KİŞİSEL VERİLERİN KORUNMASI KANUNU
HAKKINDA AYDINLATMA METNİ
Bu bilgilendirme, 6698 sayılı “Kişisel
Verilerin Korunması Kanunu” 10. maddesi gereğince ve yasal zorunluluk nedeniyle
yapılmaktadır.
Kişisel Verilerin Korunması amacıyla
On Otelcilik Turizm bünyesinde faaliyet gösteren ve Otelcilik yönetimi altında hizmet
veren tesislerimizin tümünde, tüzel kişilikleri itibariyle her biri veri
sorumlusu unvanını taşıyan şirketler kapsamında hazırlanan bu metin, Kişisel
Verilerin Korunması Kanunu’nda yer alan hususlar çerçevesinde kanunda
bahsedilen unsurlara bağlı kalınarak hazırlanmıştır.
On Otelcilik Turizm A.Ş.
Yukarıda sayılan şirketlerin tümünden
metnin devamında İştirakler olarak bahsedilecektir.
İştirakler; Kanun, Kanun’un ikincil
düzenlemesi olan Yönetmelik ve diğer mevzuat uyarınca veri sorumlusu sıfatıyla
başta;
Misafirlerinin,
Misafir adaylarının,
Ziyaretçilerinin,
Çalışanlarının,
İş ortaklığı içerisinde bulunduğu diğer
şirketlerin ortakları ile çalışanlarının ve bunlarla sınırlı olmaksızın tüm
muhataplarının kişisel verilerinin işlenmesi, korunması, işlendikleri amaç için
gerekli olan azami saklama süresinin belirlenmesi, belirlenen saklama süresi
sonunda kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
ve işlenen kişisel veriler ile ilgili kişilerin taleplerinin yerine getirilmesi
sürecinin belirlenmesi amacıyla bu metin hazırlamıştır.
İşbu metnin ve On Otelcilik Turizm
Kişisel Veri Saklama ve İmha Politikasının amacı, iştiraklerimize ait web
sitelerinde bir otel rezervasyonu yapan, web sitelerinde gezinen veya sağladığı
formları dolduran sizleri, İştiraklerimizin bu kişilerin kişisel verilerinin korunmasını
sağlamak için üstlendiği taahhütler hakkında bilgilendirmektir.
Özellikle de sizden topladığımız kişisel
veriler, bu verileri nasıl kullandığımız, nasıl açıkladığımız, nasıl
koruduğumuz ve son olarak da bu veriler üzerindeki haklarınızı nasıl
kullanabileceğiniz hakkında sizi bilgilendirmekteyiz.
1.
Kişisel Verilerin İşlenme Amaçları
İştiraklerimiz sizin bize sağladığınız
ve sizinle alakalı olan kişisel verileri aşağıda durumlarda işlemektedir:
Web sitelerimizde gezinti yaptığınız
zaman;
Doğrudan web site üzerinden
rezervasyon yaptırdığınız hallerde:
Tarafımızdan haber bültenlerimizi ve
diğer pazarlama / ticari içerikli bilgileri almaya rıza gösterdiğiniz hallerde;
İştiraklerimize soru sormak, şikâyette
bulunmak veya iletişim formu yoluyla iş başvurusunda bulunmak için bizimle
iletişime geçmeyi istediğiniz zaman.
İştiraklerimiz tarafından kişisel
veriler (ad, soyadı, doğum tarihi, kimlik ve pasaport bilgileri, iş, ev ve cep
telefon numarası, e-posta adresi, cinsiyet, adres, meslek, eğitim, medeni durum,
araç plakası, konaklama, kredi kartı, harcama ve uçuş bilgileri, alışveriş
bilgileri, fatura bilgileri, tüketim tercihleri vb.)
Sunulan ürün ve hizmetlerden
paydaşlarını faydalandırmak için gerekli çalışmaların iş birimleri tarafından
yapılması,
Ürün ve hizmetlerinin sunulabilmesi,
paydaşlar tarafından alınan veya alacakları ürün ve hizmete ilişkin iletişim
kurulabilmesi,
Ürün ve hizmetlerin beğeni, kullanım
alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
Ürün / hizmet teklifi, (pazarlama
faaliyetlerinde kullanılabilmesi),
Modelleme, raporlama, skorlama, insan
değerleri politikalarının yürütülmesi,
İştiraklerimiz ile ilişki içerisinde
olan kişilerin hukuki ve ticari güvenliğinin temini,
Ticari ve iş stratejilerinin
belirlenmesi ve uygulanması,
İştiraklerimizin mevcut veya yeni ürün
çalışmaları ve potansiyel müşteri tespiti vb. amaçlar ile
Turizm, pazarlama, tanıtım ve reklam
faaliyetleri ile ilişkili olarak ve yasal yükümlülükler nedeni ile KVKK'nın 5.
ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları
dâhilinde işlenmektedir.
2.
Genel İlkeler
İştiraklerimiz, kişisel verilerin elde
edilmesi, işlenmesi, saklanması, korunması, silinmesi, yok edilmesi ve
anonimleştirilmesi ve bunlarla sınırlı olmaksızın kişisel verilere ilişkin tüm
işlemlerde aşağıdaki ilkeler çerçevesinde hareket eder:
Hukuka ve dürüstlük kurallarına uygun
olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için
işleme,
İşlendikleri amaçla bağlantılı, sınırlı
ve ölçülü olma,
İlgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar muhafaza, etme ve bu sürenin
sonunda ilgili kişinin talebi veya periyodik silme sürelerini dikkate alarak
kişisel verileri silme, yok etme veya anonim hale getirme,
İlgili kişilerin Kanun’un 11. maddesinde
tanımlanan haklarına ilişkin taleplerini en kısa sürede yanıtlama,
Kişisel verilerin saklanması, silinmesi,
yok edilmesi veya anonim hale getirilmesiyle ile ilgili yapılan tüm işlemlerde
Kanun’da, On Otelcilik Turizm Kişisel Veri Saklama ve İmha Politikası ’nda,
ilgili tüm diğer mevzuatta belirtilen tüm gerekli teknik ve idari tedbirleri
alma,
Bu metinde belirtilen kişisel verilerin
silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm
işlemleri kayıt altına alma ve diğer hukuki yükümlülükler hariç olmak üzere en
az 3 yıl süreyle saklama.
3.
Kişisel Verilerin Aktarılması
Kişisel veriler iştiraklerimiz
tarafından sunulan ürün ve hizmetlerden paydaşları faydalandırmak için gerekli
çalışmaların iş birimleri tarafından yapılması, ürün ve hizmetlerinin
sunulabilmesi, alınan veya alınacak ürün ve hizmete ilişkin iletişim
kurulabilmesi, ürün ve hizmetlerin beğeni, kullanım alışkanlıkları ve
ihtiyaçlarına göre özelleştirilerek önerilmesi, ürün / hizmet teklifi, (pazarlama
faaliyetlerinde kullanılabilmesi), iştiraklerimiz ile ilişki içerisinde olan
kişilerin hukuki ve ticari güvenliğinin temini, iştiraklerin ticari ve iş
stratejilerinin belirlenmesi ve uygulanması amaçları ile iş ortaklarına,
tedarikçilere, hissedarlara, iştiraklere bağlı topluluk şirketlerimize, kanunen
yetkili kamu kurumları, devlet güvenlik birimleri ve özel kişilere KVKK'nın 8.
ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları
çerçevesinde aktarılabilecektir.
3.1.
Misafir Kişisel Verileri
3.1.1.
Kişiler ile İlişkilendirilebilen
Misafir Verileri
Ad-soyad, kimlik veya pasaport numarası,
yaş, cinsiyet, doğum tarihi gibi kişisel veriler (kimlik),
İletişim imkânı sağlayan adres, telefon
numarası, elektronik posta adresi gibi kişisel veriler (iletişim),
Sunulan hizmet karşılığında ödemeyi
temin etmek üzere iletilen banka kredi kartlarının ilk 6 ve son 4 hanesi veya
banka kartlarının numarası, kart sahibi adı, soyadı, geçerlilik tarihi gibi
kişisel veriler (ödeme),
Sunulan hizmet nedeniyle elde edilen
seyahat ürününe (uçuş, konaklama, transfer, sağlık turizmi vb.) ilişkin kişisel
veri içeren bilgi ve belgeler (hizmet birleşenleri),
Kişiselleştirme imkânı sunulan IP
numarası gibi kişisel veriler (konum),
Sunulan hizmetin misafirin istek ve
beklentilerine (ince yastık, yasemin kokusu, büyük boy bornoz vb.) göre
kişiselleştirilmesini sağlayan kişisel verileri (alışkanlıklar)
Doğrudan kişi ile ilişki kurma imkânı
sunmayan istatistiki veriler; Misafir profilinin belirlenmesi ve tercihlerinin
öğrenilmesi ile sunulan hizmetlerin bu profile göre iyileştirilmesi amacıyla
dijital pazarlama hizmeti alınan çözüm ortaklarından edinilen anonim bilgiler
ve İştirakler tarafından anonim hale getirilebilecek olan misafir verileridir.
3.1.2.
