TTM ELEKTRONİK PARA VE ÖDEME HİZMETLERİ A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası "Politika", veri sorumlusu sıfatıyla hareket eden Bupara Elektronik Para ve Ödeme Hizmetleri A.Ş. "Bupara" tarafından aşağıda sayılmış bulunan gerçek kişi veri sahiplerine ait 6698 sayılı Kişisel Verilerin Korunması Kanunu'na "Kanun" uygun olarak elde edilen ve işbu Politika'nın 1. Maddesinde detaylıca listelenmiş olan kişisel verilerin Kanun'a uygun olarak işlenmesi ve korunmasına ilişkin açıklamalarda bulunmak amacıyla kaleme alınmıştır. Bupara, Kanun'daki yükümlülüklerine uygun olarak ve hukuka ve dürüstlük kuralına uygun şekilde veri işleme faaliyetinde bulunduğunu, kamuoyuna açık Aydınlatma Metni ile www.bupara.com web sitesinden veri sahiplerini ve ilgilileri bilgilendirmektedir. Kullanıcılar (Gerçek Müşteriler olarak anılacaktır), potansiyel kullanıcılar (potansiyel müşteriler olarak anılacaktır), Bupara hissedarları, yetkilileri, çalışanları ve çalışan adayları, iş ortağı hissedarları, yetkilileri ve çalışanları, temsilci hissedarları, yetkilileri ve çalışanları, ziyaretçiler ve ilgili diğer tüm üçüncü kişiler, veri sahibi sıfatıyla işbu Politika'nın uygulama alanında bulunmaktadır. Bupara mevzuat değişikliklerine uyum sağlamak amacıyla işbu Politika'yı değiştirecek ve güncelleyecektir.

1. BUPARA TARAFINDAN İŞLENEN KİŞİSEL VERİLER
Veri Kategorisi Açıklama
Kimlik Bilgisi Ad-soyad, TCKN, nüfus cüzdan bilgileri, sabıka kaydı bilgisi, vukuatlı nüfus kayıt bilgisi, ikametgah bilgisi, ehliyet bilgisi, özgeçmiş bilgisi vb.
İletişim Bilgisi Telefon numarası, e-posta bilgisi, adres bilgisi vb.
Kurumsal Bilgi Unvan, vergi numarası, vergi levhası, imza sirküleri, firma yönetici ve çalışan bilgileri vs.
Temsicli Bilgisi Temsilci yetkilisi adı soyadı, adresi, vs.
Sağlayıcı Bilgisi Sağlayıcı adı, sağlayıcı kodu, lehdar kodu, KDV beyannamesi kayıt belgesi, mali şema bilgisi, servis bilgisi (servis adı, servis türü, servis kodu, servis tarife planı) vs.
Kullanıcı Bilgisi Kullanıcı adı soyadı, kullanıcı grup bilgisi, kullanıcı şifresi vb.
Finansal Bilgi Banka adı, hesap numarası, IBAN numarası, bakiye bilgisi vs.
Evrak Bilgisi Sözleşmeler, mahkeme ve idari merci evrakları vb.
Kullanıcı İşlem Bilgisi İşlem sahibi bilgisi, işlem numarası, işlemin oluşturulma tarihi, işleme alınma tarihi, ödeme tarihi, işlem tutarı,vb.
Fiziksel Mekan Güvenlik Bilgisi İşe giriş çıkış log kayıtları, ziyaretçi kayıtları, kamera kayıtları, parmak izi kontrol kayıtları vb.
Özlük Bilgisi Bordro bilgisi, SGK bilgisi, yıllık izin-mazeret tutanakları, görev değişikliği formları, iş sözleşmeleri, bilgi güvenliği taahhütnameleri ve sayılanlarla sınırlı olmaksızın kanunen özlük dosyasına girmesi gereken her türlü bilgi ve belge
Çalışan Bilgisi Özel sağlık sigortası, yan hak bilgileri, performans değerlendirme raporları, mail izleme bilgisi vb.
Çalışan Adayı Bilgisi Özgeçmiş, mülakat notları, kişilik envanteri kayıtları vb.
Talep/Şikayet Yönetimi Bilgisi Kullanıcılar tarafından iletilen her türlü talep ve şikayet, işlemin gerçekleşme esnasında eklenen her türlü yorum ve bunlara ilişkin her türlü kayıt ve raporlar
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Bupara tarafından Kanun'un 1. ve 2. Maddeleri uyarınca toplanan kişisel veriler, aşağıda detaylıca açıklanan amaçlar doğrultusunda ve Kanun'un 5. ve 6. Maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir. İşbu verilerin işlenmesi sırasında aşağıdaki ilkelere uygun davranılacağı Bupara tarafından beyan ve taahhüt edilmektedir.

