Kişisel Verilerin Korunması Kanunu

A AMAÇ

Bu Politika’nın temel amacı 6698 Sayılı Kişisel Verilerilerin Korunması Kanunu (“Kanun”) ve alt düzenlemeleri çerçevesinde QNB Leasing tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti neticesinde QNB Leasing nezdinde işlenen kişisel verilerin saklanması, kontrol edilmesi, Kanun ve alt düzenlemelerine uygun şekilde silme, yok etme ve anonim hale getirilmesi sureti ile imha edilmesi ve anılan süreçlere ilişkin çalışma yöntemlerinin belirlenerek tanımlanmasına yönelik olarak hazırlanmıştır.

QNB Leasing kişisel verilerin güvenliğine en üst düzeyde önem vererek, sunulan tüm ürün ve hizmetlerde kişisel verilerin güvenliğinin ön planda olduğu bilinci ile faaliyetlerine devam etmektedir.

B KAPSAM

QNB Leasing tarafından otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerin saklanma usulleri ile silme, yok etme ve anonim hale getirilmesi sureti ile imha edilmesi süreçlerine ilişkindir.

Bu Politika, QNB Leasing müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, hissedarları, ziyaretçileri, kendisi ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine uygulanmaktadır.

REFERANSLAR:

6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Veri Sorumluları Sicili Yönetmeliği

Kişisel Veri Saklama ve İmha Politikası

Disiplin Kurulu Talimatı

TANIMLAR & KISALTMALAR

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Kişisel Veri Sahibi/ İlgili Kişi: Kişisel verisi işlenen Müşteri olmayan potansiyel müşteriler, çalışanlar, çalışan adayları, hissedarlar, ziyaretçiler, kendisi ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü gerçek kişiyi,

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale etirilmesini,

Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik bilgileri,

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Kurul: Kişisel Verileri Koruma Kurulu’nu,

Kurum: Kişisel Verileri Koruma Kurumu’nu,

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

İlgili Kullanıcı: Verilerin tenik olarak depolanması, korunması, ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İş/ Hizmet Ortakları: QNB Leasing ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü gerçek kişiyi,

ifade eder.

ROLLER & SORUMLULUKLAR

QNB Leasing tarafından, hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti neticesinde kişisel veriler; Genel Müdürlük, Bölgeler, Şubeler, web sitesi, Çağrı Merkezi, gibi kanallar aracılığıyla sözlü, yazılı veya elektronik ortamda olmak kaydıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan, yurtiçi/yurtdışı iştiraklerimiz, işbirliği yaptığımız iş/hizmet ortağı kurum ve kuruluşlar, resmi kurumlar, yurtiçi/yurtdışı Bankalar ve diğer 3.kişiler de dahil olmak üzere Şirket dışından da elde edilebilecek şekilde çeşitli yöntemlerle toplanarak işlenmektedir.

Kişisel veriler çeşitli kayıt ortamlarında saklanabilmektedir. Bunlar;

  • Veri Tabanı

QNB Leasing ortamında, elektronik ortamda işlenen tüm kişisel veriler temel finansal kiralama sistemi üzerine kaydedilmektedir. Ayrıca işlenen kişisel veriler çeşitli kurumsal uygulamaların veri tabanlarında (İnsan Kaynakları Yönetim Sistemi, Döküman Yönetim Sistemi vb.) bulunabilmektedir. Bu uygulamaların tam listesi Veri Envanteri içerisinde güncel biçimde tutulmaktadır.

  • Kağıt ve Fiziki Ortamlar

Kağıt ortamında bulunan kişisel veriler ise bilgisayar servisleri, elektronik iletişim ve bilgi işleme araçları dışında fiziki ortamlarda bulunan basılı belgeler, postalar, imzalanmış anlaşmalar ve kontratlar, raporlar gibi fiziki bilgi varlıkları dahil fiziksel formattaki tüm bilgilerden oluşmaktadır.

