Kişisel Verilerin Korunması ve İşlenmesi Politikası
1. POLİTİKA HAKKINDA
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), aşağıda belirtilen Gerçek Kişilere ait verilerin, Veri Sorumlusu sıfatıyla Yancep Finansal Teknolojiler A.Ş. (“Şirket”) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı (“Kanun”) uyarınca toplanması, işlenmesi, saklanması ve imhası süreçlerine ilişkin usul ve esasların belirlenmesi ve Şirket tarafından verileri işlenen Gerçek Kişilerin bilgilendirilmesi amacıyla hazırlanıştır.
İşbu Politika kapsamına giren Gerçek Kişiler (“Veri Konusu Kişi(ler)”) şunlardır:
-
Şirket Hissedarları ve Yetkilileri
-
Çalışan ve Stajyerler
-
Çalışan veya Stajyer Adayları
-
Kullanıcılar
-
Tüzel Kişi Kullanıcı Hissedarları, Yetkilileri, Çalışanları
-
İş Ortakları ve Bayiler
-
Tüzel Kişi İş Ortağı Hissedarları, Yetkilileri, Çalışanları
-
Ürün ve/veya Hizmet Tedarikçisi
-
Tüzel Kişi Ürün ve/veya Hizmet Tedarikçisi Hissedarları, Yetkilileri, Çalışanları
-
Potansiyel Kullanıcılar ve İş Ortakları
-
Potansiyel Tüzel Kişi Kullanıcı veya İş Ortağı Hissedarları, Yetkilileri, Çalışanları
-
Aile Üyeleri ve Yakınlar
-
Ziyaretçiler (web sitesi, mobil uygulama veya işyeri)
-
Sair Üçüncü Kişiler
Kanun’un 28/1. maddesi uyarınca, işbu Politika ve Kanun hükümleri aşağıdaki hallerde uygulanmayacaktır:
-
Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi;
-
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi;
-
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi;
-
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarat faaliyetleri kapsamında işlenmesi;
-
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Şirket, Politika’yı, gerekli gördüğü ya da mevzuatın gerektirdiği hallerde, güncelleyebilecektir.
Politika, Şirket’in www.yancep.com web sitesi adresinde ve Yancep mobil uygulaması içerisinde yayımlanarak Veri Konusu Kişiler’in erişimine sunulmaktadır.
2. TANIMLAR
İşbu Politika ve Kanun’da yer alan aşağıda listeli ifadelerin, Kanun ile belirlenen tanımları şöyledir:
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
KVK Kurulu: Kanun uyarınca kurulan Kişisel Verileri Koruma Kurulunu ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.
3. KİŞİSEL VERİ KATEGORİLERİ VE TOPLANMA YÖNTEMLERİ
3.1. Şirketimiz tarafından Veri Konusu Kişilere ait Kişisel Veriler, aşağıda belirtilen kategoriler altında işlenmektedir:
Kimlik Bilgisi: Ehliyet, nüfus cüzdanı, ikametgah, pasaport, avukatlık kimliği, evlilik cüzdanı, nüfus kaydı gibi dokümanlarda yer alan kişinin kimliğine dair tüm bilgiler (ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb. bilgiler)
İletişim Bilgisi: Telefon numarası, adres, e-posta, IP adresi gibi veri sahibiyle iletişim kurulmasına yönelik bilgiler
Görsel ve İşitsel Bilgi: Veri Konusu Kişi ile ilişkilendirilebilen fotoğraf, kamera kayıtları, ses kayıtları gibi her türlü görsel ve işitsel kayıtlar
Lokasyon Bilgisi: Veri Konusu Kişinin konumunu tespit etmeye yarayan tüm veriler (GPS lokasyonu, seyahat verileri vs.)
