KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHA POLİTİKASI

İÇİNDEKİLER

1.GİRİŞ

2.AMAÇ VE KAPSAM

3.POLİTİKA ESASLARI TEMEL VE GENEL İLKELERİ

4.İŞLENME ŞARTLARI, AMAÇLARI, SAKLAMA VE İMHA SÜRELERİ

5.KİŞİSEL VERİLERİN AKTARIM AMACI

6.AYDINLATMA YÜKÜMLÜLÜĞÜ

7.İLGİLİ KİŞİ / VERİ SAHİPLERİNİN HAKLARI

8.KİŞİSEL VERİ VE VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

9.KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

            9.1.KİŞİSEL VERİLERİN SİLİNMESİ

            9.2.KİŞİSEL VERİLERİN YOK EDİLMESİ

            9.3.KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

10.VERBİS KAYIT YÜKÜMLÜLÜĞÜ

11.KAPANIŞ

EK – TANIM ve TARİFLER

  1. GİRİŞ

Türkiye Cumhuriyeti Anayasası’nın 20. Maddesine göre; herkes, kendisi ile ilgili kişisel verilerin korunmasını talep etme hakkına sahip olduğu bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirme, bu verilere erişme, bunların düzeltilmesini veya silmesini talep etme ve amaçları doğrultusunda kullanıp kullanılmadığını öğrenmeyi de kapsamaktadır.

İş bu Anayasal hakkın kullanılması kapsamında, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen temel yasal dayanak olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu yayımlanmıştır.

Sahia Deluxe Sapanca KVK Kanunu’na uyum konusunda gerekli özeni göstermekte ve bunu Kişisel Verilerin İşlenmesi, Saklanması ve İmha Politikası ile bir şirket politikası haline getirmektedir.  Bu nedenle veri sorumlusu sıfatıyla firmamızda tüm kişisel veriler 6698 Sayılı Kişisel Verilerin Korunması Kanuna dayalı olarak çıkarılmış olan ve 30224 sayılı Resmî Gazete’ de 28.10.17 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 5. Ve. 6. Maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve sair mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Sahia Deluxe Sapanca tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır. Kanuni kapsam dışında olan firmamızda KVKK Yönetim Sisteminin uygulanması, iletişim halinde olduğumuz tüm gerçek kişilere duyduğumuz saygı ve verdiğimiz önemden kaynaklanmaktadır.

  1. AMAÇ VE KAPSAM

Hukukun üstünlüğüne olan inancı ile Sahia Deluxe Sapanca, 6698 Sayılı KVK Kanuna göre uygun olarak yürütülen Kişisel Veri işleme faaliyetleri ve Kişisel Verilerin Korunmasına yönelik olarak benimsenen ilkeler konusunda yükümlülüklere uyumun sağlanması, otelimiz gerçekleştirdiği faaliyetler kapsamında temin edilen kişisel bilgilerin işlenmesi, aktarılması ve gizliliğin korunması  ile ilgili hususların risk temelli bir yaklaşımla değerlendirerek, stratejilerin, şirket içi kontrol ve önlemlerin, işleyiş, kural ve sorumlulukların belirlenmesi ile otel çalışanlarının bu konularda bilinçlendirmesidir. Otelimiz tarafından işlenen Kişisel Verileri Kanun hükmüne göre hareket ederek uyum süreci amaçlanmaktadır. İş bu kapsamda; çalışanlarımızın, çalışan adaylarımızın, stajyer adaylarımızın, stajyerlerimizin, otel misafirlerimizin, müşterilerimizin, potansiyel müşterilerimizin, iş ortaklarımızın ve çalışanlarının, şirket yetkililerin ve ortaklarının, aracı kuruluşlar, tedarikçilerimizin, ziyaretçilerin, acentelerin, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları, üçüncü kişiler ve otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir olarak iş ilişkisi içerisinde bulunduğumuz yurt içi – yurt dışı gerçek kişileri kapsamaktadır.

Sahia Deluxe Sapanca, nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verilerini işleme, saklama, koruma ve imha etme çerçevesinde kanunlara uygun olarak Kişisel Verilerin İşlenmesi, Saklanması ve İmha Politikasında belirtildiği gibi yönetilmektedir. Bu politika, KVKK ile ilgili mevzuatın düzenlemelerinin gerektirmesi veya Veri Sorumlusunun gerekli görmesi halinde Veri Sorumlusu tarafından değiştirilebilir.

  1. POLİTİKA ESASLARI TEMEL VE GENEL İLKELER

Sahia Deluxe Sapanca tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülebilirliği için KVK Kanunu’nun 4. Maddesi uyarınca, kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur.

  • Hukuka ve dürüstlük kurallarına uygun olma, 

Sahia Deluxe Sapanca, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verileri işleme faaliyetlerinde mevzuata uygun olarak hukuka ve dürüstlük kurallarına uygun olarak yürütür. 

  • Doğru ve gerektiğinde güncel olma, 

Sahia Deluxe Sapanca, işlenen kişisel verilerin doğruluğunu ve güncelliğini sağlamasına yönelik idari ve teknik tedbirleri alarak, gerekli süreçleri yönetir. Veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlendiği kişisel verilerin doğru ve güncel olmasını sağlar.

  • Belirli, açık ve meşru amaçlar için işlenme,

Sahia Deluxe Sapanca, kişisel veri işleme amacının açık ve kesin olarak belirlenmesine, işlenen kişisel verilerin yapılan iş veya sunulan hizmetle bağlantılı ve bu amaçlar için gerekli olmasına özen gösterir.

