VALÖR TURİZM KONGRE ORGANİZASYONLARI
TİC. LTD. ŞTİ
KİŞİSEL VERİLERİ İŞLEME,
SAKLAMA VE İMHA POLİTİKASI
Doküman Adı:
VALÖR TURİZM KONGRE ORGANİZASYONLARI TİC. LTD. ŞTİ.
KİŞİSEL VERİLERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI
Onaylayan:
VALÖR TURİZM KONGRE ORGANİZASYONLARI TİC. LTD. ŞTİ MÜDÜRLER
KURULU
Versiyon:
1.0
Yürürlük Tarihi:
30.06.2020
İÇİNDEKİLER
I...... GİRİŞ. 4
II..... KAPSAM... 4
a..... Kişisel Veri Sahipleri 4
b..... Kişisel Veri Kategorileri 5
III....... GÜNCELLEME - ERİŞİM... 6
IV....... KİŞİSEL VERİLERİN İŞLENMESİ 7
a..... Kişisel Veriler Mevzuatta Öngörülen İlkelere Uygun Olarak
İşlenmektedir. 7
i...... Hukuka ve Dürüstlük Kuralına Uygunluk. 7
ii..... Kişisel Verilerin Doğru ve
Gerektiğinde Güncel Olmasını Sağlama. 7
iii....... Belirli, Açık ve Meşru
Amaçlarla İşleme. 7
iv.... İşlendikleri Amaçla Bağlantılı,
Sınırlı ve Ölçülü Olma. 7
v..... İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için
Gerekli Olan Süre Kadar Muhafaza Etme 7
b..... Kişisel Verilerin İşlenme Şartları 8
i...... Kişisel Veri Sahibinin Açık Rızası 8
ii..... Kanunlarda Açıkça Öngörülmesi 8
iii....... Fiili İmkânsızlık Sebebiyle
İlgilinin Açık Rızasının Alınamaması 8
iv.... Sözleşmenin Kurulması veya
İfasıyla Doğrudan İlgi Olması 8
v..... Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi 8
vi.... Kişisel Verinin, Kişisel Verinin
Sahibi Tarafından Alenileştirilmesi 8
vii....... Bir Hakkın Tesisi veya
Korunması için Veri İşlemenin Zorunlu Olması 8
viii...... Şirket’in Meşru Menfaati için
Veri İşlemenin Zorunlu Olması 9
V.... ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ 9
VI....... KİŞİSEL VERİ SAHİPLERİNE KARŞI
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ 9
VII...... KİŞİSEL VERİLERİN İŞLENDİĞİ
ÖZEL DURUMLAR. 10
VIII..... KİŞİSEL VERİLERİN VE ÖZEL
NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMACI 10
IX....... KİŞİSEL VERİLERİN AKTARIMI 12
a..... Kişisel Verilerin Aktarılabileceği Kişiler. 12
b..... Kişisel Verilerin Aktarılmasının Şartları 13
c..... Özel Nitelikli Kişisel Verilerin Aktarılmasının Şartları 14
X..... KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEKNİK VE İDARİ
TEDBİRLER. 14
XI....... KİŞİSEL VERİLERİNİZİN
SAKLANMASI VE İMHASI 14
XII...... HAKLARINIZ - TALEPLERİNİZ. 17
I. GİRİŞ
07.04.2016 tarihinde
yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
uyarınca, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
bilgi kişisel veri olarak tanımlanmakta ve kişisel verilerin korunması ve
hukuka uygun olarak işlenmesi için önemli adımlar atılması gerekmektedir.
Valör Turizm Kongre
Organizasyonları Tic. Ltd. Şti olarak (‘Şirket’) kişisel verilerin 6698 Sayılı
Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuata uyumun
tam olarak sağlanması ve kişisel verilerin hukuka uygun olarak işlenmesi ve
korunması önceliklerimiz arasındadır.
Şirket’in kişisel
verilerin işlenmesine ilişkin olan ya da olmayan tüm faaliyetlerini, Şirket
olarak kişisel veri sahiplerine karşı sorumluluğumuzun bilincinde olarak
yürütülmekte, tüm ilgililer tarafından da bir bütün olarak Şirket’in Kişisel
Verileri İşleme, Saklama ve İmha Politikası’na (Politika) uygun davranılması ve
azami hassasiyet gösterilmesi gerekmektedir.
II. KAPSAM
İşbu Politika, Şirket’in
kişisel veri işleme faaliyetleri hakkında tüm ilgililerin bilgilendirilmesi ve
mevzuatın gereği olan şeffaflığın sağlanması amacıyla hazırlanmıştır. Şirket
Politikası, ilgili mevzuatın düzenlediği kuralların Şirket uygulamaları
çerçevesinde somutlaştırılması ve şeffaf olarak paylaşılmasından ibarettir.
