1. GİRİŞ
Hukuki ve sosyal sorumluluğunun bir parçası olarak; Moneypay Ödeme ve Elektronik Para Hizmetleri A.Ş. (“MoneyPay”) yürürlükte olan Türkiye Cumhuriyeti Anayasası (“Anayasa”), Uluslararası Sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) başta olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket etmekle mükellef olup, söz konusu yasal mevzuata uyumu bir yaşam döngüsü haline getirerek kişinin mahremiyetinin korunması ve veri güvenliğinin sağlanması amacıyla kişisel verilerin korunması konusunda gerekli çalışmaları yürütmektedir. Bu çalışmalar kapsamında MoneyPay tarafından Kişisel Verilerin Korunması ve İşlenmesi Politikası (Politika) hazırlanmıştır.
2. AMAÇ VE KAPSAM
MoneyPay, hukuki ve sosyal sorumluluğunun bir parçası olarak, ulusal kişisel veri koruma düzenlemelerine uymayı taahhüt etmektedir. MoneyPay işbu Politika ile müşterilerin, potansiyel müşterilerin, çalışanların, çalışan adaylarının, tedarikçilerin, şirket hissedarlarının, dış hizmet sağlayıcıların, çalıştığı 3. tarafların, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi ile ilgili süreçlerinin mevzuata uyumunu ve bu süreçler hakkında tarafların bilgilendirmesini amaçlamaktadır.
KVK Kanunu’nda belirtildiği şekilde; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel veriler bu Politika kapsamındadır.
MoneyPay; kişisel verileri, kanunlarda açıkça öngörülen hallerde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olduğu hallerde, veri sorumlusu olarak hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu hallerde, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ve açık rıza aranan hallerde de açık rıza ile işlemektedir.
3. TANIMLAR
Bu politikada geçen;
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesini,
Çalışan: MoneyPay çalışanlarını,
Çalışan Adayı: MoneyPay’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini MoneyPay’in incelemesine açmış olan gerçek kişileri,
Anayasa: Türkiye Cumhuriyeti Anayasasını,
KVK Kanunu: 07/04/2016 tarihli ve 6698 sayılı Kişisel Verileri Koruma Kanununu,
Kurum: Kişisel Verileri Koruma Kurumunu,
Kurul: Kişisel Verileri Koruma Kurulunu,
VERBİS: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Müşteri / Kullanıcı: MoneyPay ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın MoneyPay’in sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler
Kişisel Verileri Koruma Komitesi: MoneyPay bünyesinde, KVK Kanunu'na uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla kurulan komiteyi, Yönetmelik: 1 Aralık 2021 tarihli ve 31676 sayılı Resmî Gazete’de yayımlanan Ödeme Hizmetleri ve Elektronik Para İhracı İle Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmeliği,
Tebliğ: 1 Aralık 2021 tarihli ve 31676 sayılı Resmî Gazete’de yayımlanan Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti
Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliği,Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Tedarikçiler: Sözleşme temelli MoneyPay’in ürün ve/veya hizmet aldığı üçüncü kişileri,
Dış Hizmet Sağlayıcılar: MoneyPay’in tabi olduğu Yönetmelik ve Tebliğ kapsamında dış hizmet aldığı üçüncü taraf tüzel kişileri,
Veri Sorumlusuna Başvuru Formu: www.moneypay.com.tr adresinde yer alan ve veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
ifade eder.
4. KİŞİSEL VERİ KATEGORİLERİ
MoneyPay tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan kişisel veri kategorileri ve açıklamaları aşağıda yer almaktadır:
KİŞİSEL VERİ KATEGORİZASYONU | KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
---|---|
Kimlik Bilgisi | Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan T.C. kimlik numarası, uyruk bilgisi, anne adı baba adı, doğum yeri ve tarihi, cinsiyet, SGK numarası, imza bilgisi, taşıt plakası vb. tüm bilgiler. |
İletişim Bilgisi | Gerçek kişiye ait olduğu açık olan; telefon numarası, adres, e-mail, faks numarası gibi bilgiler. |
Özel Nitelikli Kişisel Veriler | KVK Kanunu’nun 6. maddesinde “özel nitelikli kişisel veri” olarak belirtilen “Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inanç, kılık ve kıyafet, dernek, vakıf ya da sendika üyelik bilgisi, sağlık ve cinsel hayat ile ilgili veriler, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik” verilerdir. |
Finansal Bilgi | MoneyPay’in kişisel ilgili kişi ile kurmuş olduğu hukuki ilişki çerçevesinde her türlü finansal sonucu gösteren kayıtlar kapsamında işlenen IBAN numarası, kredi kartı bilgisi, finansal profil, gelir bilgisi vb. kişisel veriler. |
Müşteri İşlem Bilgisi | Veri kayıt sistemi içerisinde yer alan müşterimize ait, ürün ve hizmetlerimizin satın alınmasına yönelik kayıtlar ile satın alma için gereken talimatlar kapsamında elde edilen bilgiler ile ürün ve hizmetlerimizi satın alan ve/veya kullanan kişisel ilgili kişinin beğenisi ve ihtiyaçları doğrultusunda kullanım ve satın alma alışkanlıklarının kişiselleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme neticesinde meydana getirilen rapor ve değerlendirmeler. |
İşlem Güvenliği Bilgisi | Faaliyetlerimizin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin log kayıtları, IP bilgisi, kimlik doğrulama bilgileri) |
Görsel / İşitsel Bilgi | Fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları |
Mesleki Deneyim Bilgisi | Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi verilerdir. |
Hukuki İşlem Bilgisi | Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi verilerdir. |
• Kişisel veri içeren bütün uygulamalar
• Kişisel veri içeren bütün veri tabanları
• Kişisel veri içeren bütün sistemler,
• Kişisel verileri içeren bütün cihazlar,
• Kişisel veri içeren bütün ses kayıtları,
• Kişisel veri içeren bütün loglar (denetim izleri),
• Kişisel veri içeren bütün görüntü kayıtları,
İstatistiki değerlendirmeler veya çalışmalar için elde edilen kişisel veri içermeyen veriler gibi anonim hale gelmiş ve tanımlanamayan veriler ile tüzel kişilere ilişkin veriler ile 6698 sayılı Kanun uyarınca kişisel veri olarak kabul edilmeyen veriler işbu Politika’ya tabi değildir.