  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 

Kişisel veriler, Sahia Deluxe Sapanca tarafından ilgili amaç ile bağlantılı olarak gerektiği kadar işlenmektedir. Daha sonra kullanabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması sağlanmakta böylelikle veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurmaktadır.

  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme, 

Sahia Deluxe Sapanca, tarafından kişisel veriler KVK Kanunu ve ilgili mevzuatta öngörülen veya veri işleme faaliyetine ilişkin amaçların gerektirdiği süre ile sınırlı olarak saklanmaktadır.  Türk Ceza Kanunun 138. Maddesi ve KVK Kanunu’nun 4. Ve 7. Maddelerinden kaynaklanan süre sınırına uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silinip, yok edilip veya anonim hale getirilmektedir.

  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanunun 4. Maddesinde sayılan ilkeler ile 12. Maddesi kapsamında alınması gereken ve iş bu politikada belirtilen idari ve teknik tedbirler, ilgili mevzuat hükümlerine, Kurul kararlarına ve iş bu politikaya tamamen uygun hareket edilmektedir.

Veri Güvenliğine İlişkin Yükümlülükler (Madde 12)

“Veri Sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilerin hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. “

  • Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Sahia Deluxe Sapanca tarafından kayıt altına alınmakta ve söz konusu kayıtlar, hukuki yükümlülük ve belirtilen sürelere göre saklanmaktadır.
  • Kurul tarafından aksi bir karar alınmadıkça, kişisel verilerin re ’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
  • Kanunun 5. Ve 6. Maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Sahia Deluxe Sapanca tarafından re’ sen veya ilgili kişini talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta ilgili kişi tarafından Sahia Deluxe Sapanca’ ya başvurulması halinde; iletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,

SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Veri sahiplerine ait kişisel veriler, Sahia Deluxe Sapanca tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası ile (iv) müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Sahia Deluxe Sapanca’ nın meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Sahia Deluxe Sapanca’ nın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması,

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Sahia Deluxe Sapanca tarafından re’ sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir.

a)      Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

b)      Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

c)      Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

d)      Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

e)      İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

f)       Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

g)      Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, 

İlgili kişinin hakları MADDE-11 (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

        4. İŞLENME ŞARTLARI, AMAÇLARI, SAKLAMA VE İMHA SÜRELERİ

Sahia Deluxe Sapanca, kişisel verileri ve özel nitelikli kişisel verileri KVK Kanunun 5. Ve 6. Maddelerinde ortaya konulan veri işleme şartlarına uygun olarak yürütülmektedir. Sahia Deluxe Sapanca, ilgili kişilerin kişisel verilerini KVK Kanunun 5. maddesinde öngörülen aşağıda belirtilen hukuki sebeplerden en az birine dayandırılarak işlenmektedir.

 

  • Kanunlarda açıkça öngörülmesi,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Otelimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirmiş olması,
  • Bir hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, otelimizin meşru menfaatleri için veri işlenmesinin zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişini açık rızası olması,

Özel Nitelikli Kişisel Verilerin İşlenmesi

Sahia Deluxe Sapanca, öğrenilmesi halinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesini, KVK Kanunun 6. Maddesinde ortaya konulan veri işleme şartlarına uygun olarak gerçekleştirilmektedir. Özel Nitelikli Kişisel Verilerin, ilgili kişilerin açık rızası olmaksızın işlenmesi yasaktır. Ancak, sağlık ve cinsel hayat dışındaki kişisel veriler Kanunlarda ön görülen hallerde; sağlık ve cinsel hayata ilişkin kişisel verileri ise sadece kamu sağlığının korunması, Koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel veri işleme faaliyetleri için KVK Kurulu tarafından belirlenen tedbirler Sahia Deluxe Sapanca tarafından etkin bir şekilde uygulanmaktadır. Kişisel veri / Özel nitelikli kişisel veri Prosedüründe içerik, saklama ve yok etme süreleri ile birlikte belirtilmiştir.

Sahia Deluxe Sapanca, tarafından kişisel sağlık verileri, aşağıdaki şartın varlığı halinde işlenebilmektedir.  

  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu gereği; Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık verileri ayrıca spor kompleksimiz, SPA, Fitness, Yüzme havuzu kullanımı gibi bedensel sağlık gerektiren hizmetlerimizden yararlanan müşterilerimizin aldığı hizmete sağlık koşullarının uygun olup olmadığının değerlendirilmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetim amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veya kişisel veri sahibinin açık rızasının varlığı ile işlenmektedir. 
  • Özel nitelikli kişisel verilerin işlenmesi ve kaydedilmesi yönünde Sahia Deluxe Sapanca olarak en üst seviyede önlemler almış olup elektronik ortamlara özel nitelikli kişisel veriler taşınmamakla birlikte elektronik olmayan ortamlarda tutulmaktadır. Elektronik ortamlara taşınması durumunda BGYS sisteminde yer alan prosedürlere göre tedbirler alınacaktır. İş bu konu ile ilgili en üst seviyede önlemler alınmış olup veri ile ilgili saklama süresine göre imha edilmektedir. 

            Açık Rıza

 

Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Yani veri sahibinin kendisiyle ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde Sahia Deluxe Sapanca tarafından kişisel veri işleme faaliyeti yürütülür.

Sahia Deluxe Sapanca bünyesinde kişisel veriler aşağıdaki amaçlar sebebi ile işlenmektedir.