İşbu Politika, tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere
ilişkindir.
a. Kişisel
Veri Sahipleri
Söz konusu kişisel veri
sahipleri aşağıdaki tabloda belirtilmiştir.
Kişisel Veri Sahibi |
Açıklama |
Çalışanlar,
Stajyerler |
Şirket ile olan istihdam ilişkisi
hâlihazırda devam eden çalışanlarımızın yanında; kişisel verileri
işlenmeye/muhafaza edilmeye devam eden eski çalışanlarımız; deneyim kazanmak
amacıyla Şirket’imizde staj yapmış olan veya stajı hâlihazırda devam eden
stajyerlerimiz |
Çalışan Adayları,
Stajyer Adayları
|
Herhangi bir vesileyle Şirket’e iş
başvurusunda / staj başvurusunda bulunan, istihdam veya deneyim amacıyla
özgeçmişlerini ve ilgili diğer bilgileri Şirket’in incelemesine sunan çalışan
adayı / stajyer adayı gerçek kişiler. |
İşbirliği Yapılan
Paydaşların Yetkilileri
(Bkz. Tedarikçiler) |
Şirket’in her türlü iş ilişkisi
içerisinde bulunduğu iş ortağı, tedarikçi gibi kurumlarda (ancak bunlarla
sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dâhil
olmak üzere, gerçek kişiler |
Müşteriler |
Şirket’ten ürün veya hizmet alınması
nedeniyle kişisel verileri elde edilen gerçek kişiler |
Katılımcılar |
Şirket tarafından organize edilen
etkinliklere, kongrelere, çevrimiçi eğitimlere katılan gerçek kişiler |
Şirket Hissedarı |
Şirket Hissedarı gerçek kişiler |
Şirket Yetkilisi |
Şirket Yönetim Kurulu Üyeleri ve Diğer
Yetkili Gerçek Kişiler |
Tedarikçiler |
Şirket’in faaliyetlerini yürütürken,
Şirket’in talimatlarına uygun olarak sözleşmesel ilişkiye dayanarak, Şirket’e
hizmet sunan tarafların; yetkilisi veya hissedarı olan gerçek kişiler. |
Üçüncü Kişiler |
Şirket’in faaliyetleri kapsamında;
çalışan, eski çalışan, tedarikçi, müşteri, ziyaretçi kategorilerine dâhil
olmayan diğer gerçek kişiler. |
Ziyaretçiler |
Fiziki olarak Şirket’e veya Şirket’e ait
işyerlerine çeşitli amaçlarla gelen veya elektronik ortamda Şirket’e ait
siteleri ziyaret eden gerçek kişiler. |
b. Kişisel
Veri Kategorileri
Şirketimizin faaliyetleri
çerçevesinde işlenen veri kategorileri aşağıdaki tabloda belirtilmiş, ayrıca
VERBİS’te ilan edilmiştir.
Kimlik |
Ad soyad, Anne - baba adı, Anne kızlık
soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC
kimlik no v.b. |
İletişim |
Adres no, E-posta adresi, İletişim
adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b. |
Lokasyon |
Konum Bilgileri |
Özlük |
Bordro bilgileri, Disiplin soruşturması,
İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri,
Performans değerlendirme raporları v.b. |
Hukuki İşlem |
Adli makamlarla yazışmalardaki bilgiler,
Dava dosyasındaki bilgiler v.b. |
Müşteri İşlem |
Çağrı merkezi kayıtları, Fatura, senet,
çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi
v.b. |
Fiziksel Mekân Güvenliği |
Çalışan ve ziyaretçilerin giriş çıkış
kayıt bilgileri, Kamera kayıtları v.b. |
İşlem Güvenliği |
IP adresi bilgileri, İnternet sitesi
giriş çıkış bilgileri, Şifre ve parola bilgileri v.b. |
Risk Yönetimi |
Ticari, teknik, idari risklerin
yönetilmesi için işlenen bilgiler v.b. |
Finans |
Bilanço bilgileri, Finansal performans
bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b. |
Mesleki Deneyim |
Diploma bilgileri, Gidilen kurslar,
Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b. |
Pazarlama |
Alışveriş geçmişi bilgileri, Anket,
Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler |
Dernek Üyeliği |
Dernek Üyeliği bilgisi |
Sağlık Bilgileri |
Sağlık raporu, İş göremezlik Raporu,
Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık
bilgileri, Kullanılan cihaz ve protez bilgileri v.b. |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri |
Ceza mahkûmiyetine ilişkin bilgiler,
Güvenlik tedbirlerine ilişkin bilgiler v.b. |
İşlenen verilerin elde
edilmesi ve işlenme amaçlarına ilişkin detaylı bilgi; VERBİS’ten veya Valör
Turizm Kongre Organizasyonları Tic. Ltd. Şti Kişisel Verilerin Korunması Ve
İşlenmesi Hakkında Müşteri – Katılımcı Aydınlatma Metni, Tedarikçi Aydınlatma
Metni, İnternet Sitesi Ziyaretçi Aydınlatma Metni ve Çalışan Aydınlatma Metni
içeriklerinden edinilebilir.
