İşbu aydınlatma metninin amacı: 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun” ) kapsamında- Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesi ve “İlgili Kişinin Hakları” başlıklı 11. maddesi çerçevesinde; kişisel verilerinizin toplanması, işlenmesi, işlenme yöntemi ve amacı, hukuki nedenleri, kimlere hangi amaçla aktarılabileceği ve ilgili kanunun kapsamındaki haklarınız konusunda sizleri en şeffaf şekilde bilgilendirmektir.
Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi ("Şirket", "Şirketimiz") olarak Veri Sorumlusu sıfatı altında, kişisel verilerinizi aşağıda izah etmiş olduğumuz şekilde ve resmi mevzuat tarafından emredilen sınırlar çerçevesinde işlemekte, kaydetmekte, aktarmakta, paylaşmakta ve saklamaktayız.
Şirketimiz, işbu “Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi Otelde Konaklayan Müşterilerinin ve Müşteri Adaylarının Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metnini” ("Aydınlatma Metni") yürürlükteki resmi mevzuatta yapılabilecek değişiklikler çerçevesinde her zaman güncelleme hakkını saklı tutar.
- Veri Sorumlusunun Kimliği
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Şirketimiz, işlediği kişisel veriler bakımından Kanun uyarınca veri sorumlusu sıfatına haizdir.
Şirketimizin unvanı: Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi
Adres: İnönü Cad. No.18 D.8 Gümüşsuyu Beyoğlu İstanbul
Telefon numarası: 02523111280
E-posta adresi: financeofficetr@hapimag.com
İnternet adresi: https://www.hapimagseagarden.com/
- Kişisel verilerin hangi amaçla işleneceği
Şirketimiz otelde konaklayan müşterilerinin ve müşteri adaylarının kişisel verilerini, konaklama hizmetlerinin yasal şartlara uygun olarak sunulmasının sağlanması, yasal şartların gerektirdiği verilerin alınması, bildirimi ve saklanması,
müşterilere en uygun seçeneklerin sunulmasının sağlanması, konaklama sözleşmelerinin yapılması,
bireysel veya grup rezervasyonlarının yapılması ve yönetilmesi, konaklayacak müşterilerin kimlik doğrulamalarının ve bildirimlerinin yapılması, giriş ve çıkış işlemlerinin gerçekleştirilmesi,
otel içerisindeki birimlerin kaliteli hizmet sunabilmesi için bilgilendirilmesi, hizmetlerden en doğru şekilde yararlanılması için müşterilerin bilgilendirilmesi,
otel hizmetlerinin kullanımına dair kayıtların tutulması ve faturalandırılması, hizmet kalitesinin arttırılması için çalışmalar yapılması, rezervasyonlu / rezervasyonsuz müşterinin mağdur olmaması için çözüm ortaklarına yönlendirilmesi, finans ve muhasebe işlerinin yürütülmesi, acil durum yönetimi süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, iş faaliyetlerinin yürütülmesi/denetimi, iş sağlığı/güvenliği faaliyetlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, mal hizmet satın alım süreçlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikayetlerin takibi, ürün hizmetlerin pazarlama süreçlerinin yürütülmesi, yetkili kişi/kurum/kuruluşlara bilgi verilmesi amaçlarıyla işlemektedir.
Şirketimiz tarafından özel nitelikli kişisel verileriniz olan sağlık verilerinizin işlenmesinde ayrıca KVK Kurulu tarafından belirlenen yeterli önlemler de alınmaktadır.
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
Şirketimiz otelde konaklayan müşterilerinin ve müşteri adaylarının kişisel verilerini,
- İş faaliyetlerinin denetimi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi amaçlarıyla Şirketimizin çalıştığı bağımsız denetim şirketi’ne ve Şirketimizin çalıştığı mali müşavirlik şirketi’ne, Şirket Avukatı’na,
- İş faaliyetlerinin yürütülmesi, mal hizmet satın alım süreçlerinin yürütülmesi amaçlarıyla Şirketimizin çalıştığı bankalara,
- Şirketimiz otelde konaklayan müşterilerinin ve müşteri adaylarının kişisel verilerini, iş faaliyetlerinin yürütülmesi ve denetimi için Şirketimizin ortağı İsviçre’de faaliyet gösteren Hapimag AG Şirketine aktarmaktadır. Söz konusu kişisel veriler hukuki uyuşmazlıkların giderilmesi veya ilgili mevzuat gereği talep halinde adli makamlar, ilgili kolluk kuvvetlerine, yetkili kişi, kurum ve kuruluşlara hukuki yetkileri çerçevesinde talep ettikleri amaçla sınırlı olarak aktarılabilecektir. Şirketimiz otelde konaklayan müşterilerinin ve müşteri adaylarının kişisel verilerini Kanunun 8. Maddesinde belirtilen açık rıza hukuki sebebine dayanarak aktarmaktadır.