Otelimiz tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, ticari ve/veya iş stratejilerinin planlanması ve icrası, sunulan hizmetlerin yapılması ve yürütülmesi , insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi, iş ilişkisi içerisinde olunan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temini, kanunlara uyum ve kanuni gereksinimler öncelikli olarak amaçlanmış olup aşağıda detayları belirtilmiştir.

  • Misafir (Müşteri) kabul işlemlerinin gerçekleştirilmesi,
  • Kurumsal sürdürülebilirlik ve iletişim faaliyetlerinin planlanması ve yürütülmesi,
  • SPA, Fitness, Yüzme Havuzların kullanımı ve spor aktiviteleri öncesi hizmeti alan ilgili kişinin sağlık yeterliğinin belirlenmesi
  • Acil durumlarda süreçlerin yönetilmesi,
  • Bilgi güvenliği süreçlerinin yürütülmesi ve teknolojik alt yapıların oluşturulması,
  • Finans, muhasebe ve ücret işlemlerinin yürütülmesi,
  • İş ortakları ve / veya Tedarikçilerle olan ilişkilerin yönetimi,
  • Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve yürütülmesi,
  • Misafir (müşteri) müşteri ilişkileri, talep ve şikayetlerin yönetilmesi,
  • Misafir (müşteri) Wyndham üyelik süreçlerinin yürütülmesi,
  • Toplantı, etkinlik vb. taleplerin yürütülmesi ve gerçekleştirilmesi,
  • Satış, pazarlama, teklif verme faaliyetlerinin planlanması ve yürütülmesi,
  • İnsan Kaynakları süreç ve operasyonların yürütülmesi,
  • Çalışanların iç ve dış eğitim faaliyetlerinin yürütülmesi,
  • Çalışan Adayları ve Stajyer Adayları ile ilgili tüm süreçlerin yürütülmesi,
  • Çalışanlar ve Stajyerler ile ilgili tüm süreçlerin yönetilmesi,
  • Çalışanlar için İş Akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
  • Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
  • Performans değerlendirme süreçlerinin yürütülmesi,
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
  • Yabancı personel çalıştırma ve oturma izni işlemlerinin yürütülmesi,
  • İş ilişkileri ve sürekliliğinin sağlanması faaliyetlerin yürütülmesi,
  • Denetim ve Etik faaliyetlerinin yürütülmesi,
  • İç kontrol / denetim süreçlerinin yürütülmesi,
  • Misafirlerin, ziyaretçilerin ve otelin fiziksel mekân güvenliğinin sağlanması,
  • Anlaşmalı Kurum ve Kuruşlar veya İş Ortaklığı ile yapılan sözleşmeler kapsamında ilişkilerin ve iş süreçlerinin yönetilmesi,
  • Yetkili Kurum ve Kuruluşlara gerekli bilgilerin verilmesi,
  • Tüzel kişiliklerin Yönetim Kurulu Başkanı, Üyesi vb. yetkili gerçek kişilerin iş süreçlerinin yönetilmesi,
  • Hukuki iş / işlemlerin takibi ve şirketler hukukundan doğan süreçlerin yürütülmesi,
  • İlgili kişilerin taleplerinin karşılanması,
  • Risk yönetimi süreçlerinin yönetilmesi,
  • Otel işletmeciliği ile ilgili yasal mevzuat ve kanunda açıkça belirtilen “Kimlik Bilgilendirme Kanunu çerçevesinde Kolluk Kuvvetlerine bilgilendirme yapılması,
  • Veri sorumlusu operasyonlarının güvenliğinin temini,
  • Erişim Yetkileri, Yönetim ve tüm faaliyetlerinin mevzuata uygun yürütülmesi,
  • Saklama, düzeltme, arşivleme, silme, yok etme, anonimleştirme faaliyetlerinin yürütülmesi, 

Sahia Deluxe Sapanca, tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklanma ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçülerden yararlanılmaktadır. 

Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. Bent kapsamında işlem yapılır.

Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

  • Kişisel veriler, KVKK’nın 6. Maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Sahia Deluxe Sapanca nezdindeki önem derecesine göre belirlenir.
  • Verinin saklanmasının KVKK’nın 4. Maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Sahia Deluxe Sapanca’ nın meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. Maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir veya anonim hale getirilir.
  • Verinin saklanmasının KVKK’nın 5. Ve 6. Maddelerinde öngörülmüş olan istisnalardan hangisi / hangileri kapsamında değerlendirilebileceği tespit edilir.  Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Aşağıda veri saklama ve imha tablosunda belirtildiği üzere 6 aylık periyodlar ile iş bu politikada yer verilen usullere uygun olarak imha edilir.

SAKLAMA VE İMHA SÜRE TABLOSU

VERİ KAYNAĞI

SÜRE

Müşterilere (Misafir) İlişkin Kişisel Veriler

İşlem tarihinden itibaren, Sözleşme bitimi + 10 yıl

Müşteri (Misafir) İşlem Bilgileri

İşlem tarihinden itibaren, Sözleşme bitimi + 10 yıl

Tedarikçi / İş Ortaklarına İlişkin Kişisel Veriler

İşlem tarihinden itibaren, Sözleşme bitimi + 10 yıl

İnsan Kaynakları Süreçleri

(İş kanunu, SGK mevzuatı kapsamında saklanan özlük dosyasına ve İş Sağlığı ve Güvenliği faaliyetlerine ilişkin tüm veriler)

