KİŞİSEL VERİLERİN KORUNMASI KANUNU
KISISEL VERILERIN KORUNMASI
VE
ISLENMESI POLITIKASI
BIRINCI BÖLÜM
Amaç, Kapsam ve Tanimlar
- AMAÇ
Türkiye Cumhuriyeti Anayasasinin 20 inci maddesinde; herkesin, özel hayatina ve aile hayatina saygi gösterilmesini isteme hakkina sahip oldugu, özel hayatin ve aile hayatinin gizliligine dokunulamayacagi belirtilmistir. Anayasa ile güvence altina alinan özel hayatin gizliliginin korunmasina yönelik çikarilan 6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK) ile genel çerçeve çizilerek hak yetki ve sorumluluklar belirlenmistir.
Sehri Nuh Otelcilik San. Ve Tic. A.S. sirketi olarak bu politikanin amaci, Anayasa ve KVKK ile kisisel ve özel bilgileri güvence altina alinan; çalisan, ortak, aday çalisan, çözüm ortagi çalisani, müsteri, bayi, bayi adayi, ziyaretçi ve herhangi bir sekilde sirketimizle bilgilerini paylasan gerçek kisilerin bilgi güvenligini saglamak ve haklarini kullanmalari konusunda aydinlanmalarini saglamaktir.
1.2.KAPSAM VE UYGULAMA
Sirketimiz ile çalisan, ortak, aday çalisan, çözüm ortagi çalisani, müsteri, bayi, bayi adayi, ziyaretçi ve herhangi bir sekilde sirketimizle bilgilerini paylasan gerçek kisilerin kisisel verilerinin islenmesi, saklanmasi, korunmasi, paylasilmasi, aktarilmasi, anonim hale getirilmesi, yok edilmesi ve haklarin kullanilmasiyla ilgili tüm süreçler bu politikanin kapsamindadir. Sehri Nuh Otelcilik San. Ve Tic. A.S., dilerse kanunun izin verdigi ölçülere bagli kalmak kaydiyla kendi çalisanlariyla ilgili ayri süreç ve politikalar belirleyebilir.
Yürürlükte bulunan mevzuat hükümleri ile sirket politikasi arasinda uyumsuzluk olmasi halinde mevzuat hükümleri öncelikli olarak uygulanacaktir.
1.3.TANIMLAR
Anayasa : 2709 sayili Türkiye Cumhuriyeti Anayasasini,
KVKK : 6698 Sayili Kisisel Verilerin Korunmasi Kanununu,
Açik riza: Belirli bir konuya iliskin, bilgilendirilmeye dayanan ve özgür iradeyle açiklanan rizayi,
Anonim hâle getirme: Kisisel verilerin, baska verilerle eslestirilerek dahi hiçbir surette kimligi belirli veya belirlenebilir bir gerçek kisiyle iliskilendirilemeyecek hâle getirilmesini,
Baskan: Kisisel Verileri Koruma Kurumu Baskanini,
Kisisel veri sahibi: Kisisel verisi islenen gerçek kisiyi,
Kisisel veri: Kimligi belirli veya belirlenebilir gerçek kisiye iliskin her türlü bilgiyi,
Kisisel verilerin islenmesi: Kisisel verilerin tamamen veya kismen otomatik olan ya da herhangi bir veri kayit sisteminin parçasi olmak kaydiyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanmasi, muhafaza edilmesi, degistirilmesi, yeniden düzenlenmesi, açiklanmasi, aktarilmasi,
devralinmasi, elde edilebilir hâle getirilmesi, siniflandirilmasi ya da kullanilmasinin engellenmesi gibi veriler üzerinde gerçeklestirilen her türlü islemi,
Kurul: Kisisel Verileri Koruma Kurulunu,
Kurum: Kisisel Verileri Koruma Kurumunu,
Veri isleyen: Veri sorumlusunun verdigi yetkiye dayanarak onun adina kisisel verileri isleyen gerçek veya tüzel kisiyi,
Veri kayit sistemi: Kisisel verilerin belirli kriterlere göre yapilandirilarak islendigi kayit sistemini,
Veri sorumlusu: Kisisel verilerin isleme amaçlarini ve vasitalarini belirleyen, veri kayit sisteminin kurulmasindan ve yönetilmesinden sorumlu olan gerçek veya tüzel kisiyi,
Seh-i Nuh Otel : Sehri Nuh Otelcilik Sanayi Ve Ticaret Anonim Sirketini,
tüzel kisiyi, Ifade eder.
