İçindekiler
- Kişisel Verilerin Korunması ve İmha Politikası 4
- Tanımlar ve Kısaltmalar 3
- Yetki ve Sorumluluklar 3
- Kapsam 3
- Amaç 3
5.1. Bilgiye Konu Kişiler 5
5.2. Bilgiye Konu Kişiler ve İşlenen Kişisel Veriler 5
5.3. Kişisel Verilerin İşlenme Amaçları 6
5.4. Süreç Bazlı İşlenen Kişisel Veriler 8
5.5. Veri İşleme Hukuki Sebepleri 9
5.5.1. Kişisel Veri İşleme Gerekçes 9
5.5.2. Hassas Veri İşleme Gerekçesi 10
5.6. Kişisel Verilerin İşlenmesi İçin İlkeler 10
5.7. Kişisel Verilerin Aktarılması 10
5.7.1. Kişisel Verilerin Yurtiçindeki Kişilere Aktarılması 10
5.7.2. Kişisel Verilerin Yurtdışındaki Kişilere Aktarılması 13
5.8. Ziyaretçilerinin Kişisel Verileri ve Güvenlik 14
5.8.1. Kamera Kaydı ve Tesis Güvenliği 14
5.8.2. İnternet Sitesi Ziyaretçilerinden Alınan Kişisel Veriler 14
5.9. Kişisel Veri Sahibinin Hakları 14
Kişisel Verilerin Saklanması ve İmhası 15
6.1. Veri Sorumlusu Organizasyonu ve Veri Ortamları 15
6.2. Saklamayı Gerektiren Hukuki Sebepler 16
6.2.1. İmhayı Gerektiren Sebepler 16
6.3. Kişisel Verilerin Güvenliğinin Sağlanması 17
6.3.1. Teknik Tedbirler 17
6.3.2. İdari Tedbirler 18
6.3.3. Kişisel Verilerin Korunmasının Sürdürülebilirliği İçin Yapılan Denetimler 19
6.3.4. Üçüncü Tarafların Kişisel Verileri Korumasını Sağlamak İçin Uygulanan Tedbirler 19
6.3.5. Hassas Verilerin Koruması İçin Uygulanan Tedbirler 19
6.3.6. Kişisel Verilerin Korunmasının Sağlanması İçin Farkındalığın Artırılması 19
6.4. Kişisel Verilerin İmha Teknikleri 19
6.4.1. Kişisel Verilerin Silinmesi 20
6.4.2. Kişisel Verilerin Yok Edilmesi 20
6.4.3. Kişisel Verilerin Anonim Hale Getirilmesi 20
6.5. Saklama ve İmha Süreleri 20
Başvuru Yöntemleri 21
1. Amaç
Bu politika kontrolör sıfatıyla Kıbrıs Kapitalbank Ltd. (bundan böyle “CapitalBank” olarak anılacaktır) tarafından yürütülen her türlü faaliyette 89/2007 Sayılı Kişisel Verilerin Korunması Yasası’nın (Yasa) uygun olarak kişisel verilerin işlenmesi, korunması, saklanması ve imhasına yönelik benimsenen yöntemleri tarif etmeyi ve Yasa’nın 13. Maddesinde belirtilen bilgilendirme yükümlüğünü detaylandırmayı amaçlamaktadır. Bu politika, kişisel verilerin CapitalBank tarafından toplanması, kullanılması, paylaşması, saklanması ve imhası süreçlerinde uygulanan prensipleri içerir. CapitalBank tarafından işlenen; Çalışan, Çalışan Adayı, Çalışan Adayı Yakını, Çalışan Yakını, Diğer Banka Müşterisi, Eğitmen, Hissedar, Kefil, Keşideci, Lehtar, Müşteri, Müşteri Yakını, Müşterinin İlgili Kişisi, Potansiyel Müşteri, Referans, Stajyer, Şahit, Tedarikçi, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Vekil, Veli/Vasi/Temsilci, YK Üyeleri, Ziyaretçi ve üçüncü taraf kişilere ait kişisel veriler ile ilgili kişileri bilgilendirmeyi amaçlamaktadır.
2. Kapsam
Bu politika; CapitalBank ’in sahip olduğu ya da CapitalBank tarafından yönetilen Etkinlik Katılımcısı, Çalışan, Çalışan Adayı, Çalışan Adayı Yakını, Çalışan Yakını, Diğer Banka Müşterisi, Eğitmen, Hissedar, Kefil, Keşideci, Lehtar, Müşteri, Müşteri Yakını, Müşterinin İlgili Kişisi, Potansiyel Müşteri, Referans, Stajyer, Şahit, Tedarikçi, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Vekil, Veli/Vasi/Temsilci, YK Üyeleri, Ziyaretçi ve üçüncü taraf kişilere ait kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetleri kapsar.
3. Yetki ve Sorumluluklar
Kurum içerisinde Yasa, Yönetmelik ve Politika ile belirtilen kişisel verilerinin; saklanması ve imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve diğer surette kurum nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.
KVK Kurulu ile yapılan tebligat veya yazışmaları kontrolör adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu Veri Sorumlusu İrtibat Kişisindedir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıda detaylandırılmıştır;
Kontrolör: KVKY ’de belirlenmiş usul ve esaslar çerçevesinde kişisel verilerin işlenmesine ilişkin amaç ve yöntemleri belirleyen; bu kapsamda yapılması gereken iş ve işlemleri tasarlama, planlama, yürütme, gerekli aksiyonları organize etme ve denetleme yetki ve sorumluluğuna sahip kişi veya birimi ifade eder.
KVKY Komite Başkanı: KVKY ’de belirlenmiş usul ve esaslar çerçevesinde kişisel verilerin işlenmesine ilişkin amaç ve yöntemleri belirleyen; bu kapsamda yapılması gereken iş ve işlemleri tasarlama, planlama, yürütme, gerekli aksiyonları organize etme ve denetleme yetki ve sorumluluğuna sahip kişi veya birimi ifade eder.
KVKY Komite Üyesi: Kontrolör adına KVKY ‘da belirlenmiş usul ve esaslar çerçevesinde yapılması gereken iş ve işlemleri tasarlamak, planlamak, gerçekleştirmek ve ilgili denetimleri sağlamak için Veri Sorumlusu İrtibat Kişisi ‘ne destek vererek kişisel veri güvenliğine ilişkin süreçlerin yaşatılmasında yardımcı olmak.
4. Tanımlar ve Kısaltmalar
Tanım / Kısaltma | Açıklama |
Açık Onay | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onay. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
Bilgiye Konu Kişi | Kişisel verisi işlenen gerçek kişi. |
Yasa | 89/2007 Sayılı Kişisel Verilerin Korunması Yasası |
Başkan | Kişisel Verilerin Korunması Kurulu ‘nun başkanıdır. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin İmha Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kişisel Verilerin Anonim Hale Getirmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
Hassas Veri | Irksal veya etnik kökeni, siyasi görüşleri, dinsel veya diğer inançları ortaya koyan veya cinsel yönelim, sağlık veya cinsel hayatla veya cezai soruşturmayla ilgili konuları açığa çıkaran kişisel verileri anlatır. |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda bu politikada belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
İşlemci | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Kontrolör | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
5. Kişisel Verilerin Korunması ve İmha Politikası
CapitalBank kişisel verileri korunması ve işlenmesi için gerekli tedbirleri ve uygulanan süreci işbu politika ile somut bir şekilde ortaya koymaktadır. İlgili kanunlar ve yönetmelikler ile bu politikanın uyumsuz olduğu durumlarda ya da güncellenen mevzuatlar doğrultusunda politikanın güncel olmaması halinde CapitalBank yürürlükteki mevzuata uyacağını kabul etmektedir. Kanunun, yönetmelik ve mevzuatlarda olan değişikliklere göre bu politika güncellenip, CapitalBank ’in yasal gereklikleri yerine getirmesi için revize edilir.
