Kişisel Verileri İşleme, Koruma, Saklama ve İmha Politikası
1. Giriş
Kişinin kendisiyle ilgili, kişisel verileri hakkında bilgilendirilme, verilere erişme, verilerin düzeltilmesini veya silinmesini talep etme, amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme haklarını içerisine alan kişisel verilerin korunması hakkı, Türkiye Cumhuriyeti Anayasası kapsamında korunmaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu (**“KVKK”**ya da “Kanun ”) ile kişisel verilerin işlenmesi, veri sahibi kişilerin temel hak ve özgürlükleri ve verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir.
Anayasal hak olan kişisel verilerin korunması kapsamında, Paribu Kripto Varlık Alım Satım Platformu A.Ş. ("Şirket" veya “Paribu ”) işbu metin ile ilgili kişilerin kişisel verilerinin işlenmesini, korunması saklanmasını ve imha edilmesini bir Şirket politikası haline getirmiştir.
Bu politikanın kapsamına giren her türlü kişisel veri işleme faaliyeti için veri sorumlusunun kimliğine ilişkin bilgiler aşağıda verilmektedir.
Veri Sorumlusu: PARİBU KRİPTO VARLIK ALIM SATIM PLATFORMU ANONİM ŞİRKETİ
Adres: Huzur Mahallesi Maslak Ayazağa Caddesi Uniq İstanbul Sitesi B Blok No: 4B Sarıyer/ İstanbul (TÜRKİYE)
Telefon Numarası: 0850 303 6000
E-posta Adresi: [email protected] / [email protected]
2. Amaç
İşbu Kişisel Verileri İşleme, Koruma, Saklama ve İmha Politikası (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK ") uyarınca açıklanan temel ilkeler çerçevesinde getirilecek düzenlemelerin Kripto Varlık Alım Satım Platformu A.Ş. bünyesinde etkin bir şekilde uygulanması amaçlanmaktadır.
3. Kapsam
Bu politika, Paribu Kripto Varlık Alım Satım Platformu A.Ş. tarafından gerçekleştirilen veri işleme, koruma, saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Şirketin çalışanları, çalışan adayları, müşterileri, fiziksel ve sanal ziyaretçileri, tedarikçileri ve diğer üçüncü kişilere ait kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Bu Politika’nın temel hedefi, Paribu Kripto Varlık Alım Satım Platformu A.Ş tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak; bu kapsamda mevcut ve potansiyel müşterileri, çalışanları, çalışan adaylarını, fiziki ve sanal ziyaretçileri, Şirket yetkililerini, Şirket’in bağlı şirketlerinin çalışanlarını ve yetkililerini, işbirliği içinde olunan kurumların çalışanlarını, hissedarlarını ve yetkililerini ve üçüncü kişiler başta olmak üzere kişisel verileri Paribu Kripto Varlık Alım Satım Platformu A.Ş tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamaktır.
Şirket işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından yürürlükteki mevzuat ile getirilmiş olan idari ve teknik tedbirlerin alınmasına yönelik planlamalar yapılacak, farkındalığın yükseltilmesi için gerekli bilgilendirmeler yapılacak, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için KVKK kapsamında gerekli tedbirler alınması sağlanacaktır.
Söz konusu verilerin kişisel veri niteliği taşımaması halinde bu verilere ilişkin süreçler Şirkete ait işbu Kişisel Veri İşleme, Koruma, Saklama ve İmha Politikası kapsamında yürütülmektedir.
4. Sorumlular
Bu politikaya ilişkin sorumluluklar aşağıda belirtilmiştir.
Yönetim Kurulu|: | Bu politikanın mevzuata uygun bir şekilde oluşturulması ve yönetilmesine ilişkin sorumluların belirlenmesi, politikanın yürütülmesinden sorumlu departman tarafından politika dokümanında gerçekleştirilecek değişikliklerin gözden geçirilmesi ve onaylanması ile politikanın etkin bir şekilde işletilmesinin gözetiminden sorumludur.
Risk Birimi|: | Bu politikanın mevzuata uygun şekilde hazırlanması, yönetilmesi ve politika dokümanında değişiklik yapılması gereken durumlarda dokümanda gerekli değişikliklerin yapılarak Yönetim Kurulunun onayına sunulmasından sorumludur.
İç Kontrol Birimi|: | Bu politikanın mevzuata uygun bir şekilde oluşturulmasının ve mevzuatta meydana gelecek değişikliklere uygun olarak güncellenmesinin sağlanıp sağlanmadığına ve bu politika ile usul ve esasları belirlenen iş akışlarının politikaya uyumlu olarak gerçekleştirilip gerçekleştirilmediğine ilişkin kontrol faaliyetlerini yürütmek, tespitlerle ilgili detaylı inceleme yapmak ve üst yönetime raporlamakla sorumludur.
İç Denetim Birimi|: | Bu politikanın mevzuata uygun bir şekilde oluşturulmasının ve mevzuatta meydana gelecek değişikliklere uygun olarak güncellenmesinin sağlanıp sağlanmadığını ve bu politika ile usul ve esasları belirlenen iş akışlarının politikaya uyumlu olarak gerçekleştirilip gerçekleştirilmediğini denetlemekle sorumludur.
5. Dokümana Erişim
Bu Politika, Sorumlular bölümünde belirtilen yetkililerin kullanımı için hazırlanmıştır ve ilgili tüm sorumlulara erişim yetkisi verilmiştir. Dokümanların en güncel hali Doküman Yönetim Sistemi’nde mevcut olan dokümanlardır. Daima güncel dokümanların kullanımının güvence altına alınabilmesi için dokümanların DYS üzerinden kullanımı esastır.
6. Tanımlar
Açık Rıza| Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme| Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir gerçek bir kişiyle ilişkilendirilemeyecek hale getirilmesi
Cüzdan| Kripto varlıkların transfer edilebilmesini ve bu varlıkların ya da bu varlıklara ilişkin özel ve açık anahtarların depolanmasını sağlayan yazılım, donanım, sistem ya da uygulamalar.
İlgili Sorumlu| Veri sorumlusu bünyesinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler veya verilerin depolanması, korunması ve yedeklenmesinden sorumlu olan kişiler
İmha| Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun/ KVKK| 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı| Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri| Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri Envanteri| Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; işleme amaçları, veri konusu (veri sahibi) kişi grubu, veri kategorisi, aktarılan alıcı grubu vb. çeşitli kategorilerle açıkladığı envanter
Kişisel Veri İşleme Faaliyeti| Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul| Kişisel Verileri Koruma Kurulu
Kurum| Kişisel Verileri Koruma Kurumu
Müşteri| Paribu tarafından hizmet sunulan tüm gerçek ve tüzel kişiler ile tüzel kişiliği olamayan teşekküller
Özel Nitelikli Kişisel Veri| Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Paribu/ Şirket| Paribu Kripto Varlık Alım Satım Platformu A.Ş.
Periyodik İmha| Kişisel verilerin işlenme şartlarının ve amaçlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika| Kişisel Verileri İşleme, Koruma, Saklama ve İmha Politikası
TCK| 5237 sayılı Türk Ceza Kanunu
Veri İşleyen| Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Sahibi/ İlgili Kişi| Kişisel verisi işlenen gerçek kişi
Veri Sahibi Başvuru Formu| Veri sorumlusu bünyesinde kişisel verileri işlenen veri sahibinin Kanun’un 11. maddesinde açıklanan haklarını kullanmak için veri sorumlusuna başvururken kullanacakları başvuru formu (https://destek.paribu.com/hc/tr/articles/6338654553242-Ki%C5%9Fisel-Veriler-Hakk%C4%B1nda-Ba%C5%9Fvuru-Formu linkinden erişilebilecektir.)
Veri Sorumlusu| Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumluları Sicili (VERBİS)| Kişisel Verileri Koruma Kurulu çatısı altında tutulan veri sorumluları sicili
7. Genel Esaslar
7.1. Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulmaktadır:
- Hukuka ve Dürüstlük Kurallarına Uygun Olma: Paribu basiretli bir tacir olarak, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkelere ve genel güven ve dürüstlük kuralına uygun hareket eder.
