Kişisel Verilerin Korunması ve Gizlilik Politikası
BPN ÖDEME & E-PARA HİZMETLERİ

BPN Ödeme ve Elektronik Para Hizmetleri A.Ş. (“BPN” ya da “Şirket”) olarak, 6698 Sayılı Kişisel Verilerin KorunmasıKanunu’nun (“KVKK” veya ‘‘Kanun”) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi birşekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede KVKK’da yer alangerekliliklerin eksiksiz olarak yerine getirilmesine büyük önem vermekteyiz.İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”), kişisel verilerin BPN tarafından toplanması, kullanılması,paylaşılması ve saklanması süreçleri ve prensipleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır. İşbu Politika’da,BPN tarafından veri sahiplerine ait kişisel verilerin işlenmesine ilişkin esaslara KVKK’da yer alan düzenleme sırasına uygunolarak yer verilmiş olup, bu açıklamalar BPN çalışanlarımızı, müşterilerimizi ve BPN ile ilişki içinde bulunan diğer gerçekkişileri kapsamaktadır.

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN USUL VE ESASLAR

TANIMLAR

İşbu Politika’da yer verilen terim ve kısaltmalara ilişkin tanımlar aşağıdaki gibidir:

KISALTMA TANIM
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir birgerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kanun/KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
KayıtlıElektronikPosta (Kep)Adresi Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere, kullanımına ilişkin olarak hukukideğil sağlayan elektronik postaların nitelikli şekli.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
KişiselVerilerinİşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçasıolmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafazaedilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilirhâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerindegerçekleştirilen her türlü işlem.
Kurul Kişisel Verileri Koruma Kurulu.
Özel NitelikliKişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık vekıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenliktedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
BPN / Şirket BPN Ödeme ve Elektronik Para Hizmetleri A.Ş.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sahibi Kişisel verisi işlenen gerçek kişi.
VeriSorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından veyönetilmesinden sorumlu olan gerçek veya tüzel kişi.

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

BPN, kişisel verileri KVKK ve ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede,BPN tarafından kişisel veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır.

  • Hukuka ve Dürüstlük Kurallarına Uygun Olma: Bu ilke uyarınca, BPN’nin veri işleme süreçleri, başta TürkiyeCumhuriyeti Anayasası ve KVKK olmak üzere ilgili tüm mevzuat ile dürüstlük kuralının gerektirdiği sınırlar içindeyürütülmektedir.
  • Doğru ve Gerektiğinde Güncel Olma: BPN tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olmasıiçin gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıylabilgilendirmelerde bulunarak veri sahiplerine gerekli imkânlar tanınmaktadır.
  • Belirli, Açık ve Meşru Amaçlar İçin İşlenme: BPN yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veriişlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, BPN yalnızca veri sahipleriylekurulan ilişki ile bağlantılı olarak ve gerekli olması halinde kişisel veri işlemektedir.
  • İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: BPN tarafından veriler, KVKK ve ilgili diğer mevzuata uygunolarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilebilmesine elverişli, amacın gerçekleştirilmesiyle ilgili veölçülü olarak işlenmekte olup, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
  • İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: BPN tarafındanişlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafazaedilmektedir. Bu kapsamda BPN, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta;böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

BPN tarafından kişisel veriler aşağıda belirtilen koşullara uygun olarak işlenmektedir:

KVKK'da sayılan istisnalar dışında, BPN ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir.KVKK’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel verilerişlenebilmektedir:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişininkendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişiselverilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veriişlenmesinin zorunlu olması.

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerinişlenmesinde ise BPN tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterliönlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinselhayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızasıolmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınmasışartıyla ve aşağıda sayılan amaçlar dâhilinde ve sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlartarafından ilgilinin açık rıza alınmaksızın işlenebilmektedir:

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis,
  • Tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

BPN’nin ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri veveri kategorileri için açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’yadayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine, kişisel verilerinin BPN tarafından işlenipişlenemeyeceğine dair seçim hakkı tanınmıştır.

