​İşbu Politikanın ("Politika") temel amacı, DİNAMİK ELEKTRONİK PARA VE ÖDEME HİZMETLERİ A.Ş. ("Şirket" veya "DİNAMİKPAY") bünyesinde işlenen tüm kişisel, finansal ve ticari verilerin gizliliğini korumak, veri bütünlüğünü sağlamak ve bu verilerin hukuka uygun yöntemlerle imhasını tesis etmektir. Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") hükümlerine uygun olarak hazırlanmıştır. Politikanın uygulama alanı, Şirket bünyesindeki tüm birimleri, iş süreçleri kapsamında işlenen yetkili kullanıcılara ait verileri ve Fiziki ile Elektronik tüm Kayıt Ortamlarını kapsamaktadır. Politikanın nihai amacı, veri işleme şartlarının tamamının ortadan kalktığı durumlarda kişisel verilerin hukuka uygun, şeffaf, denetlenebilir ve riskten arındırılmış bir yapıya kavuşturulmasını sağlamaktır. DİNAMİKPAY, bu Politika ile verilerin hukuka aykırı erişimine ve işlenmesine karşı gerekli teknik ve idari tedbirleri şeffaf bir şekilde ortaya koymaktadır.

1. SAKLAMA SÜRELERİNİN HUKUKİ ANALİZİ VE KRİTİK SÜRELER REJİMİ

 

1. Hukuki Süreç Bağımlılığı ve Saklama Kriterleri

Kişisel verilerin saklama süreleri, DİNAMİKPAY tarafından 6698 sayılı KVKK'nın 4. maddesindeki temel ilkeler çerçevesinde, özellikle "amaçla bağlantılı, sınırlı ve ölçülü olma" ve "ilgili mevzuatta öngörülen süre kadar muhafaza etme" ilkelerine tam uyumla ve risk odaklı bir yaklaşımla yönetilir. Sürelerin belirlenmesinde, Kanun'un 5. ve 6. maddelerinde belirtilen yasal işleme şartlarının varlığı ve devamlılığı birincil hukuki kıstas olarak kabul edilir. Saklama süresi, hukuki sorumluluk ve işlevsellik bazında birincil (sözleşmesel ve hizmet odaklı) ve ikincil (regülatif ve yasal zamanaşımı odaklı) olmak üzere iki ana faza ayrılır. Bu fazlar, veri yaşam döngüsünün her aşamasında şeffaflığı ve hesap verebilirliği sağlamak üzere tasarlanmıştır.

1. Regülatif Zorunluluklardan Kaynaklanan Süreler (İkincil Faz- Yasal Muhafaza)

Temel sözleşmesel ilişkinin sona ermesini veya işleme amacının ortadan kalkmasını takiben dahi, verilerin işlenmesini gerektiren hukuki sebep, mevzuatsal zorunluluklar nedeniyle devam eder. DİNAMİKPAY, bir Ödeme ve Elektronik Para Kuruluşu olarak, özellikle mali ve regülatif zorunluluklar nedeniyle aşağıdaki asgari süreler boyunca verileri muhafaza etmeye devam eder

Mali, Ticari ve Hukuki İspat Zorunluluğu Süreleri

Bu süreler, Şirketin olası hukuki ihtilaflarda ispat hakkını korumak ve mali denetimlere tabi olmak için hayati öneme sahiptir:

Genel Zamanaşımı ve Mali Kayıtlar: 6098 sayılı Türk Borçlar Kanunu (TBK m.146) genel zamanaşımı hükümleri, 6102 sayılı Türk Ticaret Kanunu (TTK) ve özellikle 213 sayılı Vergi Usul Kanunu (VUK) gereği, mali kayıtlar, sözleşmeler ve hukuki ispat niteliği taşıyan tüm ticari defter ve belgeler, sözleşmenin feshi sonrasında dahi 10 Yıl boyunca muhafaza edilmeye devam eder. Bu süre, mali denetimlerin ve ticari uyuşmazlıkların zamanaşımı süresiyle uyumludur

Özel Regülatif Kayıtlar (MASAK/AML/CFT): 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve ilgili ikincil mevzuat uyarınca, müşteri tanıma ve işlem takibi kayıtları, son işlem tarihinden veya iş ilişkisinin sona ermesinden itibaren en az 8 Yıl süreyle saklanmak zorundadır. Bu zorunluluk, finansal kuruluşlar için en kritik ve tavizsiz saklama süresi rejimini oluşturur.

