Kişisel Verilerin Korunması ve İşlenmesi Politikası

[Updated: 2019-04-30]


ÖNSÖZ


Saygıdeğer Müşterilerimiz,


CBANX TEKNOLOJİ A.Ş. olarak, siz değerli müşterilerimizin ve bizimle herhangi bir şekilde temas ederek herhangi bir kişisel verisini bize bırakmış olan herkesin kişisel veri güvenliğine saygı duymakta ve bu kapsamda verilerinizi hukuka uygun şekilde korumaktayız. Bilgilerinizin güvenliğinin sağlanması, olası ihlallerin önlenmesi amacıyla verilerinizi gerekli tüm tedbirleri alarak muhafaza etmekteyiz.


Hukuka ve dürüstlük kurallarına uygun olarak güvence altına alınan verilerinizle ilgili haklarınıza riayet edeceğimizi sizlere bildirir, bu bildirim ile aydınlatma yükümlülüğümüz çerçevesinde şirketimizin yürürlüğe sokulan Veri Politikasını sizlerle paylaşırız.


Sizlerden gelecek iyileştirme önerilerine, başvurularınıza ve olası şikayetlerinize karşı bütün duyarlılığı göstereceğimizden emin olabilirsiniz. CBANX TEKNOLOJİ A.Ş. olarak kişisel verilerinizle ilgili bütün tereddütlerinizde bizlere başvurabilirsiniz. Bizler bütün hizmetlerimizde olduğu gibi kişisel verilerinizin korunmasında da aynı hassasiyeti ve özeni göstereceğiz.



Saygılarımızla,


İçindekiler


1. Kişisel verilerin korunması ve işlenmesi politikasının amacı


2. Kişisel verilerin korunması ve işlenmesi politikasının kapsamı ve değiştirilmesi


3. Kişisel verilerin işlenmesi ile ilgili temel kurallar


4. Suçtan Elde Edilen Gelirle Mücadele Kapsamında Bilgi Paylaşımı


5. Veri işleme amaçları


6. Müşteri, muhtemel müşteri ve iş ve çözüm ortakları ile dış hizmet ortaklıklarının verisi


  1. Veri Sahibi Kategorileri

  2. Sözleşme ilişkisi için verinin toplanması ve işlenmesi

  3. İş ve Çözüm Ortakları, Dış Hizmet Ortaklıkları Verileri

  4. Reklam amaçlı veri işleme

  5. Şirketin hukuki yükümlülüğü veya kanunda açıkça öngörülmesi sebebiyle yapılan veri işlemleri Şirketin veri işlemesi

  6. Özel nitelikli verilerin işlenmesi

  7. Otomatik sistemlerle işlenen veriler


7. Kişisel verilerin yurt içi ve dışına aktarılması


8. İlgili kişinin hakları


9. Gizlilik İlkesi


10. İşlem güvenliği


11. Denetim


12. İhlallerin Bildirimi


13. Kişisel Verilerin Saklanma Süresi 




1. Kişisel verilerin korunması ve işlenmesi politikasının amacı


Bu politikanın temel amacı Cbanx Teknoloji A.Ş (“Şirket”) kurulduğu an itibariyle kişisel verilerin korunması hususunda son derece hassas olup Kişisel Verilerin Korunması Kanunu’nun (“KVK”) yürürlüğe girdiği tarih olan 7 Nisan 2016’dan itibaren mevzuat hükümlerine tam uyum sağlanması için gerekli çalışmaları yürütmektedir. Bu çalışmalar çerçevesinde Şirket ve hizmet sağlayıcıları tarafından hukuka uygun bir biçimde  muhafaza edilen ve işlenen kişisel verilerin yönetimi ve kişisel verilerin korunmasına yönelik güvenlik tedbirlerinin alınmasına ilişkin şeffaflığı sağlamak amacıyla  işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) 1 Nsan 2019 Tarihinde internet sitesinde yayınlanarak yürürlüğe girmiştir.


Şirket ile işbirliği içerisinde olan tüm üye işyerleri ve hizmet sağlayıcılarından elde edilen kişisel veriler,  potansiyel işyerleri ile hizmet sağlayıcılarından ve mevcut ve potansiyel çalışanlarımızdan elde edilecek kişisel veriler de işbu Politika kapsamında değerlendirilmektedir, korunmakta ve işlenmektedir.