KİŞİSEL VERİLERİN İŞLENME AMAÇLARI*

BPN tarafından elde edilen kişisel veriler, aşağıda açıklanan kapsamlar dâhilinde işlenebilecektir:

Çalışan Yan Haklarının Planlanması Acil Durum Listelerinin Oluşturulması
Performans & Çalışan Memnuniyeti ve DisiplinYönetimi Temsilci Başvuru Süreçlerinin Yürütülmesi
İç Kontrol Faaliyetlerinin Yürütülmesi E-süreçlerin Yürütülmesi
Şikayet ve Talep Süreçlerinin Yürütülmesi İş Ortaklarının ve Temsilcilerin BilgilendirilmesiSüreçlerinin Yürütülmesi
Uyum Süreçlerinin Kontrolü Para Transferi ve Kontrolü Süreçlerinin Yürütülmesi
Güvenlik Süreçlerinin Yönetimi Eğitim Süreçlerinin Yürütülmesi
Hata Durumunda Gerekli İşlemlerin Yapılması Dava & Hukuki Temsil Süreçlerinin Yürütülmesi
Etkinlik Yönetimi Süreçlerinin Yürütülmesi Yasal Mercilerin Bilgilendirilmesi
Seyahat Süreçlerinin Yürütülmesi İzin Süreçlerinin Yürütülmesi
Çalışan/Temsilci Sözleşme İmzalama ve TeminatSüreçlerinin Yürütülmesi Bordrolama
Kargo Takibi Süreçlerinin Yürütülmesi Çıkış İşlemleri
Vize Süreçlerinin Yürütülmesi Aylık Prim ve Hizmet ve Çalışan Bildirgeleri
Puantaj Süreçlerinin Yürütülmesi Çalışma İzni Başvuruları ve Bildirimi
Çalışan Sigorta Süreçlerinin Yürütülmesi Araç Takip Sistemi Süreçlerinin Yürütülmesi
Çalışan Sağlığı Süreçlerinin Yürütülmesi Temsilci ile İlgili Raporlama Süreçlerinin Yürütülmesi
İşe Alım/İstihdam Süreçlerinin Yürütülmesi Müşteri Verileri ile Pazarlama FaaliyetlerininYürütülmesi
Aktivasyon- De-aktivasyon ve BilgilendirmeSüreçlerinin Yürütülmesi Evrak Kontrol Süreçlerinin Yürütülmesi
Temsilci Ön Değerlendirme ve DeğerlendirmeSüreçlerinin Yürütülmesi Çalışan Masraf Süreçlerinin Yürütülmesi
Tedarikçi Yönetimi ve Sözleşme SüreçlerininYürütülmesi, Saklanması Duyuru Süreçlerinin Yürütülmesi
Beyanname Süreçlerinin Yürütülmesi Muhasebe Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi Temsilcilerin Denetimi Süreçlerinin Yürütülmesi
Temsilci Kamera Kayıt Süreçlerinin Yürütülmesi Müşteri ile Dekont Paylaşım Süreçlerinin Yürütülmesi
Analiz, Mutabakat ve Tahsilat SüreçlerininYürütülmesi Çalışan ve Acente Kullanıcı Hesaplarının Açılması,Sunucuda Tanımlama Süreçlerinin Yürütülmesi,Tedarikçi ve Acentelerin Cari Kayıtlarının Açılması
Yedekleme Süreçlerinin Yürütülmesi Çalışan Kullanıcı E-posta Hesaplarının Açılması
Loglama Süreçlerinin Yürütülmesi Pazarlama Aktivitelerinin Yürütülebilmesi İçin İşOrtaklarının Belirlenmesi
Faturalama Süreçlerinin Yürütülmesi Acente Şikayetlerinin Yönetilmesi

*Yukarıda belirtilen kategoriler bilgilendirme amaçlı listelenmiş olup, BPN’nin gelecekteki ticari ve işletmesel faaliyetleriniyürütebilmesi için başka amaçlar kapsamında da kişisel veri işlenmesi söz konusu olabilecektir. Bu gibi durumlarda BPNtarafından periyodik aralıklarla işbu Politika’da yer alan kategoriler güncellenecektir. İşleme amaçlarına ilişkin ayrıntılıaçıklamalar ilgili Aydınlatma Metinleri’nde yer almaktadır.