III. GÜNCELLEME
- ERİŞİM
İşbu Politika, mevzuat değişikliklerine ve
değişen şartlara uyum sağlamak ve kişisel verilerin korunması ve işlenmesine
ilişkin uygulamaları doğru yansıtmak amacıyla güncellenebilir.
Politika, Şirket’in
internet sitesinde yayımlanır; talep ve şikâyetler doğrultusunda kişisel veri
sahiplerinin erişimine sunulur.
IV. KİŞİSEL
VERİLERİN İŞLENMESİ
a. Kişisel
Veriler Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmektedir.
i. Hukuka
ve Dürüstlük Kuralına Uygunluk
Şirket, kişisel verilerin
işlenmesine ilişkin mevzuatın getirdiği ilkeler ile genel güven ve dürüstlük
kuralına riayet etmektedir. Bu çerçevede, ilgili kişilerin verileri, Şirket’in
iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak
işlenmektedir.
ii. Kişisel
Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket, kişisel verilerin
işlendikleri süre boyunca doğru ve gerekli oldukları sürece güncel olması için
gerekli önlemleri almaktadır. Şirket ayrıca, belirli sürelerle kişisel
verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli teyit
çalışmalarını yürütmektedir.
iii. Belirli,
Açık ve Meşru Amaçlarla İşleme
Şirket, kişisel verileri
sadece meşru amaçlar için işlemekte; işlenme amaçlarını ortaya koymakta ve
Şirket’in meşru faaliyetleri ile bağlantılı amaçlar kapsamında işlemektedir.
iv. İşlendikleri
Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri
yalnızca iş faaliyetlerinin gerektirdiği ölçüde; belirlenen amaçlarla sınırlı
olarak işlemektedir.
v. İlgili
Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar
Muhafaza Etme
Şirket, kişisel verileri
işlendikleri amaç için gerekli olan süre boyunca; ilgili faaliyetin tabi olduğu
yasal mevzuatta öngörülen asgari sürelerle muhafaza etmektedir. Bu doğrultuda,
Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için öngörülen
süreyi tespit etmekte, belirlenen süreye uygun davranmaktadır. Yasal bir süre
mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar
saklanmaktadır. Saklama sürelerinin sonunda periyodik imha sürelerine veya veri
sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya
yok etme) ile imha edilmektedir.
b. Kişisel
Verilerin İşlenme Şartları
Kişisel veri işleme
faaliyeti, aşağıda belirtilen şartlardan birine dayanabilir. Ayrıca, kişinin
açık rızası haricinde; aşağıdaki şartlardan birden fazlası aynı kişisel veri
işleme faaliyetine dayanak oluşturabilir.
i. Kişisel
Veri Sahibinin Açık Rızası
Kişisel verilerin işlenme
şartlarından biri veri sahibinin açık rızasıdır. Açık rıza; belirli bir konuya
ilişkin, bilgilendirilmeye dayalı olarak ve kişinin özgür iradesiyle
açıklanmalıdır.
Aşağıda belirtilen
kişisel veri işleme şartlardan birinin varlığı durumunda; kişisel veri
sahibinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür.
ii. Kanunlarda
Açıkça Öngörülmesi
İlgili mevzuatta, kişisel
verilerin işlenmesine ilişkin açık bir hüküm olması halinde, veri işleme şartı
sağlanmış olur ve kişisel veri işlenebilir.
iii. Fiili
İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Kişisel veri sahibi,
fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda ise; veya kişinin
rızasına geçerlilik tanınamayacak ise; kişisel veri sahibinin ya da başka bir
kişinin hayatını veya beden bütünlüğünü korumak için kişisel verisinin
işlenmesinin zorunlu olması halinde; kişisel veriler işlenebilir.
iv. Sözleşmenin
Kurulması veya İfasıyla Doğrudan İlgi Olması
Kişisel veri sahibinin
bir sözleşmeye taraf olması; kişisel veri işlemenin bu sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili olması kaydıyla ve veri işlenmesinin
gerekli olması halinde, kişisel veriler işlenebilir.
v. Şirketin
Hukuki Yükümlülüğünü Yerine Getirmesi
Şirket’in hukuki
yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde,
kişisel veriler işlenebilir.
vi. Kişisel
Verinin, Kişisel Verinin Sahibi Tarafından Alenileştirilmesi
Kişisel veri sahibi,
kişisel verisini alenileştirmiş ise; ilgili kişisel veriler alenileştirme
amacıyla sınırlı olarak işlenebilir.
vii. Bir
Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri
sahibinin kişisel verileri işlenebilir.
viii. Şirket’in
Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Şirket’in meşru
menfaatleri için veri işlemesinin zorunlu olması halinde; kişisel veri sahibinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla; kişisel veriler
işlenebilir.
