1. GİRİŞ

Albaraka Türk Katılım Bankası A.Ş. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve bu kanunun uygulanmasına yönelik diğer düzenlemelere tam uyumun sağlanması için gerekli olan hassasiyeti en üst düzeyde göstermekte olup, bu kapsamda uygun güvenlik tedbirlerinin alınması ve uygulanmasından tüm çalışanlarımızın sorumluluğu bulunmaktadır.

Bankamız iç işleyişinin, Kanun, ikincil düzenlemeler, Kişisel Verileri Korumu Kurumu rehberleri, kararları ve düzenlemeleri ile tebliğler kapsamında düzenlenmesi Bankamızın öncelikli konularındandır.

2. AMAÇ

6698 Sayılı Kişisel Verilerin Korunması Kanunu ve bu kanunun uygulanmasına yönelik ikincil düzenlemelere Bankamız uyumunu sağlamak üzere oluşturulan işbu Albaraka Türk Katılım Bankası A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) amacı, kişisel verilerin korunması hakkındaki düzenlemelere ilişkin yükümlülüklere uyumun sağlanması, Banka içi işleyiş kurallarının ve sorumlulukların belirlenmesi, Banka’nın gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi ve gizliliğinin korunması ile ilgili hususların değerlendirilerek, stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kişisel veri sahiplerinin ve Banka çalışanlarının bilgilendirilmesidir.

Bu Politika’nın hazırlanma amaçlarından biri de Banka bünyesinde yer alan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması durumunda, Banka (Veri Sorumlusu) tarafından silinmesi, yok edilmesi ya da anonim hale getirilmesi süreçlerini tanımlamak; Banka bünyesinde yer alan gerçek kişilere ait kişisel verilerin saklama süresinin işlenmesi için gerekli olan süreyi aşmadığından ve muhafazası süresince verilerin sınıfına uygun güvenlik kontrollerinin tesis edildiğinden emin olmaktır.

Bankamızca kanunda öngörülen temel düzenlemeler doğrultusunda, Banka işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından gerekli idari ve teknik tedbirler alınmakta, gerekli iç prosedürler oluşturulmakta, farkındalığı yükseltilmesi amacıyla gerekli eğitimler düzenlenmekte, çalışanların KVKK süreçlerine uyumları için gerekli tedbirler alınmakta, uygun ve etkin denetim mekanizmaları ile teknolojik altyapı, idari ve hukuki sistem kurulmaktadır.

3. KAPSAM

İşbu Politika, Banka ve Banka’nın iştiraklerinde ve faaliyet gösterdikleri ülkelerdeki mevzuatın uygun olması koşulu ile yurt dışı şubelerinde ve iştiraklerinde, Banka müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, hissedarları, ziyaretçileri, kendisi ile imzalanan bir sözleşme çerçevesinde (destek hizmeti, değerleme, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm Kişisel Verilerine uygulanmaktadır.

İşbu Politika çerçevesinde Banka bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir

4. TANIMLAR

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Banka : Albaraka Türk Katılım Bankası A.Ş.’yi,

Anonim hâle getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

İlgili kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nu,

Kişisel Veri Sahibi / İlgili Kişi : Müşteriler, ya da kişisel verisi işlenen Müşteri olmayan; potansiyel müşteriler, çalışanlar, çalışan adayları, hissedarlar, ziyaretçiler, kendisi ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunulan kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü gerçek kişiyi,

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler,

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Veri İşleme Envanteri: Bankamızın iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanteri,”

Kurul : Kişisel Verileri Koruma Kurulu’nu,

Kurum : Kişisel Verileri Koruma Kurumu’nu,

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini

ifade eder.

5. SORUMLULAR

5.1. Yönetim Kurulu

Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın yönetimi, kapsamı ve çerçevesinin oluşturulması ile düzenli olarak gözden geçirilmesinden sorumludur.

5.2. Denetim Komitesi

Kişisel verilerin korunmasına ilişkin düzenlemeler ile bu kapsamdaki Banka içi politika ve uygulama usullerine uyulup uyulmadığını gözetler.

Kişisel verilerin korunmasına ilişkin yönetim çerçevesinin yeterliliği ve etkinliğine ilişkin Yönetim Kurulu’na güvence verir.