Şirket, yukarıda sayılan kayıt ortamları aracılığı ile finansal kiralama faaliyetlerinden kaynaklanan iş süreçlerine bağlı olarak yürütmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı kişisel verilerin korunması ve işlenmesi konusunda temel politikasını; iç kullanıma yönelik diğer politika, prosedür, talimatlarla (“uygulama dokümanları”) birlikte oluşturduğu envanteri (“Veri Envanteri”) çerçevesinde yürütür.

Kişisel verilerin saklanması ve imhasına yönelik rol ve sorumluluklar bu Politikada belirlenmiştir.

POLİTİKA DETAYLARI

Veri İşleme&Saklama, Erişim ve İmha Yönetimi

Şirket, finansal kiralama faaliyetlerinin yürütülmesi amacıyla Kişisel Veri Sahibi/ İlgili Kişi’ ye ait kişisel verileri otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Kanun’da belirtildiği şekilde işlemekte, bu verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacı ile bunların güvenli bir şekilde muhafazasını sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

Veri İşleme&Saklama Yönetiminin Önemi
i.
Şirket, kişisel veriler da dahil olmak üzere tüm verilerin yönetimini kurumsal yönetim uygulamalarının bir parçası olarak ele almaktadır. Bu çerçevede, anılan yönetime ilişkin uygulama dokümanlarını oluşturmakta ve buna ilişkin süreçler tesis etmektedir.
ii. Uygulama dokümanları ve süreçler ilgili iş alanında gerçekleşen değişiklikler veya teknolojik gelişmeler doğrultusunda gerekiyorsa yenilenmek üzere düzenli olarak gözden geçirilmektedir.
iii. Şirket nezdindeki kişisel veriler de dahil olmak üzere tüm verilerin üzerinde tesis edilen yönetimin etkinliği; risk yönetimi, iç kontrol sistemi ve iç denetim kapsamında yürütülecek çalışmaların da katkısıyla sağlanmaktadır.

VERİ SAKLAMA & GÜVENLİĞİ YÖNETİMİ

Kişisel Verilerin İşlenme Amaçları ve İmhası

Şirket, başta Anayasa olmak üzere, Kanun ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak, hukuka ve dürüstlük kurallarına uygun şekilde veri işleme faaliyetini gerçekleştirmektedir. Bunları doğru ve güncel olarak saklamakta; belirli, açık ve meşru amaçlarla; işlediği amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kullanmaktadır. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.

Şirket, işlediği kişisel verileri, finansal kiralama faaliyetlerini yerine getirebilmek amacıyla, tabi olduğu kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar fiziksel veya elektronik ortamda güvenli bir şekilde saklamaktadır.

KİŞİSEL VERİLERİN HUKUKA AYKIRI ŞEKİLDE İŞLENMESİ VE ERİŞİMİN ENGELLENMESİ İLE KİŞİSEL VERİLERİN GÜVENLE SAKLANMASINA VE HUKUKA UYGUN ŞEKİLDE İMHASINA YÖNELİK TEKNİK VE İDARİ TEDBİRLER

Kişisel Verilerin Hukuka Aykırı Şekilde İşlenmesine Ve Erişimin Engellenmesine Yönelik Teknik ve İdari Tedbirler

Şirket, gerçekleştirmekte olduğu finansal kiralama faaliyetleri çerçevesinde maruz kaldığı/kalabileceği risklerin izlenmesi ve kontrolünün sağlanması amacıyla, faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uygun, tüm şube ve birimleri ile Kanuna istinaden yürürlüğe konulan düzenlemelere göre kişisel veriler de dahil olmak üzere tüm verilerin hukuka ve Kanuna uygun işlenmesini sağlamak için, yasal düzenlemeler ile öngörülen usul ve esaslar çerçevesinde yeterli ve etkin şekilde çalışmasını sağladığı iç sistemlerine ilişkin teknolojik imkânlar dahilinde teknik ve idari tedbirler uygulamaktadır.