Dijital Güvenlik ve Elektronik İşlem Kayıtları Süreleri

Dijital İz Verileri (Log Kayıtları): 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun uyarınca hukuki yükümlülük nedeniyle İşlem Güvenliği Log Verileri (IP adresleri, Erişim Kayıtları, Zaman Damgaları) için minimum 2 Yıl süreyle saklanma zorunluluğu bulunmaktadır. Bu kayıtlar, siber güvenlik olaylarının ve yetkisiz erişimlerin ispatı ve soruşturulması için esastır.

Elektronik Ticari İletişim: 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun gereği, onay/ret ve ticari elektronik ileti gönderimine ilişkin rıza kayıtları, son ticari ileti tarihinden itibaren 1 Yıl süreyle muhafaza edilmelidir

Nihai Kural ve Hukuki Kısıtlayıcı Tetikleyiciler

Belirlenen tüm yasal ve regülatif saklama süreleri sona erdiğinde dahi, aşağıdaki istisnai haller hariç olmak üzere veriler, amaçla bağlantılılık ilkesi uyarınca derhal imha edilir:

Hukuki Süreç Engeli: Verilerin saklanmasını gerektiren devam eden bir yasal inceleme, idari soruşturma, dava veya icra takibi bulunması halinde, imha işlemi bu süreçlerin kesin olarak sonuçlanmasına kadar ertelenir.

İlgili Kişi Talebi: Kişisel Veri Sahibinin KVKK Madde 11 uyarınca silme veya yok etme talebinde bulunması. (Bu talep, yasal saklama zorunlulukları nedeniyle reddedilebilir).

Kurul Kararları: Kişisel Verileri Koruma Kurulu tarafından verilen ve Şirkete ek saklama yükümlülüğü getiren özel kararların varlığı.

Bu şartlar ortadan kalktığında, veriler MADDE 3'te belirtilen Periyodik İmha Mekanizmasına dâhil edilerek Silme, Yok Etme veya Anonimleştirme yöntemlerinden biriyle geri döndürülemez şekilde ortadan kaldırılır.

1. KİŞİSEL VERİ KAYIT ORTAMLARI VE GÜVENLİK ALTYAPISI

 

1. DİNAMİKPAY tarafından işlenen tüm kişisel veriler, veri yaşam döngüsünün her aşamasında ve yüksek kurumsal bilgi güvenliği standartları uygulanarak, sınıflandırılmış ve güvenli ortamlarda depolanmaktadır. Kayıt ortamları, veri ipine ve erişim ihtiyacına göre iki ana kategoriye ayrılmıştır:

Elektronik Ortamlar:

Müşteri ve işlem verilerinin tutulduğu, Merkezi İşlem Birimi (CPU) ile entegre birincil depolama birimleri (SQL/NoSQL). Bu sistemler, yüksek erişilebilirlik ve şifreleme ile korunur.

Felaket Kurtarma (DR) ve iş sürekliliği planları kapsamında, verilerin periyodik ve şifreli olarak yedeklendiği ikincil depolama alanları.

Amazon Web Services (AWS) veya Azure gibi güvenilirliği uluslararası standartlarla taahhüt edilmiş bulut bilişim hizmet sağlayıcılarında (Dış Hizmet Alımı) depolanan veriler. Bu verilerin coğrafi konumu ve aktarım protokolleri, KVKK Madde 9 ve TCMB'nin Bilişim Sistemleri Tebliği'ne tam uygunluk sağlayacak şekilde yönetilir.

Tüm sistem erişimlerinin, yetkilendirme süreçlerinin ve işlemsel logların tutulduğu, zaman damgasıyla imzalanmış kayıt birimleri (5651 Sayılı Kanun zorunluluğu).