5. KİŞİSEL VERİLERİN İŞLENMESİ
5.1. Kişisel Veri İşleme Amaçları
MoneyPay, kişisel verileri aşağıda belirtilen amaçlarla işlemektedir;
• MoneyPay üyeliğinin oluşturulması, MoneyPay Kullanıcı Sözleşmesinin kurulabilmesi, Üye olan kullanıcının kimlik, iletişim bilgilerini kaydetmek ve teyit etmek, elektronik ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek,
• Cep telefonu bilgilerinin doğrulanması ve çift faktörlü kimlik doğrulamasının yapılması,
• İşlem ve bilgi güvenliğini sağlamak, hileli, dolandırıcılık veya yasadışı faaliyetleri içerebilecek işlemlerin önlenmesi,
• Hukuki işlem güvenliğinin temini, erişim kayıtlarının kaydedilmesi,
• Doğabilecek uyuşmazlıklarda delil olarak kullanılması,
• MoneyPay’in ve MoneyPay’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi,
• Kullanıcının Money Kart / Money Pro Kart menfaatlerinden yararlanmasına aracılık edilmesi,
• Kullanıcının işlem geçmişini takip edebilmesi ve mutabakat süreçlerinin yürütülmesi,
• Kullanıcıların “Arkadaşını Davet Et” kampanyasına ilişkin menfaatlerden faydalandırılması,
• Ödeme ve elektronik para hizmetleri mevzuatı gereği akdettiğimiz sözleşmeler uyarınca üstlenilen yükümlülüklerin ifa edilmesi, yasal yükümlülüklerimizin yerine getirebilmesi ve yürürlükteki mevzuattan doğan haklarımızın kullanabilmesi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
• Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verilebilmesi.
• Ödeme hizmetleri ve elektronik para kuruluşu mevzuatları gereği müşteri şikâyet ve taleplerin takibinin sağlanması
• MoneyPay Çağrı Merkezini arayan kişiye doğru hitap edilebilmesi,
• Müşteri taleplerinin doğru bir şekilde alınması ve çözümlenebilmesi,
• Kurumumuzun bilgi danışma hizmeti temin sürecinin yürütülmesi,
• Gerekli olduğu hallerde ödeme sistemlerinde iade süreçlerinde iadenin banka hesabına veya MoneyPay cüzdanınıza yapılabilmesi,
• Hizmet satışı sonrası destek hizmetlerinin yürütülmesi,
• Etkin bir müşteri hizmeti sunulması için soru ve taleplerin yanıtlanması,
• MoneyPay tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesinin sağlanması,
• Müşterilerimize danışma hizmeti temin sürecinin yürütülmesi,
• Hizmet kalitemizin iyileştirilmesi amacıyla talep ve şikayetlerin kayıt altına alınması,
• Müşterilerimize daha iyi bir ödeme ve elektronik para hizmeti sağlamak için geliştirme süreçlerinin yürütülmesi,
• Müşteri memnuniyeti ölçümlerinin yapılması,
• Aramanın teyidi ve arama sayısının istatistiksel amaçla tespiti.
• Faaliyetlerin mevzuata uygun yürütülmesi,
• Biyometrik veriler kullanılarak yakın alan iletişimi ile alınan temassız yongadaki fotoğrafın veya kimlik belgesi üzerinde yer alan fotoğrafın biyometrik karşılaştırılmasının yapılması,
• Uzaktan kimlik tespiti sürecinin tamamlanması,
• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
• Kimlik Paylaşım Sistemi vasıtasıyla, uzaktan kimlik tespiti sürecinde adres bilgisinin teyit edilmesi,
• Çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
• Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
• İnsan kaynakları süreçlerinin planlanması,
• Iletişim faaliyetlerinin yürütülmesi,
• Ücret politikasının yürütülmesi
• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
• Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
• Eğitim faaliyetlerinin yürütülmesi,
• Finans ve muhasebe işlerinin yürütülmesi,
• Görevlendirme süreçlerinin yürütülmesi,
• Hukuk işlerinin takibi ve yürütülmesi,
• Sözleşme süreçlerinin yürütülmesi,
• Talep / şikayetlerin takibi,
• Iş faaliyetlerinin yürütülmesi / denetimi,
• Iş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
• Performans değerlendirme süreçlerinin yürütülmesi,
• Saklama ve arşiv faaliyetlerinin yürütülmesi,
• Sözleşme süreçlerinin yürütülmesi,
• Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
• Iş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
• Iş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
• Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi,
• Pazarlama analiz çalışmalarının yürütülmesi,
• Reklam / kampanya / promosyon süreçlerinin yürütülmesi,
• İç denetim, soruşturma, istihbarat faaliyetlerinin yürütülmesi.
