Hedef Kitle: VİZYONER ORGANİZASYON VE DANIŞMANLIK AŞ  tarafından kişisel verileri işlenen ve işbu Politika kapsamında kategorik olarak tanımlanan kişiler

Hazırlayan: VİZYONER ORGANİZASYON VE DANIŞMANLIK AŞ 

Yürürlük Tarih: 26 Kasım 2018

İşbu belge VİZYONER ORGANİZASYON VE DANIŞMANLIK AŞ ’nin yazılı onayı olmadan çoğaltılamaz, dağıtılamaz ve ticari herhangi bir amaç ile kullanılamaz.

TANIMLAR
Açık Rıza		Belirli bir konuya ilişkin olmak şartıyla bilgilendirilmeye dayalı olan ve rızayı verenin özgür iradesi sonucunda açıklanan rıza anlamına gelmektedir.
Anonim Hale Getirme		Kişisel verinin veri sahibi ile ilişkilendirilmesinin mümkün olmayacak şekilde değiştirilmesi anlamına gelmektedir. Anonim hale getirme durumunda kişisel veri, bu niteliğini kaybeder ve bu durum da geri alınamayacak şekilde değiştirilir.
BNI Global		BNI’a Türkiye’de faaliyet gösterme yetkisi veren BNI Global, LLC’yi ifade eder.
BNI Grubu		BNI'ın faaliyet bölgesinde yer alan ve network faaliyetlerinin gerçekleştirildiği grup/grupları ifade eder.
Franchise Sahipleri		BNI ile yürüttükleri ticari ilişki kapsamında BNI’danfranchise hakkı olarak Türkiye’de faaliyet göstermekte olan kuruluşları ifade eder.
İştirakler		Faaliyet konusuna bakılmaksızın BNI’ın pay sahibi olduğu gerek Türkiye gerek yurtdışında bulunan tüzel kişileri ifade eder.
Kişisel Veri		Kimliği belirli ya da belirlenebilir bir gerçek kişiye ilişkin isim-soy isim, kimlik bilgileri, e-posta adresi ve telefon numarası gibi her türlü bilgiyi ifade etmektedir. Tüzel kişilere ilişkin bilgilerin işlenmesi KVK Kanunu kapsamında değildir.
Kişisel Verilerin İşlenmesi		Kişisel verilerin tamamen ya da kısmi suretle otomatik ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, düzenlenmesi, açıklanması, aktarılması, devralınması gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
Kişisel Veri Sahibi		Kişisel verileri işlenen gerçek kişileri ifade etmektedir.
Müşteri / Üye		BNI ile sözleşme ilişkisi bulunsun ya da bulunmasın Üye  veya misafir olarak BNI’ın sunduğu ürün ve hizmetlerden yararlanan, kullanan ya da yararlanmış ve kullanmış gerçek kişileri ifade etmektedir.
Özel Nitelikli Kişisel Veri		Irk, etnik köken, felsefi inanç, siyasi düşünce ve inanış, din, mezhep, ya da diğer inançlar, kılık kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ve biyometrik ve genetik veriler anlamına gelmektedir.
Üçüncü Kişi		Ayrıca işbu Gizlilik Politikası’nda tanımlanmamış, Kişisel Veri Sahibi ve Müşteri/Üye dışında kalan fakat aynı zamanda BNI’ın bu kişilerle arasındaki hukuki ilişkinin bir şekilde parçası olabilen kişileri ifade eder.
Veri İşleyen		Veri sorumlusunun yani BNI’ın verdiği yetki ile veri sorumlusu adına kişisel verileri işleyen gerçek ya da tüzel kişi anlamına gelmektedir.
Veri Sorumlusu		Kişisel verilerin işlenme amaçlarını ve yollarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi anlamına gelmektedir.

 

KISALTMALAR
BNI		VİZYONER ORGANİZASYON VE DANIŞMANLIK AŞ
BNI Global		BNI Global, LLC
KVK Kanunu		07.04.2016 tarihli ve 29677 sayılı ResmiGazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Politika		VİZYONER ORGANİZASYON VE DANIŞMANLIK AŞ ’nin Kişisel Verilerin Korunması,İşlenmesi ve İmhası Politikası
İlgili Kişi		Kişisel verileri işlenen kişiler
Kurul		Kişisel Verileri Koruma Kurulu
Sicil		Veri Sorumluları Sicili
Yeterli Korumaya Sahip Ülke		Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkeler
Taahhüt Eden Veri Sorumlusunun Bulunduğu Ülke		İlgili ülkede yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli koruma gerçekleştirileceğini yazılı olarak taahhüt eden veri sorumlusunun bulunduğu ülke

 

BÖLÜM 1 -GİRİŞ

1.1. Giriş

BNI”) kişisel verilerin korunmasına büyük önem vermektedir. BNI, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) öngörülen ilke ve esaslara uyum sağlanmasını en ön planda tutmakta ve kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgililerin aydınlatılması ve veri güvenliğinin sağlanması ile ilgili yükümlülüklerini yerine getirmektedir. Bu doğrultuda, aşağıda Kişisel Verilerin Korunması, İşlenmesi ve İmhası Politikası (“Politika”) kişisel verileri işlenen kişilerin (“İlgili Kişi”) erişime ve dikkatine saygıyla sunulmaktadır.

 

1.2. Politikanın ve Mevzuatın Uygulanması

İşbu Politika’ya ilişkin olarak kişisel verilerin işlenmesi, korunması ve imhası hakkında yürürlükte bulunan ilgili yasal düzenlemeler öncelikli olarak uygulama alanına sahiptir.

 

1.3. Politikanın Yürürlüğü

İşbu Politika 26/11/2018 tarihli olup Politika’nın tamamının ya da belirli bir bölümünün yenilenmesi ve değiştirilmesi durumunda Politika’nın yürürlük tarihi güncellenecektir.

İşbu Politika BNI’ın internet sitesinde (http://bni.com.tr/tr/index) yayımlanır ve kişisel veri sahiplerinin talebi üzerine İlgili Kişilerin erişimine sunulur.

 

BÖLÜM2 - GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ KAPSAM VE AMACI

BNI tarafından işbu Politika ile birlikte KVK Kanunu’na uyum amacıyla özel hayatın gizliliği de dahil olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verilerin işlenmesine ilişkin gerekli düzenlemelerin BNI tarafından yapılması, KVK Kanunu’nun ve ilke ile prensiplerinin çalışanlarınca benimsenmesinin sağlanması amaçlanmaktadır.

Bu amaç dikkate alınarak işbu Politika, KVK Kanunu ve ilgili mevzuat ile düzenlemeler uyarınca oluşturulan kuralların somut olarak uygulanmasının, mevzuat ile Politika’da yer verilen esas ve usullere uyum için gerekli düzenlemelerin ve işlemlerin yapılmasının ve bu doğrultuda iç denetim mekanizmalarının kurulmasının ve işletilmesinin ve bunlara ek olarak yürürlükte olan mevzuat ve Politika’ya uyumluluğun devamlılığının sağlanmasına ilişkin olarak Şirket, çalışanları ve ilgili kişilere yol gösterici olarak hazırlanmıştır.

BNI, işbu Politika’da yer verilen ilke ve esaslar doğrultusunda kişisel verilerin işlenmesi ve korunması açısından gerekli idari ve teknik tedbirleri alacak, çalışanlarına Politika’nın benimsenmesi ve uygulanması için de gerekli eğitimleri verecektir.

Bu kapsamda işbu Politika’da öncelikle BNI’ın kişisel verilerin işlenmesinde uyacağı ilkeler, kişisel verilerin korunması ve işlenmesine ilişkin yükümlülükleri ile kişisel verilerin korunması ve işlenmesi politikası bakımından idari yapı anlatılacak ve daha sonra daBNI’ın;

 

(i) kişisel verileri toplama yöntemleri ve hukuki sebepleri,

(ii) hangi kişi gruplarının kişisel verilerinin işlendiği (Veri Sahibi Kategorizasyonu),

(iii)bu kişi gruplarına ilişkin olarak hangi kategoride kişisel verilerin işlendiği (veri kategorileri) ve örnek veri türleri,

(iv) kişisel verilerin hangi iş süreçlerinde ve hangi amaçlarla kullanıldığı,

(v) kişisel verilerin güvenliğini sağlamak amacıyla alınan teknik ve idari tedbirler,

(vi) kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği,

(vii)kişisel verileri saklama süreleri,

(viii) kişisel verilerin silinmesi, yok edilmesi, anonimleştirilmesine (en genel ifadesi ile imhasına) ilişkin usul, esas ve yöntemler

(ix) ilgili Kişiler’in kişisel verileri üzerinde hangi haklarının bulunduğu ve bu haklarını nasıl kullanabilecekleri,

(x) ilgili Kişiler’in elektronik ticari ileti alma konusunda olumlu ya da olumsuz tercihlerini nasıl değiştirebilecekleri,

(xi) resmi makamlarla kişisel verilerin paylaşımı açıklanacaktır.