Şirketimiz tarafından özel nitelikli kişisel verileriniz olan sağlık verilerinizin aktarılmasında ayrıca KVK Kurulu tarafından belirlenen yeterli önlemler de alınmaktadır.
- Kişisel veri toplamanın yöntemi ve hukuki sebebi
Şirketimiz otelde konaklayan müşterilerinin ve müşteri adaylarının kişisel verilerini, otomatik ya da otomatik olmayan yöntemlerle otelde konaklayan müşterilerinin ve müşteri adaylarının beyanlarına istinaden sözlü, yazılı ya da elektronik olarak farklı kanallarla toplamaktadır. Kişisel verileriniz elektronik ve/veya fiziksel ortamlarda Şirketimiz tarafından saklanmaktadır.
Şirketimiz otelde konaklayan müşterilerinin ve müşteri adaylarının kişisel verilerini, Kanunun 5. maddesinde belirtilen Kanunlarda açıkça öngörülmesi veya bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması veya Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması veya Şirketimiz otelde konaklayan müşterileri ve müşteri adaylarının kendileri tarafından alenileştirilmiş olması veya otelde konaklayan müşterilerin ve müşteri adaylarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayanarak işlemektedir.
Şirketimiz otelde konaklayan müşterilerinin özel nitelikli kişisel verileri olan sağlık bilgilerini Kanunun 6. maddesinde belirtilen açık rıza hukuki sebebine dayanarak işlemektedir.
- Kişisel Verilerin Otelde Konaklayan Müşterilerimizden ve Müşteri Adaylarından Elde Edilmemesi Halinde Aydınlatma Yükümlülüğü
Kişisel verilerin otelde konaklayan müşterilerimizden ve müşteri adaylarından elde edilmemesi halinde; Şirketimiz Aydınlatma Yükümlülüğünü
a)Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde;
b)Kişisel verilerin otelde konaklayan müşterilerimiz ve müşteri adayları ile iletişim amacıyla kullanılacak olması durumunda; ilk iletişim kurulması esnasında,
c)Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada yerine getirecektir.
- Şirketimiz otelde konaklayan müşterilerinin ve müşteri adaylarının Kişisel Verilerin Korunması Kanunu ‘nun 11. Maddesi Çerçevesinde Hakları
Başvuru Hakkı
Kişisel Verilerin Korunması Kanunu’nun 11. maddesi uyarınca, otelde konaklayan müşterilerimiz ve müşteri adayları Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi Kişisel Veri Sahibi Başvuru Formu aracılığıyla Şirket'imize başvurarak kendisi ile ilgili aşağıda yer alan konularla ilgili taleplerde bulunabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bunların silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle veri sahibinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
Bu kapsamda otelde konaklayan müşterilerimiz ve müşteri adayları Kanunun uygulanmasıyla ilgili taleplerini iletebilmeleri ve sahip oldukları haklarını kullanabilmeleri için öncelikle Şirketimize başvurmaları zorunludur. Kişisel Verilerin Korunması Kanunu uyarınca, otelde konaklayan müşterilerimiz ve müşteri adayları Şirketimize başvurmadan Kurula şikayet yoluna veya doğrudan yargı yoluna gidemezler. Şirketimize başvurusu zımnen veya açıkça reddedilen otelde konaklayan müşterilerimiz ve müşteri adayları Kişisel Verilerin Korunması Kurumuna şikayette bulunabilir veya doğrudan yargı yollarına başvurabilir.
Başvuru Hakkının Kapsamı Dışında Kalan Durumlar
Kişisel Verilerin Korunması Kanunu’nun 28. maddesi gereğince, aşağıdaki hallerde otelde konaklayan müşterilerimiz ve müşteri adaylarının haklarını ileri sürmeleri mümkün olmayacaktır:
- Kişisel verilerinin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi
- Kişisel verilerinin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
- Kişisel verilerinin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kişisel Verilerin Korunması Kanunu’nun 28. maddesinin 2. fıkrası gereğince otelde konaklayan müşterilerimiz ve müşteri adaylarının zararın giderilmesini talep etme hakkı hariç olmak üzere, otelde konaklayan müşterilerimizin ve müşteri adaylarının haklarını ileri sürmeleri mümkün olamayacaktır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Otelde konaklayan müşterilerimizin ve müşteri adaylarının kendileri tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Cevap Verme Usulü
Şirketimiz otelde konaklayan müşterilerimiz ve müşteri adayları tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü teknik ve idari tedbirleri almıştır. Kişisel Verilerin Korunması Kanunu’nun 13. maddesine uygun olarak Şirket'imiz, müşterilerimizin yapmış olduğu başvuru taleplerini, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Şirketimiz, otelde konaklayan müşterilerimizin ve müşteri adaylarının başvurularını kabul edecek veya gerekçesini açıklayarak reddedecektir. Şirketimiz, cevabını otelde konaklayan müşterilerimize ve müşteri adaylarına yazılı olarak veya elektronik ortamda bildirecektir. Otelde konaklayan müşterilerimizin ve müşteri adaylarının taleplerinin kabul edilmesi halinde Şirketimiz tarafından talebin gereği en kısa sürede yerine getirilecektir ve otelde konaklayan müşterilerimize ve müşteri adaylarına bilgi verilecektir. Otelde konaklayan müşterilerimizin ve müşteri adaylarının başvurularına yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirketimiz tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez. Başvurunun, Şirketimizin hatasından kaynaklanması halinde alınan ücret otelde konaklayan müşterilerimize ve müşteri adaylarına iade edilir.