Bununla birlike Şirket, finansal kiralama faaliyetlerinde bilgi teknolojilerini kullanıyor olmasından kaynaklanan riskleri ölçmek, izlemek, kontrol etmek ve raporlamak üzere gerekli önlemleri almaktadır. Bu çerçevede oluşturulan “Güvenlik Risk Yönetimi Prosedürü”, ve ek niteliğindeki “BT Varlık ve Risk Envanteri” esasları uygulanmaktadır.

Şirket, kendi risk profiline, operasyonel yapısına, kurumsal yönetim kültürüne ve ilgili diğer kanunlar ile çizilen çerçeveye uygun olarak sistemlerine ilişkin risk yönetim süreçlerini geliştirerek, bilgi teknolojilerinden kaynaklanan riskleri de bu kapsamda değerlendirmeye almaktadır.

Bu çerçevede;

  • Çalışanlar kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda dönemsel olarak bilgilendirilmekte ve eğitilmektedirler.
  • Şirketin yürütmekte olduğu finansal kiralama faaliyetlerine ilişkin olarak tüm iş birimlerinin, süreç ve ürün özelinde değerlendirmeleri yapılarak analiz edilmekte, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu süreç ya da ürün özelinde kişisel veri işleme faaliyetleri gerçekleştirilmektedir.
  • Şirketin iş birimlerince yürütülmekte olunan kişisel veri işleme faaliyetleri, bu faaliyetlerin Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde değerlendirilmektedir.
  • İş birimleri için süreç ve ürün özelinde belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
  • Şirket ile çalışanı arasındaki hukuki ilişkinin dayanağı olan sözleşmelerde, Şirketin talimatlar, politika ve prosedürleri ve Şirketin gerçekleştirdiği finansal kiralama faaliyetleri kapsamında tabii olduğu kanunlar ya da diğer yasal düzenlemeler ile getirilen istisnalar dışında, kişisel verileri işlememe, bunları 3. kişilere açıklamama, koruma yükümlülüğü getiren yükümlülükler konulmakta ve bu konuda personel farkındalığı yaratılmaktadır. Tüm bu çerçevede İç Denetim Brimi tarafından rutin denetim faaliyetleri yürütülmektedir.
  • Yukarıda sözü edilen ve her türlü elektronik iletişim ve bilgi işleme araçlarının kullanımı ile ilgili kurallar, işe giriş aşamasında “Bilgi Teknolojileri Kullanıcı Taahhütnamesi”, Kişisel Verilerin Korunması Kanunu ve ilgili Mevzuat Kapsamında Bilgilendirme ve Muvaffakat Formu” belirtildiği şekilde çalışanlara aktarılmakta ve uyum için kendisine “Finans Leasing Prosedürleri’ne, Talimatlarına, Politikalarına Uyum ve Davranış Kuralları Taahhütnamesi" imzalatılmaktadır.

Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi

Şirket, “Bilgi Teknolojileri Güvenlik Politikaları Prosedürü” kapsamında, sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğinden emin olmak için, güvenlik kontrol sürecini değerlendirmeye tabi tutar.

Şirket, sistemlerinin üzerinde işlenmek, iletilmek, depolanmak ve yedek olarak saklanmak üzere bulunan kişisel veriler de dahil olmak üzere tüm veriler için gizlilik, bütünlük ve ulaşılabilirliklerini sağlayacak önlemlere ilişkin kontrol altyapısının geliştirilmesi ve düzenli olarak güncellenmesi çalışmalarını gözetim altında tutar ve bu çerçevede; aşağıda yer verilen talimat esaslarını uygular.

