DGPARA ÖDEME KURULUŞU ANONİM ŞİRKETİ
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
I. AMAÇ
DGPARA Ödeme Kuruluşu Anonim Şirketi (“DGPARA” veya “Şirketimiz”) olarak bizzat kendisi için veya bir şirket veya kuruluşun temsilcisi olarak bizimle iletişime geçen müşterilerimizin, iş ortaklarımızın, çalışanlarımızın, tedarikçilerimizin, hissedarlarımızın ve iş başvurusunda bulunmak veya internet sitemizi ziyaret etmek suretiyle ya da diğer herhangi bir şekilde bizimle ilişki tesis eden diğer gerçek kişilerin kişisel verilerinin gizliliğinin ve güvenliğinin sağlanmasına büyük önem vermekteyiz.
Bu kapsamda, veri sorumlusu olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) çerçevesinde Şirketimiz tarafından yürütülen özel nitelikli kişisel veri işleme faaliyeti konusundaki kural ve politikalarımızı açıklamak ve veri sahiplerini bilgilendirerek şeffaflığı sağlamak amacıyla işbu Kişisel Verilerin Korunması Politikası (“Politika”) hazırlanmıştır.
İşbu Politika’da geçen “biz” ve “bizim” gibi ifadeler, aksi açıkça belirtilmedikçe, DGPARA’yı ifade etmek için kullanılmaktadır.
II. UYGULAMA ALANI
İşbu Politika, özel nitelikli kişisel verilerin işlenmesi ve veri sahibinin hakları konusunda DGPARA’nın uygulayacağı kural ve politikaları belirleyen KVK Kanunu m. 10 uyarınca hazırlanmış özel nitelikli kişisel verilerin işlenmesine ilişkin aydınlatma bildirimi ve alınan tedbirler ve güvenlik önlemlerini açıklama niteliğindedir. DGPARA ile veri sahibi arasındaki ilişkinin türüne ve niteliğine göre, DGPARA tarafından veri sahiplerine işbu Politika’dan farklı kişisel veri politikaları ve/veya bildirimler sağlanması mümkündür. Veri sahiplerine sağlanan söz konusu özel politika ve bildirimlerde işbu Politika’da yer alan açıklamalardan farklı veya bu açıklamalara ek hususlar bulunabilir. Bu halde, veri sahiplerine sağlanan söz konusu özel politika ve bildirimlerin öncelikle dikkate alınması gerekmektedir.
III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN KURALLAR 1. “Kişisel Veri” ve “Özel Nitelikli Kişisel Veri” Tanımı
KVK Kanunu m. 3/I(d)’de, “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi olarak tanımlanmıştır. Bu çerçevede, anonim haldeki veriler ile belirli bir kişi ile ilişkilendirilemeyen veriler, işbu Politika kapsamında kişisel veri olarak kabul edilmez. Kişisel veriler, genel nitelikli veriler ve özel nitelikli veriler olmak üzere iki gruba ayrılmaktadır. KVK Kanunu’nun m. 6 uyarınca, “bir gerçek kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veri sayılmaktadır. Özel nitelikli verilerin işlenmesi durumunda, bunlara ilişkin KVK Kanunu’nda öngörülen özel kurallara uygun davranılır.
2. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler
KVK Kanunu m. 3/I(e) maddesi uyarınca, “veri işleme”; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilebilecek her türlü işlemi ifade etmektedir.
DGPARA olarak özel nitelikli kişisel verileri işbu Politika’nın “Özel Nitelikli Kişisel Verilerin İşlenme Amaçları” başlığı altında belirtilen amaçlar çerçevesinde, aşağıda sayılan ilkelere uygun olarak işlemekteyiz:
- Hukuka ve dürüstlük kurallarına uygun işleme,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
3. DGPARA Tarafından İşlenen Veriler
DGPARA, veri sahibinin açık rızasıyla veya KVK Kanunu m. 6’da öngörülen hallerde açık rıza olmaksızın özel nitelikli kişisel verileri işleyebilmektedir.