2. Kişisel verilerin korunması ve işlenmesi politikasının kapsamı ve değiştirilmesi


Şirketimiz tarafından hazırlanan bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olarak hazırlanmıştır. Kanun, bugün itibariyle bütün hükümleri ile yürürlüğe girmiştir.


Sizlerden rızanızla ya da Kanunda sayılan diğer hukuka uygunluk gereği elde edilmiş veriler, sunmuş olduğumuz hizmetlerin daha kaliteli hale getirilmesi, sizlere sunulan hizmetlerin ve kalite politikamızın iyileştirilmesi amacıyla kullanılacaktır. Yine elimizdeki bazı veriler ise, kişisel olmaktan çıkarılmakta ve anonimleştirilmektedir. Bu veriler, istatistiki amaçlarla kullanılan verilerdir ve Kanun uygulamasına ve Politikamıza tabi değildir.


Şirket, Türk mevzuatı hükümlerine tabi olup, kripto para aracılığı ile ilgili her türlü yasal düzenleme gereğince kendisinden talep edilecek bilgileri ilgili mercilere iletmesi zorunludur.


Şirket, 5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında işlenen verilerin “şüpheli işlem” niteliğinde veriler olması halinde ilgili kurumlara iletmek ile yükümlüdür. İşbu kanuni yükümlülükler, kişisel verilerin korunması ve işlenmesi hükümlerinin ihlali kapsamında değerlendirmeye tabi değildir.


Şirketimiz, politikamızı ve Yönetmeliğimizi -Kanuna uygun olmak ve kişisel verilerin daha iyi korunması şartı ile- değiştirme hakkına sahiptir.



3. Kişisel verilerin işlenmesi ile ilgili temel kurallar


  1. Hukuka ve dürüstlük kurallarına uygun olma: Şirket topladığı ya da kendisine diğer şirketlerden gelen verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmesine ve amacıyla orantılı şekilde işlenmesine önem verir.

  2. Doğru ve gerektiğinde güncel olma: Şirket, kurum bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve nihayet kişisel verilerde değişiklik olduğu takdirde bunları kendisine iletildiği takdirde güncellemeye önem verir. Kimlik tespitine ilişkin veriler, kanuna uygun olarak işlenmek ile Mali Suçları Araştırma Kurulu tarafından yayınlanan tebliğlere uygun olarak doğruluğu ve güncelliği tespit edilmektedir.

  3. Belirli, açık ve meşru amaçlar için işlenme: Şirket, ancak sunduğu ve hizmet sırasında kişilerden onayını aldığı amaçlarla sınırlı şekilde verileri işler. İş amacı dışında verileri işlemez, kullanmaz ve kullandırtmaz. Anonim hale getirilmiş veriler işbu kapsam dışında kullanılabilecektir.

  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirket, sadece verileri işlendikleri amaçla sınırlı ve hizmetin gerektirdiği ölçüde kullanır, amaca uygun kullanıma ilişkin ilgili tedbirleri alır.

  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Şirket, sözleşmeler kaynaklı verileri Kanunun ihtilaf çıkma süreleri, ticaret ve vergi hukukunun gereklilikleri kadar bünyesinde muhafaza eder. Buna karşın bu amaçlar ortadan kalktığında veriyi siler ya da anonimleştirir. Bunları Kişisel Verileri Silme Yönergesi’ne göre siler veya yok eder.


Önemle belirtelim ki, kişisel veriler ister rızaya dayanarak isterse kanuna uygun bir şekilde toplamış ya da işlemiş olsun yine de yukarıda sıraladığımız bu ilkeler geçerlidir.


KVK.m.11’e göre Kişisel Veri Sahibi olarak aşağıda sayılan haklarınız bulunmaktadır. Bu haklarınızı kolaylaştırmak için sizler için ayrıca bir başvuru formu da hazırlanmış ve web sayfamızda sizlere sunulmuştur.


Kişisel verileri işlenen kişiler, KVK m. 13 uyarınca web sayfamızda paylaşılan başvuru formunu doldurup usulüne uygun şekilde tarafımıza ulaştırarak kendi verisi ile ilgili olarak başvuru tarihi itibariyle 30 (otuz) gün içerisinde aşağıda yer alan bilgileri temin edebileceklerdir;


  1. Kişisel verinizin işlenip işlenmediğini öğrenme,

  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

  6. Kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

  7. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,


        haklarına sahiptir.


