiği dış hizmet sağlayıcı üzerinden telefon üzerinden iletişim kurulduğunda ses kaydı ve canlı destek merkezi üzerinden ses kaydı tutulmaktadır.
Veri sahibi, Vizyon ’un yüz yüze olsun olmasın her türden hizmet noktalarında ve Vizyon ile iletişim kurarken, uygun araçlar kullanılarak video kaydı, ses kaydı ve canlı destek yazışma kaydı yapılmakta olduğu hususunda bilgilendirilecektir. Veri sahibi, video, ses ve yazılı konuşma kaydının önemini kabul etmekte ve işbu maddeyle Vizyon ’ye gerektiğinde bu verilerini 3. Kişilere aktarma konusunda muvafakat vermektedir.
4.12.2 Giriş Çıkış Kaydı Alma
Vizyon tarafından güvenliğin sağlanması ve bu Politika ’da belirtilen amaçlarla, Vizyon ’un işyerlerinde personel ve personel dışında misafirlerin, müşterilerin giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Personel, personel dışında misafirlerin ve müşterilerin Vizyon ’un işyerlerine gelen kişilerin kişisel verileri elde edilirken kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Personel, iş sözleşmesini imzalaması ile birlikte giriş çıkış kayıtlarının işlenmesine açık rıza göstermektedir.
Personel, personel dışında misafirlerin ve müşterilerin giriş-çıkış takibinin yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
4.12.3 İnternet Erişimi Kayıtlarının Saklanması
Vizyon tarafından personel, personel dışında misafirler ve müşterilere internet erişimi sağlanabilmektedir.
Vizyon ’un sağladığı internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta ve bu kayıtlar ancak yetkili kamu kurum ve Vizyon ları tarafından talep edilmesi veya Vizyon içinde gerçekleştirilecek bağımsız denetim süreçlerinde ilgili hukuki yükümlülüğün yerine getirilmesi amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Vizyon çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Vizyon personelleri bu kayıtları yalnızca yetkili kamu kurum ve Vizyon undan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.