 

BÖLÜM 3 – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR VE YÜKÜMLÜLÜKLER

 

3.1. Mevzuatta Öngörülen İlkelere Uygun Olarak İşleme

BNI, kişisel verilerin işlenmesinde KVK Kanunu ve ilgili mevzuat uyarınca aşağıdaki ilkelere uyacaktır:

(i) hukuka ve dürüstlük kuralına uygun şekilde kişisel verileri işlemek:

BNI, kişisel verilerin işlenmesine ilişkin olarak yasal düzenlemelerde öngörülen ilkeler ve genel güven ile dürüstlük kuralına uygun hareket etmekte ve kişisel verilerin işlenmesi açısından orantılılığı esas almakta, amacın gerektirdiği haller dışında veriler kullanılmamakta ve işlenmemektedir.

 

(ii) kişisel verilerin doğru ve güncel tutulmasını sağlamak:

BNI, İlgili Kişilerin temel hakları en başta olmak üzere tarafların menfaatleri dikkate alınarak yasal ve mevzuata uygun şekilde işlenen verilerin en güncel ve doğru şekilde olmasını sağlamakta ve buna ilişkin tedbirleri almaktadır.

 

(iii) kişisel verileri belirli, açık ve meşru amaçlarla işlemek:

BNI, kişisel verileri yalnızca sunmakta olduğu hizmetle bağlantılı ve bunun için gerekli olduğu ölçüde işlemektedir. Bu kapsamda BNI, kişisel verilerin hangi amaçla işleneceğini önceden belirlemektedir.

 

(iv) işlendikleri amaçla bağlantılı, sınırı ve ölçülü olmak:

BNI, kişisel verilerin işlenme amacının gerçekleştirilmesi ile ilgili olmayan ya da ihtiyaç bulunmayan kişisel verilerin işlenmesinden kaçınmaktadır.

 

(v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmek:

BNI tarafından kişisel veriler ilgili mevzuatta belirtilen ya da işlenme amacı için gerekli olan süre kadar muhafaza edilmekte ve saklanmaktadır. Bu kapsamda, sürenin bitimi ya da kişisel verilerin işlenmesini gerektiren sebep ve amaçların ortadan kalkması halinde BNI tarafından ilgili kişisel veriler silinmekte, yok edilmekte ya da anonim hale getirilmektedir.

 

(vi) gizlilik prensiplerine uygun olarak işleme

Gizlilik BNI dâhilindeki kişisel verilerin işlenmesi süreçlerinin tam bir gizlilik içerisinde yürütülmesi esastır. Bu kapsamda BNI, kişisel verilere yetkisiz her türlü erişimi olanaklar elverdiği ölçüde engeller ve mümkün olan her türlü teknik ve idari tedbiri bünyesinde uygular. Buna ilişkin denetimleri periyodik olarak gerçekleştirir.

 

3.2. Kişisel Verilerin KVK Kanunu Uyarınca Kişisel Veri İşleme Şartlarından Bir ya da Daha Fazlasına Dayalı ve Bunlarla Sınırlı Olarak İşlenmesi

Kişisel verilerin korunmasını talep etme hakkı Anayasal bir hak olup bu hak yalnızca kanunlarla sınırlanabilir. Buna göre, kişisel verilerin ancak açık rıza ya da kanunda öngörülen hallerde işlenmesi mümkündür. Bu doğrultuda, BNI tarafından da kişisel veriler Anayasa’ya uygun bir şekilde yalnızca kanunda öngörülen ve izin verilen hallerde ya da İlgili Kişi’nin açık rızasının bulunması durumunda işlenmektedir.

Bu durum BNI'ın çoklu hukuki ilişkiler içerisinde olmasından ötürü kişisel verisi işlenen kişinin BNI ile ilişkisine göre ve paylaştığı bilgilere göre farklılık arz edebilmektedir. Buna göre kişisel veriler aşağıda daha detaylı ifade edildiği üzere kimi hallerde açık rızaya dayanarak (özel nitelikteki kişisel bilgilerin işlenmesi halinde olduğu gibi) kimi hallerde ise sözleşmenin ifasıyla ilgili olmasından ötürü (üyelik sözleşmesinin ifasının gerçekleştirilebilmesi için zaruri olan kişisel bilgiler gibi) ya da kanunda sayılan kişisel bilginin kişinin kendisi tarafından alenileştirilmesi, bir hakkın tesisi ya kullanılması ya da korunmasının zorunlu olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ya da kanunlarda açıkça öngörülmesi sebebine dayalı olarak işlenebilmektedir.

 

3.3.Veri Sorumluları Siciline Kayıt

BNI, veri işlenmesi amacıyla, Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından belirlenerek ilan edilecek süre içerisinde Veri Sorumluları Sicili’ne (“Sicil”) kayıt olacaktır.

Sicil’e kayıt başvurusu aşağıdaki bilgi ve belgeler ile gerçekleştirilecektir:

 

(i) Veri sorumlusu olarak BNI’ın ve temsilcisinin kimlik ve adres bilgileri,

(ii) Kişisel verilerin hangi amaç ile işleneceğinin gösterilmesi,

(iii) Veri konusu kişi grupları ile bu kişilere ait veri kategorilerine ilişkin açıklamalar,

(iv) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

(v)Yabancı ülke aktarımı yapılması öngörülen kişisel verilerin gösterilmesi,

(vi)Kişisel veri güvenliğine ilişkin alınan tedbirler,

(vii)Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

 

3.4. Kişisel Veri Sahibinin Aydınlatılması

BNI tarafından kişisel verilerin alınması sırasında, kişisel veri sahibi aşağıda yer alan konularda aydınlatılmaktadır. Buna ilişkin olarak da BNI tarafından halihazırda bir aydınlatma metni hazırlanmış İlgili Kişilerle doğrudan ve ayrıca BNI’ın internet sitesinde paylaşılmıştır.

 

(i)Veri sorumlusunun BNI olduğu ve temsilcisinin kimliği,

(ii)Kişisel verilerin hangi amaçlarla işleneceği,

(iii)Kişisel verilerin kimlere, hangi amaçlar ile aktarılabileceği,

(iv)Kişisel verilerin toplanmasının yöntemi ve hukuki sebepleri,

(v) Kişisel veri sahibinin sahip olduğu haklar:

             (a)kişisel verilerinin işlenip işlenmediğini öğrenmek,

(b)işlenme amacını ve amaca uygun kullanıp kullanılmadığı öğrenmek,

(c)kişisel verilerin aktarıldığı kişileri bilmek,

(d)eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesini talep etmek,

(e)işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek, (f) kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.

 

3.5. Özel Nitelikli Kişisel Verilerin İşlenmesi

BNI tarafından KVK Kanunu ile “özel nitelikli” olarak belirlenmiş olan kişisel verilerin işlenmesinde yasal düzenlemelerde öngörülen esaslara uygun davranılmasına büyük önem verilmektedir. Özel nitelikli veriler, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep ya da diğer inanlar, kılık ve kıyafet, dernek, vakıf veya sendika üyelikleri, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler ile birlikte biyometrik ve genetik verilerdir.

BNI tarafından KVK Kanunu’na uygun bir şekilde özel nitelikli kişisel verilerin gerekli ve Kurul tarafından öngörülen önlemler alınarak aşağıdaki hallerde işlenmektedir:

 

(i) Kişisel veri sahibinin açık rızasının bulunması halinde,

(ii) Kişisel veri sahibinin açık rızasının bulunmaması durumunda ise;

 

            (a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde,

(b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında olan kişiler ya da yetkililer tarafından işlenmektedir.

 

3.6. Verilerin Aktarılması

BNI tarafından gerekli güvenlik önlemleri ve tedbirler alınarak, hukuka ve işlenme amacına uygun şekilde İlgili Kişilerin kişisel verileri ve özel nitelikli kişisel verilerinin üçüncü kişilere aktarılması mümkündür. BNI bu kapsamda KVK Kanunu’nun 8 ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmektedir.

 

3.6.1. Kişisel Verilerin Aktarım Amacı

Kişisel Veriler, Veri Sorumlusunun ticari stratejilerini belirlemek, geliştirmek, süreçlerin yönetimini sağlayabilmek, ticari faaliyetini sürdürebilmek ya da daha efektif ve Müşteri/Üye odaklı hizmet sunabilmesini sağlayabilmek, BNI faaliyetlerinin finansmanının planlanmasını ve yönetimini sağlamak, BNI Organizasyonu içerisine güvenilir, işinde başarılı üyeler alındığından emin olmak, network ortamının güven içerisinde ilerlemesini temin etmek, gerektiğinde hukuki, mali, finansal hizmetlerden faydalanabilmek, Kişisel Verilerin profesyonel şekilde işlenmesini sağlayabilmek, üyelik ve/veyaorganizasyon ile ilgili çıkabilecek herhangi bir soru veya sorunda efektif şekilde çözüm yolları üretebilmek, yönetim ve iletişim faaliyetlerini planlayabilmek ve icrasını sağlayabilmek, İnternet Sitesinde sunulan hizmetleri geliştirebilmek ya da oluşan hatalara çözüm üretebilmek, her türlü talep, şikayet ve önerilere ilişkin aksiyon alabilmek amaçlarıyla aktarılabilecektir

 

3.6.2. Kişisel Verilerin Aktarılması

BNI tarafından kişisel verilerin işlenme amacı doğrultusunda KVK Kanunu’nda belirtilen ve aşağıda sayılan hallerde şartlarından bir ya da daha fazlasına dayalı ve bunlarla sınırlı olarak İlgili Kişiler’in kişisel verileri üçüncü kişilere aktarılabilmektedir:

 

