KVK POLİTİKASI
TİANA TURİZM SANAYİ VE TİCARET
LİMİTED ŞİRKETİ – TİANA OTEL KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Politika Yürürlük
Tarihi
04.11.2020
İşbu belge
Tiana
Turizm Sanayi Ve Ticaret Limited Şirketi – Tiana Otel’in yazılı izni olmaksızın çoğaltılıp
dağıtılamaz.
İçindekiler
BÖLÜM 1: GİRİŞ
1.1. GİRİŞ
Kişisel Verilerin
Korunması Kanunu ile verileri işlenen
kişilerin verilerinin korunması konusu her şirket açısından
temel bir zaruret haline gelmiştir. Bu sebeple özellikle kişilerin özel
hayatına ve bilgilerine erişim hususunda azami
ihtimam göstermek ve bu
konuda etkili ve caydırıcı önlemler almak ek olarak bütün bu işlemler esnasında
müşterilerimize, potansiyel müşterilerimize, ziyaretçilerimize, şirket
yetkililerimize, işbirliği içinde olduğumuz taraf ve kurumların tamamına kısaca şirketimizle doğrudan veya dolaylı olarak
bağlantılı olan verilerini işlediğimiz her bir kişiye şeffaf
olmak şirket veri politikamızın temel hedefini oluşturmaktadır.
Şirketimiz Tiana
Turizm Sanayi Ve Ticaret Limited Şirketi – Tiana Otel işbu Politika ile kişisel
verilerin işlenmesine yönelik kurallarımızı şeffaflık
ve açıklık ilkeleri
çerçevesinde belirlemekte ve hayata
geçirmektedir.
1.2. POLİTİKANIN AMACI VE KAPSAMI
Bu politikanın temel amacı kişisel
verilerin işlenmesinde başta
özel hayatın gizliliği olmak üzere verileri işlenmiş
olan kişilerin temel hak ve özgürlüklerini korumak
ve bu anlamda şirketimizin
yaptığı her faaliyetin kamunun aydınlatılması yoluyla şeffaflığının
sağlanmasıdır.
Bu politika
hükümlerinin kapsamı doğrudan
veya dolaylı olarak
verilerini işlediğimiz kişilerin
bütün kişisel verileridir.
1.3. MEVZUATIN UYGULANMASI
Yürürlükte bulunan
mevzuat ve politikamız arasında uyumsuzluk bulunması halinde yürürlükte olan
mevzuat öncelikli olarak uygulanacak olup bu temel politikanın dışında daha özel
amaçlar için aynı
konuda oluşturulan başka
politika veya düzenleme bulunması halinde öncelikle özel hükümler içeren
maddeler uygulanır. Diğer politika ve dokümanların bu politika ve ilgili mevzuat
ile çelişen hükümleri uygulanmaz.
BÖLÜM 2: KİŞİSEL VERİLERİN
İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
2.1.1 Hukuka ve Dürüstlük Kurallarına Uygun Olması
Kişilerin
verileri işlenirken işlenme sürecinde veriler hukuka ve dürüstlük kurallarına
uygun olarak elde edilmeli ve işlenmelidir. Şirketimiz Tiana Turizm Sanayi Ve Ticaret Limited Şirketi – Tiana Otel verileri
işlerken hukuka ve dürüstlük kurallarına uygun bir şekilde
azami hassasiyet ve kontrol ile verileri işlemektedir.
2.1.2 Doğru ve Gerektiğinde Güncel
Olması
İşlenen
verilerin doğru olması ve şahısların verileri hakkında güncellik gerektiğinde
güncel olması
gerekmektedir. Şirketimiz işlenen verilerin doğruluğunu her işleme seviyesinde kontrol etmekte
ve gerektiğinde güncel
olması için gerekli
hazırlıkları yapmaktadır.
2.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
Verilerin işlenmesi esnasında hangi verilerin
işlendiği belli ne kadarlık bir kısmının işlendiği açık ve ne amaçla
işlendiği belli, hukuka
uygun yani meşru
olmalıdır. Şirketimiz sadece
meşru amaçlar için verileri işlemekte bu işleme
sırasında elde edilecek olan verilerin belirli
olmasına özen göstermektedir. Şirketimiz elde edilen bilgilerin farklı
amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet vermemesi
adına
net, açık bir şekilde
verileri işlemektedir.
2.1.4 İşlendikleri Amaçla
Bağlantılı, Sınırlı ve Ölçülü Olma
Verilerin işlenme
amacına sadık, amaçla
bağlantılı o amaçla
sınırlı ve ölçülü
bir şekilde kontrollü bir şekilde işlenmesi gerekir. Şirketimiz
veri işlerken yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere
ölçülü bir şekilde veri sahiplerinin verilerini işlemektedir.
2.1.5
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli
Olan Süre Kadar Muhafaza Edilme
İşlenen kişisel
veriler ilgili mevzuattaki süreye veya ilgili amaçta belirtilen süreye uygun olarak azami koruma
kastıyla hareket edilmesi gerekir. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak kişisel verileri muhafaza etmektedir. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren
hukuki bir sebep bulunmuyorsa, şirketimiz kişisel verileri işlendikleri
amaç için gerekli olan süre kadar saklamaktadır. Böylece veri sahiplerinin güvenlikleri azami seviyede sağlanmaktadır.(Ayrıntılı bilgi için bknz. Bölüm 6.4’e).işbu
politika ve ilgili bütün mevzuat hükümlerine uygun olarak veri işleyen
sıfatını taşıyan çalışanlarımız kişisel verilerle ilgili sınırsız süreli
sır saklama yükümlülüğü altındadır.
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1 Kişisel Verilerin
İşlenme Şartları
Şirketimiz
veri sahiplerinin verilerini kanuna ve hukuka uygun bir biçimde aşağıda yer
alan ilgili mevzuatın
şartlarına uygun bir biçimde işlemektedir.
Genel
Kişisel Verilerin İşlenme Şartları
Genel Nitelikli Veri Kavramı: Bu bölümde belirtilen özel nitelikli veri kategorisine girmeyen şirketimiz tarafından işlenen her türlü kişisel veri
kavramı genel nitelikli kişisel veri kategorisini oluşturmaktadır.
Genel
Şart: Kişisel
veriler ilgili kişinin açık rızası olmaksızın işlenemez.
İstisnalar: Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili
kişinin açık rızası aranmaksızın kişisel
verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün
korunması
için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla,
sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç)
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu
olması.
d) İlgili kişinin
kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın
tesisi, kullanılması veya
korunması için veri
işlemenin zorunlu olması.
f) İlgili kişinin
temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri
sorumlusunun
meşru
menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenme
şartları
Özel Nitelikli Veri Kavramı: Kişilerin ırkı, etnik
kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel
veridir.
