1. GİRİŞ

Bzetmex Teknoloji A.Ş. ve Bzetmex Kripto para Alım Satım Platformunun kullanıcı, müşterileri ve ilişkili diğer taraflarının kişisel verilerinin korunması iş modelimizin en önemli bileşenlerinden birisidir. Şirketimiz, hem kanuni yükümlülükler hem de sorumlu olduğumuz kişisel verilerin sahiplerinin hakları konusunda onları bilgilendirmek, aydınlatmak ve şeffaf bir veri güvenliği sistemi işletmek istemektedir.

2. AMAÇ

Bu politika ile kişisel verilerin işlenmesi ve korunması konusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum sağlamak amacıyla Şirket tarafından yürütülecek faaliyetlere ilişkin ilke ve prensiplerin belirlenmesi amaçlanmıştır. Şirket, KVKK kapsamında Kişisel Verileri işleme faaliyetlerini, Kişisel Verileri işlemeye konu veri sahiplerinin haklarını işbu Politika'da detaylandırarak açıklamaktadır. Bu politika ile Kullanıcı Sözleşmesi ayrılmaz bir bütün oluşturmaktadır.

3. KAPSAM

Şirket’imizin; müşterileri, kurumsal müşterilerinin hissedarları, yetkilileri ve çalışanları, potansiyel müşterileri, iş ortaklarımızın hissedarları, yetkilileri ve çalışanları ile çalışan adaylarımız, ziyaretçilerimiz, yetkili ve hissedarlarımız vb. üçüncü kişiler, hizmet sağlayıcıları ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirketin sahip olduğu ya da Şirket tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde işbu Politika uygulanır.
Bu Politika, yukarıda belirtilen ilgili kişiler için, kişisel verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirketimiz tarafından işlenmesi halinde uygulanacaktır. Verinin aşağıda belirtilen kapsamda “Kişisel Veri” kapsamında yer almaması veya Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde bu Politika uygulanmayacaktır.

4. KISALTMA VE TANIMLAR

5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN GENEL İLKELER

Şirketimizin amacı kişisel verileri TC Anayasası ve Kanun’un koyduğu temel kurallara uygun şekilde yönetmektir.
Şirketimiz, kişisel verilerin işlenmesi faaliyetleri kapsamında mevzuata, dürüstlük kurallarına ve veri işleme amaçlarına uygun hareket etmektedir.

Şirket, kişisel verileri yalnızca belirli, açık ve hukuka uygun sebeplerle muhafaza etmekte ve işlemektedir. Kişisel verilerin işlenme amaçları açıkça beyan edilmekte ve kişisel verilerin işlenmesi yalnızca bu amaçlarla sınırlı ve ölçülü olarak yapılmaktadır.

Şirket, işlenen kişisel verilerin doğru ve güncel olmasını amaçlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Hakkındaki kişisel verinin yanlış olduğunu düşünen veri sahibinin durumu derhal Şirket’e bildirmesi gerekmektedir. Verilerin güncelliği konusunda gerekli ve makul tüm tedbirleri alan Şirket, veri sahibine ait güncel olmayan kişisel veriye dayalı olarak yapılan işlemlerden dolayı sorumlu tutulamaz.

Şirket kişisel verileri Kanun ve ilgili alt mevzuattaki sürelere uygun şekilde muhafaza etmektedir.

6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirket kişisel verileri veri sahibinin açık rızası olmaksızın işlemez. Kişisel veriler yalnızca aşağıdaki şartlardan birinin varlığı hâlinde veri sahibinin açık rızası aranmaksızın da işlenebilir:
Veri sahibinin kişisel verileri, kanunda ve kanuna dayanılarak çıkarılan alt düzenlemelerde açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir (Örneğin, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik Madde 5).

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatını veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

Şirketimiz veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için zorunlu olduğu hallerde ilgili kişinin kişisel verilerini açık rıza aramaksızın işleyebilir.

Kişisel verinin, veri sahibinin kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Şirketimiz veri sahibi ilgili kişilerin Kanun ve Politika kapsamında korunan temel hak ve özgürlerine zarar vermemek kaydıyla meşru menfaatlerinin temini için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda ilgili kişilerin kişisel verilerini işleyebilir. Şirketimiz bu durumda ilgili kişinin haklarına zarar gelmemesi için ek koruyucu tedbirler almaktadır. Şirketimizin menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında makul bir denge sağlanmaktadır.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Özel nitelikli kişisel verilerin işlenmesi kural olarak ancak açık rıza durumunda mümkündür. Kişisel veri sahibinin açık rızası yok ise ancak yeterli önlemlerin alınmış olması kaydıyla Kanun’la belirlenen hallerde mümkündür.

8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

9. KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz kişisel verileri gerekli güvenlik önlemlerini alarak Kanun’un 8. maddesi uyarınca aşağıda belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak üçüncü kişilere aktarabilmektedir:

• İlgili kişinin açık rızasının olması,
• Kanunlarda kişisel verinin aktarılmasına ilişkin açık bir düzenleme olması,
• İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için kişisel veri aktarımının zorunlu olması ve ilgili kişinin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda veya rızasına hukuki geçerlilik tanınmıyor olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılmasının gerekli olması,
• Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımının zorunlu olması,
• Kişisel verilerin, kişisel ilgili kişi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için kişisel veri aktarımının zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımının zorunlu olması.