(i) İlgili Kişi’nin açık rızasının bulunması,

(ii) Yasal mevzuatta kişisel verilerin aktarılmasına ilişkin açık bir düzenlemenin varlığı,

(iii)Kişisel verinin aktarılması İlgili Kişi’nin ya da bir başka kişinin hayatı ya da beden bütünlüğünün korunması için gerekli ve zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ya da kişisel veri sahibinin rızasına hukuki geçerlilik tanınmıyorsa,

(iv) Bir sözleşmenin kurulması ya da ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin aktarılması gerekliyse,

(v)BNI’ın hukuki yükümlülükleri kapsamında kişisel veri aktarımının zorunlu olması halinde,

(vi)Kişisel veriler İlgili Kişi tarafından alenileştirilmiş ise,

(vii)Kişisel veri aktarımının bir hakkın tesisi, kullanılması ya da korunması bakımından zorunlu olması halinde,

(viii)BNI’ın meşru menfaatleri için zorunlu olması ve İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla

 

3.6.3. Özel Nitelikli Kişisel Verilerin Aktarılması

BNI tarafından gerekli özen gösterilerek ve gerekli güvenlik önlem ve tedbirleri alınarak, kişisel verilerin işlenme amacı doğrultusunda aşağıda sayılan hallerde şartlarından bir ya da daha fazlasına dayalı ve bunlarla sınırlı olarak İlgili Kişiler’in özel nitelikli kişisel verileri üçüncü kişilere aktarılabilmektedir:

 

(i) İlgili Kişi’nin açık rızasının bulunması halinde,

(ii) İlgili Kişi’nin açık rızasının bulunmaması halinde ise;

(a)İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunlarda öngörülen hallerde,

(b)Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında olan kişiler ya da yetkililer tarafından.

 

3.6.4. Kişisel Verilerin Yurtdışına Aktarılması

BNI tarafından İlgili Kişiler’in kişisel verileri gerekli güvenlik önlem ve tedbirlerinin alınması ile kişisel verilerin hukuka uygun kişisel veri işleme amaçları doğrultusunda Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Ülke”) ya da ilgili ülkede yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli koruma gerçekleştirileceğini yazılı olarak taahhüt etmesi halinde ve Kurul’un izninin bulunması halinde (“Taahhüt Eden Veri Sorumlusunun Ülkesi”) yurtdışına aktarılabilmektedir. BNI bu hususta KVK Kanunu’nda öngörülen esaslara ve düzenlemelere uygun hareket etmektedir.

BNI tarafından İlgili Kişiler’in kişisel verilerinin BNI’ın meşru ve hukuka uygun kişisel veri işleme amacı doğrultusunda Yeterli Korumaya Sahip Ülke’ye ya da Taahhüt Eden Veri Sorumlusunun Ülkesi’ne aktarılabilmesi için aşağıdaki hallerden birinin varlığı gerekmektedir.

 

(i)İlgili Kişi’nin açık rızası,

(ii) İlgili Kişi’nin açık rızası yok ise;

(a)Yasal düzenlemelerde kişisel verilerin aktarılacağına ilişkin açık bir düzenlemenin varlığı halinde,

(b)Kişisel verilerin aktarılmasının İlgili Kişi’nin ya da bir başka kişinin hayatı ya da beden bütünlüğünün korunması için zorunlu olması ve İlgili Kişi’nin fiili imkânsızlık nedeniyle açık rızasını veremeyecek durumda olması ya da İlgili Kişi’nin açık rızasına hukuki geçerlilik tanınmaması halinde,

(c)Kişisel verilerin sözleşmenin taraflarına aktarılmasının, bir sözleşmenin kurulması ya da ifası ile doğrudan ilgili ve gerekli olması halinde,

(d)BNI’ın yasal yükümlülüklerini yerine getirmesi için kişisel veri aktarımının zorunlu olması halinde,

(e)Kişisel verilerin İlgili Kişi tarafından alenileştirilmiş olması halinde,

(f)Kişisel verilerin aktarımının bir hakkın tesisi, kullanılması ya da korunması için zorunlu olması halinde,

(g)BNI’ın meşru ve hukuki menfaatleri için kişisel veri aktarımının zorunlu olması ve bunun İlgili Kişi’nin temel hak ve hürriyetlerine zarar vermemesi halinde.

 

Ayrıca kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde ise, Kişisel Verilerin Korunması Kanunu 9. maddenin 2. fıkrası çerçevesinde kişisel veriler Kanun'un 5/2 hükmü ve 6/3 hükmünde belirtilen şartların da var olması şartıyla açık rıza olmaksızın BNI tarafından yurt dışına aktarılabilecektir.

 

3.6.5. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

BNI tarafından İlgili Kişiler’inözel nitelikli kişisel verilerinin BNI’ın meşru ve hukuka uygun kişisel veri işleme amacı doğrultusunda Yeterli Korumaya Sahip Ülke’ye ya da Taahhüt Eden Veri Sorumlusunun Ülkesi’ne aktarılabilmesi için aşağıdaki hallerden birinin varlığı gerekmektedir:

 

(i) İlgili Kişi’nin açık rızasının bulunması halinde,

(ii) İlgili Kişi’nin açık rızasının bulunmaması halinde ise;

(a) İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunlarda öngörülen hallerde,

(b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında olan kişiler ya da yetkililer tarafından.

 

BÖLÜM 4 - KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR VE YÜKÜMLÜLÜKLER

 

4.1. Kişisel Verilerin Güvenliğinin Sağlanması

BNI tarafından veri güvenliğinin sağlanması amacıyla, KVK Kanunu’n 12. maddesi uyarınca teknik ve idari tedbirler alınarak gerekli sistemler oluşturulur.

BNI dâhilindeki kişisel verilerin işlenmesi süreçlerinin tam bir gizlilik içerisinde yürütülmesi esastır. Bu kapsamda BNI, kişisel verilere yetkisiz her türlü erişimi olanaklar elverdiği ölçüde engeller ve mümkün olan her türlü teknik ve idari tedbiri bünyesinde uygular. Buna ilişkin denetimleri periyodik olarak gerçekleştirir.

 

4.1.1. Teknik ve İdari Tedbirlerin Alınması

Veri güvenliğinin sağlanması amacıyla, BNI tarafından Kanun’un 12. maddesi uyarınca teknik ve idari tedbirler alınarak gerekli sistemler oluşturulmaktadır. Bu kapsamda Kişisel Verilerin hukuka aykırı olarak işlenmesi, Kişisel Verilere hukuka aykırı olarak erişimin önlenmesi ve verilerin güvenli bir ortamda muhafazasının sağlaması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler alınmaktadır.

Bunun yanı sıra, Kanun’un 12.maddesi uyarınca işlenen Kişisel Verilerin yasal olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibine ve Kişisel Verilerin Korunması Kurulu’na bildirimini gerçekleştirecek ve buna ilişkin bir sistem yürütülecektir.

 

(i) Teknik Tedbirler: BNI tarafından alınacak teknik tedbirler aşağıdakileri içerecektir:

(a)BNI tarafından kişisel verilerin işlenmesine ilişkin faaliyetler açısından gerekli prosedür hazırlanmakta ve verilerin toplanmasından silinmesine kadar tüm aşamaların hukuka uygun denetimi yapılmaktadır.

(b)BNI tarafından yapılan veri işleme faaliyetlerinin teknik sistemlerle denetimi sağlanmakta ve gerekli durumlarda ilgililere bilgi verilmektedir.

            (c)Kişisel Verilere yönelik olarak internet üzerinden gelecek her türlü saldırıyı bertaraf etmek adına güvenlik duvarı ve güvenlik zafiyeti yaratabilecek internet sitelerine erişimin engellenmesi adına ağ geçidinin oluşturulması,

             (d)Yazılım ve programların lisanslı olarak kullanılması, sürekli bir şekilde güncel tutulması ve kullanılmayanların silinmesi,

(e)Yazılımlarda oluşabilecek güvenlik sorunlarının düzenli olarak kontrol edilerek önlenmesi,

(f)Kişisel Verilere erişimin yalnızca belirli yetkili kişilere verilmesi ve bu kişilerin kendileri için oluşturulmuş şifrelerle erişim sağlayabilmesi,

(g)Kişisel Verilere erişim için yetki matrisi ve yetki kontrolü oluşturulması,

(h)Kişisel Verilerin işlendiği tüm sistem üzerinde gerekli Antivirüs ve güvenlik yazılımlarının kullanılması ve bunların düzenli olarak güncellenmesi,

(i)Tüm toplanan Kişisel Verilerin SSL tipi güvenli yollardan temin edilmesi,

(j)Kişisel Verilerin toplanmasından silinmesine kadar tüm aşamaların hukuka uygunluk denetiminin yapılması,

(k)Kişisel Verilere erişim sağlayan tüm yetkili ve görevli kişilerin işlem hareketlerini gösterir log kayıtlarının tutulması,

(l)Kişisel Verilerin istem dışı olarak silinmesi veya erişilemez hale gelmemesi için düzenli olarak yedeklemenin yapılması,

(m)Kişisel Veri kayıtlarının MySql veri tabanından uluslararası kabul görmüş şifreleme programı ile şifrelenerek korunması,

(o)Yukarıda yer alan çalışmalar 27001 Bilgi Güvenliği Standartları ve PCI-DSS, APSAD R7, R13 APSAD, APSAD R81, R82 APSA sertifikalarında belirtilen standartlara uygun olarak gerçekleştirilmektedir.