Kullanıcı (müşteri) Bilgisi: Ürün ve hizmetlerimizden faydalanan kullanıcılara ait elde edilen ve üretilen bilgiler
Aile Bireyleri ve Yakın Bilgisi: Sunduğumuz ürün ve hizmetler çerçevesinde ve/veya Şirketin ya da Veri Konusu Kişinin hukuki menfaatlerini korumak amacıyla, Veri Konusu Kişi’nin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişilere ait kimlik bilgileri ve iletişim bilgileri
Çalışan İşlem Bilgisi: Çalışan ve stajyerlerin, iş ile ilgili gerçekleştirdiği her türlü işleme ait bilgiler (işe giriş çıkış kayıtları, toplantı notları, mail yazışmaları vs.)
İşlem Güvenliği Bilgisi: Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel veriler
Finansal Bilgi: Veri Konusu Kişi ile Şirket arasındaki hukuki ilişki uyarınca yaratılan ya da elde edilen finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen veriler (banka hesap ve IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi vs.)
Fiziksel Mekan Güvenlik Bilgisi: Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar, belgeler, kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar.
Çalışan veya Stajyer Adayı Bilgisi: Şirketimizin çalışanı ya da stajyeri olmak için başvuruda bulunmuş veya Şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan/stajyer adayı olarak değerlendirilmiş bireylerle ilgili işlenen kişisel veriler
Özlük Bilgisi: Şirket Çalışanlarının ve Stajyerlerinin özlük haklarının oluşması ve korunması için gerekli her türlü veri
Hukuki İşlem Bilgisi: Hukuki alacak ve hakların tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimizin yerine getirilmesi amacıyla işlenen veriler
Özel Nitelikli Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler
Pazarlama Bilgisi: Ürün ve hizmetlerimizin Veri Konusu Kişinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler
Talep/Şikayet Yönetimi Bilgisi: Şirketimize yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler
3.2. Şirketimiz, Kişisel Verileri, Şirketimiz ile herhangi bir yolla irtibata geçmeniz halinde (bizimle www.yancep.com adresindeki web sitemiz ve/veya Yancep mobil uygulamamız ya da çağrı merkezimiz, sosyal medya, dijital mecralar, e-posta, işe alım portalları dahil üçüncü şahıslara ait dijital mecralar veya bir yazılım üzerinden, internet sitelerimizdeki çerezler, kartvizit, telefon gibi vasıtalar aracılığıyla ya da iş ortaklarımız ve benzeri vasıtalarla, yazılı, sözlü, elektronik yollarla, görüntü/ses kaydı ile veya fiziksel olarak yaptığımız görüşmeler neticesinde), otomatik veya otomatik olmayan yöntemlerle, yazılı, sözlü, elektronik yollarla, görüntü/ses kaydı ile veya fiziksel olarak Veri Konusu Kişi ile karşı karşıya gelmek suretiyle toplamaktadır.
3.3. Şirketimize ait ürün ve hizmetlerden faydalandığınız sürece, toplanan Kişisel Verileriniz işlenebilecek ve verilerinizin doğruluğunu ve güncelliğini sağlamak amacıyla, gerektiğinde güncellenebilecektir.
4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKE VE ŞARTLAR
4.1. Kişisel Verilerin İşlenmesinde Uygulanan Genel İlkeler
Şirketimiz, Veri Sorumlusu olarak veri işleme faaliyetlerini, Kanun’un 4. maddesi ile belirlenen ve aşağıda listeli Kişisel Veri İşleme ilkelerine uygun olarak, yürütmektedir.
-
Hukuka ve Dürüstlük Kurallarına Uygun Olma: Şirketimiz, Kişisel Verileri, ilgili mevzuata ve dürüstlük kuralının gereklerine uygun olarak işler ve bu sınırlar içerisinde kullanır.
-
Doğru ve Gerektiğinde Güncel Olma: Şirketimiz, Veri Konusu Kişilerin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği Kişisel Verilerin doğru ve güncel olmasını sağlar. Bu kapsamda, verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncelleme gerekip gerekmediğinin değerlendirilmesi gibi hususları özenle dikkate alır.
-
Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Şirketimiz, Kişisel Verileri, işbu Politika ve aydınlatma yükümlülüğümüz kapsamında Veri Konusu Kişilerin bilgisine sunulan ve aşağıda madde 5’te ve ayrıca Aydınlatma Metni hükümlerinde yer alan meşru amaçlar kapsamında gerekli olan kadar işlemektedir.