V. ÖZEL
NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel
nitelikli kişisel veriler, ırk, etnik köken, siyasi düşünce, felsefi inanç,
din, mezhep, inanç, kılık kıyafet, dernek üyeliği, vakıf üyeliği, sendika
üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti – güvenlik tedbirleri,
biyometrik ve genetik veriler olarak tanımlanmaktadır.
Şirketimiz
kanuni zorunluluk veya işin niteliği ve güvenlik gereği olanlar hariç; özel
nitelikli kişisel verileri işlememektedir. Bazı durumlarda, derneklerin üyelerine yönelik
organizasyonları kapsamında, dernek üyeliği verisi mevzuata uygun olarak
işlenebilir.
Şirket, işbu Politika’da
belirtilen ilkeler uyarınca ve Kurul’un belirleyeceği yöntemler de dâhil olmak
üzere gerekli her türlü idari ve teknik tedbirleri alarak, aşağıdaki şartların
varlığı halinde özel nitelikli kişisel verileri işleyebilir:
(a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel
veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rızası
aranmaksızın işlenebilecektir. Kanunlarda açıkça öngörülmemiş ise, ilgili özel
nitelikli kişisel verinin işlenebilmesi için kişisel veri sahibinin açık rızası
alınacaktır.
(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel
veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın
işlenebilir. Aksi halde; ilgili özel nitelikli kişisel verinin işlenebilmesi
için kişisel veri sahibinin açık rızası alınacaktır. İşlenmesi gereken özel
nitelikli kişisel veriler; ilgili mevzuat ve Şirket Politikası uyarınca; gerçek
kişilerin veya kurumların gerçek kişi yetkililerinin açık rızası doğrultusunda,
işlenme amacına uygun olarak sınırlı şekilde işlenebilir.
VI. KİŞİSEL
VERİ SAHİPLERİNE KARŞI AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ
Şirket,
Kişisel Verilerin Korunması Hakkında Kanun’un 10. maddesine ve Aydınlatma
Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e
uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu doğrultuda ilgili
kişiler; kişisel verilerin veri sorumlusu olarak kim tarafından, hangi
amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle
toplandığı; bunların hukuki sebebi ve veri sahiplerinin sahip olduğu haklara
ilişkin olarak bilgilendirilmektedir.
Valör
Turizm Kongre Organizasyonları Tic. Ltd. Şti Kişisel Verilerin Korunması ve
İşlenmesi Hakkında Müşteri - Katılımcı Aydınlatma Metni, Tedarikçi Aydınlatma
Metni, İnternet Sitesi Ziyaretçi Aydınlatma Metni ve Çalışan Aydınlatma
Metinleri, durumun gereklerine göre ilgililerine fiziki veya elektronik ortamda
ulaştırılarak veya doğrudan Şirket yetkililerinin açıklamalarıyla aydınlatma
yükümlülüğünün yerine getirilmesine yönelik olarak düzenlenmiştir.
VII. KİŞİSEL
VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
Fiziki mekân güvenliğinin
sağlanması amacıyla, Şirket binalarında ve işyerlerinde güvenlik kamerasıyla
izlenmesi ile kişisel veri işleme faaliyetlerinde bulunulmaktadır.
Şirket tarafından bina ve
işyerlerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair
Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti
yürütülmektedir.
Şirket tarafından
Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin
birden fazla yöntem (telefon, e-mail, internet sitesi) ile kişisel veri sahibi
aydınlatılmaktadır. Şirket ayrıca, Kanun’un 4. maddesine uygun olarak, kişisel
verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde
işlemektedir.
Görsel ve işitsel
kayıtlar ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika’da
sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme
alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için
yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin
mahremiyetine güvenlik amaçlarını aşan şekilde orantısız müdahale sonucu
doğurabilecek alanlarda (örneğin tuvaletler) görüntüleme yapılmamaktadır.
Güvenlik kamerası ile
dijital ortamda muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket
çalışanının erişimi bulunmaktadır. Bu kişiler gizlilik taahhütnamesi ile
eriştiği verilerin gizliliğini koruyacağını taahhüt etmişlerdir.
VIII. KİŞİSEL
VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMACI
Yukarıda
kategorileri sayılan kişisel verilerin işlenmesinin ana amaçları aşağıdaki gibidir.
