Kişisel Verilerin İşlenmesi ve Korunması Politikası

Bu Politika, GetirFinans’ın kullanıcılarına, çalışanlarına, çalışan adaylarına, yetkililerine/temsilcilerine, gerçek kişi iş ortaklarına/tedarikçilerine, iş ortaklarının/tedarikçilerinin çalışanlarına, internet sitesi ziyaretçilerine ve iş yeri ziyaretçilerine ait kişisel veriler dahil olmak üzere veri sorumlusu olarak işlediği tüm kişisel verileri kapsamaktadır. GetirFinans olarak, tüm kişisel veri işleme faaliyetlerinde KVK Mevzuatına ve bu Politikada yer verilen ilkelere ve kurallara uygun davranmaktayız.

GetirFinans olarak yürüttüğümüz tüm kişisel veri işleme faaliyetlerinde, yürürlükteki kanunlara, kurallara, düzenlemelere ve kabul görmüş iyi uygulamalara uyum göstermeyi hedeflemekteyiz. Bu nedenle GetirFinans nezdinde tüm çalışanlar ve kişisel verilerin işlenmesinde rol alan diğer kişiler, bu Politikaya ve bu Politika ile belirlenen ilke ve kurallara uymakla yükümlüdür. Bu çerçevede, çalışanlarımızın ve nezdimizdeki kişisel verilerin işlenmesinde rol alan veri işleyen konumundaki üçüncü kişilerin de işbu Politikaya uygun davranması için gerekli tedbirleri almaktayız.

Politikada yer verilen tanımlar ve bunların açıklamaları aşağıda belirtilmiştir:

Alıcı Grubu: GetirFinans tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Çalışan: GetirFinans çalışanı
Elektronik Kayıt Ortamı: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği kayıt ortamı
Elektronik Olmayan Kayıt Ortamı: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. kayıt ortamları
Hizmet Sağlayıcı: GetirFinans ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişiler
İlgili Kişi: Kişisel verisi işlenen gerçek kişi
İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, GetirFinans organizasyonu içerisinde veya GetirFinans’tan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri: GetirFinans’ın iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanter
Kişisel Veri Saklama ve İmha Politikası: GetirFinans’ın, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptığı politika
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurum: Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Uygulama: Mobil ve diğer internet bağlantısı olan cihazlarda kullanılabilen, GetirFinans’ın sunduğu hizmetlerin alınabildiği GetirFinans mobil uygulaması veya web bazlı yazılım
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri İşleyen: GetirFinans’ın verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; işbu Politika çerçevesinde GetirFinans
Bu Politikada yer almayan tanımlar için KVK Mevzuatında yer alan tanımlar geçerlidir.

Veri sorumlusu olarak KVK Mevzuatından doğan hukuki yükümlülüklerimizi Politikanın bu bölümünde açıkladık.
4.1. Aydınlatma Yükümlülüğü
GetirFinans olarak kişisel verileri elde ettiğimiz ve işlediğimiz süreçlerde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, aydınlatma yükümlülüğünü ilgili süreçler özelinde ve en geç kişisel verilerin elde edilmesi anında yerine getirmekteyiz. Bu kapsamda ilgili kişileri aşağıdaki hususlarda aydınlatmaya özen göstermekteyiz:

• İlgili kişilerin kişisel verilerinin hangi amaçla işleneceği
  
• Şirket bilgileri (ticari unvanı, adresi, iletişim kanalları), varsa Şirket temsilcinin/temsilcilerin kimliğine ilişkin bilgileri
  
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
  
• Kişisel verileri elde etme yöntemi ve hukuki sebebi
  
• İlgili kişilerin KVKK’dan doğan hakları

4.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
GetirFinans olarak Veri Sorumlusu sıfatıyla kişisel veri işleme süreçlerimizde, kişisel verilerin gizlilik ve güvenliğini temin etmek, kişisel verilerin yetkisiz üçüncü kişilerin eline geçmesini veya erişimine açılmasını önlemek amacıyla gerekli tüm teknik ve idari tedbirleri almaktayız. Bu yükümlülüklerimize ilişkin olarak aldığımız teknik ve idari tedbirleri, işbu Politikanın 9. bölümünde detaylandırdık. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hususlarında KVK Mevzuatına uygun hareket etmekteyiz. Kişisel verilerin imha edilmesine ilişkin süreçlerimize Politikanın 8. bölümünde yer verdik.

