Aydınlatma Metni

A ÖDEME VE ELEKTRONİK PARA HİZMETLERİ A.Ş.

KİŞİSEL VERİLERİNİZİN İŞLENMESİ HAKKINDA AYDINLATMA METNİ

işbu Aydınlatma Metni, A Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi A.Ş. (“Morpara” veya “Şirket”) tarafından sunulan elektronik para ihracı, ödeme hizmetleri, para transferi, mobil ödeme, POS hizmetleri, fatura ödeme işlemlerine aracılık, temsilcilik faaliyetleri ile bunlarla bağlantılı diğer ürün ve hizmetler kapsamında kişisel verilerin işlenmesine ilişkin olarak hazırlanmıştır.

Şirketimiz, kişisel verilerinizi 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nun 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri uyarınca veri sorumlusu sıfatıyla işlemekte olup, işbu metin ile ilgili kişilerin bilgilendirilmesi amaçlanmaktadır.

Morpara, faaliyetlerini yürütürken kişisel verilerin işlenmesinde KVKK’nın 4. maddesinde yer alan genel ilkelere uygun hareket etmeyi esas almaktadır. Bu kapsamda kişisel verileriniz;

• Hukuka ve dürüstlük kurallarına uygun şekilde,

• Doğru ve gerektiğinde güncel olarak,

• Belirli, açık ve meşru amaçlar doğrultusunda,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde,

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilerek

işlenmektedir.

Morpara, ödeme ve elektronik para hizmetlerinin yürütülmesi sırasında kişisel verilerin güvenliğinin sağlanması amacıyla gerekli teknik ve idari tedbirleri almakta ve veri işleme faaliyetlerini yürürlükteki mevzuata uygun şekilde gerçekleştirmektedir.

1. Veri Sorumlusu ve İletişim Bilgileri

Ticaret Unvanı : A Ödeme ve Elektronik Para Hizmetleri Anonim Şirketi

Adres : Esentepe Mah. Büyükdere Cad. Astoria Blok No: 127 İç Kapı No: 63 Şişli / İstanbul

MERSİS No : 0001215647700001

Sicil No : 304884-5

KVKK kapsamındaki başvurularınıza ilişkin iletişim kanalları işbu metnin “Haklarınız ve Başvuru Yolları” bölümünde ayrıca belirtilmiştir.

2. Aydınlatmanın Sunulma Zamanı ve Şekli

2.1. Bu Aydınlatma Metni; (i) müşteri edinimi ve kimlik doğrulama süreçlerinde (çerçeve sözleşme kurulması dâhil), (ii) Şirket tarafından sunulan ürün ve hizmetlerin kullanımı sırasında, (iii) talep/şikâyet/çağrı merkezi süreçlerinde ve (iv) mevzuat gereği gerekli hâllerde ayrıca yapılacak bilgilendirmelerle birlikte yürürlüktedir. Aydınlatma; dijital kanallar (internet sitesi, mobil uygulama varsa), sözleşme/başvuru ekranları, temsilci noktaları, POS/üye işyeri yönlendirmeleri, çağrı merkezi/IVR ve benzeri fiziksel veya elektronik ortamlar üzerinden erişilebilir şekilde sunulmaktadır.

2.2. Kişisel verilerinizin sizden elde edilmediği durumlarda (örneğin KPS/APS, KKB, TBB Risk Merkezi gibi kaynaklardan veri temini) aydınlatma; Aydınlatma Tebliği m.6 uyarınca, makul süre içerisinde, ilk iletişim esnasında veya ilk aktarım anında; somut olayın niteliğine göre bildirim (mobil uygulama varsa uygulama içi bildirim dâhil), e-posta/SMS, internet sitesi üzerinden erişilebilen bilgilendirme sayfası veya benzeri yöntemlerle ayrıca sağlanacaktır.

3. İşlenen Kişisel Verileriniz

3.1. Şirket’imiz tarafından işlenebilecek kişisel verileriniz, faaliyetlerimizin ve sunduğumuz hizmetlerin niteliğine göre aşağıdaki kategori ve örnek veri türlerini içerebilir. Aşağıdaki örnekler, her kullanıcı bakımından mutlaka tüm verilerin işlendiği anlamına gelmez; işlemeye konu veriler, sunulan hizmet, kullanım senaryosu ve hukuki sebebe göre değişkenlik gösterebilir.