IKINCI BÖLÜM
Kisisel Verilerin Islenmesi
- KISISEL VERILERIN ISLENMESINDE UYGULANACAK ILKELER
KVKK nin 4 üncü maddesinde kisisel verilerin bu Kanunda ve diger kanunlarda öngörülen usul ve esaslara uygun olarak islenebilecegi belirtildikten sonra asagida sayilan ilkelere uyulmasini zorunlu kilmistir. Sirketimiz bu ilkelere uymak için azami dikkat ve özeni göstermektedir.
2.1.1.Hukuka ve Dürüstlük Kuralina Uygun Isleme,
Kisisel verilerin ve özel nitelikli kisisel verilerin islenmesinde, mevzuatin belirledigi kurallar çerçevesinde dogruluk ve dürüstlük kuralina bagli kalarak hareket edilmesi sirketimiz tarafindan temel ilke olarak benimsenmistir. Bu kapsamda verilerin islenmesi için gerekli olan her türlü tedbir alinmis ve alinmaya devam edilmektedir.
2.1.2.Dogru ve Gerektiginde Güncel Olma,
Kisisel veriler genelde kisisel veri sahibinin verdigi bilgi ve belgeler ile saglanmaktadir. Bu sebeple veri sahibinin bildirmis oldugu bilgi ve belgeler çogunlukla gerçegi yansitmaktadir. Bu bilgi ve belgelerden açik ve net olarak hatali veya yanlis oldugu görülenlerin düzeltilmesi saglanmaktadir. Ayrica üçüncü kisiler vasitasiyla sirkete ulasan kisisel verilerin dogrulugunun teyidi ve güncel tutulmasi için veri sahibinden gerekli bilgilerin alinmasi saglanmaktadir.
2.1.3.Belirli, Açik ve Mesru Amaçlar Için Isleme,
Sirketimiz, kisisel verileri mevzuatin belirledigi hukuka uygun amaçlar için islemektedir. Veri isleme amaci daha önceden kesin ve açik olarak belirlenmektedir.
2.1.4.Islendikleri Amaçla Baglantili, Sinirli Ve Ölçülü Olma,
Sirketimiz, kisisel verileri ticari faaliyeti ile baglantili ve sinirli olarak, kendisinin ve veri sahibinin menfaatlerinin gerektirdigi ölçüde islemektedir.
2.1.5.Gerekli Olan Süre Kadar Muhafaza Edilme,
Sirketimiz, kisisel verileri mevzuatin öngördügü süre ile sinirli olarak muhafaza etmektedir. Bir kisisel verinin muhafazasi için mevzuatta herhangi bir süre öngörülmüs ise bu süre sirketimiz için baglayici olup daha uzun süreli muhafaza yapilmamaktadir. Mevzuatta herhangi bir süre öngörülmemis ise islendikleri amaç için gerekli olan süre kadar muhafaza yapilmaktadir. Kisisel veriler için herhangi bir süre öngörülmemis olsa bile isleme amaci ortadan kalkmis olan veri sirketimiz tarafindan silinmekte veya kanunun öngördügü biçimde anonim hale getirilmektedir.
3.1.KISISEL VERILERIN ISLENME SARTLARI
6698 Sayili KVKK nin 5 inci maddesinde ve 6 nci maddesinde kisisel verilerin islenme sartlarinin genel çerçevesi çizilmistir. Sirketimiz bu sartlar ve amaçlarla bagli kalarak kisisel verileri islemektedir.