4.3. İlgili Kişi Başvurularını Cevaplama Yükümlülüğü
GetirFinans olarak ilgili kişilerin tüm talep ve başvurularının en kısa sürede çözüme kavuşturulması ve ilgili kişiye cevap verilmesi süreçlerimizi GetirFinans İlgili Kişi Başvuru Yönetim Prosedürü çerçevesinde yürütmekteyiz. İlgili kişilerin bu Politikanın 10. maddesinde açıklanan yöntemlerden biriyle başvurması halinde, KVKK’nın ilgili maddesi uyarınca ilgili kişilerin taleplerini, başvurunun kabul ve ret sebeplerini gerekçeleriyle birlikte açıklayarak, en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırmaktayız.

4.4. Veri Sorumluları Sicili Bilgi Sistemine (VERBİS) Kayıt Yükümlülüğü
Şirketimizin bu Politikanın güncellenme tarihi itibariyle, KVKK’nın 16. maddesi ile Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca Veri Sorumluları Sicili Bilgi Sistemine (“VERBİS”) kayıt yükümlülüğü bulunmamaktadır.

4.5. Kişisel Verileri Koruma Kurulu Kararlarını Yerine Getirme Yükümlülüğü
GetirFinans olarak KVK Mevzuatının önemli ve ayrılmaz bir parçası olan Kurul kararlarına uyum sağlamak için azami hassasiyeti göstermekteyiz. Kurumun internet sitesinde yayımlanan tüm veri sorumluları açısından bağlayıcı olan ilke kararları başta olmak üzere, Kurulun tüm kararlarını yakından takip ederek kişisel verilerin korunması için Kurul tarafından öngörülen tüm teknik ve idari tedbirleri uygulamaya almak için tüm olanakları kullanmaktayız.

5.1. Kişisel Veri İşleme Süreçleri
Operasyonlarımız çerçevesinde topladığımız ilgili kişilere ait kişisel verileri işbu Politikanın devamında açıklanan hukuki sebeplere dayanarak işlemekteyiz. Kişisel veri işleme süreçlerimize ilişkin örneklere aşağıdaki tablolarda yer verdik.

5.2. Kişisel Verileri İşleme İlkeleri
GetirFinans olarak veri sorumlusu sıfatıyla elde ettiğimiz kişisel verileri işlerken aşağıda belirtilen veri işleme ilkelerine uymaktayız:

• Hukuka ve dürüstlük kurallarına uygun olma: Tüm veri işleme faaliyetleri, mevzuata ve iyi niyet ilkelerine uygun şekilde, şeffaflıkla sürdürülür.
• Doğru ve gerektiğinde güncel olma: Kişisel verilerin doğru ve güncel olmasını temin edecek kanallar her zaman açık tutulur, ilgili kişilere işlenen kişisel verilerindeki yanlış ve eksiklerin düzeltilmesi için etkili başvuru yöntemleri sunulur.
• Belirli, açık ve meşru amaçlar için işlenme: Kişisel verilerin hangi amaçlarla işleneceği mevzuata ve hayatın olağan akışına uygun olarak belirlenir, bu amaçlar şeffaf ve anlaşılır bir biçimde ilgili kişilerin bilgisine sunulur.
• İşleme amaçlarıyla bağlantılı, sınırlı ve ölçülü olma: Kişisel verilerin işlenme amacıyla ilgili olmayan veya ihtiyaç duyulmayan kişisel veriler işlenmez, muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyetleri yürütülmez. Elde edilen verilerin başkaca amaçlarla kullanılma ihtiyacının doğması halinde yeni bir veri işleme süreci gündeme gelir; söz konusu süreç, veri işlemeye ilk kez başlanıyor gibi KVKK’da öngörülen işleme şartları kapsamında gerçekleştirilir.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Kişisel verilerin saklanması için mevzuatta öngörülmüş bir süre varsa bu süreye uyulur; eğer mevzuatta böyle bir süre öngörülmemişse kişisel veriler sadece işleme amaçları için gereken süre boyunca saklanır.