Misafir Kişisel Verilerin
Kaynakları
İştiraklerimiz, misafir verilerini
doğrudan ilgili kişinin veya ilgili kişinin temsilcisi, tur operatörleri,
acenteler, web sayfaları, çağrı merkezleri, mobil telefon uygulaması, sosyal
medya hesapları, üçüncü kişi durumunda olan iş ve çözüm ortaklarından, ilgili
kişinin bizzat alenileştirdiği kaynaklardan elde edilir.
İştiraklerimiz tarafından doğrudan
ilgili kişiden edinilmeyen ve konaklama hizmetlerinden faydalanabilmek amacıyla
İştiraklere aktarılan kişisel verilerin, ilgili kişinin iradesine ve hukuka
uygun olduğu kabul edilir. Bu hususta herhangi bir tereddüt yaşanması halinde
İştirakler, gerekli önlemleri ve tedbirleri gecikmeksizin alır. Gerektiğinde bu
On Otelcilik Turizm Kişisel Veri Saklama ve İmha Politikası ‘nda belirtilen
esaslara göre, kişisel veriyi derhal siler, yok eder veya anonimleştirir.
3.1.3.
Misafir Verilerinin Elde Edilmesi,
İşlenmesi ve Aktarılması Sebepleri
İştiraklerimiz, misafir verilerini ancak
kanunun 5.6.8. ve 9. Maddelerinde belirtilen meşru amaçlarla bu metnin
2.maddesinde belirtilen Genel İlkeler çerçevesinde elde eder, işler ve aktarır.
İştiraklerimiz, ilgili kişinin açık rızasının bulunmadığı durumlarda kanunun 5.
ve 6.maddelerinde belirtilen, aşağıda yer alan şartlarda herhangi birinin veya
birden fazlasının bulunduğu durumlarda, bu halin gerektirdiği ölçü ve süre ile
sınırlı şekilde kişisel verileri elde edebilir, işler veya aktarır:
Kanunlarda açıkça ön görülmesi,
Fiili imkânsızlık nedeni ile rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
ilgili kişinin kendisinin ya da başkasının hayatı veya bedensel bütünlüğünün
korunması için zorunlu olması,
İlgili kişinin İştirakler ile akdetmiş
olduğu sözleşmenin kurulması veya ifasının doğrudan doğruya ilgili olması
kaydıyla kişisel veri işlenmesinin gerekli olması,
Veri sorumlusu sıfatıyla İştiraklerin
hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması,
Kişisel verinin ilgili kişi tarafından
bizzat alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla veri sorumlusu sıfatıyla İştiraklerin
meşru menfaatleri için veri işlenmesinin zorunlu olması.
İştiraklerimiz, yukarıda belirtilen
hukuki gerekçelere istinaden, genel ilkelere aykırı olmamak koşulu ile aşağıda
belirtilen amaçlarla ve bunlarla sınırlı olmaksızın kişisel verileri elde eder,
işler veya aktarır:
İştiraklerimiz tarafından sunulan ürün
ve hizmetlerden misafirleri faydalandırmak için gerekli çalışmaların iş
birimlerince yapılabilmesi,
İştiraklerimiz tarafından sunulan ürün
ve hizmetlerin misafirlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına
göre özelleştirilerek onlara önerilmesi ve sunulması,
İştiraklerimizin sunmuş olduğu
hizmetlerin daha kaliteli hale getirilmesi ve kalite politikasının
geliştirilmesi,
İştiraklerimizin sunmuş olduğu genel ve
özel kampanyalarından, promosyon, tanıtım, indirim ve benzeri avantajlarından
misafirlerin ve potansiyel misafirlerin haberdar edilmesi ve yararlandırılması,
İştiraklerimizin, sunduğu mecralardan
hizmet almak amacıyla ziyaretçiler, kullanıcı adları ve şifreleri ile giriş
yaptığında ilgili mecralarda yer alan kişisel verileri, tercihleri, işlemleri
ile gezinme süreleri ile birlikte elde edilen veriler talep etmiş oldukları
bilgi ve hizmetleri verebilmek amacıyla,
İştiraklerimiz ve ilgili kuruluşları
tarafından çıkarılan ve/veya çıkarılacak olan her türlü sadakat kart ile
İştiraklerimiz ve ilişkili kuruluşların web sitesi üyelikleri ile ilgili
bildirimleri (yenileme, sona erme vb.) yapabilmek misafirler ile kurulabilecek
her türlü iletişim, yeni sunulacak hizmet ve ürünler ile ilgili kişisel veri
politikalarında ve üyelik koşullarında olabilecek değişiklik, yenilikler ve
benzeri konularda bilgilendirmek,
İştiraklerimiz ve iştiraklerimiz ile iş