5.2. Kişisel Verilerin İşlenmesinin Kapsamı
MoneyPay, hizmetlerinin kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından işbu Politika’da belirtilen ilkelere uymak suretiyle, ilgili kişinin bilgilerini işleme hakkına sahip olacaktır.
MoneyPay tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Diğer bir ifadeyle kişisel veri işleme; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla ilgli kişi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi anlamına gelir.
5.3. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
KVK Kanunu’nun 5. Maddesi uyarınca kişisel veriler ancak KVK Kanunu ve diğer ilgili yasal mevzuatta öngörülen usul ve esaslara uygun olarak işlenebilir. MoneyPay olarak gerek KVK Kanunu gerekse ilgili diğer yasal mevzuat kapsamında belirtilen usul ve ilkelere uygun olarak kişisel veriler işlenmekte olup; KVK Kanunu kapsamında, kişisel verilerin işlenmesinde aşağıda yer alan ilkelere uyulması gerektiği açıkça düzenlenmiştir.
• Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi
MoneyPay, kişisel verilerin işlenmesi faaliyetini Türkiye Cumhuriyeti Anayasası ile KVK Kanunu ve ilgili diğer yasal mevzuat başta olmak üzere hukuksal düzenlemelere ve güven ilişkisi esas olmak üzere dürüstlük kuralına uygun olarak yürütmektedir.
• İşlenen Kişisel Verilerin Doğruluğunu ve Güncel Olmasını Sağlama
MoneyPay, kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve süreçleri kurgulamış bulunmaktadır. Bu kapsamda MoneyPay, ilgili kişilerin kişisel verilerini düzeltme ve doğruluğunu teyit etmeleri amacı ile gerekli önlemleri almaktadır.
• Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi
MoneyPay, KVK Kanunu’nun 10. Maddesinde yer alan aydınlatma yükümlülüğü kapsamında, kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işleme amacını açık ve kesin olarak belirleyerek ortaya koymakta, açık ve hukuka uygun amaçlar dahilinde işlemektedir.
• Kişisel Verilerin Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi
MoneyPay, kişisel verileri, işleme faaliyetine başlamadan önce belirlediği ve sunduğu hizmetin gerçekleştirilebilmesi amacı ile bağlantılı olarak ve gerektiği ölçüde işlemektedir. MoneyPay, amacın gerçekleştirilmesiyle ilgili olmayan veya ileride ihtiyaç duyulması varsayımı ile kişisel veri işleme faaliyeti yürütmemektedir. Kişisel verilerin işlenmesi MoneyPay’in faaliyetleri ve yasal yükümlülükler ile sınırlıdır.
• Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi
MoneyPay, kişisel verileri, KVK Kanunu ve ilgili yasal mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda, MoneyPay kişisel verileri, ilgili mevzuatta bir süre öngörülmüş ise bu süre ile sınırlı olarak, bir süre öngörülmemişse işlendikleri amaç için gerekli olan süre kadar saklamaktadır. MoneyPay, ileride kullanma ihtimali ile kişisel veri saklamamaktadır.
MoneyPay, sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.
5.4. Kişisel Verilerin İşlenme Şartları
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde MoneyPay tarafından hukuka uygun olarak veri sahibinin açık rızası alınmaksızın işlenebilecektir. Örneğin; İş Kanunu ve ilgili mevzuat çerçevesinde çalışanlara ait işyeri sicil dosyası tutulurken kişisel veriler işlenmektedir.
• Kanunlarda Açıkça Öngörülmesi
Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm, veri işleme şartını oluşturacaktır. Kişisel veri işlenmesiyle ilgili herhangi bir kanunda açık bir hüküm varsa veya açık bir hüküm ile ikincil mevzuata yönlendirme yapılmışsa bu durumda kişisel verilerin işlenmesi mümkündür.
Örneğin, 4857 sayılı İş Kanununun 75. Maddesi gereği işveren, çalıştırdığı her işçi için bir özlük dosyası düzenlemesi ve bu işçinin kimlik bilgilerinin yer alması gerektiği hükmü yer almaktadır. Bu kapsamda işveren, çalıştırdığı işçinin kimlik verilerini “kanunlarda açıkça öngörülmesi” işleme şartına dayanarak işleyebilecektir.
• Fiili İmkânsızlık Sebebiyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin Ya Da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınamadığı hallerde, kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesi zorunlu ise veri sahibinin kişisel verileri işlenebilecektir. Örneğin; MoneyPay fiziki işyerinde kaza geçiren çalışanımızın sağlık bilgilerinin ailesi tarafından mağaza yetkililerine verilmesi.
• Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde MoneyPay tarafından kişisel veriler işlenebilecektir. Örneğin MoneyPay Uygulamasına kayıt olmak isteyen bir kullanıcının elektronik para hesap açılış sözleşmesini onaylayarak ad, soyad ve telefon bilgilerini ibraz etmesi.
• MoneyPay’in Hukuki Yükümlülüğünü Yerine Getirmesi için Veri İşleme Faaliyetinin Zorunlu Olması
MoneyPay’in hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin kredi kartı sahiplerinin bilgisi dışında kredi kartlarından yapılan harcamalara ilişkin olarak Savcılığa yapılan şikayetler uyarınca Savcılık kararıyla MoneyPay’dan kişisel verilerin talep edilmesi halinde verilerin sunulması.
• Kişisel Veri Sahibinin Kendisi Tarafından Kişisel Verisini Alenileştirmiş Olması
Veri sahibinin, kişisel verisini bizzat alenileştirilmiş (sosyal medya vb. herhangi bir yol ve şekilde kamuya açıklamış) olması halinde ilgili kişisel veriler açık rıza aranmaksızın işlenebilecektir.
• Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin delil vasfını haiz hesap açılış sözleşmesinin saklanması ve gerekli olduğunda kullanılması.
• İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı İle MoneyPay’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel verilerin korunması Anayasal bir hak olmakla birlikte; kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla MoneyPay’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin finans departmanı tarafından yapılacak hesaplamalardaki kişisel veri işleme faaliyetleri.
• Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri Kanunun 5. Maddesinde belirtilen istisnaların bulunmaması durumunda, kişisel veri sahibinin açık rızasıdır. Kişisel veri sahibi, belirli bir konuyla ilgili yeterince bilgilendirilmiş, bu bilgilendirmeye dayalı olarak özgür iradesi ile tereddüde yer vermeyecek açıklıkta kişisel verilerinin işlenmesine onayı olduğunu açıklamalıdır.
Veri Aktarımı Yapılabilecek Kişiler | Tanımı | Veri Aktarım Amacı |
---|---|---|
İş Ortağı | MoneyPay’in ticari faaliyetlerini yürütürken MoneyPay ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak Sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması, Sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi, |
Tedarikçi | MoneyPay’in ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize hizmet sunan tarafları tanımlamaktadır. | MoneyPay’in tedarikçiden dış kaynaklı olarak temin ettiği ve MoneyPay’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Migros tarafından sunulmasını sağlamak amacıyla sınırlı olarak. |
Bağlı Bulunduğu Holding | Fatih Sultan Mehmet Mahallesi, Balkan Caddesi No. 58 Buyaka E Blok Tepeüstü, Ümraniye 34771 İstanbul, TÜRKİYE adresinde mukim Anadolu Grubu Holding A.Ş. | MoneyPay’in ticari faaliyetlerine ilişkin stratejilerinin planlanması ve denetim amaçlarıyla kullanılmakla sınırlı olarak |
Bağlı Bulunduğu Holdinge Ait Diğer Şirketler | Anadolu Grubu Holding A.Ş.’nin çeşitli sektörlerde faaliyet gösteren diğer şirketleri | |
Hissedarlarımız | İlgili mevzuat hükümlerine göre MoneyPay’in ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarımız Migros T.A.Ş. | İlgili mevzuat hükümlerine göre MoneyPay’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre MoneyPay’den tan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Avukatlar/Hukuk Büroları/Danışmanlar | MoneyPay’in hukuki ihtilafların çözümünde destek aldığı özel hukuk kişileri | Gerçek kişi müşterilerle /iş ortakları/tedarikçilerle vs oluşabilecek ihtilafların çözümü amacıyla |
Veri Aktarım Şartlarına Uygun Olarak Diğer Üçüncü Kişiler | Sözleşmeye ve mevzuata uygun aktarım yapılan özel hukuk kişileri | Özel hukuk kişileri |
6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
6.1. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVK Kanunu kapsamında “özel nitelikli” olarak belirlenen kişisel veriler, işbu hassasiyet nedeniyle bu Politika’ da ayrıca belirtilmiştir.
KVK Kanunu’nun 6. maddesi 1. fıkrasında tanımı yapılan özel nitelikli kişisel verilerin yine kvk kanunu’nun 6. maddesinin 2. fıkrasında belirtildiği üzere veri sahibinin açık rızası olmaksızın işlenmesi yasaktır. KVK Kanunu’nun 6. Maddesinin 3. Fıkrası bu kuralın istisnalarını düzenlemektedir.
MoneyPay tarafından; özel nitelikli kişisel verilerden biyometrik veriler, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla MoneyPay’in tabi olduğu Tebliğ hükümleri uyarınca, açık rızanız doğrultusunda yukarıda belirtilen kanun maddesine uygun olarak işlenmektedir.
6.2. Özel Nitelikli Kişisel Verilerin Korunması
KVK Kanunu ile birtakım kişisel veriler, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle işbu Politikada ayrıca belirtilmiştir. Özel Nitelikli Kişisel Verilerin işlenmesi, Politika’nın 6.1. maddesinde açıkça belirtilmiştir.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik; Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta, periyodik olarak yetki kontrollerinin gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta ve bu kapsamda, veri sorumlusu olarak MoneyPay tarafından çalışana tahsis edilen envanterin iade alınması yönünde gerekli önlemler alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografîk anahtarların güvenli ve farklı ortamlarda tutulması, verilere tüm erişimler ve veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, test sonuçlarında ortaya çıkan güvenlik açıklarının en kısa sürede kapatılması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması yönünde gerekli önlemler alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi, yetkili kişilerin erişiminin kayıt altına alınması yönünde gerekli önlemler alınmaktadır.