Fiziksel Ortamlar:

Islak imzalı Çerçeve Sözleşmeler, taahhütnameler, imza sirküleri, mali defterler ve yasal olarak arşivlenmesi zorunlu mali evraklar.

Tüm fiziksel evrakların saklandığı, sadece sınırlı sayıda yetkili personel tarafından erişilebilen, kilitli ve yangına/suya karşı korumalı arşiv odalarıdır.

1. Tüm Kayıt Ortamlarında, KVKK Madde 12 uyarınca, hukuka aykırı erişimi ve işlenmeyi önlemek amacıyla siber güvenlik ve idari disiplin temelinde gelişmiş, katmanlı güvenlik tedbirleri uygulanmaktadır.

 

Teknik Güvenlik Mekanizmaları;

1-Erişim Kontrolü ve Yetki Matrisi Uygulaması:

• Erişim, en az ayrıcalık prensibine (Principle of Least Privilege) uygun olarak, katı bir Yetki Matrisine dayalıdır.

• Yalnızca görevi gereği verilere erişmesi zorunlu olan personele yetki tanımlanır ve bu yetkiler derhal sonlandırılır.

• Çok Faktörlü Kimlik Doğrulama (MFA/2FA), hassas verilere erişim süreçlerinin tamamında zorunludur.

2-Kriptografi ve Güvenli İletişim Protokolleri:

• Veri güvenliğinin sağlanmasında şifreleme kritik bir rol oynamaktadır. Saklanan veriler ve transfer edilen veriler şifrelenir.

• Hassas veriler (özellikle KULLANICI kimlik bilgileri), endüstri standardı olan AES-256 gibi güçlü kriptografik algoritmalarla şifrelenerek saklanır.

• Veri transferleri, TLS/SSL protokollerinin güncel versiyonları kullanılarak şifrelenir.

3-Sürekli Denetim ve Olay Yönetimi (SIEM):

• Tüm sistem erişimleri ve güvenlik olayları, Merkezi Log Yönetim Sistemleri üzerinden kaydedilir ve Güvenlik Bilgileri ve Olay Yönetimi çözümleri ile anlık olarak analiz edilir.

• Düzenli sızma testleri, güvenlik açığı taramaları ve risk analizleri ile olası zafiyetler proaktif olarak tespit edilir ve giderilir.

     4-İdari Güvenlik Mekanizmaları

Kurumsal İK Disiplini: Tüm personele periyodik olarak KVKK, bilgi güvenliği ve veri gizliliği konularında zorunlu eğitimler verilmekte ve düzenli olarak gizlilik taahhütnameleri imzalatılmaktadır.

 

Veri Koruma Komitesi (VKK): Politikanın uygulanmasını, denetimini ve güncelliğini sağlamak üzere kurumsal düzeyde VKK tesis edilmiş olup, Komite düzenli aralıklarla toplanarak güvenlik prosedürlerini gözden geçirir.

 

Veri İşleyen Yönetimi: Dış Hizmet Alımı yapılan tedarikçilerle (özellikle Bulut hizmet sağlayıcıları) akdedilen sözleşmelere, bu Politika'da belirtilen güvenlik standartlarına ve KVKK yükümlülüklerine tam uyum maddeleri eklenir.

 

1. PERİYODİK İMHA MEKANİZMASI VE TEKNİK UYGULAMA DİSİPLİNİ

 

1. Yönetmelik'in 11. maddesi ve KVKK'nın 7. maddesi gereğince, kişisel verilerin işlenmesini gerektiren tüm şartların tamamının ortadan kalkması durumunda, DİNAMİKPAY, ilgili verileri re'sen imha etmekle yükümlüdür.

 

Rutin Dönem: DİNAMİKPAY, Kurul tarafından belirlenen süreye uygun olarak, yılda en az iki kez (rutin olarak Ocak veTemmuz ayları başlangıcında) Periyodik İmha işlemi gerçekleştirir.

 

Zaman Çizelgesi: İmha işlemi, yasal saklama süresinin dolduğu tarihi takip eden ilk Periyodik İmha Döneminde uygulanır.