 

(ii)İdari Tedbirler: BNI tarafından alınacak idari tedbirler aşağıdakileri içerecektir:

(a)BNI kendi çalışanlarını, başta KVK Kanunu ve ikincil mevzuat olmak üzere kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi hususlarında bilgilendirmekte ve eğitmektedir.

(b)BNI ile çalışanları arasındaki sözleşme, belge ve politikalarda KVK Kanunu ve ikincil mevzuatta yer alan düzenlemelere aykırı bir şekilde kişisel verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması yönünde yükümlülük içeren hükümlere yer verilmektedir.

(c)BNI tarafından kişisel verilere erişim, işleme amacı doğrultusunda yalnızca ilgili çalışanlar ile sınırlandırılmakta, ayrıca BNI tarafından tutulan her kişisel veriye tüm çalışanların erişim imkânı bulunmamaktadır.

(d)BNI nezdinde, KVK Kanunu’nda belirtilen kişisel verilerin işlenmesi şartlarına uygunluğun sağlanması yönündeki zorunluluklar, her bir birim ve faaliyet açısından özel olarak tespit edilmektedir.

             e)Başta Kanun ve ikincil mevzuat olmak üzere Kişisel Verilerin hukuka uygun olarak işlenmesi hususlarında merkez çalışanlarının yanında, Franchise Sahipleri'nin bilgilendirilmesi ve eğitilmesi,

 

Çalışanlar ile akdedilen sözleşme, belge ve politikalarda Kanun ve ikincil mevzuatta yer alan düzenlemelere aykırı bir şekilde Kişisel Verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması ve işten ayrıldığında da bu yükümlülüklerin devam ettiğini içeren hükümlere yer verilmesi,

 

Kişisel Verilerin üyelik başvuru formu ile toplanması halinde söz konusu formun ve içeriğinde sağlanan Kişisel Verilerin yalnızca üyelik başvurusu yapılan BNI Grupları'nda yer alan üyelik komitesi tarafından alınması ve üyelik başvurusunun karara bağlanmasından sonra evrakın BNI'ya gönderilmesi,

 

Kişisel Verilere erişimin, işleme amacı doğrultusunda yalnızca ilgili Franchise çalışanları, BNI Grupları ve duruma göre merkezde yetkilendirilmiş belirli kişilerle sınırlandırılması,

 

BNI tarafından yukarıdaki hususların denetiminin ve uygulamasının sürekliliğinin sağlanması için gerekli idari tedbirler alınmaktadır.

 

4.1.2. Mevzuata Aykırı Erişimin Engellenmesi için Teknik ve İdari Tedbirlerin Alınması

BNI, kişisel verilerin tedbirsizlikle veya yetkisiz olarak üçüncü kişilere açıklanmasını, görüntülenmesini, aktarılmasını veya başka şekillerde hukuka aykırı şekilde elde edilmesini önlemek için, korunacak verinin niteliğine ve mevcut teknolojik imkanlara göre gerekli teknik ve idari tedbirleri alacaktır.

(i) Teknik Tedbirler: BNI tarafından alınacak teknik tedbirler aşağıdakileri içerecektir.

(a)BNI tarafından birim bazında KVK Kanunu’na ve mevzuata uygun olarak erişim ve yetkilendirme uygulamaları devreye sokulmaktadır.

(b)Sürekli bir biçimde risk denetimi gerçekleştirilerekgerekli firewall benzeri sistemler üzerinde raporlamalar yapılmaktadır.

(c)Berq 25 firewall ve Eset file security ve benzeri siber koruma programları ve gerekli donanımlar kullanılmaktadır.

 

Kişisel Verilerin işlendiği tüm sistem üzerinde gerekli Eset Antivirüs ve Berq25 Firewall gibi Antivirüs ve güvenlik yazılımlarının kullanılmakta ve bunlar düzenli olarak güncellenmektedir.

Kişisel Verilere erişim sağlayan tüm yetkili ve görevli kişilerin işlem       hareketlerini gösterir log kayıtları tutulmaktadır.

Kişisel Verilerin istem dışı olarak silinmesi veya erişilemez hale gelmemesi için günlük olarak yedekleme ayrı bir networkte yapılmakta ve uzakta bulunan Qnap nas cihazına senkronize edilmektedir.
 

Elektronik ortamda tutulan Kişisel Veri kayıtları uluslararası kabul görmüş Berq 25 firewall ve eşdeğer nitelikte şifreleme programı ile şifrelenerek korunmakta ve 3. Kişilerin erişimine kapalı tutulmaktadır..

Kişisel Verilere yönelik olarak internet üzerinden gelecek her türlü saldırıyı bertaraf etmek adına güvenlik duvarı ve güvenlik zafiyeti yaratabilecek internet sitelerine erişimin engellenmesi adına Berq 25 Firewall sistemi üzerinden kullanılan hotspot sistemi kullanılmaktadır.

Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığı firewall ve antivirüs yazılımları üzerinden belirlenmektedir.

Kişisel veriler günlük olarak yedeklenerek, herhangi bir sebeple kişisel verilerin zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde BNI’ın yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi sağlanmaktadır.

Kişisel veri envanterleri oluşturulmakta, kritiklik dereceleri tespit edilmekte ve risk analizleriyle alınacak teknolojik ve idari kontrol önlemleri belirlenmektedir.

 

(ii) İdari Tedbirler: BNI tarafından alınacak idari tedbirler aşağıdakileri içermektedir.

(a)BNI’ın çalışanları KVK Kanunu’na aykırı erişimin engellenmesi amacıyla teknik tedbirler hususunda eğitilmektedir

(b)BNI tarafından birim bazında kişisel verilere erişim ve yetkilendirme prosedürü oluşturulmaktadır.

(c)BNI çalışanlarından öğrenilen kişisel verilerin KVK Kanunu ve ilgili mevzuat hükümlerine aykırı şekilde açıklanmaması ve işleme amacı dışında kullanılmaması, bu yükümlülüklerin işten ayrılma sonrasında da devam ettiğine ilişkin gerekli taahhütler alınmakta ve sözleşmelerde bu hükümlere yer verilmektedir.

(d)BNI ile üçüncü kişiler arasında yapılan sözleşmelerde kişisel verilerin aktarıldığı kişi ya da kurumlardan olmaları halinde, bu kişilere aktarılan kişisel verilerin KVK Kanunu ile ilgili mevzuat hükümlerine uygun şekilde korunması amacıyla gerekli güvenlik tedbirlerinin alınması ve bu tedbirlere uyulmasının sağlanması amacıyla taahhütler alınmakta ve sözleşmelerde bu yönde hükümlere yer verilmektedir.

 

4.1.3. Alınan Tedbirlerin Denetimi

BNI tarafından yukarıda belirtilen tedbirlerin alınması ve işleyişine ilişkin gerekli denetimleri yapılması ve/veya yaptırılması amacıyla gerekli sistemler oluşturulmaktadır. Bu denetimler sonucunda elde edilen veriler konu ile ilgili BNI birimlerine raporlanmakta ve alınan/alınması gereken tedbirler güncellenmektedir.

BNI tarafından, üyelerinin ve BNI Grupları'ndaki komitelerin alt yüklenicilerin, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesine ilişkin bilinçlenmelerinin ve denetimlerinin sağlanması için gerekli süreç ve sistemler oluşturulmaktadır.

 

4.1.4. Yetkisiz İfşa Durumunda Alınacak Tedbirler

BNI, tarafından KVK Kanunu’n 12. Maddesi uyarınca işlenen kişisel verilerin yasal olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kişisel Verilerin Korunması Kurulu’na bildirimini gerçekleştirecek ve buna ilişkin bir sistem yürütecektir.

 

4.2. Veri Sahibinin Haklarının Gözetilmesi, Başvuru Kanallarının Yaratılması ve Veri Sahiplerinin Taleplerinin Değerlendirilmesi

BNI, İlgili Kişilerin haklarının değerlendirilmesi ve İlgili Kişilere gerekli bilgilendirmelerin yapılması için KVK Kanunu’nun 13. Maddesi uyarınca gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmekte ve yürütmektedir.

İlgili Kişilerin aşağıda yer alan haklarına ilişkin taleplerini yazılı bir şekilde BNI’a iletmeleri halinde BNI talebin niteliğini de göz önünde bulundurarak söz konusu talebi en kısa sürede ücretsiz olarak sonuçlandıracaktır. Ancak talebe konu işlemin ayrıca bir maliyet gerektirmesi halinde BNI tarafından KVK Kurulu tarafından belirlenen tarifede yer alan ücretlerin uygulanması mümkündür.

• İlgili Kişiler aşağıdaki haklara sahiptir:

(i)Kişisel verilerinin işlenip işlenmediği öğrenme,

(ii) Eğer işlenmiş ise buna ilişkin bilgi talep etme,

(iii) Kişisel verilerin işlenme amacının ve söz konusu verilerin bu amaca uygun kullanılıp kullanılmadığını öğrenme,

(iv)Yurt içi ya da yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme,

(v)Kişisel verilerin eksik ya da yanlış işlenmiş olması halinde bunların düzeltilmesini ve bu kapsamda düzeltmenin kişisel verilerin aktarıldığı varsa diğer üçüncü kişilere bildirilmesini talep etme,

(vi)Kişisel verilerin mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini veya yok edilmesini ve yapılan işlemin varsa kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,

(vii)İşlenen kişisel verilerin otomatik sistemler aracılığıyla analiz edilmesi sonucunda kişinin kendi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(viii) Kanun aykırı olarak kişisel verilerin işlenmesi sebebiyle uğranılan zararı talep etme.

