GİZLİLİK, KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

  1. Veri Koruma Saklama ve İmha Politikasının Amacı


GönderAl Ödeme Hizmetleri Anonim Şirketi (“Veri Sorumlusu” veya “Şirket” veya “GönderAl”), hukuki ve sosyal sorumluluğunun bir parçası olarak, ulusal kişisel veri koruma, işleme ve imha düzenlemelerine uymayı taahhüt etmektedir. İşbu Kişisel Veri Koruma Saklama ve İmha Politikası (“Politika”) yürürlükteki mevzuat çerçevesinde, Şirket tarafından uygulanmakta ve kişisel veri koruma, işleme ve imha ile ilgili ulusal olarak kabul görmüş temel ilkelere dayanmaktadır. Kişisel veri korumasının sağlanması ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında gerekli veri imha çalışmalarının yapılması, güvenilir iş ilişkilerinin kurulmasının temelini oluşturmakta ve Şirket ile X nolu fıkrasında yer alan üçüncü taraflar arasında yurt içi ve yurt dışı kişisel veri aktarımı için gerekli olan çerçeve koşulları içermektedir.


  1. Veri Koruma Saklama ve İmha Politikasının Kapsamı ve Tadili


  1. İşbu Politika, kişisel verinin işlenmesi sırasında uygulanacak çerçevenin belirlenmesi amacıyla tatbik edilmektedir.


  1. İşbu Politika, Şirketin gerçek kişi müşterilerine ve Şirket ile belirli bir çerçeve sözleşmesi olmayan diğer gerçek kişilere de uygulanmaktadır.


  1. İstatistiki değerlendirmeler veya çalışmalar için elde edilen veriler gibi anonim hale gelmiş ve tanımlanamayan veri ve tüzel kişilere ilişkin veriler, kişisel veri olarak kabul edilmemektedir ve işbu Politikaya tabi değildir.


  1. İşbu Politika zaman zaman güncellenebilir. Bu nedenle, Politikanın en güncel versiyonuna ulaşmak için, düzenli olarak www.gonder-al.com adresini ziyaret etmenizi rica ederiz.


  1. Tanımlar



Kanun/KVKK


6698 Kişisel Verilerin Korunması Kanunu


Mevzuat

KVKK ve ikincil mevzuat, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ve ikincil mevzuat dahil Şirketin tabi olduğu yürülükteki mevzuat


Kurul/Kurum


Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu












Kişisel Veri


KVKKdaki tanımı ile kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.


Kişisel verileriniz Şirketimiz nezdinde üç (3) kategori altında işlenmektedir;


Kişisel Bilgiler: Gerçek kişi kullanıcıların adı, soyadı, T.C. kimlik numarası, pasaport bilgileri, ikametgah, vergi kimlik numarası, kimlik tanımlayıcısı, imza ve parmak izi, doğum yeri, doğum tarihi, telefon numarası, adresi, elektronik posta adresi, resim, görüntü ve ses kayıtları, biyometrik veriler gibi bilinmesi halinde tek başına veya diğer bilgiler ile bir araya geldiğinde ait olduğu kişiyi belirli ya da belirlenebilir hale getiren bilgi ya da bilgi setini ifade etmektedir.


Hassas Ödeme Verisi: Kullanıcılar tarafından ödeme emrinin verilmesinde veya kullanıcı kimliğinin doğrulanmasında kullanılan, ele geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da kullanıcılar adına sahte işlem yapılmasına imkan verebilecek şifre, güvenlik sorusu, sertifika, şifreleme anahtarı ile PIN, kart numarası, son kullanma tarihi, CVV2, CVC2 kodu gibi kuruluşlar tarafından ihraç edilen ödeme araçlarına ilişkin kişisel güvenlik bilgileridir.


İşlem Bilgisi: Gerçekleştirilen işleme ilişkin işlemin tutarı, zamanı, işlem konusu mal veya hizmetin ne olduğu gibi kullanıcılara ait bilgileri ifade etmektedir.



Açık rıza


Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza



Anonim hâle getirme



Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi



Kişisel Verilerin Silinmesi



Kişisel verilerin ilgili müşteriler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.


