1. Kişisel Veri Politikasının Amacı, Kapsamı ve Yürürlüğü
ÖDEAL ÖDEME KURULUŞU A. Ş. (kısaca “Şirket”) kişisel verilerin korunması hususunda, Kişisel Verilerin Korunması Kanunu’nun (kısaca “KVKK”) yürürlüğe girdiği tarih olan 7 Nisan 2016’dan itibaren mevzuat hükümlerine tam uyum sağlanması için gerekli çalışmaları yürütmektedir. Bu çalışmalar çerçevesinde Şirket tarafından muhafaza edilen ve işlenen kişisel verilerin yönetimi ve ilgili güvenlik tedbirlerinin alınması için işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (kısaca “Politika”) yürürlüğe girmiştir.
Bu Politika, Şirket tarafından ticari işbirliği içerisinde olan üye işyerlerimizin, potansiyel üye işyerlerimizin, üye işyerlerinden Şirketin sağlamış olduğu elektronik ödeme platformu ile üye işyerlerimizden hizmet veya ürün alan kişilerin, Şirket bünyesinde bulunan çalışanlarımızın ve potansiyel çalışanlarımızın KVKK nezdinde sahip olunan kişisel verilerinin muhafazası, işlenmesi ve yönetimine ilişkindir.
2. Kişisel Verilerin Güvenliği ve Veri Sahibi Taleplerinin Değerlendirilmesi
2.1. Veri Güvenliği Çerçevesinde Alınan Tedbirler
Şirket, KVKK madde 12. Kapsamında uhdesinde bulunan Kişisel Verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almaktadır. Bu kapsamda veri güvenliğinin sağlanması amacıyla Şirket içerisinde yerine getirilen işlemler ve yönetimsel kararlar aşağıda belirtilmiştir.
a. Şirket, iştigal alanı gereği Bankacılık Düzenleme ve Denetleme Kurulu (kısaca “BDDK”) tarafından kendisine lisans tahsisi gerçekleşmiş olan ve bu kapsamda periyodik denetimlere tabi bir kuruluştur. Bu kapsamda Şirketimiz 6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 21. Maddesi uyarınca bağımsız denetim kuruluşlarınca bilgi sistemleri denetimine tabi tutulmaktadır. Yapılan denetim kapsamında Şirketimiz nezdinde bulunan verilerin mevzuat hükümlerine uygun bir prosedür ile kullanılması sağlanmaktadır.
b. Şirket; çalışanları nezdinde kişisel verilerin KVKK’ya uygun şekilde muhafaza edilmesi, aktarılması ve işlenmesi için gerekli eğitim süreçlerini yürütmüş, çalışanların farkındalığını arttırıcı tedbirleri almıştır.
c. Şirket ile ticari alanda işbirliği içerisinde bulunan üye işyerleri ve çözüm ortakları ile yürütülen tüm operasyonlarda kişisel veri güvenliği önemli bir gündem maddesi olarak teati edilmiş, bunun yanında taraflar arasında imzalanan tüm sözleşmelerde kişisel verilerin korunmasına yönelik hükümler ayrıca eklenmiştir.
d. Şirket tarafından sahip olunan kişisel verilerin hukuka aykırı muhafazası, işlenmesi ve aktarımının önüne geçilmesi adına gerekli hukuki danışmanlık hizmeti alınmış olup bunun sonucunda Şirket içi süreçler yürütülerek teknik ve idari tedbirlerin alınması sağlanmıştır.
2.2. Veri Sahiplerinin Bilgilendirilmesi
KVKK’nın ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi hakkında Yönetmelik’in 13. Maddesi çerçevesinde kişisel verilerin sahibi olan kişilere bahşedilen hakların Şirket nezdinde eksiksiz ve kanuni sürelere uygun bir şekilde kullanılması için gerekli hazırlık ve çalışmalar yapılmıştır. Buna göre Şirkete veri sahibinden gelecek aşağıda yer alan talepleri içeren yazılı başvurulara 30 gün içerisinde cevap verilerek gerekli işlemlerin yapılması sağlanacaktır. Başvurular, Kişisel Verileri Koruma Kurulu (kısaca “Kurul”) tarafından alınacak karar ile bir ücret tarifesi yayınlanmadığı sürece ücretsiz olarak yapılacaktır. Başvurulara verilecek cevapların 10 sayfayı aşması halinde, her sayfa için 1,00 (bir) TL işlem ücreti alınacaktır. Cevabın CD, flash bellek gibi kayıt ortamında verilmesinin istenmesi halinde, istenen kayıt ortamının maliyetine göre ücret talep edilecektir. Buna göre kişisel veri sahipleri;
a. Kendisine ait kişisel verilerin işlenip işlenmediğini öğrenme,
b. İşlenen kişisel verileri varsa bunlara ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bu verilerin amaca uygun kullanılıp kullanılmadığını öğrenme,
d. Kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, eğer aktarım yapılmışsa ilgili üçüncü kişiden bu düzeltmenin istenmesini talep etme,
f. Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu verilerin silinmesini, yok edilmesini ya da anonim hale getirilmesini isteme ve eğer aktarım yapılmışsa bu talebin aktarılan üçüncü kişiye iletilmesini isteme,
g. İşlenen verilerin neticesinde kişi ile ilintili olumsuz bir sonuç çıkmasına itiraz etme,
h. Kanun’a aykırı veri işleme nedeniyle zararının ortaya çıkması halinde zararını yasalar çerçevesinde talep etme haklarına sahiptirler.
