AMAÇ, KAPSAM VE TANIMLAR


İşbu Politika; BİEN Faktoring AŞ (Şirket) ve ana hissedarı Bien Yapı ve kontrolü altındaki iştiraklerinin gerçek kişi müşterilerine ve tamamına uygulanmakta ve kişisel veri koruma, işleme ve imha ile ilgili kabul görmüş temel ilkelere dayanmaktadır. Bu politikanın amacı 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında gerçek veya tüzel kişi statüsündeki potansiyel ve mevcut müşterilere, tedarikçilere, ziyaretçilere, çalışanlara, çalışan adaylarına ve üçüncü şahıslara ait kişisel verilerin korunmasına ve gizliliğine ilişkin ilkeleri belirlemek amacıyla hazırlanmıştır.
İşbu metinde yer alan aşağıdaki terimlerin anlamları, 6698 Sayılı Kanun, bu Kanuna ilişkin çıkarılan Yönetmelikler ve Tebliğlerde belirtilen tanımları ifade etmekte olup aşağıdaki yer verilmiştir:
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim Hale Getirme: Kişisel verinin, niteliğini kaybederek, belirli bir gerçek kişiyle ilişkilendiremeyecek hale getirilmesi ve bu durumun geri alınamayacak şekilde değiştirilmesini,
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: İlgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki (Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti gibi) verileri,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel veri saklama ve İmha: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemini,
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yerin (veri kayıt sistemi) yönetilmesinden sorumlu gerçek veya tüzel kişiyi,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişiyi,
Veri kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi ifade etmektedir.
Bien Faktoring AŞ;
Fiziki ve/veya elektronik ortamda olması fark etmeksizin; müşterilere, çalışanlara, iş ortaklarına ve üçüncü şahıslara ait kişisel verilerin gizliliğini korumayı,
Gizli ve güvenli işlenmesini sağlamak için uygun idari ve teknik önlemleri almayı,
Kişisel verileri güvenli bir şekilde, yasal ve meşru amaçlara uygun olarak ve gerekli özeni göstererek elde etmeyi ve işlemeyi taahhüt eder.


GENEL İLKELER


Bien Faktoring AŞ’nin, kişisel verilerin işlenmesi sürecinde uyguladığı genel ilkeler aşağıda açıklanmıştır:
Gizlilik
Şirket, kişisel verilerin işlenme süreçlerinin tam bir gizlilik içerisinde yürütülmesini esas alır. Bu kapsamda, kişisel verilere yetkisiz her türlü erişimi olanaklar elverdiği ölçüde engeller, mümkün olan her türlü teknik ve idari tedbiri bünyesinde uygular ve buna ilişkin denetimleri periyodik olarak gerçekleştirir.
Hukuka ve Dürüstlük Kurallarına Uygun Olma
Şirket, Kanun’un öngördüğü sınırlar dahilinde hukuka ve dürüstlük kurallarına uygun olarak elde ettiği verileri işlemektedir. Bien Faktoring; müşteriler, potansiyel müşteriler, çalışanlar, iş ortakları ve başvuru sahipleriyle ilgili topladığı ve kullandığı bilgiler konusunda şeffaftır.
Doğru ve Gerektiğinde Güncel Olma
Şirket, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlenen verilerin tam ve doğru bir şekilde muhafaza edilmesine ve gerektiğinde güncel olmasını sağlar. Verilerin güncel olmaması halinde, düzeltilmesi, değiştirilmesi, güncellenmesi veya silinmesi gerekliliğini tespit etmek amacıyla gerekli düzenlemeleri yapar.
Belirli, Açık ve Meşru Amaçlar için İşleme
Kişisel veriler, sadece toplandığı ve gerçek kişinin bilgilendirildiği amaç doğrultusunda kullanılmaktadır. Şirket, kişisel verileri belirli, açık ve meşru amaçlarla işlemekle birlikte, veri sahiplerine açıklanan işleme ve toplama amaçlarının dışında farklı bir amaç için işlenmemektedir. Şirketin işlediği kişisel veriler, ilgili kişiye sağladığı hizmetle doğrudan ilgili ve gereklidir.
İşlemin Amacıyla Bağlantılı, Sınırlı ve Ölçülü Olması
Şirket tarafından işlenen kişisel veriler, belirli amaçlar doğrultusunda ve bu bağlamda makul bir sınırlama ile tutarlı bir işlenmektedir. Kişisel veriler, gelecekteki muhtemel veri işleme amaçları için toplanmamakta ve toplanma amacına aykırı bir şekilde kullanılmamakta, işlenmemekte veya aktarılmamaktadır. Minimum veri ilkesi uyarınca, şirket kişisel verileri toplama amaçları dahilinde işlemekte ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
Gerekli Olan Süre Kadar Muhafaza Edilme
Kişisel verilerin işlenmesini gerektiren esas amacın ortadan kalkması ve artık bu verilere ihtiyaç duyulmaması halinde söz konusu veriler silinir, yok edilir veya anonim hale getirilir. Kişisel veriler, ilgili mevzuatça öngörülen ve belirlenen süre zarfında saklanmaktadır. Mevzuat tarafından belirlenen saklama süresinin sona ermesi halinde ise, Şirket tarafından periyodik kontrollerle sistemlerden, cihazlardan ve fiziksel olarak tutulan ortamlardan silinir, imha edilir veya anonimleştirilir.