Kişisel Verilerin Yok Edilmesi



Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi


Kişisel Verilerin işlenmesi



Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem



Veri işleyen



Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi



Veri sorumlusu


Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi


Özel Nitelikli Kişisel Veri

(Hassas Veri)


Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler






Aydınlatma Yükümlülüğü


Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;


  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kanunun 11. maddesinde sayılan diğer hakları,


konusunda bilgi vermek yükümlülüğü



Veri İmhası


Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi


Veri Kayıt Ortamı


Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunduğu her türlü ortam



  1. Kanunların Uygulanması


İşbu Politika gerek ulusal kanunları gerekse uluslararası olarak kabul görmüş kişisel veri işleme ve veri gizliliği ilkelerini kapsamaktadır. Ulusal veri işleme ve veri gizliliği kanunları esas olup işbu Politika ile uluslararası olarak kabul görmüş kişisel veri işleme ve veri gizliliği kanunlarının çelişmesi durumunda, ilgili ulusal kanun öncelikle uygulanacaktır.


  1. Kişisel Verilerin İşlenmesi ile İlgili İlkeler


  1. Hukuka ve dürüstlük kurallarına uygun olma: Kişisel verilerin işlenmesi sırasında, veri sahiplerinin münferit hakları korunmalıdır. Kişisel veri, hukuka uygun ve adil bir şekilde toplanmalı ve işlenmelidir.


  1. Belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı sınırlı ve ölçülü olma: Kişisel veri, yalnızca veri toplanmadan önce belirlenmiş olan amaca hizmet etmek için işlenebilir.


  1. Şeffaflık: Veri sahibi, verilerinin nasıl kullanıldığı konusunda bilgilendirilmelidir. Kişisel Verilerin elde edilmesi sırasında, veri sahibi aşağıdakilerin farkında veya bunlar hakkında bilgilendirilmiş olmalıdır:



  1. Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme: Kişisel Verilerin işlendikleri amaç ve çıkarları için gerekli addedildiği, düzenleyici otoriteler ve /veya ilgili kanun ve yönetmelikler tarafından zorunlu kılındığı sürece Şirket, işbu Politika tarafından ortaya koyulan amaçlara uygun olarak Kişisel Verileri işlemeye ve muhafaza etmeye devam edecektir (işbu Politikanın X nolu fıkrasında yer alan üçüncü taraflar lara veri iletilmesi veya bunlardan veri alınması dahil olmak üzere).


  1. Bilgilerin Doğruluğu; Verilerin Güncelliği: İşlenmiş Kişisel verilerin doğru, eksiksiz olması ve gerekiyorsa güncel tutulması gerekmektedir. Doğru olmayan veya eksik olan verilerin silinmesi, düzeltilmesi, tamamlanması veya güncellenmesi için uygun adımlar atılmalıdır.


  1. Gizlilik ve veri güvenliği: Kişisel veri, veri gizliliğine tabidir. Kişisel düzeyde gizli olarak değerlendirilmeli ve yetkisiz erişim, hukuka aykırı olarak işleme veya dağıtımın yanı sıra kazara kayıp, değişiklik veya tahribatın önlenmesi ve Kişisel verilerin muhafazasının sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirler alınmalıdır.


  1. Veri İşleme Kapsamı


  1. Şirketin hizmetlerinin kullanıldığı süre boyunca ve akdi ilişkinin sona ermesinin ardından Şirket, işbu Politikanın VIII nolu fıkrasında belirtilen amaçlara uymak suretiyle, bir veri sahibinin bilgilerini, kişisel verileri dahil olmak üzere, Kanun kapsamında işleme hakkına sahip olacaktır.


  1. Şirket tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Daha iyi bir ifadeyle kişisel veri işleme; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla işbu Politikanın X nolu fıkrasında yer alan üçüncü taraflarlardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurt dışına aktarılması, sınıflandırılması ya da kullanılmasının engellenmesi (işbu Politikada belirtilen amaçlara uymak suretiyle daha sonra veriyi işleyecek olan, işbu Politikanın X nolu fıkrasında yer alan üçüncü taraflara veri aktarılması ve/veya açıklanması dahil olmak üzere) anlamına gelir.


