Moneytolia

AS ÖDEME HİZMETLERİ VE ELEKTRONİK PARA A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1 GİRİŞ

Veri sorumlusu sıfatıyla AS Ödeme Hizmetleri ve Elektronik Para A.Ş. (bundan sonra “Şirket” olarak anılacaktır) tarafından bu Politika ile, moneytolia.com adresli internet sitemiz ve mobil uygulamamız üzerinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (bundan sonra “Kanun” olarak anılacaktır) öngörülen düzenlemelerin uygulama kriterleri belirlenmektedir. Şirket olarak hem kanuni yükümlülüklerimiz hem de siz kullanıcılarımızın sahip olduğu haklar konusunda sizleri bilgilendirmek, aydınlatmak ve böylece gerekli şeffaflığı sağlamak istiyoruz. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz bu Politika çerçevesinde işlenmekte ve korunmaktadır.

2 AMAÇ

Bu politikada kişisel verilerin işlenmesi ve korunması konusunda Kanun’a uyum sağlamak amacıyla Şirket’çe yürütülecek faaliyetlerin en üst düzeyde yönetilmesi ve yeknesaklığın sağlanması amaçlanır.

3 TANIMLAR

Kurul: Kişisel Verileri Koruma Kurulu

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

İlgili Kişi: Kişisel verisi işlenen gerçek kişi

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik

A Grubu Kişisel Veriler: Şiket nezdinde elektronik para veya ödeme hesabı bulunan ve/veya hesap açılması için müracaatta bulunan gerçek kişilere ait kişisel veriler

B Grubu Kişisel Veriler: A Grubu Kişisel Veriler Dışında kalan kişisel veriler (Personel giriş çıkış kayıtları, müşteri olan / olmayan 3. kişilerin, personelin, ziyaretçilerin ses görüntü ve internet erişim kayıtları vb. gibi)

4 İŞLENEN KİŞİSEL VERİLERİNİZ VE VERİ İŞLEME ŞARTLARIMIZ

İşbu politika kapsamında “kişisel veri” bir gerçek kişinin kimliğini belirli veya belirlenebilir hale getiren her türlü veriyi ifade eder. Bunlar ile sınırlı olmamak kaydıyla; ad, soyad, TCKN, adres, e-posta, telefon numarası, IP adresi, tarayıcı verileri (Cookies), kart ve hesap bilgileri, finansal bilgiler de kişisel veri olarak değerlendirilir ve işlenerek korunur. Kanun kapsamında tüzel kişilere ait veriler kişisel veri sayılmamaktadır.

Açık rızanız alınması koşuluyla yukarıda sayılan kişisel verileriniz;

  • Sistemimize tam üyeliğinizi gerçekleştirmek, bilgilerinizi doğrulamak ve üyelik hesabınızı onaylamak suretiyle üyelik sözleşmesinin kurulması ve ifası için asgari seviyede gerekli olması,
  • 6493, 5651 ve 5237 sayılı Kanunlar gereği adli ve idari makamlar tarafından talep edilmesi durumunda bu yükümlülüğün yerine getirilmesi,
  • Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
  • Hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri Sahibinin kendisi tarafından alenileştirilmiş olması,
  • Müşterilerimizi / potansiyel müşterilerimizi daha yakından tanımaya ve bu doğrultuda internet adresimizin ve mobil uygulamamızın altyapısını geliştirmek amacıyla meşru menfaatimizin gerçekleştirilmesi sebepleriyle işlenmekte ve korunmaktadır.

5. UYULACAK İLKELER

5.1 Mevzuata ve Dürüstlük Kurallarına Uygun Davranma

Şirket, kişisel verilerin işlenmesi faaliyetleri kapsamında mevzuata, dürüstlük kurallarına ve veri işleme amaçlarına uygun hareket etmektedir.

5.2 Gerekli Olan Süre Kadar Muhafaza Etme

Şirket, A Grubu Kişisel Verileri 6493 Sayılı Kanun’da belirtildiği süre kadar ve B Grubu Kişisel Verileri işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket 6493 Sayılı Kanun’un 23. Maddesi gereği A Grubu Kişisel Verileri 10 (On) yıl süre ile saklamakla yükümlüdür. Şirket, B Grubu Kişisel Verileri ise işlendikleri amaç için gerekli olan ve en az 5651 sayılı kanunda yer sağlayıcı için belirtilen saklama süresi kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir.