5.3. Kişisel Verilerin İşlenmesi
GetirFinans olarak veri sorumlusu sıfatıyla elde ettiğimiz kişisel verileri KVKK’nın 5. maddesinin 2. fıkrasında belirlenen hukuka uygunluk nedenlerinden birinin bulunması halinde işler, bu nedenlerin bulunmaması halinde KVKK’nın 5. maddesinin 1. fıkrası uyarınca ilgili kişilerin açık rızalarına başvururuz. Kişisel verileri işlerken dayandığımız hukuka uygunluk nedenleri aşağıda açıklanmaktadır:

• Kişisel veri işlemenin kanunlarda açıkça öngörülmüş olması
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin veya bir başkasının hayatı ve beden bütünlüğünü korumak için kişisel verilerin işlenmesi
• Kişisel veri işlemenin, GetirFinans ile ilgili kişiler arasındaki bir sözleşmenin kurulması veya ifası için gerekli olması
• Kişisel verilerin hukuki yükümlülüklerimizi yerine getirebilmek için işlenmesi
• Kişisel verilerin, ilgili kişinin kendisi tarafından alenileştirilmiş olması
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması için işlenmesi
• Kişisel veri işlemenin meşru menfaatlerimiz için zorunlu olması

Bir veri işleme faaliyetinin GetirFinans’ın meşru menfaatleri için zorunlu olup olmadığını tespit ederken Kurulun 25.03.2019 tarihli ve 2019/78 sayılı Kararında belirtilen kriterleri esas alarak bir değerlendirme yapmakta; bu değerlendirmeyi yaparken, ilgili kişinin temel hak ve hürriyetleri ile ortaya çıkacak meşru menfaati karşılaştırarak bir denge testi gerçekleştirmekteyiz.
Kişisel verilerin işlenebilmesi için yukarıda açıklanan hukuka uygunluk nedenlerinden en az birinin bulunmadığı hallerde ise, ilgili kişinin kişisel verilerinin işlenmesi için açık rızası doğrultusunda hareket etmekteyiz.
Açık rıza, KVKK’da “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. GetirFinans olarak ilgili kişilerin açık rızalarını sorarken, aşağıdaki üç unsuru göz önünde bulundurmaktayız:

• Belirli bir konuya ilişkin olma: İlgili kişilerin açık rızası, spesifik veri işleme faaliyeti/faaliyetleri için sorulur ve rıza metinlerinin anlaşılır olması sağlanır.
• Bilgilendirmeye dayalı olma: Rıza metinleri ve aydınlatma metinleri birlikte/aynı kanal üzerinde sunulur, ilgili kişinin veri işleme faaliyetinin sonuçlarını anlaması temin edilir. Bu kapsamda öncelikle ilgili kişilere aydınlatma yapılır, sonra açık rızalarının bulunup bulunmadığı sorulur.
• Özgür iradeyle açıklanmış olma: İlgili kişilerin açık rızaları sorulurken iradesini sakatlayacak yanıltıcı ifadelerden kaçınılır; açık rıza vermek istemeyen ilgili kişilere alternatifler/reddetme hakkı tanınır.

5.4. Özel Nitelikli Kişisel Verilerin İşlenmesi
GetirFinans olarak özel nitelikli kişisel verileri Kurulun 31.01.2018 tarihli ve 2018/10 sayılı Kararı başta olmak üzere KVK Mevzuatında öngörülen idari ve teknik tedbirleri alarak işlemekteyiz. Bu doğrultuda hazırladığımız GetirFinans Özel Nitelikli Kişisel Verilerin İşlenmesi Politikasında, özel nitelikli kişisel verilerin işlenmesinde kural ve ilkelere yer vermiş olup, bunlara uygun hareket etmekteyiz.

5.5. GetirFinans Uygulamasından Gönderilen Bildirimler
GetirFinans olarak Kullanıcı Kişisel Verileri Aydınlatma Metninde açıklanan amaç ve hukuki sebeplere uygun olarak, açık rızasını veren kullanıcılarımıza uygulama üzerinden anlık bildirimler gönderebilir, telefon ve e-posta üzerinden iletişim kurabiliriz. Kullanıcılarımız GetirFinans tarafından gönderilen anlık bildirimlere yönelik iletişim tercihlerini Uygulama’da yer alan “Bildirim ve İletişim Tercihleri” sayfasından yönetebilmektedir.

5.6. Kişisel Verilerin Güncellenmesi
KVK Mevzuatından doğan, kişisel verileri tam, doğru ve güncel tutma yükümlülüğümüz kapsamında, ilgili kişilerin kişisel verilerini değiştirmesine ve düzeltmesine imkân tanıyacak mekanizmaları sağlamaktayız.

GetirFinans olarak verdiğimiz hizmetlerin temini amacıyla altyapı ve bilişim hizmet sağlayıcıları ile birlikte çalışmaktayız. Bu çerçevede ilgili kişilere ait kişisel verileri, KVKK’nın “Kişisel verilerin aktarılması” başlıklı 8. maddesi altında yer alan hukuka uygunluk nedenlerinden herhangi birinin varlığı halinde yurt içindeki üçüncü taraflara aktarmaktayız.