  1. Şirket ve/veya işbu Politikanın X nolu fıkrasında yer alan üçüncü taraflar, veri sahibinin veya veri sahibi tarafından belirlenmiş üçüncü tarafların verilerini işler. İşbu Politikanın belirlediği amaçlara uygun olarak, X nolu fıkrasında yer alan üçüncü taraflara, aşağıdaki kişisel veriler dahil olmak ancak bunlarla sınırlı olmamak üzere kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin işlenmesi ve/veya aktarımı veya açıklanması:



Yukarıda anılan kişisel veriler anonim hale geldiği takdirde kişisel veri kapsamına dahil olmayacaktır.


  1. Veri İşlemenin Temelleri


Veri sahibi, bu vesileyle, Şirketin hizmetlerinin kullanımı süresince ve akdi ilişki sona erse dahi, Şirketin aşağıdaki amaçlarla veri sahibiyle ilgili veya veri sahibi tarafından belirtilen üçüncü taraflarla ilgili bilgileri işlemesinin gerekli olduğunu kabul eder:


  1. Veri sahibine yönelik bir hizmetin verilebilmesi ve/veya uygulanması;
  2. Şirketin ve/veya üçüncü tarafların hukuki çıkarlarının korunması ve/veya veri sorumlusunun meşru menfaatlerinin kullanılması ya da korunması amacıyla veri işlemenin zorunlu olması;
  3. Mevzuat tahtında Şirketin yükümlülüklerinin yerine getirilmesi;
  4. veri sahibi ile Şirket arasında bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, veri sahibine ait kişisel verilerin işlenmesinin gerekli olması;
  5. bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
  6. veri sahibinin muvafakat ettiği diğer hususlar; ve
  7. Mevzuatta açıkça öngörülen diğer hususlar.


  1. Veri İşleme Amaçları


  1. Şirket ve/veya işbu Politikanın X nolu fıkrasında yer alan üçüncü taraflar, aşağıdakiler dahil olmak ancak bununla sınırlı olmamak üzere, veri sahibinin veya veri sahibi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir:


  1. ödeme hizmetlerinin usulüne uygun ve düzgün bir biçimde gerçekleştirilmesi;
  2. Şirket ile MoneyGramın ortak bir hizmetini temsil eden yurt dışı para transfer hizmetlerinin kullanılması.
  3. bilginin denetim şirketlerine, ilgili vekile veya vekil edene, BDDK, MASAK gibi düzenleyici ve denetleyici otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme ve bilgi sağlanması için mevzuatın hükme bağladığı hususlar;
  4. güvenliğin sağlanmasının yanı sıra, suiistimalin, karaparanın aklanmasının veya diğer suç teşkil eden faaliyetlerin tespit edilmesi ve/veya önlenmesi;
  5. Veri sahibinin şikayet, soru ve taleplerinin karşılanması;
  6. Veri sahibinin kimlik bilgilerinin doğrulanması;
  7. Müşteri ile akdedilen sözleşmelerin gereğinin yerine getirilmesi,
  8. ilgili mevzuatta öngörülen diğer amaçları gerçekleştirmek maksadıyla.


  1. Veri Sorumlusu ve Veri İşleyenin Yükümlülüğü


İşbu Politika kapsamında Şirket, bazı kişisel verileri işlerken, veri işleyen sıfatını haiz olup işbu Politikanın X nolu fıkrasında yer alan üçüncü taraflar dahil olmak üzere veri sorumlusu adına hareket edebilir veya veri sorumlusu olduğu bazı kişisel veri türleri için ilgili üçüncü taraflar veri işleyen olabilir. Bu doğrultuda, böyle bir ilişkinin taraflarından her biri yani veri işleyenin yanı sıra veri sorumlusu ve onun alt yüklenicisi, mevcut veri koruma mevzuatına ve aşağıda belirtilen hükümlere uymak zorundadır:


  1. Kişisel verilerin, mevzuatta yer alan ilkelere uygun olarak işlenmesi gerekmektedir. Bu ilkeler doğrultusunda Kanun kapsamındaki istisnalar saklı kalmak üzere veri sahibinin açık rızasının alınması ve kendisine gerekli bilgilendirmenin yapılması gerekmektedir.