DGPARA tarafından her bir veri sahibi özelinde hangi verilerin işleneceği, veri sahibi ile
DGPARA arasındaki ilişkinin türü, niteliği ve kullanılan iletişim kanalları gibi çeşitli faktörlere bağlı olarak değişebilmektedir. Bu kapsamda, DGPARA tarafından işlenen özel nitelikli veriler, sınırlı sayıda olmak kaydıyla aşağıda gösterilmiştir.
- Çalışanın adli sicil kaydı,
- Çalışanın sağlık verisi ve engelli durumu,
- Gerçek kişi ödeme hizmeti kullanıcısının adli sicil kaydı.
4. Özel Nitelikli Kişisel Verilerin İşlenme Amaçları
DGPARA olarak, kişisel verilerinizi KVK Kanunu m. 4, 6 ve 8 uyarınca öngörülen şartlara uygun olarak, aşağıda belirten amaçlarla işleyebilir ve bu amaçların gerektirdiği süre boyunca muhafaza edilebiliriz:
- Faaliyetlerimizin mevzuata uygun yürütülmesi,
- Yetkili kuruluşlara mevzuat kaynaklı bilgi verilmesi,
- DGPARA operasyonlarının güvenliğinin temini,
- Sözleşmeye ve kanuna aykırılıkların soruşturulması, tespiti, önlenmesi ve ilgili idari veya adli makamlara bildirilmesi,
- Finans ve muhasebe işlerinin yürütülmesi,
- Hukuk işlerinin takibi ve yürütülmesi,
- Erişim Yetkilerinin Yürütülmesi,
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,
- Açık Rıza
5. Kişisel Verilerin Aktarılabileceği Kişi ve Kuruluşlar
DGPARA, KVK Kanunu m. 4, 6 ve 8’de öngörülen şartlara uymak ve gerekli güvenlik önlemlerini almak kaydıyla, işbu Politika’nın “Özel Nitelikli Kişisel Verilerin İşlenme Amaçları” başlığı altında gösterilen amaçlarla kişisel verileri üçüncü kişilere aktarabilir ve yurt içinde bulunan sunucularda veya diğer elektronik ortamlarda saklayabilir. Kişisel verilerin aktarılabileceği üçüncü kişiler, veri sahibi ile DGPARA arasındaki ilişkinin türü ve niteliği gibi çeşitli faktörlere bağlı olarak değişebilmekle birlikte, genel olarak aşağıdaki gibidir:
- Yetkili kurum ve kuruluşlar,
- Tedarikçiler.
DGPARA, elde etmiş olduğu özel nitelikli kişisel verileri hiçbir şekilde yurtdışına aktarmamaktadır.
6. Kişisel Verilerin Toplanma Yöntemi
DGPARA, işbu Politika’nın “Kişisel Verilerin İşlenme Amaçları” başlığı altında belirtilen amaçlar çerçevesinde yazılı, sözlü veya elektronik şekillerde toplayabilir. Veri sahibi ile DGPARA arasındaki ilişkinin türü ve niteliği çeşitli faktörlere bağlı olarak Veri sahibinin
Şirketimizle iletişime geçtiği fiziksel ve elektronik ortamlar aracılığıyla doğrudan veri sahibinden toplanmaktadır.
7. Kişisel Verilerin İşlenmesine İlişkin Hukuki Sebepler
DGPARA olarak kişisel verilerinizi açık rızanıza veya aşağıda sayılan hukuki sebeplere dayalı olarak işleyebiliriz.
- Açık rıza: KVK Kanunu m. 5/II ve 6/II ve III’te sayılan sebeplerden birinin bulunmaması halinde kişisel verilerinizi ancak açık rızanıza dayalı olarak işleyebiliriz. Açık rızanızı, işbu Politika’nın 9’uncu maddesinde öngörülen şekillerde her zaman geri alabilirsiniz
- Veri işlemenin kanunlarda açıkça öngörülmesi: Örneğin Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik uyarınca kimlik tespiti kapsamında özel nitelikli kişisel verilerinizi işleyebiliriz.