Sözleşme bitimi + 10 yıl

İnsan Kaynaklarına Başvuru Verileri

(İş – Staj Başvurusu / Başvuru kabul edilmediği takdirde adaylara ilişkin tüm veriler)

İşlem tarihinden itibaren + 2 yıl

Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Veriler

10 yıl

Muhasebe ve Finansal İşlemlere İlişkin Tüm Veriler

İşlem tarihinden itibaren, Sözleşme bitimi + 10 yıl

Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Belgeler ve bu belgelerden kaynaklı tüm veriler

İşlem tarihinden itibaren, Sözleşme bitimi + 10 yıl

Sözleşmeler ve Hukuki İşlem Verileri

İşlem tarihinden itibaren, Sözleşme bitimi + 10 yıl

Kamera Kayıtları, Görsel İşitsel Kayıtlar

2 ay

 

Kişisel veriler aksine bir kesinleşmiş mahkeme kararı veya ihtiyati tedbir kararı bulunmadıkça belirtilen hususlar dikkate alınarak yukarıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise imha edilecektir.

  1. KİŞİSEL VERİLERİN AKTARIM AMACI

Kişisel veri aktarımlarında uygulanacak usul ve esaslar KVK Kanunu’nun 8. Ve 9. Maddelerinde belirtilmiştir.

Yurt İçi Aktarım; Sahia Deluxe Sapanca tarafından KVK Kanununun 8. Maddesi gereğince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarına uygun olarak hareket edilmektedir. Kişisel verilerin KVKK veya ilgili mevzuat gereği idari ve adli kurum ve kuruluşlara aktarımını zorunlu kıldığı durumlar saklı kalmak üzere, Sahia Deluxe Sapanca tarafından ilgili kişilere ait kişisel veriler ilgili kişinin açık rızası olmaksızın başka kişilere aktarılmaktadır. KVKK’ nın 5. Ve/veya 6. Maddesinde sayılı huşuların söz konusu olduğu durumlarda hukuka uygunluk sebebi varlığından dolayı açık rıza aranmaksızın kişisel verileriniz yasal çerçevede ilgili kurum ve kuruluşlara aktarılacaktır.

İş bu aktarım ile ilgili veri sahibini aydınlatma yükümlülüğünü yerine getirmekte olup buna göre aktarım yapılabilecek kurum, kuruluş ve/veya kişiler aşağıda belirtilmiştir. 

Yurt Dışına Aktarım; Sahia Deluxe Sapanca tarafından KVK Kanunun 9. Maddesi gereğince, veriler kişisel veri işleme şartlarına uygun olarak ve aktarım yapılacak ülkenin KVK Kurulu tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulunun izninin bulunması ile yurtdışına aktarılabilir. KVKK ve ilgili mevzuatta öngörülen şartlara uygun ve gerekli güvenlik tedbirlerini alarak ve ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarılabilir. 

Aktarım Yapılan Kurum, Kuruluşlar ve Kişiler; Sahia Deluxe Sapanca, kişisel verileri İş Hukuku, Borçlar Hukuku, Gelir Vergisi Kanunu, Ticaret Kanunu, Özel istihdam büroları yönetmeliği, ve ürün / hizmetlerimiz ile ilgili diğer tüm mevzuat çerçevesinde sayılı mevzuat gereği ilgili kamu kurum ve kuruluşlarla, yetkili mercilerle,  vergi daireleri, iş yeri müfettişleri, İş-Kur, Bölge Çalışma ve SGK başta olmak üzere idari kurum ve kuruluşlarla, talep olması halinde mahkemelerle ve diğer resmi – adli mercilerle paylaşılabilir.  Bunlar dışında kişisel verilerinizi KVKK 8. Ve 9. Maddesine aykırı olmamak ve ilgili mevzuatta belirtilen tüm güvenlik önlemlerini almak kaydıyla, Sahia Deluxe Sapanca Yönetim Kurulu üyelerinin ortak olduğu diğer tüm şirketler, yurt içindeki ve/veya yurt dışındaki iş birliği içerisinde olduğumuz iş ortaklarına, tedarikçilere, iştiraklerine, dışarıdan destek alınan hukuk bürosu, talep olması halinde mahkemelere ve diğer resmi – adli mercilere aktarılabilir.

Amaçları;

·         Sözleşmelerden kaynaklanan hakların kullanılması ve yükümlülüklerin yerine getirilmesi,

·         Hukuki iş ve işlemlerin yürütülmesi ve takibi,

·         Ürün ve hizmet verilen konularla ilgili işlemlerin yürütülmesi,

·         İş ortaklığı sebebi ile doğabilecek iş faaliyetlerinden dolayı işlemlerin yürütülmesi,

·         İşlenebilecek olan kişisel veriler, ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabilir.

·          

Kişisel Verilerin Aktarıldığı Kişi Grupları

Kişisel veriler, politikada yer alan “Kişisel Verilerin İşleme Amaçları” doğrultusunda faaliyetin niteliğiyle bağlantılı olarak ticari ve iş faaliyetlerinin sebebiyle tüm iş akışları için;

İş Ortakları: Sahia Deluxe Sapanca ticari faaliyetlerini yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar,

Tedarikçiler; Sahia Deluxe Sapanca’ nın ticari faaliyetlerinin yürütülmesi kapsamında emir ve talimatlara uygun temelli olarak Sahia Deluxe Sapanca’ ya ürün ve hizmet sunan taraflardır. Otelin tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin şirkete sunulmasını sağlamak amacıyla sınırlı olmak,

Vekalet İçerisinde Olduğumuz Gerçek ve Tüzel Kişiler; Sahia Deluxe Sapanca, ticari ve iş akış faaliyetleri sebebi ile kamu, kurum ve kuruluşlarında hizmetin devamlılığı için alınan vekaletnamelerle faaliyetlerin yerine getirilmesi,

Hukuken Yetkili Kamu Kurum ve Kuruluşlar; İlgili mevzuat hükümlerine göre şirketin bilgi ve belge almaya yetkili kamu kurum ve kuruluşları içermektedir. İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak,

Hukuken Yetkili Özel Hukuk Kişilerine; İlgili mevzuat hükümlerine göre şirketten bilgi ve belge almaya yönelik özel hukuk kişilerini içermektedir. İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak aktarılabilmektedir. 