- Bupara, her türlü kişisel veri işleme sürecinde hukuka ve dürüstlük kurallarına uygun davranacaktır.
- Bupara, veri sorumlusu olarak işlediği her türlü kişisel verinin doğru ve güncel olmasını sağlayacaktır.
- Bupara, veri sorumlusu olarak veri işleme faaliyetlerini belirli, açık ve meşru amaçlarla sınırlı tutacaktır.
- Bupara, veri sorumlusu olarak elde ettiği kişisel verileri, veri sahibine bildirilen işleme amacıyla bağlantılı, sınırlı ve ölçülü şekilde işleyecektir.
- Bupara, veri sorumlusu olarak işlediği her türlü kişisel veriyi, ilgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan süre kadar muhafaza edecektir.

3. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ

İşbu Politika'nın 2. Maddesinde detaylıca belirtilmiş olan kişisel veriler; sayılanlarla sınırlı olmamak üzere doğrudan insan kaynakları süreçleri aracılığıyla, doğrudan temsilci, sağlayıcı ve/veya iş ortaklarımız aracılığıyla, web sitemizi ve sosyal medya hesaplarımızı kullanırken mevzuat gereği kaydedilen bağlantı bilgileri, elektronik olarak doldurduğunuz iletişim formları, işyeri, ofis ve temsilcilerimizde doldurmuş olduğunuz sair formlar ve çevrimiçi kanallar üzerinden Şirketimiz ile yapmış olduğunuz yazılı veya sözlü iletişimler aracılığıyla paylaşmış olduğunuz bilgi ve belgeler, elektronik posta sistemi üzerinden Şirketimize göndermiş olduğunuz elektronik postalar, faks veya mektup gibi araçlar üzerinden Şirketimize göndermiş olduğunuz bilgi ve belgeler, telefon kanalı üzerinden call center ile veya doğrudan Şirketimiz ve/veya iş ortaklarımız, temsilcilerimizle yapmış olduğunuz görüşmelerde paylaştığınız bilgi ve belgeler, Şirketimiz ile imzalamış olduğunuz her türlü sözleşme ve sair her türlü yolla sözlü, yazılı veya elektronik ortamda paylaştığınız kişisel veriler kısmen veya tamamen otomatik olan veya olmayan yöntemlerle Kanun'un 1. ve 2. Maddelerine uygun olarak toplanmaktadır.

4. KİŞİSEL VERİLERİN İŞLENME AMACI

Bupara tarafından Kanun'un 1. Ve 2. Maddeleri uyarınca toplanan ve işbu Politika'nın 2. Maddesinde detaylıca sayılmış olan kişisel veriler, aşağıda yer verilecek amaçlar doğrultusunda ve Kanun'un 5. ve 6. Maddelerinde belirtilen kişisel veri işleme şartları ve amaçlarına uygun olarak Bupara ve/veya Bupara'nın iş birliği içinde olduğu veya yetkilendirdiği temsilciler dahil gerçek ve tüzel kişiler tarafından işlenebilecek, aktarılabilecek ve muhafaza edilebilecektir.

- Bupara tarafından sunulan hizmetlerin ve iş faaliyetlerinin ifası ve icrası ile bu hizmetlerden ilgili kişileri faydalandırmak amacıyla gerekli çalışmaların yapılması ve iş süreçlerinin yürütülmesi,
- Bupara hizmet ve faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerin planlanması ve icrası,
- Bupara tarafından sunulan hizmetlere ilişkin, güncel kampanya ve ödeme araçlarının kullanılabileceği, özellikle Müşterilerin elektronik para hizmetini daha geniş alanda ve efektif kullanmasında yararlı olacak bilgilerinin paylaşıması,
- Bupara'nın ve onunla iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi,
- Sair sözleşme veya ticari ilişkiler kapsamında ilgili kişilerle iletişim kurulması,
- Denetim faaliyetlerinin planlanması ve/veya icrası,
- Yetkili kuruluşlara mevzuat kaynaklı bilgi verilmesi,
- Bupara operasyonlarının güvenliğinin temini,
- Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası,
- Bilgi teknolojileri altyapısının oluşturulması ve yönetilmesi
- Finans, muhasebe ve/veya faturalandırmaya ilişkin süreçlerin takibi,
- Hukuki süreçlerin takibi, hukuki yükümlülüklerin yerine getirilmesi,
- Resmi kurumlarla iletişim ve yazışmaların gerçekleştirilmesi,
- Müşteri talep ve/veya şikayetlerinin takibi,
- Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
- Müşteri ilişkileri yönetimi süreçlerinin icrası,
- Temsilci, sağlayıcı ve/veya sair iş ortaklarıyla olan ilişkilerin yönetimi süreçlerinin icrası,
- Temsilci, sağlayıcı ve/veya sair iş ortaklarının erişim yetkilerinin planlanması ve/veya icrası,
- Müşteri memnuniyeti aktivitelerinin planlanması ve sağlanması,
- Verilerin doğru ve güncel olmasının sağlanması
- Sağlanan hizmetlere ilişkin sistemsel kayıtların tutulması ve raporlamaların gerçekleştirilmesi
- İş faaliyetlerine ilişkin analizlerin planlanması ve/veya icrası,
- İş sağlığı ve güvenliği süreçlerinin planlanması ve/veya icrası,
- İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası
- İnsan kaynakları süreçlerinin ve ihtiyaçlarının planlanması ve/veya icrası,
- Personel istihdamına ilişkin süreçlerin yönetilmesi
- Çalışanlar için yan haklar ve menfaatlerin planlanması ve/veya icrası,
- Çalışanların performans değerlendirme süreçlerinin planlanması ve/veya takibi,
- Çalışanların erişim yetkilerinin planlanması ve/veya icrası,
- Şirket yerleşkesinin, demirbaşlarının ve kaynakların güvenliğinin temini
- Meydana gelebilecek diğer tüm operasyonel faaliyetlerin icrası

5. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kanun'un 1. ve 2. Maddeleri uyarınca toplanan ve işbu Politika'nın 2. Maddesinde detaylıca sayılmış olan kişisel veriler, Bupara tarafından veri sahibinin açık rızası doğrultusunda her türlü işleme sürecine dahil edilebilecektir. İşbu veriler Bupara tarafından Kanun'un 5. Maddesi uyarınca aşağıda belirtilen hallerde açık rıza aranmaksızın dahi işlenebilecektir:

- Kanunlarda açıkça öngörüldüğü hallerde,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olduğu hallerde,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgisi olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olduğu hallerde,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu hallerde,
- İlgili kişinin kendisi tarafından alenileştirildiği hallerde,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olduğu hallerde.

Kanun'un 1. ve 2. Maddeleri uyarınca toplanan ve kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini içeren veriler ise "özel nitelikli kişisel veriler" olup; bu veriler Bupara tarafından veri sahibinin açık rızası doğrultusunda her türlü işleme sürecine dahil edilebilecektir. İşbu veriler Bupara tarafından Kanun'un 6. Maddesi uyarınca aşağıda belirtilen hallerde açık rıza aranmaksızın dahi işlenebilecektir:

- Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler açısından; kanunlarda açıkça öngörüldüğü hallerde,
- Sağlık ve cinsel hayata ilişkin veriler açısından; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlendiği hallerde.

6. KİŞİSEL VERİLERİN AKTARILMASI

Kanun'un 1. Ve 2. Maddeleri uyarınca toplanan ve işbu Politika'nın 2. Maddesinde detaylıca sayılmış olan kişisel veriler, Bupara tarafından veri sahibinin açık rızası doğrultusunda yurt içi ve yurt dışında aktarım süreçlerine konu edilebilecektir. Bu veriler, Bupara tarafından işbu Politika'nın 4. Maddesinde detaylıca açıklanmış olan işlenme amaçları doğrultusunda ve işbu Politika'nın 5. Maddesinde Kanun'a uygun olarak kişisel veriler ve özel nitelikli kişisel veriler için ayrı ayrı sayılmış işlenme şartlarından birinin varlığı halinde iştiraklerimiz, hissedarlarımız, iş ortaklarımız, temsilcilerimiz, servis sağlayıcılarımız, denetçilerimiz, kanunen yetkili kamu kurum ve kuruluşları ile özel kurum ve kuruluşlar, meslek kuruluşları ve benzeri kuruluşlar, denetleyici ve düzenleyici makamlar, mevzuat hükümlerinin izin verdiği özel kişiler ile diğer kişi ve kuruluşlarla Kanun'un 8. Ve 9. Maddelerinde belirtilen kişisel verilerin aktarılması şartları ve amaçları çerçevesinde paylaşılabilecek ve aktarılabilecektir. İşbu verilerin açık rıza aranmaksızın yurtdışına aktarımında; yukarıda açıklanmış şartların yanında Kanun'un 9. Maddesine uygun olarak; verinin aktarılacağı yabancı ülkede -yeterli korumanın bulunması, -yeterli korumanın bulunmaması durumunda Bupara'nın ve ilgili yabancı ülkedeki veri sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması aranacaktır.

7. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ

Bupara ve/veya Bupara'nın iş birliği içinde olduğu veya yetkilendirdiği temsilciler dahil gerçek ve tüzel kişiler, ilgili mevzuatlar uyarınca kişisel verilerin daha uzun süre muhafaza edilmesine cevaz verilen veya zorunlu tutulan haller saklı kalmak kaydıyla; kişisel verileri ilgili mevzuatta öngörülen ve işbu Protokol'de bildirilen işlenme amaçlarına ve ticari teamüllere uygun olarak yalnızca belirli bir süre boyunca muhafaza etmektedir. Veri işleme amacının ortadan kalkması halinde resen veya veri sahibinin talebi üzerine işbu verileri silmekte, yok etmekte veya anonim hale getirmektedir.

8. KİŞİSEL VERİLERİN GÜVENLİĞİ

Bupara ve/veya Bupara'nın iş birliği içinde olduğu veya yetkilendirdiği temsilciler dahil gerçek ve tüzel kişiler tarafından Kanun'un 1. Ve 2. Maddelerine uygun olarak toplanan kişisel veriler, Bupara veri tabanında Kanun'un 12. Maddesi çerçevesinde gizli olarak saklanacak, hukuka aykırı olarak erişilmesi ve işlenmesi önlenecek ve muhafazası sağlanacaktır. Bupara, kişisel veri barındıran sistemlerin yetkisiz erişimlere ve hukuka aykırı işlemlere karşı korunmasına ilişkin gerekli güvenlik önlemleri dahil her türlü teknik ve idari tedbiri aldığını, bu konuda en üst düzeyde dikkat ve özeni gösterdiğini ve bu kapsamda gerekli denetimleri yapmakta veya yaptırmakta olduğunu beyan ve taahhüt etmektedir. Bupara'nın gerekli tedbirleri almasına karşın kişisel verilerin zarar görmesi veya kanuni olmayan yollarla üçüncü kişilerin eline geçmesi durumunda Bupara, durumu derhal veri sahibine ve Kurul'a bildirmekle yükümlüdür.

9. VERİ SAHİBİNİN HAKLARI

Kanun'un 11. Maddesi kapsamında veri sahipleri olarak sizler; veri sorumlusu sıfatıyla hareket eden Bupara'ya karşı aşağıda listelenen haklara sahipsiniz:

- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkmış olması halinde kişisel verilerinizin silinmesini, yok edilmesi veya anonim hale getirilmesini isteme, bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme.

Veri sahibi olarak yukarıda bahsi geçen haklarınıza ilişkin taleplerinizi; [www.bupara.com] adresinde yer alan Kişisel Veri Sahibi Başvuru Formunu doldurarak kimliğinizi tespit edici gerekli bilgiler ile birlikte [destek@bupara.com] e-posta adresimize güvenli elektronik imza ile imzalayarak gönderebilir yahut işbu formun ıslak imzalı kopyasını bizzat elden veya noter aracılığıyla yahut iadeli taahhütlü mektupla "Defterdar Mh. Otakçılar Cd. Kar Plaza No: 80/D-4 Eyüpsultan, İstanbul, Türkiye" adresimize gönderebilirsiniz. Kişisel veri sahibi adına üçüncü bir kişi tarafından talepte bulunulması durumunda ayrıca, başvuruda bulunacak kişi adına noter aracılığıyla düzenlenmiş vekaletnameyi ibraz etmeniz gerekmektedir.

Bupara, talebinizin niteliğine göre Kanun'da öngörüldüğü üzere en geç otuz gün içerisinde tarafınıza ücretsiz olarak yazılı cevap vermek suretiyle başvurunuzu sonuçlandırmayı beyan ve taahhüt etmektedir. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde Bupara'nın Kurulca belirlenen tarifedeki ücreti talep etme hakkı saklıdır.

Kişisel veri sahibinin Kanun'un 14. Maddesi gereğince başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya başvurusuna süresinde cevap verilmemesi hallerinde; cevabı öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurul'a şikayette bulunma hakkı mevcuttur.

10. VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER

İşbu Politika'nın uygulama alanında bulunan veri sahipleri, aşağıda sayılan haller Kanun'un 28/1. Maddesi uyarınca kapsam dışı bırakıldığından, 9. Maddede açıklanmış haklarını Bupara'ya karşı ileri süremezler:

- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bununla birlikte işbu Politika'nın uygulama alanında bulunan veri sahipleri, aşağıda sayılan hallerde Kanun'un 28/2. Maddesi gereği, 9. Maddede açıklanmış haklarından zararın giderilmesini talep etme hakkı hariç diğer haklarını Bupara'ya karşı ileri süremezler:

- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.