ilişkisi içerisinde olan ilgili kişilerin hukuki ve ticari güvenliğinin
(İştirakler tarafından yürütülen iletişime yönelik idari operasyonlar,
İştiraklere ait mekânların fiziksel güvenliğini ve denetimini sağlamak, iş
ortağı/misafir/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri,
hukuki uyum süreci, mali işler vb.),
İlgili kişilerin İştiraklerden talep
edeceği bilgi, etkinlik ve hizmetlerle ilgili bilgilendirme yapmak,
İştiraklerimizin ticari ve iş
stratejilerinin belirlenmesi ve uygulanması,
İştiraklerimizin, İnsan Değerleri
politikalarının yürütülmesinin temini ve mevzuatta açıkça belirtilmesi
durumunda veya gerektiği takdirde mevzuatla belirlenen bir hukuki
yükümlülüğünün yerine getirilmesi
Misafirlerin doğrudan ve dolaylı şekilde
edinilen kişisel verilerinde aydınlatılmış rızalarının alınması esastır. Ancak
İştiraklerimiz, misafirleri veya misafir adayları arasında kanunun 5.maddesinin
2.fıkrasında belirtilen hususlarla sınırlı olarak açık rıza almaksızın da
işleyebilir. Bu gerekliliğin ortadan kalkması halinde misafir veya misafir
adayının rızası yoksa veri derhal silinir, yok edilir veya anonimleştirilir.
İştiraklerimiz, yukarıda belirtilmiş
olan esaslar çerçevesinde misafirin açık rızası bulunmuş olsa dahi, sunduğu
hizmet ve meşru amaçlar dışında kişisel verileri işlemez ve edinmiş olduğu
verileri hiçbir şekilde hukuk ve dürüstlük kurallarına aykırı hizmetler için
kullanmaz.
3.1.4.
Misafir Kişisel Verilerin
Aktarılması
İştiraklerimiz, bu metinde belirtilen
hukuki gerekçelere istinaden amaçlarını yerine getirmek ve akdedilen
sözleşmeler çerçevesinde üzerine düşen yükümlülükleri ifa etmek amacı ile elde
etmiş odluğu verileri iş ve çözüm ortakları, konaklama ve transfer hizmeti
tedarikçileri diğer üçüncü kişiler ile paylaşabilir.
İştirakler, kanunun 8.maddesinde sayılan
nedenlerle sunmuş olduğu hizmetin yerine getirilebilmesi amacıyla kurul
tarafından belirlenen esaslar çerçevesinde kişisel verileri yurtiçi ve
yurtdışına aktarabilir. Kanunun 8/2 fıkrasında belirtilen nedenler dışında
kişisel verilerin aktarılabilmesi ancak ilgili kişinin rızasının olmasına
bağlıdır.
İştiraklerimiz, aktarımda bulunduğu kişi
ve kuruluşlara veri paylaşımını yaparken Kanun, ilgili diğer mevzuat ve kurul
kararları çerçevesinde hareket etmeyi gerekli teknik ve idari önlemleri almayı
ilke edinir.
İştiraklerimiz, kişisel verileri aşağıda
belirtilen kişi ve kurumlarla ve hizmet yerine getirilmesi amacıyla sınır
olarak aktarabilir:
Konaklama hizmetlerini misafirlerine
sunabilmek ve aynı zamanda ticari faaliyetini yerine getirebilmesi için
iştiraklerin gereken hizmetleri tedarik ettiği tedarikçi ve taşeron firmalara,
Misafirin havayolu ile ulaşım ve
konaklama hizmetlerinden bir paket halinde bir arada yararlanmak istemesi
durumunda ilgili havayolu firmalarına,
Misafirin havaalanından otelde
konaklayacağı otele ve/veya konaklamış olduğu otelden havaalanına karayolu ile
özel transfer hizmeti talep etmesi durumunda, bu transfer hizmetini sunana
tedarikçi ve taşıyıcı firmalara,
İştiraklerimizin sunmuş olduğu konaklama
hizmetleri için ticari faaliyetlerin yürütülmesini sağlamak üzere çözüm
ortaklarına,
Yasal yükümlülüklerin yerine getirilmesi
amacıyla kamu kurum ve kuruluşlarına,
Kişisel verilerin kişilerin hayatlarına,
vücut bütünlüklerine ve güvenliklerine yönelik bir tehdidin ortadan
kaldırılması, dolandırıcılık, fikri hak ve ihlalleri ile veri politikasının
ihlali halinde hukuka aykırı fiillerin ortadan kaldırılması veya önlenmesi
amacıyla üçüncü kişilere veya kamu kurum ve kuruluşlarına,
İştiraklerimizin meşru menfaatleri gerek
kendi gerekse kendisine iletilecek taleplere karşı hak ve menfaatlerini korumak
amacıyla avukat ve hukuki danışmaları ile denetim şirketlerine.