- Kanunlarda açikça öngörülmesi halinde,
- Fiili imkânsizlik nedeniyle rizasini açiklayamayacak durumda bulunan ve rizasinda hukuki geçerlilik taninmayan kisinin kendisinin ya da bir baskasinin hayati veya beden bütünlügünün korunmasi için zorunlu olmasi,
- Bir sözlesmenin kurulmasi veya ifasiyla dogrudan dogruya ilgili olmasi kaydiyla, sözlesmenin taraflarina ait kisisel verilerin islenmesinin gerekli olmasi,
- Veri sorumlusunun hukuki yükümlülügünü yerine getirmesi için zorunlu olmasi,
- Kisisel verinin ilgili kisi tarafindan alenilestirilmis olmasi,
- Bir hakkin tesisi, kullanilmasi veya korunmasi için veri islemenin zorunlu olmasi,
- Ilgili kisinin temel hak ve özgürlüklerine zarar vermemek kaydiyla, veri sorumlusunun mesru menfaatleri için veri islemesinin zorunlu olmasi,
- Saglik ve cinsel hayat disindaki kisisel veriler, kanunlarda öngörülen hallerde ilgili kisinin rizasi aranmaksizin islenebilir,
- Saglik ve cinsel hayata iliskin iliskin kisisel veriler ise ancak kamu sagliginin korunmasi, koruyucu hekimlik, tibbi teshis, tedavi ve bakim hizmetlerinin yürütülmesi, saglik hizmetleri ile finansmaninin planlanmasi ve yönetimi amaciyla, sir saklama yükümlülügü altinda bulunan kisiler veya yetkili kurum ve kuruluslar tarafindan ilgilinin açik rizasi aranmaksizin islenebilir.
4.1.ÖZEL NITELIKLI KISISEL VERILERIN ISLENMESI
6698 Sayili KVKK nin 6 nci maddesine göre özel nitelikli kisisel veri; “kisilerin irki, etnik kökeni, siyasi düsüncesi, felsefi inanci, dini, mezhebi veya diger inançlari, kilik ve kiyafeti, dernek, vakif ya da sendika üyeligi, sagligi, cinsel hayati, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanimlanmistir.
Yukarida belirtilen özel nitelikli kisisel verilerin hukuka aykiri olarak islenmesi halinde kisilerin magduriyetine sebep olma ihtimali kuvvetle muhtemel bundugundan kanun koyucunun bu verileri islemede gösterdigi hassasiyet sirketimiz tarafindan büyük bir titizlikle önemsenmektedir. Bu sebeple özel nitelikli kisisel veriler KVK Kurulunun belirledigi yeterli önlemlerin alinmasi sartiyla asagidaki hallerde islenmektedir.
- Kisisel veri sahibinin açik rizasinin buldugu durumlarda islenebilir.
- Kisisel veri sahibinin açik rizasi olmasa bile asagidaki durumlarda özel nitelikli kisisel veriler islenebilir.
a. Saglik ve Cinsel hayat disindaki kisisel veriler, kanunlarda öngörülen hallerde,
b. Saglik ve cinsel hayata iliskin kisisel veriler ise ancak kamu sagliginin korunmasi, koruyucu hekimlik, tibbi teshis, tedavi ve bakim hizmetlerinin yürütülmesi, saglik hizmetleri ile finansmaninin planlanmasi ve yönetimi amaciyla, sir saklama yükümlülügü altinda bulunan kisiler veya yetkili kuruluslar tarafindan ilgilinin açik rizasi aranmaksizin islenebilir.