  1. Taraflardan birinden diğerine iletilen verinin işlenmesi, hiçbir sınırlama olmaksızın, işbu Politikanın VIII nolu fıkrasında belirtilen amaçlarla gerçekleştirilmelidir.


  1. Veri işlenmesi sırasında taraflardan biri veri işleyeni ve diğeri veri sorumlusunu temsil ediyorsa veri işleyen şunları yapmakla yükümlüdür:


      1. İşbu Politikanın hükümleriyle tanımlandığı ve Mevzuatın izin verdiği ölçü ve kapsama uyarak veya düzenleyici bir otoritenin talebiyle, taraflardan diğerinin ilettiği/açıkladığı veriyi işlemesi gerekmektedir.


      1. Veri sorumlusu tarafından iletilmiş/açıklanmış verilerin yetkisiz işlenmesi, kaybı, tahribatı, hasara uğraması, yetkisiz değişiklik yapılmasını veya açıklamasını önlemek için, makul her türlü teknik ve organizasyonel tedbirin uygulanması ve gerekli her aksiyonun alınması ve veri sorumlusunun bu kapsamda alınan her tedbirden haberdar etmesi gerekmektedir.


      1. Şirket, yetkili personeli aracılığıyla veri güvenliği amacıyla veri işleyen tarafından uygulanan tedbirleri ve uygulamaları denetleyebilir.


      1. Aşağıdakilerin gerçekleşmesi halinde veri sorumlusunun en kısa sürede ve en geç 30 gün içerisinde veri sahibine bildirimde bulunması gerekmektedir.



      1. Veri İşleyen tarafından aşağıdakiler dahil olmak üzere, Şirket tarafından iletilen/açıklanan bir şikayet veya beyanın incelenmesi konusunda Şirket ile işbirliği yapması ve Şirkete destek olması gerekmektedir.



    1. Veri İşleyen tarafından Avrupa Birliği Ekonomik Bölgesinin bir parçası olmayan ve Kişisel Verilerin korunması için yeterli seviyede olan ülkeler listesinde olmayan yahut veri sahibinin ya da Kurulun aktarılmasına izin vermediği bir ülkeye ve/veya uluslararası kuruluşa veri işlenmesi ve bilhassa aktarılması faaliyetine engel olması gerekmektedir.


    1. Şirketin önceden yazılı muvafakati olmaksızın; veri işleyen tarafından verilerin üçüncü taraflara aktarılmaması/açıklanmaması gerekmektedir. Şirketin önceden yazılı muvafakati olduğu durumlarda dahi; veri işleyen yazılı bir sözleşme uyarınca veriyi aktarma/açıklamakla yükümlüdür. Sözü edilen yazılı sözleşme tahtında üçüncü taraf ve onun alt yüklenicileri, verinin yetkisiz işlenmesi, kaybı, tahribatı, hasar görmesi, yetkisiz değiştirilmesi veya açıklanmasının önlenmesi için gerekli her türlü teknik ve organizasyonel tedbiri almakla yükümlüdür.


    1. Veri işleyenin, mevzuat ve Politika uyarınca alması gereken tedbirleri almaması veya tam olarak yerine getirememesinden dolayı Şirketin uğrayacağı her türlü zarar/kaybı tazmin etmesi gerekmektedir. Veri işleyen, bu vesileyle, veri işleyenin ihlali sonucunda, Şirketin uğrayabileceği her türlü zarar/kayıp, şikayet, giderler, yasal süreçler ve diğer yükümlülüklere karşı Şirketi tazmin etmeye ve korumaya muvafakat eder ve mutabık kalır.