Şirketimiz veri sahiplerine eksiksiz ve güvenli bir hizmet sağlamak maksadıyla başta veri sahibine ait kimlik bilgileri dahil olmak üzere ek bilgi ve belgeleri veri sahibinden isteyebilecektir.



4. Suçtan Elde Edilen Gelirle Mücadele Kapsamında Bilgi Paylaşımı


MASAK mevzuatı açısından sayfa girişinde üyeliğe ilişkin tespitler yapılmakta ve şüpheli işlem bildirimleri kapsamında ilgili mercilere bildirimler yapılabilmektedir. Bu tespitlerle kişinin kimlik bilgileri gerektiğinde yetkili makamlara sunulabilmelidir.



5. Veri işleme amaçları


Şirketimiz nezdinde bulunan kişisel veriler aşağıdaki amaçlarla işlenmektedir;


  1. Kurumsal faaliyetlerin planlanması ve icrası,

  2. Şirket politikasının belirlenmesi,

  3. Hizmet alımı çerçevesinde bankalar, iş ortakları ve üye işyerlerindeki faaliyetlerin icrası,

  4. Kurumsal iletişimin şirket bünyesinde, potansiyel iş ortakları veya üye işyerleri ile sağlanması

  5. Üye işyerleri üzerinden Şirket’e ait ödeme platformunu kullanarak hizmet/ürün alımı yapan tüketicilerin taleplerinin üye işyerlerine iletilmesi

  6. Personel istihdamına ilişkin süreçlerin yönetimi

  7. Şirket’in finansal raporlama, risk yönetimi, iç kontrol ve denetim işlemlerinin icrası/takibi

  8. Kişisel verilerin güvenliğinin sağlanması amacıyla ilgili güvenlik önlemlerinin alınması ve güvenlik planının icrası/takibi,

  9. Hukuki danışmanlık faaliyetleri ve danışmanlık alınması kapsamında,

  10. Şirkete ödeme hizmeti kullanıcısı veya 3. Kişilerce yöneltilen başvuru, şikayet veya itiraz taleplerinin değerlendirilmesi,

  11. Yatırım faaliyetlerinin yürütülmesi,

  12. Mevzuatta Şirketin bilgi ve belge verme yükümlülüğünün icrası.


Şirket nezdinde yukarıda sayılan amaçlarla işlenen kişisel veriler için KVK’nın 5. Maddesinin 1. Fıkrası çerçevesinde veri sahibinin açık rızası alınmakta veya aynı maddenin 2. Fıkrasında yer alan ve işbu Politika’nın açıklanan istisnai koşulların gerçekleşmiş olması aranmaktadır.



6. Müşteri, muhtemel müşteri ve iş ve çözüm ortakları ile dış hizmet ortaklıklarının verisi


Politika kapsamında değerlendirilen verilere ilişkin detaylar Veri Sahibi ve Kategorileri olarak aşağıda belirtilmiş olup, detaylı açıklamalara da başlıklar halinde yer verilmiştir.


Veri Sahibi Kategorileri


  1. Çalışan/Çalışan Adayı: Şirketimiz nezdinde istihdam edilmiş veya istihdam edilme potansiyeli olan gerçek kişileri,

  2. İş ve çözüm ortaklıkları ile dış hizmet ortaklıkları: Şirketimiz ile ticari faaliyet yürüten veya yürütme ihtimali bulunan tüzel veya gerçek kişileri,

  3. Kullanıcı: Ödeme Hizmetleri Kullanıcısı olarak 6493 Sayılı Ödeme Ve Menkul Kıymet Mutabakat Sı̇stemlerı̇, Ödeme Hı̇zmetlerı̇ Ve Elektronı̇k Para Kuruluşları Hakkında Kanun madde 3’te tanımlanan kullanıcıyı


ifade etmektedir.


  1. Çalışan/Çalışan Adayı

    Şirketi potansiyel çalışan adayları ile çalışanlarına ait bilgileri ancak politikada belirtilen kapsamda , iş ilişkisi kurulması veya devam ettirilmesi, iş ilişkisinin tesisinde şirkete ait edimlerin yerine getirilmesi gibi amaçlarla bağlı kalmak üzere kimlik bilgisi, iletişim bilgileri, özlük bilgileri, fiziksel mekan güvenlik bilgileri, finansal bilgileri gibi çalışanın açık onayı ile kullanabilecektir.