- Şirket'in
insan kaynakları süreçlerinin planlanması ve yönetilmesi
- Şirket’in
ticari faaliyetlerin gerçekleştirilmesi için gerekli çalışmaların yapılması ve
buna bağlı süreçlerin yönetimi
- Şirket'in
ticari ve/veya iş stratejilerinin planlanması ve icrası
- Şirket’in
gelişim faaliyetlerinin yürütülmesi ve kurumsal kimliğin güçlendirilmesi
- Şirket’in
ticari itibarının uyandırdığı güvenin korunması
- Şirket’in
yönetim ve denetim faaliyetlerinin planlanması ve icrası
- Şirket'in
ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve
ticari-işlerinin ve işlem güvenliğinin temini
Kişisel
veriler, sayılan ana amaçlara yönelik olarak, temel hak ve özgürlükleri
gözeterek; Şirketin meşru menfaatleri doğrultusunda; amaç ile bağlantılı,
sınırlı ve ölçülü olarak; elektronik ve fiziki ortamlarda yazılı olarak,
otomatik ya da otomatik olmayan yöntemlerle işlenmektedir.
Yukarıda belirtilen ana
amaçlar, kişisel veri işleme faaliyeti ve veri konusu kişi grubuna göre
özelleşmekte ve/veya farklılaşabilmektedir. İkincil amaçlar aşağıda belirtilmiş
olup, ilgili amaçlar ayrıca, Aydınlatma Metinlerinde veri konusu kişi grubuna
ve işlenen verilere yönelik özelleştirilerek belirtilmektedir.
- Ziyaretçi
Kayıtlarının Oluşturulması Ve Takibi
- Yönetim
Faaliyetlerinin Yürütülmesi
- Yatırım
Süreçlerinin Yürütülmesi
- Ürün
/ Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Tedarik
Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Taşınır
Mal Ve Kaynakların Güvenliğinin Temini
- Veri
Sorumlusu Operasyonlarının Güvenliğinin Temini
- Talep
/ Şikâyetlerin Takibi
- Stratejik
Planlama Faaliyetlerinin Yürütülmesi
- Sosyal
Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
- Saklama
Ve Arşiv Faaliyetlerinin Yürütülmesi
- Risk
Yönetimi Süreçlerinin Yürütülmesi
- Mal /
Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
- Mal /
Hizmet Satış Süreçlerinin Yürütülmesi
- Mal /
Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal /
Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Lojistik
Faaliyetlerinin Yürütülmesi
- Firma
/ Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
- Fiziksel
Mekân Güvenliğinin Temini
- Acil
Durum Yönetimi Süreçlerinin Yürütülmesi
- Görevlendirme
Süreçlerinin Yürütülmesi
- Faaliyetlerin
Mevzuata Uygun Yürütülmesi
- Bilgi
Güvenliği Süreçlerinin Yürütülmesi
- Yetkili
Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
- Yetenek
/ Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Yabancı
Personel Çalışma Ve Oturma İzni İşlemleri
- Ücret
Politikasının Yürütülmesi
- Sözleşme
Süreçlerinin Yürütülmesi
- Performans
Değerlendirme Süreçlerinin Yürütülmesi
- Organizasyon
Ve Etkinlik Yönetimi
- İş
Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş
Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- İş
Faaliyetlerinin Yürütülmesi / Denetimi
- İş
Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- İnsan
Kaynakları Süreçlerinin Planlanması
- İletişim
Faaliyetlerinin Yürütülmesi
- İç
Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- Hukuk
İşlerinin Takibi Ve Yürütülmesi
- Finans
Ve Muhasebe İşlerinin Yürütülmesi
- Eğitim
Faaliyetlerinin Yürütülmesi
- Denetim
/ Etik Faaliyetlerinin Yürütülmesi
- Çalışanlar
İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
- Çalışanlar
İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışan
Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışan
Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan
Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
- Reklam
/ Kampanya / Promosyon Süreçlerinin Yürütülmesi
- Sponsorluk
Faaliyetlerinin Yürütülmesi
IX. KİŞİSEL
VERİLERİN AKTARIMI
Kişisel veriler ve özel
nitelikli kişisel veriler; Şirket’in hukuka uygun olan kişisel veri işleme
amaçları doğrultusunda; gerekli güvenlik önlemleri alınarak üçüncü kişilere
(üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere)
aktarabilmektedir. Şirket aktarıma ilişkin olarak Kişisel Verilerin Korunması
Hakkında Kanun’un 8. ve 9. maddesinde öngörülen düzenlemelere uygun hareket
etmektedir.
a. Kişisel
Verilerin Aktarılabileceği Kişiler
Veri
Aktarılabilecek Kişi |
Açıklama |
Veri
Aktarımının Amacı |
İş
ortaklarımız |
Şirket’in
ticari faaliyetlerini yürütürken bizzat veya diğer kişilerle birlikte çeşitli
projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu
taraflardır. Örneğin: Dernekler,
Bankalar, Tabip Odası vs. |
İş
ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla
sınırlı olarak |
Tedarikçilerimiz |
Şirket’in
faaliyetleri yürütmesi için gerekli hammadde, mal, hizmet vb. unsurları, bir
sözleşmeye dayanarak tedarik eden taraflardır.