-
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirketimiz, Kişisel Verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
-
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Şirketimiz, Kişisel Verileri, (i) varsa ilgili yasal düzenlemelerle belirlenen süre zarfında, (ii) yasalar uyarınca getirilmiş bir süre olmaması halinde, veriyi işleme amacı ve Şirket prosedürleri göz önünde tutularak belirlenecek makul sürelerle sınırlı olarak muhafaza eder. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4.2 Kişisel Verilerin İşlenmesi Faaliyetinin Şartları
4.2.1. Kanun’un 5. maddesi ile Kişisel Verilerin işlenebilmesi için Veri Konusu Kişinin (ilgili kişi) açık rızasının alınması şartı getirilmiş ve ayrıca açık rıza alınmaksızın Kişisel Verilerin işlenebileceği haller belirlenmiştir. Şirketimiz, işbu hüküm uyarınca, aşağıdaki şartlardan biri veya birkaçının varlığı halinde, Veri Konusu Kişinin açık rızasını almaksızın, Kişisel Verileri işleyebilecektir:
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin Şirket tarafından işlenmesinin gerekli olması,
-
Veri sorumlusu olarak Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için Kişisel Veri işlemenin zorunlu olması,
-
Kişisel Verilerin işlenmesi faaliyetinin kanunlarda açıkça öngörülmesi,
-
Şirket’in Kişisel Veri işleme faaliyetinde bulunmasının, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
-
Kişisel Verinin Veri Konusu Kişinin kendisi tarafından alenileştirilmiş (kamuoyuna açıklanmış) olması,
-
Kişisel Verilerin Şirket tarafından işlenmesinin, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
-
Veri Konusu Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusu olarak Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.2.2. Şirketimiz, Özel Nitelikli Kişisel Verilerin işlenmesinde, Kanun ile getirilen düzenlemelere azami hassasiyetle uygun davranmakta ve Kanun’un 6. maddesi ile öngörüldüğü üzere, Özel Nitelikli Kişisel Verileri, aşağıda belirtilen istisnai haller dışında, Veri Konusu Kişinin açık rızasını almak kaydıyla işlemekte ve KVK Kurulu’nun belirleyeceği idari ve teknik tedbirleri almaktadır.
-
Veri Konusu Kişinin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verilerinin (ırk, siyasi düşünce vs.) işlenmesi faaliyetinin kanunlarda öngörülmesi halinde, açık rıza aranmamaktadır.
-
Veri Konusu Kişinin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlendiği durumda, açık rıza aranmamaktadır.
4.2.3. Şirketimiz, Kişisel Verilerin elde edilmesi hemen önce, Veri Sorumlusu sıfatıyla Kanun’un 10. maddesinde belirtilen aydınlatma yükümlülüğünü, Veri Konusu Kişilere karşı, yerine getirmektedir. Bu kapsamda hazırlanan Kullanıcı Aydınlatma Metnine, istenildiği zaman, https://www.yancep.com/aydinlatma-metni internet adresinden ya da Yancep Mobil Uygulaması içerisinden ulaşılabilir. Ayrıca, Kişisel Veri işlenebilmesi için, Kanun uyarınca açık rızanın alınmasının şart olduğu durumlarda, Şirketimiz, aydınlatma yükümlülüğünü yerine getirmenin yanı sıra ilgili Veri Konusu Kişinin açık rızasını da almaktadır.