 

1. DİNAMİKPAY, verilerin depolandığı Kayıt Ortamının türüne göre, bilginin geri döndürülemez ve kurtarılamaz şekilde yok edilmesini garanti etmek üzere en güncel ve güvenli teknik yöntemleri uygulamakla yükümlüdür.

 

Silme (Deletion - Elektronik Veri): Veri tabanları için, kayıtların sadece mantıksal olarak silinmesi yeterli olmayıp, verinin depolandığı ilgili satırların DELETE veya benzeri kalıcı silme komutları ile silinmesi esastır. Dosya sistemleri için ise, Data Overwriting (verilerin üzerine rastgele veri yazma) prensibi benimsenir.

 

Yok Etme (Destruction - Fiziksel/Manyetik Ortam): Fiziksel Evraklar için DIN 66399 uluslararası standardına uygun, en az P-4 güvenlik seviyesinde kâğıt imha makinesi kullanılarak parçalama zorunludur. Manyetik Ortamlar (Diskler/Yedekleme Üniteleri) için ise manyetik alanla bozma veya fiziki parçalama yoluyla bilginin kesinlikle okunamaz hale gelmesi sağlanır.

 

Anonim Hale Getirme (Anonymization): Uzun süreli analitik çalışmalar için saklanması gereken büyük veri setlerinde, kimlik tanımlayıcı verilerin geri döndürülemez şekilde maskelenmesi, genelleştirilmesi veya kriptografik olarak türetilmesi (hashing) yöntemleri kullanılır.

 

1. İmha süreçlerinin tüm aşamaları (Veri Sınıflandırması, İmha Kararı, Uygulanan Yöntem, Tarih ve İmha Tutanakları) kayıt altına alınır. Bu kayıtlar, hukuki ispat yükümlülüğünü yerine getirmek ve denetlenebilirliği sağlamak amacıyla güvenli bir şekilde arşivlenir.

 

1. KİŞİSEL VERİ SAHİBİNİN TALEPLERİ VE İMHA PROSEDÜRÜ

İlgili Kişilerin (Yetkili Kullanıcıların) KVKK Madde 11 uyarınca sahip oldukları silme ve yok etme haklarını kullanmak üzere yaptıkları başvurular, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak Hukuk Birimi tarafından yönetilir.

1. Zaman Kısıtlaması: İlgili Kişinin talebi, DİNAMİKPAY sistemine ulaştığı tarihi takip eden en geç 30 (otuz) takvim günü içinde (ücretsiz olarak) sonuçlandırılır.

2. Prosedür Akışı:

   • Kimlik Doğrulama: Başvuruda bulunan kişinin kimliği, hukuka aykırı paylaşımları önlemek amacıyla ek yöntemlerle (örneğin kayıtlı e-posta, teyit sorusu) doğrulanır.

   • Talebin Değerlendirilmesi: Talep edilen verinin işlenme şartlarının ortadan kalkıp kalkmadığı ve yasal saklama yükümlülüklerinin devam edip etmediği hukuki açıdan analiz edilir.

   • Sonuçlandırma: Talep haklı görülürse imha işlemi gerçekleştirilir ve bu durum İlgili Kişiye yazılı olarak bildirilir. Talebin reddedilmesi halinde ise, ret gerekçesi hukuki dayanakları ile birlikte yine yazılı olarak İlgili Kişiye tebliğ edilir.

3. İspat Yükümlülüğü: İlgili Kişi talebi üzerine gerçekleştirilen imha işlemleri, hukuki ispat yükümlülüğünü yerine getirmek üzere detaylı olarak kayıt altına alınır ve arşivlenir. Talebi reddedilen İlgili Kişinin, cevabın tebliğinden itibaren 30 gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkı mevcuttur.

Talebin reddedilmesi halinde, ret gerekçesi hukuki dayanakları ile birlikte yine yazılı olarak İlgili Kişiye tebliğ edilir. Talebi reddedilen İlgili Kişinin, cevabın tebliğinden itibaren 30 gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkı mevcuttur.