NOCTA GİZLİLİK POLİTİKASI
Son Güncelleme Tarihi: 01.07.2025
Yürürlük Tarihi: 02.07.2025
Versiyon: 1.0
1. GİRİŞ VE KAPSAM
1.1 Genel Bilgiler
ENGIO Bilişim ve Mühendislik Limited Şirketi ("ENGIO", "Şirket", "biz", "bizim") olarak,
Nocta finansal teknoloji uygulaması ("Nocta", "Uygulama", "Platform") aracılığıyla
kullanıcılarımızın ("Kullanıcı", "siz", "sizin") kişisel verilerinin korunmasını en üst düzeyde
önemsiyoruz. Bu Gizlilik Politikası ("Politika"), 6698 sayılı Kişisel Verilerin Korunması Kanunu
("KVKK"), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve ilgili mevzuat kapsamında
hazırlanmıştır.
1.2 Veri Sorumlusu
Şirket Unvanı: ENGIO Bilişim ve Mühendislik Limited Şirketi
Mersis No: 0394044889500015
Vergi Dairesi ve No: Hitit / 394 044 8895
Adres: Oğuzlar Mahallesi 1393. Sokak 13/8 Balgat Çankaya/ANKARA
Telefon: 0312 220 3505
E-posta: info@engio.com.tr
1.3 Politikanın Kapsamı
Bu Politika, Nocta uygulamasını kullanan tüm gerçek ve tüzel kişi kullanıcıları, web sitemizi
ziyaret edenler, iş ortaklarımız ve Nocta ile etkileşimde bulunan tüm kişileri kapsar.
2. TANIMLAR VE KISALTMALAR
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
• Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri
• Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması
ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza
• Anonimleştirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
• İlgili Kişi: Kişisel verisi işlenen gerçek kişi
• Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemi
3. İŞLENEN KİŞİSEL VERİLER
3.1 Kimlik Bilgileri
• Ad, soyad, doğum tarihi, doğum yeri
• T.C. kimlik numarası / Pasaport numarası / Geçici kimlik numarası
• Anne adı, baba adı
• Medeni durumu
• Cinsiyet
• Uyruk bilgisi
3.2 İletişim Bilgileri
• Telefon numarası (Cep, iş, ev)
• E-posta adresi
• Adres bilgileri (İkametgah, iş adresi)
• KEP adresi
• Sosyal medya hesap bilgileri (isteğe bağlı)
3.3 Finansal Bilgiler
• Banka hesap bilgileri
• IBAN numaraları
• Kredi/banka kartı bilgileri (PCI DSS uyumlu olarak)
• Gelir bilgileri
• Vergi mükellefiyet bilgileri
• Mali durum bilgileri
• Risk profili bilgileri
3.4 Şirket Bilgileri (Tüzel Kişi Kullanıcılar İçin)
• Şirket unvanı
• Ticaret sicil numarası
• Vergi dairesi ve vergi numarası
• Mersis numarası
• Faaliyet alanı
• Şirket yetkililerinin kimlik ve iletişim bilgileri
• İmza sirküleri
• Ortaklık yapısı
3.5 İşlem Bilgileri
• İşlem tarihi, saati ve tutarı
• İşlem türü ve açıklaması
• Alıcı/gönderici bilgileri
• İşlem referans numaraları
• Fatura bilgileri
• Ödeme emirleri
3.6 Lokasyon Bilgileri
• Coğrafi konum bilgileri (kullanıcı izni ile)
• IP adresi
• İşlem yapılan cihazın konumu
3.7 Cihaz ve Erişim Bilgileri
• Cihaz kimliği (Device ID)
• İşletim sistemi bilgileri
• Tarayıcı bilgileri
• Uygulama versiyonu
• Giriş/çıkış kayıtları
• Oturum bilgileri
3.8 Müşteri İşlem Bilgileri
• Müşteri numarası
• Hesap numaraları
• Müşteri segmenti
• Ürün kullanım bilgileri
• Müşteri memnuniyeti verileri
• Şikayet ve talep kayıtları
3.9 Görsel ve İşitsel Veriler
• Kimlik doğrulama için yüklenen kimlik belgesi görselleri
• Selfie/biyometrik doğrulama görselleri
• Müşteri hizmetleri görüşme kayıtları
• Güvenlik kamerası kayıtları (fiziksel lokasyonlarda)
3.10 Hukuki İşlem ve Uyum Verileri
• Mahkeme kararları
• İcra takip bilgileri
• Adli sicil kayıtları
• Risk ve uyum değerlendirme sonuçları
• Kara para aklama önleme (AML) kontrol sonuçları
4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
4.1 Hizmet Sunumu
• Finansal hizmetlerin sağlanması ve yönetilmesi