Veri Kategorisi Açıklama

Biyometrik Veriler : Yüz görüntüsü, canlılık testi verileri vb.

Evrak Verileri : Sözleşmeler, mahkeme ve idari merci evrakları vb.

Finans Veriler : Banka/ödeme hesabı bilgileri (IBAN, hesap numarası), kart bilgileri (çoğunlukla maskeleme/tokenizasyon uygulanmış), bakiye ve finansal hareket bilgileri, ödeme/transfer tutarları, ulaşım kartı yükleme/işlem bilgileri (varsa).

Fiziksel Mekân Güvenlik Verileri : Genel Müdürlük işe giriş çıkış sistem kayıtları, ziyaretçi kayıtları, kamera kayıtları vb.

Görsel ve İşitsel Kayıtlar : Çağrı merkezi ses kayıtları, görüntülü görüşme halinde görüntü kayıtları, kimlik doğrulama amaçlı fotoğraf/selfie kayıtları (varsa).

Hukuki İşlem Verileri : Adli/idari mercilerle yazışma ve dosyalardaki bilgiler, uyuşmazlık ve inceleme süreçlerine ilişkin kayıtlar.

İletişim Verileri : Telefon numarası, e-posta bilgisi, adres bilgisi vb.

İşlem Güvenliği Verileri : IP adresi, cihaz kimliği, oturum bilgileri, giriş-çıkış logları, uygulama/servis kullanım kayıtları, güvenlik doğrulama bilgileri; parolaların ham hâli saklanmaz, gerekli ölçüde kriptografik/hashed doğrulama verileri tutulabilir.

Kimlik Verileri : Ad-Soyad, TCKN, pasaport numarası, nüfus cüzdan bilgileri ve kimlikte yer alan fotoğraflar, sabıka kaydı, vukuatlı nüfus kayıt bilgisi, ikametgâh bilgisi, ehliyet bilgisi, özgeçmiş bilgisi vb.

Kurumsal Veriler : Unvan, vergi numarası, vergi levhası, imza sirküleri, firma yönetici ve çalışan bilgileri vb.

Kullanıcı İşlem Verileri : İşlem sahibi bilgisi, işlem numarası, oluşturulma tarihi, işleme alınma tarihi, ödeme tarihi, işlem tutarı vb.

Kullanıcı Verileri : Kullanıcı adı-soyadı, kullanıcı/hesap tanımlayıcıları, kullanıcı grup/rol/yetki bilgileri, şifre doğrulama verileri (ham şifre saklanmaksızın; gerekli ölçüde kriptografik/hashed) vb.

Lokasyon Verileri : Uygulama ayarlarına ve cihaz izinlerine bağlı olarak konum bilgisi (yalnızca ilgili hizmetin gerektirdiği ölçüde).

Mesleki Deneyim Verileri : Meslek, unvan, çalışma bilgisi, eğitim durumu (ürün ve hizmetlere göre).

Müşteri İşlem Verileri : Hesap/mobil cüzdan hareketleri, para transferi/ödeme talimatları, işlem geçmişi, işlem doğrulama kayıtları, çağrı merkezi kayıtları ve görüşme notları, talep/şikâyet bilgileri, sözleşmesel işlem kayıtları.

Özel Nitelikli Kişisel Veriler – Sağlık Bilgileri : Engellilik durumuna ilişkin beyan ve bu kapsamda iletilen sağlık bilgileri (yalnızca ilgili süreç bakımından ve gerekli olduğu ölçüde).

Pazarlama Verileri : Kampanya katılım/kullanım bilgileri, alışveriş geçmişi, çerez kayıtları, anket yanıtları, tercih ve ilgi alanlarına ilişkin beyanlar, pazarlama ileti onayı kayıtları.

Risk Yönetimi Verileri : Dolandırıcılık ve suistimal göstergeleri, AML/CFT kontrolleri kapsamında uyarı ve değerlendirme kayıtları, risk izleme ve takip bilgileri; mevzuatın izin verdiği ölçüde Risk Merkezi/KKB vb. kurumlardan temin edilen değerlendirme bilgileri; TCMB, GİB, KPS/APS gibi sistemlerden doğrulama/sorgulama sonuçları.