KİŞİSEL VERİLERİN SAKLANMASI

Elde edilen kişisel veriler, BPN’nin ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veyaelektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, BPN tarafından kişisel verilerinkorunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareketedilmektedir. İlgili mevzuat uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya saklanması zorunlututulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, BPN tarafından işbuPolitika’ya uygun olarak hazırlanan BPN Ödeme ve Elektronik Para Hizmetleri A.Ş. Kişisel Veri Saklama ve İmha Politikasıçerçevesinde re’sen yahut ekte bulunan Veri Sahibi Başvuru Formu aracılığıyla veri sahiplerinin talebi üzerine verilersilinecek, yok edilecek yahut anonimleştirilecektir. Kişisel verilerin çeşitli yöntemler vasıtasıyla yok edilmesi durumunda,bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.

Ancak veri sorumlusunun meşru menfaatinin bulunduğu durumlarda, işlenme amacının sona ermesine rağmen verisahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genelzamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesininardından kişisel veriler, yukarıda belirtilen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.

KİŞİSEL VERİLERİN YURT İÇİNDEKİ KİŞİLERE AKTARILMASI

BPN, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla,KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, BPN tarafından veri sahibinin açık rızasıtemin edilmeksizin üçüncü kişilere aktarılmamaktadır. Ancak, KVKK’da öngörülen aşağıdaki şartlardan birinin varlığıhalinde kişisel veriler veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişininkendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişiselverilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veriişlenmesinin zorunlu olması.

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlardaöngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis,
  • Tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verilerinizaktarılabilecektir.

Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Kişisel verilerin yurt dışına aktarılmasına ilişkin olarak, KVKK’nın 9. maddesi doğrultusunda veri sahibinin açık rızasıaranmaktadır. Ancak, özel nitelikli kişisel veriler de dâhil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izinverilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla verisahibinin açık rızası aranmaksızın da BPN tarafından kişisel veriler yurt dışına aktarılabilecektir. Aktarım yapılacak olanülkenin, Kurul tarafından belirlenecek olan yeterli korumanın bulunduğu ülkeler arasında yer almaması durumunda, BPNve ilgili ülkedeki veri sorumlusu/veri işleyen tarafından yeterli koruma yazılı olarak taahhüt edilecek ve Kurul’un iznialınacaktır.
Kişisel verilerinizin paylaşıldığı/paylaşılabileceği kişi gruplarına, işbu Politikanın 2 no’lu ekinde yer alan kişisel verilerinpaylaşıldığı kişi grupları ve kurumlar listesi’nden ulaşabilirsiniz. Söz konusu liste bilgilendirme amaçlı hazırlanmış olup,herhangi bir değişikliğin meydana gelmesi halinde BPN tarafından güncellenecektir.

BPN’NİN AYDINLATMA YÜKÜMLÜLÜĞÜ

KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesisırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesigereken bilgiler şunlardır:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • KVKK’nın 11. maddesinde sayılan diğer haklar.

BPN, kişisel verilerin işlendiği her durumda aydınlatma yükümlülüğünü yerine getirmektedir. Bu amaçla, süreç ve verisahibi kategorisi bazında, aydınlatma beyanları hazırlamış ve uygulamaya koymuştur.
Öte yandan, KVKK’nın 28(2) maddesi çerçevesinde, aşağıdaki hallerde BPN’nin aydınlatma yükümlülüğü bulunmayacaktır:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumuniteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veyakovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması içingerekli olması.

BPN, kişisel verilerin veri sahibinden elde edilmediği durumlarda kişisel verilerin elde edilmesinden itibaren makul bir süreiçerisinde, kişisel veriler veri sahibi ile iletişim amacıyla kullanılıyorsa en geç veri sahibiyle ilk iletişim kurulduğunda, kişiselverilerin aktarılacak olması durumunda ise en geç kişisel verilerin aktarılacağı esnada aydınlatma yükümlülüğünü yerinegetirmektedir.