 

4.3. Özel Nitelikli Kişisel Verilerin Korunması

Belirli kişisel verilerin hukuka aykırı olarak işlenmesi halinde kişisel veri sahiplerinin mağduriyetlerine ya da ayrımcılığa sebep olma riskleri nedeniyle bu kişisel verilere özel önem atfedilmektedir. Bu özel nitelikli veriler, ırk, etnik köken, siyasi düşünce, felsefi inan., din, mezhep ya da diğer inanlar, kılık ve kıyafet, dernek, vakıf veya sendika üyelikleri, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler ile birlikte biyometrik ve genetik verilerdir.

BNI tarafından özel nitelikli olarak belirlenen işbu verilerin hukuka uygun şekilde işlenmesi ve korunması açısından da büyük hassasiyetle hareket edilmektedir. Bu kapsamda, BNI tarafından alınan tedbirler özel nitelikli verilerin korunması içinde özenle uygulanmakta ve gerekli iç denetimler sağlanmaktadır.

 

BÖLÜM 5 – KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ

KVK Kanunu’na uygun şekilde Politika’nın işbu bölümünde hangi kişisel verilerin işlendiği, bu kişisel verilerin işlenme amaçları ve saklanma sürelerine ilişkin olarak İlgili Kişiler’e bilgi verilmektedir. Kişisel verilerin sahiplerine ilişkin kategorizasyona ise işbu Politika’nın 6. Bölümünde yer verilmektedir.

 

5.1. Kategorizasyon

BNI tarafından KVK Kanunu ve ilgili yasal mevzuat uyarınca İlgili Kişiler bilgilendirilerek BNI’ın hukuka uygun ve meşru kişisel veri işleme amaçları doğrultusunda kişisel veri işleme şartlarından bir ya da birden fazlasına dayalı ve bunlarla sınırlı olarak yasal mevzuatta belirtilen genel ilkeler esas alınmak suretiyle ve tüm yasal yükümlülüklere uyularak aşağıda belirtilen kategorilerde kişisel veriler işlenmektedir.

 

Tablo -1
Kişisel Veri Kategorisi	Açıklama
Kimlik Bilgisi	Kimliği belirli ya da belirlenebilir olan bir gerçek kişi ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, nüfus cüzdanı, ehliyet, pasaport, avukat kimliği, ikametgâh, evlilik cüzdanı veya benzeri belgelerde yer alan tüm bilgiler bilgilerdir.
İletişim Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, telefon numarası, faks numarası, e-posta adresi, ev, iş ya da benzeri adresler ve bunun benzeri tüm bilgilerdir.
Lokasyon Bilgisi           Müşteri/Üye Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, kişinin yaşadığı şehri, ikamet ettiği yeri, sözleşmesel ilişki kurulurken gerekli olan veya sözleşmenin ifasını ilgilendiren lokasyona ilişkin bilgilerdir. Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, BNI’ın ve iş birimlerinin ticari faaliyetlerini ve operasyonlarını gerçekleştirirken ve yürütürken ilgili kişiler hakkında elde edilen ve üretilen her türlü kayıt, veri ve bilgilerdir.
Müşteri/Üye İşlem Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, üyelik durumu, sözleşmesel ilişki kapsamında alınan hizmetler, satış işlemi varsa buna ilişkin bilgiler, kampanyalar, ticari iletişim izni gibi ya da Üye'nin sistem içerisindeki performansını gösterir yönlendirme detayları, misafir bilgileri, ciro kayıtları, eğitim katılım bilgileri, devamsızlık kayıtları, ziyaretçi günü listeleri başta olmak üzere üyelikle ve performansilgili her türlü bilgiler ile üye adayının başvuru esnasında paylaştığı referansları, 40 kişilik tanıdık listesi ve adli sicil kaydı ile üye olduğu dernek, sendika  ve diğer sosyal gruplara ilişkin paylaştığı her türlü bilgilerdir.
İşlem Güvenliği Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, BNI Connect ve BNI internet sitesi üzerinden üyelerin girmiş oldukları şifreler, parolalar ve sair kullanıma ilişkin bilgilerdir.
Risk Yönetimi Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, müşteri, üye veya sair kişilerin IP adresleri ve buna ilişkin bilgilerdir.
Finansal Bilgi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, BNI ile kişisel veri sahibinin arasında kurulan üyelik, satış veya sair şekilde hukuki ilişkinin türüne göre vergi dairesi, vergi numarası, fatura bilgileri gibi her türlü kayıt, veri ve bilgilerdir.
Özlük Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, BNI ile çalışan olarak hukuki ilişki tesis edilen ve bu nedenle özlük haklarının belirlenmesi için ve 4857 s. İş Kanunu ve ilgili diğer mevzuat gereğince veya bundan bağımsız olarak işlenen her türlü kayıt, veri ve bilgilerdir.
Hukuki İşlem ve Uyum Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen,BNI’ın her türlü hukuki alacak ve haklarının tespiti, belirlenmesi ve takibi amacıyla üyelerin, müşterilerin, müşteri veya üye adaylarının veya sair kişilerin üyelik sözleşmeleri, elektronik onayları, elektronik iletileri ve sair hukuksal metin ve kayıtların tümüdür.
Pazarlama Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen, kişisel veri sahibinin kişisel ihtiyaçları, tercihleri ve alışkanlıkları gibi pazarlamayı özelleştirmeye yaran her türlü kayıt, veri ve bilgilerdir.
Talep ve Şikâyet Yönetimi Bilgisi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen ya da tamamen otomatik şekilde ya da veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işlenen,BNI’aüye, müşteri veya sair kişiler tarafından yöneltilmiş bulunan elektronik, işitsel veya fiziksel her türlü talep ve şikayete ilişkin olarak işlenen kayıt, veri ve bilgilerdir.

 

5.2. Kişisel Verilerin Toplanmasının Hukuki Sebepleri

BNI tarafından yalnızca KVK Kanunu’nda belirtilen Kişisel Veri işleme şartları içerisinde bulunan amaç ve koşullarla sınırlı olarak kişisel veriler işlenmektedir. Bu amaç ve koşullara aşağıda yer verilmektedir:

(i)BNI’ın kişisel verilerin işlenmesine ilişkin ilgili faaliyette bulunmasının mevzuatta açıkça öngörülmesi,

(ii)BNI tarafından kişisel verilerin işlenmesinin üyelik sözleşmesi gibi bir sözleşmenin kurulması ya da ifası ile doğrudan doğruya ilgili ve gerekli olması,

(iii)BNI tarafından kişisel verilerin işlenmesinin BNI’ın hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,

(iv)Kişisel verilerin alenileştirilmiş olması halinde BNI’ın kişisel verileri alenileştirme amacıyla sınırlı bir şekilde işlemesi,

(v)BNI tarafından kişisel verilerin işlenmesinin BNI’ın, İlgili Kişiler’in ya da üçüncü kişilerin haklarının tesisi, kullanılması ya da korunması için zorunlu olması,

(vi)BNI tarafından kişisel veri işleme faaliyetinde bulunulmasının İlgili Kişi’nin ya da üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması için zorunlu ve gerekli olması ve bu durumda İlgili Kişi’nin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunması ya da rızasına hukuki geçerlilik tanınmaması,

(vii)İlgilli Kişi’nin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde,

(viii)Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında olan kişiler ya da yetkililer tarafından işlenmektedir.

 

Yukarıda belirtilen haller dışında, BNI tarafından kişisel veri işlenmesi için İlgili Kişi’lerin açık rızalarına başvurulmaktadır.

İlgili Kişiler tarafından açık rıza verilmemesi halinde, ilk paragrafta belirtilen amaçlar kişisel veri sahibinin açık rızasını gerektirmediğinden dolayı BNI tarafından yine de kişisel veri işleme faaliyeti yerine getirilebilecektir. İlk paragrafta belirlenen (i - viii alt başlıkları arasında) kişisel veri işleme faaliyeti hukuki sebepleri dışında kalan hallerde BNI İlgili Kişi’nin açık rızası bulunmadan kişisel veri işleme faaliyeti gerçekleştirilmeyecektir.

 

5.3. Saklanma Süreleri

BNI tarafından ilgili hukuki düzenlemelerde öngörülmesi halinde işlenen kişisel veriler bu mevzuatta belirtilen süreler boyunca saklanmaktadır. İlgili hukuki düzenlemelerde herhangi bir süre belirlenmemesi halinde BNI tarafından kişisel veriler sunulan hizmetlere bağlı olarak BNI uygulamaları ve ticari hayatın gerektirdiği süre kadar işlenmekte, daha sonra ise silinmekte, yok edilmekte ya da anonim hale getirilmektedir.