Genel
Şart: Özel
nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi
yasaktır.
İstisnalar ve Özel Durumlar: Birinci fıkrada sayılan
sağlık ve cinsel
hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin
açık rızası aranmaksızın işlenebilir.
·
Şirketimiz özel
sağlık problemlerinin kayıtlarının tutulması hususunda özel
nitelikli verileri
işleyip, saklarken ilgili
veri sahiplerinin açık rızalarını almaktadır.
Sağlık ve cinsel
hayata ilişkin kişisel
veriler ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi
ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum
ve kuruluşlar tarafından ilgilinin açık rızası
aranmaksızın işlenebilir.
Kişisel Verileri
Koruma Kurumu Kurulu
Şartları: Özel nitelikli kişisel
verilerin işlenmesinde, ayrıca Kurul
tarafından belirlenen yeterli
önlemlerin alınması şarttır.
BÖLÜM 3: KİŞİSEL
VERİLERİN KORUNMASI
3.1.
KİŞİSEL VERİLERİN GÜVENLİĞİ
Şirketimiz Tiana Turizm Sanayi Ve
Ticaret Limited Şirketi – Tiana Otel Kişisel Verilerin Korunması Kanunu’nun 12. maddesi1 gereğince,
kişisel verilerin hukuka
uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama
maliyetine göre her türlü teknik ve idari tedbirler alınmaktadır. Veri sorumluları ile veri işleyen kişilerin öğrendikleri
kişisel veriler,
1 MADDE 12-
(1)Veri sorumlusu;
a) Kişisel verilerin
hukuka aykırı olarak
işlenmesini önlemek,
b) Kişisel verilere
hukuka aykırı olarak
erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun
güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
bu kanun hükümlerine aykırı olarak başkalarına açıklanamaz ve işleme amacı dışında
kullanılamaz.
3.1.1. Verilerin Hukuka Uygun
İşlenmesini Sağlamak İçin
Alınan Tedbirler
Şirketimizce kişisel
verilerin hukuka uygun
işlenmesini sağlamak için
alınan başlıca teknik
ve idari tedbirler:
·
Şirketimiz bünyesinde gerçekleştirilen kişisel veri
işleme faaliyetleri teknik sistemlerle denetlenmekte ve ilgili kişilere raporlandırılmaktadırlar.
·
Şirketimizin iş birimlerinin yürütmüş
olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı
kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek
olan gereklilikler her bir departman ve ilgili birimin yürütmüş olduğu faaliyet
özelinde belirlenmektedir.
·
Hukuka uygunluğun sağlanması ve ilgili
departmanlar için hazırlanan prosedüre uyulması devamlılığı ve denetimi idari
tedbirler, şirket içi politikalar ve eğitimler
yoluyla hayata geçirilmektedir.
3.1.2.
Hukuka Aykırı Erişimini Engellemek İçin Alınan
Tedbirler
Şirketimiz, kişisel
verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini,
aktarılmasını veya başka
şekillerdeki tüm hukuka
aykırı erişimi önlemek
için korunacak verinin niteliğine göre teknik ve idari tedbirler
almaktadır.
Şirketimizce kişisel
verilerin hukuka aykırı
erişimini engellemek için alınan başlıca
teknik ve idari tedbirler:
·
Erişim ve yetkilendirme teknik
çözümleri ile alınan teknik önlemler
periyodik olarak
raporlanmakta, risk teşkil
eden hususlar yeniden
değerlendirilerek gerekli teknolojik çözüm üretilmektedir. Virüs
koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
·
Teknik konularla ilgili dışarıdan destek
alınmakta
·
İş birimi bazlı
hukuksal uyum gerekliliklerine uygun olarak şirket
içinde kişisel verilere erişim
ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
·
Çalışanlar, öğrendikleri kişisel verileri,
Kişisel Verileri Koruma Kanunu hükümlerine ve sair ilgili tüm mevzuata aykırı
olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu
yükümlülüğün
görevden ayrılmalarından sonra
da devam edeceği
konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden
gerekli taahhütler alınmaktadır.
·
Şirketimiz tarafından
kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik
tedbirlerini alacağına ilişkin
hükümleri eklenmekte ve/veya karşılıklı mutabakat metinleri imzalanmaktadır.
3.1.3.
Kişisel Verilerin Güvenli Ortamlarda Saklanması Konusund Alınan Tedbirler
Şirketimiz,
kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok
edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli teknik ve
idari tedbirleri almaktadır.
Şirketimizce kişisel
verilerin güvenli ortamlarda saklanması için alınan
başlıca teknik ve idari
tedbirler:
·
Kişisel verilerin güvenli
ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
·
Teknik konularla ilgili dışarıdan destek
alınmakta
·
Saklanma alanlarına
yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler
ilgilisine raporlanmakta, risk
teşkil eden hususlar
yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
·
Kişisel verilerin güvenli bir biçimde
saklanmasını sağlamak için
hukuka uygun bir biçimde
yedekleme programları kullanılmaktadır.
·
Dijital olmayan
veriler kilitli dolaplarda tutulmak suretiyle sadece yetkilendirilmiş kişiler
tarafından erişilebilecektir.
3.2. DENETİM
Kişisel
Verileri Koruma Kanunu’nun 12. maddesinin 3. fıkrası2 gereğince veri sorumlusu, kendi kurum
veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak
veya yaptırmak zorundadır.
3.2.1.
Kişisel Verilerin Korunmasında Alınacak Tedbirlerin Denetimi
Şirketimiz
ve anlaşmalı hukuki danışmanlık şirketimiz yukarıda açıklanan veri güvenliğinin
tesisi ve alınan
tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli
denetimleri yapar ve/veya yaptırır.
2 (3) Veri sorumlusu, kendi kurum veya
kuruluşunda, bu Kanun
hükümlerinin uygulanmasını sağlamak amacıyla gerekli
denetimleri yapmak veya yaptırmak zorundadır.
Bu
denetim sonuçları şirketimizin iç işleyişi kapsamında konu ile ilgili departman
veya yönetime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli
faaliyetler Kişisel Verileri
Koruma Kanunu ve sair mevzuat ve işbu şirket politikasına uygun şekilde
yürütülmektedir.
3.2.2.İş Birimlerinin Kişisel
Verilerinin Korunması ve İşlenmesi Konusunda Farkındalıklarının
Artırılmasının Denetimi
Şirketimiz, kişisel
verilerin hukuka aykırı
olarak işlenmesini, verilere
hukuka aykırı olarak erişilmesini önlemeye ve verilerin korunmasını sağlamaya yönelik farkındalığın artırılması için iş
birimlerine gerekli eğitimlerin düzenlenmesini yürütülen eğitimler, seminerler
ve oturumlar aracılığı ile sağlamaktadır.
