DGPARA ÖDEME KURULUŞU A.Ş.
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
I. AMAÇ
DGPARA Ödeme Kuruluşu Anonim Şirketi (“DGPARA” veya “Şirketimiz”) olarak bizzat kendisi için veya bir şirket veya kuruluşun temsilcisi olarak bizimle iletişime geçen müşterilerimizin, iş ortaklarımızın, çalışanlarımızın, tedarikçilerimizin, hissedarlarımızın ve iş başvurusunda bulunmak veya internet sitemizi ziyaret etmek suretiyle ya da diğer herhangi bir şekilde bizimle ilişki tesis eden diğer gerçek kişilerin kişisel verilerinin gizliliğinin ve güvenliğinin sağlanmasına büyük önem vermekteyiz.
Bu kapsamda, veri sorumlusu olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) çerçevesinde Şirketimiz tarafından yürütülen kişisel veri işleme faaliyeti konusundaki kural ve politikalarımızı açıklamak ve veri sahiplerini bilgilendirerek şeffaflığı sağlamak amacıyla işbu Kişisel Verilerin Korunması Politikası (“Politika”) hazırlanmıştır.
İşbu Politika’da geçen “biz” ve “bizim” gibi ifadeler, aksi açıkça belirtilmedikçe, DGPARA’yı ifade etmek için kullanılmaktadır.
II. UYGULAMA ALANI
İşbu Politika, kişisel verilerin işlenmesi ve veri sahibinin hakları konusunda DGPARA’nın uygulayacağı kural ve politikaları belirleyen KVK Kanunu m.10 uyarınca hazırlanmış genel aydınlatma bildirimi niteliğindedir. DGPARA ile veri sahibi arasındaki ilişkinin türüne ve niteliğine göre, DGPARA tarafından veri sahiplerine işbu Politika’dan farklı kişisel veri politikaları ve/veya bildirimler sağlanması mümkündür. Veri sahiplerine sağlanan söz konusu özel politika ve bildirimlerde işbu Politika’da yer alan açıklamalardan farklı veya bu açıklamalara ek hususlar bulunabilir. Bu halde, veri sahiplerine sağlanan söz konusu özel politika ve bildirimlerin öncelikle dikkate alınması gerekmektedir.
III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN KURALLAR 1. “Kişisel Veri” Tanımı
KVK Kanunu md 3/I (d)’de, “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi olarak tanımlanmıştır. Bu çerçevede, anonim haldeki veriler ile belirli bir kişi ile ilişkilendirilemeyen veriler, işbu Politika kapsamında kişisel veri olarak kabul edilmez.
Kişisel veriler, genel nitelikli veriler ve özel nitelikli veriler olmak üzere iki gruba ayrılmaktadır. KVK Kanunu’nun 6’ncı maddesi uyarınca, bir gerçek kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veri sayılmaktadır. Özel nitelikli verilerin işlenmesi durumunda, bunlara ilişkin KVK Kanunu’nda öngörülen özel kurallara uygun davranılır.
2. Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler
KVK Kanunu md 3/I (e) maddesi uyarınca, “veri işleme”; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilebilecek her türlü işlemi ifade etmektedir.
DGPARA olarak kişisel verileri işbu Politika’nın “Kişisel Verilerin İşlenme Amaçları” başlığı altında belirtilen amaçlar çerçevesinde, aşağıda sayılan ilkelere uygun olarak işlemekteyiz:
- Hukuka ve dürüstlük kurallarına uygun işleme,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
3. DGPARA Tarafından İşlenen Veriler
DGPARA, veri sahibinin açık rızasıyla veya KVK Kanunu’nun 5 ve 6’ncı maddelerinde
öngörülen hallerde açık rıza olmaksızın genel ve özel nitelikli kişisel verileri işleyebilmektedir.
DGPARA tarafından her bir veri sahibi özelinde hangi verilerin işleneceği, veri sahibi ile
DGPARA arasındaki ilişkinin türü, niteliği ve kullanılan iletişim kanalları gibi çeşitli faktörlere bağlı olarak değişebilmektedir. Bu kapsamda, DGPARA tarafından işlenen genel ve özel nitelikli verilerin bir kısmı, sınırlı sayıda olmamak kaydıyla aşağıda gösterilmiştir.