KVK Kanunun 28. Maddesi gereğince aşağıdaki hallerin KVK Kanunun kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır.

·         Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

·         Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

·         Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbar faaliyetleri kapsamında işlenmesi,

·         Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,

KVK Kanunun 8/2 maddesi gereğince; aşağıdaki zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır.

·         Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

·         Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

·         Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

·         Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması, 

  1. AYDINLATMA YÜKÜMLÜLÜĞÜ

Sahia Deluxe Sapanca, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin (ilgili kişi) bilgilendirilmesini sağlamak için gerekli aydınlatma yükümlülüğünü yerine getirmektedir.

·         Veri Sorumlusu olarak Otelimizin Unvanı,

·         Kişisel verilerin hangi amaçla işleneceği,

·         İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

·         Kişisel veri toplamanın yönetimi ve hukuki sebebi,

·         Veri sahibi / ilgili kişi hakları;

Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı bir yükümlülük değildir. İlgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarının bulunması durumunda veri sorumlusu yani şirketimiz, aydınlatma yükümlülüğünü yerine getirmektedir. Çünkü aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilen bir yükümlülüktür. Otelimizin hizmet binası içerisinde güvenlik kameraları vasıtasıyla güvenliğin sağlanması, kanunlarda öngörülen amaçlarla görüntü kaydı yapılmaktadır, kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (ör: tuvaletler) izlemeye tabi tutulmamaktadır ve içerisinde katmanlı aydınlatma yöntemi uygulanmaktadır. Otelimiz tarafından Kanunun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. BGYS kapsamında ilgili prosedürler belirtilmiştir. 

Otelimiz tarafından güvenliğin sağlanması ve bu Politika’ da belirtilen amaçlarla, otelimiz tarafından hizmet binamızın içerisinde kalındığı süre boyunca talep eden misafirlerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kurum ve kuruluşlar tarafından talep edilmesi veya otel içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir. 

Kişisel verileriniz, aşağıda belirtilen hal ve durumlarda toplanmaktadır.

-          Otel rezervasyonu, giriş ve çıkış tarihleriniz,

-          Otele giriş ve/veya konaklama sırasında otel barından veya restoranından yeme / içme, ödeme,

-          Talep, istek, şikâyet ve/ veya anlaşmazlıklar,

-          Rezervasyonlar (Düğün, toplantı vb.)

-          E-posta üzerinden teklif, promosyon vb. bilgilendirmeler,

-          Tur ve seyahat acenteleri rezervasyon sistemleri ve diğerleri üzerinden yapılan rezervasyon bilgilerinin tarafımıza aktarılması,

-          Online Formlar (toplantı teklif formu vb. Sahia Deluxe Sapanca’ ya ait sayfalar üzerinden)

-          Öneri 

KVK Kanunu’nun 11. Maddesi gereğince Otelimize başvurarak aşağıda yer alan konularda talepte bulunulabilir. 

  • Kişisel verilerin işlenip işlenmediğini öğrenmek
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığını öğrenmek
  • Yurt içinde ve yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek
  • Kişisel verilerin yanlış veya eksik işlenmiş olması halinde bunların düzeltilmesini istemek veya yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek
  • Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek

Rıza gerektirmeyen haller; 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 5. Maddesinin 2. fıkrası uyarınca, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusu sıfatıyla Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusu olan şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması, şirketinin açık rıza almaksızın kişisel verileri işleyebilme hakkı mevcuttur ve yayımlanan veya kamuya açıklanan ya da kanunlarda yer alan açıklık ilkesi uyarınca resmi sicillerde veya bilançolar ile faaliyet raporlarında yer alan veya kanunlardaki hükümler gereği kamunun aydınlatılması bakımından açıklamakla yükümlü olunan veriler ile şirket tarafından tabi olduğu mevzuattan kaynaklanan kanuni yükümlülüklerinin yerine getirilmesi için ve/veya yasal zorunluluklar nedeniyle ve/veya kanunlarda sırları talep edebilecek kişilere Verilerin aktarılması yükümlülüğünün yerine getirilmesi için yapılacak Veri açıklama, kullanım ve aktarımlarının şirketin sır saklama yükümlülüğüne tabi olmadığını ve bu veriler için ayrıca bir muvafakatname alınmasına gerek kalmaksızın şirket söz konusu Verileri ilgili kişilere açıklamaya, vermeye, işlemeye ve aktarmaya yetkilidir.

  1. İLGİLİ KİŞİ / VERİ SAHİPLERİNİN HAKLARI

İlgili Kişi / Veri Sahiplerinin kişisel verilerine ilişkin taleplerini KVK Kanunu’nun 13. Maddesine uygun olarak, KVK Kanunu’nun 11. Maddesinde sayılan haklarına ilişkin taleplerini bu amaçla hazırlanan “Veri Sahibi (İlgili Kişi) Başvuru Formu” nda belirtilen yöntemler veya Veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 5. Maddesi kapsamındaki diğer başvuru yöntemleriyle Sahia Deluxe Sapanca ’ya iletmeleri durumunda söz konusu talep en geç 30 (otuz) gün içinde sonuçlandırılmaktadır.

Kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığını öğrenme, yurt içinde ve yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirmesini isteme, KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

Sahia Deluxe Sapanca, başvuruda bulunan kişinin ilgili kişi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir ve ilgili kişinin başvurusunda yer alan hususları netleştirmek adına, ilgili kişiye başvurusu ile ilgili soru yöneltebilir. Başvuru ve cevap verme usulüne ilişkin detaylar “Veri Sahibi (İlgili Kişi) Başvuru Formu” nda yer almaktadır. www.sahiadeluxe.com internet sitemizde Başvuru Formuna erişilebilir. 

İlgili kişi başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması durumlarında, Sahia Deluxe Sapanca tarafından gerekçesi açıklanarak talep reddedilecektir.

  1. KİŞİSEL VERİ VE VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

KAYIT ORTAMLARI

Kişisel veriler, Sahia Deluxe Sapanca tarafından aşağıda listelenen ortamlarda kanunlara uygun olarak idari ve teknik tedbirlere uygun güvenli bir şekilde saklanır.

Elektronik Ortamlar; Sunucular, Yazılımlar, Cihazlar, Donanımlar, Taşınabilir Bellekler, Fotokopi Makinesi, Kameralar, WİFİ vb.

Fiziksel Ortamlar; Birim Dolapları, Arşiv vb.

TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Sahia Deluxe Sapanca tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır.

  • İş bu politikanın takibinin gerçekleştirilmesi ve gereken durumlarda güncellemesi kapsamında Yönetim Kurulu Üyelerinin onayına sunulması,
  • Kişisel verilerin korunması, işlenmesi ve imhası ile ilgili iş bu politikanın dışındaki diğer politika ve prosedürlerin ilgili şirket birimleriyle eş güdümlü halinde oluşturulması,
  • Politika ve prosedürlerin uygulanması için gerekli görev dağılımının yapılması ve Yönetim Kurulu Üyelerinin onayına sunulması,
  • KVK Kanunu’nun 12. Maddesi gereğince alınan Teknik ve İdari Tedbirlerin uygulanmasının takip edilmesi ve denetiminin planlanması,
  • İlgili kişiler tarafından yapılan başvuru ve taleplerle ilgili süreçlerin takibinin yapılması ve ortaya çıkabilecek sorunların çözümü için gerekli koordinasyonun sağlanması,
  • KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususların tespiti ve uygulamanın takibinin yapılması,
  • KVK Kurumu ile olan ilişkilerin yönetilmesi, kapsamında yetkili ve sorumludur.

İDARİ TEDBİRLER

Sahia Deluxe Sapanca, İdari Tedbirler kapsamında;

  • Kişisel verilerin korunması kurumsal bir şirket politikası haline getirilmiştir. Veri işleme faaliyetlerinin farklı aşamalarına ilişkin ayrıca kurumsal politikamızla bağlantılı görev tanımları, organizasyon şeması ve prosedürler hazırlanmaktadır.
  • Hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, iş bu durumu en kısa sürede ilgilisine aynı zamanda KVK Kuruluna bildirir.
  • KVK Kanunu’na uyum için tespit edilen gerekliliklerin sağlanması için iş birimleri bazında uygulama kuralları belirlenmekte, bunların sürekliliğinin sağlanması için gerekli idari tedbirleri şirket içi eğitimler ile verilmektedir.
  • Sahia Deluxe Sapanca, çalışanlarına kişisel verilerin korunması ve veri güvenliği kapsamında eğitimlerini vermiş olup gerekli aydınlatmayı sözlü ve yazılı olarak sunmuştur.
  • Kişisel veri aktarımının söz konusu olduğu durumlarda, kişisel verilerin aktarıldığı taraflar ile KVK Kanunu uyarınca kişisel verilerin güvenliği için yerine getirilmesi gereken yükümlülükleri içeren sözleşmeler / taahhütler imzalanmaktadır.
  • İş Akdi ve iş disipline uygun şekilde etik kuralları ön planda tutan vizyonu ile elektronik olmayan ortamda saklanan kişisel verilerin tedbirleri detaylı şekilde güvenlik önlemleri alınmış, çalışanlara aktarılmıştır.
  • Kişisel Veri ve Bilgi Güvenliği Yönetim Sistemi gereği politikalar, prosedürler ve takibi yapılan fiziki ortamlara ilişkin gerekli önlemler alınmaktadır.
  • Kişisel Veri / Özel Nitelikli Kişisel Verilerin güvenliği BGYS kapsamında prosedürler ile belirlenmiş ve alınmıştır.
  • Sahia Deluxe Sapanca, şirket içi görevlendirdiği kişi/kişiler tarafından Kişisel Veri Envanteri ve Varlık Envanteri işlenmekte ve güncel tutulmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel, deprem vb.) karşı prosedürün belirlenmiş olmasıyla birlikte veri içeren ortamların güvenliği sağlanmaktadır.
  • İlgili kişilerin özel hayat mahremiyeti gereği tüm kişisel veriler mümkün olduğunca azaltılmaktadır. İlgili kişilere yönelik aydınlatma yükümlülüğü yerine getirilmektedir.
  • Ticari gerekliliklerle kişisel verilerin korunması arasındaki dengenin varlığı gözetilmektedir. Böylelikle süreç bazında riskler değerlendirilmektedir. 