5.3. Üst Düzey Yönetim

Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın Banka içinde uygulanmasından sorumludur.

Kendisine bağlı olan yönetim kademeleri ve iş süreçlerini kişisel verilerin korunmasına ilişkin düzenlemelere uyumlu şekilde yapılandırır.

Kişisel verilerin korunması konusunda Banka kültürünün ve çalışma ortamının oluşturulması ve sürdürülmesinin sağlanmasında aktif bir rol oynar.

5.4. İrtibat Kişisi

Kişisel Verileri Koruma Kurumu ve ilgili kişilerden gelecek talepler ile ilgili iletişimi sağlar.

Banka veri envanterinin, veri sorumluları sicil bilgi sistemine kaydedilmesinden ve güncellenmesinden sorumludur.

6. KİŞİSEL VERİ

Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;

Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır.

Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

Her türlü bilgi: Her türlü bilgi ifadesi son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

7. KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Otomatik İşleme: Bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir.

Otomatik Olmayan Yollarla İşleme: Kişisel veriler otomatik işlemeye tabi tutulmasalar da, "veri kayıt sistemi" aracılığıyla işlendiklerinde de Kanun hükümlerine tabidir.

8. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

Bankaca, kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmaktadır. Kişisel verilerin işlenmesinde genel ilkeler ise şunlardır:

a. Hukuka ve dürüstlük kurallarına uygun olma,

b. Doğru ve gerektiğinde güncel olma,

c. Belirli, açık ve meşru amaçlar için işlenme,

d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

8.1. Hukuka ve Dürüstlük Kurallarına Uygun Olma

Bankamız tarafından kişisel veri işleme faaliyetleri, başta Bankacılık mevzuatı ve Kişisel Verilerin Korunmasına dair yasal mevzuat olmak üzere Bankamızın tabi olduğu tüm mevzuat hükümleri doğrultusunda ve Medeni Kanun’un 2. Maddesi ile öngörülen dürüstlük kuralına uygun olarak yürütülür.

8.2. Doğru ve Gerektiğinde Güncel Olma

Bankamız, Kişisel Veri Sahiplerinin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği Kişisel Verilerin doğru ve güncel olmasını sağlar. Bu kapsamda ilgili kişi bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutar. Ayrıca verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususları özenle dikkate alır.

8.3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Bankamız, veri işleme amacını açık ve kesin olarak belirler ve bu amacın meşru olmasını sağlar. Bu kapsamda kişisel veriler Bankamız tarafından sunulmakta ya da sunulacak ürün/hizmetler ve yasal yükümlülükleri ile sınırlı olarak işlenmektedir. Kişisel verilerin hangi amaçlarla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

8.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Bankamız tarafından kişisel veriler, işlenme amaçları ile bağlantılı ve sınırlı olmak üzere bu amacın gerçekleşmesi için gerektiği ölçüde işlenir amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verilerin işlenmesinden kaçınılır. Kişisel verilerin işlenmesi faaliyetler ve yasal yükümlülükler ile sınırlıdır.

8.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Bankamız, 5411 sayılı Bankacılık Kanunu ve faaliyeti kapsamında tabii olduğu tüm mevzuatlar gereği, verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda kişisel verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Bir kişisel verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, söz konusu veri imha edilir.

9. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

9.1. Kanunlarda Açıkça Öngörülmesi

Yasal mevzuat hükümlerinde açıkça öngörülen hallerde, veri işleme faaliyetleri yasal mevzuat sınırlarını aşmamak kaydıyla ilgili kişinin rızası alınmadan gerçekleştirilebilmektedir.

9.2. Fiili İmkansızlık

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde kişisel veriler işlenebilmektedir. Bu düzenleme doğrultusunda öngörülen hallerde Bankamız kişisel verileri işleyebilecektir.

9.3. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde ve bu amaçla sınırlı olmak üzere kişisel veriler işlenmektedir.

9.4. Hukuki Yükümlülük

Bankamızın mevzuat hükümlerinden doğan yükümlülüklerinin yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde kişisel veriler işlenmektedir.