3.2.
Çalışan ve Çalışan Adaylarına
İlişkin Kişisel Veriler
İştiraklerimiz, istihdam ettikleri
çalışanlarının kişisel verilerini kurulan iş sözleşmesinin ifası, karşılıklı
edimlerin yerine getirilmesi ve istihdam eden olarak üzerine düşen kanuni
yükümlülüklerin yerine getirilebilmesi amacıyla ve bu amaçlarla sınırlı şekilde
açık rıza almak kaydıyla işleyebilir. İştiraklerimiz, bu takdirde bu metnin 2.
maddesinde belirtilen Genel İlkeleri esas alır, çalışanlarını aydınlatır ve
kişisel verilerinin güvenliğini temin eder.
İştiraklerimiz, istihdam edilmek üzere
kendisine başvuruda bulunan çalışan adaylarının başvuru süreçlerinde ve
başvuruları sonuçlandırılana kadar kendisine iletilen özgeçmiş ve ilgili
belgelerde yer alan kişisel verileri açık rıza almak kaydıyla işleyebilir.
Başvurunun olumsuz sonuçlanması halinde belirlenen saklama süresinin bitimini
müteakip kişisel veriler tümüyle silinir, yok edilir veya anonimleştirilir.
Başvurunun kısmen veya tamamen olumlu sonuçlanması halinde, elde edilen kişisel
verilerin muhafazası ve işlenmeye devam etmesi yeni kurulacak olan hukuki
ilişkinin koşullarına bağlıdır.
3.3.
Özel Nitelikli Kişisel Veriler
Kanun’un 6. maddesinde sayılan özel
nitelikteki kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik verilerdir.
İştiraklerimiz, bu metinde belirtilen ve
ayrıca özel nitelikteki kişisel verilerin işlenmesine, aktarılmasına,
silinmesine, yok edilmesi veya anonim hale getirilmesine ilişkin ilave
tedbirleri alır. Yasal yükümlülüklerden yahut kanunlarda öngörülen hallerden
kaynaklanan nedenlerle yapılacak işlemler saklıdır.
İştiraklerimiz, özel nitelikli kişisel
verilerin işlenmesinde Kanun’un 6. maddesinde ortaya konulan veri işleme
şartlarına uygun olarak hareket etmektedir. Özel nitelikli kişisel verilerin
işlenebilmesi için bu metinde belirtilen usul ve esaslara ilave olarak ilgili
mevzuatta belirlenen yeterli önlemlerin alınması da şarttır.
İştiraklerimiz, çalışanların ve
misafirlerinin sağlıkla ilgili kişisel verilerini ilgili mevzuatta öngörülen
yeterli önlemleri almak, genel ilkelere uygun şekilde işlemek, sır saklama
yükümlülüğü altında bulunmak kaydı ile aşağıdaki şartların birinin varlığı
halinde işleyebilecektir:
Kişisel ilgili kişi olan ilgili kişinin
açık rızası,
Kamu sağlığının korunması,
Koruyucu hekimlik,
Tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi,
Sağlık hizmetleri ile finansmanının
planlanması ve yönetimi,
Çalışanlar için İnsan Değerleri
süreçlerinin yönetimi. İlgili kişinin açık rızasının bulunmadığı hallerde,
Sağlık ve cinsel hayat dışındaki özel
nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
Sağlık ve cinsel hayata ilişkin kişisel
veriler ise, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlarca işlenebilir.
4.
Kişisel Veri Toplama Yöntemi ve
Hukuki Sebebi
İştiraklerimiz tarafından kişisel
veriler her türlü sözlü, yazılı ya da elektronik ortamda, yukarıda yer verilen
amaçlar doğrultusunda sunulan ürün ve hizmetlerin belirlenen yasal çerçevede sunulabilmesi
ve bu kapsamda sözleşme ve yasadan doğan mesuliyetlerini eksiksiz ve doğru
şekilde yerine getirebilmesi gayesiyle edinilir. Bu hukuki sebeple toplanan
kişisel veriler KVKK'nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme
şartları ve amaçları kapsamında bu metnin 1. maddesinde belirtilen amaçlarla
işlenebilmekte ve aktarılabilmektedir.
5.