Şirket veri sahiplerine eksiksiz ve güvenli bir hizmet sağlamak maksadıyla başta veri sahibine ait kimlik bilgileri dahil olmak üzere ek bilgi ve belgeleri veri sahibinden isteyebilir.
Veri sahipleri yukarıda sayılan bu taleplerini iletmek amacıyla https://ode.al/ adresinde bulunan başvuru formunu doldurarak ve başvuru formunda belirtilen usuller çerçevesinde Şirket’e başvurabilirler.
2.3. Veri Sahibini Aydınlatma Yükümlülüğünün Yerine Getirilmesi
Türkiye Cumhuriyet Anayasası’nın (kısaca “Anayasa”) 20. Maddesinin 3. Fıkrasında veri sahibi kişilerin kendisiyle ilgili kişisel veriler hakkında bilgi talep etme hakkına sahip olduğu açıkça belirtilmiştir. Bunun yanında KVKK’nın 10. maddesinde Kişisel Verilerin elde edilmesi sırasında veri sahiplerinin yine aynı madde sayılan hususlarda bilgilendirilmesi, aydınlatılması gerektiği hüküm altına alınmıştır.
Bu çerçevede kişisel verilerin veri sahiplerinden elde edilmesi sırasında veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve işbu Politika’nın 2.2. maddesinde sayılan veri sahibi haklarına ilişkin ilgili aydınlatma metni ile birlikte veri sahibine açıkça bildirilmektedir.
3. Kişisel Verilerin İşlenmesine İlişkin Prosedür
Şirket, Anayasa’nın 20. Maddesi ve KVKK’nın 5. Maddesinde yer alan prensiplere uygun bir şekilde veri sahiplerinin verilerini elde etmekte ve işlemektedir. Bunun yanında Şirket, veri sahiplerinden KVKK’nın 6. Maddesinde tanımlanan özel nitelikli veri statüsüne giren bir veri talebinde bulunmamaktadır. Şirketin veri işlemesi prosedürü esnasında uyduğu temel ilkeler aşağıda belirtilmiştir.
3.1. Kişisel Verilerin İşlenmesinde Temel İlkeler
a. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
b. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket; veri sahiplerinden alınan kişisel verilerin doğruluğunun ve güncelliğinin sağlanması için gerekli incelemeleri yapmakta ve veri girişinin yapıldığı elektronik platformların uygunluğunu denetlemektedir.
c. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, kişisel verilerin meşru ve hukuka uygun amaçlarla işlenmesini saptamak maksadıyla verilerin işleme amaçlarını açık ve net bir şekilde ortaya koymaktadır. Kişisel verilerin işleme amaçları veri sahipleri için hazırlanan aydınlatma metninde açıkça yer almaktadır.
d. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, veri işleme amaçlarının gerçekleşmesi ile sınırlı olmak üzere verilerin işlenmesini sağlamakta olup, işleme süresince ilgili verinin amacı dışında kullanılmaması için gerekli idari ve teknik tedbirleri almaktadır.
e. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirket uhdesinde bulunan kişisel veriler, işlendikleri amaç yerine getirilmesi için gerekli olan süre boyunca işlenecek olup sonrasında kanuni hükümlerin emrettiği süreler boyunca muhafaza edilecektir. Bu kapsamda Şirket; 6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunu kapsamında yaptığı işlemlere yönelik kayıtları 10 (on) yıl süresince saklamakla yükümlüdür.
İlgili sürelerin sona ermesi durumunda kişisel veriler Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi hakkında Yönetmelik’in ilgili hükümlerine uygun olarak silinecek, yok edilecek veya anonim hale getirilecektir.