BNI tarafından kişisel verilerin işlenme amacının sona ermiş olması ve ilgili mevzuat ya da BNI tarafından belirlenen sürenin sona ermiş olması halinde kişisel veriler yalnızca potansiyel hukuki ve ticari uyuşmazlıklarda delil teşkil etmesi ya da kişisel verilere ilişkin bir hakkın ileri sürülmesi ya da savunmanın sağlanması amacıyla saklanabilecektir. Bu doğrultuda saklama süresi belirlenirken ilgili hakkın ileri sürülebilmesine ilişkin zamanaşımı süresi öncelikli olarak dikkate alınmakta ancak saklama süresi daha önceden ileri sürülen taleplere örnek teşkil etmesi açısından daha fazla olarak belirlenebilmektedir. Kişisel verilerin bu paragraf kapsamında amacının sona ermiş olması ve ilgili mevzuat ya da BNI tarafından belirlenen sürenin geçmiş olmasına rağmen yukarıda belirtilen nedenlerle saklanması halinde bu saklama süresi boyunca başka herhangi bir amaç ile ilgili kişisel verilere erişim sağlanmamakta ve belirlenen sürenin dolması ile birlikte ilgili kişisel veriler silinmekte, yok edilmekte ya da anonim hale getirilmektedir.

 

BÖLÜM 6 – KİŞİSEL VERİ SAHİPLERİNE İLİŞKİN KATEGORİZASYON

BNI tarafından aşağıda sıralanan kişisel veri sahibi kategorilerinde yer alan kişilerin kişisel verileri işlenmektedir. BNI tarafında gerçekleştirilen kişisel verileri işlenen kişilerin kategorileri aşağıda yer alanlarla sınırlı olmakla birlikte aşağıda belirtilen kategoriler dışında yer alan kişilerin de KVK Kanunu nezdinde BNI’a karşı taleplerini yöneltme hakkı bulunmaktadır ve bu kişiler tarafından yöneltilen talepler de işbu Politika kapsamında değerlendirilecektir.

Tablo -2
Kişisel Veri Sahibi Kategorisi	Açıklama
Müşteri / Üye	BNI tarafından herhangi bir sözleşme ilişkisi bulunsun ya da bulunması BNI’ın sunduğu hizmet ve ürünleri kullanan ya da kullanmış olan gerçek kişileri ifade etmektedir.
Potansiyel Müşteri / Potansiyel Üye	BNI tarafından sunulan ürün ve hizmetleri kullanma talebinde bulunmuş olan ya da ilgili olabileceği açık beyan, ticari teamül ya da dürüstlük kuralı gereğince değerlendirilebilecek olan gerçek kişileri ifade etmektedir.
Ziyaretçi	BNI tarafından sunulan ürün ve hizmetleri kullanma ilgisi bulunabilecek, BNI ya da BNI Grupları tarafından gerçekleştirilen toplantılara, etkinliklere, eğitimlere ya da benzer organizasyonlara katılan ya da BNI’ın internet sitelerini ve elektronik yayınlarını ziyaret eden gerçek kişileri ifade etmektedir.
Üçüncü Kişi	BNI ile hukuki ilişki içerisinde bulunan müşteri, üye, potansiyel üye veya ziyaretçi kategorisine girmeyen fakat bunlarla ilişkide olan veya olmayan fakat bu bahsi geçen kişilerin haklarını korumak üzere verilerinin işlenmesi gerekli olan kişileri ifade etmektedir.
Çalışan ve Çalışan Adayları	BNI ile çalışan olarak hukuki ilişki tesis etmek üzere başvuruda bulunan ve özgeçmiş dahil fakat sınırlı olmamak üzere kişisel verilerini BNI’a açmış bulunan veya BNI ile çalışma ilişkisine girmiş olan kişileri ifade eder.
Şirket Ortağı	BNI ve iştiraklerinde hisseleri bulunan gerçek kişileri ifade etmektedir.
Şirket Yetkilisi   İşbirliği İçinde Bulunanlar	BNI’ın yönetim kurulu üyesi veya yetkilendirdiği kişileri ifade etmektedir.   BNI ile ticari ilişki içerisine girerek danışmanlık, eğitmenlik, direktörlük veya benzer nitelikte hizmet sunan kişileri ifade etmektedir.

 

Aşağıda ayrıca işbu Politika’dabelirtilen kişisel veri kategorileri ile bu kategorilerin hangi kişisel veri sahibi kategorilerine ilişkin işlendiğini gösteren tablo bilginize sunulmaktadır.

 

Tablo -3
Kişisel Veri Kategorisi	İlgili Olan Kişisel Veri Sahibi Kategorisi
Kimlik Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Çalışan, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçerisinde Bulunulan Kişiler
İletişim Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Çalışan, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçerisinde Bulunulan Kişiler
Lokasyon Bilgisi   Müşteri/Üye Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Çalışan, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İş birliği İçerisinde Bulunulan Kişiler   Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye
Müşteri/Üye İşlem Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye
İşlem Güvenliği Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Ziyaretçi, İş birliği İçerisinde Bulunulan Kişiler
Risk Yönetimi Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Çalışan, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İş birliği İçerisinde Bulunulan Kişiler
Finansal Bilgi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Çalışan, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İş birliği İçerisinde Bulunulan Kişiler
Özlük Bilgisi	Çalışan, Çalışan Aday
Hukuki İşlem ve Uyum Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Çalışan, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İş birliği İçerisinde Bulunulan Kişiler
Pazarlama Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Ziyaretçi
Talep ve Şikâyet Yönetimi Bilgisi	Müşteri/Üye, Potansiyel Müşteri/ Potansiyel Üye, Ziyaretçi

 

 

BÖLÜM 7–KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

BNI tarafından KVK Kanunu çerçevesinde ve her türlü yasal mevzuat hükümlerine uygun şekildeaşağıda sıralanan kişi kategorilerine kişisel verileriniz aktarılabilmektedir.

Türkiye’de BNI tarafından yürütülen faaliyetlerin kapsamını, elde edilen sonuçların durumunu ve pazarlama ile yeni yatırımların belirlenmesi amacıyla BNI Global’a kişisel veriler aktarılmaktadır. Bu aktarım kapsamında üye/müşterilerimize ait kimlik bilgisi, iletişim bilgisi, lokasyon bilgisi, finansal bilgileri, pazarlama bilgileri, müşteri/üye işlem bilgisi yer almaktadır.

Yine tanıtım ve reklam faaliyetleri kapsamında gerekli olan kişisel verilerinizin Türkiye’de iş birliği içerisinde olunan kurum veya kuruluşlara aktarılabilmektedir. Bu kapsamda Türkiye’de Franchise Sahibi olarak faaliyet gösterenlere, danışmanlık, eğitim veya direktör hizmeti veren kişi veya kurumlara bu aktarımlar gerçekleştirilebilmektedir. Kişisel verileriniz, üye ve müşterilere daha iyi hizmet verebilmek ve BNI Organizasyonu’nu daha işlevli hale getirebilmek amacıyla aktarılmaktadır.

Ayrıca Kişisel Veriler, yine amaçla sınırlı olmak üzere BNI'ın faaliyetlerinin yürütülmesi kapsamında hizmet alınan tedarikçiler ile ticari faaliyetin yerine getirilmesinin gerektirmesi halinde paylaşılabilmektedir. Yine benzer şekilde BNI'ın hukuk ya da mali işleri ile ilgilenen özel hukuk kişilerinin hukuki işlem yetkisi kapsamında gerekli ve yeterli olan kişisel bilgiler avukat, mali müşavir, yeminli mali müşavire aktarılabilmektedir. 

Kişisel Veriler yukarıda ifade edilen amaçlar doğrultusunda, otoriteler, bakanlıklar, yargı mercileri gibi yetkili kamu kurum ve kuruluşları ile BNI’ınhukuki yükümlülüğünü yerine getirmesinin zorunlu olması, kanunların emredici hükümleri gereği ve kanunen yetkili kamu kurumları ve özel kişiler tarafından talep edilmesi halinde paylaşılmasının gerektiği durumlarda yukarıda belirtilen amaçlar doğrultusunda ve Kişisel Verilerin işlenme amacı ile ölçülü ve ancak mevzuatın izin verdiği sınırlar dahilinde (Kanunun 8. ve 9. maddelerine uygun olacak şekilde)veri güvenliği konusundaki hassasiyetimizi paylaşan yetkili kamu kurumları ve özel kişilere aktarılabilecektir.

Ayrıca, Kişisel Veriler, tamamen özel şifre ve kullanıcı adıyla erişilebilen güvenli bir ortamda BNI’ınbünyesinde erişim izni tanıdığı ve önceden belirlediği yöneticilerinin, çalışanlarının, bazı hallerde Franchise adaylarının ya da Sahiplerinin ve bu FranchiseSahiplerindegörevli yöneticilerin, çalışanların,Kişisel Verileri işlemek için profesyonel hizmet alınan yurtiçi ve yurtdışındaki 3. kişilerin ve bulut hizmet sağlayıcılarının erişimine açılmaktadır.

Tüm bu veri ve bilgi aktarımları güvenli ortam ve kanallarla gerçekleştirilmekte, veri sahibinin kişisel bilgilerinin aktarım yapılacak kişi dışındaki veya amacı dışında kullanabilecek kişi veya kurumlara aktarılmamasına özen gösterilmektedir.

 

BÖLÜM 8 – KİŞİSEL VERİ İŞLEME FAALİYETLERİ

 

BNI, kişisel veri işlerken ve sonrasında KVK Kanun’u ve ilgili mevzuat hükümlerine riayet etmekte, kişisel veri sahiplerinin kişisel haklarına bütünüyle riayet etmektedir. Kişisel verileri işleme faaliyetleri BNI’ın ticari faaliyetleri kapsamında otomatik veya otomatik olmayan yollarla gerçekleşebilmektedir.