4.2.4. Kanun’un 28/2. maddesi uyarınca, aşağıda yer alan şartlardan birini varlığı halinde, aydınlatma yükümlülüğümüz bulunmamaktadır:
-
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
-
Veri Konusu Kişi’nin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
-
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
-
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
5. KİŞİSEL VERİLERİ İŞLEME AMAÇLARI
Şirketimiz Kişisel Verileri belli, açık ve meşru amaçlarla işlemektedir. Bu kapsamda Kişisel Veriler aşağıda sayılan amaçlarla işlenebilmektedir:
-
Yancep ürün ve hizmetlerinin sunulması, yürütülmesi, ifası, sonuçlandırılması,
-
Yancep mobil uygulamasına üyelik kaydının gerçekleştirilmesi,
-
Yancep mobil uygulaması içerisinde yer alan finansal hizmetlerin sunulması, takibi,
-
Yancep ürün ve hizmetleri kapsamında iletişim faaliyetlerinin yürütülmesi,
-
Yancep Mobil Uygulamasının ve İnternet Sitesi’nin güncellenmesi,
-
Kullanıcı talep ve şikayetlerinin takip edilmesi,
-
Yancep mobil uygulaması ve sunulan finansal ürünlere ilişkin bilgilendirme yapılması, günlük/haftalık bülten gönderilmesi ve gelişmelerden haberdar edilmesi,
-
Web Sitesi’nde bültene kaydolunmasını,
-
Yancep mobil uygulamasının kullanıcıya özgü kişiselleştirilmesi, kullanım kolaylığı sağlanması ve buna ilişkin hizmetlerin sunulması,
-
Yancep mobil uygulamasında yarışmaların yürütülmesiyle ilgili ödül ve tekliflerin sunulabilmesi ve takdimi,
-
Bilgi güvenliği süreçlerinin oluşturulması, yürütülmesi ve denetimi,
-
Çağrı merkezi ve uzaktan destek hizmetlerinin sağlanması, çağrı sayısı ve içerik takibi,
-
Çalışan faaliyetlerinin takibi ve denetimi,
-
Çalışan memnuniyeti ve bağımlılığı süreçlerinin planlanması ve yürütülmesi,
-
Çalışan Performans Değerlendirme Süreçlerinin oluşturulması ve yürütülmesi,
-
Çalışan/stajyer adaylarının başvuru süreçlerinin oluşturulması ve yürütülmesi,
-
Çalışan/stajyer seçme ve yerleştirme süreçlerinin oluşturulması ve yürütülmesi,
-
Çalışanlar için yan haklar ve menfaatlerin planlanması ve ilgili süreçlerin yürütülmesi,
-
Çalışanlara kullanıcı hesabı, e-posta adresi açılması, şirket içi kimlik ve yemek kartı verilmesi,
-
Çalışanların bilgiye erişim yetkilerinin planlanması ve yürütülmesi,
-
Denetim/etik kurallara ilişkin faaliyetlerin yürütülmesi,
-
Finans ve Muhasebe işlerinin planlanması, takibi ve denetimi,
-
Fiziksel mekan güvenliğinin temini ve takibi,
-
Hukuk işlerinin takibi ve yürütülmesi,
-
İnsan kaynakları süreçlerinin oluşturulması ve yönetilmesi,
-
İş ilişkisinin/sözleşmesinin kurulması, yürütülmesi, sonlandırılması ve İş Sözleşmesi ile ilgili mevzuattan doğan yükümlülüklerin yerine getirilmesi,
-
İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve yürütülmesi,
-
Kişisel veri güvenliği politika ve prosedürlerinin oluşturulması, takibi ve denetimi,
-
Mal/hizmet üretim ve operasyon süreçlerinin oluşturulması, yürütülmesi ve denetimi,
-
Kullanıcı ilişkileri yönetimi süreçlerinin oluşturulması, yürütülmesi ve denetimi,
-
Kullanıcı memnuniyetine yönelik aktivitelerin yürütülmesi,
-
Kullanıcılara teknolojik tabanlı hizmet sunulması,
-
Pazarlama analiz çalışmalarının yürütülmesi ve sonuçların değerlendirilmesi,
-
Reklam / kampanya / promosyon ve benzeri pazarlama süreçlerinin yürütülmesi,