- Doğru ve Gerektiğinde Güncel Olma: Paribu, faaliyeti kapsamında uymak zorunda olduğu diğer kanunlar ile Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak kişisel verilerin işlenmesi faaliyetini yürütürken kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik her türlü idari ve teknik tedbirler alır.
- Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Paribu, kişisel verilerin işlenmesi faaliyeti ile ilgili olarak amaçlarını açık bir şekilde belirler. Bu kapsamda kişisel veriler, belirtilen amaçlar doğrultusunda sunulacak hizmetler veya yasal yükümlülükler ile sınırlı olarak işlenmektedir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
- İşlendikleriAmaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Paribu, belirlenen amaçların gerçekleştirilebilmesi için gerektiği ölçüde kişisel veri işler. Ölçülülük ilkesi ve orantılılık ilkesi gereği, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurulmakta, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel veriler toplanmamakta ve/veya işlenmemekte, ölçülülük ilkesine uygun olarak veri sahibinden minimum düzeyde bilgi talep edilmekte, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmakta, kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmakta, amacın gerektirdiği yerlerde kullanılmaktadır.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Paribu, mevzuatta öngörülen sürece, herhangi bir süre öngörülmemiş olması halinde ise işleme amacı gerekli kıldığı sürece kişisel verileri saklar. Sürenin bitimi veya sebeplerin ortadan kalkması halinde kişisel veriler silinir, yok edilir veya anonim hale getirilir. Makul gereklilikler söz konusu ise ya da yasal veya düzenleyici gereksinimleri karşılamak, uyuşmazlıkları çözümlemek, dolandırıcılığı ve suistimalleri önlemek ya da şirketin diğer sözleşme ve politikaları icra etmek için gerekmesi durumunda, Paribu, süreçler ile ilgili kişisel verilerden gerekli olanlarını, Paribu müşteri hesabı kapatıldıktan sonra ya da karşı taraf ile hukuki ilişki bittikten sonra dahi bu bilgilere ihtiyacımız kalmamış olmasına karşın saklamaya devam edebilecektir.
7.2. Kişisel Verileri İşleme Faaliyeti
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak kabul edilir.
Kişisel veriler, ilgili mevzuatta öngörülen usul ve esaslara uygun olarak işlenmektedir. Paribu, kişisel verileri; genel ilkeler doğrultusunda, hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar için, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi şartı ile işlemektedir. Şirket, Kanun’da yazılı istisna olarak belirtilen durumlar haricinde, kişisel verileri ilgili kişinin açık rızası ile işlemektedir. Şirket, Kanun’un 5. ve 6. maddelerinde öngörülen istisnai hallerde açık rıza olmaksızın kişisel verileri ve özel nitelikli kişisel verileri işleyebilmektedir.
7.2.1. Kişisel Verilerin İşlenmesi
Paribu, kişisel veri işleme faaliyetlerini Kanun’un 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Şirket, aşağıdaki haller dışında ilgili kişinin açık rızasını almaktadır.
- Kanunlarda Açıkça Öngörülmesi: İlgili kişinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde kişinin açık rızası alınmadan hukuka uygun olarak işlenebilecektir. (Örneğin, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik uyarınca belirlenen usule göre kimlik tespitinin yapılması)
- Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması: İlgili kişi eğer fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunuyorsa veya rızasına geçerlilik tanınamayacak olan ilgili kişinin kendisinin ya da başka bir kişinin hayatını veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, Şirket yerleşkesinin içinde rahatsızlık geçiren bir ziyaretçimizin revire kaldırılması ve iletişim bilgilerinin kaydedilmesi)
- Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması: Paribu’nun bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarıyla ait kişisel verilerin işlenmesinin gerekli olması halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, Paribu’dan bir hizmet alan bir kişinin fatura bilgilerinin alınması)
- Şirketimizin Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması: Paribu’nun hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, MASAK, SPK, BTK, BDDK gibi kamu kurumlarınca sorulan sorulara cevap verilmesi ve istenen belgelerin gönderilmesi)
- Kişisel Veri İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması: Kişisel verinin, ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde açık rıza alınmadan kişisel veriler işlenebilecektir. (Örneğin, kurumsal internet sitesinde, kurumsal e-posta adresi yayınlanan bir yetkili ile iletişime geçilmesi)
- Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, olası bir uyuşmazlıkta Paribu’nun yasal haklarının kullanılabilmesi için kişisel verilerin işlenmesi)
- Paribu’nun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Paribu’nun meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, Şirket yerleşkesinin güvenliğinin sağlanması için yerleşke içerisinde yer alan kişilerin temel hak ve özgürlüklerini ihlal etmeyecek şekilde kamera kaydının yapılması)
Bir kişisel veri işleme faaliyetini hukuka uygun kılan bir ya da birden fazla kişisel veri işleme şartı aynı anda uygulanabilmektedir.
7.2.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
Kişisel Verileri Koruma Kanunu kapsamında diğer verilere nazaran daha hassas kabul edilmiş olan birtakım veri kategorileri için bazı özel koruma kuralları ile alınması gereken özel tedbirler öngörülmüştür. Özellikle, hukuka aykırı olarak işlendiğinde kişilerin mağduriyeti ve/veya ayrımcılık gibi durumlara sebep olma riski taşıyan kişisel veriler, Kanun’un 6. maddesinde “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Paribu, özel nitelikli olarak belirtilen kişisel verilerin işlenmesi faaliyetini Kanun’un 6. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemler alınmaktadır.
Özel nitelikli kişisel verilerin işlenmesi, kural olarak yasaktır. Ancak, Kurul tarafından belirlenen yeterli önlemlerin alınması kaydıyla, aşağıdaki hallerde ilgili kişinin özel nitelikli kişisel verileri işlenebilecektir:
- İlgili kişinin açık rızasının olması
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
7.2.3. Paribu Tarafından İşlenen Kişisel Verilere İlişkin Kategoriler
Paribu bünyesinde elde edilmiş olan kişisel veriler, Şirketin operasyonları kapsamında farklı veri işleme amaçları doğrultusunda kullanılmaktadır. Bu nedenle topladığımız kişisel veriler, veri işleme amacımıza bağlı olarak değişmektedir. İşlenen kişisel veriler, sürece özgü olarak veri toplama kanallarında kullandığımız aydınlatma metinlerinde de belirtilmektedir. Bununla birlikte, Paribu’nun işlediği veri kategorilerinin detaylı ve en güncel hali Paribu’nun VERBİS sisteminde yer almakta olup aşağıdaki tabloda genel olarak süreçlerimizde işlediğimiz kişisel veri kategorileri belirtilmiştir:
- Kimlik Verileri: Ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra numarası, T.C. kimlik numarası vb.
- İletişim Verileri: Adres numarası, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon numarası vb.
- Lokasyon Verileri: Bulunduğu yerin konum bilgileri vb.4. Özlük Verileri: Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları vb.
- Hukuki İşlem Verileri: Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler vb.
- Müşteri İşlem Verileri: Çağrı merkezi kayıtları, fatura, talep bilgisi vb.
- Fiziksel Mekan Güvenliği Verileri: Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri,**** kamera kayıtları vb.
- İşlem Güvenliği Verileri: IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri vb.
- Risk Yönetimi Verileri: Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler vb.10. Finans Verileri: Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri vb.
- Mesleki Deneyim Verileri: Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri vb.
- Pazarlama Verileri: İşlem geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler vb.
- Görsel ve İşitsel Kayıtlar: Görsel ve işitsel kayıtlar vb.
- Sağlık Bilgileri: Engellilik durumuna ait bilgiler, kişisel sağlık bilgileri vb.
- Ceza Mahkûmiyeti ve Güvenlik Tedbir Verileri: Ceza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler vb.
- Biyometrik Veriler: Yüz tanıma bilgileri vb.
- Diğer Bilgiler: Vekaletname bilgileri, ehliyet bilgileri, cüzdan bilgileri vb.
7.3. Kişisel Verilerin Korunması
Paribu, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
7.3.1. Şirket Bünyesinde Alınan Teknik ve İdari Tedbirler
Paribu, şirket bünyesinde VERBİS sisteminde belirtilmiş olan aşağıdaki teknik ve idari tedbirleri uygulamaktadır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
7.3.2. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirket, bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirecektir.
7.4. Kişisel Verilerin Saklanması
7.4.1. Kişisel Verilerin İşlenme Amaçları
Paribu, kişisel verilerinizi, 5237 sayılı Türk Ceza Kanunu, 5271 sayılı Ceza Muhakemesi Kanunu, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun, 6362 sayılı Sermaye Piyasası Kanunu, 4857 sayılı İş Kanunu ve 6102 sayılı Türk Ticaret Kanunu başta olmak üzere, ilgili tüm ulusal/uluslararası mevzuat ve ulusal/uluslararası yetkili otoritelerce bunlara dayanarak yayımlanmış olan ikincil düzenlemelerden, ayrıca taraf olduğu tüm sözleşmelerden doğan yükümlülüklerini ve faaliyetlerini yerine getirmek için gerekli amaçlar doğrultusunda işlemektedir. Kişisel verileriniz, faaliyetlerimizi ve yükümlülüklerimizi yerine getirebilmek için Kanun’un 4. maddesindeki ilkelere ve 5. ve 6. maddelerinde düzenlenen şartlara uygun olarak işlenmektedir.
Paribu’nun hangi kişisel verileri ne amaçla işlediğine ve hangi hukuki sebeplere dayanıldığına ilişkin detaylı bilgiler, kişisel verilerin toplandığı aşamada sunulan aydınlatma metinlerinin içerisinde de yer almaktadır.
Bununla birlikte, Paribu’nun işlediği kşisel verilerin işleme amaçlarının detaylı ve en güncel hali Paribu’nun VERBİS sisteminde yer almakta olup aşağıdaki tabloda genel olarak süreçlerimizde işlediğimiz kişisel verin işleme amaçları belirtilmiştir:
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Görevlendirme Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
- Organizasyon ve Etkinlik Yönetimi
- Pazarlama Analiz Çalışmalarının Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
- Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Sponsorluk Faaliyetlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Taşınır Mal ve Kaynakların Güvenliğinin Temini
- Ücret Politikasının Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Yabancı Personel Çalışma ve Oturma İzni İşlemleri
- Yatırım Süreçlerinin Yürütülmesi
- Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
- Diğer
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen istisna şartlarından herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından veri sahibinin açık rızası temin edilmektedir.
7.4.2. Kişisel Verilerin Saklama Süreleri
Paribu öncelikle, kişisel verilerin saklanması için ilgili mevzuatta bir süre öngörülüp öngörülmediğini tespit eder. İlgili mevzuatta bir süre öngörülmüşse bu süreye riayet eder; bir sürenin öngörülmemiş olması hâlinde kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verilerin işlenme amacı sona ermiş ve ilgili mevzuat ve/veya Şirketimizin belirlediği saklama sürelerinin sonuna gelinmişse yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi, kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanunlarda öngörülen zamanaşımı süreleri boyunca saklanabilecektir.
Kişisel veri işleme süreçlerine göre saklama süreleri aşağıdaki şekilde yer almaktadır:
| Süreç | Saklama Süresi | İmha Süresi |
|---|---|---|
| İnsan Kaynakları Süreçlerinin Yürütülmesi | Çalışanın işten ayrılmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Personel Sağlık Kayıtları | Çalışanın işten ayrılmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İnsan Kaynakları (Aday) Süreçlerinin Yürütülmesi | Başvuru tarihinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Özlük ve Maaş Süreci | İş sözleşmesinin sona ermesinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Müşteri Süreçlerinin Yürütülmesi | Müşteri ile akdedilen sözleşmenin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Finans Kayıtları | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Sözleşmeler | Sözleşmenin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Ziyaretçi Kayıtlarının Oluşturulması | Kayıt alındığı andan itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Log Kayıtları | Kaydedildiği andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Ziyaretçi ve Toplantı (Etkinlik) Katılımcılarının Kaydı | Etkinliğin sona ermesini takiben 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Kamera Kayıtları | 1 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hukuki Süreçler | Hukuki sürecin tamamlanması /kesinleşmesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Paribu tarafından güncellemeler yapılabilir.
7.5. Kişisel Verilerin İmha Edilmesi
Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya veri sahibinin talebi doğrultusunda 30224 sayılı ve 28.10.2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve işbu Politika’da belirtilen imha yöntemlerine ilişkin koşullar altında silinecek, yok edilecek veya anonim hale getirilecektir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleri bakımından;
-Bulut depolama hizmeti sağlayıcıları gibi, üçüncü kişi bir hizmet sağlayıcısından hizmet alınıyor olması halinde, bu hizmet sağlayıcısının kayıtlarında tutulan veriler için bu hizmet sağlayıcısının verileri geri getirebilme yetkisinin (teknik imkânı) olup olmadığı kontrol edilerek silinmesi,
-Taşınabilir veri kayıt cihazlarında tutulan verilerin şifreli olarak depolanması ve silinebilir olması,
-Kâğıt ortamında bulunan kişisel verilerin mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak çizilerek/boyanarak/silinerek karartılması,
-Merkezi sunucuda yer alan ofis dosyalarının işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması,
- Veri tabanlarında kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmesi,
-Yok etme bakımından yalnızca kayıtlardan silmenin yeterli olmaması, anlaşılamayacak kadar küçük parçalara bölme, şifreleme anahtarlarının kopyalarının yok edilmesi, kayıt ortamlarının da de-manyetize, fiziksel deformasyon ya da üzerine yazma gibi yöntemlerle de geri döndürülemez hale getirilmesi işlemlerinin yapılması,
-Verilerin yok edilmesi veya verilerin işlendiği saklama ortamının sökülmesi,
-Anonim hale getirme bakımından, verinin, tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişi ile ilişkilendirilemeyecek hale getirilmesi, bu kapsamda somut duruma göre değer düzensizliği sağlamayan (değişkenleri/kayıtları çıkartma, bölgesel gizleme, genelleştirme, alt ve üst sınır kodlama, örnekleme) veya sağlayan (mikro birleştirme, veri değiş tokuşu, gürültü ekleme) anonim hale getirme yöntemleri ya da istatiksel yöntemler (K-Anonimlik, L-Çeşitlilik, T-Yakınlık) kullanılması gibi önlemler alınmaktadır.
Paribu’nun ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda ilgili kişinin talebini yerine getirmeme hakkı saklıdır.
7.5.1. Periyodik İmha Süreleri
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesi gereğince, mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması veya mevzuatta öngörülen sürenin sona ermesi halinde kişisel veriler periyodik olarak imha edilir.
İlgili Yönetmelik’in 11. maddesi gereğince periyodik imha süresi Paribu tarafından 6 ay olarak belirlenmiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere 3 yıl süreyle saklanır.
7.6. Kişisel Verilerin 3. Kişilere Aktarılması
Veri sahibinin kişisel verileri ve özel nitelikli kişisel verileri, işleme amaçları kapsamında aktarılabilmektedir. Paribu tarafından işleme faaliyetleri kapsamında kişisel veriler, Şirket’in hizmet aldığı üçüncü kişiler, yetkili kurum ve kuruluşlar, hukuki uyuşmazlıkların çözümü amacıyla avukatlar, vekâlet ilişkisi içerisinde olduğumuz gerçek ve tüzel kişiler, müşteriler, iş ortaklarımızla paylaşılabilecektir. İstisna halleri hariç olmak üzere kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz.
Gerek Anayasa gerekse de 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yer alan hükümler doğrultusunda, Paribu kişisel verilerin yurt içi ve/veya yurt dışı ile paylaşılması konusunda azami özen ve dikkat göstermekte olup bu kapsamda mevcut düzenlemelere uygun olarak faaliyetlerini sürdürmektedir. Paribu, kişisel verileri Türkiye’de üçüncü kişilere aktarabileceği gibi, Türkiye’de işlenerek veya Türkiye dışında işlenip muhafaza edilmek üzere, dış kaynak kullanımı dahil yukarıda da yer verildiği gibi Kanun ve ilgili diğer mevzuatta ön görülen şartlara uygun olarak ve mevzuatta belirtilen tüm güvenlik önlemlerini alarak; ilgili kişi ile elektronik ortamda imzalanan sözleşmede ve ilgili diğer mevzuatta aksi öngörülmediği sürece yurt dışına aktarabilir.
Paribu tarafından yasal olarak aktarılması gereken kişisel veriler, gerekli idari ve resmi makamlara, iş birliği içinde olunan program ortağı kurum ve kuruluşlara aktarılabilmektedir. Bununla birlikte çağrı merkezi, bordrolama gibi alanlarda destek aldığımız üçüncü kişilere, hukuki zorunluluklar nedeniyle veya faaliyetlerimizin yerine getirilmesi kapsamında ve yasal sınırlamalar çerçevesinde aktarılabilecektir. Teknik ve idari altyapı ile elektronik sistemlerin (web sitesi) kurulması, geliştirilmesi, bakımı ile müşteri verilerinin tutulması, çağrı merkezi süreçlerinin yönetilmesi gibi hizmet alınan diğer üçüncü kişilere işin gerektirdiği ölçüde aktarılabilmektedir.
7.6.1. Kişisel Verilerin Yurt İçinde Aktarımı
Kanun’un 8. maddesine uygun olarak, kişisel verilerin yurt içinde aktarımı işbu Politika’nın “Kişisel Verilerin İşlenmesi” başlıklı 7.2. bölümünde belirtilen şartlara uygun olması kaydıyla mümkün olacaktır.
Şirketimiz bu Politika’da belirtilen veri türleri ve aydınlatma metinlerinde yer verilen amaçlar kapsamında, verinin işlenme amacına uygun olarak ve gerekli güvenlik önlemleri alınmak kaydıyla, üçüncü kişilere (Paribu Kripto Varlık Alım Satım Platformu Anonim Şirketi’ne bağlı şirketlere, iş ortaklarına, çalışanlara, taşeron veya tedarikçilere, kamu kurumlarına ve hukuken yetkili özel kişi veya kuruluşlara) aktarım gerçekleştirmektedir. Bu kapsamda gerçekleştirilen kişisel veri aktarımları, ilgili üçüncü tarafın sunduğu güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir.
7.6.2. Kişisel Verilerin Yurt Dışına Aktarımı
Kanun’un 9. maddesine uygun olarak, kişisel verilerin yurt dışına aktarımı kural olarak verisi işlenen kişinin açık rızası olmadan gerçekleştirilemez. Şirketimiz, verinin işlenme amacına uygun olarak ve gerekli güvenlik önlemleri alınmak kaydıyla, yurt dışına aktarım gerçekleştirmektedir. Kişisel verilerin yurt dışına aktarılmasında Kanun’un 9. maddesinde yer verilen şartlar doğrultusunda aktarım gerçekleştirmektedir. Şirketimiz, yurt dışına aktarım konusunda ayrıca gerekli hallerde aktarıma yönelik olarak açık rıza metni ile veri sahibinden rıza almaktadır. Paribu tarafından işlenen kişisel veriler, arşivleme ve depolama amacıyla yurtdışında bulunan bilişim teknolojileri desteği alınan sunucular, hosting şirketleri, program, bulut bilişim gibi elektronik ortamlara gereken güvenlik önlemlerinin alınması ile aktarabilecek olup, burada işleme faaliyetine tabi tutulup saklanabilecektir.
Yukarıda belirttiğimiz yurt içi ve yurt dışı aktarıma konu kişisel veriler, güvenliklerini sağlayacak teknik tedbirlerin yanı sıra; hukuki ilişkinin karşı tarafının veri sorumlusu veya veri işleyen olması dikkate alınarak hukuki belgelerimizde yer verilen Kişisel Verilerin Korunması Kanunu ile uyumlu hükümler sayesinde hukuki olarak da korunmaktadır.
Yukarıda belirtildiği şekilde bilgi paylaşılması sırasında Türkiye dışındaki ülkelere kişisel veriler aktarılırken, verilerin bu politikaya uygun olarak ve veri korumaya ilişkin uygulanacak hukukun izin verdiği şekilde aktarılması sağlanmaktadır.
7.6.3. Kişisel Verilerin Aktarıldığı Kişi Grupları
Şirketimiz, Kanun’un 8. ve 9. maddelerine uygun olarak ve işbu Politika kapsamı dâhilinde olan kişisel verileri, aşağıda belirtilen yurt içinde ve yurt dışındaki kişi gruplarına belirtilen amaçlar çerçevesinde aktarabilir:
- Gerçek kişiler veya özel hukuk tüzel kişileri
- Hissedarlar
- İş ortakları
- İştirakler ve bağlı ortaklıklar
- Tedarikçiler
- Yetkili kamu kurum ve kuruluşları
7.7. Aydınlatma Yükümlülüğü
Şirket, Kanun’un 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda Şirket tarafından ilgili kişilere kişisel verilerinin elde edilmesi sırasında Şirket’in kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve veri sahibinin Kanun’un 11. maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapılmaktadır. Şirket, Kanun’un 11. maddesine uygun olarak ilgili kişinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
Ayrıca, kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızasının gerekli olduğu durumlarda, ilgili kişilerin belirli bir konuya ilişkin ve özgür iradeyle açıklanan rızalarının alınması adına açık rıza istenen hususlara ilişkin bilgilendirmeler de yapılmaktadır.
Paribu, Kanun’daki tüm hususlar ile başta “hukuka ve dürüstlük kuralına” uygun kişisel veri işleme faaliyetinde bulunduğunu ilgili kişilere sürece özgü hazırlanan aydınlatma metinleri başta olmak üzere, işbu Politika belgesi ve diğer çeşitli kamuoyuna açık dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve şeffaflığı sağlamaktadır.
Bununla beraber, Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla aşağıdaki durumlarda Şirket’in, Kanun’un 28. maddesi uyarınca, aydınlatma yükümlülüğü bulunmamaktadır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
7.8. Veri Sahibinin Hakları
Paribu, Kanun’un 10. maddesine uygun olarak veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanacağı konusunda veri sahibine yol göstermektedir. Şirketimiz, kişisel verilerin korunması ve işlenmesine dair süreçleri yönetmek ve Kanun’un diğer tüm gereklerini yerine getirmek üzere, bu iş ve işlemlerle ilgilienen bir ekip oluşturmuştur. İşbu ekip ayrıca veri sahibine ait kişisel verilerin korunması ile ilgili süreçlerin yürütülmesi ve bu taleplerin cevaplanması kapsamında çalışmaktadır.
Veri sahibi, Paribu’ya başvuru hakkını Kanun’un 13. maddesine uygun olarak düzenlenmiş olan, İlgili Kişi Başvuru Formu aracılığıyla gerçekleştirmektedir. İlgili başvuru ardından, veri sahibinin haklarının değerlendirilmesi ve veri sahibine yapılması gereken bilgilendirme gerçekleştirilir. İlgili kişi, kişisel verilerinin işlenmesi faaliyetlerine ilişkin taleplerini ilgili formda belirtilen esaslar çerçevesinde Şirket’e ulaştırabilir.
7.8.1. Başvuru Hakkı
Kanun’un 11. maddesi uyarınca, kişisel verileri işlenen herkes Şirketimize başvurarak kendisi ile ilgili aşağıda yer alan konularda taleplerde bulunabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bunların silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
Bu madde kapsamındaki haklarınızı kullanmak için aşağıdaki yöntemlerden birini seçerek www.paribu.com web sitemizde yer alan Kişisel Veriler Hakkında Başvuru Formu’nu doldurduktan sonra Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olacak şekilde;
- Huzur Mahallesi Maslak Ayazağa Caddesi Uniq İstanbul Sitesi B Blok No: 4B Sarıyer/ İstanbul adresine dilekçe veya noter kanalı ile posta göndererek,
- Sistemlerimizde kayıtlı bulunan e-posta adresi kullanılarak [email protected] adresine e-posta göndererek,
- Kayıtlı elektronik posta (KEP) aracılığı ile [email protected] adresine göndererek tarafımıza iletebilir.
Bu kapsamda yapılacak olan şahsen başvurular tarafımızca gerçekleştirilecek kimlik doğrulamasını takiben kabul edilecektir.
Kanun’un 28. maddesinin 2. fıkrası gereğince aşağıdaki hallerde ilgili kişilerin haklarını (zararın giderilmesini talep etme hakkı hariç olmak üzere) ileri sürmeleri mümkün olamayacaktır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
7.8.2. Başvuru Cevabı
Paribu, Kanun’un 13. maddesine uygun olarak, ilgili kişinin yapmış olduğu başvuru taleplerini, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
İlgili kişinin başvurusunun aşağıda belirtilen durumlarda reddedilebileceği değerlendirilmelidir:
- Diğer kişilerin hak ve özgürlüklerini engellemesi,
- Orantısız çaba gerektirmesi,
- Bilginin kamuya açık bir bilgi olması,
- Başkalarının gizliliğini tehlikeye atması,
- Kanun uyarınca kapsam dışında kalan hallerden birinin mevcut olması.
7.8.3. Kamera Kayıtlarına İlişkin Açıklamalar
Paribu’nun ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak amacıyla Şirket yerleşkelerimiz içerisinde kamera ile izleme gerçekleştirilmektedir.
Kanun’da yer alan düzenlemeler doğrultusunda, Paribu tarafından kamera ile izleme faaliyetine ilişkin olarak web sitemizde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapıldığına ilişkin bildirim yazısı asılmaktadır.
Şirket’in bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla Şirket yerleşkelerimizde güvenlik kameraları ile görüntü kayıtları alınmaktadır.
Kişinin mahremiyetine müdahale sonucu doğurabilecek alanlarda izleme söz konusu olmamaktadır. Güvenlik kamerası kayıtlarına yalnızca sınırlı sayıda Şirket çalışanımız ve ihtiyaç duyulması halinde tedarikçi konumunda bulunan güvenlik şirketi çalışanları erişebilmektedir. Kayıtlara erişimi olan söz konusu kişiler imzaladıkları gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
8. Yürürlük
Bu belgenin fikri mülkiyet dahil ancak bununla sınırlı olmaksızın tüm hakları Paribu Kripto Varlık Alım Satım Platformu A.Ş.’ye aittir.
İşbu Politika; Kanuni gereklilikler uyarınca veya ihtiyaç halinde güncellenir. Bu kapsamda yapılan değişiklikler derhal metne işlenir.
Paribu Biletleme Teknolojileri A.Ş. Kişisel verileri işleme, koruma, saklama ve imha politikası
Kişisel Verileri İşleme, Koruma, Saklama ve İmha Politikası
1. Giriş
Kişinin kendisiyle ilgili, kişisel verileri hakkında bilgilendirilme, verilere erişme, verilerin düzeltilmesini veya silinmesini talep etme, amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme haklarını içerisine alan kişisel verilerin korunması hakkı, Türkiye Cumhuriyeti Anayasası kapsamında korunmaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK" ya da "Kanun") ile kişisel verilerin işlenmesi, veri sahibi kişilerin temel hak ve özgürlükleri ve verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir.
Anayasal hak olan kişisel verilerin korunması kapsamında, Paribu Biletleme Teknolojileri A.Ş. ("Şirket" veya "Paribu Biletleme") işbu metin ile ilgili kişilerin kişisel verilerinin işlenmesini, korunması saklanmasını ve imha edilmesini bir Şirket politikası haline getirmiştir.
Bu politikanın kapsamına giren her türlü kişisel veri işleme faaliyeti için veri sorumlusunun kimliğine ilişkin bilgiler aşağıda verilmektedir.
Veri Sorumlusu: PARİBU BİLETLEME TEKNOLOJİLERİ ANONİM ŞİRKETİ
Adres: Huzur Mahallesi Maslak Ayazağa Caddesi Uniq İstanbul Sitesi B Blok No: 4B Sarıyer/ İstanbul (TÜRKİYE)
E-posta Adresi: [email protected] / [email protected]
2. Amaç
İşbu Kişisel Verileri İşleme, Koruma, Saklama ve İmha Politikası ("Politika") ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca açıklanan temel ilkeler çerçevesinde getirilecek düzenlemelerin Paribu Biletleme Teknolojileri A.Ş. bünyesinde etkin bir şekilde uygulanması amaçlanmaktadır.
3. Kapsam
Bu politika, Paribu Biletleme Teknolojileri A.Ş. tarafından gerçekleştirilen veri işleme, koruma, saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Şirketin çalışanları, çalışan adayları, müşterileri, fiziksel ve sanal ziyaretçileri, tedarikçileri ve diğer üçüncü kişilere ait kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Bu Politika'nın temel hedefi, Paribu Biletleme Teknolojileri A.Ş tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak; bu kapsamda mevcut ve potansiyel müşterileri, çalışanları, çalışan adaylarını, fiziki ve sanal ziyaretçileri, Şirket yetkililerini, Şirket'in bağlı şirketlerinin çalışanlarını ve yetkililerini, işbirliği içinde olunan kurumların çalışanlarını, hissedarlarını ve yetkililerini ve üçüncü kişiler başta olmak üzere kişisel verileri Paribu Biletleme Teknolojileri A.Ş tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamaktır.
Şirket işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından yürürlükteki mevzuat ile getirilmiş olan idari ve teknik tedbirlerin alınmasına yönelik planlamalar yapılacak, farkındalığın yükseltilmesi için gerekli bilgilendirmeler yapılacak, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için KVKK kapsamında gerekli tedbirler alınması sağlanacaktır.
Söz konusu verilerin kişisel veri niteliği taşımaması halinde bu verilere ilişkin süreçler Şirkete ait işbu Kişisel Veri İşleme, Koruma, Saklama ve İmha Politikası kapsamında yürütülmektedir.
4. Tanımlar
Anonim Hale Getirme: Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir gerçek bir kişiyle ilişkilendirilemeyecek hale getirilmesi
İlgili Sorumlu: Veri sorumlusu bünyesinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler veya verilerin depolanması, korunması ve yedeklenmesinden sorumlu olan kişiler
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun/ KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri Envanteri: Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; işleme amaçları, veri konusu (veri sahibi) kişi grubu, veri kategorisi, aktarılan alıcı grubu vb. çeşitli kategorilerle açıkladığı envanter
Kişisel Veri İşleme Faaliyeti: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
Müşteri: Paribu Biletleme tarafından hizmet sunulan tüm gerçek kişiler
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Paribu/ Şirket: Paribu Biletleme Teknolojileri A.Ş.
Periyodik İmha: Kişisel verilerin işlenme şartlarının ve amaçlarının tamamının ortadan kalkması durumunda işbu Politika'da belirtilen ve tekrar eden aralıklarla re'sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika: Kişisel Verileri İşleme, Koruma, Saklama ve İmha Politikası
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Sahibi/ İlgili Kişi: Kişisel verisi işlenen gerçek kişi
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumluları Sicili (VERBİS): Kişisel Verileri Koruma Kurulu çatısı altında tutulan veri sorumluları sicili
5. Genel Esaslar
5.1. Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulmaktadır:
Hukuka ve Dürüstlük Kurallarına Uygun Olma: Paribu Biletleme basiretli bir tacir olarak, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkelere ve genel güven ve dürüstlük kuralına uygun hareket eder.