 

8.1. Kişisel Verilerin İşlenme Amacı

Özel nitelikli kişisel veriler de dâhil olmak üzere kişisel veriler,

• BNI faaliyetlerinin gereği gibi ifa edilebilmesi,
• BNI faaliyetlerinde network ortamının güven içerisinde sağlanabilmesi,
• BNI faaliyetlerinin finansmanın, planlanmasının ve yönetiminin sağlanabilmesi,
• Üyelik başvuru ve üye olunması halinde üyelik işlemlerinin sürdürülebilmesi, süreçlere ilişkin gelişmelerden ve yeniliklerden haberdar edilmenin sağlanabilmesi
• BNI'ın iç işleyişinin planlanması ve yönetilmesi, BNI tarafından sağlanan hizmetlerin geliştirilebilmesi ve analizlerin yapılabilmesi,
• Pazar araştırması faaliyetlerinin planlanması ve yürütülmesi, üyelerinmemnuniyetinin ölçümlenebilmesi,
• BNI çalışanlarının eğitimi ve geliştirilmesi, suistimal ve yetkisiz işlemlerin engellenebilmesi,
• Risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi,araştırma yapılabilmesi,
• Finans, muhasebe ve hukuki süreçlerin organize edilebilmesi, üretim, operasyon ve lojistik hizmetlerin gereği gibi ifa edilip edilmediğinin ve hizmetlerin ne şekilde geliştirilebileceğinin analiz edilebilmesi
• Yasal ve düzenleyici gereksinimlerin yerine getirilmesi,
• Hizmetlerimiz karşılığında faturalandırma yapılabilmesi, kimliğinizi teyit edilebilmesi
• BNI sistemi içerisinde etkinliğinizin değerlendirilebilmesi,
• BNI hizmetlerinin ve üye performanslarının geliştirilmesi ve iyileştirilmesi amacıyla raporlama ve analiz yapılabilmesi,
• BNI sistemi dahilinde yer alan halihazır Üye'ler ile daha önceden Üyeliği sona ermiş kişiler arasındaki performans değerlendirmelerinin mukayese edilebilmesi,
• BNI Politika ve Prosedürlerine uyum sağlanabilmesi,
• Üye memnuniyetinin ve performans kriterlerinin ölçülmesi,
• Veri Sorumlusunun ticari stratejilerinin belirlenebilmesi, geliştirilmesi, süreçlerin yönetiminin sağlanabilmesi, ticari faaliyetlerin devamının sağlanabilmesi ya da daha efektif ve Müşteri/Üye odaklı hizmet sunulabilmesi,
• BNI faaliyetlerinin finansmanının planlanabilmesi ve yönetiminin sağlanabilmesi, BNI Organizasyonu içerisine güvenilir, işinde başarılı üyeler alındığından emin olunması, network ortamının güven içerisinde ilerlemesinin temin edilmesi,
• Üyelik ve/veyaorganizasyon ile ilgili çıkabilecek herhangi bir soru veya sorunda efektif şekilde çözüm yolları üretilebilmesi, yönetim ve iletişim faaliyetlerinin planlanabilmesi ve icrasının sağlanabilmesi amaçlarıyla işlenebilecektir.

 

8.2. Kişisel Verilerin Toplanma ve İşlenme Yöntemi

BNI'ın faaliyetlerine bağlı olarak değişebilmekle birlikte kişisel verileriniz çağrı merkezi, internet sitesi, BNI Connect Sistemi, online hizmetler, üye kayıt formları, üyelik başvuru formları, üyelik yenileme formları, üyelik sözleşmeleri, 40 kişilik tanıdık listesi, ziyaretçi listesi, iş yönlendirme kağıtları, ciro katkısı desteğini gösterir formlar, BNI işyerleri, birimleri, internet sitesi, çağrı merkezi, kamu kurum ve kuruluşları ile BNI’ın faaliyetlerinin tamamlayıcısı veya uzantısı niteliğindeki hizmetleri aldığı taraflar, anlaşmalı kuruluşlar ve benzeri diğer kanalları aracılığı ile otomatik ya da otomatik olmayan yollarla, yazılı, sözlü ya da elektronik ortamda toplanabilmektedir.Özel nitelikli kişisel verileriniz ve genel nitelikli kişisel verileriniz BNI tarafından yine aşağıda belirtilen amaçlarla işlenebilecektir.

 

BÖLÜM 9 – KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRME ŞARTLARI

BNI tarafından yürürlükte bulunan mevzuat uyarınca KVK Kanunu ve ilgili mevzuata uygun işlenmiş olmasına rağmen, kişisel veriler silinebilir, yok edilebilir ya da anonim hale getirilebilir.

Kişisel verilerin anonimleştirilmesi, söz konusu verilerin başka verilerle eşleştirilerek dahi olsa hiçbir şekilde kimliği belirlenebilecek olan bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi anlamını taşımaktadır. BNI tarafından kişisel verilerin işlenmesi gerektiren sebeplerin ortadan kalkması halinde kişisel veriler anonim hale getirilebilmektedir.

Anonimleştirilmiş olan kişisel verilerin KVK Kanunu çerçevesinde araştırma, planlanma ve istatistiksel amaçlarla işlenmesi mümkündür. Bu tür işlemler için kişisel veri sahibinin rızası aranmamaktadır. Yine benzer şekilde anonimleştirilerek işlenen kişisel veriler KVK Kanunu’n kapsamı dışında bulunduğundan işbu Politika’nın aşağıda yer alan bölümünde belirtilen haklar anonimleştirilen veriler açısından geçerli olmamaktadır.

Öte yandan, imha edilmesi gereken Kişisel Verilerin üçüncü kişilere aktarılmış olması halinde, BNI tarafından üçüncü kişilere imhası gereken Kişisel Verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekliliği bildirilecektir.

Ayrıca, Kişisel Verilerin işlenmesi sonrasında yukarıda bahsedilen nedenlerden birinin gerçekleşmesinden ötürü silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerine ilişkin bütün kayıtlar, Yönetmeliğin 7.maddesi gereğince BNI tarafından 3 (üç) yıl süreyle saklanacaktır. Herhangi bir şekilde yetkili resmi kurum veya kuruluşlardan talep edilmesi halinde silme, yok etme ve anonim hale getirme aşamasındaki yapılan işlemler paylaşılabilecektir.

Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şartları ve sebepleri şu şekilde sıralanabilir:

 

• Veri Sahibi tarafından Veri Sorumlusuna Kişisel Verilerin silinmesi, yok       edilmesi veya anonim hale getirilmesine ilişkin iletilecek yazılı talep,
• BNI’ın kendi kararı,
• Kişisel Verilerin saklanması için belirlenen sürenin geçmesi,
• Her ihtimalde Kişisel Verilerin işlenme amacının ortadan kalkması.

 

9.1 Kişisel Verilerin Silinmesi Yöntemleri

9.1.1. Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox gibi)

Bulut sisteminde herhangi bir kişisel verinin bulunması halinde bu veriler silme komutu verilerek silinir.Anılan işlem gerçekleştirilirkenilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilir.

 

9.1.2. Kağıt Ortamında Bulunan Kişisel Veriler

Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinir.Karartmaişlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkünolmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi ya da yine çeşitli yöntemlerle okunamayacak şekilde yok edilmesi şeklinde yapılır.

 

9.1.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları

Dosya işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanınbulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilir.

 

9.1.4. Taşınabilir Medyada Bulunan Kişisel Veriler

Kişisel Veriler' in Flash tabanlı saklama ortamlarında yer alması halinde, bu veriler şifreli olarak saklanır ve bu ortamlarauygun yazılımlar kullanılarak silinir.

 

9.1.5. Veri Tabanları

Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığınadikkat edilir.

 

9.2. Kişisel Verileri Anonim Hale Getirme Yöntemleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. BNI, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

 

KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından Politika’nın4.2. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır. BNI, tarafından kullanılabilecek anonimleştirme teknikleri aşağıda sıralanmaktadır.

 

9.2.1. Maskeleme (Masking)

Veri maskeleme,Kişisel Verinin temel belirleyici bilgisinin veri seti içerisinden çıkartılarak Kişisel Verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel Veri Sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.

 

9.2.2. Toplulaştırma (Aggregation)

Veri toplulaştırma yöntemi, birçok verinin toplulaştırıldığı ve Kişisel Verilerin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesidir. Örnek: Üyelerin yaşlarını tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

 

9.2.3. Veri Türetme (Data Derivation)

Veri türetme yöntemi,Kişisel Verinin içeriğinden daha genel bir içerik oluşturulması ve Kişisel Verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sonucunu doğurmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

 

9.2.4. Veri Karma (Data Shuffling, Permutation)

Veri karma yöntemi,Kişisel Veri seti içindeki değerlerin karıştırılması neticesinde değerler ile kişiler arasındaki bağın kopartılması anlamına gelmektedir. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.

 

9.3. Kişisel Verilerin Yok Edilmesi Yöntemleri

9.3.1. Yerel Sistemler

Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılabilir.

9.3.1.1. De-manyetize Etme

 Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir. 