7. KİŞİSEL VERİLERİN AKTARILMASI
MoneyPay’in veri sahibine gerektiği gibi hizmet edebilmesi amaçlarına uygun olarak veri işleme kapsamında, veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü taraflarla ilgili verilerin aktarımı/paylaşımı gerekebilmektedir.
Kişisel veriler, barınma hizmetinin alınması, hukuki uyum süreci, denetim, mali işler süreçlerinin yürütülmesi, ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile insan kaynakları politikalarının yürütülmesinin temini, müşteri destek hizmetlerinin yürütülmesi amaçlarıyla MİGROS Ailesine (Migros'un Yönetim Hissedarları, Yönetim Hissedarlarının ve Migros’un bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri) hizmet sağlayıcılarına ve/veya alt yüklenicilerine ve GSM Operatörlerine, yurtiçinde yerleşik bulut servis sağlayıcılarına, uzaktan kimlik doğrulama teknolojilerinden hizmet alınması, çağrı merkezi hizmetinin karşılanması için hizmet alınan dış hizmet sağlayıcılara ve alt yüklenicilerine, hukuki yükümlülüğün yerine getirilmesi için yetkili kamu kurum ve kuruluşları (adli makamlar, Türkiye Cumhuriyet Merkez Bankası)
MoneyPay hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere, ilgili kanunlar kapsamında kamu kurumlarına) aktarabilmektedir. MoneyPay bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
MoneyPay, bu Politika maddesinde belirtilen aktarma işlemi için istisnaları, KVK Kanunu’nun 8. maddesi 2. fıkrasında belirtildiği şekilde uygulamaktadır. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
7.1. Kişisel Verilerin Yurt İçinde Aktarılması
MoneyPay’in kişisel veri sahibine, daha iyi hizmet verebilmesi, taleplerini daha doğru karşılayabilmesi, hizmet ve iletişimini geliştirebilmesi, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmesi ve teknik problemleri ortadan kaldırabilmesi vb. amaçlarına uygun olarak, veri işleme faaliyeti kapsamında, veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü taraflarla ilgili verilerin üçüncü kişilere aktarımı/paylaşımı gerekli olabilmektedir. MoneyPay, bu doğrultuda KVK Kanunu’nun 8. Maddesinde öngörülen düzenlemelere ve bahse konu madde kapsamında işbu Politika’ da yer alan düzenlemelere uygun hareket etmektedir. İşbu Politikanın 7.3. maddesinde yer alan tabloda aktarım amaçları yer almaktadır.
7.1.1. Özel Nitelikli Kişisel Verilerin Yurt İçinde Aktarılması
MoneyPay gerekli özeni göstermek ve gerekli güvenlik tedbirlerini almak sureti ile Kurul tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini, bu Politika’nın 7. bölümünde düzenlenen şartları dikkate alarak üçüncü kişilere aktarabilmektedir.
7.2. Kişisel Verilerin Yurt Dışında Aktarılması
MoneyPay, hukuka uygun amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. MoneyPay tarafından işlenen kişisel veriler; KVK Kanunu’nun 9. Maddesi uyarınca KVK Kanunu’nun 5. Maddesinin 2. Fıkrası ile yeterli önlemler alınmak kaydıyla KVK Kanunu’nun 6. Maddesinin 3. Fıkrasında belirtilen şartlardan birinin bulunması halinde ve de kişisel verinin aktarılacağı yabancı ülkenin KVK Kurulu tarafından yeterli korumanın bulunduğu ülkelerden biri olarak ilan edilmiş olması ya da yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve KVK Kurulu’nun izninin bulunması kaydı ile aktarılabilir.
7.3. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
MoneyPay, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak müşterilerin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
i. İş ortaklarına,
ii. Tedarikçilerine,
iii. Bağlı bulunduğu holdinge,
iv. Bağlı bulunduğu holdinge ait diğer şirketlere,
v. Hissedarlarına,
vi. Hukuken yetkili kamu kurum ve kuruluşlarına,
vii. Hukuken yetkili özel hukuk kişilerine,
viii. Veri aktarım şartlarına uygun olarak diğer üçüncü kişilere,
ix. Avukatlar/Hukuk Büroları/Danışmanlar
Yukarıda aktarımda bulunduğu belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmekte olup; MoneyPay tarafından gerçekleştirilen aktarımlarda Politika’da düzenlenmiş hususlara uygun olarak hareket edilmektedir.
8. KİŞİSEL VERİLERE İLİŞKİN HAKLAR VE YÜKÜMLÜLÜKLER
8.1. İlgili Kişilerin MoneyPay Tarafından Aydınlatılması Yükümlülüğü
KVK Kanunu’nun 10. Maddesi uyarınca; MoneyPay, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmakla yükümlüdür.