• Hesap açılışı ve yönetimi
• Ödeme işlemlerinin gerçekleştirilmesi
• Para transferi hizmetlerinin sağlanması
• Fatura ödeme hizmetlerinin sunulması
• Finansal raporlama ve analiz hizmetleri
4.2 Kimlik Doğrulama ve Güvenlik
• Müşteri kimlik doğrulama (KYC - Know Your Customer)
• Çok faktörlü kimlik doğrulama
• Dolandırıcılık önleme ve tespiti
• Güvenlik açıklarının tespiti ve önlenmesi
• Şüpheli işlemlerin izlenmesi ve raporlanması
4.3 Yasal Uyum ve Düzenleyici Gereklilikler
• 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamındaki
yükümlülükler
• MASAK bildirimleri
• BDDK düzenlemelerine uyum
• SPK düzenlemelerine uyum
• Vergi mevzuatına uyum
• Adli makamların talepleri
4.4 Risk Yönetimi
• Kredi risk değerlendirmesi
• Operasyonel risk yönetimi
• Piyasa riski analizi
• Uyum riski kontrolü
• İtibar riski yönetimi
4.5 Müşteri İlişkileri Yönetimi
• Müşteri hizmetleri desteği
• Şikayet ve talep yönetimi
• Müşteri memnuniyeti ölçümü
• Müşteri segmentasyonu
• Kişiselleştirilmiş hizmet sunumu
4.6 Pazarlama ve İletişim
• Ürün ve hizmet tanıtımı
• Kampanya bildirimleri
• Müşteri bilgilendirmeleri
• Anket ve araştırmalar
• Etkinlik davetleri
4.7 Ürün ve Hizmet Geliştirme
• Kullanıcı deneyimi iyileştirmeleri
• Yeni özellik geliştirme
• A/B testleri
• Performans analizi
• Hata düzeltmeleri
4.8 İş Sürekliliği ve Bilgi Güvenliği
• Yedekleme ve felaket kurtarma
• Sistem güvenliği ve kararlılığı
• Siber güvenlik önlemleri
• Veri bütünlüğünün sağlanması
• İş sürekliliği planlaması
5. KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ
SEBEPLERİ
5.1 Kanunlarda Açıkça Öngörülmesi
• 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun
• 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve
Elektronik Para Kuruluşları Hakkında Kanun
• 5411 sayılı Bankacılık Kanunu
• 213 sayılı Vergi Usul Kanunu
• 6102 sayılı Türk Ticaret Kanunu
5.2 Sözleşmenin Kurulması veya İfası
• Kullanıcı sözleşmesi
• Hizmet sözleşmeleri
• İş ortaklığı sözleşmeleri
• Tedarikçi sözleşmeleri
5.3 Hukuki Yükümlülük
• Düzenleyici raporlama yükümlülükleri
• Denetim yükümlülükleri
• Saklama yükümlülükleri
• Bildirim yükümlülükleri
5.4 Meşru Menfaat
• Dolandırıcılık önleme
• Bilgi güvenliği
• Hizmet kalitesinin artırılması
• İş analitikleri
5.5 Açık Rıza
• Pazarlama faaliyetleri
• Profilleme ve otomatik karar verme
• Üçüncü taraf hizmet entegrasyonları
• Konum bazlı hizmetler
6. KİŞİSEL VERİLERİN AKTARILMASI
6.1 Yurt İçi Aktarım
Kişisel verileriniz, yukarıda belirtilen amaçlar doğrultusunda ve KVKK'nın 8. ve 9. maddelerine
uygun olarak aşağıdaki taraflara aktarılabilir:
Kamu Kurumları:
• T.C. Hazine ve Maliye Bakanlığı
• Mali Suçları Araştırma Kurulu (MASAK)
• Bankacılık Düzenleme ve Denetleme Kurumu (BDDK)
• Sermaye Piyasası Kurulu (SPK)
• Gelir İdaresi Başkanlığı
• Adli makamlar
Özel Hukuk Kişileri:
• İş ortaklarımız
• Tedarikçilerimiz
• Denetim firmaları
• Hukuk büroları
• Danışmanlık firmaları
• Bankalar ve finansal kuruluşlar
6.2 Yurt Dışı Aktarım
Kişisel verileriniz, KVKK'nın 9. maddesi uyarınca:
• Yeterli korumanın bulunduğu ülkelere
• Yeterli korumanın bulunmadığı ülkelerde, veri sorumlusunun yeterli korumayı taahhüt
ettiği ve Kurul'un izninin bulunduğu hallerde
• Açık rızanızın bulunması halinde
yurt dışına aktarılabilir.
6.3 Visa ve Kartlı Ödeme Sistemleri
Visa kuralları gereği, kartlı ödeme işlemlerinizle ilgili veriler:
• PCI DSS standartlarına uygun olarak
• Tokenizasyon yöntemiyle
• Şifrelenmiş kanallar üzerinden
• Sadece işlem gerçekleştirme amacıyla
Visa ve ilgili ödeme sistemlerine aktarılır.