Talep/Şikâyet Yönetimi Verileri : Kullanıcılar tarafından iletilen talep ve şikâyetler ile işlem esnasında eklenen yorumlar ve bunlara ilişkin kayıt ve raporlar.

Temsilci Verileri : Temsilci yetkilisinin adı soyadı, adresi vb.

Uyum Süreçleri Sorgu Verileri : Ulusal ve uluslararası uyum kriterleri kapsamında yürütülen süreçlere ilişkin sorgu sonuçları ve bilgiler vb.

4. Kişisel Verilerinizin Elde Edilme Yöntemleri

4.1. Kişisel verileriniz; Şirket’in dijital kanalları (internet sitesi, mobil uygulama varsa), müşteri edinimi ekranları/başvuru formları, sözleşme ve bilgilendirme süreçleri, çağrı merkezi/IVR, e-posta, temsilci/iş ortakları kanalları ve benzeri iletişim kanalları üzerinden doğrudan sizden elde edilebilir.

4.2. Kişisel verileriniz, ayrıca; kimlik/doğrulama ve mevzuat uyumu süreçlerinin yürütülmesi için kamu sistemleri ve/veya yetkili kuruluşlar (örneğin KPS/APS gibi doğrulama sistemleri; KKB, TBB Risk Merkezi gibi mevzuatın izin verdiği ölçüde sorgulama yapılabilen yapılar; GİB; adli/idari merciler) ile Şirket’imiz adına destek hizmeti/dış hizmet sağlayan tedarikçi ve iş ortakları, temsilciler, bayi/satış kanalları ve üye işyerlerinden; otomatik veya kısmen otomatik yöntemlerle elde edilebilir.

4.3. Üye işyerleri ve POS üzerinden gerçekleştirilen işlemlerde, ilgili ödeme işlemine ilişkin veriler, işlemin tamamlanması ve güvenliğinin sağlanması amacıyla, işlem akışına göre üye işyeri ve/veya teknik sağlayıcılar üzerinden Şirket’imize iletilebilir. Şirket’imiz, bu senaryolarda işlem bazlı bilgilendirmeyi dijital kanallar üzerinden yönlendirmeler (mobil uygulama varsa uygulama içi yönlendirmeler dâhil) ve/veya internet sitesindeki aydınlatma metinleri üzerinden destekleyebilir; üye işyerlerinin de kendi veri sorumluluğu kapsamındaki aydınlatma yükümlülüklerini yerine getirmesi beklenir.

5. Kişisel Verilerinizin İşlenme Amaçları ve Hukuki Sebepleri

5.1. Şirket’imiz, kişisel verilerinizi KVKK m.5 ve m.6’da sayılan işleme şartlarına dayanarak aşağıda yer alan amaçlarla işleyebilir. Aynı veri kategorisi, birden fazla amaç ve hukuki sebep kapsamında işlenebilir; her durumda işleme, amaçla bağlantılı, sınırlı ve ölçülü olacaktır.

6. Otomatik Analiz, Skorlama ve Karar Destek Süreçleri Hakkında Bilgilendirme

6.1. Şirket’imiz; dolandırıcılık önleme, işlem güvenliği, uyum ve risk yönetimi amaçlarıyla belirli veriler üzerinde otomatik sistemler vasıtasıyla analiz ve değerlendirme yapabilir. Bu analizler; örneğin işlemin güvenlik açısından doğrulanması için ek doğrulama adımı talep edilmesi, riskli görülen işlemlerin geçici olarak bekletilmesi/incelemeye alınması, şüpheli işlem değerlendirmesi kapsamında kontrol süreçlerinin tetiklenmesi gibi sonuçlar doğurabilir. KVKK m.11 kapsamında, münhasıran otomatik sistemler vasıtasıyla analiz sonucu aleyhinize bir sonucun ortaya çıktığını düşünmeniz hâlinde itiraz etme ve talebinizi iletme hakkınız bulunmaktadır.

7. Kişisel Verilerinizin Kimlere ve Hangi Amaçla Aktarılabileceği

Kişisel verileriniz, KVKK m.8 ve m.9 hükümlerine uygun olarak; işleme amaçlarıyla bağlantılı, sınırlı ve ölçülü olmak kaydıyla, aşağıda belirtilen alıcı gruplarına aktarılabilir.