-
Uygulamaya kontrollü erişiminin sağlanması gibi erişim yetkilerinin yürütülmesi,
-
Elektronik Ticari İleti İzin Metni’nin kabulü halinde Şirket ve iş ortaklarının kampanya, promosyon vb. pazarlama faaliyetlerinin yürütülmesi,
-
Risk yönetimi süreçlerinin yürütülmesi,
-
Saklama ve arşiv faaliyetlerinin yürütülmesi,
-
Sosyal sorumluluk ve sivil toplum aktivitelerinin organize edilmesi ve yürütülmesi,
-
Sözleşmelerin süreçlerinin yürütülmesi, sözleşmelerin akdedilmesi ve ifası,
-
Sponsorluk faaliyetlerini yürütülmesi,
-
Sunulan ürün ve hizmetler özelinde, sistemlere kullanıcı tanımlamalarının yapılması,
-
Şirket çalışanlarının ulaşım organizasyonunun planlanması, icrası ve Şirket araçlarının takibi,
-
Şirket içi veya şirket dışı eğitim faaliyetlerinin planlanması ve icrası,
-
Şirket tarafından düzenlenen organizasyon ve etkinlik süreçlerinin planlanması ve yönetimi,
-
Şirket/Ürün/Hizmetlere bağlılık süreçlerinin oluşturulması, yürütülmesi ve değerlendirilmesi,
-
Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi,
-
Talep ve şikayetlerin yönetimi,
-
Ticari faaliyetlerin ve ticari ilişkilerin planlanması ve mevzuata uygun yürütülmesi,
-
Ücret politikasının oluşturulması ve yönetimi,
-
Ürün/hizmetlerin pazarlama süreçlerinin oluşturulması ve yürütülmesi,
-
Ürün/hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin yürütülmesi ve değerlendirilmesi,
-
Veri sorumlusu operasyonlarının güvenliğinin temini,
-
Verilerin doğru ve güncel olmasının sağlanması,
-
Yatırım süreçlerinin yürütülmesi,
-
Yetkili kişi, kurum, kuruluşlara mevzuat gereği bilgi verilmesi,
-
Yönetim faaliyetlerinin yürütülmesi,
-
Yürürlükte bulunan herhangi bir mevzuatın getirdiği yükümlülüğün yerine getirilmesi,
-
Ziyaretçi kayıtlarının oluşturulması ve takibi.
6. KİŞİSEL VERİLERİN AKTARILMASI
6.1. Kişisel Verilerin Yurt İçinde Aktarılması
Şirketimiz, Kişisel Verileri ve Özel Nitelikli Verileri, Kanun’un 8. maddesinde öngörüldüğü şekilde;
(i) İşbu Politika’nın, Kişisel Veriler için 4.2.1. maddesinde ve Özel Nitelikli Kişisel Veriler için ise (yeterli önlemlerin alınmış olması kaydıyla) 4.2.2. maddesinde saydığımız istisnai hallerden herhangi birinin varlığı halinde açık rıza aranmaksızın,
(ii) İşbu Politika’nın 4.2.1. ile 4.2.2. maddelerinde saydığımız istisnai hallerin var olmadığı hallerde ise Veri Konusu Kişinin açık rızasının alınması şartıyla,
yurt içinde üçüncü bir tarafa, Politika’nın 5. maddesinde yer alan herhangi bir amaç uyarınca, aktarabilecektir.
6.2. Kişisel Verilerin Yurt Dışına Aktarılması
Şirketimiz, Kişisel Verileri ve Özel Nitelikli Verileri, Kanun’un 9. maddesinde öngörüldüğü şekilde;
(i) İşbu Politika’nın, Kişisel Veriler için 4.2.1. maddesinde ve Özel Nitelikli Kişisel Veriler için ise (yeterli önlemlerin alınmış olması kaydıyla) 4.2.2. maddesinde saydığımız istisnai hallerden herhangi birinin varlığı halinde ve Kişisel Verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması,
şartıyla, açık rıza aranmaksızın,
(ii) Yukarıda (i) bendinde sayılan şartların sağlanamadığı hallerde ise Veri Konusu Kişinin açık rızasının alınması şartıyla,
yurt dışında üçüncü bir tarafa, Politika’nın 5. maddesinde yer alan herhangi bir amaç uyarınca, aktarabilecektir.