Kişisel Verilerin Korunması ve
İşlenmesi Konusunda Farkındalığın Artırılması, Denetimi
İştiraklerimiz, kişisel verilerin hukuka
aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye
ve verilerin muhafazasını sağlamaya yönelik farkındalığın arttırılması için iş
birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
İştiraklerimiz mevcut çalışanlarının ve
bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda
farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin
ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda
İştiraklerimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına
yapılan katılımlar değerlendirmekte olup ilgili mevzuatın güncellenmesine
paralel olarak yeni eğitimler düzenlemektedir.
6.
Kişisel Verilerin İşlenme Şartları
Kişisel veri sahibinin açık rıza vermesi
haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen
şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel
veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel
nitelikli kişisel veri olması halinde Özel Nitelikli Kişisel Veriler içerisinde
yer alan şartlar uygulanacaktır.
6.1.
Kişisel Veri Sahibinin Açık
Rızasının Bulunması
Kişisel verilerin işlenme şartlarından
biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli
bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle
açıklanmalıdır.
6.2.
Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda
açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin
işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının
varlığından söz edilebilecektir.
6.3.
Fiili İmkânsızlık Sebebiyle
İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan
kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü
korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri
sahibinin kişisel verileri işlenebilecektir.
6.4.
Sözleşmenin Kurulması veya
İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine
getirilmiş sayılabilecektir.
6.5.
Şirketin Hukuki Yükümlülüğünü
Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini
yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel
verileri işlenebilecektir.
6.6.
Kişisel Veri Sahibinin Kişisel
Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini
alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla
sınırlı olarak işlenebilecektir.
6.7.
Bir Hakkın Tesisi veya Korunması
için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel
verileri işlenebilecektir.
6.8.
Şirketimizin Meşru Menfaati için
Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri
işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir.
7.
Kişisel Veri Sahiplerinin Hakları
KVKK’nın 11. Maddesine göre Kişisel veri
sahibi olarak;
Kişisel verilerin işlenip işlenmediğini
öğrenme,
Kişisel verilerin işlenmişse buna
ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve
bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde ve yurt dışında kişisel
verilerin aktarıldığı 3. kişileri bilme,
Kişisel verilerin eksik ya da yanlış
işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı 3. kişilere bildirilmesini isteme,
KVKK ve ilgili kanun hükümlerine uygun
olarak işlenmesine rağmen işlenmesini gerektiren sebeplerin ortadan
kaldırılması halinde kişisel verilerin yok edilmesini isteme ve bu kapsamda
yapılan işlemin kişisel verilerin aktarıldığı 3. kişilere bildirilmesini
isteme,
İşlenen verilerin münhasıran otomatik
sistemler vasıtası ile analiz edilmesi suretiyle kişinin aleyhine bir sonucun
ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak
işlenmesi sebebiyle zarar uğraması halinde zararın giderilmesini talep etme
hakları bulunmaktadır.
Kişisel veri sahibinin KVKK'nın 13.
maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını kullanmak ile
ilgili talebini 'yazılı' olarak aşağıda belirtilen yöntemlerle veya 'Kişisel
verileri Koruma Kurulu'nun belirlediği diğer yöntemlerle iştiraklerimize iletmesi
gerekmektedir. Bu çerçevede iştiraklerimize KVKK'nın 11. maddesi kapsamında
yapılan başvurularda yazılı olarak başvurunun iletildiği kanallar ve usuller
aşağıda açıklanmaktadır. Yukarıda belirtilen hakların kullanımı için kimliği
tespit edici bilgiler ile KVKK'nın 11. maddesinde belirtilen haklardan
kullanmayı talep edilen haklara yönelik açıklamaları içeren talep; başvuru
Formu doldurarak formun imzalı bir nüshasını kimliği tespit edici belgeler ile kvkk@onotelcilik.com mail adreslerimize mail yolu ile
iletebilir, On Otelcilik Turizm otelleri adreslerimize bizzat elden
iletebilir, Noter kanalı ile iadeli taahhütlü mektupla veya KVKK ‘da belirtilen
diğer yöntemlerle gönderilebilir.
7.1.
İştiraklerimizin Başvurulara Cevap
Vermesi
İştiraklerimiz, kişisel veri sahibi
tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak
sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
Kişisel veri sahibinin, bölüm 7’de
(“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule
uygun olarak İştiraklerimize iletmesi durumunda, İştiraklerimiz talebin
niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi
ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet
gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret
alınabilecektir.
8.
Kişisel Veri Kayıt Ortamları
İştirakler, yukarıda belirtilen kişisel
verileri aşağıda belirtilen kayıt ortamlarında saklamaktadır:
Elektronik Ortamlar ve Fiziksel Ortamlar
9.