  I. İşlemin Tarafları ve Hizmetin Sunulması İçin Gerekli Kuruluşlar

Mobil cüzdan/ödeme/transfer işlemlerinizin yerine getirilebilmesi amacıyla; para transferi yapılan banka ve elektronik para/ödeme kuruluşları, fatura üreten kurumlar, ulaşım kartı yükleme kuruluşları, üye işyerleri, ödeme/ tahsilat ilişkisi kurduğunuz kurum ve kuruluşlar ile yalnızca işlemin gerçekleştirilmesi için gerekli veriler paylaşılabilir.

  II. İş Ortakları, Temsilciler, Tedarikçiler ve Hizmet Sağlayıcılar

Bilgi teknolojileri altyapısı, bulut/hosting, siber güvenlik, çağrı merkezi, müşteri destek, denetim, muhasebe, lojistik/kurye (varsa), mesajlaşma hizmetleri, dolandırıcılık önleme ve benzeri destek hizmetlerini sağlayan tedarikçi ve hizmet sağlayıcılara; hizmetin ifası ve güvenliğinin temini amacıyla, gerekli ölçüde aktarım yapılabilir. Bu taraflar, Şirket’imizin talimatları doğrultusunda ve veri güvenliği yükümlülükleri altında faaliyet gösterir.

  III. Hukuki Süreçler ve Danışmanlık

Avukatlar, hukuk büroları, noterler, denetçiler, bağımsız denetim/ derecelendirme/ değerleme kuruluşları ve danışmanlara; hukuki süreçlerin yürütülmesi, hakların tesisi/kullanılması/korunması ve hukuki yükümlülüklerin yerine getirilmesi amacıyla aktarım yapılabilir.

  IV. Yetkili Kamu Kurum ve Kuruluşları ile Adli/İdari Merciler

Mevzuat gereği veya yetkili makam talepleri kapsamında; TCMB, MASAK, BDDK, KVKK Kurumu/Kurulu, GİB, BTK, TÖDEB, Spor Toto, Milli Piyango, TBB, emniyet birimleri, savcılıklar, mahkemeler, icra daireleri ve diğer yetkili kamu kurum/kuruluşları ve adli/idari merciler ile hukuki yükümlülüklerin yerine getirilmesi amacıyla veri paylaşımı yapılabilir.

  V. Risk ve Dolandırıcılıkla Mücadele Kurumları / Sistem Entegrasyonları

Risk yönetimi, kimlik doğrulama ve uyum süreçleri kapsamında; KPS/APS gibi kamu sistemleri, KKB, TBB Risk Merkezi, BKM ve mevzuatın izin verdiği diğer doğrulama/risk altyapıları ile gerekli ölçüde veri paylaşımı yapılabilir.

  VI. Şirketler Topluluğu / Finansal Grup İçi Paylaşımlar

Kişisel verileriniz; dahil aynı şirketler topluluğu içinde yer alan şirket ve kişiler ile mevzuattan doğan uyum programı yükümlülükleri ve grup bazlı destek hizmetlerinin yürütülmesi amaçlarıyla, KVKK m.8 çerçevesinde ve gerekli güvenlik önlemleri alınarak paylaşılabilir. Bu paylaşımlar; müşteri tanıma (KYC), uyum programı uygulamaları, denetim ve mevzuatın izin verdiği ölçüde operasyonel süreçlerin yürütülmesi ile sınırlıdır.

8. Yurt Dışına Aktarım

8.1. Morpara, kişisel verilerin yurt dışına aktarımını 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nun 9. maddesi, ilgili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu kararları doğrultusunda gerçekleştirmektedir.

Bu kapsamda kişisel verileriniz aşağıdaki durumlarda yurt dışına aktarılabilmektedir:

• Kişisel Verileri Koruma Kurulu tarafından hakkında yeterlilik kararı verilen ülke veya ülkelere,

• KVKK’da öngörülen uygun güvencelerin sağlanması şartıyla (örneğin standart sözleşmeler veya Kurul tarafından öngörülen diğer güvence mekanizmaları kapsamında),

• KVKK ve ilgili mevzuatta düzenlenen istisnai veri aktarım halleri kapsamında.

• Morpara, yurt dışına gerçekleştirilen tüm veri aktarım süreçlerinde veri güvenliğinin sağlanması, aktarımın amaca uygun ve sınırlı olması ve ilgili mevzuata uyum ilkelerini gözetmektedir.