Veri Sahibinin Bilgilendirilmesi


Şirket, kişisel verilerin işlenmesi ile ilgili, veri sahibini doğru ve gerektiği şekilde bilgilendirmektedir. Ayrıca gerekli olan durumlarda, veri sahibinin ilgili işleme ait onayını alır, vermiş olduğu onayı dilediğinde geri çekme veya verileri ile ilgili talepte bulunma seçeneği sunar. Şirket, ilgili veri sahibi onayını geri alması durumunda, kişiye ait verileri bu Politika’da belirtilen diğer prensipler dahilinde ele alır. Bu doğrultuda www.bienfactoring.com.tr adresinden ulaşılabilecek Veri Sahibi Başvuru Formundan yararlanabileceklerdir.


KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Veri, sahibinin açık rızası kapsamında ve belirtilen amaçlarla işlenir.
Kural olarak aşağıdaki şartların varlığı halinde veri sahibinin açık rızasının alınmasına gerek bulunmamaktadır:
Kanunda açıkça öngörülmesi üzere, veri sahibinin kişisel verileri, hukuka uygun olarak işlenir. Kanunlarda veri işlemeye izin verilen hallerde, ilgili kanunda yer alan sebep ve veri kategorileri ile sınırlı olarak veri işlenebilir.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilir.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde (sözleşmenin kurulması veya ifasına dayalı olarak verisi işlenecek kişinin sözleşmenin taraflarından birisi olması koşuluyla) kişisel veriler işlenebilir.
Şirket tarafından hukuki yükümlülüklerin yerine getirilmesi amacıyla veri işlemenin zorunlu olması halinde, veri sahibinin kişisel verileri işlenebilir.
Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması halinde kişisel veriler işlenebilir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilir.
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirket meşru menfaatleri için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilir.
Özel Nitelikli Kişisel Veriler
Kanun’da; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf veya sendika üyeliği, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmaktadır. Bu doğrultuda; özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli idari ve teknik tedbirlerin alınarak ve aşağıdaki şartların varlığı halinde işlenebilir.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
KİŞİSEL VERİLERİN GÜVENLİĞİ VE İMHASI
Şirket, Kanuna uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve erişimlerini engellemek, verilerin muhafazasını sağlamak amacıyla gerekli güvenlik düzeyini sağlamaya yönelik idari ve teknik tedbirleri almakta, denetimleri yapmakta/yaptırmakta ve kişisel verilerin üçüncü kişilerce hukuka aykırı olarak işlenmesine engel olmayı amaçlamaktadır.
Kişisel Verilerin Aktarılması
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirket tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler, yurt içinde veya yurt dışında iş birliği içinde olduğumuz ve dışarıdan hizmet ya da destek aldığımız tedarikçilerimiz ve iş ortaklarımız; kanunen yetkili kamu kurumları ile özel kişilerle yetkileri kapsamında aktarılabilecektir.
Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Yukarıda bahsi geçen maddelere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kişisel Verileri Koruma Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.

Kişisel Verilerin Saklanması ve İmhası
Şirket, tarafınca işlenen kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza etmektedir. Bu kapsamda Politika içerisinde yer alan prensiplere dayanarak kişisel verilerin saklanma sürelerine yönelik “Kişisel Veri Saklama Süreleri Tablosu” oluşturulmuştur.
Bien Faktoring AŞ, “Kişisel Veri Saklama Süreleri Tablosunu” tüm çalışanlarına duyuracağını ve kolayca erişilebilir bir alanda tutacağını taahhüt eder.


SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
İş sağlığı ve Güvenliği Mevzuatı kapsamında toplanan veriler 15 Yıl Saklama süresinin bitimini takiben 180 gün içerisinde
Müşteri Verileri 10 yıl- Genel dava zamanaşımı süresini düzenleyen Borçlar Kanunu’nun 146.maddesi gereği Saklama süresinin bitimini takiben 180 gün içerisinde
SGK mevzuatı kapsamında toplanan veriler İş ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitimini takiben 180 gün içerisinde
Sair ilgili mevzuat gereği İlgili mevzuatta öngörülen süre kadar Saklama süresinin bitimini takiben 180 gün içerisinde
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması veya bir suç ile ilişkili olması durumunda Türk Ceza Kanunu’nun 66. ve 68. maddeleri gereği Dava zamanaşımı ve Ceza Zamanaşımı müddetince Saklama süresinin bitimini takiben 180 gün içerisinde

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

YÜRÜRLÜK ve UYGULAMA
Bu Politika 01.11.2020 tarihinde yürürlüğe girmiştir. Politikanın tamamının veya belirli maddelerinin güncellenmesi durumunda güncellemeler yayımlandıkları tarihte yürürlüğe girer. Politika en güncel hali ile www.bienfactoring.com.tr sitesinde yayımlanır.