5.3 Kişisel Verileri Gerçeğe Uygun ve Güncel Tutma

Şirket, işlemekte olduğu kişisel verilerin gerçeğe uygun ve güncel olmasını sağlamakta ve bu doğrultuda gerekli tedbirleri almaktadır. Veri sahibinin kendisiyle ilgili verinin yanlış olduğunu düşünmesi halinde, Şirket’e durumu derhal yazılı olarak bildirmesi gerekmektedir. Aksi halde Şirket, ilgili kişiye ait hatalı/güncel olmayan kişisel veriye dayalı olarak yapılan işlemlerden dolayı sorumlu tutulamaz.

5.4 Kişisel Verileri Belirli, Açık ve Meşru Amaçlarla İşleme

Şirket, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemektedir. Şirket, kişisel verilerin hangi amaçla işleneceğini açıkça ortaya koymakta ve kişisel veriler, bu amaçlar dışında işlenmemektedir.

6. KİŞİSEL VERİLERİN İŞLENME VE ÜÇÜNCÜ KİŞİLERE AKTARILMASI ŞARTLARI

a) Kişisel veriler kural olarak, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmektedir. Bu kapsamda Şirket kişisel veri işleme faaliyetlerinin Kanun’un 5. maddesi kapsamına girip girmediğini değerlendirmekte ve bu şartlardan birine dayanmayan kişisel veriler işlenmemektedir.

b) Kullanıcılarımızın Kanun’un 5. maddesine uygun olarak işlenen kişisel verileri, Kanun’un 8. maddesinde belirlenen şartlarla kullanıcılarımızın açık rızası aranmaksızın üçüncü kişilere aktarılabileceği gibi 9. maddesi gereği de ilgili ülkede yeterli korumanın bulunması veya ilgili ülkedeki veri sorumlusunun Şirket’e yeterli korumayı sağlayacağını yazılı olarak taahhüt etmesi halinde Kişisel Verileri Koruma Kurulu’nun onayını takiben yurt dışına aktarılabilecektir.

7. YÜKÜMLÜLÜKLER

7.1 Kişisel Veri Sahiplerini Aydınlatma Yükümlülüğü

Şirket, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri aşağıda sayılan hususlarda aydınlatmaktadır:

7.1.1 Kişisel verilerin hangi amaçla işleneceği,

7.1.2 Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

7.1.3 Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

7.1.4 Kişisel veri sahibinin sahip olduğu haklar.

7.2 Kişisel Veri Sahiplerinin Veri Sorumlusuna Başvuru Hakkı ve Veri Sorumlusunun Başvuruları Yanıtlama Yükümlülüğü

Kanun kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesine ve/veya kişisel verilerin silinmesini veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
  • Yukarıda sayılan hakların yerine getirilmesi için talepte bulunmasına rağmen Şirketimize yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya talebin süresi içinde yerine getirilmemesi hallerinde yasal süresi içerisinde (cevabın öğrenilmesinden itibaren otuz gün veya her halükârda başvuru tarihinden itibaren altmış gün) durumu Kişisel Verileri Koruma Kurulu’na bildirme.

7.3 Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Şirket, işlemekte olduğu kişisel verilerin güvenli şekilde muhafazasını; bu bilgilerin, diğer hizmet yararlanıcıları tarafından görüntülenmesinin veya değiştirilmesinin engellenmesini ve hukuka uygun olarak işlenmesini de sağlayacak şekilde teknolojik ve alt yapısal imkânlarını kullanarak, gerekli teknik ve idari tedbirleri almaktadır.

Şirket, işlenen kişisel verilerin rıza dışı ve/veya gayri resmi yollarla 3. kişiler tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kanun’un gerektirmesi halinde Kurul’a bildirmekle yükümlüdür.

Şirket tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınacaktır.

7.4 Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik, İdari ve Hukuki Tedbirlerin Alınması

Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler Şirket tarafından alınır:

  • Veri işleme faaliyetlerinin analizi,
  • Analiz neticesinin bir rapor haline getirilmesi,
  • Analiz raporu uyarınca, kişisel veriler ile ilgili yapılan işlemlerin hukuka uygunluğunun sağlanması.