Bu kapsamda MoneyPay, kişisel verilerin toplanması esnasında veri sahiplerine kişisel verilerin kendisi tarafından işleneceğini, kişisel verilerinin hangi amaçlarla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplama yöntemi ve hukuki sebepleri ile KVK Kanunu’nun 11. Maddesi uyarınca veri sahibinin haklarının neler olduğunu bildirmekte ve gerekmesi halinde açık rıza almaktadır.
8.2. İlgili Kişilerin Hakları
Kişisel veri sahibi, KVK Kanunu’nun 11. maddesi uyarınca MoneyPay’e başvurarak aşağıdaki taleplerde bulunabilir:
i. Kişisel verilerinden hangilerinin MoneyPay’de saklanıp saklanmadığını öğrenme,
ii. Kişisel verilerini işlenip işlenmediğini öğrenme,
iii. Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
iv. Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
v. Kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
vi. Kişisel verilerin eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
vii. KVK Kanunu 7. maddesi kapsamında, KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
viii. Kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
ix. İşlenen kişisel verilerin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
x. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme.
8.3. Kişisel Veri Sahibinin Hakları Dışında Kalan Haller
KVK Kanunu’nun 28. maddesinin 1. fıkrasında belirtilen hallerin varlığı halinde, KVK Kanunu hükümlerinin uygulanmayacağı düzenlenmiş olup; bu kapsamda MoneyPay tarafından işlenen kişisel verilere ilişkin olarak ilgili kişilerin KVK Kanunu’nda sayılan haklarını ileri sürmeleri mümkün değildir.
KVK Kanunu’nun 28. maddesinin 2. fıkrasında belirtilen hallerde ilgili kişilerin zararın giderilmesini talep etme hakkı hariç olmak üzere; KVK Kanunu’nda sayılan diğer haklarını ileri süremezler.
8.4. Kişisel Veri Sahibinin MoneyPay’e Başvuru Hakkı
İlgili kişiler, KVK Kanunu’nun 13’üncü maddesinin 1’inci fıkrası ve “Veri Sorumlusuna Başvuru Usul ve Esaslar Hakkında Tebliğ” gereğince, kendilerine kanunen tanınan hakların kullanımına ilişkin taleplerini yazılı şekilde www.moneypay.com.tr adresinde yer alan Veri Sorumlusuna Başvuru Formu’nu doldurarak ıslak imzalı veya güvenli elektronik imza ile MoneyPay’e iletmeleri gerekmektedir. Güvenli elektronik imzalı taleplerin moneypay@hs01.kep.tr adresine, ıslak imzalı taleplerin ise Acıbadem Mah. Çeçen Sk. A Blok No: 25a İç Kapı No: 21 Üsküdar/İstanbul adresine iletilmesi gerekmektedir. Yine www.moneypay.com.tr adresinde yer alan Veri Sorumlusuna Başvuru Formu’nu doldurarak MoneyPay’e daha önce bildirilen ve MoneyPay sisteminde kayıtlı bulunan elektronik posta adreslerini kullanmak suretiyle, info@moneypay.com.tr adresine e-posta ile iletilmesi gerekmektedir.
Başvuruda;
i. Ad, soyad ve başvuru yazılı ise imza,
ii. Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
iii. Tebligata esas yerleşim yeri veya iş yeri adresi,
iv. Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
v. Talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgeler başvuruya eklenmesi gerekmektedir.
İlgili Kişiler adına üçüncü kişiler tarafından talepte bulunulması mümkün olmayıp, üçüncü bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak üçüncü kişi adına düzenlenen özel vekâletname ile yetki verilmiş olması gerekmektedir.
8.5. MoneyPay Tarafından İlgili Kişilerin Başvurularına Cevap Verilmesi
KVK Kanunu’nun 13. maddesi uyarınca; kişisel veri sahibinin yukarıda yer alan usule uygun olarak ilettiği başvurusunda yer alan talepler, MoneyPay tarafından, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. MoneyPay, başvuruyu kabul eder veya gerekçesini açıklayarak reddedebilir. MoneyPay cevabı kendisine bildirilen iletişim adresine yazılı veya elektronik ortamda (e-posta yoluyla) bildirir. Talepte bulunan kişinin iletişim bilgisini vermediği, doğrulama yapılamadığı, Veri Sorumlusuna Başvuru Formu’nun belirtilen şekilde tam ve eksiksiz olarak doldurulmadığı, bilgilerin eksik verildiği, 8.4. maddesinde belirtilen kanallardan ve belirtilen şekillerde başvuru yapılmadığı durumlarda MoneyPay’in cevap verme yükümlülüğü de bulunmamaktadır. İlgili kişinin vermiş olduğu iletişim adresine ulaşılamadığı durumlarda da ilgili kişiye başvurusuna ilişkin yanıt verilmiş kabul edilecektir.
Yapılacak işlemin ayrıca bir maliyeti gerektirmesi hâlinde, MoneyPay tarafından başvuru sahibinden Kurulca belirlenen tarifedeki ücret alınabilecektir. Başvurunun MoneyPay’in hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.
MoneyPay, başvuruda bulunan kişinin ilgili kişi olup olmadığını tespit etmek, başvuruda yer verilen talepleri netleştirmek adına ilgili kişiden bilgi talep edebilir.