Güvenlik Risk Yönetim Prosedürü,

Veri Sahipliği prosedürü,

BT varlık envanteri Prosedürü,

Bilgi Teknolojileri Güvenlik Politikaları Prosedürü

Şirket, sistemlerine ilişkin veritabanlarına, uygulamalara ve sistemlere erişim için uygun bir yetkilendirme ve erişim kontrolü tesis eder. Yetkilendirme düzeyi ve erişim haklarının atanmasında ilgili unsurun görev ve sorumlulukları göz önünde bulundurularak, gerekli olacak en düşük yetkinin atanması, en kısıtlı erişim hakkının verilmesi ve ayrıcalıkların kötüye kullanım riskinin en düşük seviyede tutulması yaklaşımı “Bilgi Sistemleri Kullanıcı Yetki Yönetim Prosedürü”nde belirtildiği üzere esas alınır. Böylelikle sistemlere, servislere ve kişisel veriler de dahil olmak üzere tüm verilere sadece gerekli yetkiye sahip kullanıcı, taraf ve sistemlerin erişimi mümkün kılınmaktadır.

Sistemler dâhilinde gerçekleşen kritik faaliyetlere ilişkin yetkilendirme veritabanları da dâhil olmak üzere her türlü veritabanı, uygulama ve sistemde meydana gelecek değişiklik, ekleme ve silmenin, kimlik doğrulaması uygun tekniklerle gerçekleştirilmiş yetkili kullanıcılar tarafından yapılması sağlanır.

Bu kapsamdaki her türlü işlem için Şirket bünyesinde “BT İzleme&Monitoring Prosedürü” ve “Gelistirme Degisiklik Prosedürü” ile etkin bir değişiklik yönetimi tesis edilmiş olup, yeterli denetim izi tutulur ve tutulan denetim izleri düzenli olarak gözden geçirilir.

Kimlik doğrulama

Sistemler üzerinde gerçekleşen işlemler için uygun bir kimlik doğrulama mekanizması mevcuttur. Uygulanan kimlik doğrulama mekanizması, müşterilerin ve çalışanların sistemlere dâhil olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde tesis edilmiş olup, “Bilgi Teknolojileri Güvenlik Politikaları Prosedürü”ne göre yönetilir.

Görevler ayrılığı prensibi

Sistem, veritabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ve sorumluluklar ayrılığı prensibi uygulanır, atanan görevler ve sorumluluklar görevler ayrılığı prensibine göre periyodik olarak gözden geçirilir ve gerekiyorsa güncellenir. Süreçler ve sistemler, kritik bir işlemin tek bir personel veya destek hizmeti kuruluşu tarafından girilmesi, yetkilendirilmesi ve tamamlanmasına imkân vermeyecek şekilde tasarlanır.

Denetim izlerinin oluşturulması

Şirkette sistemler üzerindeki riskler, sistemlerin boyutu ve faaliyetlerin karmaşıklığı göz önünde bulundurularak sistemlerin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis edilmiştir.

Bu sayede, sistemler dâhilinde gerçekleşen ve finansal kiralama faaliyetlerine ait kayıtlarda değişikliğe sebep olan işlemlere ilişkin denetim izlerinin yeterli detayda ve açıklıkta tutulması temin edilir. Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli teknikler kullanılır. Kayıt sisteminin her türlü yetkisiz sistemsel ve kullanıcı müdahalesine karşı korunmasına yönelik önlemler alınır. Bu önlemler “BT İzleme&Monitoring Prosedürü”‘nde yer almaktadır.

Kişisel Verilerin Hukuka Uygun Şekilde Saklanmasına Ve İmhasına Yönelik Teknik Ve İdari Tedbirler

Veri Gizliliği

Şirket, finansal kiralama faaliyetleri kapsamında gerçekleşen işlemlerin ve bu işlemler kapsamında iletilen, işlenen ve saklanan kişisel veriler de dahil olmak üzere tüm verilerin gizliliğini sağlayacak önlemleri alır. Alınacak önlemler, gizliliği sağlanmaya çalışılan işlem ve verilerin gizlilik derecesine uygun olarak, gerekli yerlerde ek kontroller tesis edilerek gerçekleştirilir.