    1. Şirket ile veri işleyen arasında sözleşme ile aksi belirlenmediği takdirde, Şirket ile veri işleyen arasındaki akdi ilişkinin sona ermesinden sonra veri işleyen aşağıdakileri yapmakla yükümlüdür:



  1. Üçüncü Taraflara/Taraflardan Bilgi Aktarımı/Paylaşımı


  1. Şirketin veri sahibine gereğince hizmet edebilmesi ve VI ve VII fıkrasındaki amaçlara uygun olarak veri işlemesi kapsamında, veri sahibiyle ve/veya veri sahibi tarafından sağlanan üçüncü taraflarla ilgili verilerin işbu Politikanın X nolu fıkrasında yer alan üçüncü taraflara/taraflardan aktarımı/paylaşımı gerekebilir. Bu amaçlara uygun olarak; veri sahibi, Şirkete kişisel verilerinin gerek Şirket nezdinde, gerekse iş ortaklıkları, temsilcilikleri, kioskları, mobil uygulaması, çağrı merkezi ile ödeme hizmetlerinin ve Şirketin diğer her türlü faaliyetinin tamamlayıcısı veya uzantısı niteliğindeki hizmetleri aldıkları taraflar, kamu kurum ve kuruluşları, anlaşmalı kuruluşlar ve destek hizmeti kuruluşları vasıtasıyla verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, yurt içinde aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi haklarını vermektedir.


  1. Şirket, kişisel verilerin gizliliği de dahil olmak üzere müşteri bilgilerinin gizliliğini korumak için gereken her türlü tedbiri alır. Ancak a) hizmetin düzgün şekilde yerine getirilmesi için gerekli olması halinde, b) Mevzuatın izin vermesi halinde, biz GönderAl olarak müşterimizin kişisel verilerini aşağıda sıralanan üçüncü taraflar(l)a/taraflardan aktarma ve paylaşma hakkına sahibiz. Verilerin paylaşılabileceği taraflar:


  1. Moneygram, Şirketin temsilcilik ilişkisi içinde olduğu taraflar; Şirketin iş ortaklıkları; çalışanları, Şirket görevlileri, hukuk, mali ve vergi danışmanları, denetçileri, Şirketin faaliyetlerinin tamamlayıcısı veya uzantısı niteliğindeki hizmetleri aldığı taraflar, BDDK, MASAK gibi otoriteler, bakanlıklar, yargı mercileri gibi yetkili kamu kurum ve kuruluşları ile ödeme hizmet mevzuatı hükümlerinin izin verdiği kişi, kurum ve kuruluşlar.


  1. Veri Güncelleme, İşleme, Muhafaza Dönemi ve Veri İmhası


  1. Şirketin sunduğu hizmetleri kullanma süresi boyunca ve bu sürenin akabinde, Şirket işbu Politikada belirtilen verileri, yine bu Politikada belirtilen amaçlara yönelik olarak, Şirketin amaç ve çıkarlarıyla, denetleyici/düzenleyici makamların talepleriyle ve/veya Mevzuat ile tutarlı bir süre zarfında işlemeye devam edecektir.


  1. Veri sahibinden Şirkete elektronik kanalların (web tarayıcı, Şirketin web sitesi, mobil uygulaması ve/veya diğer elektronik veri aktarım araçları) kullanımı esnasında aktarılan verilerin işlenmesi, veri sahibinin verileri ilgili elektronik kanallardan silmesinden sonra da devam edebilecektir. Bu tür veriler Şirketin amaç ve çıkarlarıyla, denetleyici/düzenleyici makamların talepleriyle ve/veya Mevzuat ile tutarlı bir zaman süresi boyunca elde tutulmaya devam edecektir.


  1. Veri sahibinin talebi üzerine, Şirket, Mevzuata uygun bir kapsamda, Müşteriye Müşterinin Şirket nezdinde tutulan kişisel verileriyle ilgili bilgi verecektir. Şirket, müşteriye bilgi vermekten dolayı ücret alınamayacağının kanunla belirtildiği durumlar haricinde, bu tür bilgileri Müşteriye vermek için bir hizmet bedeli uygulama hakkına sahiptir.


  1. Veri sahibinin kendisiyle ilgili olarak Şirkette tutulan verilerin eksik veya yanlış olduğunu düşünmesi halinde, veri sahibinin Şirkete derhal yazılı bildirimde bulunması zorunludur.


  1. Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya veri sahibinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.