Şirketimiz, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir. Kişisel verilerin korunması
konusunda farkındalığın oluşması için gerekli sistemler
kurulmakta, konuya ilişkin denetimleri şirketimizin ilgili departmanı ve anlaşmalı hukuki
danışmanlık şirketimiz yapmaktadır.
Kişisel verilerin
korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen eğitim
sonuçları şirketimize raporlanmakta olup söz konusu
eğitimlere katılım şirketimiz tarafından zorunlu tutulmakta ve kontrol edilmektedir.
3.3. GİZLİLİK
Şirketimiz kişisel
verilerin kanun ve politika hükümlerine aykırı olacak şekilde
açıklanmaları ve aktarımını, bu verilere erişimin
sağlanmasını ve meydana gelebilecek diğer güvenlik eksikliklerinden kaynaklanan işlemleri önlemek adına, imkanlar
dahilinde ve korunacak kişisel verinin niteliğine göre gerekli her türlü tedbiri
almaktadır.
Şirket personeline bu konuda gerekli
eğitimler verilmiş ve bu konuda
bilgi sahibi personel istihdamı sağlanmıştır. Şirket
tarafından kişisel veri işleme faaliyetleri ise detaylı şekilde
ve periyodik olarak incelenmekte ve denetlenmektedir. Teknolojinin imkan verdiği takdirde kişisel verilerin işlenmesi
faaliyetlerinde gerekli önlemler alınır ve alınan önlemlerin güncellenmesi ve iyileştirilmesi esastır.
Şirketimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık şirketimiz bu
faaliyetleri yürütülmesinde ve denetlenmesinde koordine edilmiş şekilde çalışmaktadır.
3.4. KİŞİSEL VERİLERİN YETKİSİZ
İFŞASI
Kişisel verilerin yetkisiz ifşasına ilişkin
suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümleri ve ilgili bütün mevzuat
uygulanır. İlgili bütün mevzuatın hükümleri şirketimizce çalışanlara ve ilgili
kişilere bildirir. Hukuka
aykırı olarak kişisel
verileri kaydetme, kişisel verileri
hukuka aykırı olarak
bir başkasına verme,
yayma veya ele geçirme,
kanunların belirlediği sürelerin geçmiş
olmasına karşın verileri sistem içinde yok etmeme ve
Kişisel Verileri Koruma
Kanunun 7. maddesi3 hükmüne aykırı olarak; kişisel verilerin saklanmasını veya işlenmesini meşru kılan sebeplerin
ortadan kalkmasına rağmen kişisel verileri silmeyen veya anonim
hâle getirmeyen gerçek
kişiler Türk Ceza
Kanununun 138. maddesine göre hapis cezası ile cezalandırılır.
Kişisel verilerin silinmesine, yok edilmesine
veya anonim hâle getirilmesine ilişkin
usul ve esaslar
yönetmelikle düzenlenir.
Türk
Ceza Kanunu’nda yapılan düzenlemelere göre kişisel verileri hukuka aykırı
olarak bir başkasına veren,
bu verileri hukuka
aykırı olarak yayan
veya ele geçiren
kişi, iki yıldan
dört yıla kadar hapis
cezası ile cezalandırılmakla birlikte belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle bu suçu işleyen
kişi cezanın nitelikli halinden cezalandırılır.
Kişisel veriyi işleme
yetkisi olmadan verileri
görüntüleme, elde etme veya hack suçunu
işleyen şirket çalışanı, gecikmeksizin kişisel veri sahibine, savcılık ve
ilgili makamlara bildirilecek ve hakkında gerekli işlemler yürütülecek ve suçun
nitelikli halinden cezalandırılacaktır.
Kişisel Verileri
Koruma Kanunu’nda Kabahatler başlığı altında düzenlenen hüküm gereğince
aydınlatma yükümlülüğünü veya
veri güvenliğine ilişkin
yükümlülükleri yerine getirmeyenler, Kurul tarafından verilen kararları yerine
getirmeyenler veya Veri Sorumluları Siciline
kayıt ve bildirim yükümlülüğüne aykırı hareket
edenler hakkında da idari para cezaları uygulanır.
BÖLÜM 4: ŞİRKET KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK
ORGANİZASYONEL TEDBİRLER
Şirketimiz Kişisel Verilerin
Korunması ile İşlenmesi Politikası’nın yürürlüğünü sağlamak
için bir yönetim yapısı oluşturmaktadır.
Şirket bünyesinde işbu
Politika ve bu Politika’ya bağlı
ve ilişkili diğer
politikaları yönetmek üzere komite kurulmaktadır. Kurulacak komitenin görevleri aşağıda belirtilmektedir. Komite, bu görevlerin dışında üst yönetimin vereceği diğer görevleri de yerine getirir. Komite tüm
faaliyetlerini üst yönetimin onayı ile gerçekleştirmektedir.
· Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel
politikaları ve gerekli
olması halinde
bu politikalar üzerinde yapılacak değişiklikleri hazırlamak,
3MADDE 7- Bu Kanun ve ilgili diğer
kanun hükümlerine uygun
olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
kişisel veriler resen
veya ilgili kişinin
talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesine ilişkin diğer
kanunlarda yer alan
hükümler saklıdır.
· Kişisel Verilerin Korunması ve İşlenmesine ilişkin
politikaların uygulanması ve uygulama takibinin ne şekilde yerine
getirileceğine karar vermek,
· Şirket içi
görevlendirmede bulunmak ve koordinasyonu sağlamak,
· Kişisel Verilerin Korunması Kanunu ve ilgili
mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve bu hususların uygulanmasını sağlamak,
· Kişisel Verilerin Korunması ve İşlenmesi
konusunda Şirket içerisinde ve Şirketin işbirliği
yaptığı kurumlar nezdinde farkındalık yaratmak ve bu kapsamda eğitimler
düzenlemek,
· Şirketin kişisel veri
işleme faaliyetlerinde oluşabilecek riskleri tespit ederek
gerekli önlemlerin alınmasını temin etmek,
· Kişisel veri
sahiplerinin başvurularını en üst düzeyde
karara bağlamak,
· Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip
etmek ve gerekli aksiyonları almak
İrtibat kişisi,
anlaşmalı hukuki danışmanlık şirketi ve kurum
ile kurulacak iletişim için şirket tarafından sicile kayıt esnasında bildirilen gerçek
kişilerdir. Bu bildirilecek gerçek kişi veya kişiler şirketimiz bünyesinde bu işi yapmakla görevlendirilmiş departmanımız üyelerindendir.