5.1. Bilgiye Konu Kişiler
Politika içerisinde, bilgiye konu kişiler ile ilgili faaliyetler ifade edilirken aşağıda belirtilen ana kategori bilgileri kullanılarak bilgilendirmeler yapılacaktır;
Veri Sahibi Ana Kategorisi | Veri Sahibi Alt Kategorisi |
Müşteriler | Müşteri, Diğer Banka Müşterileri, Keşideci, Lehtar |
Çalışan | Çalışan, Stajyer, YK Üyeleri |
Çalışan Adayı | Çalışan Adayı |
Hizmet Sağlayıcıları | Tedarikçi Çalışanı, Tedarikçi Yetkilisi |
Potansiyel Müşteriler | Potansiyel Müşteri |
Ziyaretçiler | Ziyaretçi |
Üçüncü Taraf Kişiler | Çalışan Adayı Yakını, Çalışan Yakını, Eğitmen, Kefil, Müşteri Yakını, Müşterinin İlgili Kişisi, Referans, Şahit, Üçüncü Kişiler, Vekil, Veli/Vasi/Temsilci |
5.2. Bilgiye Konu Kişiler ve İşlenen Kişisel Veriler
CapitalBank aşağıda belirtilen kişisel verileri işlemektedir;
Veri Sahibi | Veri Kategorileri |
Çalışan | Biyometrik Veri, Ceza Mahkumiyeti ve Güvenlik Tedbirleri, Finans, Fiziksel Mekan Güvenliği, Görsel ve İşitsel Kayıtlar, Hukuki İşlem, İletişim, İşlem Güvenliği, Kimlik, Lokasyon, Mesleki Deneyim, Müşteri İşlem, Özlük, Risk Yönetimi, Sağlık Bilgileri |
Çalışan Adayı | Görsel ve İşitsel Kayıtları, İletişim, Kimlik, Sağlık Bilgileri, Özlük |
Çalışan Adayı Yakını | Kimlik, Özlük |
Çalışan Yakını | Kimlik, Özlük |
Diğer Banka Müşterisi | Finans, Kimlik |
Eğitmen | İletişim, Kimlik, Özlük |
Hissedar | Kimlik |
Kefil | Finans, Hukuki İşlem, İletişim, Kimlik, Özlük |
Keşideci | Finans, Kimlik |
Lehtar | Finans, İletişim, Kimlik |
Müşteri | Biyometrik Veri, Diğer, Finans, Fiziksel Mekan Güvenliği, Görsel ve İşitsel Kayıtlar, Hukuki İşlem, İletişim, İşlem Güvenliği, Kimlik, Mesleki Deneyim, Müşteri İşlem, Özlük, Risk Yönetim |
Müşteri Yakını | Finans, İletişim, Kimlik |
Müşterinin İlgili Kişisi | Finans, İletişim, Kimlik |
Potansiyel Müşteri | Fiziksel Mekan Güvenliği, Görsel ve İşitsel Kayıtlar |
Referans | İletişim, Kimlik |
Stajyer | İletişim, Kimlik, Fiziksel Mekan Güvenliği, Görsel ve İşitsel Kayıtlar |
Şahit | Kimlik |
Tedarikçi | İletişim, İşlem Güvenliği, Kimlik |
Tedarikçi Çalışanı | Fiziksel Mekan Güvenliği, Görsel ve İşitsel Kayıtlar, İletişim, İşlem Güvenliği, Kimlik, Özlük |
Tedarikçi Yetkilisi | Fiziksel Mekan Güvenliği, Finans, Görsel ve İşitsel Kayıtlar, İletişim, İşlem Güvenliği, Kimlik, Özlük |
Üçüncü Kişiler | Finans, Görsel ve İşitsel Kayıtlar, Hukuki İşlem, İletişim, Kimlik |
Vekil | Kimlik |
Veli/Vasi/Temsilci | İletişim, Kimlik |
YK Üyeleri | İletişim, Kimlik |
Ziyaretçi | Fiziksel Mekan Güvenliği, Görsel ve İşitsel Kayıtlar, Kimlik, İşlem Güvenliği |
5.3. Kişisel Verilerin İşlenme Amaçları
CapitalBank kişisel verileri aşağıda belirtilen amaçlarda işlemektedir;
Birim Adı | Ana Süreç | Bilgiye Konu Kişi/ler | İşlenen Veri Kategorisi |
Bilgi Teknolojileri | Ağ Erişim ve Güvenlik Yönetimi Bankacılık Uygulamaları Bilgi Güvenliği Yönetimi BT Tedarik Süreçleri Bulut Sistemleri Yönetimi Destek ve Yardım Masası Süreçleri Donanım ve Sistem Yönetimi E-posta ve İletişim Sistemleri Yönetimi Kullanıcı Hesap ve Yetki Yönetimi Siber Olaylara Müdahale Veri Merkezi / Sunucu Odası Yönetimi Web ve İnternet Erişimi Yönetimi Yazılım ve Lisans Yönetimi Yedekleme ve Felaket Kurtarma | Çalışan, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Müşteri, Stajyer, Potansiyel Müşteri, Ziyaretçi | Kimlik bilgileri, iletişim bilgileri, log kayıtları, ip adresleri, finansal bilgiler, güvenlik kamera görüntüleri, fotoğraflar, mesleki deneyim bilgileri, özlük bilgileri, çalışana ilişkin risk bilgileri, biyometrik veriler, çerez bilgileri, zimmet bilgisi, çalışan ve stajyer talep bilgisi, müşteri hesap bilgileri, müşteri talep ve şikayetleri, ekstreler, çalışan risk kayıtlar |
Dış İşlemler | Vesaik İşlemleri Süreçleri Yurt Dışı Gelen Transfer Süreçleri Yurt Dışı Giden Transfer Süreçleri Yurt Dışı Muhabir üzerinden Çek Tahsil Süreçleri Yurt İçi Giden Transfer Süreçleri | Çalışan, Lehtar, Müşteri | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri |
Hazine | Banka Adına Ters Repo Euro Bond İşlemlerinin Gerçekleştirilmesi FX İşlemi Havale İşlemleri Muhabir Bankada Gerçekleştirilen İşlemler Müşteri Adına Alınan Bono | Çalışan, Müşteri, YK Üyeleri | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler |
Hukuk | Dava Raporları Dava Süreçleri Dış Avukat Süreci Görüş Verilmesi Süreci İcra İşlemleri Sözleşmeler ve Protokoller | Kefil, Müşteri, Müşteri Yakını, Müşterinin İlgili Kişisi | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri, hukuki işlem bilgileri, araç ve tapu/mülkiyet kayıtları |
İç Kontrol | Evrak Kontrol Süreçleri Fesih Süreçleri Komisyon Yönetim Süreci Limit Giriş İşlemleri | Kefil, Müşteri | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri, teminat ve bloke bilgileri, araç ve tapu/mülkiyet kayıtları |
İnsan Kaynakları | Araç Yönetimi Çalışan Adayı Süreçleri Çalışma İzni Süreçleri Disiplin Süreçleri Eğitim Süreçleri İdari İşler İşe Giriş Süreçleri İşten Çıkış Süreçleri Personel Operasyonlarının Yürütülmesi Stajyer Süreçleri | Çalışan, Eğitmen, Çalışan Yakını, Stajyer, Çalışan Adayı, Çalışan Adayı Yakını, Referans, Üçüncü Kişiler, Ziyaretçi | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri, teminat ve bloke bilgileri, araç ve tapu/mülkiyet kayıtları, eğitim bilgileri, mesleki deneyim bilgileri, özlük bilgileri, disiplin ve soruşturma bilgileri, biyometrik veriler, aile bireyi bilgileri, sosyal medya bilgileri, güvenlik bilgi ve belgeleri, log kayıtları |
KÖS | ATM Sorunu Süreci Banka Kartı Başvuru/İptal/Diğer Hesap Kesimi Süreci İnternet Bankacılığı Yönetimi Kart Dağıtım Yönetimi Kart Ekstre Yönetimi Kart İşlemleri Yönetimi KDV İade Kredi Kartı Başvuru/İptal/Diğer Kredi Kartları Limit İşlemi Mobil ve Web Bankacılığı Mutabakat Sorunları POS İşlemleri Raporlama Süreci Tedarikçi Süreçleri Vergi Bilgileri Paylaşım Süreci Web Sitesi Süreçleri | Müşteri, Müşteri Yakını, Referans, Tedarikçi Yetkilisi, Üçüncü Kişiler, Hissedar, Tedarikçi, Çalışan, Tedarikçi Çalışanı | kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap ve kart bilgileri, müşteri işlem ve provizyon kayıtları, gelir-limit-risk bilgileri, pos ve üye işyeri-terminal bilgileri, aile yakını bilgileri, mesleki ve unvan bilgileri, sosyal güvenlik bilgileri, araç ve araç lokasyon bilgileri, koçan ve mülkiyet kayıtları, görüntü kayıtları, log kayıtları, kullanıcı hesabı bilgileri, borç bilgisi, iaşe hesap bilgisi |
Kredi İzleme | Kredi İzleme Kredi İzleme Süreci Raporlama Süreci Sigorta İzleme | Müşteri | Kimlik bilgileri, müşteri hesap bilgileri, finansal bilgiler, risk/limit ve hesap durumu bilgileri, müşteri işlem ve görüşme kayıtları |
Kredi Tahsis | Başvuru Süreçleri Onay Süreci Raporlama Ref Faiz Oranına Göre Bilgilendirme Maili | Kefil, Müşteri, Müşteri Yakını | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri, gelir/limit/risk bilgileri, teminat ve bloke bilgileri, araç ve koçan/mülkiyet kayıtları, aile yakını bilgileri, mesleki deneyim bilgileri, resmi belge ve beyan bilgileri |
MOB | Çek Takas İşlemleri Merkezi Operasyon Süreçleri Sigortacılık Operasyonları Sistem Operasyonları Süreci | Çalışan, Kefil, Müşteri, Şahit | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri, fatura bilgileri, çek bilgileri, biyometrik veriler, koçan ve mülkiyet kayıtları, poliçe bilgileri, araç bilgileri, log kayıtları, kullanıcı hesabı bilgileri, görev ve unvan bilgileri, crm bilgileri, kimlik fotokopisi |