Politika’nın 8.4 bölümünde belirtilen usule uygun olarak ve/veya kanunen geçerli tebligat ile iletilmeyen taleplerin MoneyPay’e ulaşmaması veya verilen cevabın başvurucuya ulaşmaması halinde MoneyPay’in sorumluluğundan bahsedilemez.
8.6. Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı
Kişisel veri sahibi, KVK Kanunu’nun 14. maddesinde belirtildiği şekilde Kurul’a şikâyette bulunabilir.
Kişisel veri sahibi, KVK Kanunu’nun 13. maddesi ve bu Politika’nın 8. bölümünde düzenlenen başvuru hakkını kullanmadan, KVK Kurulu’na şikâyet yoluna başvuramaz.
9. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
MoneyPay, KVK Kanunu’nun 12. maddesine uygun olarak, güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya üçüncü kişi firmalar ile yapılan sözleşmeler çerçevesinde yaptırmaktadır. Söz konusu çalışmalar sonucunda ortaya çıkan uyumsuzluklar ise maliyet, efor, uyumsuzluğun kritikliği vb. gibi risk analizlerine istinaden en kısa sürede kapatılmaya çalışılmaktadır.
9.1. Kişisel Verilerin İşlenmesinde Gizlilik
MoneyPay tarafından hukuka uygun olarak işlenen kişisel veriler, veri güvenliğine tabidir. MoneyPay, özel nitelikli kişisel veriler ve web sitelerimiz ve/veya diğer uygulamalarımız üzerinden toplanan kişisel verilerinizin gizliliğini ve güvenliğini sağlamak üzere tüm gerekli teknik ve organizasyonel önlemleri almaktadır.
MoneyPay’in herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi, bu verileri işlemesi veya özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale getirmeleri yasaktır. MoneyPay’in çalışanları kişisel verilere ancak söz konusu görevlerinin türü ve kapsamı çerçevesinde uygun şekilde erişebilir. Bunun için rol ve sorumluluklar detaylandırılmış ve ayrıştırılmıştır. MoneyPay’in meşru görevi çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu verileri işlemesi yetkisiz işlem anlamına gelmektedir.
Yöneticiler, istihdam ilişkisinin başlangıç aşamasında çalışanlarını veri gizliliğini koruma yükümlülüğü hususunda bilgilendirmelidir. Söz konusu yükümlülük istihdamın sona ermesinden sonra da devam edecektir.
9.2. Kişisel Verilerin İşlenmesinde Güvenlik
Kişisel veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin kazara kaybına, değiştirilmesine veya imhasına karşı MoneyPay tarafından korunmaktadır. Kişisel veriler, halka açık olmayan ve sadece yetkili MoneyPay çalışanları (çalışanlarımızla yapılan Gizlilik Sözleşmesi kapsamında), aracılarımız ve yüklenicilerimiz tarafından erişilebilen güvenli çalışma ortamlarında saklanmaktadır.
Kişisel verilere erişmeden önce MoneyPay Uygulamasında kişisel verileri saklanan kullanıcılarımız açısından çok faktörlü kimlik doğrulama yapılmaktadır. Yine çalışanlarımızı kullanmış olduğu İK portal üzerinden kimlik bilgilerinin doğrulanması yapılmaktadır. Söz konusu tedbirler mevcut olan en ileri teknolojiyi, veri işleme risklerini ve verileri koruma gereksinimini dikkate alarak tasarlanmıştır.
9.3. Teknik Tedbirler
MoneyPay bünyesinde kişisel veri işleme faaliyetleri ile güvenli ortamda saklanması teknik sistemlerle yürütülmekte, teknik çözüm uygulamaları yapılmaktadır. Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta ve risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
Bunun yanında teknik konularda bilgili ve tecrübeli personel istihdam edilmektedir. Gerektiğinde 3.taraf şirketlerden hizmet alımı yoluyla bilgili ve tecrübeli çalışanlardan da faydalanılmaktadır.
Diğer yandan, Kişisel Verileri Koruma Kurumu tarafından kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla veri sorumlularının alması gereken teknik tedbirlere ilişkin başlıca yöntemleri “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” rehberi ile "Mobil Uygulamalarda Mahremiyetin Korunmasına İlişkin Tavsiyeler" dokümanında yayınlamıştır. MoneyPay bu rehberlerde yer alan önlemleri almanın yanında, güvenliğe dair yayınlanan diğer standartlar ve güncel tehditleri de baz alarak gerekli güvenlik önlemlerini almaktadır.
9.4. İdari Tedbirler
Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi, mevzuata aykırı olarak başkasına açıklanamayacağı ve işleme amacı dışında kullanamayacağı konusunda bilgilendirilmekte ve eğitilmektedir.
MoneyPay ile çalışanları arasındaki sözleşme ve belgelere, MoneyPay talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar ile taahhütler eklenmektedir.
Çalışanların kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğüne uyumlarının denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler alınmaktadır.
MoneyPay tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ve kişisel verilerin saklanması konusunda üçüncü kişilerden teknik hizmet alınması halinde bu kişiler ile akdedilen sözleşmelere; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda gerekli tedbirlerin alınması ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
MoneyPay, iş ortaklarına yönelik kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya ilişkin eğitimler ve seminerler düzenlenmesini sağlamaktadır.