Şirketimiz
Veri Sorumluları Sicili Yönetmeliğine göre irtibat
kişisinin fonksiyonunu iletişim noktası olarak, ilgili
kişilerin veri sorumlusuna yönelteceği taleplerin hızlı
ve etkin olarak cevaplandırılmasını
sağlamak olarak sınırlandırmıştır. Bu yolla kişisel verileri işlenen veri sahiplerinin sorunlarına veya sorularına en hızlı ve açıklayıcı bir biçimde cevap
verilmesi amaçlanmıştır fakat irtibat
görevlisi hukuki açıdan veri sorumlusunu temsile yetkili değildir. Bu sebeple
bilgi vermek haricinde, şirket ile veri sahibinin veya irtibat sorumlusu ile iletişime geçen ilgilinin sorularını hukuka uygun
bir biçimde cevaplamak ve şirketimizi bu hususta
bilgilendirmek haricinde bir görevi veya yetkisi bulunmamaktadır. Şirketimiz irtibat
sorumlusu tarafından bilgilendirildiği anda
yine şirketimiz tarafından görevlendirilmiş yetkili departman veya kurum tarafından en kısa sürede
sorunla ilgili işlemler
yapılacak ve gereken prosedür yürütülecektir. Bu işlemler sırasında
kişisel veri sahibi veya ilgili
kişi bütün bu işlemler ve prosedürler ile ilgili bilgilendirilecek ve gerekirse şirketimiz yetkili departmanı
veya kurumu tarafından kişisel veri
sahibi veya ilgili
kişilerle görüşmeler yürütülecektir.
BÖLÜM 5: KİŞİSEL
VERİLERİN AKTARILDIĞI ÜÇÜNCÜ
KİŞİLER VE AKTARILMA AMAÇLARI
Şirketimiz Tiana Turizm Sanayi Ve
Ticaret Limited Şirketi – Tiana Otel KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak (bkz. Bölüm
2/Başlık 2.1.5) politika
ile yönetilen veri sahiplerinin kişisel
verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
Şirketin;
(i) İş ortaklarına,
(ii) Tedarikçilerine,
(iii) Topluluk şirketlerine,
(iv) Hissedarlarına,
(v) Yetkililerine,
(vi) Hukuken Yetkili
kamu kurum ve kuruluşlarına
(vii)
Hukuken yetkili
özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri
aktarım amaçları aşağıda belirtilmektedir.
|
Tanımı
|
Veri Aktarım Amacı
|
Topluluk
- Grup Şirketleri
|
Şirketimizebağlı
iş ortaklıklarını
|
Şirketlerinin
|
tanımlar. İş ortaklarımız ek
|
katılımını gerektiren her türlü
|
kısmında açıklanmıştır.
|
ticari ve organizasyonel
|
|
tedbirlerinin yürütülmesini
|
|
sağlamak amacıyla aktarılır.
|
4 MADDE 10- (1)-c) İşlenen
kişisel verilerin kimlere
ve hangi amaçla
aktarılabileceği,
Hissedarlar
|
Şirketin
hissedarı olan
|
İlgili mevzuat hükümlerine göre
|
gerçek kişiler
|
şirketler hukuku, etkinlik
|
|
yönetimi ve kurumsal
|
|
iletişim süreçleri kapsamında
|
|
yürüttüğü faaliyetlerin
|
|
amaçlarıyla sınırlıdır.
|
Şirket
Yetkilileri
|
Şirket yönetim kurulu
|
İlgili
mevzuat hükümlerine göre
|
üyeleri ve diğer yetkili gerçek
|
şirketin ticari faaliyetlerine
|
kişiler
|
ilişkin stratejilerin
tasarlanması,
|
|
en üst düzeyde yönetiminin
|
|
sağlanması ve denetim
|
|
amaçlarıyla sınırlı olarak
|
|
aktarım yapılmaktadır
|
Hukuken
Yetkili Kamu Kurum
|
İlgili mevzuat hükümlerine
|
İlgili kamu
kurum ve
|
ve
Kuruluşları
|
göre şirketten bilgi ve
|
kuruluşlarının
hukuki yetkisi
|
|
belge almaya yetkili kamu
|
dahilinde talep ettiği amaçla
|
|
kurum ve kuruluşları
|
sınırlı olarak
aktarım yapılmaktadır
|
Hukuken
Yetkili Özel Hukuk
|
İlgili mevzuat hükümlerine
|
İlgili özel hukuk kişilerinin
|
Kişileri
|
göre şirketten bilgi ve
|
hukuki yetkisi dahilinde talep
|
|
belge almaya yetkili özel
|
ettiği amaçla sınırlı olarak
|
|
hukuk kişileri
|
aktarım yapılmaktadır
|
Tedarikçi
|
Şirketin ticari faaliyetlerini
|
Şirketin tedarikçiden temin
|
yürütürken şirket emir ve
|
ettiği ve şirketin ticari ve
|
talimatlarına uygun olarak
|
organizasyonel faaliyetlerini
|
sözleşme temelli,
şirkete hizmet
|
yerine getirmek için gerekli
|
sunan tarafları
|
hizmetlerin sunulmasını
|
tanımlamaktadır.
|
sağlamak amacıyla aktarım
|
|
yapılmaktadır.
|
BÖLÜM 6: KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ ve VERİ ENVANTERİ
6.1.ŞİRKETİMİZİN
YÜKÜMLÜLÜĞÜ
Şirketimiz, 6698 sayılı
Kişisel Verilerin Korunması Kanunu madde 7 ve 5237
sayılı Türk Ceza Kanunu madde
138’deki açıklamalara uygun olarak işlenilmiş ve akabinde işleme ve saklama
amacı ortadan kalkmış kişisel verileri Türk Ticaret Kanunu’ndan kaynaklanan haklara, ilgili bütün mevzuat
hükümlerinin vermiş olduğu haklara ve işbu politikada belirlenen esaslara(bkz. bölüm 2.2.1
(e) ve (f) ) istinaden vereceği karar ile veya şirketimizin ticari hayatındaki menfaatlerini zarar getirmeyecek şekilde veri sahibinin açık talebiyle,
Kişisel Verilerin Korunması Kanunu madde 7 de belirtildiği gibi siler veya yok eder veya
anonimleştirilir.
6.2.KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ VE VERİ ENVANTERİ
6.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
Kişisel verilerin silinmesi, yönetmeliğin 8.maddesinde
‘’kişisel verilerin ilgili kullanıcılar için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’
şeklinde tanımlanmıştır.
Kişisel verilerin yok edilmesi, yönetmeliğin 9.maddesinde ‘’kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’ şeklinde tanımlanmıştır.