Doğru ve Gerektiğinde Güncel Olma: Paribu Biletleme, faaliyeti kapsamında uymak zorunda olduğu diğer kanunlar ile Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak kişisel verilerin işlenmesi faaliyetini yürütürken kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik her türlü idari ve teknik tedbirler alır.
Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Paribu Biletleme, kişisel verilerin işlenmesi faaliyeti ile ilgili olarak amaçlarını açık bir şekilde belirler. Bu kapsamda kişisel veriler, belirtilen amaçlar doğrultusunda sunulacak hizmetler veya yasal yükümlülükler ile sınırlı olarak işlenmektedir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Paribu Biletleme, belirlenen amaçların gerçekleştirilebilmesi için gerektiği ölçüde kişisel veri işler. Ölçülülük ilkesi ve orantılılık ilkesi gereği, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurulmakta, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel veriler toplanmamakta ve/veya işlenmemekte, ölçülülük ilkesine uygun olarak veri sahibinden minimum düzeyde bilgi talep edilmekte, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmakta, kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmakta, amacın gerektirdiği yerlerde kullanılmaktadır.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Paribu Biletleme, mevzuatta öngörülen sürece, herhangi bir süre öngörülmemiş olması halinde ise işleme amacı gerekli kıldığı sürece kişisel verileri saklar. Sürenin bitimi veya sebeplerin ortadan kalkması halinde kişisel veriler silinir, yok edilir veya anonim hale getirilir. Makul gereklilikler söz konusu ise ya da yasal veya düzenleyici gereksinimleri karşılamak, uyuşmazlıkları çözümlemek, dolandırıcılığı ve suistimalleri önlemek ya da şirketin diğer sözleşme ve politikaları icra etmek için gerekmesi durumunda, Paribu Biletleme, süreçler ile ilgili kişisel verilerden gerekli olanlarını, müşterinin üyelik hesabı kapatıldıktan sonra ya da karşı taraf ile hukuki ilişki bittikten sonra dahi bu bilgilere ihtiyacımız kalmamış olmasına karşın saklamaya devam edebilecektir.
5.2. Kişisel Verileri İşleme Faaliyeti
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak kabul edilir.
Kişisel veriler, ilgili mevzuatta öngörülen usul ve esaslara uygun olarak işlenmektedir. Paribu Biletleme, kişisel verileri; genel ilkeler doğrultusunda, hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar için, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi şartı ile işlemektedir. Şirket, Kanun'da yazılı istisna olarak belirtilen durumlar haricinde, kişisel verileri ilgili kişinin açık rızası ile işlemektedir. Şirket, Kanun'un 5. ve 6. maddelerinde öngörülen istisnai hallerde açık rıza olmaksızın kişisel verileri ve özel nitelikli kişisel verileri işleyebilmektedir.
5.2.1. Kişisel Verilerin İşlenmesi
Paribu Biletleme, kişisel veri işleme faaliyetlerini Kanun'un 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Şirket, aşağıdaki haller dışında ilgili kişinin açık rızasını almaktadır.
Kanunlarda Açıkça Öngörülmesi: İlgili kişinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde kişinin açık rızası alınmadan hukuka uygun olarak işlenebilecektir. (Örneğin, Paribu Biletleme'den bir bilet satın alan bir kişinin ödeme süreçleri için fatura bilgilerinin alınması)
Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması: İlgili kişi eğer fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunuyorsa veya rızasına geçerlilik tanınamayacak olan ilgili kişinin kendisinin ya da başka bir kişinin hayatını veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, Şirket yerleşkesinin içinde rahatsızlık geçiren bir ziyaretçimizin revire kaldırılması ve iletişim bilgilerinin kaydedilmesi)
Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması: Paribu Biletleme'nin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarıyla ait kişisel verilerin işlenmesinin gerekli olması halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, Paribu Biletme'den bir bilet alan bir kişiye bilet detaylarının iletilebilmesi için iletişim bilgilerinin alınması)
Şirketimizin Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması: Paribu Biletleme'nin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, kamu kurumlarınca sorulan sorulara cevap verilmesi ve istenen belgelerin gönderilmesi)
Kişisel Veri İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması: Kişisel verinin, ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde açık rıza alınmadan kişisel veriler işlenebilecektir. (Örneğin, kurumsal internet sitesinde, kurumsal e-posta adresi yayınlanan bir yetkili ile iletişime geçilmesi)
Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, olası bir uyuşmazlıkta Paribu Biletleme'nin yasal haklarının kullanılabilmesi için kişisel verilerin işlenmesi)
Paribu Biletleme'nin Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Paribu Biletleme'nin meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilecektir. (Örneğin, Şirket yerleşkesinin güvenliğinin sağlanması için yerleşke içerisinde yer alan kişilerin temel hak ve özgürlüklerini ihlal etmeyecek şekilde kamera kaydının yapılması)
Bir kişisel veri işleme faaliyetini hukuka uygun kılan bir ya da birden fazla kişisel veri işleme şartı aynı anda uygulanabilmektedir.
5.2.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
Kişisel Verileri Koruma Kanunu kapsamında diğer verilere nazaran daha hassas kabul edilmiş olan birtakım veri kategorileri için bazı özel koruma kuralları ile alınması gereken özel tedbirler öngörülmüştür. Özellikle, hukuka aykırı olarak işlendiğinde kişilerin mağduriyeti ve/veya ayrımcılık gibi durumlara sebep olma riski taşıyan kişisel veriler, Kanun'un 6. maddesinde "özel nitelikli" olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Paribu Biletleme, özel nitelikli olarak belirtilen kişisel verilerin işlenmesi faaliyetini Kanun'un 6. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemler alınmaktadır.
Özel nitelikli kişisel verilerin işlenmesi, kural olarak yasaktır. Ancak, Kurul tarafından belirlenen yeterli önlemlerin alınması kaydıyla, aşağıdaki hallerde ilgili kişinin özel nitelikli kişisel verileri işlenebilecektir:
- İlgili kişinin açık rızasının olması
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
5.2.3. Paribu Biletleme Tarafından İşlenen Kişisel Verilere İlişkin Kategoriler
Paribu Biletleme bünyesinde elde edilmiş olan kişisel veriler, Şirketin operasyonları kapsamında farklı veri işleme amaçları doğrultusunda kullanılmaktadır. Bu nedenle topladığımız kişisel veriler, veri işleme amacımıza bağlı olarak değişmektedir. İşlenen kişisel veriler, sürece özgü olarak veri toplama kanallarında kullandığımız aydınlatma metinlerinde de belirtilmektedir. Aşağıdaki tabloda genel olarak süreçlerimizde işlediğimiz kişisel veri kategorileri belirtilmiştir:
Kimlik Verileri: Ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra numarası, T.C. kimlik numarası vb.
İletişim Verileri: Adres numarası, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon numarası vb.
Lokasyon Verileri: Bulunduğu yerin konum bilgileri vb.
Özlük Verileri: Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları vb.
Hukuki İşlem Verileri: Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler vb.
Müşteri İşlem Verileri: Çağrı merkezi kayıtları, fatura, talep bilgisi vb.
Fiziksel Mekan Güvenliği Verileri: Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları vb.
İşlem Güvenliği Verileri: IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri vb.
Risk Yönetimi Verileri: Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler vb.
Finans Verileri: Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri vb.
Mesleki Deneyim Verileri: Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri vb.
Pazarlama Verileri: İşlem geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler vb.
Görsel ve İşitsel Kayıtlar: Görsel ve işitsel kayıtlar vb.
Sağlık Bilgileri: Engellilik durumuna ait bilgiler, kişisel sağlık bilgileri vb.
Ceza Mahkûmiyeti ve Güvenlik Tedbir Verileri: Ceza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler vb.
Diğer Bilgiler: Vekaletname bilgileri, ehliyet bilgileri vb.