Diğer yandan, MoneyPay, Kişisel Verileri Koruma Kurumu tarafından yayımlanan tavsiye ve rehberlere uygun hareket etmektedir.
9.5. Denetim Faaliyetlerinin Yürütülmesi
MoneyPay, KVK Kanunu’nun 12. maddesine uygun olarak, iştiraki olduğu Migros T.A.Ş.’ye, bağlı bulunduğu holding olan Anadolu Grubu Holding A.Ş.’ye ve üçüncü taraf bağımsız denetim kuruluşlarına gerekli denetimleri yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tüm tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
9.6. Kişisel Verilerin Kanuni Olmayan Şekilde İfşası Durumunda Alınacak Tedbirler
MoneyPay, KVK Kanunu ve ilgili mevzuata uygun olarak işlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, KVK Kanunu 12. maddesi 5. fıkrası uyarınca, belirtilenleri yapmakla yükümlü olup; gerekli tespit ve bildirimin yapılmasını sağlamak amacı ile gerekli sistem oluşturulmuştur. Bu konuda Kişisel Verileri Koruma Komitesi görevlendirilmiş ve yetkilendirilmiş olup bu komite olayın meydana gelmesinden sonra olabildiği en kısa sürede acilen toplanacak ve ilk müdahale ve etkinliğini bu toplantıda aldığı kararla yerine getirecektir. Süreç bu komite tarafından takip edilerek yönetilecek en geç 72 saat içerisinde gerekli önlem ve tedbirlerde alınarak Kurul’a bildirim yapılacaktır.
Kurul’a yapılan bildirim akabinde, Kurul, KVK Kanunu’nun 12. maddesi 5. fıkrasında belirtildiği şekilde bu durumu ilan edebilir.
10. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KAPSAMINDA ŞİRKET İÇİ YÖNETİŞİM
MoneyPay bünyesinde, 6698 sayılı Kanun'a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi ("Komite") kurulmuştur. Komite'nin başlıca görevleri aşağıda belirtilmektedir:
• Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
• 6698 sayılı ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
• Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket iş ortakları nezdinde farkındalığı artırmak,
• MoneyPay’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak,
• Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış metinlerde ve politikalarda güncellemeler yapmak,
• Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
• İlgili Kişilerin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
• İlgili kişilerin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
• Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
• KVK Kurumu ile olan ilişkileri koordine etmek, KVK Kurumu’ndan gelen tebligatları değerlendirmek, gerektiğinde cevap verilmesi için prosedürleri belirlemek,
• Kişisel verilerin, Şirket içinde temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.
• Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda Şirket içinde kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak,
• Veri güvenliğine ilişkin yükümlülükleri belirlemek ve ilgili yükümlülüklerin yerine getirilip getirilmediğini tespit etmek,
• Özel nitelikli kişisel verilerin işlenmesi için alınması gereken yeterli önlemleri belirlemek,
• Gerektiğinde VERBİS’te yer alan Şirket nezdinde işlenen kişisel verileri güncellemek veya değişiklik yapmak,
• Şirket içinde kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasları belirlemek,
• Şirket içinde kişisel verilerin işlenmesine ilişkin gerekli politika ve prosedürleri oluşturmak, çalışanlara, danışmanlara ve sair iş ortaklarına tebliğ etmek, bunların takibini ve kontrolünü yapmak,
• İlgili kişinin başvurusu veya Kişisel Verileri Koruma Kurulu’nun veya bir mahkemenin bildirimi üzerine, periyodik denetleme süresine bakmaksızın yine veri ortamlarında bu denetimi yapmak,
• Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak,
• Denetimler neticesinde veri işleme şartlarının ortadan kalkmış olduğu ihtimalinin tespit edildiği kişisel verilerle ilgili olarak, ilgili kişisel veriyi işleyen departman yöneticisine ve hukuk müşavirliğine veya hukuk danışmanına konu iletilerek görüşleri sormak.
• Kesinleşmiş mahkeme kararlarının gereğini yerine getirmek üzere hukuk biriminden onay almak ve mahkeme kararında belirtilen silme, yok etme veya anonim hale getirme işlemini yapmak,
• Şirket içinde kişisel veri ihlallerine karşı yol haritası belirlemek,
• Üst yönetimin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
11. YÜRÜRLÜK VE GÜNCELLEMELER
İşbu Politika MoneyPay tarafından kurumsal web sitesinde ve mobil uygulamada yayımlanarak tüm çalışanların ve kamunun bilgisine sunulacaktır. Başta 6698 sayılı Kanun olmak üzere yürürlükteki mevzuat ile bu Politika ve prosedürlerde yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Bu Politika yılda 1 kez Kişisel Verilerin Korunması Komitesi tarafından gözden geçirilerek gerekli güncellemeler yapılır. MoneyPay, yasal düzenlemelere paralel olarak işbu Politika ve prosedürlerde değişiklik yapma hakkını saklı tutar. İşbu Politika’daki hususlarda değişiklik olması veya yeni süreçlerin gündeme gelmesi hali ile mevzuattaki değişiklik durumlarında Politika derhal güncellenecek olup, güncel versiyonu da MoneyPay’in kurumsal web sitesinde ve mobil uygulamasında yayınlanacaktır.
Son Güncelleme: Haziran 2024