6.3. Kişisel Verilerin Aktarılacağı Alıcı Grupları
Şirketimiz, işbu Politika’nın 6.1. ve 6.2. maddeleri ile Kanun’un 8., 9. ve sair maddelerinde yer alan esas ve yükümlülükler doğrultusunda, Kişisel Verileri ve Özel Nitelikli
Kişisel Verileri, aşağıda belirtilenler, alıcı gruplarına aktarabilecektir:
-
Yancep hizmetlerinin verilmesine aracılık eden SPK Lisanslı yatırım kuruluşları (Gedik Yatırım A.Ş. ve benzeri)
-
Bankalar ve Finans Kuruluşları
-
Danışmanlar
-
Denetim Firmaları
-
Hizmet Alınan Firmalar
-
İş ortakları (mevcut veya potansiyel)
-
İştirakler ve Grup Şirketleri
-
Kanunen yetkili kamu kurum ve kuruluşları (SPK, YTM, TSPB, MASAK, BİST, Takasbank, MKK, BDDK, TCMB, GİB, Ticaret Bakanlığı, TOBB, TBB ve benzeri)
-
Pay Sahipleri
-
Şirket Yetkilileri
-
Tedarikçiler
-
Yargı merci ve kamu kurum ve kuruluşları
7. KİŞİSEL VERİLERİN GÜVENLİĞİ VE ALINAN TEDBİRLER
Şirketimiz, Kişisel Verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve Kişisel Verilerin muhafazası sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik olarak, gerekli her türlü teknik ve idari tedbirleri almaktadır. Şirketimiz tarafından alınan önlem ve tedbirler aşağıda sınırlayıcı olmamak üzere belirtilmiştir:
-
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
-
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
-
Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
-
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
-
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
-
Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
-
Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
-
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
-
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
-
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
-
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
-
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
-
Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
-
Kanun ve sair mevzuat ve bunlarda meydana gelen gelişmeler ışığında verilerin güvenliğinin sağlanması ve hukuka uygun işlenmesi konusunda, Çalışanlarımız eğitimlere tabi tutulmakta ve bilgilendirilmektedir.
-
Çalışanlar ve veri işleyenlerin sorumluluk ve yükümlülüklerine ilişkin taahhütname/sözleşme imzalatılmaktadır.
-
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek ve kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için korunacak verinin niteliği de dikkate alınarak teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
-
Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve mevzuata uygun olarak işlenmesini ve saklanmasını sağlamak amacıyla kişisel verileri aktarmış olduğu iş ortakları, kullanıcıları ve tedarikçiler ile bu konuda sözleşme akdetmektedir. Bu sözleşmelerde, verilerin gizliliğini koruma altına alan hükümlerin yanında, Kişisel Verilerin işlenme amaçları, kapsamı ve süresi belirlenmekte, tarafların sorumlulukları açıkça düzenlenmekte, hukuka ve sözleşme hükümlerine aykırı işleme faaliyetlerini yaptırıma bağlayan hükümler eklenmektedir.
-
Kişisel Verilere erişim yetkileri sınırlandırılmakta ve erişim kayıtları tutulmaktadır.
-
Şirketimiz sadece zorunlu durumlarda ve işi gereği kişisel veriye ulaşması gereken kişilerin kişisel verileri işlemesine izin vermekte ve yetkisiz işleme faaliyetlerini tespit etmek amacıyla gerekli teknik ve idari tedbirleri almaktadır.
-
Şirketimiz mevzuata da uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlamak üzere gerekli işlemleri yürütür ve zarar doğmaması amacıyla alınacak her türlü önlemleri yerine getirir.
8. VERİLERİN SAKLANMA SÜRESİ
Şirketimiz, öncelikle, ilgili mevzuatta, Kişisel Verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet etmektedir. Kişisel Verinin saklanmasına ilişkin olarak ilgili mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta bu hususta bir süre öngörülmemiş olması halinde, sırasıyla;
(i) İlgili Kişisel Veri, Kanun’un 6. maddesi kapsamında, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler, kanuni olarak saklanması zorunlu olmadıkça, imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem, verinin niteliği ve saklanmasının önem derecesine göre belirlenir.
(ii) Verinin saklanmasının, Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu denetlenir ve söz konusu ilkelere aykırılık teşkil edebileceği tespit edilen veriler imha edilir.