Örneğin:
üretim için gerekli malzeme tedarikçileri; İş Sağlığı ve Güvenliği hizmet
sağlayıcıları, danışmanlar, lojistik hizmeti sağlayıcıları, mali müşavirlik
hizmeti sağlayıcıları, komünikasyon aracıları, hukuki hizmet sunucuları,
bilgi işlem hizmetleri sağlayıcıları, Konaklama hizmeti sunucuları, seyahat hizmeti sunucuları |
Şirket’in
dış kaynaklardan tedarik ettiği gerekli mal ve hizmetlerin sunulmasını
sağlamak amacıyla sınırlı olarak |
Yetkili
Kamu Kurum ve Kuruluşları |
İlgili
mevzuata göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve
kuruluşları |
İlgili
kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla
sınırlı olarak |
Yetkili
Özel Hukuk Kişileri |
İlgili
mevzuata göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri |
İlgili
özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı
olarak |
b. Kişisel
Verilerin Aktarılmasının Şartları
Kişisel veriler, veri
sahibinin açık rızasına dayanarak aktarılabilir.
Kişisel veri sahibinin
açık rızası yoksa aşağıda belirtilen şartlardan bir ya da birkaçının varlığı
halinde; kişisel veriler Şirket tarafından gerekli özen gösterilerek ve Kişisel
Verileri Koruma Kurulu tarafından öngörülen yöntemler de dâhil gerekli tüm
güvenlik önlemleri alınarak üçüncü kişilere aktarılabilecektir.
· Kişisel
verilerin aktarılmasına ilişkin ilgili faaliyetin kanunlarda açıkça
öngörülmesi,
· Kişisel
verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili ve gerekli olması,
· Kişisel
verilerin aktarılmasının Şirketin hukuki yükümlülüğünü yerine getirebilmesi
için zorunlu olması,
· Kişisel
verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla,
alenileştirme amacıyla olarak Şirket tarafından aktarılması,
· Kişisel
verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya
üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu
olması,
· Veri
sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla; Şirket’in meşru
menfaatleri için kişisel veri aktarımının zorunlu olması,
· Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin ya da bir başkasının hayatı veya beden
bütünlüğünü koruması için zorunlu olması.
Ayrıca; yukarıdaki
şartlardan herhangi birinin varlığı halinde Kişisel Verileri Koruma Kurulu
tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere kişisel
veri aktarılabilir. Yeterli korumanın bulunmaması halinde; mevzuatta öngörülen
veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki
veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve
Kurul’un izninin bulunması halinde; yabancı ülkelere kişisel veri
aktarılabilir.
Kişisel
veri sahibinin doğrudan talimat vermesi ve ilgili verileri paylaşması
neticesinde, seyahat vb. organizasyonların düzenlenmesi amacı ile elde edilen
kişisel veriler; kişinin talebi doğrultusunda yurt içi veya yurtdışına seyahat
organizasyonu düzenlenmesi kapsamında yurt içi veya yurtdışı hizmet
sağlayıcılara aktarılabilir.
İlgili kişisel veriler ayrıca, Şirketin kurumsal hesapları da
dâhil olmak üzere, kullanılan yazılım ve işletim sistemleri dolayısıyla,
dünyanın çeşitli ülkelerinde bulunan güvenli sunucularında tutulabilir.
Kişisel
verilerin aktarılabileceği üçüncü kişiler; yürürlükteki mevzuat uyarınca aksi
öngörülmedikçe ve aktarım / paylaşım amacıyla bağlı ve sınırlı olarak kişisel
verilerinizi işleyebilir. Böyle bir durumda bu kişiler, Şirket ile girdikleri
sözleşme ilişkisi bünyesinde elde ettikleri kişisel verileri korumakla yükümlüdürler.
Müşterilere
dair kişisel veriler ayrıca, hukuki sorumluluk ve yükümlülüklerimizi yerine
getirmek amacıyla resmi kurum, kuruluşlar ve yargı makamları ile yürürlükteki
mevzuata uygun olarak paylaşılabilir.
c. Özel
Nitelikli Kişisel Verilerin Aktarılmasının Şartları
Şirket, işbu Politika’da
belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu tarafından
belirlenen yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik
tedbirleri alarak ve aşağıdaki şartların varlığı halinde özel nitelikli kişisel
verileri aktarabilir.
(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel
veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rıza
aranmaksızın aktarılabilir. Aksi halde veri sahibinin açık rızası alınacaktır.
(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel
veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın
işlenebilir, bu kişilere aktarım yapılabilir. Aksi halde veri sahibinin açık
rızası alınacaktır.
Yeterli Korumaya Sahip
Yabancı Ülkelere aktarım ise, yukarıdaki (b) bölümünde sayılan şartlardan
herhangi birinin varlığı halinde mümkün olabilir. Yeterli korumanın bulunmaması
durumunda ise mevzuatta öngörülen veri aktarım şartlarına riayet edilerek
Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere
aktarım mümkün olabilir.
X. KİŞİSEL
VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirket
uhdesindeki tüm kişisel verilerin yetkisiz kişiler tarafından ele
geçirilmesini, hukuka uygun olmayan şekilde hatalı işlenmesini, ifşa edilmesini,
değiştirilmesini, silinmesini önlemek; muhafazasını ve güvenliğini sağlamak
için yürürlükteki mevzuata uygun olarak her türlü idari ve teknik tedbiri alır, alınan tedbirler
VERBİS’te gösterilir.
XI. KİŞİSEL
VERİLERİNİZİN SAKLANMASI VE İMHASI
Şirket,
kişisel verileri işlendikleri amaç için gerekli olan süre boyunca; ilgili
faaliyetin tabi olduğu mevzuatta öngörülen asgari sürelerle muhafaza
etmektedir.
Çevrimiçi organizasyonlar kapsamında elde edilen kişisel
veriler, ilgili kategori için VERBİS’te gösterilen sürelerle saklanmaktadır.
Fiziksel mekân güvenliği kayıtları kullanılan teknolojiye ve
depolama kapasitesine bağlı olarak değişkenlik gösterebilmekle beraber en fazla
1 ay süre ile saklanmaktadır.
Kişisel veriler; Şirket bünyesinde
(a) Elektronik olarak; faaliyetin
niteliği ile uygun düştüğü şekilde, yetkili kişilerce erişim sağlanabilen şirket
bilgisayarları, telefonları ve tabletlerinde, taşınabilir hafızalarda (CD, DVD,
USB, Harici harddisk), kurumsal e-posta kutularında; şirketin güvenli
elektronik sistemleri, veri tabanı ve bilgi güvenliği sistemlerinde; yurtdışı
merkezli sunucularında;
(b) Fiziki olarak; yetkili kişiler
tarafından erişilebilen ve ilgili birimlerce işlenen verileriniz, şirketin
merkezinde yer alan kilitli dolaplarda muhafaza edilebilir.
Şirketin arşivleri, sunucuları
ve/veya diğer sistemlerine yapılan saldırılar sonucunda veri güvenliğinin zarar
görmesi ve/veya verilerin üçüncü kişiler tarafından ele geçirilmesi/ifşası
durumunda, Şirket veri konusu müşterileri ve KVKK’yı mevzuata uygun olarak
bilgilendirir.
Arızalanan ya da bakıma
gönderilmesi gereken cihazlarda muhafaza edilen kişisel veriler için aşağıdaki
adımlar izlenir:
i)
İlgili cihazlar bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü
kurumlara aktarılmadan önce içinde yer alan kişisel veriler uygun yöntemlerle
yok edilir,
ii)
Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamı
sökülerek saklanır, arızalı diğer parçalar üretici, satıcı, servis gibi üçüncü
kurumlara gönderilir,
iii)
Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak
kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınır.
Şirket ilgili mevzuatta
kişisel verilerin saklanması için öngörülen süreyi tespit etmekte, belirlenen
süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler
işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.
Şirketin arşivleri,
sunucuları ve/veya diğer sistemlerine karşı ihlal gerçekleştirilmesi sonucunda
saklanan verilerin güvenliğinin zarar görmesi ve/veya verilerin üçüncü kişiler
tarafından ele geçirilmesi/ifşası durumunda, Şirket veri konusu kişileri ve
KVKK’yı mevzuata uygun olarak bilgilendirir.
Saklama sürelerinin
sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve
belirlenen imha yöntemleri (silme ve/veya yok etme) ile imha edilmektedir.
Her
bir kişisel veri kategorisiyle ilgili yasal düzenlemede öngörülen sürenin veya
kişisel verinin işlendiği amaç için gerekli olan sürenin sona ermesi halinde;
kişisel veri mevzuata uygun olarak ilgili elektronik veya fiziki ortamlardan
silinir veya yok edilir. Mevzuata uygun olarak, uygun düştüğü ölçüde, anonimleştirme
de uygulanabilir.
Kişisel veriler
silinirken; Şirket aşağıdaki adımları izlemektedir.
1.
Silme işlemine konu kişisel veriler belirlenir.
2.
Her bir kişisel veri için erişime yetkililer tespit edilir.
3.
Erişim yetkililerinin; yetki kapsamları tespit edilir.
4.
Erişim yetkililerinin; kişisel veriler kapsamındaki erişim, geri getirme,
tekrar kullanma yetki ve yöntemleri kapatılır veya ortadan kaldırılır.
Bulut sisteminde tutulan
veriler varsa, bu veriler ‘Silme Komutu’ verilerek silinir. Silinen verilerin
geri getirilmesinin söz konusu olmadığı teyit edilir.
Kağıt ortamında tutulan
veriler varsa, bu veriler ‘Karartma Yöntemi’ kullanılarak silinir. Karartma
işlemi yapılırken; ilgili evrak üzerindeki kişisel veriler mümkünse kesilir,
kesme mümkün değilse, veri geri döndürülemeyecek ve teknolojik çözümlerle
okunamayacak şekilde sabit/kalıcı mürekkep kullanılarak ilgililere görünemez
hale getirilir.
Merkezi sunucuda yer alan
ofis dosyaları, işletim sistemindeki ‘Silme Komutu’ ile silinir. Ayrıca, dosya
ya da dosyanın bulunduğu dizin üzerinde erişim hakları da kaldırılır.
Taşınabilir medyada
(Flash tabanlı saklama ortamlarında) bulunan kişisel veriler, şifreli olarak
saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.
Veri tabanlarında bulunan
kişisel veriler; verinin bulunduğu ilgili satırların veri tabanı komutları ile
(‘Silme Komutu’) silinir.
Kişisel veriler yok
edilirken verilerin bulunduğu tüm kopyalar tespit edilir. Verilerin
bulunduğu sistemlerin türüne göre yok etme yöntemi belirlenir. Kullanılabilir
yöntemler aşağıdaki gibidir:
De-manyetize Etme: Manyetik
medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz
bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Fiziksel Yok Etme: Optik
medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi
gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı
eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi
işlemlerle verilerin erişilmez kılınması sağlanır. Yakma, küçük parçalara
ayırma, eritme gibi fiziksel yok etme yöntemleri kullanılabilir.
Üzerine Yazma: Manyetik
medya ve yeniden yazılabilir optik medya üzerine rastgele veriler yazarak eski
verinin kurtarılmasının önüne geçilmesi işlemidir.
Kâğıt ortamdaki kişisel
veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın
yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kâğıt imha veya
kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri
birleştirilemeyecek şekilde küçük parçalara bölünür.
Bulut Ortamında yer alan
kişisel verilerin depolanması ve kullanımı sırasında, şifrelenmesi ve kişisel
veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü
için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi
sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli
şifreleme anahtarlarının tüm kopyaları yok edilir.
XII. HAKLARINIZ
- TALEPLERİNİZ
Kanunun ilgili kişinin haklarını düzenleyen 11.
maddesi kapsamında, kişisel veri sahiplerinin Şirket’e başvurarak; kişisel
verilerinin
(1) işlenip işlenmediğini
öğrenme;
(2) işlenmişse buna
ilişkin bilgi talep etme,
(3) işlenme amacını ve
amacına uygun kullanılıp kullanılmadığını öğrenme;
(4) yurt içinde veya yurt
dışında aktarıldığı kişileri bilme,
(5) eksik veya yanlış
işlenmişse düzeltilmesini isteme;
(6) KVKK’nın 7.
maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini
isteme;
(7) kişisel verilerinizin
KVKK’nın 7. maddesi kapsamında silinmesi ve yok edilmesi ve eksik veya yanlış
işlenmiş kişisel verilerinin düzeltilmesi taleplerinin, kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme;
(8) münhasıran otomatik
sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına
itiraz etme;
(9) kanuna aykırı olarak
işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme
Hakkı bulunmaktadır.
Yukarıda yer verilen, Kanunun 11. Maddesi
kapsamındaki talepler, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğe” göre, kişisel veri sahibi; ad, soyad, TC kimlik no, adres, telefon ve
e-mail bilgilerini belirtmek kaydıyla,
- VALÖR TURİZM
KONGRE ORGANİZASYONLARI TİC. LTD. ŞTİ ’ye bizzat veya
normal posta yoluyla,
- Elektronik
posta üzerinden [email protected] e-posta adresine
iletebilirsiniz.
Şirkete ulaşan bilgi
edinme başvuruları ve talepleri; talebin niteliği göz önünde bulundurularak,
başvurucunun kimliği teyit edilerek ve Kanunun 13. Maddesi uyarınca en geç otuz
(30) gün içinde sonuçlandırılacak; red halinde gerekçeli olarak bildirim
yapılacaktır.
Böyle bir başvurunun
maliyeti, varsa, Kişisel Verilerin Korunması Kurulunun belirlemiş olduğu resmi
tarife uyarınca ücretlendirilebilir.
VALÖR TURİZM
KONGRE ORGANİZASYONLARI TİC. LTD. ŞTİ