3.2. Kişisel Verilerin Kanun’da Sayılı İstisnalar Kapsamında İşlenmesi
KVKK’nın 5. Maddesinin 1. fıkrasına göre kişisel verilerinin işlenmesi için temel şart olan veri sahibinin açık rızasının alınması kuralı ancak aynı maddenin 2. fıkrasında sayılan istisnaların uygulanması halinde zorunluluk arz etmemektedir. Veri sahibinin açık rızası dışında verinin işlenmesini hukuka uygun hale getiren diğer şartlara ilişkin açıklamalara aşağıda yer verilmiştir. Belirtmek gerekir bu şartlar kapsamında Şirket bünyesinde muhafaza edilen ve işlenen verilerin tamamı KVKK’nın 4. maddesinde yer verilen veri işlenmesinde uygulanması gereken temel ilkelere bağlı kalınarak işlenmektedir.
a. Kanun’da Açıkça Öngörülmesi
Veri sorumlusunun iştigal alanı dolayısıyla tabi olduğu mevzuat hükümlerince ilgili verilerin işlenmesi hüküm altına alındığı hallerde veri sahibinin açık rızası olmaksızın verilerin işlenmesi mümkündür.
b. Fiili İmkansızlık Sebebiyle Veri Sahibinin Açık Rızasının Alınamaması
Fiili imkansızlık nedeni ile açık rızası alınamayan veya rızasının hukuken geçerlilik arz etmeyeceği durumda olan kişilere ait kişisel verilerin ilgili kişinin veya 3. kişilerin beden bütünlüğünü korumak gibi üstün bir yararın bulunması halinde işlenmesi mümkündür.
c. Sözleşmenin Kurulması veya Sözleşmesel Yükümlülüklerin Yerine Getirilmesi
Sözleşmeden kaynaklanan yükümlülüklerin yerine getirilmesinin kişisel verinin işlenmesini zorunlu kılması halinde verilerin işlenmesi mümkündür.
d. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketin hukuki yükümlülüklerini yerine getirebilmesi için ilgili verilerin işlenmesinin zorunlu olması hallerinde veri sahibinin kişisel verileri işlenebilecektir.
e. Veri Sahibinin Kişisel Verilerini Alenileştirmesi
Veri Sahibi tarafından kamuya açılan bilgiler Şirket tarafından işlenebilecektir.
f. Bir Hakkın Tesisi, Kullanımı ve Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
g. Meşru Menfaatleri için Veri İşlemenin Zorunlu Olması
Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Şirket’in meşru menfaati gereğince ilgili verilerin işlenmesinin zorunlu olduğu durumlarda veri işlenmesi hukuka uygundur.
4. Kişisel Verilerin İşlenme Amaçları ve Koşulları
4.1. Amaç
Şirket nezdinde bulunan kişisel veriler aşağıdaki amaçlarla işlenmektedir;
a. Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası
b. İş ortakları veya üye işyerleri olan ilişkilerin yönetimi
c. Potansiyel iş ortakları ve üye işyerleri ile iletişimin sağlanması
d. Üye işyerleri üzerinden Şirket’e ait ödeme platformunu kullanarak hizmet/ürün alımı yapan tüketicilerin taleplerinin üye işyerlerine iletilmesi
e. Personel istihdamına ilişkin süreçlerin yönetimi
f. Şirket’in finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi
g. Dolandırıcılık faaliyetlerinin engellenmesi maksadıyla gerçekleştirilen işlemlere ilişkin kart bilgilerinin denetimi ve takibi
h. Şirket’in bankalar ile yürüttüğü ters ibraz prosedürlerinin yönetimi
i. Şirket’in hukuk işlerinin icrası/takibi
j. Kurumsal iletişim faaliyetlerinin planlanması ve icrası
k. Kurumsal yönetim faaliyetlerinin icrası
l. Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
m. Veri Sahibi’nin talep ve şikayet yönetimi
n. Yatırımcı ilişkilerinin yönetilmesi
o. Şirketi mevzuat hükümlerince denetime yetkili devlet kurumlarına mevzuattan kaynaklı bilgi verilmesi
4.2. Koşullar
Şirket nezdinde Politika’nın 4.1 maddesinde sayılan amaçlarla işlenen kişisel veriler için KVKK’nın 5. maddesinin 1. fıkrası çerçevesinde veri sahibinin açık rızası alınmakta veya aynı maddenin 2. fıkrasında yer alan ve işbu Politika’nın 3.2. maddesinde açıklanan koşulların gerçekleşmiş olması aranmaktadır.
5. Kişisel Verilerin Saklanma Süreleri
Şirket nezdinde bulunan kişisel veriler ilgili kanun ve mevzuatlarda öngörülen süreler boyunca saklanmaktadır. Bu kapsamda Şirketin 6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında yürütmekte olduğu faaliyete ilişkin kişisel veriler ilgili Kanun’un 23. Maddesi uyarınca 10 (on) yıl süre ile saklanacaktır. İşbu Kanun kapsamına doğrudan girmeyen faaliyetlerde kullanılan kişisel veriler ise verinin kullanım amacının devam etmesi şartıyla yürütülen ticari faaliyetin devamı boyunca işlenecek, kullanım amacının ortadan kalkması sonucunda da Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi hakkında Yönetmelik’in sair hükümlerine uygun bir şekilde silinecek, yok edilecek veya anonim hale getirilecektir. Konuya ilişkin ayrıntılı bilgiye işbu Politika’nın 7. Maddesinde detaylı olarak yer verilmiştir.