5.3. Kişisel Verilerin Korunması
Paribu Biletleme, Kanun'un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
5.3.1. Şirket Bünyesinde Alınan Teknik ve İdari Tedbirler
Paribu Biletleme, Kişisel Verileri Koruma Kurumu tarafından belirtilmiş olan aşağıdaki teknik ve idari tedbirleri uygulamaktadır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
5.3.2. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirket, bu durumu en kısa sürede ilgili kişiye ve Kurul'a bildirecektir.
6. Kişisel Verilerin Saklanması
6.1. Kişisel Verilerin İşlenme Amaçları
Paribu Biletleme, kişisel verilerinizi, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 4857 sayılı İş Kanunu ve 6102 sayılı Türk Ticaret Kanunu başta olmak üzere, ilgili tüm ulusal/uluslararası mevzuat ve ulusal/uluslararası yetkili otoritelerce bunlara dayanarak yayımlanmış olan ikincil düzenlemelerden, ayrıca taraf olduğu tüm sözleşmelerden doğan yükümlülüklerini ve faaliyetlerini yerine getirmek için gerekli amaçlar doğrultusunda işlemektedir. Kişisel verileriniz, faaliyetlerimizi ve yükümlülüklerimizi yerine getirebilmek için Kanun'un 4. maddesindeki ilkelere ve 5. ve 6. maddelerinde düzenlenen şartlara uygun olarak işlenmektedir.
Paribu Biletleme'nin hangi kişisel verileri ne amaçla işlediğine ve hangi hukuki sebeplere dayanıldığına ilişkin detaylı bilgiler, kişisel verilerin toplandığı aşamada sunulan aydınlatma metinlerinin içerisinde de yer almaktadır.
6.2. Kişisel Verilerin Saklama Süreleri
Paribu Biletleme öncelikle, kişisel verilerin saklanması için ilgili mevzuatta bir süre öngörülüp öngörülmediğini tespit eder. İlgili mevzuatta bir süre öngörülmüşse bu süreye riayet eder; bir sürenin öngörülmemiş olması hâlinde kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verilerin işlenme amacı sona ermiş ve ilgili mevzuat ve/veya Şirketimizin belirlediği saklama sürelerinin sonuna gelinmişse yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi, kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanunlarda öngörülen zamanaşımı süreleri boyunca saklanabilecektir.
7. Kişisel Verilerin İmha Edilmesi
Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya veri sahibinin talebi doğrultusunda 30224 sayılı ve 28.10.2017 tarihli Resmi Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve işbu Politika'da belirtilen imha yöntemlerine ilişkin koşullar altında silinecek, yok edilecek veya anonim hale getirilecektir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleri bakımından;
Bulut depolama hizmeti sağlayıcıları gibi, üçüncü kişi bir hizmet sağlayıcısından hizmet alınıyor olması halinde, bu hizmet sağlayıcısının kayıtlarında tutulan veriler için bu hizmet sağlayıcısının verileri geri getirebilme yetkisinin (teknik imkânı) olup olmadığı kontrol edilerek silinmesi,
Veri kayıt cihazlarında tutulan verilerin şifreli olarak depolanması ve silinebilir olması,
Kâğıt ortamında bulunan kişisel verilerin mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak çizilerek/boyanarak/silinerek karartılması,
Merkezi sunucuda yer alan ofis dosyalarının işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması,
Veri tabanlarında kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmesi,
Yok etme bakımından yalnızca kayıtlardan silmenin yeterli olmaması, anlaşılamayacak kadar küçük parçalara bölme, şifreleme anahtarlarının kopyalarının yok edilmesi, kayıt ortamlarının da de-manyetize, fiziksel deformasyon ya da üzerine yazma gibi yöntemlerle de geri döndürülemez hale getirilmesi işlemlerinin yapılması,
Verilerin yok edilmesi veya verilerin işlendiği saklama ortamının sökülmesi,
Anonim hale getirme bakımından, verinin, tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişi ile ilişkilendirilemeyecek hale getirilmesi, bu kapsamda somut duruma göre değer düzensizliği sağlamayan (değişkenleri/kayıtları çıkartma, bölgesel gizleme, genelleştirme, alt ve üst sınır kodlama, örnekleme) veya sağlayan (mikro birleştirme, veri değiş tokuşu, gürültü ekleme) anonim hale getirme yöntemleri ya da istatiksel yöntemler (K-Anonimlik, L-Çeşitlilik, T-Yakınlık) kullanılması gibi önlemler alınmaktadır.
Paribu Biletleme'nin ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda ilgili kişinin talebini yerine getirmeme hakkı saklıdır.
7.1. Periyodik İmha Süreleri
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'in 7. maddesi gereğince, mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması veya mevzuatta öngörülen sürenin sona ermesi halinde kişisel veriler periyodik olarak imha edilir.
İlgili Yönetmelik'in 11. maddesi gereğince Paribu Biletleme tarafından belirlenen periyodik imha süresi tamamlanmasının ardından periyodik imha işlemi gerçekleştirilir.
8. Kişisel Verilerin 3. Kişilere Aktarılması
Veri sahibinin kişisel verileri ve özel nitelikli kişisel verileri, işleme amaçları kapsamında aktarılabilmektedir. Paribu Biletleme tarafından işleme faaliyetleri kapsamında kişisel veriler, Şirket'in hizmet aldığı üçüncü kişiler, yetkili kurum ve kuruluşlar, hukuki uyuşmazlıkların çözümü amacıyla avukatlar, vekâlet ilişkisi içerisinde olduğumuz gerçek ve tüzel kişiler, müşteriler, iş ortaklarımız ve Paribu Biletleme'nin içerisinde yer aldığı şirketler topluluğu ile paylaşılabilecektir. İstisna halleri hariç olmak üzere kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz.
Gerek Anayasa gerekse de 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yer alan hükümler doğrultusunda, Paribu Biletleme kişisel verilerin yurt içi ve/veya yurt dışı ile paylaşılması konusunda azami özen ve dikkat göstermekte olup bu kapsamda mevcut düzenlemelere uygun olarak faaliyetlerini sürdürmektedir. Paribu Biletleme, kişisel verileri Türkiye'de üçüncü kişilere aktarabileceği gibi, Türkiye'de işlenerek veya Türkiye dışında işlenip muhafaza edilmek üzere, dış kaynak kullanımı dahil yukarıda da yer verildiği gibi Kanun ve ilgili diğer mevzuatta ön görülen şartlara uygun olarak ve mevzuatta belirtilen tüm güvenlik önlemlerini alarak; ilgili kişi ile elektronik ortamda imzalanan sözleşmede ve ilgili diğer mevzuatta aksi öngörülmediği sürece yurt dışına aktarabilir.
Paribu Biletleme tarafından yasal olarak aktarılması gereken kişisel veriler, gerekli idari ve resmi makamlara, iş birliği içinde olunan program ortağı kurum ve kuruluşlara aktarılabilmektedir. Bununla birlikte çağrı merkezi, bordrolama gibi alanlarda destek aldığımız üçüncü kişilere, hukuki zorunluluklar nedeniyle veya faaliyetlerimizin yerine getirilmesi kapsamında ve yasal sınırlamalar çerçevesinde aktarılabilecektir. Teknik ve idari altyapı ile elektronik sistemlerin (web sitesi) kurulması, geliştirilmesi, bakımı ile müşteri verilerinin tutulması, çağrı merkezi süreçlerinin yönetilmesi gibi hizmet alınan diğer üçüncü kişilere işin gerektirdiği ölçüde aktarılabilmektedir.
8.1. Kişisel Verilerin Yurt İçinde Aktarımı
Kanun'un 8. maddesine uygun olarak, kişisel verilerin yurt içinde aktarımı işbu Politika'nın "Kişisel Verilerin İşlenmesi" başlıklı bölümünde belirtilen şartlara uygun olması kaydıyla mümkün olacaktır.
Şirketimiz bu Politika'da belirtilen veri türleri ve aydınlatma metinlerinde yer verilen amaçlar kapsamında, verinin işlenme amacına uygun olarak ve gerekli güvenlik önlemleri alınmak kaydıyla, üçüncü kişilere (Paribu Biletleme Teknolojileri Anonim Şirketi'ne bağlı şirketlere, iş ortaklarına, çalışanlara, taşeron veya tedarikçilere, hizmet sağlayıcı firmalara, kamu kurumlarına ve hukuken yetkili özel kişi veya kuruluşlara) aktarım gerçekleştirmektedir. Bu kapsamda gerçekleştirilen kişisel veri aktarımları, ilgili üçüncü tarafın sunduğu güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir.
8.2. Kişisel Verilerin Yurt Dışına Aktarımı
Kanun'un 9. maddesine uygun olarak, kişisel verilerin yurt dışına aktarımı kural olarak verisi işlenen kişinin açık rızası olmadan gerçekleştirilemez. Şirketimiz, verinin işlenme amacına uygun olarak ve gerekli güvenlik önlemleri alınmak kaydıyla, yurt dışına aktarım gerçekleştirmektedir. Kişisel verilerin yurt dışına aktarılmasında Kanun'un 9. maddesinde yer verilen şartlar doğrultusunda aktarım gerçekleştirmektedir. Şirketimiz, yurt dışına aktarım konusunda ayrıca gerekli hallerde aktarıma yönelik olarak açık rıza metni ile veri sahibinden rıza almaktadır. Paribu Biletleme tarafından işlenen kişisel veriler, arşivleme ve depolama amacıyla yurtdışında bulunan bilişim teknolojileri desteği alınan sunucular, hosting şirketleri, program, bulut bilişim gibi elektronik ortamlara gereken güvenlik önlemlerinin alınması ile aktarabilecek olup, burada işleme faaliyetine tabi tutulup saklanabilecektir.
Yukarıda belirttiğimiz yurt içi ve yurt dışı aktarıma konu kişisel veriler, güvenliklerini sağlayacak teknik tedbirlerin yanı sıra; hukuki ilişkinin karşı tarafının veri sorumlusu veya veri işleyen olması dikkate alınarak hukuki belgelerimizde yer verilen Kişisel Verilerin Korunması Kanunu ile uyumlu hükümler sayesinde hukuki olarak da korunmaktadır.
Yukarıda belirtildiği şekilde bilgi paylaşılması sırasında Türkiye dışındaki ülkelere kişisel veriler aktarılırken, verilerin bu politikaya uygun olarak ve veri korumaya ilişkin uygulanacak hukukun izin verdiği şekilde aktarılması sağlanmaktadır.
8.3. Kişisel Verilerin Aktarıldığı Kişi Grupları
Şirketimiz, Kanun'un 8. ve 9. maddelerine uygun olarak ve işbu Politika kapsamı dâhilinde olan kişisel verileri, aşağıda belirtilen yurt içinde ve yurt dışındaki kişi gruplarına belirtilen amaçlar çerçevesinde aktarabilir:
- Gerçek kişiler veya özel hukuk tüzel kişileri
- Hissedarlar
- İş ortakları
- İştirakler ve bağlı ortaklıklar
- Tedarikçiler
- Yetkili kamu kurum ve kuruluşları
9. Aydınlatma Yükümlülüğü
Şirket, Kanun'un 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda Şirket tarafından ilgili kişilere kişisel verilerinin elde edilmesi sırasında Şirket'in kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve veri sahibinin Kanun'un 11. maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapılmaktadır. Şirket, Kanun'un 11. maddesine uygun olarak ilgili kişinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
Ayrıca, kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızasının gerekli olduğu durumlarda, ilgili kişilerin belirli bir konuya ilişkin ve özgür iradeyle açıklanan rızalarının alınması adına açık rıza istenen hususlara ilişkin bilgilendirmeler de yapılmaktadır.
Paribu Biletleme, Kanun'daki tüm hususlar ile başta "hukuka ve dürüstlük kuralına" uygun kişisel veri işleme faaliyetinde bulunduğunu ilgili kişilere sürece özgü hazırlanan aydınlatma metinleri başta olmak üzere, işbu Politika belgesi ve diğer çeşitli kamuoyuna açık dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve şeffaflığı sağlamaktadır.
Bununla beraber, Kanun'un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla aşağıdaki durumlarda Şirket'in, Kanun'un 28. maddesi uyarınca, aydınlatma yükümlülüğü bulunmamaktadır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
10. Veri Sahibinin Hakları
Paribu Biletleme, Kanun'un 10. maddesine uygun olarak veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanacağı konusunda veri sahibine yol göstermektedir. Şirketimiz, kişisel verilerin korunması ve işlenmesine dair süreçleri yönetmek ve Kanun'un diğer tüm gereklerini yerine getirmek üzere, bu iş ve işlemlerle ilgilenen bir ekip oluşturmuştur. İşbu ekip ayrıca veri sahibine ait kişisel verilerin korunması ile ilgili süreçlerin yürütülmesi ve bu taleplerin cevaplanması kapsamında çalışmaktadır.
10.1. Başvuru Hakkı
Kanun'un 11. maddesi uyarınca, kişisel verileri işlenen herkes Şirketimize başvurarak kendisi ile ilgili aşağıda yer alan konularda taleplerde bulunabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bunların silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
Bu madde kapsamındaki haklarınızı kullanmak için aşağıdaki yöntemlerden birini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e uygun olacak şekilde;
- Huzur Mahallesi Maslak Ayazağa Caddesi Uniq İstanbul Sitesi B Blok No: 4B Sarıyer/ İstanbul adresine dilekçe veya noter kanalı ile posta göndererek,
- E-posta adresi kullanılarak [email protected] adresine e-posta göndererek,
- Kayıtlı elektronik posta (KEP) aracılığı ile [email protected] adresine göndererek tarafımıza iletebilir.
Kanun'un 28. maddesinin 2. fıkrası gereğince aşağıdaki hallerde ilgili kişilerin haklarını (zararın giderilmesini talep etme hakkı hariç olmak üzere) ileri sürmeleri mümkün olamayacaktır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
10.2. Başvuru Cevabı
Paribu Biletleme, Kanun'un 13. maddesine uygun olarak, ilgili kişinin yapmış olduğu başvuru taleplerini, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
İlgili kişinin başvurusunun aşağıda belirtilen durumlarda reddedilebileceği değerlendirilmelidir:
- Diğer kişilerin hak ve özgürlüklerini engellemesi,
- Orantısız çaba gerektirmesi,
- Bilginin kamuya açık bir bilgi olması,
- Başkalarının gizliliğini tehlikeye atması,
- Kanun uyarınca kapsam dışında kalan hallerden birinin mevcut olması.
10.3. Kamera Kayıtlarına İlişkin Açıklamalar
Paribu Biletleme'nin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak amacıyla Şirket yerleşkelerimiz içerisinde kamera ile izleme gerçekleştirilmektedir.
Kanun'da yer alan düzenlemeler doğrultusunda, Paribu Biletleme tarafından kamera ile izleme faaliyetine ilişkin olarak web sitemizde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapıldığına ilişkin bildirim yazısı asılmaktadır.
Şirket'in bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla Şirket yerleşkelerimizde güvenlik kameraları ile görüntü kayıtları alınmaktadır.
Kişinin mahremiyetine müdahale sonucu doğurabilecek alanlarda izleme söz konusu olmamaktadır. Güvenlik kamerası kayıtlarına yalnızca sınırlı sayıda Şirket çalışanımız ve ihtiyaç duyulması halinde tedarikçi konumunda bulunan güvenlik şirketi çalışanları erişebilmektedir. Kayıtlara erişimi olan söz konusu kişiler imzaladıkları gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
11. Yürürlük
Bu belgenin fikri mülkiyet dahil ancak bununla sınırlı olmaksızın tüm hakları Paribu Biletleme Teknolojileri A.Ş.'ye aittir.
İşbu Politika; Kanuni gereklilikler uyarınca veya ihtiyaç halinde güncellenir. Bu kapsamda yapılan değişiklikler derhal metne işlenir.