- Ad-soyad, meslek, unvan, çalışılan kurum/kuruluş bilgisi, eğitim geçmişi, çalışma geçmişi, cinsiyet, medeni durum, vatandaşlık durumu ve diğer özlük bilgileri ve varsa veli, vasi ve vekile ilişkin bilgiler gibi veriler,
- Kimlik, pasaport, sürücü belgesi gibi kimlik tespitine yönelik belgelerde yer alan doğum tarihi, doğum yeri, kimlik numarası ve fotoğraf gibi veriler,
- Kredi kartı numarası, kartın son kullanma tarihi gibi, taksit tercihi gibi ödeme verileri,
- Satın almak istenen ürün veya hizmetlerin isim ve kategorileri, satıcı bünyesindeki üyeliğe ilişkin detaylar, IP adresi ve daha önce yaptığınız işlemlere ilişkin bilgiler gibi üye işyerinden elden edilen veriler,
- Çerezler (cookie), işaretçiler ve diğer takip mekanizmaları üzerinden elde edilen veriler,
- DGPARA tarafından sunulan teknolojik alt yapı hizmetlerinden doğrudan veya dolaylı olarak yararlanan kişilerin maskeli banka kartı ve diğer kart bilgileri, bu kartlarla ilgili yapılan işlemler ve ilgili banka hesap hareketleri bilgileri,
- Ev, iş yeri veya geçici ikamet yerine ait adres, telefon, elektronik posta ve faks numarası gibi iletişim bilgileri,
- DGPARA ile gerçekleştirilen telefon görüşmeleri, elektronik posta yazışmaları gibi iletişim kayıtları ile diğer sesli ve görüntülü veriler.
4. Kişisel Verilerin İşlenme Amaçları
DGPARA olarak, kişisel verileri aşağıda belirten amaçlarla işleyebilir ve bu amaçların gerektirdiği süre boyunca muhafaza edilebiliriz:
- Şirketin müşterileri ile yapılan sözleşmelerin kurulması ve ifa edilmesi,
- Yetkili kuruluşlara mevzuat kaynaklı bilgi verilmesi,
- Şirketin tedarik sürecinin yürütülmesi,
- Şirketin insan kaynakları politikalarının oluşturulması ve geliştirilmesi, bu politikalar çerçevesinde Şirketin çalışan ihtiyacının temin edilmesi ve işe alım süreçlerinin yürütülmesi ve geliştirilmesi,
- Faaliyetlerimizin mevzuata uygun yürütülmesi,
- Hizmetlerimizin müşterilerimize özel hale getirilmesi ve geliştirilmesi, etkin bir müşteri hizmeti sunulması,
- Şirketimiz bünyesindeki birimlerde ve birimler arasında koordinasyon, iş birliği ve verimliliğin sağlanması ve geliştirilmesi,
- DGPARA operasyonlarının güvenliğinin temini,
- Şirketimizin internet sitesi ve diğer elektronik sistemlerinin ve fiziki ortamlarının güvenliğinin sağlanması,
- Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası,
- Bilgi teknolojileri altyapısının oluşturulması ve yönetilmesi,
- İletişim faaliyetlerinin yürütülmesi,
- Anket ve oylamalar ile görüşünüzün alınması,
- Sözleşmeye ve kanuna aykırılıkların soruşturulması, tespiti, önlenmesi ve ilgili idari veya adli makamlara bildirilmesi,
- Finans ve muhasebe işlerinin yürütülmesi,
- Hukuk işlerinin takibi ve yürütülmesi,
- Temsilci, sağlayıcı ve/veya sair iş ortaklarıyla olan ilişkilerin yönetimi süreçlerinin icrası,
- Temsilci, sağlayıcı ve/veya sair iş ortaklarının erişim yetkilerinin planlanması ve/veya icrası,
- Talep ve soruların cevaplanması.
5. Kişisel Verilerin Yurt İçinde Aktarılabileceği Kişi ve Kuruluşlar
DGPARA, KVK Kanunu’nda öngörülen şartlara uymak ve de gerekli güvenlik önlemlerini almak kaydıyla, işbu Politika’nın “Kişisel Verilerin İşlenme Amaçları” başlığı altında gösterilen amaçlarla kişisel verileri yurt içindeki üçüncü kişilere aktarabilir ve yurt içinde bulunan sunucularda veya diğer elektronik ortamlarda saklayabilir. Kişisel verilerin aktarılabileceği üçüncü kişiler, veri sahibi ile DGPARA arasındaki ilişkinin türü ve niteliği gibi çeşitli faktörlere bağlı olarak değişebilmekle birlikte, genel olarak aşağıdaki gibidir:
- Topluluk şirketleri,
- Şirketin hizmet sunduğu ve/veya hizmet aldığı Şirket müşterileri,
- Yetkili kurum ve kuruluşlar,
- İş ortakları,
- Tedarikçiler,
- Alt yükleniciler,
- Şirket temsilcileri.
DGPARA, elde etmiş olduğu kişisel verileri, veri sahibinin açık ve özel onayı olmadan hiçbir şekilde üçüncü kişilerin tanıtım ve pazarlama faaliyetleri için başkalarıyla paylaşmamaktadır.
DGPARA yurtdışına veri aktarmamaktadır.
6. Kişisel Verilerin Toplanma Yöntemi
DGPARA, kişisel verileri, işbu Politika’nın “Kişisel Verilerin İşlenme Amaçları” başlığı altında belirtilen amaçlar için, yazılı, sözlü veya diğer fiziksel veya elektronik şekillerde toplayabilir. Veri sahibi ile DGPARA arasındaki ilişkinin türü ve niteliği çeşitli faktörlere bağlı olarak değişebilmekle birlikte, kişisel verilerin toplanmasında kullanılan yöntemler genel olarak aşağıdaki gibidir:
- Veri sahibinin Şirketimizle iletişime geçtiği fiziksel ve elektronik ortamlar aracılığıyla doğrudan veri sahibinden,
- Veri sahibinin Şirketimiz ile imzalamış olduğu her türlü sözleşme aracılığıyla doğrudan veri sahibinden,
- Veri sahibinin temsil ettiği/veri sahibini temsil eden kişi ve kurumlardan,
- Topluluk şirketlerinden,
- İş başvurularında referans olarak gösterilen veya başvuru sahibinin çalışma ve eğitim geçmişinde yer alan kişi, kurum ve kuruluşlardan,
- Şirketin temsilcileri, alt yüklenicileri, iş ortakları ya da anlaşmalı olduğu diğer kişi ve kuruluşlar kanalıyla,
- Sosyal medya veya diğer kamuya açık mecralar aracılığıyla.
7. Kişisel Verilerin İşlenmesine İlişkin Hukuki Sebepler
DGPARA olarak kişisel verilerinizi açık rızanız veya aşağıda sayılan hukuki sebeplere dayalı olarak işlemekteyiz:
- Açık rızanıza dayalı olarak: KVK Kanunu m. 5/II ve 6/II ve III’te sayılan sebeplerden birinin bulunmaması halinde kişisel verilerinizi ancak açık rızanıza dayalı olarak işleyebiliriz. Açık rızanızı, işbu Politika’nın 9’uncu maddesinde öngörülen şekillerde her zaman geri alabilirsiniz.
- Veri işlemenin kanunlarda açıkça öngörülmesi: Kişisel verilerinizi kanun gereği işleyebiliriz. Örneğin 4857 sayılı İş Kanunu m.75 gereğince çalışanlarımızın özlük dosyasını tutmak ve saklamakla yükümlüyüz.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması: Üye işyeri sözleşmemizi imzalamak veya elektronik ortamda onaylamak suretiyle ödeme hizmeti kullanıcımız olan gerçek kişilerin, gerekli ödemeleri yapabilmek adına banka hesap bilgilerini işleyebiliriz.
- Hukuki bir yükümlülüğümüzün yerine getirilebilmesi için zorunlu olması:
Örneğin, ilgili mevzuat çerçevesinde mahkemelerin veya idari organların talebi üzerine talep kapsamı ile sınırlı olmak şartıyla, kişisel verileri, bu kurum ve mahkemelerle paylaşılabilecektir.
- Verinin ilgili kişi tarafından alenileştirilmiş olması: Kişisel verileriniz tarafınızca alenileştirilmiş olması halinde işlenebilecektir. Örneğin potansiyel tedarikçilerin veya onların temsilcilerinin kendilerinin alenileştirmiş olduğu kişisel verileri, bu kişilerin ürün veya hizmet ihtiyacımızın karşılanabilmesi açısından yeterliliğinin değerlendirilmesi ve bu kişilerle iletişime geçilmesi amaçlarıyla işlenebilir. Yine çalışan adaylarının kendilerinin sosyal medyada alenileştirmiş olduğu verileri, onların yapmış oldukları iş başvurularının değerlendirilmesinde kullanılabilir.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Örneğin, kişisel verileriniz, dava açılması veya açılan davada savunmada bulunulması amaçlarıyla işlenebilecektir.
- Meşru menfaate dayalı olarak: Kişisel verilerinizi meşru menfaatimiz gereği de işleyebiliriz. Örneğin Şirketimizin gelecekti ürün veya hizmet veya iş gücü ihtiyacının karşılanabilmesi amacıyla, potansiyel tedarikçilerin ve çalışan adaylarının kişisel verilerin, Şirketimizin bilgi havuzunda saklayabiliriz.
8. Kişisel Verilerin Saklanma Süresi
DGPARA olarak, hukuken daha uzun bir sürenin gerekli kılındığı veya daha uzun bir süreye izin verildiği durumlar hariç olmak üzere, kişisel verileri yalnızca işbu Politika’da belirtilen amaçların gerçekleştirilmesi için gerekli olan süre boyunca muhafaza etmekteyiz. Saklama süresi sona eren kişisel veriler, KVK Kanunu’nun 7’inci maddesi çerçevesinde tarafımızca silinir, yok edilir veya anonim hale getirilir.
9. Veri Sahibinin Hakları
KVK Kanunu’nun 11’inci maddesi uyarınca kişisel veri sahipleri; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, verilerinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında verilerinin aktarıldığı üçüncü kişileri bilme, verilerinin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme, verilerinin işlenmelerini gerektiren sebeplerin ortadan kalkması halinde, silinmesini veya yok edilmesini ve düzeltme ve silme işlemlerinin verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini talep etme haklarına sahiptir.
Veri sahibi olarak, KVK Kanunu’nun 11’inci maddesinde belirtilen haklarınızdan herhangi birini kullanmak istemeniz halinde, taleplerinizin daha sağlıklı değerlendirilebilmesi için hazırlamış olduğumuz Veri Sahibi Başvuru Formu’nu doldurarak bize gönderebilirsiniz.
DGPARA veri sahiplerinin talebini, KVK Kanunu’nun 13’üncü maddesi uyarınca, talebin niteliğine göre en geç 30 (otuz) gün içerisinde değerlendirerek sonuçlandıracaktır. Veri sahiplerinin talepleri kural olarak ücretsiz sonuçlandırılacak olmakla birlikte, talebin cevaplandırılmasının ayrıca bir maliyeti gerektirmesi hâlinde, veri sahibinden ilgili mevzuat çerçevesinde belirlenen ücretin ödenmesi talep edilebilir.
IV. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
DGPARA olarak işbu Politika’da farklı zamanlarda değişiklik yapmamız mümkündür. Şirketimiz tarafından hazırlanan Politika’nın güncel versiyonuna DGPARA internet sitesinden ulaşılabilir ve Politika’da yapılabilecek değişiklikler DGPARA internet sitesi üzerinden takip edilebilir.
Değişiklikler kural olarak, DGPARA’nın internet sitesine yüklenmek suretiyle yapılacak ve bu tarih itibariyle geçerlilik kazanacak olmakla birlikte, DGPARA, bu değişiklikleri uygun gördüğü diğer şekillerde de bildirilebilecektir.