6. Kişisel Verilerin Aktarımı
Şirket, Politika’nın 4. maddesinde sayılan veri işleme amaçları çerçevesinde elde ettiği kişisel verileri KVKK’nın 8. maddesine uygun olarak yurtiçinde üye işyerleri, tedarikçiler, işbirliği yapılan şirket veya kişilere aktarabilmektedir.
7. Veri Sahibi ve Veri Kategorileri
Şirket nezdinde işlenen kişisel verilerin sahiplerinin 3 (üç) farklı kategoride olduğu tespit edilmiştir. Buna göre Veri Sahibi Kategorileri;
a. Çalışan/Çalışan Adayı: Şirket nezdinde istihdam edilmiş veya istihdam edilme potansiyeli olan gerçek kişileri;
b. Üye İşyeri ve Üye İşyeri Yetkilileri: Şirket ile ticari faaliyet yürüten veya yürütme ihtimali bulunan şahıs şirketi sahibi kişiler ile şirket yetkilisi kişileri;
c. Kullanıcı: Şirket platformu üzerinden ödeme yaparak üye işyerlerinden hizmet ve ürün satın alımı yapan gerçek kişileri ifade etmektedir.
Bu çerçevede Şirket tarafından veri sahibi kategorilerinden elde edilen kişisel veri tipleri ve amaçları aşağıda belirtilmiştir.
a. Çalışan/Çalışan Adayı
|
Veri Kategorileri |
Amacı |
|
Kimlik Bilgileri |
Şirket ile imzalanmış veya imzalanma olasılığı olan iş sözleşmeleri kapsamında hizmet verilmesi |
|
İletişim Bilgileri |
Şirket ile imzalanmış veya imzalanma olasılığı olan iş sözleşmeleri kapsamında hizmet verilmesi |
|
Özlük Bilgileri |
Şirket’in istihdam öncesi alacağı başvuruların değerlendirilmesi ve istihdam sırasında kanuni yükümlülüğünü yerine getirilmesi |
|
Fiziksel Mekan Güvenlik Bilgileri |
Personel’in giriş-çıkış saatlerinin denetim altına alınması ve güvenlik tedbirlerinin alınması |
|
Finansal Bilgiler |
Personel tarafından verilecek hizmete karşılık gelen ücretin yatırılması |
b. Üye İşyeri ve Üye İşyeri Yetkilisi
|
Veri Tipi |
Amacı |
|
Kimlik Bilgileri |
Ticari işbirliğinin yürütülmesi ve işbirliği amaçlarının yerine getirilmesi |
|
İletişim Bilgileri |
Ticari işbirliğinin yürütülmesi ve işbirliği amaçlarının yerine getirilmesi maksadıyla iletişime geçilmesi |
|
Banka Hesap Bilgileri |
Ticari işbirliği kapsamında ödemelerin yapılması |
8. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
Şirket KVKK ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi hakkında Yönetmelik’in ilgili hükümleri uyarınca işlemekte olduğu verileri, verilerin işlenmesini gerektiren koşulların ortadan kalkması halinde mevzuatta belirtilen usuller uygun şekilde verileri sileceğini, yok edeceğini veya anonim hale getireceğini kabul ve taahhüt eder. Bunun yanında Şirket, ilgili mevzuat hükümleri ve Türk Ceza Kanunu’nun 138. maddesi çerçevesinde kanunun belirlediği saklama ve işleme süreleri geçmiş kişisel verilerin de aynı usullerle silineceğini, yok edileceğini ve anonim hale getirileceğini kabul eder. İlgili yönetmelik çerçevesinde ve işbu Politika’da belirlenmiş imha politikası kapsamında silinmesi, yok edilmesi veya anonim hale getirilmesi gerekli kişisel veriler işbu Politika’nın yayınlandığı tarihten itibaren her 6 (altı) ayda bir gerçekleştirilecek silme, yok etme veya anonim hale getirme prosedürleri uygulanarak Şirket tarafından imha edilecektir.
9. Tanımlar
|
Kanun/KVKK |
Kişisel Verilerin Korunması Kanunu |
|
Kurul/Kurum |
Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu |
|
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
|
Açık rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Anonim hâle getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
|
Kişisel Verilerin Silinmesi |
Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
|
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
|
Kişisel verilerin işlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
Veri işleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. |
|
Veri sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
|
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
|
Aydınlatma Yükümlülüğü |
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
|
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
|
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
ÖDEAL ÖDEME KURULUŞU A. Ş.