6.2.2. Kişisel
Verilerin Silinme Yöntemleri
a)
Hizmet Olarak Uygulama Türü Bulut Çözümleri(Office 365,Salesforce vs.)
Bulut sistemindeki veriler
silme komutu verilerek
silinir. Anılan işlem gerçekleşirken ilgili kullanıcı bulut sistemi
üzerinde silinmiş verileri
geri getirme yetkisine sahip değildir.
b)
Kağıt Ortamında Bulunan
Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi
kullanılarak silinir. Karartma yöntemi, ilgili evrak
üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri
döndürülmeyecek ve teknolojik çözümlerle okunamayacak
şekilde sabit mürekkep kullanılarak ilgili
kullanıcıların görünemez hale getirilmesi şeklinde yapılır.
c)
Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim
sistemindeki silme komutu
ile silinmesi veya
dosya ya da dosyanın
bulunduğu dizin üzerinde
ilgili kullanıcının erişim
haklarının kaldırılmasıdır.
ç)Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama
ortamlarındaki kişisel veriler,
şifreli olarak saklanır
ve bu ortamlara uygun
yazılımlar kullanılarak silinir
d)
Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinir. Anılan
işlemi gerçekleştiren ilgili kişi veri tabanı
yöneticisi değildir.
6.2.3.
Kişisel
Verilerin Yok Edilmesi Yöntemleri
6.2.4.
a)Fiziksel Olarak
Yok Etme
Kişisel
veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla da işlenebilmektedir. Bu tür veriler
yok edilirken kişisel
verinin sonradan
kullanılmayacak biçimde fiziksel olarak yok edilmesi uygulanmaktadır.
b)
Kağıt Ortamları
Bu ortamdaki yok etme işlemleri kağıtların imha ve kırpma makineleri ile anlaşılmaz
boyutlara getirilerek yok edilmesi yöntemidir.
6.2.5. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, yönetmeliğin
10.maddesinde ‘’kişisel verilerin başka verilerle eşleştirilse dahi hiçbir
surette kimliği belirli
veya belirlenebilir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir. ’’şeklinde tanımlanmıştır.
6.2.5.1. Kişisel Verilerin Anonim
Hale Getirilme Yöntemleri
6.2.5.2.
a)Maskeleme Yöntemi(Masking)
Verileri işlenen veri sahiplerinin belirgin sıfatlarının
veya özelliklerinin çıkarılarak veya silinerek
sağlanan bir anonim hale getirme yöntemidir.
b)
Veri Karma Yöntemi(Data Shuffling,Permutation)
Bu yöntemle sistem
içerisinde verileri olan veri sahiplerinin bilgilerinin bir kısmının
yerini değiştirerek verileri
anonim hale getirmek
amaçlanmaktadır
c)
Veri Türetme Yöntemi(Data Derivation)
Sistemde içerisinde yer alan verilerde bulunan değişkenlerde belli
ölçülerde ekleme veya çıkarma yapılarak bilgilerin tespit edilemeyecek veya
tanımlanamayacak hale gelmesi
sağlanır.
d)
Toplulaştırma Yöntemi(Aggregation)
İlgili kişisel
veriyi özel bir değerden genel
bir değere çevirme
yöntemidir. Bu yöntemle veriler genelleştirilmekte ve kişisel
veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
6.2.4.2.Şirketimizin Anonim
Hale Getirme Yöntemini Seçme Usulü
Yukarıda açıklanan anonimleştirme yöntemlerinden bir veya birkaçı, ilgili
bütün mevzuat ve şirketimizin iş hayatındaki menfaatleri doğrultusunda, şirket
tarafından işbu politikanın yürürlüğünü sağlamak için oluşturulan komite
tarafından seçilecektir. Komite
ile ilgili ayrıntılı bilgiler daha
önceki bölümde açıklanmıştır.( bkz. bölüm
4)
Seçilecek anonim hale
getirme yöntemi, komite
tarafından aşağıda sayılan
hususlar dikkate alınarak belirlenecektir:
·
Verinin niteliği
·
Verinin büyüklüğü
·
Verinin fiziki ortamlarda bulunma yapısı
·
Verinin çeşitliliği
·
Verinin işlenme amacı
Anonim
Hale Getirme işlemi işbu politikanın saklama süreleri ve kişisel veri envanteri
bölümlerinde belirtilen esaslara paralel olarak gerçekleştirecektir.
6.3.
SAKLAMA SÜRELERİ
Şirketimiz, ilgili
bütün mevzuatta belirlenen sürelere uygun olarak,
veri envanterinde kişisel
verileri saklamaktadır.
Bu
süreleri ilişkin ilgili mevzuatta belirlenen herhangi bir sürenin bulunmaması
durumunda Şirketimiz, bulunduğu sektörden kaynaklanan teamüller ve kanun ve mevzuata uygun
olmak şartıyla şirketimizin menfaatlerine uygun olarak belirlediği
süreler içerisinde kişisel verileri saklamaktadır, saklama işlemine gerek kalmadığı durumlarda yukarıda açıklanan şekillerde silinir veya yok edilir veya anonimleştirilir.
Kişisel verilerin işleme ve saklama
amacı ortadan kalkmış
ve kişisel verilere
ilişkin ilgili bütün mevzuatta ve şirketimiz tarafından işbu politikada belirlenen esaslara (bkz. bölüm 2.2.1
(e) ve (f)) istinaden belirlenen süreler geçmiş
ise ileride doğabilecek her türlü hukuki uyuşmazlıklarda kullanılmak amacıyla da kişisel veriler
saklanabilmektedir. Bu kısımda belirtilen kişisel
veriler sadece hukuki
uyuşmazlıklarda kullanılmak üzere
saklanır ve başka
herhangi
bir amaç için kullanılamaz. Yukarıdaki açıklamalar doğrultusunda şirketimiz
tarafından, öngörülebilecek bütün önlem ve tedbirler alınmaktadır.
Örneğin, İşyerinden ayrılan çalışan aleyhine, sözleşmenin haksız feshedilmesinden kaynaklı açılacak davada yetkili mahkemenin belirlenmesi
amacıyla çalışanın yerleşim bölgesinin tespitinin
yapılması için veri sisteminde bulunan bilgilerin kullanılması bu kapsamda
değerlendirilebilir. (Yukarıdaki açıklamaların kapsamı verilen örnek
ile sınırlı değildir.)
6.4.