(iii) İlgili Kişisel Verinin işlenme şartı ve amacı doğrultusunda, makul saklama süresi tespit edilir ve tespit edilen sürenin sona ermesi halinde ilgili veri imha edilir.
Yukarıdaki prensipler uyarınca, saklama süresi dolan Kişisel Veriler, yılın ilk günü itibariyle her 6 (altı) ayda bir periyodik olarak kontrol edilerek süresi sona erenler imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
9. VERİ KONUSU KİŞİLERİN YASAL HAKLARI
9.1. Veri Konusu Kişi, Kanun’un 11. maddesi uyarınca, Şirketimize başvurarak kendisiyle ilgili;
(i) Kişisel Veri işlenip işlenmediğini öğrenme,
(ii) Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
(iii) Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(iv) Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
(v) Eksik veya yanlış işlenen Kişisel Verilerin düzeltilmesini isteme,
(vi) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Kişisel Verilerin silinmesini veya yok edilmesini isteme,
(vii) Düzeltme, silme ve yok etme taleplerine konu işlemlerin, Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(viii) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle Veri Konusu Kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(ix) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,
haklarına sahiptir. KVK Kanunu’nun 11. maddesinde belirtilen haklara ek olarak, kişisel verilerinizi işlenmesine dair açık rıza vermeniz halinde, söz konusu açık rızayı dilediğiniz zaman geri alma hakkınız bulunmaktadır.
9.2. İşbu Politika ve kişisel verinizin işlenmesine ilişkin olarak tüm yasal taleplerinizi ve sorularınızı, info@yancep.com adresimiz üzerinden iletebilirsiniz. Başvurunuzda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca bulunması zorunlu hususlara yer vererek, güvenli elektronik imza, mobil imza ya da tarafınızdan Şirketimize daha önce bildirilen ve Şirketimizin sisteminde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle başvurunuzu Şirketimize iletebilirsiniz. Başvurunuz ücretsiz olarak yanıtlanacaktır. Ancak talep edilen işlemin ayrıca bir maliyet gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretler başvurandan talep edilecektir.
9.3. Kural olarak Şirketimiz, Veri Konusu Kişilerin taleplerini ücretsiz olarak yerine getirmektedir. Ancak talep edilen işlemin ayrıca bir maliyeti olması halinde, Kurul tarafından belirlenen tarifedeki ücretler, Veri Konusu Kişiden talep edilebilecektir.
9.4. Form ile gönderilen başvurular, talebin niteliğine göre en kısa sürede ve her halükarda en geç 30 (otuz) gün içinde cevaplandırılacaktır.
9.5. Başvuruda; bilgilerin eksik veya yanlış paylaşılması, talebin açık ve anlaşılır bir şekilde dile getirilmemiş olması, talebi destekleyici nitelikteki belgelerin hiç veya gereği gibi iletilmemesi, vekil suretiyle yapılan başvurularda vekaletname suretinin eklenmemesi gibi durumlarda Şirketimiz talepleri karşılamakta güçlük yaşayabilecek ve araştırma sürecinde gecikmeler yaşanabilecektir. Bu nedenle Kanun’un 11. Maddesinde belirtilen hakları kullanımında bu hususlara riayet edilmesi önem arz etmektedir. Aksi durumda yaşanacak gecikmelerden Şirketimiz sorumlu tutulamayacaktır.
9.6. Hatalı, gerçeğe/hukuka aykırı ve/veya kötü niyetli başvurular karşısında Şirketimizin yasal hakları saklıdır.
9.7. Kanun’un 28/2. maddesi uyarınca, işbu Politika’nın 4.2.4. maddesinde sayılı hallerden birinin varlığı halinde, zararın giderilmesini talep etme hakkı hariç, madde 9.1. maddede sayılan haklar kullanılamayacaktır.
İşbu Politika, 13/10/2023 tarihinde https://www.yancep.com/kvk-politikasi adresinde ve Yancep mobil uygulama içerisinde yayınlanmış olup Yancep dilediği zaman gerekliği değişiklikleri ve güncellemeleri yapma hakkını saklı tutar.