GetirFinans olarak işlediğimiz kişisel verileri, mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işlenmesinin amacının gerektirdiği süre boyunca ve GetirFinans Kişisel Veri Saklama ve İmha Politikası kapsamında saklamaktayız.
Bu doğrultuda kişisel verilerin işlenmesini gerektiren süreçler kapsamında, faaliyeti gerçekleştiren birim tarafından işlenen veri için bir saklama süresi belirlemekte; kişisel verilerin birden fazla amaç ile işlenmesi halinde, kişisel verinin işleme amaçlarının hepsinin ortadan kalkması veya ilgili kişinin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda verileri imha (silme, yok etme veya anonim hale getirerek saklama) etmekteyiz. Silme, yok etme veya anonim hale getirme hususlarında KVK Mevzuatına uygun hareket etmekteyiz.

Kişisel verileri, ilgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan sürenin sona ermiş olması kaydıyla, ilgili kişinin talebi üzerine veya re’sen imha etmekteyiz. Söz konusu imha (silme, yok etme ve anonim hale getirme) işlemlerini, ilgili mevzuat hükümleri saklı kalmak kaydıyla GetirFinans Kişisel Veri Saklama ve İmha Politikası kapsamında gerçekleştirmekteyiz.
Aksi Kurul tarafından belirtilmediği sürece kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmekte; ilgili kişinin kişisel verilerinin imha edilmesine ilişkin bir talebi olması halinde kişisel verilerin imhası için uygun olan yöntemi belirledikten sonra, ilgili kişiye bu durumu gerekçesiyle birlikte açıklamaktayız.

GetirFinans olarak kişisel verilerin korunmasını sağlamak için gerekli teknik ve idari tedbirleri almaktayız. Örneğin, olası siber saldırıları tespit etmek ve önlemek için saldırı tespit ve önleme yazılımları ile veri kaybı önleme yazılımları kullanmakta, çalışanlarımızın kişisel verilere erişim yetkilerini belirlemekte ve sınırlamaktayız. Kişisel verilerin gizlilik ve güvenliğini temin etmek üzere aldığımız tedbirleri bu bölümde detaylandırdık.

9.1. İdari Tedbirler
GetirFinans tarafından kişisel verilerin korunması için alınan idari tedbirlere aşağıda yer verilmektedir:

• Kişisel verilerin İşlenmesi ve korunması hususunda erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya geçirilmiştir.
• Kişisel veriler güvenlik hassasiyet derecelerine göre sınıflandırılmış ve buna yönelik tedbirler uygulamaya alınmıştır.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel verilere ilişkin mevcut risk ve tehditler belirlenmiştir.
• Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri kaldırılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Çalışanlar için veri güvenliği içeren disiplin düzenlemeleri mevcuttur.
• Veri envanteri hazırlanmıştır.
• Çalışanların, kişisel verilerin hukuka aykırı olarak ifşa edilmemesi ve paylaşılmaması gibi veri güvenliğine ilişkin konular hakkında belirli aralıklarla eğitim almaları ve çalışanlara yönelik farkındalık çalışmalarının yapılması sağlanmaktadır.
• Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel Veri içeren elektronik olmayan ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren elektronik olmayan ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Verilerin gizliliğinin sağlanmasına yönelik olarak gizlilik taahhütnameleri yapılmaktadır.
• Kişisel veri aktarımı yapılan veri sorumluları ve veri işleyenler ile veri aktarım sözleşmeleri imzalanmaktadır ve bunların farkındalığı sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından elde edilmesi halinde bu durumu ilgili kişilere ve Kurula bildirmek için uygulanacak prosedürler belirlenmiştir.
• Özel nitelikli kişisel verilerin güvenliğine yönelik politika ve prosedürler belirlenmiş ve uygulanmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir
• Kişisel veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalıkları sağlanmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

9.2. Teknik Tedbirler
GetirFinans tarafından kişisel verilerin korunması için alınan teknik tedbirlere aşağıda yer verilmektedir:</br>

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi yapılmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Şifreleme yöntemi kullanılmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup, uygulanması sürekli olarak takip edilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Güncel anti virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Elektronik veri iletimi esnasında uçtan uca güvenli iletişim protokolleri kullanılmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.