Bu çerçevede kişisel veriler yasal olarak aktarılması gereken idari ve resmi makamlara, dışarıdan hizmet alınan üçüncü taraflara, iş birliği yaptığımız, program ortağı kurum, kuruluş, iş birliği yapılan çağrı merkezi gibi alanlarda destek aldığımız üçüncü kişilere, hukuki ve ticari zorunluluklar nedeniyle ve yasal sınırlamalar çerçevesinde işin gereği ile ölçülü ve sınırlı olmak üzere aktarılabilecektir. Özellikli platform faaliyetlerinin yürütülmesi amacıyla destek hizmeti aldığımız taraflara, teknik ve idari altyapı ile elektronik sistemlerin kurulması, geliştirilmesi, bakımı ile müşteri datalarının tutulması, çağrı merkezi süreçlerinin yönetilmesine yönelik hizmet alınan üçüncü kişilere işin gerektirdiği ölçüde ve sınırlılıkta kişisel veri aktarılabilmektedir. Bu kapsamda gerçekleştirilen kişisel veri aktarımları, ilgili üçüncü tarafın sunduğu güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir. Üye Müşteri’ye ait cep telefonu numarası ve/veya e-posta adresi; ticari elektronik ileti onayına istinaden tanıtım, reklam yapılabilmesi, fayda ve fırsat sunulabilmesi amacıyla ticari elektronik ileti aracı hizmet sağlayıcısı ile paylaşılabilmektedir.
Kişisel verilerin yurtdışına aktarımı kural olarak ancak açık rıza ile mümkündür. Kişisel veriler iş geliştirme hizmetlerinin sağlanması, istatiksel ve teknik hizmetlerin temini ve müşteri ilişkilerinin yürütülmesi amaçlarıyla yurt dışındaki iş ortakları ile paylaşılabilecektir. Kişisel verilerinizi, arşivleme ve depolama amacıyla yurtdışında bulunan bilişim teknolojileri desteği alınan sunucular, hosting şirketleri, program, bulut bilişim gibi elektronik ortamlara gereken güvenlik önlemelerinin alınması ile aktarabilecek olup, burada işleme faaliyetine tabi tutulup saklanabilecektir.

10. KİŞİSEL VERİLERİN GÜVENLİĞİ

Şirket, kişisel verilerin hukuka aykırı olarak işlenmesi ile kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla alınacak veri güvenliğine ilişkin teknik, idari ve fiziki tedbirler almaktadır.

Şirket, gerekli tedbirler alınmış olmasına karşın işlenen kişisel verilerin rıza dışı ve/veya gayri resmi yollarla üçüncü kişiler tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kanun’un gerektirmesi halinde Kurul’a bilgi verecektir.

Şirket faaliyetleri için bilgi güvenliği yönetim sistemi kurmayı, uygulamayı, etkinliğini gözden geçirmeyi, sürekli iyileştirmeyi, bilginin gizliliği, bütünlüğü ve erişilebilirliğini varlık ve risk yönetimi süreçlerini uygulayarak muhafaza etmeyi, ilgili tüm taraflara risklerin doğru bir şekilde yönetildiğine dair güvence vermeyi, bilgi güvenliği yönetim sistemi amaç ve hedeflerine ulaşmak için gerekli kaynakları sağlamayı, yasal ve diğer gerekliliklere uymayı taahhüt etmektedir.

Kişisel verilerin hukuka uygun işlenmesi amacıyla Şirket; veri işleme faaliyetlerinin analizi, analiz neticesinin bir rapor haline getirilmesi, analiz raporu uyarınca, kişisel veriler ile ilgili yapılan işlemlerin hukuka uygunluğunun sağlanması konularında tedbirleri alacaktır.

Ayrıca, kişisel verileri işleme süreçleri, geliştirilecek teknik sistemlerle denetlenecek ve ilgilisine raporlanacaktır. Şirket personeli, kişisel verilerin hukuka ve mevzuata uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilecek ve eğitilecektir.

Şirket ile çalışanları, çalışan adayları, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine, ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulacaktır. Kişisel verilere erişim, işlenme amacı doğrultusunda görevli personellerle sınırlandırılacak, aynı zamanda çalışanların, görevlerinin gerektirmediği kişisel verilere erişimleri engellenecektir.

Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler alınacaktır:

• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulacaktır.
• Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknik önlemler alınacak, periyodik olarak güncellenerek, ilgilisine raporlanacak, güvenlik riski olan hususlara teknolojik çözüm üretilecektir.
• Şirket çalışanlarından, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınacaktır. Bu taahhüt işten ayrılmalarından sonra da devam edecektir.
• Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenecektir.
• Erişim ve yetkilendirme teknik süreçleri tasarlanacak ve devreye alınacaktır.

11. AYDINLATMA YÜKÜMLÜLÜĞÜ VE KİŞİSEL VERİ SAHİBİNİN HAKLARI

Şirket, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri aşağıda sayılan hususlarda aydınlatmaktadır:

• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri sahibinin sahip olduğu haklar.

Veri sahibi Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahiptir:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
• İlgili şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• İşlemlerin (düzeltme ve imha), kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme Kanun’un ilgili maddeleri gereği veri sahipleri yukarıda sayılan haklarını aşağıdaki hallerde Şirket’e karşı öne süremezler:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.