7. KİŞİSEL VERİLERİN KORUNMASI VE GÜVENLİK
7.1 Teknik Önlemler
• 256-bit SSL/TLS şifreleme
• End-to-end şifreleme
• Tokenizasyon
• Veri maskeleme
• Güvenlik duvarları ve IDS/IPS sistemleri
• DDoS koruması
• Düzenli güvenlik taramaları ve penetrasyon testleri
• SIEM (Security Information and Event Management) sistemleri
• Veri sızıntısı önleme (DLP) sistemleri
7.2 İdari Önlemler
• Çalışan gizlilik ve güvenlik eğitimleri
• Gizlilik sözleşmeleri
• Erişim kontrol politikaları
• Veri sınıflandırma politikaları
• Olay müdahale prosedürleri
8. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
8.1 Yasal Saklama Süreleri
• Finansal işlem kayıtları: 10 yıl (5549 sayılı Kanun)
• Muhasebe ve vergi kayıtları: 5 yıl + bağlı olduğu yıl (213 sayılı VUK)
• Ticari defterler ve belgeler: 10 yıl (6102 sayılı TTK)
• Müşteri sözleşmeleri: Sözleşme süresi + 10 yıl
• Elektronik log kayıtları: 2 yıl (5651 sayılı Kanun)
8.2 Saklama Süresi Sonrası İşlemler
Saklama süreleri sona eren kişisel veriler:
• Güvenli yöntemlerle imha edilir
• Anonim hale getirilir
• İmha tutanakları düzenlenir
• Periyodik imha süreçleri uygulanır
9. İLGİLİ KİŞİ HAKLARI
9.1 KVKK Kapsamındaki Haklar
KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:
• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme
• KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini
veya yok edilmesini isteme
• Düzeltme ve silme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere
bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde
zararın giderilmesini talep etme
9.2 Başvuru Prosedürü
Haklarınızı kullanmak için:
• E-posta: info@engio.com.tr
9.3 Başvuru Değerlendirme Süreci
• Başvurular en geç 30 gün içinde cevaplanır
• Başvuru ücretsizdir (10 sayfayı aşan belgeler için sayfa başı ücret alınabilir)
• Kimlik doğrulaması yapılır
• Eksik başvurular için ek bilgi talep edilebilir
10. ÇEREZLER VE BENZERİ TEKNOLOJİLER
10.1 Çerez Türleri
• Zorunlu Çerezler: Uygulamanın çalışması için gerekli
• Fonksiyonel Çerezler: Kullanıcı tercihlerini hatırlama
• Analitik Çerezler: Kullanım istatistikleri
• Pazarlama Çerezleri: Kişiselleştirilmiş reklamlar
10.2 Çerez Yönetimi
Çerezleri uygulama ayarlarından veya tarayıcı ayarlarından yönetebilirsiniz. Zorunlu çerezlerin
devre dışı bırakılması halinde bazı hizmetler çalışmayabilir.
11. ÇOCUKLARIN GİZLİLİĞİ
Nocta, 18 yaşından küçük bireylere hizmet sunmamaktadır. 18 yaşından küçük bir kişinin
verilerinin toplandığını tespit etmemiz halinde, bu veriler derhal silinecektir.
12. ULUSLARARASI VERİ TRANSFERLERİ
12.1 Veri Aktarım Mekanizmaları
• Standart Sözleşme Maddeleri (SCC)
• Bağlayıcı Şirket Kuralları (BCR)
• Yeterlilik kararları
• Açık rıza
12.2 Visa Gereklilikleri
Visa'nın küresel ödeme ağı gereği, işlem verileri:
• Visa veri merkezlerine
• Visa Data Processing Centers'a
• Yetkili işlemcilere
güvenli kanallar üzerinden aktarılabilir.
13. OTOMATİK KARAR VERME VE PROFİLLEME
13.1 Kullanım Alanları
• Risk skorlaması
• Dolandırıcılık tespiti
• Kredi değerlendirmesi
• Kişiselleştirilmiş hizmet önerileri
13.2 Güvenceler
• İnsan müdahalesi hakkı
• Kararın açıklanmasını isteme hakkı
• İtiraz etme hakkı
• Alternatif değerlendirme talep etme hakkı
14. VERİ İHLALİ BİLDİRİMİ
Kişisel verilerinizin güvenliğini etkileyebilecek bir ihlal durumunda:
• 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılır
• Risk değerlendirmesi yapılır
• Yüksek risk durumunda ilgili kişilere bildirim yapılır
• Düzeltici önlemler alınır
15. DEĞİŞİKLİKLER
Bu Gizlilik Politikası düzenli olarak gözden geçirilir ve güncellenir. Önemli değişiklikler:
• Uygulama içi bildirimle
• E-posta ile
• Web sitesi duyurusu ile
bildirilir.
16. İLETİŞİM
Veri Sorumlusu İletişim Bilgileri:
ENGIO Bilişim ve Mühendislik Limited Şirketi