Bu çerçevede yapılan çalışmalar, sırların saklanmasına ilişkin mevzuat yükümlülüklerini karşılayacak niteliktedir. Gizliliği sağlamak üzere yapılacak çalışmalarda Bilgi Teknolojileri Güvenlik Politikaları Prosedürü’nde belirtilen prensipler dahilinde hareket edilir. Öyle ki;

  • Değer ve risk analizi gerçekleştirilerek, verilerin hassasiyetine uygun tedbirlerin alınmasının temin edilmesi, bu değerlendirme sırasında bankanın ağ ve sistem yapısının, operasyonlarının, genişliğinin ve çeşitliliğinin göz önünde bulundurulması,
  • Verilere, görevler ayrılığı ilkesi göz önünde bulundurularak tanımlanmış kişilerce, kişilerin sorumluluğu gereği kendileri için öngörülen yetkiler çerçevesinde, uygun bir kimlik doğrulama süreci sonrasında ulaşımın temin edilmesi,
  • Veri gizliliğini sağlamada kullanılacak şifreleme teknikleri için güncel durum itibariyle güvenilirliği ve sağlamlığı ispatlanmış algoritmaların baz alınması, ilgili algoritmalar için kullanılacak şifreleme anahtarlarının geçerli olacağı ve kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilmesi,
  • Geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının kullanılabilirliğinin engellenmesi, verinin ve operasyonun kritiklik düzeyine göre anahtarların değiştirilme sıklıklarının belirlenmesi,
  • Şifreleme anahtarlarının güvenli bir şekilde oluşturulması, müşteri ve personel kullanımına sunulması ve saklanması,
  • Gizlilik arz eden bankacılık verilerine erişimlerin kayıt altına alınması ve bu kayıtların yetkisiz erişim ve müdahalelere karşı korunması,
  • Destek hizmeti alımı kapsamında destek hizmeti kuruluşlarının, bankacılık verilerine erişiminin söz konusu olduğu durumlar için bu madde altında söz edilen hususlar ile bankanın bilgi güvenliği standartlarına uyumlu davranmasının sağlanması,

hususlarını içerir.

Kişisel Veri Sahibi/ İlgili Kişinin Bilgilendirilmesi

Şirket tarafından sunulan alternatif dağıtım kanalları (web sitesi vb.) hizmetlerinden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilir. Buna ek olarak bankanın söz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yönelik benimsediği güvenlik prensipleri ve bu risklerden korunmak için kullanılması gereken yöntemler aşağıdaki linklerde yer alan mecralarda müşterinin dikkatine sunulur.

Gizlilik Politikası

Kişisel Veri Sahibi/ İlgili Kişinin Kişisel Verilerinin Mahremiyeti

Şirket, faaliyetlerinin ifası sırasında bilgi sistemleri aracılığıyla edindiği veya sakladığı kişisel verilerin mahremiyetini sağlamaya yönelik politika ve prosedürleri yazılı hale getirerek oluşturmakta, bunları ilgili tüm birimlere iletmekte ve bunların gerektirdiği tedbirleri almaktadır.

Kişisel Veri Sahibi/ İlgili Kişilere ait kişisel veriler, yasalarla açıkça yetkili kılınan merciler ve Kanun düzenlemelerindeki istisnalar ile finansal kiralama faaliyeti nedeni ile tabii olunan yasal düzenlemelerden gelen açıkça öngörülen haller dışındaki taraflarla, ancak paylaşım sınırları açıkça belirtilmek ve müşterilerin rızaları alınmak kaydıyla paylaşılmaktadır.

Veri İmha Yönetimi

İmha, Kanun düzenlemeleri tahtında; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, Periyodik İmha ise, Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda bu politikada belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade etmektedir. QNB Leasing 6 ayda bir kullanım süresi biten verilerin resen imhasını gerçekleştirir.

Ancak, Şirketin meşru menfaatinin olduğu durumlar veya işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen kişisel veri sahibi ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler saklanabilecektir.

İmha işlemleri, kayıt altına alınarak en az 3 yıl süreyle saklanacaktır.