VERİ SAHİBİNİN HAKLARI

BPN tarafından işbu Politika’da yer alan esaslara uygun şekilde işlenen kişisel verilere ilişkin olarak, KVKK’nın 11.maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklarşunlardır:

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) Yukarıdaki (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesiniisteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine birsonucun ortaya çıkmasına itiraz etme,
h) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri sahipleri, yukarıda sayılan haklarını, işbu Politika’nın 1 no’lu ekinde bulunan Veri Sahibi Başvuru Formu’nu ilgili formdabelirtilmiş olan sair yollar ile tarafımıza ileterek kullanabilirler. Formun doldurulması ve BPN’ye gönderilmesi hakkındadetaylı bilgiler, 1 no’lu ekte bulunan Veri Sahibi Başvuru Formu’nda yer almaktadır. BPN, ilgili başvurulara yönelik cevabıfiziken yahut elektronik olarak ilgili veri sahibine ulaştıracaktır.BPN, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak,işlemin ayrıca bir maliyeti gerektirmesi halinde, BPN tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır.Ayrıca, veri sahiplerinin taleplerinin sonuçlandırılması sürecinde, BPN tarafından başvuruculardan ek bilgi veyahut belgetalep edilebilecektir.
Öte yandan, KVKK’nın 28(2) maddesi çerçevesinde, zararın giderilmesi hakkı hariç olmak üzere, KVKK’nın 11. maddesindesayılan yukarıdaki haklar aşağıdaki durumlarda kullanılamayacaktır:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumuniteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veyakovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması içingerekli olması.
VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

BPN, KVKK’nın 12(1) maddesi kapsamında kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini teminetmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
BPN’nin bu kapsamda aldığı önlemler aşağıda sayılmıştır:
İdari Tedbirler:

BPN idari tedbirler kapsamında;

  • Şirket içinde “gerekli olmadıkça kişisel veriler ile bağlantılı tüm işlemler yasaktır.” prensibinin uygulanması için gerekliönlemleri alır. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişiminsınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmemesi için gerekli tedbirleri alır, ilgili kişiselverilerin elde edilmesi hâlinde ise hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
  • Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve verigüvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
  • Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerinkorunması mevzuatı ve veri güvenliği kapsamında gerekli güncel eğitimleri verir.
  • Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar veyaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir ve bu hususta, kişisel verilerin özelnitelikli veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği ve güvenlik ihlali halinde ilgili kişibakımından ortaya çıkabilecek zararın niteliğini ve niceliğini de dikkate alır.
  • İşlenen kişisel verilerin güncelliğini düzenli aralıklarla kontrol eder, ihtiyaç duyulmayan kişisel verileri ise saklama veimha politikası kapsamında güvenli bir şekilde imha eder.

Teknik Tedbirler:

BPN teknik tedbirler kapsamında;

  • Kişisel veri güvenliğinin takibi amacı ile kurulan sistemler kapsamında gerekli iç kontrolleri yapar ve kötü amaçlıyazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerini geliştirir.
  • Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçleriniyürütür.
  • Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgilimatrislerin oluşturulmasını sağlar. Siber güvenliğin (ağ güvenliği, uygulama güvenliği, anti-virüs sistemleri de dâhil olmaküzere) sağlanması için gerekli yazılımların mevcut ve güncel olmasını sağlar. Düzenli olarak ve ihtiyaç oluştuğundasızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
  • Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
  • Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerinisağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur. Fiziksel ortamlarda saklanan kişisel veriler için isegerekli fiziksel güvenlik önlemleri alır ve giriş-çıkış kayıtları düzenler.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER AÇISINDAN (İDARİ VE TEKNİK TEDBİRLER)

Veri sahipleri açısından korunmasının çeşitli sebeplerle daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerinişlenmesinde ise BPN tarafından özel hassasiyet gösterilmektedir.