9.5. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

İlgili kişinin kişisel verilerini alenileştirmesi halinde, Bankamız tarafından söz konusu kişisel veriler, alenileştirme amaçları ile orantılı olarak işlenebilmektedir.

9.6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde Bankamız tarafından işlenebilmektedir.

9.7. Banka’nın Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Bankamızın meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir

9.8. Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenmesinde yukarıda yer verilen kişisel veri işleme şartlarının herhangi birisinin mevcut olmaması halinde, Bankamızca ilgili kişinin açık rızasına başvurulabilmektedir.

Kişisel veri sahibinin açık rızası; belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle alınmaktadır.

10. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “özel nitelikli” olarak belirlenmiştir.

Özel nitelikli kişisel veriler kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi ve diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Bankamızca, Kanun ile “özel nitelikli” olarak belirlenen kişisel veriler Kanun’a uygun bir biçimde ve Kurul tarafından belirlenmiş ve belirlenecek olan yeterli önlemler de alınarak aşağıdaki durumlarda işlenmektedir.

10.1. Mevzuat Hükümleri İle Öngörülmesi

Yasal mevzuatta öngörülen durumlarda ilgili kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri ilgili kişinin açık rızasına başvurulmadan ve dayanak mevzuat hükmünün gereklilikleri ile sınırlı olarak işlenebilmektedir.

10.2. Sağlık ve Cinsel Hayat İle İlgili Özel Nitelikli Kişisel Verilerin İşlenmesi

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler açık rıza bulunmadığı hallerde ancak koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunanlarca bu mevzuat hükümlerinin gerektirdiği ölçüde işlenebilmektedir.

10.3. İlgili Kişinin Açık Rızasının Bulunması

Özel nitelikli kişisel verilerin işlenmesinde yukarıda yer verilen özel nitelikli kişisel veri işleme şartlarının herhangi birinin mevcut olmaması halinde, Bankamızca ilgili kişinin açık rızasına başvurulmaktadır.

11. KİŞİSEL VERİLERİN AKTARILMASI

11.1. Kişisel Verilerin Yurtiçinde Aktarılması

11.1.1. Kişisel Verilerin İşlenmesine İlişkin Şartları Sağlanması

Kişisel verilerin işlenmesine ilişkin işbu Politikanın Veri İşleme Şartları başlığında belirtilen, 9.1, 9.2, 9.3, 9.4, 9.5, 9.6, 9.7 maddeleri ile açıklanan ve Kanun’un 5/2 maddesinde düzenlenen koşullarda, Bankamız kişisel veri işleme envanterinde belirtilen alıcı gruplarına kişisel verilerin aktarılması mümkündür.

11.1.2. Özel Nitelikli Kişisel Verilerin Aktarılması Yönünden İlgili Şartların Sağlanması ve Mevzuat Hükümlerinin Gerektirmesi

Bankamız, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileri, işbu Politikanın 10. maddesinde belirtilen koşulların gerçekleştiğini tespit etmek suretiyle ve bu verilerin işlenmesinin mevzuat hükümlerinde öngörülmesi sebebiyle, Kurul tarafından belirlenen yeterli önlemleri almış olan üçüncü şahıslara aktarabilmektedir.

11.1.3. İlgili Kişinin Açık Rızasının Bulunması

Kişisel verilerin ve/veya özel nitelikli kişisel verilerin aktarılmasına dair yukarıda yer verilen şartların mevcut olmaması halinde, Bankamızca ilgili kişinin açık rızasına başvurulmaktadır.

İlgili kişiye açık rızasına ihtiyaç duyulan hususa dair bilgilendirme yapılmak ve bu husus ile sınırlı olarak kendisinden açık rızası alınmak suretiyle veri aktarımı gerçekleştirilmektedir.

11.2. Kişisel Verilerin Yurtdışında Aktarılması

Bankamızca, Kişisel verilerin yurtdışına aktarılmasında, kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesine ilişkin işbu Politikanın Veri İşleme Şartları başlığında belirtilen, 9.1, 9.2, 9.3, 9.4, 9.5, 9.6, 9.7, 10.1 ve 10.2 maddeleri ile açıklanan ve Kanun’un 5/2 ve 6/3 maddesinde düzenlenen koşulların sağlandığına emin olduktan sonra ayrıca aşağıda belirtilen hususlara da riayet edilerek yurtdışına veri aktarımı yapılabilmektedir.