- Hukuki bir yükümlülüğümüzün yerine getirilebilmesi için zorunlu olması:
Örneğin, ilgili mevzuat çerçevesinde mahkemelerin veya idari organların talebi üzerine talep kapsamı ile sınırlı olmak şartıyla, kişisel verileri, bu kurum ve mahkemelerle paylaşılabilecektir.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Örneğin, kişisel verileriniz, dava açılması veya açılan davada savunmada bulunulması amaçlarıyla işlenebilecektir.
8. Kişisel Verilerin Saklanma Süresi
DGPARA olarak, hukuken daha uzun bir sürenin gerekli kılındığı veya daha uzun bir süreye izin verildiği durumlar hariç olmak üzere, kişisel verileri yalnızca işbu Politika’da belirtilen amaçların gerçekleştirilmesi için gerekli olan süre boyunca muhafaza etmekteyiz. Saklama süresi sona eren kişisel veriler, KVK Kanunu m. 7 çerçevesinde tarafımızca silinir, yok edilir veya anonim hale getirilir.
- Kişisel Verilerin İşlenmesi İçin Alınan Tedbirler • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,
Verilerin kriptografik yöntemler kullanılarak muhafaza edilir, Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/ yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilir. Verilere uzaktan erişim gerekmesi halinde en az iki kademeli kimlik doğrulama sistemi sağlanır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise,
Özel nitelikli kişisel verilerin bulunduğu ortam niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlarına karşı) alındığından emin olunur. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.
10. Özel Nitelikli Kişisel Verilerin Aktarımı
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,
- Taşınabilir bellek, CD, DVD, gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulur,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yönetmiyle veri aktarımı gerçekleştirilir,
- Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” (Üzerinde çok gizli, gizli, özel ve hizmete özel ibaresi taşıyan evrak) formatında gönderilir.
11. Veri Sahibinin Hakları
KVK Kanunu m. 11 uyarınca kişisel veri sahipleri;
- Kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
- Kişisel verilerinin işlenmelerini gerektiren sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme,
- Düzeltme ve silme işlemlerinin verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini
talep etme haklarına sahiptir.
Veri sahibi olarak, KVK Kanunu m. 11’de belirtilen haklarınızdan herhangi birini kullanmak istemeniz halinde, taleplerinizin daha sağlıklı değerlendirilebilmesi için hazırlamış olduğumuz Veri Sahibi Başvuru Formu’nu doldurarak bize gönderebilirsiniz.
DGPARA veri sahiplerinin talebini, KVK Kanunu m. 13 uyarınca, talebin niteliğine göre en geç 30 (otuz) gün içerisinde değerlendirerek sonuçlandıracaktır. Veri sahiplerinin talepleri kural olarak ücretsiz sonuçlandırılacak olmakla birlikte, talebin cevaplandırılmasının ayrıca bir maliyeti gerektirmesi hâlinde, veri sahibinden ilgili mevzuat çerçevesinde belirlenen ücretin ödenmesi talep edilebilir.
IV. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
DGPARA olarak işbu Politika’da farklı zamanlarda değişiklik yapma hakkımız haizdir. Şirketimiz tarafından hazırlanan Politika’nın güncel versiyonuna DGPARA internet sitesinden ulaşılabilir ve Politika’da yapılabilecek değişiklikler DGPARA internet sitesi üzerinden takip edilebilir.
Değişiklikler kural olarak, DGPARA’nın internet sitesine yüklenmek suretiyle yapılacak ve bu tarih itibariyle geçerlilik kazanacak olmakla birlikte, DGPARA, bu değişiklikleri uygun gördüğü diğer şekillerde de bildirilebilecektir.