KİŞİSEL VERİ
ENVANTERİ
KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik’e uygun
olarak şirketimiz bünyesinde bulunan
her departmanda ayrı ayrı işlenen verilerin toplandığı ve yukarıda açıklandığı
şekillerde silme, yok etme, anonimleştirme işleminin mevzuata ve şirket politikasına uygun olarak gerçekleştirildiği ve gerektiğinde KVK
Kurumuna ibraz edilebilen datayı(Word, excel vs.) ifade etmektedir.
Yönetmelikteki tanıma
göre bir kişisel veri envanterinde bulunması gerekenler:
i.
Kişisel veri işleme amaçları
ii.
Veri Kategorisi
iii.
Aktarılan alıcı
grubu ve veri
konusu kişi grubuyla ilişkilendirilerek oluşturulan ve kişisel verilerin işlenmesi için gerekli
olan azami süreler
iv.
Yabancı ülkelere aktarımı
öngörülen kişisel süreler
v.
Veri güvenliğine ilişkin
alınan tedbirler
Yukarıda belirtilen
kriterler göz önüne alınarak kişisel verilerle ilgili olarak bu verilerle
yapılacak işlemlere ilişkin
bilgiler ilgili envanterde toplanacaktır. Envanter içeriği, şirketimizin kanuna ve mevzuata uygun olarak kendi
menfaatleri doğrultusunda Word,
Excel gibi dijital ortamlarda saklanabileceği gibi dijital ortamlarda saklanması mümkün olmayan
içerik kağıt ortamlarında da saklanabilmektedir.
Bölüm 6 ‘da açıklanan kişisel
verileri silme, yok etme, anonimleştirme işlemleri şirketimiz tarafından veya şirketimizin yetki verdiği bir
görevli tarafından kişisel
veri envanterinde gerçekleştirilir.
6.4.1.Kişisel Veri Envanterinin
Hazırlanışı
Kişisel Veri Envanterinin hazırlanılış usulüne ilişkin
ilgili mevzuatta hüküm
varsa kişisel veri envanteri bu hükümler doğrultusunda şirketimiz tarafından hazırlanacaktır.
Kişisel Veri Envanterinin hazırlanış usulüne ilişkin ilgili
mevzuatta hüküm olmadığı durumlarda şirketimiz, kendi iç çalışma
disiplini, iş çalışma
süreçlerini de dikkate
alarak kişisel veri envanterini hazırlama hususunda hangi
usulü seçeceği konusunda serbesttir.
BÖLÜM 7: VERİ
SAHİBİNİN HAKLARI VE BU
HAKLARIN KULLANILMASINA İLİŞKİN KURALLAR
7.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI
Şirketimiz, kişisel
veri sahiplerinin haklarının değerlendirilmesi ve kişisel
veri sahiplerine gereken bilgilendirmenin yapılması için Kişisel Verileri
Koruma Kanunu’nun 13. maddesine
uygun olarak gerekli
kanalları, iç işleyişi, idari ve teknik
düzenlemeleri yürütmektedir.
Kişisel
veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak
şirketimize iletmeleri durumunda şirketimiz talebin niteliğine göre talebi en geç otuz gün içinde
ücretsiz olarak sonuçlandırmaktadır. Ancak,
Kişisel Verileri Koruma
Kurulunca bir ücret öngörülmesi
hâlinde, şirketimiz
tarafından başvuru sahibinden Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel
veri sahipleri;
· Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri
işlenmişse buna ilişkin
bilgi talep etme,
·
Kişisel verilerin işlenme
amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde
veya yurt dışında
kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin
kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· Kişisel Verileri
Koruma Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun
ortaya çıkmasına itiraz
etme,
·
Kişisel verilerin kanuna aykırı olarak
işlenmesi sebebiyle zarara
uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Kişisel
Verileri Koruma Kanunu’nun 13. maddesi gereğince, kişisel veri sahiplerinin
yukarıda belirtilen
haklarını kullanmakla ilgili taleplerini “yazılı” veya Kişisel Verilerin Korunması Kurulu’nun belirlediği diğer yöntemlerle
Şirketimize iletmeleri gerekmektedir.
7.1.1.
Kişisel Verilere Erişim Hakkı
İlgili kişilerin bir ücrete tabi
olmadan kişisel verilerine erişim hakkı bulunmaktadır. Şirketin menfaati ve veriyi tutmasında meşru hakkı Kişisel
Verileri Koruma Kanunu ve ilgili
mevzuat kapsamında korunur; değiştirme ve silme hakkı
gözetilir. Şirketimiz ilgili
kişiye;
·
Kişisel verilerinin işlenip işlenmediğini öğrenme,
·
Kişisel verileri
işlenmişse buna ilişkin
bilgi talep etme,
·
Kişisel verilerinin işlenme amacını ve bunların amacına
uygun kullanılıp kullanılmadığını öğrenme,
·
Yurt içinde
veya yurt dışında
kişisel verilerinin aktarıldığı üçüncü kişileri bilme isteğinde bulunma
hakkı olduğu bilgisini vermektedir.
7.1.2.
Kişisel Verilerini Değiştirme veya Sildirme Hakkı
İlgili kişilerin bir ücrete tabi
olmadan kişisel verilerini değiştirme veya sildirme
hakkı bulunmaktadır. Bu kapsamda ilgili
kişinin;
·
Kişisel verilerinin eksik veya yanlış
işlenmiş olması halinde
bunların düzeltilmesini isteme,
·
Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde
kişisel verilerin
silinmesini veya yok edilmesini isteme,
5 MADDE 13- İlgili
kişi, bu Kanunun
uygulanmasıyla ilgili taleplerini yazılı olarak veya
Kurulun belirleyeceği diğer yöntemlerle veri
sorumlusuna iletir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa
sürede ve en geç otuz
gün içinde ücretsiz olarak
sonuçlandırır. Ancak, işlemin
ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
Veri sorumlusu talebi
kabul eder veya gerekçesini açıklayarak reddeder ve cevabını
ilgili kişiye yazılı
olarak veya elektronik ortamda
bildirir. Başvuruda yer alan talebin
kabul edilmesi hâlinde
veri sorumlusunca gereği
yerine getirilir. Başvurunun
veri
sorumlusunun hatasından kaynaklanması hâlinde
alınan ücret ilgiliye iade edilir.
·
Yukarıda bahsedilen düzeltme, silme veya
yok etme işlemlerinin, kişisel verilerinin
aktarıldığı üçüncü
kişilere bildirilmesini isteme
ve
·
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya
çıkmasına itiraz etme hakkı bulunmaktadır.
7.1.3.
Kişisel Verilerin Güncelliğinin Sağlanması
Kişisel Verileri Koruma
Kanunu uyarınca kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama yükümlülüğü bulunmaktadır, bu sebeple
kişisel verilerin doğru
ve güncel tutulması açısından
ilgili tarafından şirketimize mevcut durum değişikliklerinin bildirilmesi gerekir. Şayet
veri değişikliğinin ilgili
kişi tarafından yazılı
olarak şirketimize bildirilmediği taktirde verinin güncellenmemesi nedeniyle ortaya çıkan
ya da çıkabilecek herhangi bir zarar
ve yaptırımdan şirketimiz sorumlu değildir.
7.2. VERİ SAHİBİNİN HAKLARININ
GÖZETİLMESİ
Kişisel Verileri
Koruma Kanunu’nun 12.
maddesi gereğince veri sorumlusu;
·
Kişisel verilerin hukuka
aykırı olarak işlenmesini önlemek,
·
Kişisel verilere
hukuka aykırı olarak
erişilmesini önlemek ve
·
Kişisel verilerin
muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü
teknik ve idari
tedbirleri almak zorundadır.
Şirketimiz, ilgili
kanun maddesi gereğince kişisel verilerin kendi adına başka bir gerçek
veya tüzel kişi tarafından işlenmesi halinde birinci
fıkrada belirtilen tedbirlerin alınması hususunda bu
kişilerle birlikte müştereken ve müteselsilen sorumludur. Şirketimiz kendi kurum
veya kuruluşunda bu kanun hükümlerinin
uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaktadır.
Şirket tarafından işbu hüküm tüm
sözleşme, taahhüt – mutabakat metinlerine eklenerek işbu
politikanın 5. Bölümünün 13. sayfasında veri
aktarımı yapabilecek kişiler
ile paylaşılmıştır; fiili imkansızlık sebebiyle ya da hayatın olağan
akışına uygun olmaması nedeniyle sözleşme veya mutabakat metni oluşturulamayan hallerde ise Tiana
Turizm Sanayi Ve Ticaret Limited Şirketi – Tiana Otel internet
sitesinden işbu politika
kamuya açık hale getirildiğinden görülebilir.
7.3. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
Kişisel veri sahipleri, Kişisel
Verileri Koruma Kanunu’nun 28. maddesi gereğince
aşağıdaki haller ilgili
kanun kapsamı dışında
tutulduğundan, kişisel veri sahiplerinin bu konularda
aşağıda sayılan haklarını
ileri süremezler:
·
Kişisel verilerin resmi istatistik ile anonim hâle
getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
·
Kişisel
verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını
ihlal etmemek ya da
suç teşkil etmemek kaydıyla, sanat,
tarih, edebiyat veya
bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
·
Kişisel verilerin millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik
olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi ve
·
Kişisel verilerin soruşturma, kovuşturma, yargılama veya
infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kişisel
Verileri Koruma Kanunu’nun 28. maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın
giderilmesini talep etme
hakkı hariç diğer
haklarını ileri süremezler:
·
Kişisel veri
işlemenin suç işlenmesinin önlenmesi veya suç
soruşturması için gerekli olması,
·
Kişisel veri
sahibi tarafından kendisi
tarafından alenileştirilmiş kişisel
verilerin işlenmesi,
·
Kişisel
veri işlemenin kanunun
verdiği yetkiye dayanılarak görevli ve yetkili
kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
olması.
BÖLÜM 8: ÇALIŞAN
ADAYLARININ KİŞİSEL
VERİLERİNİN İŞLENMESİ
Çalışan adaylarının işe alım sürecinde toplanan kişisel verileri ile işin niteliğine göre toplanan özel nitelikli kişisel verileri,
Şirket tarafından; belirtilen ve aşağıda sıralanan amaçlarla işlenmektedir:
·
Çalışan adayının
niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
· Gerektiği takdirde, Çalışan
adayının ilettiği bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü
kişilerle iletişime geçip
Çalışan Adayı
hakkında araştırma yapmak,
· Başvuru ve işe alım süreci
hakkında Çalışan Adayı
ile iletişime geçmek
veya uygun olduğu takdirde, sonradan
yurtiçinde veya yurtdışında açılan herhangi bir pozisyon için
aday ile iletişime geçmek,
· İlgili mevzuatın gereklerini ya da yetkili kurum
veya kuruluşların taleplerini karşılamak,
· Şirketimizin uyguladığı işe alım ilkelerini geliştirmek ve iyileştirmek. Çalışan adaylarının
kişisel verileri aşağıdaki yöntem ve vasıtalarla toplanabilmektedir:
Yazılı veya elektronik ortamda
yayınlanan dijital başvuru formu;
· Çalışan adaylarının Şirkete
e-posta, kargo, referans
ve benzeri yöntemlerle ulaştırdıkları özgeçmişler;
· İstihdam veya danışmanlık şirketleri; Çalışan adayları da veri sahibi
olmalarından kaynaklanan hakları ile ilgili
taleplerini açıklanan yöntemle iletebileceklerdir.
Video konferans, telefon
gibi araçlarla veya
yüz yüze mülakat
yapılan hallerde, mülakat sırasında;
· Çalışan adayı tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller ile şirket tarafından yapılan araştırmalar;
· Tecrübesi olan uzman
kişiler tarafından yapılan
ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit
eden işe alım testleri
BÖLÜM 9: ŞİRKET TESİSLERİ
İÇERİSİNDE YAPILAN
KİŞİSEL VERİ
İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ÜZERİNDEN YAPILAN
VERİ
İŞLEME FAALİYETLERİ
BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS
İÇERİSİNDE YAPILAN KİŞİSEL
VERİ İŞLEME FAALİYETLERİ
Şirket tarafından bina tesis girişlerinde ve tesis içerisinde
yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili
diğer mevzuata uygun bir biçimde yürütülmektedir.
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme
faaliyeti ile misafir
giriş çıkışlarının takibine yönelik kişisel veri
işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş
çıkışlarının kayıt altına
alınması yoluyla Şirket tarafından kişisel veri işleme
faaliyeti yürütülmüş olmaktadır.
ŞİRKETİN BİNA, TESİS GİRİŞLERİNDE VE
İÇERİSİNDE YÜRÜTÜLEN KAMERA
İLE İZLEME FAALİYETİ
Bu bölümde
Şirketin kamera ile izleme sistemine ilişkin açıklamalar yapılacak
ve kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl
korumaya alındığına ilişkin
bilgilendirme yapılacaktır.
Şirket, güvenlik kamerası
ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar
taşımaktadır.
Kamera ile İzleme Faaliyetinin Yasal Dayanağı
Şirket tarafından yürütülen
kamera ile izleme
faaliyeti, Özel Güvenlik
Hizmetlerine Dair Kanun ve ilgili mevzuata
uygun olarak sürdürülmektedir.