11.2.1. Kişisel Verinin Aktarılacağı Ülkede Yeterli Koruma Bulunması

Kişisel verilerin ve özel nitelikli kişisel verilerin aktarılacağı ülkenin kurulca yayınlanan güvenli ülkeler listesinde yer alması kaydıyla kişisel veri aktarımı yapılabilir.

11.2.2. Kişisel Verinin Aktarılacağı Ülkede Yeterli Koruma Bulunmaması

Kişisel verilerin ve özel nitelikli kişisel verilerin aktarılacağı ülkenin kurulca yayınlanan güvenli ülkeler listesinde yer almaması durumunda Türkiye’deki veri sorumlusu (Bankamız) ve ilgili yabancı ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla kişisel veri aktarımı yapılabilir.

11.2.3. İlgili Kişinin Açık Rızasının Bulunması

Kişisel verilerin ve/veya özel nitelikli kişisel verilerin aktarılmasına dair yukarıda yer verilen şartların mevcut olmaması halinde, Bankamızca ilgili kişinin açık rızasına başvurulmaktadır.

İlgili kişiye açık rızasına ihtiyaç duyulan hususa dair bilgilendirme yapılmak ve bu husus ile sınırlı olarak kendisinden açık rızası alınmak suretiyle yurtdışına veri aktarımı gerçekleştirilmektedir.

12. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİMLEŞTİRİLMESİ

Bankamız, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca saklamaktadır.

Bankamızca kişisel veriler işlenmesini gerektiren sebeplerin ortadan kalkması ve bunu takiben ilgili kanun düzenlemelerinde yer alan sürenin sona ermesi ile resen yılda iki defa periyodik olarak veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

13. YÜKÜMLÜLÜKLERİMİZ

13.1. Aydınlatma

Bankamız tarafından kişisel verilerin elde edilmesi sırasında;

  • Veri sorumlusunun kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
  • İlgili kişinin sahip olduğu hakları

konularında ilgili kişi aydınlatılmaktadır.

Ayrıca, Bankamız kişisel veri sahipleri ile ilgililere işbu Politika başta olmak üzere çeşitli kamuoyuna açık dokümanlarla veri işleme faaliyetlerini ilgili mevzuata uygun şekilde gerçekleştirdiğini duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve şeffaflığı sağlamaktadır.

13.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Bankamız kişisel veri güvenliğinin sağlanması konusuna azami dikkat ve özeni göstermekte olup, işbu kapsamda Kanun’un 12’nci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik aşağıda belirtilen hususlar ile ilgili gerekli tedbirler alınmaktadır.

a) Banka;

  • kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye,
  • kişisel verilere hukuka aykırı olarak erişilmesini önlemeye,
  • kişisel verilerin muhafazasının sağlanması amacıyla uygun güvenlik düzeyini temin etmeye

yönelik başta Kurulun yayınladığı Kişisel Veri Güvenliği Rehberi olmak üzere gerekli her türlü teknik ve idari tedbirlerin alınmasını temin eder.

b) Banka, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikasına sahip olarak, kişisel verilerin gizliliğinin, doğruluğunun ve bütünlüğünün korunmasını sağlar.

c) Banka, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, yukarıda birinci maddede belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

d) Banka, İç Denetim/İç Kontrol birimleri tarafından, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılmasını sağlar.

e) Bankamız bünyesinde çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.

f) Bankamız çalışanlarının tümünün Bankanın veri sorumlusu sıfatıyla işlemekte olduğu kişisel verilerin tümüne erişmesi engellenmekte ve veri işleme amacı gözönüne alınarak erişim yetkileri düzenlenmektedir.

g) Bankamız, çalışanları ile arasındaki ilişkiyi düzenleyen her türlü belgeye, kişisel verilerin hukuka uygun olarak işlenmesi için Kanun ile öngörülen yükümlülüklere uygun hareket edilmesi, kişisel verilerin ifşa edilmemesi ve kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiğini düzenleyen gizlilik hükümleri eklenmektedir.

h) Bankamız bünyesinde çalışanları ve/veya görevleri dolayısıyla kişisel bilgileri öğrenen kişiler, bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamamakta ve işleme amacı dışında kullanmamaktadırlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

i) Bankamız, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve Kanun hükümleri doğrultusunda verileri hukuka uygun olarak işleme, koruma ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden Kanun’un 12. Maddesi gereği sorumludur.