  2. İş ve çözüm ortaklıkları ile dış hizmet ortaklıkları

    Şirketin faaliyetleri kapsamında kuracağı iş ve çözüm ortaklıkları ile dış hizmet ortaklıklarında sözleşmenin ifası ve şirketin hizmetinin yürütülmesi amacıyla ortaklıklara ve temsilcilerine ilişkin kimlik bilgileri, iletişim bilgileri, mali bilgileri, ortaklık yapısına ilişkin bilgiler ve sair bilgiler şirket tarafından 3. Kişiler ile kanunda öngörülen durumlar ve güvenlik önlemlerinin alınması istinaları haricinde paylaşılmamak üzere kullanılabilecektir.

  3. Kullanıcı

    Kanunda sayılan faaliyetleri sunmak, hizmetin iyileştirilmesini sağlamak amaçları ile kimlik bilgileri, iletişim bilgileri, ödeme hizmetinin ifasına ilişkin mali bilgiler ve sair bilgiler kullanıcının açık onayı ile kullanılabilecektir. 


Sözleşme ilişkisi için verinin toplanması ve işlenmesi


Tarafımız Ödeme Hizmeti Sağlayıcısı bir kuruluş olarak hizmet tesisinde kanunda öngörülmüş bilgi ve belgeleri talep etmekle yükümlü olup, bu bilgilerin işlenmesinde müşterinin onayı aranmayacaktır. Müşterilerimiz ve muhtemel müşterilerimizle bir sözleşme ilişkisi kapsamında toplanmış olan kişisel veriler, müşterinin onayı alınmaksızın sözleşme amacıyla bağlı olarak kullanılabilir. Sözleşmenin daha iyi icrası ve hizmetin gereklilikleri ölçüsünde veriler kullanılır ve gerektiğinde müşterilerle irtibata geçilerek güncellenir.


İş ve Çözüm Ortakları, Dış Hizmet Ortaklıkları Verileri


Şirket iş ve çözüm ortaklıkları, dış hizmet alınan ortaklıklarıyla veri paylaşımı yaparken hukuka uygun davranmayı ilke edinir. İş ve çözüm ortakları, dış hizmet alınan ortaklıkları ile veri gizliliği taahhüdü ile ve ancak hizmetin gerektirdiği kadar veri paylaşılmakta ve bu taraflardan mutlaka veri güvenliğinin alınmasına ilişkin tedbirleri almaya zorlanmaktadır.


Reklam amaçlı veri işleme


E-Ticaretin Düzenlenmesi Hk. Kanun’un ile Ticari İletişim ve Ticari Elektronik İletiler Hk. Yönetmeliğe uygun olarak ancak önceden onay alınan kişilere reklam amaçlı elektronik ileti gönderilebilir. Reklamın gönderileceği kişinin onayının açık bir şekilde mevcudiyeti şarttır.


Alınacak onay, şirketinizin mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği tüm ticari elektronik iletileri kapsamalıdır. Bu onay, yazılı olarak fiziki ortamda veya her türlü elektronik iletişim aracıyla alınabilir. Önemli olan, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresinin bulunmasıdır.


Şirketin hukuki yükümlülüğü veya kanunda açıkça öngörülmesi sebebiyle yapılan veri işlemleri


Kişisel veriler, politikanın amaç kısmında da belirtildiği üzere işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.


Şirketin veri işlemesi


Şirketin sunduğu hizmet ve meşru amaçları doğrultusunda kişisel veriler işlenebilir. Ancak veriler hiçbir şekilde hukuka aykırı hizmetler için kullanılamaz.


Örneğin, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, veri sahibinin kişisel verilerini alenileştirmesi, fiili imkansızlık nedeni ile açık rızası alınamayan veya rızasının hukuken geçerlilik arz etmeyeceği durumda olan kişilere ait kişisel verilerin ilgili kişinin veya 3. Kişilerin beden bütünlüğünü korumak gibi üstün bir yararın bulunması halinde veri sahibinin kişisel verileri işlenebilecektir.


Özel nitelikli verilerin işlenmesi


Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.


Özel nitelikli veriler ancak kişilerin açık rızası alınarak, toplandıkları amaç ile sınırlı kalmak üzere Kurul tarafından belirlenen yeterli önlemlerin alınması halinde işlenebilecektir.