Kişisel Verilerin Korunması Kanunu’nun 13. maddesi gereğince, bu haklarınıza ilişkin taleplerinizi Şirket’e yazılı olarak veya Kişisel Verilerin Korunması Kurulu’nun belirleyeceği diğer yöntemlerle iletebilirsiniz. Bu kapsamda yapacağınız talepler için kullanabileceğiniz Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi Kişisel Veri Sahibi Başvuru Formu’na https://www.hapimagseagarden.com/ adresinden ulaşabilirsiniz. Başvuru formlarını ıslak imzalı veya elektronik imzalı olarak işbu Aydınlatma Metnini’nin 1. Maddesinde belirtilen Şirket’in merkez adresine iletebilirsiniz veya işbu Aydınlatma Metni’nin 1. Maddesinde belirtilen email adresine mail yoluyla iletebilirsiniz.
İÇİNDEKİLER
GİRİŞ
1.AMAÇ
2.KAPSAM
3.TANIMLAR
4.KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
4.1.KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ, GÜVENLİ BİR ŞEKİLDE SAKLANMASINI SAĞLAMAK, HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK VE HUKUKA UYGUN İMHASINI SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
4.2.KİŞİSEL VERİLERİN KANUNİ OLMAYAN YOLLARLA İFŞASI DURUMUNDA ALINACAK TEDBİRLER
5.KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN İŞLEME AMAÇLARI, KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER VE KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ
5.1.KİŞİSEL VERİLERİN KORUNMASINI, İŞLENMESİNİ VE SAKLANMASINI GEREKTİREN AMAÇLAR
5.2.KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER
5.3. KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ
6.KİŞİSEL VERİLERİN İMHASI
6.1.KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER
6.2.ŞİRKETİMİZ TARAFINDAN UYGULANAN KİŞİSEL VERİLERİ İMHA YÖNTEMLERİ
7.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
7.1.PERİYODİK İMHA SÜRESİ
7.2.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLAR
7.3.KİŞİSEL VERİLERİN KAYIT ORTAMI
8.ŞİRKET İÇERİSİNDE KAMERA İLE İZLEME
8.1.ŞİRKETİ ZİYARET EDEN MÜŞTERİ GİRİŞ-ÇIKIŞLARI
9.POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
10.POLİTİKA’NIN GÜNCELLENME PERİYODU
11.POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Giriş
Türkiye Cumhuriyeti Anayasası’nın 20. maddesi uyarınca, herkes kendisi ile ilgili kişisel verilerin korunmasını talep etme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) ile kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir. Bu doğrultuda hazırlanan bu Politika’nın amacı KVK Kanunu ve sair düzenlemeler doğrultusunda kişisel verilerin saklanmasına ve imhasına ilişkin usul ve esasların belirlenmesidir.
1. Amaç
Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi Kişisel Verilerin Saklanması ve İmhası Politikası (“Politika”), Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi (“Şirket”, “Şirketimiz”) tarafından gerçekleştirilmekte olan kişisel verileri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket, Stratejik Planda belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; Şirketimiz çalışanları, çalışan adayları, şirket ortağı çalışanları, otelde konaklayan müşteriler, müşteri adayları, ziyaretçiler, tedarikçi çalışanları ve tedarikçi yetkililerine ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘Kanun’) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan politikaya uygun olarak gerçekleştirilir.