5.1.KISISEL VERILERIN SILINMESI, YOK EDILMESI VEYA ANONIM HALE GETIRILMESI
-
Kisisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Teknikleri
Kanun’un 5 inci ve 6 nci maddelerinde yer alan ve sirket tarafindan islenmis olan kisisel verilerin islenme sartlarinin ortadan kalkmasi halinde sirket kendi kararina istinaden resen veya ilgili kisinin talebi üzerine, Kisisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkinda Yönetmelik hükümlerine uygun olarak kisisel verileri silebilir veya yok edebilir. Sehri Nuh Otelcilik San. Ve Tic. A.S. tarafindan uygulanan silme ve yok etme teknikleri genel olarak asagidaki gibidir.Fiziksel olarak yok etme: Sirket tarafindan islenmis olan kisisel veriler amacin hasil olmasi veya veri sahibinin talebi üzerine fiziksel olarak yok edilir. Yok etme islemi basili evraklarda verinin kime ait oldugunun anlasilamayacak sekilde, belgenin yirtilmasi ve/veya yakilmasi suretiyle gerçeklestirilir. Elektronik veriler (CD, DVD, USB, Disket, PC vb.) ise, sistem üzerinde geri döndürülemez biçimde silinerek yok edilir. Kisisel verilerin yok edilmesi için teknik bir uzman ihtiyaci dogmasi halinde Sehri Nuh Otelcilik San. Ve Tic. A.S. uzman vasitasiyla da kisisel verileri silebilir.
a. Karistirma yöntemiyle yok etme: Kisisel veriler ayni nitelikteki baska kisisel veriler ile karistirilarak kime ait oldugu tespit edilemeyecek nitelige getirilerek yok edilmesidir.
b. Maskeleme yöntemiyle yok etme: Kisisel verinin ayirt edici unsurlarinin bilgi içerisinden çikarilarak, kisisel verinin kime ait oldugunun anlasilamayacak hale getirilmesidir.
c. Türetme yöntemiyle yok etme: Kisisel verileri, yeni veri ekleyerek kime ait oldugunun anlasilamayacak hale getirilmesidir.
6.1.KISISEL VERILERIN AKTARILMASI
Kanunun 8 inci maddesi geregince kisisel veriler, ilgili kisinin açik rizasi olmaksizin aktarilamaz. Ancak Kanunun 5 inci maddesinin ikinci fikrasinda, yeterli önlemler alinmak kaydiyla, 6 nci maddenin üçüncü fikrasinda belirtilen sartlardan birinin bulunmasi halinde, ilgili kisinin rizasi aranmaksizin aktarilabilir. Kisisel verilerin aktarilmasina iliskin diger kanunlarda yer alan hükümler saklidir.
6.1.1.Kisisel verilerin yurt disina aktarilmasi
Kanunun 9 uncu maddesi geregince kisisel veriler, ilgilinin açik rizasi olmaksizin yurt disina aktarilamaz. Kisisel veriler, 5 inci maddenin ikinci fikrasi ile 6 nci maddenin üçüncü fikrasinda belirtilen sartlardan birinin varligi ve kisisel verilerin aktarilacagi yabanci ülkede; yeterli korumanin bulunmasi, yeterli korumanin bulunmamasi durumunda Türkiye’deki ve ilgili yabanci ülkedeki veri sorumlularinin yeterli korumayi yazili olarak taahhüt etmeleri ve Kurum izninin bulunmasi kaydiyla ilgili kisinin açik rizasi aranmaksizin yurt disina aktarilabilir.
ÜÇÜNCÜ BÖLÜM
HAKLAR VE YÜKÜMLÜLÜKLER
- KISISEL VERI SAHIBININ HAKLARI VE VERI SORUMLUSUNUN YÜKÜMLÜLÜKLERI
6998 sayili KVKK’nin 10, 11 ve 12 nci maddelerinde kisisel veri sahibinin haklari ve veri sorumlusunun aydinlatma yükümlülügü ile veri güvenligine iliskin yükümlükleri sayilmistir.
7.1.1.Veri sorumlusunun aydinlatma yükümlülügü
Sehri Nuh Otelcilik San. Ve Tic. A.S. tarafindan kisisel verilerin elde edilmesi sirasinda yetkilendirdigi kisi vasitasiyla veri sahibine asagidaki açiklamalar yapilacaktir.
a. Veri sorumlusunun ve varsa temsilcisinin kimligi,
b. Kisisel verilerin hangi amaçla islenecegi,
c. Islenen kisisel verilerin kimlere ve hangi amaçla aktarilabilecegi,
d. Kisisel veri toplamanin yöntemi ve hukuki sebebi,
d. 11 inci maddede sayilan diger haklari,
7.1.2.Veri sahibinin haklari
Kanunun 11. Maddesi uyarinca veri sahibinin haklari asagida siralanmistir.
a. Kisisel veri islenip islenmedigini ögrenme,
b. Kisisel verileri islenmisse buna iliskin bilgi talep etme,
c. Kisisel verilerin islenme amacini ve bunlarin amacina uygun kullanilip kullanilmadigini ögrenme,
d. Yurt içinde veya yurt disinda kisisel verilerin aktarildigi üçüncü kisileri bilme,
e. Kisisel verilerin eksik veya yanlis islenmis olmasi hâlinde bunlarin düzeltilmesini isteme,
f. 7 nci maddede öngörülen sartlar çerçevesinde kisisel verilerin silinmesini veya yok edilmesini isteme,
g. 11. maddenin birinci fikrasinin (d) ve (e) bentleri uyarinca yapilan islemlerin, kisisel verilerin aktarildigi üçüncü kisilere bildirilmesini isteme,
h. Islenen verilerin münhasiran otomatik sistemler vasitasiyla analiz edilmesi suretiyle kisinin kendisi aleyhine bir sonucun ortaya çikmasina itiraz etme,
i. Kisisel verilerin kanuna aykiri olarak islenmesi sebebiyle zarara ugramasi hâlinde zararin giderilmesini talep etme,
7.1.3.Veri sorumlusuna basvuru hakki
Veri sahibi, KVKK’ nin uygulamasiyla ilgili taleplerini yazili olarak veya Kurul’un belirleyecegi herhangi bir yöntem ile sirketimize iletebilir. Sirketimiz, basvurunun usulüne uygun oldugunu tespit ettikten sonra talebin niteligine göre mümkün olan en kisa sürede ancak her halükarda otuz (30) gün içerisinde sonuçlandirir. Yapilan islem ayrica bir maliyeti gerektirmiyor ise ücretsiz olarak sonuçlandirilir. Ücret alinmasini gerektiren bir durum halinde ise, Kurulca belirlenen tarife üzerinden ücret alinir.
Sirketimiz talebi kabul ederek cevaplayabilir veya gerekçesini açiklayarak reddedebilir. Kabul veya ret durumu basvurucuya yazili veya elektronik ortamda bildirilir. Ücret alinan durumlarda basvurunun sirketimizin hatasindan kaynaklandiginin anlasilmasi halinde alinan ücret basvurucuya iade edilir.
7.1.4.Basvurucunun sikâyet hakki
Sirketimize yapilan basvurunun reddedilmesi, verilen cevabin tatmin edici olmamasi veya Kanunun belirledigi azami sürede cevap verilememesi halinde; basvuru sahibi, veri sorumlusunun cevabini ögrendigi veya azami sürenin doldugu tarihten itibaren otuz (30) ve her halde basvuru tarihinden itibaren altmis (60) gün içinde Kurula sikâyette bulunabilir.
8.1. DIGER HUSUSLAR
Sirketimiz tarafindan hazirlanan isbu veri politikasi hükümleri ile KVKK ve/veya Kurul tarafindan alinacak kararlar arasinda bir uyusmazlik bulunmasi veya veri politikasinda hüküm bulunmamasi halinde KVKK ve/veya Kurul kararlari öncelikli olarak uygulanir.
Isbu veri politikasi hükümlerinin herhangi bir maddesinin hükümsüz olmasi halinde, diger maddeler geçerliligini koruyacaktir.