İşbu Politika’nın “D” maddesinde sayılmış olan amaçlar dâhilinde ve yeterli önlemlerin alınması şartıyla özel nitelikli kişiselverilerin üçüncü kişilere aktarılabilmesi de mümkün olacaktır.
İşbu Politika’da kişisel verilere ilişkin olarak öngörülen idari ve teknik tedbirlere ek olarak,Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarda;

a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,
b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,
d) Verilerin bulunduğu ortamlara ait güvenlik güncellemeler sürekli takip edilmekte, gerekli güvenlik testleri düzenliolarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
e) Verilere bir yazılım aracılığı ile erişildiği durumlarda bu yazılıma ait kullanıcı yetkilendirmeleriyapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
f) Verilere uzaktan erişim gerektiği durumlarda en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda ise;

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmakta,
b) Bu ortamların fiziksel güvenliğin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

Özel nitelikli kişisel veriler üçüncü kişilere aktarılacaksa;

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta(KEP) hesabı kullanılarak aktarılmakta,
b) Taşınabilir bellek, CD, DVD, gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte vekriptografik anahtar farklı ortamda tutulmakta,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa veri aktarımı sunucular arasında VPNkurularak veya sFTP yöntemiyle gerçekleştirilmekte,

Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesigibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

GÖRÜNTÜ KAYITLARININ İŞLENMESİ

BPN tarafından, Şirket tesis ve işletmelerinin genel ve ticari güvenliğinin temin edebilmesi, personel giriş ve çıkışlarınıntakibinin sağlanması ve Şirketimizin operasyonel faaliyetlerinin yürütülmesi ve benzeri amaçlarla, KVKK’da öngörülen veişbu Politika’da yer verilen temel ilkelere uygun olarak, ziyaretçilerin, çalışanların ve diğer ilgili kişilerin görüntü kaydıalınmakta ve bu kayıtlar işlenme amaçlarına uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekildesaklanmaktadır (bkz.“E” maddesi).
Görüntü kaydı alınan yerlerde, veri sahiplerinin bilgilendirilmesi amacıyla, görüntü kaydı alındığına dair uyarı görünür birbiçimde yer almaktadır. Söz konusu faaliyetler kapsamında BPN tarafından kişisel verilerin korunmasına ilişkin olarak KVKKbaşta olmak üzere ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. Mahremiyetin yüksekolduğu yerlerde görüntüleme yapılmamaktadır.

ÇEREZLER

Çerez, internet tarayıcınızda ya da sabit diskinizin bir başka yerinde depolanan bilgi içeren küçük bir metin dosyasıdır.Çerez bir internet sitesinin, kullanıcı internet sitesine geri döndüğünde, kullanıcının aygıtını tanımlamasını sağlar vegenellikle internet sitelerinin daha verimli çalışması ve kullanıcı deneyiminin artırılmasıyla birlikte internet sitesisahiplerine bilgi sağlanması amacıyla kullanılır.
BPN, bir BPN internet sitesini ziyaret ettiğinizde çerezler aracılığıyla bilgi toplar. Bu çerezler, çoğunlukla sizi internetsitemizi ziyaret eden diğer kullanıcılardan ayırt etmek için ve internet sitelerimizin kullanımına ilişkin toplu istatistikoluşturulması için olmak üzere ve KVKK ile işbu Politikaya uygun olmak kaydıyla çeşitli sebeplerle kullanır. Ayrıca BPNçerezleri, sitemizi kullanırken size daha olumlu bir deneyim yaşatmak, içeriğimizi geliştirmek ve ziyaretinizi kişiselleştirmekiçin kullanır.
Çerezler hakkında detaylı bilgi almak için https://www.bpn.com.tr/cerez-politikasi adresini ziyaret edebilirsiniz.

DİĞER HUSUSLAR
  • KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgilidiğer mevzuat hükümleri uygulanacaktır.
  • BPN tarafından hazırlanan işbu Politika BPN Ödeme ve Elektronik Para Hizmetleri A.Ş. Yönetim Kurulu’nun 04.06.2020tarih ve 116 sayılı kararıyla yürürlüğe girmiştir. İşbu Politikada değişiklik olması durumunda, Politika yürürlük tarihi ve ilgilimaddeler bu doğrultuda güncellenecektir.

BPN Ödeme ve Elektronik Para Hizmetleri A.Ş.

BPN ÖDEME VE ELEKTRONİK PARA HİZMETLERİ A.Ş. VERİ SAHİBİ BAŞVURU FORMU
KİŞİSEL VERİLERİN PAYLAŞILDIĞI KİŞİ GRUPLARI VE KURUMLAR LİSTESİ**