Kişisel Veri Sahibi/ İlgili kişi, QNB Leasing’e başvurarak kendisine ait kişisel verilerin imhasını talep edebilecektir. Böyle bir durumda aşağıdaki aksiyonlar alınarak uygulamaya konulur;

  • Kişisel veri işleme şartları tamamen ortadan kalkmışsa talebe konu kişisel veriler derhal imha edilir,
  • Kişisel veri işleme şartları tamamen ortadan kalkan kişisel veriler 3. Kişilere aktarılmış ise bu durum derhal 3. Kişiye bildirilir ve Kanun düzenlemeleri uyarınca gerekli aksiyonları alması temin edilir.

Yukarıdaki her iki halde de en geç 30 gün içerisinde Kişisel Veri Sahibi/ İlgili Kişinin talebini sonuçlandırılır.

Kişisel veri işleme şartları tamamen ortadan kalkmamış ise Kişisel Veri Sahibi/ İlgili Kişinin talebi gerekçeli olarak en geç 30 gün içerisinde yazılı ya da e-ortamdan reddedilebilir.

İmha Yöntemleri

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:

QNB Leasing, temel finansal kiralama sisteminde (E core), verileri silinmesi gereken Kişisel Veri Sahibi/ İlgili kişiye ait bilgiler içeren kaydı (CRM kartı) işaretleyerek canlı sistemdeki aktif verileri “pasif” olarak işaretler. Böylece uygulama istemcilerinden işlem yapan hiçbir Şirket çalışanı bu Kişisel Veri Sahibi/ İlgili Kişiye ait verilerin varlığını göremez. Kişisel Veri Sahibi/ İlgili Kişiyi temel finansal kiralama sisteminde arattığı zaman “kayıt bulunamadı” hatası ile karşılaşır.

Bu yöntemle işaretlenen kayıtlar arşiv veri tabanına aktarılır. Arşiv veri tabanına görevler ayrılığı prensiplerine göre yetki verilmiş sınırlı sayıda çalışan erişir ve hangi Kişisel Veri Sahibi/ İlgili Kişiye ait verinin bu yöntemle kayıtlarının silinmiş olduğunu görebilir.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi için, verilerin bulunduğu kayıt ortamının tespit edilerek ortamın türüne göre yok edilmesi gereklidir.

Belirtilen hususlara ilişkin ayrıntılı bilgi “İmha Prosedürü”nde yer almaktadır.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Şirket veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıdaki durumlarda ve yöntemlerle gerçekleştirilir.

Güçlü kontroller ile korunmakta olan canlı ortamın dışına hassas kayıtlar içeren verilerin çıkarılması gerektiğinde “Bilgi Teknolojileri Güvenlik Politikaları Prosedürü” uyarınca anonimleştirilmesi sağlanmaktadır.

SAKLAMA VE İMHA SÜRELERİNE İLİŞKİN TABLO


SÜRE AÇIKLAMA
Saklama :Tabi olunan mevzuatlar gereği zorunlu saklama süresi+ İstisna Süresi İstisna Süresi: Şirketin meşru menfaatinin olduğu durumlar veya Kişisel Verilerin işlenme amacının Kişisel Veri Sahibi/ İlgili Kişinin temel hak ve özgürlüklerine zarar verilmemesi
• Yukarıdaki açıklama dahilinde kullanım süresi biten kişisel verilerin 6 ayda bir resen imhası gerçekleştirilir.
• Kişisel veri işleme şartları tamamen ortadan kalkmışsa, kişisel veri sahibi/ ilgili kişinin talebine konu kişisel veriler derhal imha edilir.

KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLAR

QNB Leasing, temel finansal kiralama sistemlerinde imha işlemini Bilgi Teknolojileri ekibi gerçekleştirmektedir.

REVİZYON VE YAYINLANMA

Yılda bir kez periyodik olarak gözden geçirilir ve Şirket tarafından gerek görüldükçe güncellenerek yayınlanır.

Loader