  1. Kişisel Verilerin saklama ve imha sürelerinin tespitinde, aşağıda belirtilen kriterlerden yararlanılarak işlem yapılır:


  1. Verinin saklanmasının, KVKKn 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise, bu süreye riayet edilir.


  1. Söz konusu kişisel verinin saklanmasına ilişkin olarak, Mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.


  1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde, Kanunun “Genel ilkeler” başlıklı 4. maddesinde sayılan ilkeler ile, “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesi kapsamında alınması gereken tedbirlere, Mevzuat hükümlerine ve işbu Politikaya uygun hareket edilir.


  1. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.


  1. Kurul tarafından aksine bir karar alınmadıkça, Kişisel Verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir.


  1. Veri Sahibinin Hakları


KVKKnın 11. maddesinde belirtildiği üzere her veri sahibi aşağıdaki haklara sahiptir:


  1. kişisel verilerini işlenip işlenmediğini öğrenme,
  2. kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
  3. kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
  5. kişisel verilerin eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
  6. kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
  8. kişisel verilerin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
  9. kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılmaması halinde zararın giderilmesini talep etme.


  1. Veri İşlemenin Gizliliği


  1. Kişisel veriler, veri güvenliğine tabidir. Şirketin, iş ortaklıklarının ve temsilciliklerinin herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi, bu verileri işlemesi veya kullanması yasaktır. Şirketin, iş ortaklıklarının ve temsilciliklerinin meşru görevi çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu verileri işlemesi yetkisiz işlem anlamına gelmektedir. Şirketin, iş ortaklıklarının ve temsilciliklerinin çalışanları kişisel bilgilere ancak söz konusu görevlerinin türü ve kapsamı çerçevesinde uygun şekilde erişebilir. Bunun için rol ve sorumlulukların detaylandırılması, ayrıştırılması ve hayata geçirilmesi şarttır.


  1. Şirketin, ve temsilciliklerinin, iş ortaklıklarının ve temsilciliklerinin kişisel verileri özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale getirmeleri yasaktır. Şirket yöneticileri, istihdam ilişkisinin başlangıç aşamasında çalışanlarını veri gizliliğini koruma yükümlülüğü hususunda bilgilendirmelidir. Söz konusu yükümlülük istihdamın sona ermesinden sonra da devam edecektir.


  1. Veri İşleme Güvenliği


Kişisel veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin kazara kaybına, değiştirilmesine veya imhasına karşı korunmalıdır. İşbu hüküm, veriler ister elektronik ortamda ister kâğıt üzerinde işlensin, geçerli olacaktır. Yeni veri işleme yöntemleri, bilhassa da yeni bilgi teknolojisi sistemleri ortaya çıkıncaya kadar, kişisel verileri korumaya yönelik teknik ve organizasyonel tedbirlerin tanımlanıp hayata geçirilmesi gerekmektedir. Söz konusu tedbirler mevcut olan en ileri teknolojiyi, veri işleme risklerini ve verileri koruma gereksinimini dikkate alarak tasarlanmalıdır.


  1. Veri Koruma Kontrolü


İşbu Politikaya ve Mevzuata uyulup uyulmadığı hususu, Şirketin ilgili birimlerinde görevli yetkili kişiler tarafından düzenli olarak kontrol edilir.


  1. İletişim


Veri Sahibi, bu Politikanın ve KVKKnın uygulanması ile ilgili taleplerini Veri Sahibi Başvuru Formunu doldurarak veri sorumlusuna iletir. Veri sahibinin, doldurduğu Veri Sahibi Başvuru Formunu;



Şirkete iletilmesi gerekmektedir. Veri sorumlusu başvuruda yer alan talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde talebi ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenen tarifedeki ücretler alınır.



KVKK-Veri Sahibi Başvuru Formu' nu indirmek için tıklayınız.



Adres: Gönder-Al Ödeme Hizmetleri Anonim Şirketi

Eski Büyükdere Caddesi, Ayazağa Yolu, No:9, İz Plaza Giz, D:58

Maslak, 34398, İstanbul

Telefon: 0 (212) 290 6868

Email Adresi: gizlilik@gonder-al.com