Ayrıca, kişisel verileri işleme süreçleri, Şirket’in iç kontrol sistemi tarafından denetlenir ve ilgilisine raporlanır.

Şirket çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilir ve eğitilir.

Şirket ile çalışanları, çalışan adayları, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere; paylaşılan kişisel verilerin gizliliğine, ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulur.

Kişisel verilere erişim, işlenme amacı doğrultusunda görevli çalışanlarla sınırlandırılır, aynı zamanda çalışanların, görevlerinin gerektirmediği kişisel verilere erişimleri engellenir.

7.5 Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik, İdari ve Hukuki Tedbirlerin Alınması

Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler alınır:

  • Erişim ve yetkilendirme teknik süreçleri tasarlanıp devreye alınır.
  • Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknik önlemler alınır, periyodik olarak güncellenir, ilgilisine raporlanır ve güvenlik riski olan hususlara teknolojik çözüm üretilir.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve sistemler aktif olarak çalışır.
  • Şirket çalışanlarından, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları hususunda taahhüt alınır. Bu taahhüt işten ayrılmalarından sonra da devam eder.
  • Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenir.

8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ

Şirket Kanun’a uygun olarak işlenmiş olmasına rağmen, kişisel verileri işleme şartlarının tamamı ortadan kalkması halinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak kişisel verileri siler, yok eder veya anonim hale getirir. Şirket, kişisel veri sahibi sıfatıyla ilgili kişinin bu yöndeki talebini en geç 30 (otuz) gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Şirket, kişisel verileri 6 ayda bir olacak şekilde kişisel verilerin işlenme şartlarının tamamı ortadan kalktığı hallerde silebilir, yok edebilir veya anonim hale getirir. Kurul’un, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltma hakkı saklıdır. Veri sorumlusu olan Şirket, Yönetmelik’in 7. Maddesinin 5. Fıkrası kapsamında Kurul tarafından aksine bir karar alınmadıkça bu kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını kendisi seçer. İlgili kişinin talebi halinde seçtiği yöntemi söz konusu kişiye gerekçesiyle açıklar.

9. VERİ SORUMLUSU

Okumakta olduğunuz Aydınlatma Metni kapsamında kişisel verilerinizi işleyen ve koruyan veri sorumlusuna ait kurumsal bilgiler ve iletişim bilgileri aşağıda belirtilmiştir. Bu aydınlatma metni kapsamındaki tüm taleplerinizi aşağıda iletişim bilgileri yazan veri sorumlusuna iletebilirsiniz.

Veri Sorumlusu: AS Ödeme Hizmetleri ve Elektronik Para A.Ş.

Mersis Numarası: 0086121992900001

İletişim: 0212 278 80 00

E-Posta: [email protected]

Adres: Levent Mh. Levent Cd. No:14 Beşiktaş / İstanbul

10. DİĞER POLİTİKALARIMIZ

Şirket, Kanun’un 10.cu maddesi uyarınca aydınlatma yükümlülüğü çerçevesinde işbu Politikayı ve aşağıda sayılan diğer politika ve sözleşmeleri siz değerli kullanıcılarımızı bilgilendirmek için hazırlamıştır.

  • Gizlilik Politikası
  • Çerez Politikası
  • Veri Sahibi Başvuru Formu
  • Kullanıcı Sözleşmesi
  • Kullanım Koşulları
  • Üye İşyeri Sözleşmesi

11. YÜRÜRLÜK

Okumakta olduğunuz aydınlatma metni veri sorumlusu Şirket’imiz tarafından mevzuata uygun şekilde hazırlanmış olup, ihtilaf halinde ya da uygulamadaki çelişkilerde 6698 Sayılı Kanun ve ikincil mevzuat düzenlemeleri dikkate alınacaktır. Aydınlatma metni, gereklilik halinde güncellenebilecek olup güncellendiğinde yeni aydınlatma metnine internet adresimiz ve mobil uygulamamız üzerinden ulaşabilirsiniz.

Yürürlük Tarihi: 30.12.2022

Sözleşmeyi Yazdır