KVK Kanununa Göre Güvenlik Kamerası ile İzleme Faaliyeti
Yürütülmesi
Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti
yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirket, bina ve tesislerinde
güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili
mevzuatta öngörülen amaçlarla
ve KVK Kanunu’nda sayılan
kişisel veri işleme
şartlarına uygun olarak
güvenlik kamerası izleme faaliyetinde bulunmaktadır.
Kamera ile İzleme Faaliyetinin Duyurulması
Şirket tarafından KVK Kanunu’nun 10. Maddesine uygun olarak,
kişisel veri sahibi aydınlatılmaktadır. Şirket, genel hususlara
ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden
fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel
hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve
kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Şirket
tarafından kamera ile izleme faaliyetine yönelik
olarak; Şirket internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı
asılmaktadır (yerinde aydınlatma).
Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla
Sınırlılık
Şirket, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel
verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü
bir biçimde işlemektedir.
Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da
sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman
izleme yapılacağı, güvenlik
amacına ulaşmak için yeterli ve bu amaçla
sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik
amaçlarını aşan şekilde
müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye
tabi tutulmamaktadır.
Elde Edilen Verilerin Güvenliğinin Sağlanması
Şirket tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme
faaliyeti sonucunda elde edilen
kişisel verilerin güvenliğinin sağlanması için gerekli
teknik ve idari tedbirler alınmaktadır.
Kamera ile İzleme
Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
Şirketin, kamera ile
izleme faaliyeti ile
elde edilen kişisel
verileri muhafaza süresi
ile ilgili ayrıntılı bilgiye
bu Politika’nın Kişisel
Verilerin Saklanma Süreleri
isimli 6.4 maddesinde yer verilmiştir.
İzleme Sonucunda Elde
Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin
Kimlere Aktarıldığı
Canlı kamera görüntüleri ile dijital ortamda
kaydedilen ve muhafaza
edilen kayıtlara yalnızca sınırlı sayıda şirket
çalışanının
erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı
sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan
etmektedir.
ŞİRKETİN BİNA, TESİS
GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, şirket binalarında ve
tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da şirket nezdinde asılan
ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel
veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir
giriş-çıkış takibi yapılması amacıyla elde edilen veriler
yalnızca bu amaçla
işlenmekte ve ilgili
kişisel veriler fiziki ortamda
veri kayıt sistemine
kaydedilmektedir.
ŞİRKETİN MİSAFİRLERİNE SAĞLANAN İNTERNET
ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI VE İNTERNET SİTESİ
ZİYARETÇİLERİ
Şirketimiz tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; misafirlerin
tesislerimiz içerisinde kaldığı süre boyunca
internet erişimlerine ilişkin
log kayıtları 5651 Sayılı Kanun
ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre
kayıt altına alınabilmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı
sayıda Şirketimiz çalışanlarının erişimi
bulunmaktadır.
Bu kayıtlar ancak
yetkili kamu kurum
ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim
süreçlerinde ilgili hukuki
yükümlülüğümüzü yerine getirmek
ve/veya hukuki haklarımızın korunması ve Şirketimizin savunma haklarının tesisi amacıyla işlenmekte ve üçüncü kişilerle paylaşılmaktadır
BÖLÜM 10: YÜRÜRLÜK VE GÜNCELLENEBİLİK
Şirket tarafından düzenlenerek 23.01.2020 tarihinde yürürlüğe girmiştir. Politika’nın tamamında veya bir kısmında güncelleme yapılabilir. Politika, Şirketin http://www.tianabeachhotel.com/
internet sitesinde yayımlanır ve kişisel
veri sahiplerinin talebi
üzerine ilgili kişilerin erişimine sunulur.
EK-1: TANIMLAR
Özel Nitelikli
|
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
|
Kişisel Veri
|
belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
|
getirilmesini
belirtir.
|
Kurum
|
Kişisel
Verileri Koruma Kurumunu ifade eder.
|
Veri İşleyen
|
Veri sorumlusunun verdiği yetkiye dayanarak onun
adına kişisel verileri
|
işleyen
gerçek veya tüzel kişiyi ifade eder.
|
Veri Sorumlusu
|
Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri
kayıt
|
sisteminin kurulmasından ve
yönetilmesinden sorumlu olan
gerçek veya
|
tüzel
kişiyi ifade eder.
|
Açık Rıza
|
Belirli
bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
|
açıklanan
rızayı belirtir.
|
|
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
|
|
belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
|
Anonim Hale
|
getirilmesini
ifade eder.
|
Getirme
|

|
İş Ortağı
|
Şirketin ticari ve
her türlü organizasyonel faaliyetlerini yürütürken bizzat
|
veya topluluk şirketleri ile birlikte projeler yürütmek, hizmet almak gibi
|
amaçlarla
iş ortaklığı kurduğu ve kişisel verilerin aktarıldığı firma ve
|
şirketleri ifade eder.
(Tiana
Moonlight Otel- Kriss Otel)
|
|
Kişisel Veri
|
Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
|
belirtir.
|

|
EK-2 : KISALTMALAR
KVKK
|
7 Nisan
2016 tarihli ve
29677 sayılı Resmi
Gazete’de yayımlanan ,24
Mart 2016
|
tarihli ve 6698 sayılı Kişisel Verilerin
Korunması Kanunu
|
|
(1) Bu Kanun ve
ilgili diğer kanun
hükümlerine uygun olarak işlenmiş olmasına
|
|
rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler
|
KVKK
|
resen veya ilgili kişinin talebi üzerine veri
sorumlusu tarafından silinir, yok edilir
|
madde 7
|
veya anonim hâle getirilir.
|
|
(2)
Kişisel verilerin silinmesi, yok edilmesi veya
anonim hâle getirilmesine ilişkin
|
|
diğer kanunlarda yer alan hükümler
saklıdır.
|
|
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle
getirilmesine
|
|
ilişkin usul ve esaslar
yönetmelikle düzenlenir.
|
TCK
|
12 Ekim
2004 tarihli ve
25611 sayılı Resmi
Gazete’de yayımlanan;26 Eylül
2004
|
tarihli ve 5237 sayılı Türk Ceza Kanunu
|
|
- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde
|
|
yok etmekle yükümlü olanlara görevlerini yerine
getirmediklerinde bir yıldan iki
|
TCK madde
|
yıla kadar hapis cezası verilir.
|
138
|
(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu
|
|
hükümlerine göre ortadan kaldırılması
veya yok edilmesi gereken veri olması
|
|
hâlinde verilecek ceza bir kat
artırılır.
|
Yönetmelik
|
28 Ekim 2017
Cumartesi Resmi Gazate’de yayımlanan 30224 sayılı Kişisel Verilerin
|
Silinmesi ,Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik
|