9.3.1.2. Fiziksel Yok Etme

Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

9.3.1.3. Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılır.

9.3.2. Kağıt ve Mikrofiş Ortamları

Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir. Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

 

9.4. Periyodik İmha Süreleri

BNI, her 6 (altı) aylık dönemde yapacağı periyodik kontroller neticesinde Müşterilere ait Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda resen silme, yok etme veya anonim hale getirme işlemini gerçekleştirecektir. Bu halde, Kişisel Veri Sahibi tarafından yapılacak silinme veya yok edilme taleplerihariç olmak üzere, Kişisel Veriler, işlenme amacının ortadan kalkması durumunda periyodik imha süreci içerisinde gerekli ve makul bilgi güvenliği tedbirleri de alınmak suretiyle anonimleştirilerek kullanılmaya devam edilebilecek veya tekrar ulaşılamaz ve geri döndürülemez şekilde silinerek ortadan kaldırılabilecektir. Ayrıca, mevzuatta bazı Kişisel Veri türlerine ilişkin olarak özel saklama sürelerinin öngörülmesi durumunda, Kişisel Verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesinde bu sürelere de riayet edilecektir.

 

BÖLÜM 10 – KİŞİSEL VERİ SAHİPLERİNİN HAKLARININ KULLANILMASI VE DEĞERLENDİRİLMESİ

Yürürlükteki mevzuat uyarınca BNI tarafından kişisel veri sahibine hakları bildirilmekte ve bu haklarının nasıl kullanılacağına ilişkin bilgi verilmektedir. BNI tarafından KVK Kanunu uyarınca kişisel veri sahibinin sahip olduğu hakların kullanılması ve değerlendirilmesi, kişisel veri sahiplerine gerekli bilgilendirmelerin yapılabilmesi için ilgili kanallar ve idari yönetim biçimi ile gerekli teknik düzenlemeler gerçekleştirilmektedir.

 

10.1. Kişisel Veri Sahibinin Hakları ve Kullanılması

Kişisel veri sahiplerinin aşağıda belirtilen hakları bulunmaktadır:

 

(i) kişisel verilerinin işlenip işlenmediğini öğrenme,

(ii) kişisel verilerinin işlenmiş olması halinde buna ilişkin bilgi talep etme,

(iii) kişisel verilerinin işlenme amacını ve yine işlenen kişisel verilerin bu amaca uygun kullanılıp kullanılmadığını öğrenme,

(iv)gerek yurt içinde gerekse yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

(v) kişisel verilerinin eksik ya da yanlış bir şekilde işlenmiş olması halinde bu verilerin düzeltilmesini ve yapılan bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,

(vi) Mevzuata uygun olarak işlenmiş olsa da işlenme sebeplerinin ortadan kalması halinde kişisel verilerinin silinmesini, yok edilmesini isteme ve yapılan bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,

(vii)işlenen kişisel verilerinin yalnızca otomatik sistemler aracılığıyla analiz edilmesi sonucunda kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(viii) kişisel verilerinin kanuna aykırı olarak işlenmesi nedeniyle zarara uğramış olması halinde bu zararın tazmin edilmesini talep etme.

 

Kişisel veri sahipleri tarafından yukarıda yer alan haklar KVK Kanunu uyarınca kanun kapsamında dışında tutulduğundan aşağıda belirtilen hallerde ileri sürülemez:

(i) Kişisel verilerin anonimleştirilerek araştırma, planlama ve istatistiksel amaçlarla işlenmesi,

(ii)Kişisel verilerin, milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat ya da bilimsel amaçlarla veya ifade özgürlüğü kapsamında işlenmesi,

(iii)Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarat faaliyetleri kapsamında işlenmesi,

(iv) Kişisel verilerin soruşturma, kovuşturma, yargılama ya da infaz işlemlerine ilişkin olarak yargı makamları ya da infaz mercileri tarafından işlenmesi.

Yürürlükte bulunan mevzuat gereğince, kişisel veri sahipleri yukarıda belirtilen haklarından zararın giderilmesini talep etme hakkı hariç olmak üzere diğer haklarını aşağıdaki hallerde ileri süremezler:

(i)kişisel verilerin işlenmesinin suç işlenmesini önlemek ya da soruşturma için gerekli olması,

(ii)kişisel veri sahibinin kendisi tarafından alenileştirilen verilerin işlenmesi,

(iii)kişisel veri işlemenin kanunun verdiği bir yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki diğer meslek kuruluşlarınca denetleme ya da düzenleme görevlerinin yapılması ile disiplin soruşturma veya kovuşturması için gerekli olması,

(iv) kişisel veri işlemenin bütçe, vergi ya da mali hususlara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması amacıyla gerekli olması.

 

İlgili Kişiler tarafından KVK Kanunu ve ilgili mevzuat uyarınca yukarıda belirtilen hakların kullanılmasına ilişkin talepler BNI’a yazılı olarak ya da mevzuatta yer alan düzenlemelerin belirlediği diğer şekillerde iletilmesi gerekmektedir. Bu kapsamda İlgili Kişiler tarafından yapılacak başvurularda başvuranın kimliğinin tespiti için gerekli bilgiler ve kullanılması talep edilen hakkın açık bir şekilde bildirilmesi ve aşağıda yer alan adrese iadeli taahhütlü mektup ya da noter aracılığıyla iletilmesi gerekmektedir. Kişisel veri sahiplerinin bizzat kendilerinin talepte bulunması gerekmekte olup kişisel veri sahipleri yerine/adına üçüncü kişiler tarafından talepte bulunulması mümkün olmamaktadır. Kişisel veri sahibi adına başvuru gerçekleştirilecek ise başvuruda bulunacak kişi adına düzenlenmiş olan özel yetki içeren vekaletnamenin de BNI’a talep ekinde gönderilmesi gerekmektedir.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca BNI’a yapılacak başvuruda aşağıdaki bilgilerin yer alması zorunludur:

• Ad, soyadı ve başvuru yazılı ise imza,
• Türkiye Cumhuriyeti vatandaşları için T.C Kimlik Numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
• Tebligata esas yerleşim yeri veya iş yeri adresi,
• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
• Talep konusu,
• Konuya ilişkin bilgi ve belgeler

 

Alıcı    :             VİZYONER ORGANİZASYON VE DANIŞMANLIK AŞ 

 

Adres  :            BrandiumResidenceKüçükbakkalköy Mahallesi

Dudullu Yolu Cad. No:23-25 R2 Blok Kat:8 D:85

Ataşehir/İstanbul

 

10.2. BNI Tarafından Başvurulara Cevap Verilmesi

İlgili kişiler tarafından yukarıda yer alan usule uygun şekilde BNI’a iletilmesi halinde BNI tarafından talebin niteliği de göz önünde bulundurularak en kısa sürede ve her halde otuz (30) gün içerisinde talep ücretsiz olarak sonuçlandırılacaktır. Ne var ki, talep edilen işlemin ayrıca bir maliyet gerektirmesi halinde BNI tarafından başvuru sahibinden KVK Kurulu tarafından belirlenen ücret tarifesi uyarınca işlem için ücret talep edilebilir.

BNI’a usulüne uygun bir şekilde iletilen talep üzerine BNI başvuruda bulunan kişinin gerçekten kişisel veri sahibi olup olmadığını tespit etmek amacıyla bilgi talep etme hakkını haizdir. Buna ek olarak, talepte açık olmayan hususların giderilmesi ve başvurunun netleştirilmesi açısından BNI, başvuruda bulunan kişisel veri sahibine gerekli soruları yöneltebilir.

 

BNI tarafından aşağıdaki haller başvuruda bulunan kişinin başvurusu gerekçesi açıkça belirtilerek reddedilebilir:

(i) Kişisel verilerin anonimleştirilerek araştırma, planlama ve istatistiksel amaçlarla işlenmesi,

(ii) Kişisel verilerin, milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat ya da bilimsel amaçlarla veya ifade özgürlüğü kapsamında işlenmesi,

(iii) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarat faaliyetleri kapsamında işlenmesi,

(iv) Kişisel verilerin soruşturma, kovuşturma, yargılama ya da infaz işlemlerine ilişkin olarak yargı makamları ya da infaz mercileri tarafından işlenmesi,

(v) kişisel verilerin işlenmesinin suç işlenmesini önlemek ya da soruşturma için gerekli olması,

(vi) kişisel veri sahibinin kendisi tarafından alenileştirilen verilerin işlenmesi,

(vii) kişisel veri işlemenin kanunun verdiği bir yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki diğer meslek kuruluşlarınca denetleme ya da düzenleme görevlerinin yapılması ile disiplin soruşturma veya kovuşturması için gerekli olması,

(viii) kişisel veri işlemenin bütçe, vergi ya da mali hususlara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması amacıyla gerekli olması,

(ix)BNI’a iletilen talebin diğer kişilerin hak ve hürriyetlerini engelleme ihtimalinin bulunması,

(x) BNI’a iletilen talebin orantısız bir çaba, efor ya da masraf gerektiren taleplerden olması,

(xi) BNI’dan talep edilen bilgilerin kamuya açık ve aleni olması.

 

BÖLÜM 11 -POLİTİKADAKİ DEĞİŞİKLİKLER

İşbu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Yapılan yeni değişiklikler mümkün olan en kısa sürede yayınlanacak ve derhal uygulanmaya başlanılacaktır.