2. Kapsam
İşbu Politika’nın kapsamı dahilinde kişisel verileri işlenen veri sahipleri aşağıdaki şekilde kategorize edilmiştir:
Çalışanlar | Şirket’e bağımlı olarak, belirli veya belirsiz süreli olarak iş gören tüm gerçek kişiler |
Çalışan Adayları | Şirket'e iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini Şirket'e erişilebilir kılan gerçek kişiler |
Şirket Ortağı Çalışanları | Şirket ortağı İsviçre Şirketi Hapimag AG ile yürütülen ilişkiler kapsamında kişisel verileri elde edilen gerçek kişi Şirket ortağı çalışanları |
Otelde Konaklayan Müşteriler/ Müşteri Adayları | Şirketimize ait otelde konaklamaları veya konaklayacak olmaları sebebiyle kişisel verileri elde edilen gerçek kişiler |
Ziyaretçiler | Şirket'in tesislerine çeşitli amaçlarla girmiş olan gerçek kişiler |
Tedarikçi Çalışanı/Tedarikçi Yetkilisi | Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın Şirket tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler |
3. Tanımlar
İşbu Politika’da kullanılan tanımlar aşağıda yer almaktadır:
Açık rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Başkanlık | Kişisel Verileri Koruma Kurumu Başkanlığı’nı |
Elektronik ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Kişisel Verilerin Anonim hale getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Çalışan | Şirket'e bağımlı olarak, belirli veya belirsiz süreli olarak iş gören tüm gerçek kişiler |
Çalışan adayı | Şirket'e iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini Şirket'e erişilebilir kılan gerçek kişiler |
Tedarikçi | Şirket'e ürün ya da hizmet sunan gerçek kişiler |
Kişisel Sağlık Verileri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi Kişisel Verilerin Saklanması ve İmhasına ilişkin Politika | Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat doğrultusunda Kişisel Verilerin Saklanması ve İmhasına ilişkin Şirket tarafından yerine getirilmesi gereken usul ve esasları belirleyen işbu Politika |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
KVK Kanunu | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
KVK Kurulu | Kişisel Verileri Koruma Kurulu |
KVK Kurumu | Kişisel Verileri Koruma Kurumu |
Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Sicil | Başkanlık tarafından tutulan Veri Sorumluları Sicili’ni |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Kişisel Veri Sahibi | KVK Kanunu’nda “ilgili kişi” olarak addedilen, kişisel verisi işlenen gerçek kişi |
Kişisel Veri Sahibi Başvuru Formu | Şirket bünyesinde kişisel verileri işlenen kişisel veri sahiplerinin KVK Kanunu’nun 11. maddesinde açıklanan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (Şirketimiz) |
VERBİS | Veri Sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini |
Ziyaretçi | Şirket'in tesislerine çeşitli amaçlarla girmiş olan gerçek kişiler |
4. Kişisel Verilerin Güvenliğinin ve Gizliliğinin Sağlanması
Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini, Güvenli Bir Şekilde Saklanmasını Sağlamak, Hukuka Aykırı Erişimi Engellemek ve Hukuka Uygun İmhasını Sağlamak İçin Alınan Teknik ve İdari Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesi, güvenli bir şekilde saklanması, hukuka aykırı erişimin engellenmesi ve hukuka uygun imhasının sağlanması için alınan teknik ve idari tedbirler aşağıda belirtilmiştir:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
7.Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. 25. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
- Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurul’una bildirecektir.
5. Kişisel Verilerin Saklanmasını Gerektiren İşleme Amaçları, Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler ve Kişisel Verileri Saklama Süreleri
5.1. Kişisel Verilerin Korunmasını, İşlenmesini ve Saklanmasını Gerektiren Amaçlar
Şirketimiz nezdinde kişisel veriler aşağıda sayılan amaçlar çerçevesinde işlenmektedir:
- Konaklama hizmetlerinin yasal şartlara uygun olarak sunulmasının sağlanması,
- Otelde konaklayan müşterilere en uygun seçeneklerin sunulmasının sağlanması,
- Konaklama sözleşmelerinin yapılması, bireysel veya grup rezervasyonlarının yapılması ve yönetilmesi, konaklayacak müşterilerin kimlik doğrulamalarının ve bildirimlerinin yapılması, giriş ve çıkış işlemlerinin gerçekleştirilmesi,
- Otel içerisindeki birimlerin kaliteli hizmet sunabilmesi için bilgilendirilmesi, hizmetlerden en doğru şekilde yararlanılması için müşterilerin bilgilendirilmesi,
otel hizmetlerinin kullanımına dair kayıtların tutulması ve faturalandırılması, hizmet kalitesinin arttırılması için çalışmalar yapılması, rezervasyonlu / rezervasyonsuz müşterinin mağdur olmaması için çözüm ortaklarına yönlendirilmesi, - Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Denetim/etik faaliyetlerinin yürütülmesi
- Eğitim faaliyetlerinin yürütülmesi
- Erişim yetkilerinin yürütülmesi
- Faaliyetlerin mevzuata uygun yürütülmesi
- Finans Ve Muhasebe İşlerinin Yürütülmesi
- Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Görevlendirme süreçlerinin yürütülmesi
- Hukuk İşlerinin Takibi Ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Organizasyon ve Etkinlik Yönetimi
- Pazarlama Analiz Çalışmalarının Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
- Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
5.2. Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler
Şirketimiz kişisel verilerin saklanması için ilgili mevzuatta bir süre öngörülüp öngörülmediğini tespit ederken aşağıda yer alan mevzuatı kontrol etmektedir:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu
- 6098 sayılı Türk Borçlar Kanunu
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
- 4982 sayılı Bilgi Edinme Kanunu
- 4857 sayılı İş Kanunu
- 2828 sayılı Sosyal Hizmetler Kanunu
- 6102 sayılı Türk Ticaret Kanunu
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine ilişkin Yönetmelik
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
5.3. Kişisel Verileri Saklama Süreleri
Şirketimiz kişisel verilerin saklanması için ilgili mevzuatta bir süre öngörülüp öngörülmediğini tespit eder. İlgili mevzuatta bir süre öngörülmüşse bu süreye riayet eder; bir sürenin öngörülmemiş olması halinde kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verilerin işlenme amacı sona ermiş ve ilgili mevzuat ve/veya Şirketimizin belirlediği saklama sürelerinin sonuna gelinmişse yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi, kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilecektir. Şirketimiz tarafından işlenme amacı sona ermiş, ilgili mevzuat ve/veya Şirket'in belirlediği azami saklama sürelerinin sonuna gelinen ve herhangi bir başkaca saklanma amacı taşımayan kişisel veriler saklanmamaktadır.
T.C. Resmi Gazete ile yayınlanan ve 01/01/2018 tarihi ile yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in ("Yönetmelik") 7. maddesi uyarınca, kişisel verilerin imhası ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
6. Kişisel Verilerin İmhası
KVK Kanunu’nun 7. maddesi uyarınca, kişisel verilerin ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya kişisel veri sahibinin talebi üzerine Şirketimiz tarafından imha edilir.
İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri imha etmek Şirketimizin yükümlülüklerindendir. Bunun için kişisel veri sahibinin başvurusu şart değildir. Bununla birlikte, kişisel veri sahibinin kişisel verilerinin imha edilmesini talep etme hakkı bulunmaktadır.
Yönetmelik ile, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin imha edilmesine ilişkin usul ve esasların belirlenmesi amaçlanmıştır. Yönetmelik çerçevesinde işbu Politika’yı hazırlamış olan Şirketimiz, kişisel verileri imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha eder. Bu süre her halde altı ayı geçemez.
Yönetmelik kapsamında, kişisel verilerin imha edilmesine ilişkin olarak aşağıda sayılan ilkeler hakimdir:
- KVK Kanunu'nun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin Şirketimiz tarafından resen veya ilgili kişinin talebi üzerine imha edilmesi gerekir.
- Kişisel verilerin imha edilmesinde KVK Kanunu'nun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, KVK Kurulu kararlarına ve işbu Politika’ya uygun hareket edilmesi zorunludur.
- Kişisel verilerin imha edilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
- Şirket, kişisel verilerin imha edilmesiyle ilgili uyguladığı yöntemleri işbu Politika ve diğer prosedürlerinde açıklamakla yükümlüdür.
- Şirket, KVK Kurulu tarafından aksine bir karar alınmadıkça, kişisel verileri resen imha etme yöntemlerinden uygun olanını seçer. Kişisel veri sahibinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.
Yönetmelik’in 12. maddesine istinaden, kişisel veri sahibi, KVK Kanunu’nun 13 üncü maddesine istinaden Şirketimize başvurarak kendisine ait kişisel verilerin imha edilmesini talep ettiğinde;
- a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirketimiz talebe konu kişisel verileri imha eder. Şirketimiz, kişisel veri sahibinin talebini en geç otuz gün içinde sonuçlandırır ve kişisel veri sahibine bilgi verir.
- b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Şirketimiz bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
- c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirketimiz tarafından KVK Kanununun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı kişisel veri sahibine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
- Kişisel Verilerin İmhasını Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, kişisel veri sahibinin açık rızasını geri alması,
- KVK Kanununun 11 inci maddesi gereği kişisel veri sahibinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun KVK Kurumu tarafından kabul edilmesi,
- KVK Kurumunun, kişisel veri sahibi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVK Kanununda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna şikâyette bulunması ve bu talebin KVK Kurulu tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, KVK Kurumu tarafından kişisel veri sahibinin talebi üzerine imha edilir.
- Şirketimiz Tarafından Uygulanan Kişisel Verileri İmha Yöntemleri
Şirketimiz tarafından işlenen kişisel verilerin imhası süreçlerinde aşağıda belirtilen kişisel verileri yok etme yöntemleri kullanılmaktadır:
-Fiziksel yok etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmes işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medya da fiziksel olarak yok edilmektedir.
-Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Yukarıda yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
-Mobil telefonlar (sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Yukarıda yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
-Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekmektedir.
-Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre yukarıda yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
-Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme konutu bulunmakta, ancak yok etme komutu bulunmamaktadır. Yukarıda yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
-Kağıt ve mikrofiş ortamları
Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel ortam olarak ortam üzerine yazılı olduğundan ana ortam yok edilmektedir. Bu işlem gerçekleştirilirken ortam kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmektedir.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel veriler ise bulundukları elektronik ortama göre yukarıda yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
-Bulut ortamı
Söz konusu sistemlerde yer alan kişisel veriler depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmekte ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmaktadır. Bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilmektedir.
Yukarıdaki ortamlara ek olarak, arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
-Ilgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin yukarıda yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanmaktadır.
-Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamı sökülerek saklanmakta, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderimi sağlanmaktadır.
-Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınmaktadır.
- Kişisel Verileri Saklama ve İmha Süreleri
Yönetmelik'in 7.maddesi uyarınca, kişisel veriler, KVK Kanunu'un 5. ve 6. maddelerinde belirtilen şartlar kapsamında işlenmektedir. Bu işlenme şartlarının tamamının ortadan kalkması halinde ise, söz konusu kişisel veriler Şirket tarafından resen veya kişisel veri sahibinin talebi üzerine imha edilmektedir.
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanteri’nde
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta ve işbu Politika’da yer alır.
Aşağıdaki tabloda kişisel veri kategorisine göre, azami saklanma ve imha süreleri gösterilmiştir.
Kişisel Veri Kategorisi | Saklama Süresi | İmha Süresi |
Kimlik Verisi | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
İletişim Verisi | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Özlük Verisi | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Hukuki İşlem Verisi | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Müşteri İşlem Verisi | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Fiziksel Mekan Güvenliği Verisi | 2 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Risk Yönetimi Verisi | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Finans verisi | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Mesleki deneyim verisi | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Görsel ve işitsel kayıtlar verisi | 2 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Sağlık verileri | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Ceza mahkumiyeti ve güvenlik tedbirleri verileri | 10 yıl | Saklama süresinin bitimini takip eden 6 ay içinde |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11. Maddesi uyarınca Şirketimiz, periyodik imha süresini 6 ay olarak belirlemiştir.
- Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanlar
Şirketimizin tüm birim ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Yönetmelik kapsamında, kişisel verilerin saklanması ve imhası işlemlerinde görev alan kişi/kişilerin bilgileri aşağıdaki tabloda yer almaktadır.
Kişisel verilerin saklama ve imha süreçlerinde yer alan kişi | Kişinin Unvanı | Kişinin Çalıştığı Birim | Kişinin Görev Tanımı |
Esma Ezgi Çetinel | Mali İşler Müdürü | Mali İşler Departmanı | Mali İşler Müdürü |
İlker Adaş | Otel Operasyon ve Misafir İlişkileri Müdürü | Otel Operasyonları | Otel Operasyon ve Misafir İlişkileri Müdürü |
Abdul Ahmet Uysal | Tatil Köyü Operasyonları Müdürü | Tatil Köyü Operasyonları | Tatil Köyü Operasyonları Müdürü |
Eyüp Elmacı | Bilgi İşlem Müdürü | Bilgi İşlem Departmanı | Bilgi İşlem Müdürü |
Gülşah Akgün Gülşen | İnsan Kaynakları Müdürü | İnsan Kaynakları Departmanı | İnsan Kaynakları Müdürü |
- Kişisel Verilerin Kayıt Ortamı
Şirketimiz tarafından, Kişisel Veri Sahibi’nin kişisel verileri, evrak, dosya, CD, disket, hard disk, Şirket server, Mikro ERP, Şirket CRM (LIAS, PIN, SAM3, BAAN, KODEG) uygulamaları gibi veri saklamaya elverişli materyaller ve ortamlar ile kayıt altına alınmaktadır. Aşağıdaki tabloda hangi tür kişisel verilerin nasıl/nerede kayıt altına alındığı görülmektedir.
Kişisel Veri kategorisi | Kayıt Ortamı |
Kimlik Verisi | Ön büro programı (Sihot), SAP, fiziki ortam |
İletişim Verisi | Ön büro programı (Sihot), SAP, fiziki ortam |
Özlük Verisi | SAP, fiziki ortam |
Hukuki İşlem Verisi | Server, fiziki ortam |
Müşteri İşlem Verisi | Ön büro programı (Sihot), SAP, fiziki ortam, Server |
Fiziksel Mekan Güvenliği Verisi | Ön büro programı (Sihot), fiziki ortam, Server |
Risk yönetimi verisi | SAP, fiziki ortam, Server |
Finans verisi | SAP, fiziki ortam, Server |
Mesleki Deneyim Verisi | Fiziki ortam, Server |
Görsel ve İşitsel Kayıtlar Verisi | Fiziki ortam, Server |
Sağlık Bilgileri Verisi | SAP, fiziki ortam, Server |
8. Şirket İçerisinde Kamera ile İzleme
Şirketin ve çalışanlarının güvenliğini sağlama, acil durum yönetimi süreçlerinin yürütülmesi, fiziksel mekan güvenliğinin temini, iş sağlığı/güvenliği faaliyetlerinin yürütülmesi, ziyaretçi kayıtlarının oluşturulması amacıyla Şirketimiz içerisinde kamera ile izleme gerçekleştirilmektedir.
KVK Kanunu’nda yer alan düzenlemeler doğrultusunda, Şirket'imiz tarafından kamera ile izleme faaliyetine ilişkin olarak internet sitemizde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapıldığına ilişkin bildirim yazısı asılmaktadır.
Kişinin mahremiyetine müdahale sonucu doğurabilecek alanlarda izleme söz konusu olmamaktadır. Güvenlik kamerası kayıtlarına yalnızca sınırlı sayıda Şirket çalışanımız ve ihtiyaç duyulması halinde tedarikçi konumunda bulunan güvenlik şirketi çalışanları erişebilmektedir. Kayıtlara erişimi olan söz konusu kişiler imzaladıkları gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
8.1. Oteli Ziyaret Eden Müşteri Giriş – Çıkışları
Şirketin ve çalışanlarının güvenliğini sağlama, acil durum yönetimi süreçlerinin yürütülmesi, fiziksel mekan güvenliğinin temini, iş sağlığı/güvenliği faaliyetlerinin yürütülmesi, ziyaretçi kayıtlarının oluşturulması amaçlarıyla Şirket'imizi ziyaret eden misafirlerimizin kişisel verilerini işleme faaliyeti gerçekleştirilmektedir.
- Politika’nın Yayınlanması ve Saklanması
Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Şirket’in internet sitesinden https://www.hapimagseagarden.com/
ve şirket içerisinde ortak kullanım alanlarından Politika’nın en güncel haline ulaşılmaktadır.
- Politika’nın Güncellenme Periyodu
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
- Politika’nın Yürürlüğü ve Yürürlükten Kaldırılması
Politika, Şirketimizin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları iptal edilerek imzalanır ve en az 5 yıl süre ile Şirketimiz tarafından saklanır.
İşbu aydınlatma metninin amacı: 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun” ) kapsamında- Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesi ve “İlgili Kişinin Hakları” başlıklı 11. maddesi çerçevesinde; kişisel verilerinizin toplanması, işlenmesi, işlenme yöntemi ve amacı, hukuki nedenleri, kimlere hangi amaçla aktarılabileceği ve ilgili kanunun kapsamındaki haklarınız konusunda sizleri en şeffaf şekilde bilgilendirmektir.
Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi ("Şirket", "Şirketimiz") olarak Veri Sorumlusu sıfatı altında, kişisel verilerinizi aşağıda izah etmiş olduğumuz şekilde ve resmi mevzuat tarafından emredilen sınırlar çerçevesinde işlemekte, kaydetmekte, aktarmakta, paylaşmakta ve saklamaktayız.
Şirketimiz, işbu Aydınlatma Metnini yürürlükteki resmi mevzuatta yapılabilecek değişiklikler çerçevesinde her zaman güncelleme hakkını saklı tutar.
- Veri Sorumlusunun Kimliği
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Şirketimiz, işlediği kişisel veriler bakımından Kanun uyarınca veri sorumlusu sıfatına haizdir.
Şirketimizin unvanı: Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi
Adres: İnönü Cad. No.18 D.8 Gümüşsuyu Beyoğlu İstanbul
Telefon numarası: 02523111280
E-posta adresi: financeofficetr@hapimag.com
İnternet adresi: https://www.hapimagseagarden.com/
- Kişisel verilerin hangi amaçla işleneceği
Tesisimiz içerisinde bulunan toplam 37 adet güvenlik kamerası vasıtasıyla ve çalışanların, otelde konaklayan müşterilerin, ziyaretçilerin ve tesisin güvenliğinin sağlanması, acil durum yönetimi süreçlerinin yürütülmesi ve iç denetim faaliyetlerinin yürütülmesi amaçlarıyla görüntü kaydı yapılmakta ve kayıt işlemi Bilgi İşlem departmanı tarafından denetlenmektedir.