Bu nedenle kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına, kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ve Bankamıza kendi nezdinde denetim yapma yetkisi verileceğine ilişkin hükümler eklenmektedir.

j) Bankamız, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.

k) Bankamız, kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi ve olası risklerin izlenmesi için gerekli yazılım ve donanımların kurulmasını sağlamakta, sızma testlerini yaptırmakta, veri kaybının önlenmesi için yapılacak yedeklemeler yönünden de aynı güvenlik önlemlerinin alınmasını temin etmektedir.

l) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bahse konu durum en kısa sürede ilgilisine ve Kurula bildirir. Ayrıca Kurul tarafından gerek görülmesi halinde bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilir.

14. İLGİLİ KİŞİNİN HAKLARI

Kanun’un 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu Bankamıza karşı aşağıdaki haklara sahiptir.

a) Kişisel verilerinin işlenip işlenmediğini öğrenmek,

b) Kişisel verileri işlenmiş ise buna ilişkin bilgi talep etmek,

c) Kişisel verilerinin işleme amacını ve bunların işleme amacına uygun kullanılıp kullanılmadığını öğrenmek,

d) Yurtiçinde ve yurtdışında kişisel verilerinin aktarıldığı üçüncü kişileri bilmek,

e) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek,

f) Şartları gerçekleşmişse kişisel verilerinin silinmesini veya yok edilmesini talep etmek ve bu taleplerinin üçüncü kişilere iletilmesini istemek,

g) İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

h) Kişisel verilerinin kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.

15. İLGİLİ KİŞİNİN BANKAMIZA BAŞVURU YÖNTEMLERİ

İlgili kişilerin 14. Maddede belirtilen haklarına ilişkin taleplerini Bankamıza iletmeleri durumunda, talebin niteliğine göre ne kısa sürede veya en geç otuz gün içinde ücretsiz olarak talep sonuçlandırılmaktadır. Ancak verilecek cevabın mahiyetine göre ayrıca, Kurul tarafından belirlenen tarifedeki ücret alınabilmektedir.

Bankamız, tarafından ilgili kişiye talebine ilişkin başvuru sonucu, isteği doğrultusunda yazılı veya elektronik ortamda gönderilir.

Bankamız, talebin niteliğine göre ilgili kişinin başvurusunu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir. Başvurunun kabul edilmesi halinde gereği Bankamız tarafından gecikmeksizin yerine getirilir.

Kişisel veri sahibinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi halinde Kurul’a şikayet hakkı bulunmaktadır.

Kişisel veri sahibi ilgili kişi, taleplerini Bankamıza Şubelerine yazılı olarak kimliği tevsik edici belgeler ile (nüfus cüzdanı, kimlik kartı, ehliyet, pasaport vb.) şahsen başvuru yapmak suretiyle teslim edebilir, noter kanalıyla Bankamız Genel Müdürlüğü’ne gönderebilir, güvenli elektronik imza ile albarakaturk@hs03.kep.tr adresine başvurabilir ya da Bankamıza daha önce bildirilen ve sistemde kayıtlı bulunan elektronik posta adresini kullanarak kvkk@albarakaturk.com.tr adresine iletebilir.

16. KURUL KARARLARINA UYUM VE ETKİ DEĞERLENDİRMESİ

Bankamızda Kişisel Verilerin Korunması Kanununa, ilgili yönetmeliklere, tebliğlere ve Kurul kararlarına uyum konusunda tecrübeli ve yetkin bir birim mevcut olup, bu birim Bankamızda yeni bir ürün / süreç oluşturulma aşamasında sürecin paydaşlarından biri olarak Kanun’a uyum konusunda gerekli etki değerlendirmelerini yapmaktadır.

17. YÜRÜRLÜK

İşbu politika yönetim kurulu tarafından onaylandığı tarihte yürürlüğe girer.