Kişisel Verilerin Silinmesi, Yok
Edilmesi ve Anonim Hale Getirilmesi
İştiraklerimiz, bu metinde ve Kanun’da
belirtilen esas ve usuller çerçevesinde elde edilen kişiler verileri işleme
amaç ve hukuki gerekçelerinin ortadan kalkması halinde periyodik imha
süreçlerinde re ’sen veya ilgili kişinin usulüne uygun başvurusu üzerine Kanun,
ilgili mevzuat, Kurul kararları ve kılavuzlarına uygun şekilde siler, yok eder
veya anonim hale getirir.
Gerçekleştirilen silme, yok etme veya
anonim hale getirme işlemleri bir tutanak ile tespit edilir ve İştiraklerimizin
veri sorumlusu sıfatıyla diğer yükümlülükleri saklı kalmak kaydı ile silme, yok
etme veya anonimleştirme işlemlerine ilişkin kayıtlar en az 3 yıl süreyle
saklanır.
Kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesi sürecinde İştirakler tarafından her türlü
teknik ve idari tedbir alınır.
Kişisel verilerin ilgili kullanıcılar
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
işlemidir.
İştiraklerimiz adına veri işleyen,
veriye erişim imkânı kalmadığını denetler ve bu durumu bir tutanakla tespit
eder.
9.1.
Kişisel Verilerin Silinme
Teknikleri
Kâğıt Ortamında Bulunan Kişisel Veriler:
Karartma yöntemi kullanılarak silinmektedir.
Merkezi Sunucuda Yer Alan Ofis
Dosyaları: İşletim sistemindeki silme komutu ile silinir.
Taşınabilir Medyada Bulunan Kişisel
Veriler: Uygun yazılımlarla silinir.
Veri Tabanları: Kişisel veri bulunan
ilgili satırlar veri tabanları komutları ile okunamaz hale getirilir.
9.2.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin herhangi bir kişi
tarafından erişilemez hale gelmesi, verilerin hiçbir koşulda geri
getirilememesi ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yerel Sistemlerde Bulunan Kişisel
Veriler: De-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden
uygun olanı kullanılarak yok edilir.
Çevresel Sistemlerde Bulunan Kişisel
Veriler:
Ağ Cihazları (switcher, router vb.):
Yakma, küçük parçalara ayırma gibi fiziksel yok etme yöntemleriyle verilerin
erişilmez kılınması sağlanır.
Sim kart ve sabit hafıza kartları: Optik
veya manyetik medyayı eritmek veya yakmak gibi işlemlerle verilerin erişilmez
kılınması sağlanır.
Optik Diskler: Üzerine yazma veya yakma,
küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle verilerin
erişilmez kılınması sağlanır.
Veri Kayıt Ortamı Sabit Olan Çevre
Birimleri: Üzerine yazma veya yakma, küçük parçalara ayırma, eritme gibi
fiziksel yok etme yöntemleriyle verilerin erişilmez kılınması sağlanır.
Kâğıt ve Mikrofiş Ortamlarında Bulunan
Kişisel Veriler: Kâğıt imha makinaları kullanılarak yok edilir.
Orijinal kâğıt formattan tarama yoluyla
elektronik ortama aktarılan kişisel veriler ise bulundukları ortama göre uygun
yazılımlarla silinir.
Bulut Ortamı: Söz konusu sistemlerde yer
alan kişisel verilerin depolanması ve kullanımı sırasında şifre ile erişim
yapılmaktadır. Dışarıdan bakım, onarım gibi amaçlarla gelen personelin erişimi
dışarıdan bakım onarım gibi amaçlarla gelen yetkili personelin gözetimi altında
yapılmaktadır. Süresi geçen sunucuların diskleri küçük parçalara ayırma
işleminden geçirilerek imha edilir.
9.3.
Kişisel Verilerin Anonim Hale
Getirilmesi
Bir veri kümesindeki tüm doğrudan
ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili
kişilerin kimliğinin saptanabilmesinin engellenmesi veya bir grup içinde ayırt
edilebilir olma özelliğini bir gerçek kişi ile ilişkilendirilemeyecek şekilde
kaybetmesidir.
Kişisel Verilerin Anonim Hale
Getirilmesi Teknikleri: Kişisel Verilerin Anonim hale getirilmesi aşamasında,
ilgili mevzuat hükümlerinde, metinde gösterilen yöntemlerden biri kullanılır.
9.4.
Kişisel Verilerin Silinmesi, Yok
Edilmesi, Anonimleştirilmesi Süreleri
Kanuni yükümlülükler gereği kanunun
emrettiği süre boyunca ilgili kişinin kişisel verilerini saklama yükümlülüğü
bulunmaması kaydıyla; ilgili kişinin rızası ile işlenen veriler yine ilgili
kişinin talebi doğrultusunda, talebin İştiraklerimize iletilmesinden itibaren
en geç 30 gün içinde silinir, yok edilir veya anonim hale getirilir.
Kanun’un açık rıza gerektirmeyen 5.
maddesinde sayılan nedenlerle işlenen kişisel verilerde, nedenin ve hukuki
gerekçenin ortadan kalkmasından itibaren süre sonunda ilk periyodik silme, yok
etme veya anonim hale getirme döneminde silinir, yok edilir veya anonim hale
getirilir.
Kişisel verilerin açık rıza şartı
aramaksızın Kanun’un 5. maddesinde sayılan nedenlerle işlendiği ancak ilgili
kişinin silinmesini talep ettiği durumlarda kişisel veri, rıza ile işlenen
veriden ayrılarak, sadece kanuni yükümlülüklerle ilgili birimlerin erişebileceği
şekilde yetki ve kontrol matrisleri sınırlandırılarak muhafaza edilir ve
Kanun’un 5. Maddesinde belirtilen hukuki gerekçenin ortadan kalkması ile derhal
yok edilir veya anonim hale getirilir.
10.
Teknik ve İdari Tedbirler
10.1.
İdari Tedbirler
İştiraklerimiz idari tedbirler
kapsamında;
İşlenen ve saklanan kişisel verilere
şirket içi erişimde iş tanımlarını dikkate alarak yetki ve kontrol matrislerini
sınırlandırır.
İşlenen kişisel verilerin hukuka aykırı
şekilde başkaları tarafından elde edilmesi halinde, bu durumu en kısa süre
içerisinde ilgili kişiye bildirir.
Kişisel verilerin işlenmesi hakkında
bilgili ve deneyimli personel istihdam eder ve gerekli eğitim, uyarıları yapar.
Kendi tüzel kişiliği kapsamında ve tüm
grup şirketlerinde veri güvenliğine ilişkin gerekli denetimleri yapar veya
yaptırır. Denetimler sonucu tespit edilen hususlar ile ilgili gerekli önlemleri
alır.
10.2.
Teknik Tedbirler
Kurulan sistemler kapsamında gerekli iç
kontrolleri yapar.
Kurulan sistemler kapsamında bilgi
teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi
süreçlerini yürütür.
Kişisel verilerin kurum dışına çıkmasını
engelleyecek teknik altyapının temin edilmesini ve yetki, kontrol matrislerinin
oluşturulmasını sağlar.
Periyodik aralıklarla ve ihtiyaç
duyduğunda sızma testi hizmeti alarak sistem açıklarının kontrolünü sağlar.
Bilgi teknolojileri birimlerinde
çalışanların kişisel verilere erişim yetkilerinin kontrol altına tutulmasını
sağlar.
Kişisel verilerin saklandığı ortamlar
yüksek güvenlikli şifre teknolojisi veyahut kripto grafik yöntemlerle koruma
altına alınır, firewall, SSL Protokolü (Secure Socket Layer) ile kötüye
kullanımların önüne geçilir. Fiziken tutulan veriler ise sadece İştirakler tarafından
yetkilendirilmiş kişilerin giriş izni olan arşivlerde tutulur.
Kişisel verilerin saklandığı ortamlarda
siber güvenliğin sağlanması için gerekli tedbirleri alır. Bu kapsamda internet
servis sağlayıcılarından siber saldırılara karşı DDOS hizmeti alır.
Sanal sunucuların güvenliğini sağlamak
için ayrıca güvenlik yazılımları kullanır.
Kişisel verilerin bulunduğu kayıt
ortamlarında gerçekleşen tüm işlemler ve hareketler takip edilir, güvenlik
ihlali durumlarında risk analizi yapılarak zafiyetler derhal giderilir.
Kişisel verilerin yer aldığı kayıt
ortamları siber sistemlerin ve sunucuların fiziki muhafazası özel güvenlik
cihazları ile ve yetki kontrolü ile sağlanmaktadır.
Kişisel veriler yedekleme diskleri ve
sunucuları, kilitli kasalarda yangın, sel gibi dış faktörlü risklere karşı
korunur
ISP sistem odasında tutulan veriler,
point to point hatlar ile günlük olarak yedeklenir.
Kayıt ortamlarına girişlerde yetki
kontrolleri sağlanır.
Veri kaybı riskinin önlenmesi için DLP
çözümü kullanılır.
Yetkililerin kaybetme riskine karşı
harici medya portları kapalı tutulur.
© 2024 On Lux Premium Travel tüm hakları saklıdır. 17302 belge numarası ile Türsab’a kayıtlıdır