Muhasebe | Donanım ve Sistem Yönetimi Muhasebe Süreçleri Raporlama Süreci | Çalışan, Çalışan Yakını, Müşteri, Müşteri Yakını, Tedarikçi Yetkilisi | kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri, çek bilgileri, şirket bilgileri, koçan ve teminat bilgileri, aile ve çocuk bilgileri, sosyal güvenlik bilgileri, ücret ve maaş bilgileri, model ve ürün seri numarası bilgileri |
Risk | İcra Takip Süreci Müşteri Kabul Politikası Süreci Resmi Kurumların Talep Süreci Şubelerden Gelen Şüpheli İşlemler Süreci Uyum Birimi Raporlama Süreci | Müşteri, Müşteri Yakını, Üçüncü Kişiler | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri, adres ve ikamet bilgileri, aile yakını bilgileri, şirket ve ticaret sicil bilgileri, ekstre bilgileri, dekont bilgisi |
Şubeler | Bakanlık Portal İşlemleri Hesap Oluşturma Süreçleri Özel Ticari Müşteriler Şube Cari Operasyonları Şube Pazarlama Faaliyetleri | Çalışan, Diğer Banka Müşterisi, Kefil, Keşideci, Lehtar, Müşteri, Şahit, Üçüncü Kişiler, Veli/Vasi/Temsilci | Kimlik bilgileri, iletişim bilgileri, adres ve ikamet bilgileri, aile yakını bilgileri, mesleki ve unvan bilgileri, şirket/işyeri ve şube bilgileri, finansal bilgiler, müşteri hesap ve kart bilgileri, risk ve limit bilgileri, teminat bilgileri, araç ve taşınmaz (koçan/tapu) bilgileri, sözleşme ve onay bilgileri, resmi belge ve izin/beyan bilgileri, vekalet ve yetkilendirme bilgileri, çek bilgileri, dekont ve fatura bilgileri, ödeme ve iban bilgileri, eğitim/öğrenim bilgileri, biyometrik veriler |
Uyum | Web Sitesi Yönetimi Süreci | Müşteri | Kimlik bilgileri, iletişim bilgileri |
Yasal Takip | Dava Süreci Mahkemelerden veya Dış Avukatlardan Gelen Talepler Mal Satışından Dolayı Karşı Bankadan Gelen İhbarların Yönetimi Süreci Merkez Bankası Bankasından Davalık Hesaplar İçin Şikayet Yazılarının Değerlendirilmesi Mukayıtlıktan Gelen Yazışmaların Yönetimi Süreci Polislerden Gelen Talepler Şubelerin Talebi Üzerine Yapılan Borç ve Ekstre Bildirimleri Tahsili Gecikmiş Alacakların Takibi Vekaletname Süreçlerinin Yürütülmesi | Kefil, Müşteri, Vekil | Kimlik bilgileri, iletişim bilgileri, finansal bilgiler, müşteri hesap bilgileri, borç bilgileri, teminat bilgileri, bakiye bilgileri, araç bilgileri, taşınmaz ve koçan bilgileri, maaş bilgisi, aile bilgileri, çalışma ve unvan bilgileri, sözleşme bilgisi, dava ve icra bilgileri, kart ve pos işlem bilgileri, ekstre bilgileri, hesap hareketleri |
5.4. Süreç Bazlı İşlenen Kişisel Veriler
CapitalBank, kişisel verileri elde etme yöntemleri aşağıda belirtilmiştir.
Veri Kategorileri | Elde Edilme Yöntemi |
Biyometrik Veri | PDKS, Sözleşme |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri | Mail, Elden Teslim, Başvuru Formları |
Hukuki İşlem | Avukat Yazışmaları, Elden Teslim, Karşı Bankadan Gelen İhbar Yazısı, Mahkeme Yazışmaları, Mail, Sözlü Beyan |
Kimlik | AD Sunucusu, Avukat Yazışmaları, Bankacılık Uygulamaları, Bankacılık İşlemleri Sözleşmesi, Başvuru Formu, Beyannameler/Taahhütnameler, Bireysel Müşteri Bilgi Formu, Elden Teslim, Exchange Sunucusu, Faturalar, Fiziki Teslim Formu, Gerçek Kişi Bilgi Formları, Güvenlik Duvarı, Harcama İtiraz Formu, Hesap Açılış Formları, Kredi Kartı Otomatik Ödeme Talimatları, Karşı Bankadan Gelen İhbar Yazıları, Kira Sözleşmesi, Kredi Kartı Başvuru Formu, Log Sunucu, Mahkeme Yazıları, Mahkeme Yazışmaları, Mail, Merkez Bankası Portalı, Müşteri Hizmetleri, Onay Metni, PDKS Sistemi, Pentest Raporu, Plasman Hesap Sürekli Taksit Ödeme Talimatı, Pos Teslim Formu, Resmi Yazı, Sözlü Beyan, Talep Formu, Telefon, Web Sitesi, Web Sitesi İletişim Formu |
Lokasyon | Mail, Telefon |
Mesleki Deneyim | Bankacılık Uygulaması, Başvuru Formu, Elden Teslim, Kredi Kartı Başvuru Formu, Mail, Pentest Raporu, Telefon |
Müşteri İşlem | Bakanlık Portalı, Bankacılık İşlemleri Sözleşmesi, Başvuru Formları, Elden Teslim, Gerçek Kişi Bilgi Formları, Hesap Açılış Formları, Kamera Kayıtları, Kredi Kartı Başvuru Formu, Mahkeme Yazıları, Mail, Pentest Raporu, Resmi Yazı, Telefon, Yazılı Beyan, Çek Teslim Tutanağı, Üye İşyeri Başvuru Formu, Şahsi Hesaplarda 3. Şahıs Yetki Formu, Şirket Hesap Açılışı ve Yetkilendirme Formu |
Risk Yönetimi | AD Sunucu, Bankacılık Uygulaması, Exchange Sunucusu, Merkez Bankası Uygulaması, Müşteri Hizmetleri, Yazılı Beyan |
Sağlık Bilgileri | Elden Teslim, Mail, Başvuru Formu, Yazılı Beyan |
Özlük | Avukat Yazışmaları, Açık Kaynak Taraması, Bakanlık Portalı, Bankacılık Uygulaması, Bankacılık Sözleşmeleri, Başvuru Formları, Beyannameler/Taahhütnameler, Elden Teslim, Hesap Açılış Formları, Karşı Bankalardan Gelen İhbar Yazıları, Kredi Kartı Başvuru Formu, Mahkeme Yazışmaları, Mail, Merkez Bankası Portalı, Müşteri Hizmetleri, Pentest Raporu, Posta, Sözlü Beyan, Telefon, Yazılı Beyan, Çalışma Dairesi Portalı |
İletişim | AD Sunucusu, Avukat Yazışmaları, Bankacılık Uygulamaları, Bankacılık İşlemleri Sözleşmesi, Başvuru Formu, Beyannameler/Taahhütnameler, Bireysel Müşteri Bilgi Formu, Elden Teslim, Exchange Sunucusu, Faturalar, Fiziki Teslim Formu, Gerçek Kişi Bilgi Formları, Güvenlik Duvarı, Harcama İtiraz Formu, Hesap Açılış Formları, Kredi Kartı Otomatik Ödeme Talimatları, Karşı Bankadan Gelen İhbar Yazıları, Kira Sözleşmesi, Kredi Kartı Başvuru Formu, Log Sunucu, Mahkeme Yazıları, Mahkeme Yazışmaları, Mail, Merkez Bankası Portalı, Müşteri Hizmetleri, Onay Metni, PDKS Sistemi, Pentest Raporu, Plasman Hesap Sürekli Taksit Ödeme Talimatı, Pos Teslim Formu, Resmi Yazı, Sözlü Beyan, Talep Formu, Telefon, Web Sitesi, Web Sitesi İletişim Formu |
İşlem Güvenliği | AD Sunucu, Bankacılık Uygulamaları, Güvenlik Duvarı, Log Sunucu, Log Uygulaması, Mail, PDKS Sistemi, Pentest Raporu, Uygulama Sunucuları, VPN Uygulaması, Zafiyet Uygulamaları |
5.5. Veri İşleme Hukuki Sebepleri
CapitalBank, kişisel verileri; 89/2007 Sayılı Kişisel Verilerin Korunması Yasası’nın 5. maddesinde yer alan ilkelere uygun olarak ve gerekli durumlarda ilgili kişinin açık onayını alarak, ayrıca 6. maddede belirtilen kanuni zorunluluk, sözleşmenin ifası, hayati çıkarların korunması, hukuki yükümlülüklerin yerine getirilmesi veya meşru menfaat şartlarının oluşması; ya da 7. maddede öngörülen diğer işleme şartlarının sağlanması hâlinde işlemektedir. Tam metnine https://kvkk.gov.ct.tr adresinden ulaşabileceğiniz Kanun’un 5 ve 6. maddelerinde belirtilen aşağıdaki hususlar doğrultusunda işlenmektedir;
5.5.1. Kişisel Veri İşleme Gerekçesi
Kişisel veriler, Bilgiye Konu Kişi ‘nin şüpheye sebebiyet vermeyecek şekilde açık onay vermesi halinde işlenebilir. Ancak, aşağıdaki durumlarda Bilgiye Konu Kişi ‘nin açık onayı olmadan kişisel verileri işlenebilir:
- İşlemenin, Kontrolü ‘ün tabi olduğu yasal yükümlülüğü yerine getirmek için gerekli olması,
- İşlemenin, Bilgiye Konu Kişi ‘nin taraf olduğu bir sözleşmenin yerine getirilmesi için gerekli olması veya bilgiye konu kişinin talebi üzerine, sözleşmeye taraf olmadan önce önlem alınması amacıyla yapılması,
- İşlemenin, Bilgiye Konu Kişi ‘nin hayati çıkarlarının korunması için gerekli olması,
- İşlemenin, kamu çıkarı adına bir görevin yerine getirilmesi veya Kontrolör ‘e veya verinin iletildiği üçüncü bir tarafa verilmiş olan kamu yetkisinin ifası için gerekli olması,
- İşlemenin, Bilgiye Konu Kişi ‘nin hakları, çıkarları ve temel özgürlüklerinin üstün geldiği durumlar hariç, Kontrolör veya verinin iletildiği üçüncü tarafça izlenen yasal çıkarlar amacıyla gerekli olması.
Yasal yükümlülüklerin öngörülmesine ilişkin ilgili yasalar bu politikada detaylandırılmıştır.
5.5.2. Hassas Veri İşleme Gerekçesi
Hassas verilerin işlenmesine ilişkin aşağıdaki hükümler, CapitalBank tarafından uygulanacak usul ve esasları düzenlemektedir:
- Hassas verinin derlenmesi ve işlenmesi yasaktır. Ancak Bilgiye Konu Kişi ‘nin açık onayının olması veya Bilgiye Konu Kişi ‘nin fiziksel veya yasal olarak onay vermediği durumlarda, kendisinin veya bir başka kişinin hayati çıkarlarının korunması için gerekli olması veya yasal bir yükümlülükten kaynaklanması halinde hassas veriler derlenebilir ve işlenebilir.
- Sağlık ile ilgili hassas veriler yukarıdaki (a) maddedeki yasak kapsamı dışındadır. Bu tür veriler, meslek olarak sağlık hizmeti veren ve gizlilik yükümlülüğü bulunan veya ilgili davranış ilkelerine tabi olan kişi veya kurumlarca derlenebilir veya işlenebilir.
- Yukarıdaki (a) ve (b) maddelerindeki kurallar uyarınca derlenip işlenen hassas veriler, yalnızca Bilgiye Konu Kişi ‘nin açık onayı ile üçüncü taraflara iletebilir.
- Bakanlar Kurulu, Kurulun oybirliği ile alacağı bir karar doğrultusunda yapacağı tavsiye üzerine, kamu çıkarını ilgilendiren konularda hassas verilerin işlenmesine dair düzenlemeler içeren kararlar alabilir
CapitalBank ’in veri işleyebilmek için kullandığı hukuki dayanaklar “CapitalBank KVKY Envanteri” dokümanında detaylandırılmıştır.
5.6. Kişisel Verilerin İşlenmesi İçin İlkeler
KVKY ‘nin 5. maddelerinde kişisel verilerin işlenmesi için ilkeler belirlenmiştir. CapitalBank belirlenen ilkelere uygun şekilde kişisel verileri işlemektedir.
- Kişisel verilerin işlenmesi aşağıdaki ilkelere uygun yapılmaktadır;
- Kişisel verilerin yasal ve adil yoldan elde edilmesi ve işlenmesi,
- Kişisel verilerin belirli, açık ve meşru amaçlarla derlenmesi ve bu amaçlara uygun olarak işlenmesi ve bu amaçlarla uyumlu olmayan şekillerde işlem görmemesi,
- Kişisel verilerin doğru ve gerektiği takdirde güncel olması,
- Kişisel verilerin derlenme ve işlenme amaçlarının yerine getirilmesi sağlanırken, Başkanın takdiriyle, verinin, sahibinin kimliğinin belirlenmesine izin verecek bir formda gereğinden uzun bir süre tutulmaması. Ancak bu sürenin bitiminde, Başkan, Bilgiye Konu Kişi ‘nin veya üçüncü tarafların haklarının etkilenmediğine kanaat getirmesi halinde, gerekçeli bir kararla kişisel verinin tarihsel, bilimsel veya istatistiki amaçlarla muhafazasına izin verebilir.
5.7. Kişisel Verilerin Aktarılması
Bilgiye Konu Kişi ‘lere ait kişisel veriler kamu faydası gözetilmesi kaydı ile KVKY ’de öngörülen temel ilkelere uygun olarak işlenmektedir. KVKY ’nin 6, 7 ve 11. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde aşağıda belirtilen yurtiçi ve/veya yurtdışı ilgili taraflar ile paylaşılabilmektedir.
5.7.1. Kişisel Verilerin Yurtiçindeki Kişilere Aktarılması
CapitalBank, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, Kanun ’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, Bilgiye Konu Kişi ‘nin açık onayı olmadan üçüncü kişilere aktarılmamaktadır. Ancak, Kanun ’da belirtilen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler; Bilgiye Konu Kişi ‘nin açık onayı temin edilmeksizin de aktarılabilecektir:
- İşlemenin, Kontrolü ‘ün tabi olduğu yasal yükümlülüğü yerine getirmek için gerekli olması,
- İşlemenin, Bilgiye Konu Kişi ‘nin taraf olduğu bir sözleşmenin yerine getirilmesi için gerekli olması veya bilgiye konu kişinin talebi üzerine, sözleşmeye taraf olmadan önce önlem alınması amacıyla yapılması,
- İşlemenin, Bilgiye Konu Kişi ‘nin hayati çıkarlarının korunması için gerekli olması,
- İşlemenin, kamu çıkarı adına bir görevin yerine getirilmesi veya Kontrolör ‘e veya verinin iletildiği üçüncü bir tarafa verilmiş olan kamu yetkisinin ifası için gerekli olması,
- İşlemenin, Bilgiye Konu Kişi ‘nin hakları, çıkarları ve temel özgürlüklerinin üstün geldiği durumlar hariç, Kontrolör veya verinin iletildiği üçüncü tarafça izlenen yasal çıkarlar amacıyla gerekli olması.
Ayrıca hassas verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.
Kişisel verilerin aktarıldığı yurtiçi taraflar aşağıda detaylandırılmıştır;
İlgili Taraf | Aktarım Sebebi | Veri Kategorisi | KVKY Hukuki Dayanak |
Avukatlar | İcra ve dava süreçlerinin yürütülmesi kapsamında hukuki değerlendirmelerin yapılması; yargısal ve icrai işlemlerin takibi, gerekli bilgi ve belgelerin dış avukatlarla paylaşılması | Kimlik, iletişim, özlük, kimlik, finans, hukuki işlem, müşteri işlem | Fasıl 6 – Hukuk Muhakemeleri Usulü Yasası Fasıl 60 – İcra ve İflas Yasası Fasıl 224 – Taşınmaz Mal (Kayıt, Tescil ve Değerleme) Yasası Fasıl 149 – Sözleşmeler Yasası 21/1974 Motorlu Araçlar ve Yol Trafik Yasası 62/2017 Sayılı KKTC Bankacılık Yasası 89/2007 Sayılı Kişisel Verilerin Korunması Yasası Hukuki Yükümlülük Sözleşmenin İfası Meşru Menfaat |
Amerika IRS | Amerikan vergi mevzuatına uyum (FATCA) | Finans, iletişim, kimlik | 62/2017 Sayılı KKTC Bankacılık Yasası Meşru Menfaat |
Anlaşmalı Expert Firması | Değerlendirme raporunun hazırlanması için | Finans, iletişim, kimlik | 62/2017 Sayılı KKTC Bankacılık Yasası Hukuki Yükümlülük Meşru Menfaat Sözleşmenin İfası |
Kurye Firmaları | Kart, ekstre ve evrakların müşteriye veya ilgili şubeye güvenli şekilde ulaştırılması, borç ve alacak bildirimlerinin iletilmesi, teslim ve teyit bilgilerinin güncellenmesi. | Finans, iletişim, kimlik | 62/2017 Sayılı KKTC Bankacılık Yasası Meşru Menfaat Sözleşmenin İfası |
Yetkili Kamu Kurum ve Kuruluşları | Yasal bildirim, raporlama ve dış denetim yükümlülüklerinin yerine getirilmesi; vergi, sigorta, ihtiyat sandığı ve benzeri yasal mali süreçlerin yürütülmesi; Gecikmiş alacaklar, icra ve dava süreçlerine ilişkin bilgi, ihbar ve dosya paylaşımı; tapu, tescil, ihale ve satış işlemlerinin tamamlanması; fatura, ek ödenek, mutabakat ve hata giderimi gibi operasyonel kontrollerin yapılması; seyrüsefer, muayene, nakil ve kayıt güncellemeleri ile ilgili zorunlu bildirimlerin gerçekleştirilmesi; şüpheli işlem, güvenlik olayı ve veri ihlali bildirimlerinin yetkili makamlara iletilmesi | Biyometrik veri, ceza mahkumiyeti ve güvenlik tedbirleri, diğer, finans, görsel ve işitsel kayıtlar, hukuki işlem, iletişim, işlem güvenliği, kimlik, mesleki deneyim, müşteri işlem, özlük, risk yönetimi | 1/2024 Sayılı Suç Gelirlerinin Aklanmasının, Terörizmin Finansmanının ve Kitle İmha Silahlarının Yaygınlaşmasının Finansmanının Önlenmesi Yasası
16/1976 Sayılı Sosyal Sigortalar Yasası
21/1974 Sayılı Motorlu Araçlar ve Yol Trafik Yasası
22/1975 Sayılı Gelir Vergisi Yasası
22/1992 Sayılı İş Yasası
23/1975 Sayılı Kurumlar Vergisi Yasası
28/1975 Sayılı İhtiyat Sandığı Yasası
38/1997 Sayılı Para Kambiyo Yasası 39/2003 Sayılı Tüketicileri Koruma Yasası
41/2001 Sayılı Kuzey Kıbrıs Türk Cumhuriyeti Merkez Bankası Yasası 60/2014 Sayılı Sigortacılık Hizmetleri Yasası
62/2017 Sayılı KKTC Bankacılık Yasası 63/2006 Sayılı Yabancıların Çalışma İzinleri Yasası
73/2007 Sayılı Sosyal Güvenlik Yasası
89/2007 Sayılı Kişisel Verilerin Korunması Yasası Fasıl 149 Sayılı Sözleşmeler Yasası Bir Hakkın Tesisi Meşru Mefaat Sözleşmenin İfası Hukuki Yükümlülük |
Merkez Bankası | Mevzuat gereği paylaşma zorunluluğundan dolayı Merkez Bankası ile paylaşılmakta | Kimlik, iletişim, finans, görsel ve işitsel kayıtlar, mesleki deneyim bilgileri, müşteri işlemleri, özlük, log kayıtları, risk dereceleri, sağlık bilgileri | 1/2024 – Suç Gelirlerinin Aklanmasının, Terörizmin Finansmanının ve Kitle İmha Silahlarının Yaygınlaşmasının Finansmanının Önlenmesi Yasası
16/1976 Sayılı Sosyal Sigortalar Yasası
22/1992 Sayılı İş Yasası
38/1997 Sayılı Para Kambiyo Yasası
41/2001 – Kuzey Kıbrıs Türk Cumhuriyeti Merkez Bankası Yasası
62/2017 Sayılı KKTC Bankacılık Yasası
63/2006 – Yabancıların Çalışma İzinleri Yasası
Bankalarda İç Denetim, Risk Yönetimi, İç Kontrol ve Risk Yönetim Sistemleri Tebliği Bir Hakkın Tesisi Hukuki Yükümlülük Meşru Menfaat Sözleşmenin İfası |
Muhabir Bankalar | Uluslararası bankacılık işlemlerinin yürütülmesi kapsamında vesaik, transfer ve tahsilat işlemlerinin gerçekleştirilmesi; muhabir bankalar aracılığıyla ödeme, fon transferi ve mesajlaşma (SWIFT/MT) süreçlerinin yürütülmesi; alıcı, işlem dayanağı ve belge uygunluk kontrollerinin yapılması; yurt dışı hesap yönetimi, mutabakat ve teyit işlemlerinin sağlanması; çek, kart, POS ve menkul kıymet işlemlerine ilişkin operasyonel süreçlerin yürütülmesi; kart başvuru, üretim, kullanım, güvenlik, limit ve iptal işlemlerinin gerçekleştirilmesi; ödeme, tahsilat, takas, mutabakat ve hata giderimi gibi finansal operasyonların yürütülmesi; teknik ve operasyonel sorunların giderilmesi | Diğer, finans, görsel ve işitsel kayıtlar, iletişim, kimlik, mesleki deneyim, müşteri işlem, özlük | 62/2017 Sayılı KKTC Bankacılık Yasası Meşru Menfaat Sözleşmenin İfası |
İştirak Sigorta Şirketi | Müşterilerin poliçe giriş işlemlerinin yapılması ve indirimli poliçe süreçlerinin yürütülmesi için | Kimlik, özlük | 60/2014 Sayılı Sigortacılık Hizmetleri Yasası Sözleşmenin İfası |
Operatör Firma | Müşteri bilgi SMS 'leriniin gönderimi sağlanması | Kimlik, iletişim, finans | 62/2017 Sayılı KKTC Bankacılık Yasası
39/2003 – Tüketicileri Koruma Yasası
Fasıl 149 – Sözleşmeler Yasası Meşru Menfaat Sözleşmenin İfası |
Emniyet Birimleri | Olası şüpheli vakaların araştırılabilmesi için | Kimlik, özlük, görsel ve işitsel kayıtlar, güvenlik kamera görüntüleri | 62/2017 Sayılı KKTC Bankacılık Yasası Hukuki Yükümlülük Meşru Menfaat |
Tedarikçiler | Tedarikçilerden alınan hizmetlerin yasal ve sözleşme şartlarına uygun yürütülebilmesi için | Kimlik, iletişim, özlük, görsel ve işitsel kayıtlar, log kayıtları, müşteri işlem bilgiler, mesleki deneyim bilgileri | 2015/01 Sayılı Sızma Testleri Genelgesi 40/2003 Sayılı Tüketicileri Koruma Yasası 62/2017 Sayılı KKTC Bankacılık Yasası Hukuki Yükümlülük Meşru Menfaat Sözleşmenin İfası |
Yurtiçi Diğer Bankalar | Müşterinin ödeme işleminin diğer bankaya iletilmesi için | Kimlik, iletişim, finans, müşteri işlem bilgileri | 62/2017 Sayılı KKTC Bankacılık Yasası Meşru Menfaat |
Grup Şirketleri | Çalışan adayı uygunluk değerlendirmeleri için | Kimlik, iletişim, özlük | 22/1992 Sayılı İş Yasası Açık Onay Meşru Menfaat Sözleşmenin İfası |
Müşteriler | SWIFT mesajı, işlem detayları ve ödeme sürecine ilişkin müşterinin bilgilendirilmesi | Kimlik, finans, iletişim | 62/2017 Sayılı KKTC Bankacılık Yasası Meşru Menfaat Sözleşmenin İfası |
Web Sayfası | Tanıtım afişleri ve duyuru, basın duyurularının yapılması ve YK üyelerinin tanıtılması | Kimlik, görsel ve işitsel kayıtlar | Açık Onay Meşru Menfaat |
5.7.2. Kişisel Verilerin Yurtdışındaki Kişilere Aktarılması
CapitalBank, bankacılık faaliyetleri kapsamında olan durumlarda yurtdışı kuruluşlar ile kişisel veri paylaşımı yapabilmektedir. Ayrıca ilgili kişilerden alınan açık onay sonrasında etkinliklerde ve duyurularda alınan görsel kayıtlar CapitalBank web sitesinde paylaşılabilmektedir.
CapitalBank, yurtdışı kişisel veri aktarımları esnasında Kanun ‘un 11. maddesinde yer alan şartlardan birinin varlığı ve Kurul ‘un Transfer Ruhsatı vermesi şartına bağlı olarak yurtdışına aktarım yapılmaktadır.
CapitalBank, kişisel verinin yeterli düzeyde koruma sağlamayan bir ülkeye kişisel veri transfer etmesi durumunda, aşağıdaki koşullardan bir veya daha fazlasının yerine getirilmesi halinde aktarım yapabilir;
- Bilgiye Konu Kişi ‘nin, herhangi bir kuşkuya yer bırakmayacak şekilde ve hukuka veya kabul edilmiş ahlak değerlerine aykırı olmayacak şekilde alınmış olmak kaydıyla transfere onay vermesi
- Aşağıdaki koşullar altında transfer gereklidir;
- Bilgiye Konu Kişi ‘nin hayati çıkarlarının korunması
- Bilgiye Konu Kişi ile Kontrolör veya Kontrolörle üçüncü taraf arasında, bilgiye konu kişinin çıkarı için yapılmış olan bir sözleşmenin tamamlanması veya kurallarının yerine getirilmesi için
- Bilgiye Konu Kişi ‘nin talebi üzerine alınan, bilgiye Konu Kişi ile Kontrolör arasında yapılacak sözleşme öncesi önlemlerin uygulanması için
- Transferin önemli kamu çıkarı, özellikle diğer ülkenin kamu makamlarıyla işbirliğine ilişkin sözleşmenin kurallarının yerine getirilmesi nedeniyle gerekli olması veya bu nedenlerle transfere hukuken ihtiyaç duyulması
- Transferin bir mahkemeye yöneltilecek hukuki iddiaların oluşturulması, öne sürülmesi ve savunulması için gerekli olması.
- Transferin, ilgili yasa uyarınca kamuya bilgi veren ve kamuya veya meşru çıkarı olan herkese açık olan bir kamu kayıt merkezinden, kayıt merkezine erişimin yasal olarak mümkün olması halinde yapılması.
5.8. Ziyaretçilerinin Kişisel Verileri ve Güvenlik
5.8.1. Kamera Kaydı ve Tesis Güvenliği
CapitalBank ‘in fiziksel güvenliği, güvenlik kamera sistemleri ve kolluk kuvvetlerinden alınan destek ile karşılanmaktadır. Kamera kayıtları sadece yetki verilen çalışanlarca erişilebilir durumdadır.
Genel Müdürlük ‘te her ziyaretçi danışma tarafından karşılanarak ilgili birimleri ziyaretine izin verilmektedir.
Şubelerde kritik müşteri operasyonlarının yürütüldüğü alanlarda güvenlik kamera sistemleri üzerinden ses kayıtları da elde edilmektedir.
Ziyaretçilerin işlenen kişisel verileri ile ilgili CapitalBank Ziyaretçi KVKY Aydınlatma Metni ‘nde detaylı bilgilendirmeler yapılmıştır.
5.8.2. İnternet Sitesi Ziyaretçilerinden Alınan Kişisel Veriler
CapitalBank ‘ın sahibi olduğu https://www.capitalbank.com.tr adresinde çerez bilgisi Google Analytics kullanılarak elde edilmektedir. Çerez bilgilerinin yönetimi için Çerez Politikası oluşturulmuştur. CapitalBank, pazarlama faaliyetlerine ilişkin herhangi bir çerez bilgisi bulundurmamaktadır. Sadece site ziyareti ile ilgili istatistiksel değerleri tutmak, site performansının ölçülmesi ve site güvenliğinin sağlanması amacıyla çerez bilgilerini işlemektedir.
İnternet sitesi üzerinden gerçekleştirilen müşteri erişimlerinde ölçülü olarak kişisel veriler işlenmektedir.
CapitalBank, internet erişimlerinde yasal gerekliliklere uygun log kayıtları alınmaktadır. Ayrıca stajyer ve çalışanların sistem ve uygulama erişim logları işlenebilmektedir. Loglara yetkisiz erişimlerin engellenebilmesi için yetki sınırlandırması yapılmıştır. Loglar üzerinde zaman damgası bulunmaktadır. Uzaktan erişim güvenliğinin sağlanabilmesi için çoklu doğrulama sistemleri, statik ip ve mac adres kontrolleri sağlanmaktadır. Detaylı bilgiye “Teknik Tedbirler” başlığından ulaşabilirsiniz.
5.9. Kişisel Veri Sahibinin Hakları
Bilgiye Konu Kişi ‘lerin KVKY ‘nin IV. Bölümünde hakları detaylandırılmıştır. Bilgiye Konu Kişi ‘lerin hakları aşağı özetlenmiştir.
Kişisel verilerinizin işlenmesine ilişkin olarak aşağıdaki hakları, CapitalBank’a yapacağınız bir talep ile kullanabilirsiniz. Bu kapsamda iletilen talepler CapitalBank tarafından en geç on beş gün içinde ücretsiz olarak sonuçlandırılacaktır. Bu kapsamda kişisel veri sahibi olarak;
- Kişisel verinizin işlenip işlenmediğini öğrenme,
- Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verinizin aktarıldığı üçüncü kişileri bilme,
- Kişisel verinize erişim hakkı talep etme, kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verinizin silinmesini veya yok edilmesini isteme,
- Kişisel verinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin, kişisel verinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarınız bulunmaktadır.
89/2007 Sayılı Kişisel Verilerin Korunması Yasası kapsamında kişisel verilerinize ilişkin haklarınızı aşağıda veri sorumlularına başvurarak gerçekleştirebilirsiniz;
Kişisel veri başvurularınızı yaparken web sayfamızda yer alan Kişisel Veri Başvuru Formu dokümanını doldurarak yapabilirsiniz. Kişisel veri başvurularınızı Şht. Hüseyin Topal Sokak, No:4 Ortaköy, Lefkoşa / KKTC adresine elden teslim ile ya da Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir. adresine “Kişisel Veri Başvurusu Hk.” başlığı ile mail olarak iletebilirsiniz. Bu kapsamdaki başvurular tarafımızdan yapılacak olan kimlik doğrulamasını takiben kabul edilecek olup, ilgili kişilere yasal süreler içerisinde yazılı olarak veya elektronik ortamda cevap verilecektir.
Bu kapsamda iletilen talepler CapitalBank tarafından en geç on beş gün içinde ücretsiz olarak sonuçlandırılacaktır..
6. Kişisel Verilerin Saklanması ve İmhası
6.1. Veri Sorumlusu Organizasyonu ve Veri Ortamları
CapitalBank ’in tüm çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin uygulanması için aktif rol alırlar. Birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik tedbirler alınır.
Kişisel veriler, CapitalBank tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır;
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
● Sunucular (Etki alanı, uygulama sunucuları, veritabanı) ● Yedekleme üniteleri ● CRM Uygulamaları ● Office uygulamaları (Word, excel vb.) ● Ana bankacılık uygulaması ● BT uygulamaları ● Bilgi güvenliği cihazları (güvenlik duvarı, günlük kayıt dosyası) ● Kullanıcı bilgisayarları ● Mobil cihazlar (telefon, tablet vb.) ● Taşınabilir medyalar (Usb, taşınabilir disk) ● Mail ● Güvenlik kayıt cihazları ● Web sitesi ● Sosyal medya ortamları ● PDKS Cihazları ● Araç GPS ‘leri ● Ticket Sistemi ● Kurum içi kullanılan diğer uygulamalar (İK Uygulaması, demirbaş uygulaması vb.) ● Ortam izleme ekipmanları ● Cloud platformları ● Dosya sunucuları ● SMS uygulamaları | ● Kâğıt ● Yazılı, basılı, görsel ortamlar ● Klasörler ● Özlük dosyaları ● Birimlerin kilitli dolapları ● Arşivler ● İş Başvuru formları ● Sözleşmeler |
Kanun ‘un 5. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği Kanun ‘un 6 ve 7. maddelerinde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, CapitalBank faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamaktadır. Kişisel verilerin saklama süreleri ve gerekçeleri CapitalBank KVKY Envanteri üzerinden takip edilmektedir.
6.2. Saklamayı Gerektiren Hukuki Sebepler
Kişisel verileriniz Kuzey Kıbrıs Türk Cumhuriyeti tarafından onaylanmış aşağıdaki kanunların varlığı durumunda açık onayınız olmaksızın işlenebilmektedir;
- 1/2024 – Suç Gelirlerinin Aklanmasının, Terörizmin Finansmanının ve Kitle İmha Silahlarının Yaygınlaşmasının Finansmanının Önlenmesi Yasası
- 16/1976 Sayılı Sosyal Sigortalar Yasası
- 21/1974 Motorlu Araçlar ve Yol Trafik Yasası
- 22/1975 Sayılı Gelir Vergisi Yasası
- 22/1992 Sayılı İş Yasası
- 23/1975 Sayılı Kurumlar Vergisi Yasası
- 38/1997 Sayılı Para Kambiyo Yasası
- 39/2003 Sayılı Tüketicileri Koruma Yasası
- 41/2001 – Kuzey Kıbrıs Türk Cumhuriyeti Merkez Bankası Yasası
- 60/2014 Sayılı Sigortacılık Hizmetleri Yasası
- 62/2017 Sayılı KKTC Bankacılık Yasası
- 63/2006 – Yabancıların Çalışma İzinleri Yasası
- 73/2007 Sayılı Sosyal Güvenlik Yasası
- 89/2007 Sayılı Kişisel Verilerin Korunması Yasası
- Fasıl 6 – Hukuk Muhakemeleri Usulü Yasası
- Fasıl 60 – İcra ve İflas Yasası
- Fasıl 149 – Sözleşmeler Yasası
- Fasıl 224 – Taşınmaz Mal (Kayıt, Tescil ve Değerleme) Yasası
- 2015/01 Sayılı Sızma Testleri Genelgesi
- Bankalarda İç Denetim, Risk Yönetimi, İç Kontrol ve Risk Yönetim Sistemleri Tebliği
6.2.1. İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık onay şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık onayını geri alması,
- KVKY ‘nin IV. bölümünde belirtilen ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun CapitalBank tarafından kabul edilmesi,
- CapitalBank, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun ‘da öngörülen süre içinde cevap vermemesi hallerinde; Kurul ‘a şikâyette bulunması ve bu talebin Kurul veya ilgili merci tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, CapitalBank tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir veya anonim hale getirilir.
6.3. Kişisel Verilerin Güvenliğinin Sağlanması
CapitalBank, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kanun ‘un 12. maddesi kapsamında aşağıda belirtilen İşlemenin Gizliliği ve Güvenliği ile ilgili hususlar dikkate alınarak kişisel verilerin güvenliği sağlanmaktadır;
- Verinin işlenmesi gizlidir. Bu işlem yalnızca kontrolör, işlemci veya işlemcinin yetkisi altında görev yapan kişilerce ve yalnızca kontrolörden alınan talimat uyarınca yapılır.
- İşlemenin yapılması için, Kontrolör ‘ün uygun nitelikleri haiz, teknik bilgi açısından yeterli teminatı sağlayan ve gizliliğe riayet açısından şahsi güvenilirliği olan kişileri seçmesi gerekir.
- Kontrolör, verinin istem dışı veya yasadışı zarara uğraması, istem dışı kaybı, değiştirilmesi, yetkisiz kişilere iletilmesi veya erişim imkânı sağlanması ve her türlü diğer yasadışı işleme tabi tutulmasına karşı gizliliğinin ve korunmasının sağlanması için uygun kurumsal ve teknik önlemleri almalıdır. Bu önlemler, işleme sürecindeki ve veri işlemenin doğasına uygun düşecek riskleri karşılamada güvenliği temin etmelidir.
- Başkan, teknolojik gelişmeleri de göz önünde bulundurarak, verinin güvenliğine ve her kategoride veri için gerekli koruma önlemlerine ilişkin olarak zaman zaman talimat verebilir.
- İşleme, Kontrolör adına kendi denetimi altında olmayan bir işlemci tarafından icra edilmekteyse, işleme görevinin verilmesinin yazılı olarak yapılması gerekir. Görevlendirme, işlemcinin işlemeyi yalnızca kontrolörden aldığı talimat üzerine yapmasını ve bu kısımda yer alan diğer yükümlülükleri de üstlenmesini sağlamalıdır.
CapitalBank’ın kişisel verilerin güvenliğini sağlamak için uyguladığı tedbirler alt maddelerde detaylandırılmıştır:
6.3.1. Teknik Tedbirler
- Gelişen teknolojiye uygun olarak bilgi güvenliği alanında gerekli altyapı yatırımlarının yapılması sağlanır. Bilgi teknolojileri ve diğer birim çalışanlarının kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlanır. Yetki tanımlamalarında verilen hizmetlerle sınırlı olacak şekilde erişim yetkilendirmeleri tanımlar. Uzaktan erişimlerde güvenlik katmanları uygulanmaktadır.
- CapitalBank ‘da en az yetki prensibine göre kişisel veriye erişim kısıtlamaları gerçekleştirir. Dijital ortamda bulunan sunucu, uygulama ve dosyalardaki erişimler belirli periyodlarda kontrol edilir. Ayrıcalıklı yetki gereken durumlarda süre sınırlandırması yapılarak aksiyonlar alınır.
- CapitalBank, erişim ve yetkilendirme tanımlarını ihtiyaç doğrultusunda en az yetki prensibine göre yapar. Erişimlerin yetkilendirmelere uygunluğunu periyodik olarak gözden geçirir. Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır.
- Sistem ve uygulama erişim logları alınır. Üçüncü taraf kişi ya da tedarikçilerin uzaktan erişim taleplerinde SSL VPN ile erişimler sağlanmaktadır.
- Kişisel verilerin bulunduğu ağlara erişimler kısıtlanmıştır. Kurum ve misafir ağı üzerinden erişim sağlanan internet sitelerinin log kayıtları muhafaza edilmektedir. Ağ erişim iz kayıtları güvenlik sistemleri tarafından tutulmaktadır. Sistem ve ortamlar arasında ağlar ayrıştırılmıştır.
- Kurumumuzda her yıl periyodik olarak sızma testleri gerçekleştirilmektedir. Sosyal mühendislik tatbikatları yapılmaktadır. Çıkan bulgulara göre hızlı bir şekilde aksiyon alınmaktadır. Alınan tedbirler, kontroller ile sürekli yaşatılması sağlanır.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulması sağlanmaktadır. Tüm kullanıcı sistemlerinde lisanslı antivirüs kullanılmaktadır. Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonları kullanılmakta ve sistemlerin iz kayıtları alınmaktadır.
- Kişisel verilerin güvenliğinin sürdürülebilmesi için CapitalBank çalışanlarına ISO 27001 gerekliliklerine göre bilgi ve kişisel veri güvenliğine ilişkin farkındalık eğitimleri verilmektedir. Kurum içi eğitimlerde teknik konularda anlatılmaktadır. Kritik personellerin ISO 27001 Baş denetçi sertifikasına sahip olması sağlanır.
- Fiziki ortamların güvenlikleri kamera sistemleri ile üst seviyede tutulur.
- Kullanıcı hesapları merkezi olarak yönetilmektedir. Kurum içinde kullanılan uygulamalara erişimlerde güçlü parola kullanılarak erişimler sağlanmaktadır. Kullanıcı ve çalışan parolaları kompleks olarak ayarlanmıştır.
- CapitalBank web sayfalarında sertifika güvenliği ile trafik şifrelenmiştir.
- CapitalBank, gerçekleştirdiği güvenlik testlerinde uygulamaları ve web servislerini de kapsam dahiline alarak güvenlik operasyonları yürütmektedir. Uygulamalara erişimlerde yetki kontrolleri yapılmaktadır. Kişisel verilerin işlendiği ortamlara uygun olarak maskeleme önlemleri alınmaktadır.
- Kişisel veri barındıran sistemlerin yedekleri periyodik olarak alınmakta ve alınan yedekler kontrol edilmektedir.
- Sunucu ve bağlı ortamın güvenliğinin sağlanabilmesi için güvenlik duvarı uygulamaları ile kişisel veri güvenliği sağlanmaktadır.
- Kişisel verilerin yetkisiz kişilere iletilmesini engellemek için DLP (Veri Kaybı Önleme) yazılımları kullanılır.
- Kişisel verilerin silinmesi, imha edilmesi ve anonimleştirilmesi süreçlerinde kişisel veri işleme amaçları dikkate alınarak kişisel veriler işlenmektedir. Kritik öneme sahip ve kişisel veri barındıran medya ve bilgisayarların kullanım ömrünü tamamlaması, üçüncü taraflara teslim edilmesi ya da başka çalışanlara tahsis edilmesi durumunda, kişisel verinin tekrar okunamayacağı güvence altına alındıktan sonra cihaz değişiklikleri yapılmaktadır.
6.3.2. İdari Tedbirler
- CapitalBank, kişisel verilerin tespiti, analizi ve denetimini gerçekleştirebilmek için CapitalBank KVKY Envanteri oluşturmuştur. Yeni bir kişisel veri elde edilmesi ya da mevcut kişisel verilerin kullanım amacının değişmesi durumlarında CapitalBank KVKY Envanteri güncellenmektedir.
- CapitalBank, veri güvenliğini sağlamak amacıyla konusunda uzman danışman firmalardan destek alır. Kurum içi bilgili ve deneyimli çalışanlar istihdam eder ve çalışanlarına gerekli bilgi ve kişisel veri güvenliğine ilişkin KVKY farkındalık eğitimleri verir.
- Kişisel veri ve bilgi güvenliğine ilişkin prosedür, politika ve talimatlar oluşturulmuştur. Oluşturulan dokümanlarda belirtilen kurallara göre veri güvenliği önlemleri alınır.
- Çalışanlar ve CapitalBank ‘ın işi gereği veri paylaşımı yaptığı kişi ve kurumlar ile kişisel ve bilgi güvenliği hususlarının yer aldığı sözleşmeler imzalanır. Sözleşmelerde veri gizliliğine özgü sorumluluklar bulunur. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabul eder. Sözleşme içeriklerine uygun hareket edilip edilmediği iç denetimler ve bağımsız kurumlar tarafından kontrol edilir.
- Kurulan sistemler, yetkin personeller tarafından gerekli iç denetimler ile kontrol edilir. CapitalBank, kişisel verilerin güvenliğini sağlamak amacı ile gerekli idari tedbirleri alır ve çalışanların bu tedbirlere göre çalışmalarını denetler.
- Kurum içi risk analizleri yapılarak açıklıkların tespiti yapılır. Risk analizleri doğrultusunda teknolojideki gelişmelere uygun teknik önlemler alınması sağlanır.
- Personel iş sözleşmelerinin içeriklerinde kişisel veri güvenliğine ilişkin güncellemeler yapılmıştır. Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Bunun haricinde CapitalBank ‘ın disiplin süreçleri kanunlara uygun olarak yürütülmektedir.
Kurum içi iletişim yöntemleri belirlenmiştir. Kurum içinde KVKY Komite Üyeleri ‘nin ataması gerçekleştirilmiştir.
6.3.3. Kişisel Verilerin Korunmasının Sürdürülebilirliği İçin Yapılan Denetimler
CapitalBank, kişisel veri güvenliğinin sağlanması için gerekli denetimleri yapar veya yaptırır. Kişisel veri güvenliğinin sürdürülebilirliğini sağlamak için iç denetimlerin yapılmasını sağlar. CapitalBank, iç denetimlerin verimliliğini arttırmak için ISO 27001 Bilgi Güvenliği Yönetim Sistemi konusunda uzman danışman firmalar ile gerekli kontrolleri sağlamaktadır. Sistemlerde oluşabilecek teknik açıklıklar için düzenli olarak sistemlere sızma testlerini gerçekleştirir. Bilgi İşlem tarafından sistemler düzenli olarak izlenmektedir. Yapılan denetimlerde kişisel verilerin hukuka aykırı erişilmesi ya da işlenmesi tespit edildiğinde Veri Sorumlusu İrtibat Kişisi bilgilendirilmektedir.
6.3.4. Üçüncü Tarafların Kişisel Verileri Korumasını Sağlamak İçin Uygulanan Tedbirler
CapitalBank, üçüncü taraflar ile yaptığı sözleşmelerde; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik gerekli yaptırım maddelerine yer verir. Üçüncü taraflar ile bilgi paylaşımı yapılmadan önce gizlilik sözleşmeleri imzalanır. Üçüncü taraflara farkındalığın artırılması için gerekli bilgilendirmeler yapılır. Üçüncü tarafların sistemlere erişim sağlaması gereken durumlarda erişimle ilgili denetim izleri saklanır.
6.3.5. Hassas Verilerin Koruması İçin Uygulanan Tedbirler
Kanun’un 7. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler “Hassas Veri” olarak belirlenmiştir.
Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
CapitalBank, Kanun ile “Hassas Veri” olarak belirlenen ve hukuka uygun olarak işlenen hassas verilerin korunmasında gerekli tedbirleri almaktadır. Kişisel verileri korumak için alınan teknik ve idari tedbirlerde hassas veriler için hassasiyet gösterilmektedir.
Hassas verilerin kullanımına ilişkin çalışanlara bilgilendirmeler yapılmaktadır. Hassas veriler kişinin onayı ya da Kanun ‘un 7. Maddesinde belirtilen hususların olmaması durumunda işlenmez. Hassas verilerin işlenebileceği durumlarda, bilgilendirmesi yapılmış ve açık onayı alınmış 3. Taraf kişi / kurum harici kimseyle paylaşılmaz.
6.3.6. Kişisel Verilerin Korunmasının Sağlanması İçin Farkındalığın Artırılması
Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlara gerekli bilgilendirmeler yapılmaktadır. Eğitimler düzenlenmekte ve etkinlikleri ölçülmektedir.
İlgili yasa, yönetmelik ya da mevzuatlarda değişiklik olması halinde politikalar revize edilmekte ve ilgili değişiklikler personellere tekrar duyurulmaktadır.
6.4. Kişisel Verilerin İmha Teknikleri
CapitalBank, elde ettiği kişisel verilerini kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar, nedeniyle veya kamu düzeninin korunması için kullanması zorunlu değilse ve iş süreçlerini etkilememesi şartıyla imha eder. Veri sahiplerine ait kişisel veriler; ilgili kanunların belirlemiş olduğu saklama sürelerinin dolması ya da ilgili verinin kullanımına ilişkin şartın ortadan kalması durumunda planlanması gereklilikleri ortadan kalktığında kurumun alacağı karara istinaden imha edilmektedir. Her yıl Veri Sorumlusu İrtibat Kişinin belirlediği tarihlerde saklanmasına gerek görülmeyen kişisel veriler mevzuata uygun olarak aşağıda belirtilen tekniklerle imha edilir. İmha işlemleri; silme, yok etme ve anonim hale getirme olarak üç farklı metotta gerçekleştirilir.
6.4.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinme yöntemleri aşağıdaki tabloda belirtilmiştir;
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona eren kişisel veriler; veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Operasyonel süreçlerde dosyası sonuçlanarak tamamlanmış kişisel veri ortamları sadece yetki verilmiş yöneticinin erişim sağlayacağı şekilde silinir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona eren kişisel veriler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
6.4.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi aşağıdaki tabloda belirtilmiştir;
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, yakma işlemi yapılarak geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler geri döndürülemeyecek şekilde fiziksel olarak okunamaz hale getirilir. İmhalar İmha Tutanağı Formu kullanılarak gerçekleştirilir. |
6.4.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, kontrolör veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
6.5. Saklama ve İmha Süreleri
CapitalBank tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili saklama süreleri, süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel veriler CapitalBank KVKY Envanteri dokümanında detaylandırılmıştır.
CapitalBank ‘in tabii olduğu kanunlar, ilgili taraflar ile yapılan sözleşme hükümleri ve CapitalBank ‘in operasyonel faaliyetleri için ihtiyaç duyulan süreler dikkate alınarak saklama süreleri belirlenmiştir.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Veri İrtibat Kişisi tarafından güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen imha edilir. Kişisel verilerin kategori bazlı azami saklama süreleri aşağıdaki gibidir;
Veri | Saklama Süreleri |
Biyometrik Veri | 1 Ay |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri | 12 Yıl |
Diğer | 12 Yıl |
Finans | 12 Yıl |
Fiziksel Mekan Güvenliği | 3 Ay |
Görsel ve İşitsel Kayıtlar | 12 Yıl |
Hukuki İşlem | 12 Yıl |
İletişim Bilgisi | 12 Yıl |
İşlem Güvenliği Bilgileri | 12 Yıl |
Kimlik Bilgisi | 12 Yıl |
Lokasyon Bilgisi | 12 Yıl |
Mesleki Deneyim Bilgileri | 12 Yıl |
Müşteri İşlem Bilgileri | 12 Yıl |
Özlük Bilgileri | 12 Yıl |
Risk Yönetimi | 12 Yıl |
Sağlık Bilgileri | 12 Yıl |
7. Başvuru Yöntemleri
89/2007 sayılı Kişisel Verilerin Korunması Yasası kapsamında kişisel verilerinize ilişkin haklarınızı aşağıda veri sorumlularına başvurarak gerçekleştirebilirsiniz;
Kontolör: Kıbrıs Kapitalbank Ltd.
Kişisel veri başvurularınızı yaparken web sayfamızda yer alan Kişisel Veri Başvuru Formu dokümanını doldurarak yapabilirsiniz. Kişisel veri başvurularınızı Şht. Hüseyin Topal Sokak, No:4 Ortaköy, Lefkoşa / KKTC adresine elden teslim ile ya da Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir. adresine “Kişisel Veri Başvurusu Hk.” Başlığı ile mail olarak iletebilirsiniz. Bu kapsamdaki başvurular tarafımızdan yapılacak olan kimlik doğrulamasını takiben kabul edilecek olup, ilgili kişilere yasal süreler içerisinde yazılı olarak veya elektronik ortamda cevap verilecektir.
www.capitalbank.com.tr internet sitesine girmeniz ve/veya işbu internet sitesini ve/veya işbu internet sitesindeki bilgileri kullanmanızdan kaynaklanan doğrudan ve/veya dolaylı maddi ve/veya manevi menfi ve/veya müspet velhasıl her türlü zarardan her nam altında olursa olsun Kıbrıs Kapitalbank Ltd yönetim kurulu üyeleri, yöneticileri, çalışanları ve bu sitede yer alan bilgileri hazırlayan kişiler sorumlu tutulamaz.