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
Güvenlik kameraları aracılığıyla elde edilen görüntü kayıtları, hukuki uyuşmazlıkların giderilmesi veya ilgili mevzuat gereği talep halinde adli makamlar, ilgili kolluk kuvvetlerine, yetkili kişi, kurum ve kuruluşlara hukuki yetkileri çerçevesinde talep ettikleri amaçla sınırlı olarak aktarılabilecektir. Şirketimiz güvenlik kameraları aracılığıyla elde edilen görüntü kayıtlarını Kanunun 8. Maddesinde belirtilen açık rıza hukuki sebebine dayanarak aktarmaktadır.
- Kişisel veri toplamanın yöntemi ve hukuki sebebi
Şirketimizde güvenlik kameraları aracılığıyla elde edilen görüntü kayıtları verileri, Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması’ ve ‘ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’ hukuki sebeplerine dayanarak güvenlik kameraları aracılığıyla otomatik yolla işlenmektedir.
- Kişisel Verisi İşlenen İlgili Kişilerin Kişisel Verilerin Korunması Kanunu ‘nun 11. Maddesi Çerçevesinde Hakları
Başvuru Hakkı
Kişisel Verilerin Korunması Kanunu’nun 11. maddesi uyarınca, kişisel verisi işlenen ilgili kişiler Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi Kişisel Veri Sahibi Başvuru Formu aracılığıyla Şirket'imize başvurarak kendisi ile ilgili aşağıda yer alan konularla ilgili taleplerde bulunabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bunların silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle veri sahibinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
Bu kapsamda kişisel verisi işlenen ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini iletebilmeleri ve sahip oldukları haklarını kullanabilmeleri için öncelikle Şirketimize başvurmaları zorunludur. Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verisi işlenen ilgili kişiler Şirketimize başvurmadan Kurula şikayet yoluna veya doğrudan yargı yoluna gidemezler. Şirketimize başvurusu zımnen veya açıkça reddedilen kişisel verisi işlenen ilgili kişiler Kişisel Verileri Koruma Kurumuna şikayette bulunabilir veya doğrudan yargı yollarına başvurabilir.
Başvuru Hakkının Kapsamı Dışında Kalan Durumlar
Kişisel Verilerin Korunması Kanunu’nun 28. maddesi gereğince, aşağıdaki hallerde kişisel verisi işlenen ilgili kişilerin haklarını ileri sürmeleri mümkün olmayacaktır:
- Kişisel verilerinin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi
- Kişisel verilerinin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
- Kişisel verilerinin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kişisel Verilerin Korunması Kanunu’nun 28. maddesinin 2. fıkrası gereğince kişisel verisi işlenen ilgili kişiler, zararın giderilmesini talep etme hakkı hariç olmak üzere, kişisel verisi işlenen ilgili kişilerin haklarını ileri sürmeleri mümkün olamayacaktır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel verisi işlenen ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Cevap Verme Usulü
Şirketimiz kişisel verisi işlenen ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü teknik ve idari tedbirleri almıştır. Kişisel Verilerin Korunması Kanunu’nun 13. maddesine uygun olarak Şirket'imiz, kişisel verisi işlenen ilgili kişilerin yapmış olduğu başvuru taleplerini, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Şirketimiz, kişisel verisi işlenen ilgili kişilerin başvurularını kabul edecek veya gerekçesini açıklayarak reddedecektir. Şirketimiz, cevabını kişisel verisi işlenen ilgili kişilere yazılı olarak veya elektronik ortamda bildirecektir. Kişisel verisi işlenen ilgili kişinin talebinin kabul edilmesi halinde Şirketimiz tarafından talebin gereği en kısa sürede yerine getirilecektir ve kişisel verisi işlenen ilgili kişiye bilgi verilecektir. Kişisel verisi işlenen ilgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirketimiz tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez. Başvurunun, Şirketimizin hatasından kaynaklanması halinde alınan ücret kişisel verisi işlenen ilgili kişilere iade edilir.
Kişisel Verilerin Korunması Kanunu’nun 13. maddesi gereğince, bu haklarınıza ilişkin taleplerinizi Şirket’e yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle iletebilirsiniz. Bu kapsamda yapacağınız talepler için kullanabileceğiniz Hapimag Turistik Yatırım ve Ticaret Anonim Şirketi Kişisel Veri Sahibi Başvuru Formu’na https://www.hapimagseagarden.com/ adresinden ulaşabilirsiniz. Başvuru formlarını ıslak imzalı veya elektronik imzalı olarak işbu Aydınlatma Metnini’nin 1. Maddesinde belirtilen Şirket’in merkez adresine iletebilirsiniz veya işbu Aydınlatma Metni’nin 1. Maddesinde belirtilen email adresine mail yoluyla iletebilirsiniz.