8.2. Ödeme hizmetlerinin doğası gereği bazı işlemlerde işlem taraflarından birinin veya ilgili hizmet sağlayıcının yurt dışında bulunması söz konusu olabilmektedir. Bu tür durumlarda, ödeme işleminin güvenli ve kesintisiz şekilde gerçekleştirilebilmesi amacıyla gerekli olan sınırlı nitelikteki kişisel veriler, müşterinin verdiği ödeme talimatı veya işlem talebi doğrultusunda yurt dışındaki ilgili ödeme kuruluşu, banka, kart şeması, finansal altyapı sağlayıcısı veya hizmet sağlayıcılarla paylaşılabilmektedir.

Bu kapsamda:

• Kişisel verileriniz Türkiye’de saklanmaya devam eder,

• Yurt dışına yalnızca ödeme işleminin gerçekleştirilmesi için zorunlu olan işlem verileri aktarılır,

• Aktarım süreci KVKK’nın ölçülülük, veri minimizasyonu ve amaçla sınırlılık ilkelerine uygun şekilde yürütülür.

• Örneğin;
  a. Yurt dışındaki bir satıcıya gerçekleştirilen uluslararası para transferlerinde, işlemin tamamlanabilmesi için gerekli olan alıcı bilgileri, işlem tutarı ve ödeme açıklaması ilgili finansal kuruluşlara iletilebilir.
 b. Uluslararası kartlı ödeme işlemlerinde, işlem onayı ve mutabakat süreçleri kapsamında belirli işlem verileri uluslararası kart şemaları veya ödeme altyapısı sağlayıcıları ile paylaşılabilir.

Söz konusu veri aktarımı, KVKK’nın 9. maddesinde düzenlenen yurt dışına veri aktarımına ilişkin hükümlere uygun şekilde ve gerekli teknik ve idari güvenlik tedbirleri alınarak gerçekleştirilmektedir.

9. Saklama Süreleri

9.1. Şirket’imiz, kişisel verilerinizi ilgili mevzuatta öngörülen süreler boyunca ve her hâlükârda işleme amaçlarının gerektirdiği süre ile sınırlı olarak saklar. Ödeme ve elektronik para sektörüne ilişkin mevzuat, MASAK yükümlülükleri, finansal işlemlere dair kayıt düzeni, denetim ve zamanaşımı süreleri saklama sürelerinin belirlenmesinde dikkate alınır. Saklama süresi sona eren veriler, KVKK ve ilgili mevzuata uygun olarak silinir, yok edilir veya anonim hâle getirilir.

10. Haklarınız ve Başvuru Yolları

10.1. KVKK m.11 uyarınca; kişisel verilerinizin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, aktarım yapılan iş ortaklıklarını ve hizmet alınan kurumları öğrenme, eksik/yanlış işlenmişse düzeltilmesini isteme, silme/yok etme talep etme, otomatik analiz sonuçlarına itiraz etme ve zararın giderilmesini talep etme haklarına sahipsiniz.

10.2. Bu haklarınıza ilişkin taleplerinizi;

Yazılı başvuru ile : Kimliğinizi doğrulamak kaydıyla deki genel müdürlüğümüze iletebilir veya noter aracılığıyla gönderebilirsiniz.

KEP ile : aodeme@hs03.kep.tr kep.tr adresine güvenli elektronik imza veya mobil imza kullanarak iletebilirsiniz.

E-posta ile : Sistemimizde kayıtlı bulunan e-posta adresiniz üzerinden, güvenli elektronik imza veya mobil imza içerecek şekilde kvkk@morpara.com adresine iletebilirsiniz.

10.3. Şirket’imiz, taleplerinizi KVKK ve ilgili mevzuat uyarınca en geç 30 gün içinde sonuçlandırır. Kurul tarafından ayrıca bir ücret öngörülmesi hâlinde, ilgili tarifeye uygun olarak ücret talep edilebilir.

11. Güncellemeler

11.1. İşbu Aydınlatma Metni, mevzuat değişiklikleri ve faaliyetlerimizdeki güncellemeler doğrultusunda revize edilebilir. Güncellemeler, uygun yöntemlerle tarafınıza duyurulabilir; güncel metne internet sitemiz ve Şirket’in dijital kanalları üzerinden erişebilirsiniz.