9.3. Çalışanların Sorumlulukları
GetirFinans’ın faaliyetleri kapsamında gerçekleştirilen veri işleme faaliyetlerinde veri işleyen çalışanlar, söz konusu kişisel veri işleme süreçlerinde işbu Politikada anılan usul ve esaslar kapsamında aşağıda anılan hususlara dikkat etmekle yükümlüdürler:

• Kişisel veriye erişimi bulunan bütün çalışanlar işbu Politika ve kişisel verilerin korunmasına ilişkin ilgili diğer politika ve prosedürler kapsamında belirtilen usul ve esaslara uygun hareket etmelidir.
• Çalışanlar, KVKK’da belirtilen kişisel verilerin korunması ilkelerine uygun veri işleme faaliyetinde bulunmalıdır.
• Çalışanlar, ilgili kişinin kişisel verilerini elde ederken;
  - Kişisel verilerin hangi amaçla işleneceği
  - Veri sorumlusu ve varsa temsilcisinin kimliğine ilişkin bilgiler
  - İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
  - Kişisel verileri elde etme yöntemi ve hukuki sebebi
  - İlgili kişilerin KVKK’dan doğan hakları
  hususlarında ilgili kişiye aydınlatma yapıldığından emin olmalıdır.
• Çalışanlar, açık rıza gerekmeksizin kişisel verilerin işlenmesi hallerinden biri söz konusu değilse, ilgili kişinin kişisel verilerini işlemeden önce açık rızasının alındığından emin olmalıdır
• Çalışanlar, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için her türlü teknik ve idari güvenlik tedbirlerinin alındığından emin olmalıdır.
• Çalışanlar, veri aktarımının, aktarım amacına uygun ve aktarım amacını aşmayacak şekilde yapılmasını sağlamalıdır.
• Çalışanlar, kişisel verilere yetkilerinin, rol tanımlarının ve görevlerinin ifasının gerektirdiği haller dışında erişmemeli ve kopyalamamalıdır.
• Çalışanlar, kişisel verileri GetirFinans içindeki veya dışındaki yetkisiz üçüncü kişilere aktarmamalı ve kişisel verilere yetkisiz üçüncü kişiler tarafından erişilmediğinden emin olmalıdır.
• Çalışanlar, veri işleme faaliyetini gerekli kılan amaçlar kapsamında ve bunların sınırları aşılmadan veri işleme faaliyetinde bulunmalıdır.
• Çalışanlar, bir kişisel veri ihlalinin farkına varmaları durumunda, Şirket içindeki yetkili kişileri derhal bilgilendirmelidir.

KVKK’nın 11. maddesi, ilgili kişilerin kişisel verilerine ilişkin haklarını düzenlemektedir. Bu haklar aşağıdaki şekildedir:<br>
1. GetirFinans’ın kişisel verilerini işleyip işlemediğini öğrenme
2. GetirFinans kişisel verileri işliyorsa, veri işlemeye dair bilgi talep etme
3. GetirFinans’ın kişisel verilerini işleme amaçlarını ve kişisel verileri amacına uygun kullanıp kullanmadığını öğrenme
4. Kişisel verilerinin üçüncü kişilere aktarılıp aktarılmadığını öğrenme; aktarılıyor ise yurt içi veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
5. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme ve bu kapsamda yapılan işlemi -var ise- kişisel verilerin aktarıldığı üçüncü kişilere de bildirmesini isteme
6. KVKK ve ilgili mevzuata uygun olarak işlenmiş olan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemi -var ise- kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme
7. İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili kişinin aleyhine bir sonucun ortaya çıktığı durumlar var ise bunlara itiraz etme
8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle ilgili kişinin zarara uğraması hâlinde, zararın giderilmesini talep etme

Yukarıda yer verilen haklarınızı kullanmak için taleplerinizi:

1. Sistemlerimizde kayıtlı olan e-posta adresinizi kullanarak kisiselveriler@getirfinans.com uzantılı e-posta adresine,
2. Kayıtlı elektronik posta (KEP) adresiniz aracılığıyla getirteknolojik@hs01.kep.tr adresine veya
3. Kimliğinizi tevsik edici belgeleri de ekleyip yazılı olarak, Etiler Mah. Tanburi Ali Efendi Sok. Maya Residences Sit., T Blok, No:13 İç Kapı No: 334, Beşiktaş/İstanbul adresine iletmenizi rica ederiz.

İşbu Politika, GetirFinans tarafından ihtiyaç duyuldukça gözden geçirilir ve gerektiğinde güncellenir.

Bunun dışında KVK Mevzuatında değişiklikler yapılması halinde, Politika güncellenmemiş olsa dahi ilgili mevzuattaki değişiklikler derhal uygulanır.