Otomatik sistemlerle işlenen veriler


Kanuna uygun olmak üzere otomatik sistemler aracılığı ile veriler işlenebilecektir. Kişilerin açık rızası olmaksızın bu verilerden elde edilen bilgiler kişi aleyhine kullanılamaz. Ancak Şirket kendi sistemindeki verileri kullanarak işlem yapacağı kişilerle ilgili kararlar alabilir, bu kararlar doğrultusunda verilerin 5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında “şüpheli işlem” niteliğinde veriler olması halinde Şirket verileri ilgili kurumlara iletmek ile yükümlüdür.



7. Kişisel verilerin yurt içi ve dışına aktarılması


Kişisel veriler, hizmetin görülebilmesi amacıyla hakim hissedar ile ayrıca iş ve çözüm ortakları, dış hizmet ortaklıkları ile paylaşılabilir.


Şirket, kişisel verileri kanuna uygun şekilde hizmet politikasının iyileştirilmesi amacıyla kişi ve kurumlara aktarabilecektir.


Şirket, Kurul tarafından belirlenen şartlar dahilinde kişisel verileri Kanundaki diğer şartlara uygun olarak ve kişinin onayına bağlı olarak yurt içi ve yurt dışına aktarma yetkisine sahiptir.



8. İlgili kişinin hakları


Şirket, Kanun kapsamında ilgili kişinin veri işlenmeden önce onayını alma hakkının olduğunu, verinin işlenmesinden sonra ise verisinin kaderini tayin etme hakkına sahip olduğunu kabul etmektedir.


Kişisel verileri işlenen kişiler, KVK m. 13 uyarınca web sayfamızda paylaşılan başvuru formunu doldurup usulüne uygun şekilde tarafımıza ulaştırarak kendi verisi ile ilgili olarak başvuru tarihi itibariyle 30 (otuz) gün içerisinde “Kişisel Bilgilerin İşlenmesi” Kısımında yer alan bilgileri temin edebileceklerdir.


Buna karşın,


Şirket içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır. Şirket, kişisel verileri, iş ve sözleşme ilişkisi gereğince, bir yargısal görevin ya da devlet otoritesinin Kanuni yetkilerini kullanması amacıyla ilgili kurum ve kuruluşlarca paylaşabilir.



9. Gizlilik İlkesi


İster çalışanlar isterse diğer kişilerin şirketçe elde edilen verileri gizlidir. Hiç kimse sözleşme ya da kanuna uygunluk olmaksızın başkaca hiçbir amaç için bu verileri kullanamaz, kopyalayamaz, çoğaltamaz, başkalarına aktaramaz, iş amaçları dışında kullanamaz. Veri güvenliği ve gizliliğin sağlanması amacıyla Şirket güvenli noktalarda veri saklama merkezleri ve yazılım sistemi sağlayıcıları ile işbirliği içindedir. Bu ilkenin ihlali halinde kanunda sayılan yaptırımlar uygulanacaktır.



10. İşlem güvenliği


Şirket tarafından işbu politika ilgili mevzuat çerçevesinde toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve ödeme hizmeti kullanıcılarının mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve şirket içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.

 

11. Denetim


Şirket, kişisel verilerin korunması konusunda gerekli iç ve dış denetimleri yaptırır.



12. İhlallerin Bildirimi


Şirket işbu politika çerçevesinde kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde söz konusu ihlali gidermek için derhal harekete geçer. İlgilinin zararını en aza indirir ve zararı telafi eder. Kişisel verilerin dışarıdan yetkisiz kimselerce ele geçirildiğinde durumu derhal Kişisel Verileri Koruma Kurulu’na bildirir.



13. Kişisel Verilerin Saklanma Süresi


Şirket, yürütmekte olduğu faaliyete ilişkin kişisel verileri ilgili Kanun’un 23. Maddesi uyarınca 10 (on) yıl süre ile saklamaktadır. İşbu Kanun kapsamına doğrudan girmeyen faaliyetlerde kullanılan kişisel veriler ise verinin kullanım amacının devam etmesi şartıyla yürütülen ticari faaliyetin devamı boyunca işlenecek, kullanım amacının ortadan kalkması sonucunda da Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi hakkında Yönetmelik’in sair hükümlerine uygun bir şekilde silinecek, yok edilecek veya anonim hale getirilecektir.