TEKNİK TEDBİRLER

Sahia Deluxe Sapanca, teknik tedbirler kapsamında;

  • Teknik konularda yeterli uzmanlık düzeyinde personel istihdam edilebilir ya da yeterliliği ve uzmanlığa sahip teknik ihtiyaca KVK Kanunu’na göre hizmet verebilecek iş ortakları ile anlaşılabilir. İş bu iş ortaklıkları özellikle KVK Kanunu kapsamında sözleşmeler ile sağlanılmaktadır.
  • BGYS Bilgi Güvenliği Yönetim Sistemi kapsamında ekip organizasyonu oluşturmuş olup gerekli iç kontrollerini yapar.
  • Bilgi Güvenliği Yönetim Sistemi kapsamında; bilgi güvenliği organizasyonu, insan kaynakları ve son kullanıcı güvenliği, varlık- risk yönetimi, erişim- fiziksel çevre – işletim güvenliği, ihlal olay, iç denetim ve ilgili politika ve prosedürler ile teknik olarak gerekli tedbirleri almaktadır.
  • Verilerin şirket dışına sızmasını engelleyecek teknik tedbirleri oluşturmuştur.
  • İhtiyaç dahilinde sızma testi vb. hizmeti alabilir sistem zafiyetlerinin kontrolünü sağlar.
  • Erişim yetkileri ekip tarafından belirlenmiş olup kontrollerini yapmaktadır.
  • Özel Nitelikli Kişisel Veriler elektronik ortamda bulundurulmamaktadır olası bulundurulma durumlarına güvenliği BGYS kapsamında prosedürler ile belirlenmiş ve alınmıştır.
  • Kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde yöntemler ile korunur.
  1. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

Sahia Deluxe Sapanca, tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelikte sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Sahia Deluxe Sapanca tarafından re’ sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilir.

Sahia Deluxe Sapanca bünyesinde kişisel veriler gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.

9.1.KİŞİSEL VERİLERİN SİLİNMESİ

Yazılımdan Güvenli Olarak (Teknik) Silme; Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır. İş bu işlem BGYS Ekibimizde belirlendiği üzere çalışan ve iş ortaklarımız ile güvenli şekilde silme işlemi yapılır. Sunuculara ekip dışında erişimi söz konusu değildir. Flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise aşağıdaki koşulların sağlanması kaydıyla kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

-          Başka herhangi bir Kişi / Kurum / Kuruluşun erişimine kapalı olması,

-          Kişisel verilere yalnızca yetkili kişiler tarafından erişilebilmesi sağlayacak şekilde gerekli her türlü idari ve teknik tedbirlerin alınması,

Not: Sahia Deluxe Sapanca, Bazı durumlarda kendisi adına kişisel verilerin silinmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılmaz hale getirilecek biçimde güvenli olarak silinir.

Kâğıt Ortamında Bulunan Kişisel Verilerin (İdari) Karartılması; Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

9.2.KİŞİSEL VERİLERİN YOK EDİLMESİ

BGYS Varlık Yönetimi Politikasında Ortamın Yok Edilmesi maddesinde de belirttiğimiz gibi; ekonomik ömrünü tamamlamış̧ olan veya tamamlamadığı halde teknik veya fiziki nedenlerle kullanılmasında yarar görülmeyecek süresi bitmiş, hizmet dışı bırakılmasına karar verilen bilgi sistem cihazları ile ilgili kayıt silme ve yok etme işlemleri pres makinesi vb. ekipmanlar ile BGYS Koordinatör / IT tarafından gerçekleştirilir.

Fiziksel Yok Etme:

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kâğıt ve mikrofiş ortamındaki verilerin yok edilmesi de kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.

Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Bilgi Güvenliği Yönetim Sistemi Politikasında konu ayrıntılı olarak işlenmiştir.

Bilgisayarların sabit diskleri dışında hassas, kişisel veri, özel nitelikli kişisel veri, gizli vb. veri bulundurma ihtimali olan diğer depolama ortamları, ortam türüne bağlı olarak aşağıda yer alan yöntemlerden biri kullanılarak yok edilebilir. Aşağıdaki işlemlerin işlev seçimi BGYS Koordinatör / IT tarafından karar verilir ve uygulanır.

a)      Ağ Cihazları (Anahtarlama Cihazı, Yönlendirici vb.)

Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Yukarıdaki ortamların yok edilmesi maddesinde uygun bulunan yöntemlerle yok edilme işlemi yapılır.

b)      Flash Tabanlı Ortamlar

Üreticinin önerdiği yok etme yöntemi ile ya da ortamların yok edilmesi maddesinde uygun bulunan yöntemlerle yok edilme işlemi yapılır.

c)      Manyetik Bant ve Manyetik Disk gibi Üniteler

BGYS Koordinatör / IT tarafından ortamların yok edilmesi maddesinde uygun bulunan yöntemlerle yok edilme işlemi yapılır.

d)      Optik Diskler

CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme, parçalama gibi fiziksel yok etme yöntemleriyle yok edilir.

Yukarıda sayılan durumlar gerçekleşmesi sırasında Sahia Deluxe Sapanca; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

9.3.KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Sahia Deluxe Sapanca tarafından kişisel verilerin anonim hale getirilmesi aşağıdaki gibidir.

Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.

Değişken Çıkartma

İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkartılmasıdır. İş bu yöntem aynı zamanda veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılır. 

Bölgesel Gizleme

Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.

Genelleştirme

Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesidir. Örneğin; Çalışanlar doğum tarihlerinin tek tek göstermeksizin x yaşında z kadar çalışan bulunduğunun belirtilmesi,

Kayıtları Çıkartma

Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkarılır saklanan veriler anonim hale getirilmektedir. Örneğin, bir şirkette tek kıdemli müdür var ise bu kişiye ait verilerin birbirleri ile aynı kademede bulunan çalışanların kıdem, maaş̧ ve cinsiyet verilerinin tutulduğu kayıtlardan çıkarılması ile kalan veriler anonim hale getirilebilecektir.

Alt Üst Sınır Kodlama / Global Kodlama

Önceden tanımlanmış kategorilerin yer aldığı bir veri gurubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmesi, aynı kategori içinde kalan değerler birleştirilir.

 

10.  VERBİS KAYIT YÜKÜMLÜLÜĞÜ

Sahia Deluxe Sapanca, veri sorumlusu olarak kayıt olmak zorunda olduğu ve veri işleme faaliyetleri ile ilgili tüm bilgileri beyan ederek kayıt sistemine Veri Sorumluları Sicili (VERBİS) kayıt detaylarında belirtildiği şekilde kayıt olur ve bu kayıtları güncel tutar.

11.  KAPANIŞ

Bu Politika dokümanı, Sahia Deluxe Sapanca Yönetim Kurulu Üyeleri tarafından onaylandığı andan itibaren yürürlüğe girer. İş bu Politikanın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da “Sahia Deluxe Sapanca Yönetim Kurulu Üyeleri onayıyla iş bu Politika içerisindeki değişiklik yapılabilecek ve yürürlüğe konabilecektir.

İş bu Politika her halükârda yılda bir kez gözden geçirilir, gerekli değişiklik varsa Yönetim Kurulu Üyelerinin onayına sunularak güncellenir. Kişisel Verilerin İşlenmesi, Saklanması ve İmha edilmesine ilişkin yürürlükte bulunan mevzuat ile Sahia Deluxe Sapanca KVK Politikası arasında çelişki bulunması halinde Sahia Deluxe Sapanca yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul eder.

EK- TANIM ve TARİFLER

TANIMLAR

TARİFLER

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim Hâle

Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

İlgili Kişi

Kişisel verisi işlenen gerçek kişiyi,

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla (saklama sürelerinin bitiminden her 6 (altı) ayda bir Haziran ve Aralık ayları) resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi,

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Politika

Kişisel verilerin işlenmesi, saklaması ve imha politikası,

Özel Nitelikli

Kişisel Veri

Kişilerin; ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

Kurul

Kişisel Verileri Koruma Kurulunu,

Kurum

Kişisel Verileri Koruma Kurumunu,

Kanun

07.04.2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Anayasa

9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete’ de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası

Veri İşleyen

Veri sorumlusu olan Sahia Deluxe Sapanca’ nın verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri Kayıt Sistemi ve Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi,

Veri Sorumlusu

Sahia Deluxe Sapanca Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan ve ilgili veri sahibine gerekli bilgiyi sağlayan gerçek veya tüzel kişiyi ifade eder.

Kişisel Verilerin

 İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Veri İşleme Envanteri

Sahia Deluxe Sapanca’ nın iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırıldığı envanter,

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Sahia Deluxe Sapanca bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, server gibi diğer dijital ortamlar

Elektronik Olmayan Ortamlar

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Sahia Deluxe Sapanca bünyesindeki kâğıt vb. üzerinde tutulduğu ortamlar

Şirket Hissedarı / Yetkilileri

Sahia Deluxe Sapanca’ nın yönetim kurulu üyesi ve diğer yetkili gerçek kişiler

Çalışan

Sahia Deluxe Sapanca’ ya bağımlı olarak belirli veya belirsiz süreli iş gören tüm gerçek kişiler

Çalışan / Stajyer Adayı

Sahia Deluxe Sapanca’ ya iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini paylaşan gerçek kişiler

Stajyer

Sahia Deluxe Sapanca’ da belirli sürelerde staj yapan tüm gerçek kişiler

Acente

Sahia Deluxe Sapanca

Ziyaretçi

Sahia Deluxe Sapanca’ nın hizmet binalarını çeşitli amaçlarla ziyaret eden gerçek kişiler

Üçüncü Kişiler

Otelimizin yukarıda belirtilen taraflar arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (ör: Kefil, Acil Durumda Aranacak Kişi, Yakınlar vb.)

İş Ortağı Çalışanları

Sahia Deluxe Sapanca ile iş ortağı çalışanları, bu şirket/kurum/kuruluş hissedarlar ve yetkilileri dahil olmak üzere tüm gerçek kişiler

Müşteri (Misafir) ve

Potansiyel Müşteri (Misafir)

Herhangi bir sözleşme ilişkisi olup olmadığına bakılmaksızın Sahia Deluxe Sapanca’ nın sunmuş olduğu hizmetleri kullanmış, kullanan veya kullanacak olan tüm gerçek kişiler

Veri Sahibi

Başvuru Formu

Sahia Deluxe Sapanca bünyesinde kişisel verileri işlenen ilgili kişilerin KVK Kanunun 11. Maddesinde açıklanan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu

Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi

Kişisel verilerin ilgili kullanıcılar ve hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’ de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkındaki Tebliğ

Yönetmelik

30224 sayılı Resmî Gazete’ de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik