VTR Turizm, 1986'dan bu yana uçuş ekipleri ve kurumsal firmalar için güvenli, konforlu ve zamanında taşımacılık hizmeti sunar. Modern filosu ve 7/24 operasyon desteğiyle Antalya ve İzmir'de profesyonel çözümler üretir.

KVKK

TURİZM EĞİTİM VE SAĞLIK HİZMETLERİ A.Ş. KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

İÇİNDEKİLER

  1. Giriş
  2. Politika'nın Amacı Ve Kapsamı
  3. Tanımlar
  4. Politika İle Düzenlenen Kayıt Ortamları
  5. Kişisel Verilerin Saklanmasını Gerektiren Sebepler
  6. Kişisel Verilerin İmhasını Gerektiren Sebepler
  7. Kişisel Verilerin İmha Edilmesi İşlemi İle İlgili Uygulanan Yöntemler
  8. Kişisel Verilerin Güvenli Bir Şekilde Saklanması, Hukuka Aykırı Olarak İşlenmesi Ve Erişilmesinin Önlenmesi ve Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
  9. Yer Alanların Unvanları, Birimleri ve Görev Tanımları
  10. Saklama ve İmha Süreleri
  11. Periyodik İmha
  12. Yürürlük

Ek – 1 Çalışan Aydınlatma Metni

Ek – 2 KİŞİSEL VERİLERİ TOPLAMA İŞLEME POLİTİKASI (GÜNCEL)

1. GİRİŞ:

Kişisel verilerin korunması, Turizm Eğitim ve Sağlık Hizmetleri A.Ş. (Bundan böyle VTR olarak anılacaktır) için büyük önem arz etmekte olup, bu konuda azami hassasiyet gösterilmektedir. Bu doğrultuda, kişisel verilerin kişilerin beklentileri ile tutarlı bir şekilde ve yasalara uygun olarak işlenmesi, Şirketimizin temel yapı taşlarından biridir.

Bu bakımdan Şirketimiz, faaliyetleri sırasında elde etmiş olduğu kişisel verileri başta Anayasa olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ilgili mevzuata uygun şekilde hazırlanan işbu Kişisel Veri Saklama ve İmha Politikası'nda (“Politika”) belirtilen genel prensipler ve düzenlemelere uygun şekilde saklamakta ve imha etmektedir.

2. POLİTİKANIN AMACI VE KAPSAMI:

İşbu Politika ile Şirketimiz, Kanun kapsamındaki kişisel veri işleme faaliyetlerine konu olan çalışanlarımızın, çalışan adaylarımızın, hissedarlarımızın, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin saklanması ve imha edilmesine ilişkin Şirket'in genel ilke ve prensiplerinin ortaya konulmasını ve bu hususlarla ilgili mevzuatla belirlenen yükümlülüklerin yerine getirilmesini hedeflemiştir.

İşbu Politika, Şirketimizin Kanun kapsamındaki veri işleme faaliyetlerine konu olan tüm kişisel verileri kapsamaktadır. Ayrıca, işbu Politika'da aksi belirtilmedikçe, Politika ile atıf yapılan belge ve dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır.

3. TANIMLAR:

  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
  • Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
  • Anayasa: Türkiye Cumhuriyeti Anayasası'nı ifade eder.
  • Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.
  • Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlardır.
  • Bilgi Güvenliği Politikası: VTR'nin işlettiği sistem, bilgi ve varlıkların gizlilik, bütünlük ve erişilebilirliğinin sağlanması için gerekli gereksinimleri tanımlamak amacıyla hazırlanan ve Kişisel Veri Güvenliği yönetimini de içinde barındıran politikadır.
  • İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. (örn. ad-soyadı, TCKN, e-posta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası - Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun ve işbu Politika kapsamında değildir.)
  • Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişidir.
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
  • Kurul: Kişisel Verileri Koruma Kurulu'nu ifade eder.
  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
  • Periyodik İmha: Kanun'da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re'sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir.
  • Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
  • Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen bilişim sistemini ifade eder.

4. POLİTİKA İLE DÜZENLENEN KAYIT ORTAMLARI:

Şirketimizin Kanun kapsamındaki veri işleme faaliyetlerine konu olan ve tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin saklandıkları ortamlar, detaylı bir şekilde aşağıdaki tabloda belirtilmektedir. Söz konusu ortamlarda, Ek-1'de yer alan Saklama ve İmha Süreleri Tablosunda (“Saklama Tablosu”) belirtilen süreler boyunca kişisel verileri içeren kayıt, belge, doküman ve raporlar operasyonel verimlilik gözetilerek farklı kayıt ortamlarında işbu Politika'ya uygun olarak saklanır ve imha edilir. Bu ortamların başlıcalarına aşağıda yer verilmektedir:

ELEKTRONİK ORTAMLAR ELEKTRONİK OLMAYAN ORTAMLAR
  • Ortak sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.)
  • Yazılımlar (ERP yazılımları, ofis yazılımları, portal)
  • Bilgi güvenliği cihazları (güvenlik duvarları, saldırı tespit ve engelleme sistemleri, Log yönetimi sistemleri, Veri sızıntısı önleme sistemleri vb.)
  • Kişisel bilgisayarlar (masaüstü, dizüstü)
  • Mobil cihazlar (telefon vs.)
  • VTR Passenger Uygulaması
  • VTR Sürücü Uygulaması
  • Optik diskler (CD, DVD vb.)
  • Çıkartılabilir bellekler (USB, hafıza kartı vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi
  • IP telefonlar
  • Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri vb.)
  • Yazılı, basılı, görsel ortamlar
  • Fiziki klasörler (Birim arşivleri, Çalışan klasörleri, dava dosyaları vb.)

5. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN SEBEPLER:

Şirketimiz kişisel veri işleme faaliyetlerinde aşağıdaki ilkeleri esas almaktadır:

Şirketimiz, yukarıda bahsi geçen ilkelerle uyumlu şekilde, https://www.vtrturizm.com adresinden paylaşılan ‘Kişisel Veri İşleme Envanteri ve Kişisel Verilerin Toplanması, İşlenmesi Ve Aktarılması Politikası'nın ilgili maddelerinde yer alan kişisel veri işleme amaçlarıyla ve aşağıda belirtilen Kanun'un 5'inci ve 6'ncı maddelerinde yer alan kişisel verilerin işlenme şartlarına istinaden kişisel verileri saklamakta ve kullanmaktadır. Söz konusu şartların tamamının ortadan kalkması halinde, VTR, kişisel verileri re'sen veya kişisel veri sahibinin talebi üzerine imha etmektedir. Kanun'da yer alan ve Şirketimizce uyulan kişisel veri işlemenin hukuka uygunluk sebepleri aşağıdaki gibidir:

Bu doğrultuda, kişisel veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.

  • Hukuka ve dürüstlük kuralına uygun olunması,
  • Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
  • Belirli, açık ve meşru amaçlarla işleme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.
  • 5.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması: Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
  • 5.2. Kanunlarda Açıkça Öngörülmesi: Veri sahibinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir.
  • 5.3. Fiili İmkânsızlık Sebebiyle Kişisel Veri Sahibinin Açık Rızasının Alınamaması: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
  • 5.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına, tarafların ortak, yetkili, çalışan ve müşterilerine ait kişisel verilerin işlenmesi mümkündür.
  • 5.5. Hukuki Yükümlülük: Şirketimizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde kişisel veri sahibinin verileri işlenebilecektir.
  • 5.6. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
  • 5.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
  • 5.8. Şirketimizin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

6. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER:

Kişisel veriler; aşağıda sayılan hallerde Periyodik İmha işlemi esnasında veya Kişisel Veri Sahibi'nin talebi üzerine imha edilir. İmha işleminden sonra EK-2'de yer alan imza tutanağı doldurularak imzalanır.

  • 6.1. İşlenmesine esas teşkil eden hukuka uygunluk sebebinin ortadan kalkması; ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • 6.2. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • 6.3. Kişisel verileri işlemenin açık rıza şartına istinaden gerçekleştiği hallerde, Kişisel Veri Sahibi'nin açık rızasını geri alması,
  • 6.4. Kanun'un 11 inci maddesi gereği Kişisel Veri Sahibi'nin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • 6.5. Kişisel Veri Sahibi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile yaptığı başvurunun Şirket tarafından reddedilmesi, Şirket'in verdiği cevabın yetersiz bulunması veya Kanun'da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Veri Sahibi'nin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • 6.6. Kişisel verilerin saklanabileceği azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

7. KİŞİSEL VERİLERİN İMHA EDİLMESİ İŞLEMİ İLE İLGİLİ UYGULANAN YÖNTEMLER:

Şirketimiz işbu Politika'nın 6. maddesinde açıklanan hallerde kişisel verileri aşağıdaki yöntemlerle silmekte, yok etmekte veya anonim hale getirmektedir. Şirketimiz, kişisel verilerin imhasında azami dikkat ve özeni göstermektedir. Bu kapsamda alınan önlemler işbu Politika'nın 8. maddesinde düzenlenmektedir. Şirketimiz, Kanun'un 12. maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. İmha kapsamında gerçekleştirilen tüm işlemler Şirketimiz tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmaktadır. Şirketimiz, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re'sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını teknolojik imkânlar ve uygulama maliyetine göre seçmektedir.

  • 7.1. Kişisel Verilerin Silinmesi Yöntemleri: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu kapsamda Şirketimiz, kişisel verileri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:
    VERİ KAYIT ORTAMI AÇIKLAMA
    Sunucularda yer alan kişisel veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
    Elektronik ortamda yer alan kişisel veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
    Fiziksel ortamda yer alan kişisel veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu kişi/kişiler hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
    Taşınabilir medyada bulunan kişisel veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
  • 7.2. Kişisel Verilerin Yok Edilme Yöntemleri: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu kapsamda Şirketimiz, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:
    VERİ KAYIT ORTAMI AÇIKLAMA
    Fiziksel ortamda yer alan kişisel veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, çapraz kesimli kâğıt imha makineleri kullanılarak yok edilir.
    Optik/Manyetik medyada yer alan kişisel veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, torna atölyesinde kullanılamaz hale getirme, preslenerek atık alıcısı firmaya gönderilme gibi işlemlere göre yok edilir.
  • 7.3. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Şirketimiz, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Bu kapsamda Şirketimiz, kişisel verileri anonim hale getirme işlemi için aşağıdaki yöntemleri uygulamaktadır:
    VERİ KAYIT ORTAMI AÇIKLAMA
    ERP ortamında bulunan kişisel veriler Data Karıştırma

8. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI, HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ VE HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER:

Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile hukuka uygun olarak imha edilmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun'un 12. maddesi ile 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:

8.1. Teknik Tedbirler:

8.2. İdari Tedbirler:

  • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin ve kritik uygulamalar üzerinden güvenlik politikaları aracılığı ile otomatik olarak yapılmaktadır. Aynı zamanda periyodik olarak yetki gözden geçirmeleri gerçekleştirilmektedir.
  • Kurum uygulamaları ve sistemlerinde kullanıcı hesap yönetimi ve şifre yönetim sistemi uygulanmaktadır.
  • Tüm kurum ağında segmentasyon, erişim kontrol listeleri, kritik sistem ağ cihazlarına erişim yetkilendirme, kablolu ve kablosuz ağ güvenliği uygulanmaktadır.
  • Kurum içerisinde yapılan uygulama geliştirme faaliyetleri güvenli sistem mühendisliği prensipleri, güvenli yazılım geliştirme standartları çerçevesinde gerçekleştirilmektedir.
  • Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Şirket içerisinde erişim ve yetkilendirme prosedürleri oluşturulmuş olup uygulaması İş Sağlığı ve İş Güvenliği Uzmanı tarafından takip edilmektedir. Bu prosedürler kişisel verilerin korunması açısından da teminat oluşturmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu Kişisel Veri Sahibi'ne ve Kurula bildirmek için buna uygun bir prosedür ve altyapı oluşturulmuştur.
  • Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gerekli taahhütler alınmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
  • Kişisel verilere yetkisiz erişim, imha, değişiklik, ifşa veya kayıp gibi risklere karşı Şirketimiz tarafından verinin bütünlüğü, gizliliği, kullanılabilirliği ve korunmasını teminen ‘Kişisel Veri İşleme Envanteri ve Kişisel Verilerin Toplanması, İşlenmesi Ve Aktarılması Politikası' oluşturulmuştur. Bu Politika ile belirlenen düzenlemeler ile korunmaktadır.
  • Şirket içi eğitimlerle ve duyurularla tüm çalışanlarda farkındalık oluşturulmaktadır.
  • Görevlerinin gereklerini yerine getirmek için kişisel verilere erişime ihtiyaç duyan çalışanların erişimleri, görevlerini yerine getirmelerini sağlayacak asgari erişim seviyesi ile sınırlandırılır.
  • Gizlilik ve güvenlik risk değerlendirmeleri ve denetim süreçleri sonucu açığa çıkan risk ve zafiyetler yetkili yönetici personel tarafından değerlendirilerek ivedilikle çözülür.
  • Kişisel veri işlemeye başlamadan önce Şirket tarafından, Kişisel Veri Sahipleri'ni aydınlatma yükümlülüğü yerine getirilmektedir. Gerekli durumlarda kişisel veri sahibinden rıza istenmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır ve güncel tutulması için Şirket bünyesinde gerekli bilgilendirme yapılmıştır.
  • Şirket tarafından yürütülen faaliyetlere ilişkin olarak çalışanlara “Kişisel Verilerin Çalışan Tarafından İşlenmesi ve Korunmasında Uyulacak Prensiplere İlişkin Taahhütname” imzalatılmaktadır.
  • Şirket içi periyodik ve rastgele denetimler yapılmaktadır. Yapılacak denetim sonucunda denetim raporları oluşturulmakta, yetkili yöneticiye sunulmakta ve iyileştirici aksiyonlar belirlenmektedir.
  • Veri aktarılan/alınan taraflar ile imzalanan sözleşmelerde kişisel verilerin korunmasına ilişkin hükümler eklenmekte veya veri aktarım taahhütnamesi imzalanmaktadır.

9. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI:

Şirketimiz, kişisel verilerin saklanması ve imha edilmesi süreçlerinde yer alan kişileri, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitmektedir. Bu kapsamda, Şirketimiz çalışanları ve/veya görevleri dolayısıyla kişisel verileri öğrenen kişiler, bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine uyun olarak saklamakta ve imha etmektedir. Bu yükümlülük, ilgili kişilerin görevden ayrılmalarından sonra da devam etmektedir. Bu kapsamda, Şirketimizin saklama ve imha süreçlerinde yer alan kişilere ilişkin detaylar aşağıda açıklanmaktadır:

Ünvan Görev
Genel Müdür Çalışanların Politika'ya uygun hareket etmesinden sorumludur.
İş Sağlığı ve İş Güvenliği Uzmanı Görevlerine uygun olarak Politika'nın yürütülmesinden sorumludur.

10. SAKLAMA VE İMHA SÜRELERİ:

Şirketimiz, kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda Şirketimiz, kişisel verileri Saklama Tablosu'nda belirtilen azami süreler boyunca saklamakta ve sonrasında imha etmektedir.

Kişisel veri sahibinin, Şirketimize başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde Şirketimiz,

kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa:

  1. Kişisel veri sahibinin talebini en geç otuz gün içinde sonuçlandırır ve kişisel veri sahibine bilgi verir, ve
  2. Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.

11. PERİYODİK İMHA:

  • Şirketimiz, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha etmektedir. Bu kapsamda Şirketimiz, kişisel verileri imha etme yükümlülüğünün ortaya çıkması halinde kişisel verileri Ocak ve Temmuz aylarının son haftasında olacak şekilde, 6 aylık periyotlar halinde imha işlemine tabi tutmaktadır.

    Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

    Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re'sen silme, yok etme veya anonim hale getirme işlemi yerine getirir.

    1. Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
    2. Veri kategorileri bazında saklama süreleri VERBİS'e kayıtta;
    3. Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

12. YÜRÜRLÜK:

İşbu Politika 01.01.2020 tarihinde yürürlüğe girmiştir. Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncel Politika intranet portalinde yayımlandığı tarihte yürürlüğe girecektir.

İşbu Politika ile Kanun, Yönetmelik ve VTR'nin Kişisel Veri İşleme Envanteri Ve Kişisel Verilerin Toplanması, İşlenmesi Ve Aktarılması Politikası hükümleri arasında herhangi bir çelişki olması halinde, Kanun, Yönetmelik ve VTR'nin Kişisel Veri İşleme Envanteri Ve Kişisel Verilerin Toplanması, İşlenmesi Ve Aktarılması Politikası'nda yer alan hükümler geçerlidir.

EK - 1 ÇALIŞAN AYDINLATMA METNİ

Turizm Eğitim ve Sağlık Hizmetleri A.Ş. (VTR); “veri sorumlusu” sıfatıyla 6698 sayılı “Kişisel Verilerin Korunması Kanunu” kişisel verilerinizin korunmasına ve güvenliğine azami özen göstermektedir. Bu kapsamda, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verilerin korunması amacıyla düzenlenen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuat uyarınca kişisel verilerinizin toplanma şekilleri, işlenme amaçları, işlemenin hukuki nedenleri ve haklarınız konularında Veri Sorumlusu sıfatıyla aydınlatma metnimizi dikkatinize sunarız. Kişisel verilerinizin işlenmesine ilişkin detaylı bilgilere www.vtrturizm.com adresinde yer VTR Kişisel Verileri Politikası ve Envanteri'nden ulaşabilirsiniz.

Bu metin; 6698 sayılı “Kişisel Verilerin Korunması Kanunu” m. 10 uyarınca aydınlatma yükümlülüğümüzü yerine getirmek amacını taşımaktadır.

  • 1. VERİ SORUMLUSU VE TEMSİLCİSİ:

    6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı KVK K.”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Turizm Eğitim ve Sağlık Hizmetleri A.Ş. (VTR) tarafından aşağıda açıklanan kapsamda işlenebilecektir.

  • 2. KİŞİSEL VERİLERİN HANGİ AMAÇ İLE İŞLENECEĞİ:

    Kişisel verilerin işlenme şartları başlığını taşıyan 6698 sayılı KVK K. m. 5'e göre, kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

    • Kanunlarda açıkça öngörülmesi.
    • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
    • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

    Özel nitelikli kişisel verilerin işlenme şartları başlığını taşıyan 6698 sayılı KVK m. 6'ya göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Kural olarak özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak, yukarıda belirtilen sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler de kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

    Kişisel verileriniz VTR tarafından yukarıda belirtilen 6698 sayılı Kanun'un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları dâhilinde ve aşağıda sıralanan amaçlarla işlenebilecektir:

    • VTR'nin iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülükleri kapsamında; acil durum listelerinin oluşturulması ve acil durum operasyonlarının yürütülmesi, acil durum analiz raporlarının oluşturulması, iş kazası muayenelerinin gerçekleştirilebilmesi, işe giriş muayenesinin yapılması, işyeri hekiminden sağlık raporu elde edilmesine bağlı süreçlerin yürütülmesi, rıza vermeniz halinde, tespit edilen sağlık durumunuza göre pozisyon değişikliklerinin yapılması ve bu yolla sağlığınız için uygun olan iş pozisyonlarının sizlere sağlanması, hastalık raporlarının nedenlerinin toplanması.
    • VTR'nin insan kaynakları politikalarının yürütülmesinin temini kapsamında; VTR ile akdettiğiniz sözleşmede yer alan amaçlar doğrultusunda etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, VTR ile iş ilişkinizin sona ermesi akabinde, tercihinize bağlı olarak dolduracağınız çıkış mülakat formları vasıtasıyla insan kaynakları süreçlerimizin iyileştirilmesi, yurt dışı görevlendirmelerinin yapılması, özlük dosyanızın oluşturulması, VTR içinde ve dışında temsil ile görevlendirilme kapsamında gerçekleştirilecek vekâletname ve imza sirküleri süreçlerinin yönetilmesi, rıza vermeniz halinde, etkinlik yönetimi, kurum içi eğitim, tanıtım ve kurumsal iletişim çalışmaları amacıyla fotoğraf ve görüntülerinizin işlenmesine ilişkin süreçlerin yürütülmesi,
    • VTR tarafından müşteri ve iş ortaklarına hizmet sunulabilmesini teminen; VTR'nin ve VTR ile iş ilişkisi içerisinde olan 3. kişilerin hukuki ve ticari güvenliğinin sağlanması, VTR'nin ticari süreçlerinin ve iş stratejilerinin belirlenmesi ve uygulanması, hizmet satışı, satış sonrası hizmetlerinin yerine getirilmesi, kimlik doğrulaması yapılabilmesi, transfer operasyonlarının planlanması, icrası, müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası, 3. kişilerle akdedilen sözleşmeler ve çalışanlarla akdedilen iş sözleşmelerinde yer alan amaçların gerçekleştirilmesi,
    • İşyeri güvenliğinin temini ve korunması amacıyla; işyerinde üçüncü kişilerin suç işlemesinin tespiti ve önlenmesi, işyerine giriş – çıkışın kontrolü, güvenlik bakımından önem arz eden teknik aletlerin ve işyeri bölümlerinin gözetlenmesi, işçinin iş sağlığı ve güvenliği önlemlerine uyumunun denetlenmesi, işçinin işyeri araç ve gereçlerini kurallara uygun kullanımının denetlenmesi, işyeri ve işletmeye ait her türlü motorlu/motorsuz araç ve gereçlerin, bilgi ve belgelerin güvenliği, çalışma güvenliği,
    • İşverenin çalışanlarına ve işyerine ilişkin denetim ve gözetim yetkisi kapsamında; verilen hizmetin hatasız ve kesintisiz bir şekilde yürütülmesini sağlamak, verimliliği ölçmek, İşyerine giriş – çıkışın kontrolü, üretim işleyişinin verimliliğinin sağlanması, işin teknik işleyişinin gözetlenmesi, güvenlik bakımından önem arz eden teknik aletlerin ve işyeri bölümlerinin gözetlenmesi, işçinin iş sağlığı ve güvenliği önlemlerine uyumunun denetlenmesi, işçinin işyeri araç ve gereçlerini kurallara uygun kullanımının denetlenmesi, işçinin yaptığı işin kalite ve performansının kontrol edilmesi, işçinin iş sözleşmesinden doğan yükümlülüklerine uyumunun kontrol edilmesi, işçinin sözleşmesel yükümlülük ihlallerinin tespit edilmesi, İşçinin yaptığı işin kalite ve performansının kontrol edilmesi, işçinin iş sözleşmesinden doğan yükümlülüklerine uyumunun kontrol edilmesi,
    • VTR'nin sair mevzuattan doğan yükümlülüklerini yerine getirmesini temini kapsamında; kamu kurumlarına bildirim yapılması amacıyla özelliklerinize göre gruplandırmaların yapılması; rıza vermeniz halinde, hayat sigortası ve sağlık sigortası operasyonlarının yürütülmesi, kişiye özel avans ve kredi süreçlerinin yönetilmesi, performans değerlendirme süreçlerinin yürütülmesi.

  • 3. KİŞİSEL VERİ TOPLAMANIN YÖNETİMİ ve HUKİKİ SEBEBİ:

    Kişisel verileriniz VTR tarafından farklı kanallar ve farklı hukuki sebeplere dayanarak; işbu metnin (2) ve (3) maddeleri kapsamında sayılan amaçlarla toplanmaktadır. Bu süreçte toplanan kişisel verileriniz; VTR insan kaynakları politikaları çerçevesinde ve iş sözleşmenizde yer alan amaçlar doğrultusunda, etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, sözleşmeden doğan yükümlülüklerin yerine getirilmesi, çalışanların performanslarının değerlendirilmesi, iş ve işyeri güvenliğinin sağlanması ve geliştirilmesi amaçlarıyla ve faaliyetlerimizi ve operasyonel süreçlerimizi yürütmek hukuki sebebiyle, işe giriş ve iş sözleşmesinin devamı sırasında; her türlü yazılı, sözlü, görsel, işitsel cihazlar ve evraklar vasıtasıyla, VTR'ye ait taşıt araçlarına yerleştirilmiş olan konum takip cihazları yoluyla, VTR'ye ait işyerlerine, işyerinin giriş, sekreterya, operasyon, muhasebe/finans, yönetim, toplantı odası, mutfak ve sair bölümlerine/odalarına, otoparklarına yerleştirilmiş görsel ve işitsel kayıt yapabilen cihazlarla, elektronik/uydusal yer belirleme sistemleri (gps) yoluyla, elektronik iletişimin gözetlenmesi (internet, e-posta ve telefon kullanımı) yollarıyla ve sair her türlü fiziki ve elektronik ortamlardan otomatik olan ya da olmayan yöntemlerle toplanmaktadır.

    Kişisel akıllı telefonunuza veya VTR akıllı telefonuna yüklenilebilen "VTR Sürücü" veya "VTR Mobil" uygulaması ile sadece görev esnasında arka plan konum verisi, görev saatleri ile ilişkilendirilerek alınmaktadır. Görev dışı takip gerçekleştirilmemektedir. Google Map navigasyon bağlantısı esnasında konum verisi kaybetmemek için sadece navigasyon kullanılırken arka planda konum verisi alınmaktadır.

    Bu yöntemlerle toplanan kişisel verileriniz 6698 sayılı KVK K'nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında bu metnin (2) ve (3). maddelerinde belirtilen amaçlarla da işlenebilmekte ve 6698 sayılı KVK K.nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları ile sınırlı olarak da aktarılabilmektedir.

  • 4. İŞLENEN VERİLERİN KİMLERE VE HANGİ AMAÇLA AKTARILABİLECEĞİ:

    Kişisel verilerin aktarılması başlığını taşıyan 6698 sayılı KVKK. m.8'e göre, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

    Kişisel veriler; kişisel veri sahibinin açık rızası aranmaksızın işlenebildiği hallerde açık rıza aranmaksızın üçüncü kişilere de aktarılabilir. Aynı şekilde yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler de, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

    Kişisel verilerin yurt dışına aktarılması başlığını taşıyan KVKK m. 9'a göre, kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak kişisel veriler, kişisel verilerin açık rızası aranmaksızın işlenebildiği hallerde üçüncü kişilere de aktarılabilir. Aynı şekilde yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurt dışına aktarılabilir. Özel nitelikli kişisel verilerin yurt dışına aktarılabilmesi için ayrıca;

    • Yeterli korumanın bulunması,
    • Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
    • Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
    • Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
    Yukarıda belirtilen düzenlemelere uygun olarak işlenen kişisel verileriniz;

    İş sözleşmenizde yer alan amaçlar doğrultusunda, etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, sözleşmeden doğan yükümlülüklerin yerine getirilmesi, çalışanların performanslarının değerlendirilmesi, iş ve işyeri güvenliğinin sağlanması ve geliştirilmesi amaçlarıyla ve ayrıca VTR'nin ve VTR ile iş ilişkisi içerisinde olan 3. kişilerin hukuki ve ticari güvenliğinin temini; VTR'nin iş stratejilerinin belirlenmesi ve uygulanması amaçlarıyla; Türk Borçlar Kanunu, İş Kanunu, İşçi Sağlığı ve İş Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, Türk Ticaret Kanunu, Vergi Usul Kanunu Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer mevzuat hükümlerinin izin verdiği kurum veya kuruluşlara; Kişisel Verileri Koruma Kurumu, Maliye Bakanlığı, Gümrük ve Ticaret Bakanlığı, Çalışma ve Sosyal Güvenlik Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu gibi kamu tüzel kişilerine; bağlı ortaklıklarımıza ve/veya doğrudan/dolaylı yurtiçi/yurt dışı iştiraklerimize; VTR olarak faaliyetlerimizi yürütmek üzere sözleşme ile hizmet aldığımız, işbirliği yaptığımız, her türlü kişisel verilerinizin muhafazası, yetkisiz erişimlerin önlenmesi ve hukuka aykırı olarak işlenmelerinin önlenmesi gibi işyeri güvenliği tedbirlerinin alınmasında VTR ile müşterek ve müteselsil sorumlu olan, program ortağı yurtiçi/yurt dışı kuruluşlara, VTR müşterilerine, söz konusu müşterilerin ortak ve çalışanlarına, VTR yolcularına ve diğer üçüncü kişilere 6698 sayılı KVKK m. 8. ve 9.'da belirtilen kişisel veri işleme şartları ve amaçları ile sınırlı olarak aktarılabilecektir.

  • 5. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ:

    VTR; kişisel verilerinizi işbu Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni'nde belirtilen amaçların ve ilgili mevzuatın gerektirdiği süre boyunca saklayacaktır. Buna ek olarak, VTR, veri sahibi ile arasında doğabilecek herhangi bir uyuşmazlık durumunda, uyuşmazlık kapsamında gerekli savunmaların gerçekleştirilebilmesi amacıyla sınırlı olmak üzere ve ilgili mevzuat uyarınca belirlenen zamanaşımı süreleri boyunca kişisel verileri saklayabilecektir.

  • 6. VERİ GÜCENLİĞİNE İLİŞKİN ÖNLEM VE TAAHHÜTLER:

    VTR; kişisel verilerin hukuka aykırı olarak işlenmemesini ve bu verilere hukuka aykırı olarak erişilmemesini ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almayı, gerekli denetimleri yaptırmayı taahhüt eder. VTR; elde ettiği kişisel verileri işbu Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni ile ilgili yasal mevzuata aykırı olarak başkasına açıklamayacak ve işleme amacı dışında kullanmayacaktır.

  • 7. KANUN KAPSAMINDAKİ HAKLARINIZ:

    Kanun'un 11. maddesi uyarınca, veri sahipleri olarak;

    • Kişisel veri işlenip işlenmediğini öğrenme,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahipsiniz.

    Söz konusu haklarınıza ilişkin taleplerinizi, kişisel veri sahipleri olarak yazılı bir şekilde Mandırlar Mh. Altınoluk Cd. No:152 Aksu / ANTALYA adresine yazılı olarak, turizmegitim@hs02.kep.tr adresine güvenli elektronik imzanız veya mobil imzanız göndereceğiniz e-posta ile iletilmesi halinde 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır. Veri Sahibi tarafından iletilen taleplerde, veri sahibinin adı, soyadı, başvuru yazılı ise imzası, TC kimlik numarası ya da yabancı ise uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ve talep konusu bulunması zorunludur. Taleplere ilişkin olarak yazılı şekilde yanıt verilecek olması halinde on sayfaya kadar ücret alınmayacak olup, VTR'nin on sayfanın üzerindeki yanıtlar için mevzuatın öngördüğü ücret tarifesi üzerinden ücret talep etme hakkı saklıdır. Başvuruya verilecek yanıtın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde ise VTR, talepte bulunan Veri Sahibi'nden kayıt ortamının maliyeti tutarında ücret talep edebilir.

  • 8. METİNDEKİ DEĞİŞİKLİKLER:

    VTR, işbu Metin'de yer alan hükümleri dilediği zaman yayımlamak suretiyle değiştirebilir. VTR'nin değişiklik yaptığı hükümler yayınlandığı tarihte yürürlük kazanır.

EK - 2 KİŞİSEL VERİLERİ TOPLAMA İŞLEME POLİTİKASI

  • İÇİNDEKİLER:

    1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI

    2. TANIMLAR VE KISALTMALAR

    3. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
      1. Hukuka ve dürüstlük kuralına uygunluk
      2. Doğruluk ve güncellik
      3. Belirli, açık ve meşru amaçlarla işleme
      4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
      5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme
    4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
      1. Kişisel Verilerin İşlenmesi Şartları
      2. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
    5. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
      1. Kişisel Veri Konusu Kişi Grupları
      2. Veri Kategorizasyonu
      3. Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel Verilerinin Toplanması Ve İşlenmesinin Amaçları
      4. Veri Konusu Kişi Grupları İle Bu Kişilere Ait Veri Kategorilerinin İlişkilendirilmesi

    6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ

    7. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
      1. Kişisel Verilerin Yurtdışına Aktarılması
      2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

    8. KİŞİSEL VERİLERİN SAKLANMASI

    9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
      1. İdari Tedbirler
      2. Teknik Tedbirler

    10. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

    11. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
      1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
      2. Kişisel Veri Sahibinin Haklarını Kullanması
      3. Kişisel Veri Sahibinin KVK Kurulu'na Şikâyette Bulunma Hakkı
    12. VTR'NİN BAŞVURULARA CEVAP VERMESİ
      1. VTR'nin Başvurulara Cevap Verme Usulü ve Süresi
      2. VTR'nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
      3. VTR'nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

    13. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA

    14. YÜRÜRLÜK

    15. YÜRÜTME

GİRİŞ

Şirketimiz TURİZM EĞİTİM VE SAĞLIK HİZMETLERİ A.Ş. (bundan böyle “VTR” olarak ifade edilecektir) 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle ‘'KVKK'' olarak ifade edilecektir) kapsamında veri sorumlusudur. Kişisel veri sahipleri ise VTR tarafından kişisel verileri toplanan, işlenen ve aktarılan; VTR hissedarları, VTR Yönetim Kurulu Üyeleri, VTR yöneticileri, VTR çalışan adayları ve stajyerler, VTR ile iş akdi ilişkisi içinde bulunan çalışanları, VTR'den hizmet alan ve/veya VTR'ye mal ve hizmet temin eden özel hukuk gerçek/tüzel 3. kişileri, mezkûr 3. kişilerin hissedarları, yetkilileri ve çalışanları olan gerçek kişiler, mezkûr 3. kişilerin alt işverenleri ve bu alt işverenlerin hissedarları, yetkilileri ve çalışanları olan gerçek kişiler ile VTR'nin işyerlerinde, motorlu taşıtlarında ve sair hâkimiyet alanlarında, yolcu, ziyaretçi sıfatıyla bulunan gerçek kişilerdir. VTR, kişisel verilerin güvenliği hususuna azami hassasiyet göstermektedir. Bu bilinçle kişisel veri sahiplerinin kişisel verileri, KVKK'nın ikincil düzenlemelerini teşkil eden “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve “Veri Sorumluları Sicili Hakkında Yönetmelik” ile diğer ilgili yönetmeliklere uygun olmak suretiyle toplanmakta, işlenmekte, muhafaza edilmekte ve aktarılmaktadır.

  • 1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI

    1. Politika ile VTR tarafından KVKK'ya uyum için aşağıda açıklanacak olan temel ilkeler çerçevesinde getirilecek düzenlemelerin VTR bünyesinde, VTR hissedarları, yetkilileri, çalışanları ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.
    2. Politika ile öngörülen temel düzenlemeler doğrultusunda VTR işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacak, VTR hissedarları, yetkilileri, çalışanları ve iş ortaklarının KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır.
    3. Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVKK ile getirilen düzenlemeler uyarınca iç işleyişin yönlendirilmesi için VTR'nin yükümlü olduğu hususları düzenlenmektedir. KVKK ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile VTR'nin kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. VTR'nin tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVKK ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekte yükümlüdür.
    4. Politika'ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, VTR içerisinde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanabilecektir.

  • 2. TANIMLAR VE KISALTMALAR:

    KVKK kapsamında VTR veri sorumlusu sıfatını haiz olup VERBİS sistemine kayıt olacaktır. Yönetmelik'in 11. maddesinin 1. fıkrasında “Türkiye'de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır. Bu hüküm doğrultusunda VTR; KVKK ve ilgili mevzuattan kaynaklanan yükümlülükleri ile ilgili görevlendirmeler yapacaktır. VTR tarafından, KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere, İş Güvenliği Uzmanı Çiğdem Kayadelen yetkili kılınmıştır.

    • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
    • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
    • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
    • İmha Politikası: VTR tarafından hazırlanan “VTR Kişisel Veri İmha Politikası”dır.
    • Kanun/KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu'dur.
    • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
    • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
    • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
    • Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
    • Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
    • Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
    • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
    • Periyodik İmha: Kanun'da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re'sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
    • Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişidir.
    • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
    • Yönetmelik: Veri Sorumluları Sicili Hakkında Yönetmelik'tir.

  • 3. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER:

    VTR, KVKK'nın 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:

    1. Hukuka ve dürüstlük kuralına uygunluk: VTR, veri sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve KVKK başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun'un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.
    2. Doğruluk ve güncellik: VTR, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin veri sorumlusu sıfatı ile VTR'ye bildireceği talepler ve VTR'nin bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için VTR tarafından kurulan idari ve teknik mekanizmalar işletilecektir.
    3. Belirli, açık ve meşru amaçlarla işleme: VTR tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak, hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.
    4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme: VTR tarafından işlenen kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.
    5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme: Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler VTR tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.

  • 4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI:

    KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, VTR tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.

    4.1. Kişisel Verilerin İşlenmesi Şartları:

    Kanun'da sayılan istisnalar dışında, VTR ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun'da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

    4.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları:

    Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise VTR tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:

    • Kanunlarda açıkça öngörülmesi,
    • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
    • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
    • Veri sahibinin kendisi tarafından alenileştirilmiş olması,
    • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    • Kamu sağlığının korunması,
    • Koruyucu hekimlik,
    • Tıbbî teşhis,
    • Tedavi ve bakım hizmetlerinin yürütülmesi,
    • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

  • 5. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ:

    5.1. VTR, KVKK 4, 5 ve 6. maddelerine uygun olarak ve Yönetmelik'in 5, 7, 9 ve 10. maddeleri kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan işbu Kişisel Veri İşleme Envanteri'ne dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir. İşbu Politika ve işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.

    5.2. Kişisel Veri Konusu Kişi Grupları:

    5.3. Veri Kategorizasyonu:

    5.4. Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel Verilerinin Toplanması Ve İşlenmesinin Amaçları:

    5.5. Veri Konusu Kişi Grupları ile Bu Kişilere Ait Veri Kategorilerinin İlişkilendirilmesi:

    1. Kişisel veri işleme amaçları,
    2. Veri kategorisi
    3. Verilerin aktarıldığı alıcı grubu veya alıcı grupları
    4. Veri konusu kişi grupları
    5. Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi
    6. Yabancı ülkelere aktarımı öngörülen kişisel veriler
    7. Veri güvenliğine ilişkin alınan tedbirler
    8. Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre
    • VTR hissedarları, VTR Yönetim Kurulu Üyeleri, VTR yöneticileri olan gerçek kişiler.
    • VTR çalışan adayları (Herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini VTR'nin incelemesine açmış olan ancak VTR bünyesinde çalışmayan ya da staj yapmayan gerçek kişiler) ve stajyerler,
    • VTR ile iş akdi ilişkisi içinde bulunan çalışanları gerçek kişiler,
    • VTR'den hizmet alan ve/veya VTR'ye mal ve hizmet temin eden özel hukuk gerçek/tüzel 3. kişileri, mezkûr 3. kişilerin hissedarları, yetkilileri, çalışanları, müşterileri olan gerçek kişiler,
    • VTR'den hizmet alan ve/veya VTR'ye mal ve hizmet temin eden özel hukuk gerçek/tüzel 3. kişilerin alt işverenleri ve bu alt işverenlerin hissedarları, yetkilileri ve çalışanları olan gerçek kişiler,
    • VTR'nin işyerlerinde, motorlu taşıtlarında ve sair hâkimiyet alanlarında müşteri, yolcu, ziyaretçi ve sair bilumum sıfatlarla bulunan gerçek kişilerdir.
    • Kimlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, nüfusa kayıtlı olduğu yer ve diğer nüfus bilgileri, doğum yeri, doğum tarihi, cinsiyet, medeni durum gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi v.b. bilgiler
    • İletişim Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler
    • Aile Bireyleri ve Yakın Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; VTR tarafından yürütülen faaliyetler çerçevesinde, kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
    • Güvenlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekâna, motorlu taşıta girişte, fiziksel mekânın içerisinde, motorlu taşıtta kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; ses ve/veya görüntü kaydeden kamera ve sair teknik cihaz kayıtları, taşıt plaka bilgileri, araç takip sistemleri verileri, kişinin bulunduğu yerin konumuna ilişkin bilgiler, güvenlik noktasında alınan kayıtlar, telefon aramalarında alınan ses kayıtları v.b.
    • Finansal Bilgi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; VTR'nin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre değişkenlik gösteren bilgi, belge ve kayıtlara ilişkin işlenen finansal kişisel veriler ile banka hesap numarası, banka hesap bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi v.b. ve çalışanlara ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı vb bilgiler.
    • Özlük Bilgisi: (Çalışan Performans ve Kariyer Gelişim Verisi, Çalışma ve İzin Verileri) Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; VTR ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak ve özlük dosyasında yer alması kanunen zorunlu tutulan bilgilerin (Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar, İzin kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, esnek saatlerde çalışma durumu, seyahat durumu, çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün, grevde geçen gün, çalışan internet erişim logları, giriş çıkış logları elde edilmesine yönelik işlenen her türlü kişisel veri ve çalışanın bulunduğu pozisyonda ilerleyebilmesi için gerekli olan performans (Eğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, e-posta, imzalı katılım formu, müşteri ile görüşme kalite değerlendirme formu, aylık performansının değerlendirilmesi ve hedef gerçekleştirme durumu, aktivite) bilgileri)
    • Özel Nitelikli Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVKK m. 6. maddesinde belirtilen veriler (örn. kan grubu da dâhil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi)
    • Talep/Şikâyet Yönetimi Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; VTR'ye yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler
    • Hukuki İşlem Bilgisi: Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler vb.
    • Müşteri İşlem Bilgisi: Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi
    • İşlem Güvenliği Bilgileri: IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi
    • Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen)
    1. VTR, kendi hissedarlarının ve yetkililerinin kişisel verilerini; Türk Ticaret Kanunu, Vergi Usul Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri çerçevesinde ticari faaliyetlerin gerçekleştirilebilmesi amacıyla işlemektedir. İşbu kişisel veriler resmi kurumlarda VTR'ye ilişkin olarak tutulan kayıtlardan, VTR genel kurul ve yönetim kurulu toplantı tutanakları, şirketin kurumsal ve yönetim süreçlerine ilişkin tutulan evraklardan elde edilmektedir.
    2. VTR, bünyesinde çalışan personellerin ve stajyerlerin kişisel verilerini, SGK kaydının yapılabilmesi için, yürürlükteki İş Kanunu ve İş Sağlığı ve Güvenliği Kanunu'nun uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu evrakların tamamlanması, faaliyet konusu işin yapılması sırasında iş hukukundan kaynaklanan yükümlülüklerin yerine getirilip getirilmediğini tespit, işyerlerinin, motorlu taşıtların, yolcu ve müşterilerin güvenliğini temin, herhangi bir kaza halinde yargılsal süreçler için delillerin toplanması amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, işe giriş ve iş başvurusu aşamasında açık rızaları ile ilettikleri öz geçmiş, iş başvuru formları, aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, Linkedin gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında kendilerine sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar, araç takip sistemi kayıtları, araçlarda ve işyerlerinde görüntü ve ses kaydetmeye yarayan cihazlar, resmi ve özel kurum kayıtları aracılığıyla elde edilmektedir.
    3. VTR, kendisine iş başvurusu yapan gerçek kişilerden kişisel verilerini, kişiyle işe alım sürecinde mülakat amaçlı iletişim kurmak ve mülakat sırasında kişinin nitelikleri ve deneyimleri ile işe alım yapılacak açık pozisyonun uyumlu olup olmadığını tespit etmek ve güvenlik amaçlarıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, başvuru yapan kişilerin kendi açık rızaları ile öz geçmişlerini insan kaynakları departmanına yollamaları, mülakat esnasında kendi rızaları ile sorulan soruları yanıtlamaları, ilan yayınlama ve aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, Linkedin gibi) sunduğu özgeçmiş görüntüleme yöntemleri ve işyerlerinde görüntü ve ses kaydetmeye yarayan cihazlar ile elde edilmektedir.
    4. VTR, işbirliği içerisinde olduğu iş ortaklarının çalışanları, yetkili gerçek kişilerinin ve müşteri gerçek kişilerinin verilerini iş ortaklığının kurulma amaçları çerçevesinde kaydetmektedir. Mal ve hizmet tedarikçilerinden temin edilen ve alışveriş merkezinin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin VTR'ye sunulmasının sağlanması ve bunun denetlenmesi, VTR'nin iştigal konusuna uygun hizmetleri sunabilmesi amaçlarıyla bu kişilerin kişisel verilerini kaydeder. İşbu kişisel veriler imzalanan sözleşmeler ve ekleri, gönderilen faturalar, cihaz teslim tutanakları, mail yazışmaları, telefon ve sair yollarla kurulan iletişim, kiracılarla kurulan iletişim kartvizitlerden elde edilmektedir.
    5. VTR'nin faaliyet göstermiş olduğu işyerlerine her ne sebeple olursa olsun gelen, motorlu taşıtlarına her ne sebeple olursa olsun binen tüm ziyaretçilerin kişisel verileri VTR'nin faaliyet göstermiş olduğu işyerlerinin ve araçlarının güvenliğinin sağlanması ve ziyaretçilerin talep ve şikâyetlerinin iletilmesi için telefon aramaları sonucu güvenlik nedeniyle ses kayıtları ilgili mevzuat kapsamındaki yükümlülüklerinin yerine getirilmesi amacı ile talep edilmekte ve işlenmektedir. Söz konusu kişisel veriler; plaka bilgisi, şikâyet ve talep formlarının VTR'ye iletilmesi, ilgili kimlik bilgilerinin etkinlik kayıt masalarında, danışmada veya Wİ-Fİ giriş ekranında verilmesi, VTR'nin telefon ile aranmasında arayan kişilerin ses kayıtlarının tutulması ve güvenlik kamera görüntüsü yöntemleri ile elde edilmektedir.
    • Kişisel Veri Kategorizasyonu İlgili Kişisel Verinin İlişkili Olduğu Veri Sahibi Kategorisi
    • Kimlik Bilgisi: VTR hissedarları, VTR yetkilileri, VTR taşeronları, çalışanları, stajyerleri, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, müşterileri, ziyaretçi,
    • İletişim Bilgisi: VTR hissedarları, VTR yetkilileri, taşeronları, çalışan/stajyerler, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, müşterileri, ziyaretçi,
    • Aile Bireyleri Ve Yakın Bilgisi: VTR hissedarları, VTR yetkilileri, çalışan/stajyerler
    • Güvenlik Bilgisi: VTR hissedarları, VTR yetkilileri, kiracıları, kiracılarının taşeronları, çalışanlar/stajyerler, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile müşterileri ve ziyaretçiler
    • Finansal Bilgi: VTR hissedarları, VTR yetkilileri, VTR kiracıları ve kiracılarının taşeronları, çalışan/stajyerler, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri
    • Özlük Bilgisi: (çalışan performans ve kariyer gelişim verisi, çalışma ve izin verileri) VTR yetkilileri, çalışanları, çalışan adayları, stajyerler, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri
    • Özel Nitelikli Kişisel Veri: VTR hissedarları, VTR yetkilileri, çalışanları, stajyerler, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile müşterileri,
    • Talep/Şikâyet Yönetimi Bilgisi: VTR hissedarları, VTR yetkilileri, VTR kiracıları, kiracıların taşeronları, çalışan/stajyerler, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, ziyaretçiler

  • 6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ:

    VTR veri sahiplerinin kişisel verilerini, 6698 sayılı KVKK'nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu Politika'da belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu'nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir. Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.

    Bu kişi ve Kurumlar;

    VERİ AKTARIMI YAPILABİLECEK ALICI GRUPLARI TANIMI İŞLENEN VERİLERİN AKTARIM AMACI

    1. VTR iş ortakları,
    2. VTR tedarikçileri,
    3. VTR kiracı/kiracı taşeronları,
    4. VTR hissedarları,
    5. VTR yetkilileri,
    6. Hukuken bilgi almaya yetkili kamu kurum ve kuruluşları,
    7. Hukuken bilgi almaya yetkili özel hukuk / kamu hukuku tüzel kişileridir.
    8. İş ortağı: VTR'nin ticari faaliyetlerini yürütürken birlikte muhtelif projeler yürütmek, hizmet almak, hizmet vermek gibi amaçlarla iş ortaklığı kurduğu, sözleşmeler akdettiği tarafları tanımlamaktadır. İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etme amacıyla sınırlı olarak veri aktarımı yapılabilir.
    9. Tedarikçi: VTR'nin ticari faaliyetlerini yürütürken VTR'nin emir ve talimatlarına uygun olarak sözleşme temelli yahut sözleşme olmaksızın münferit olarak VTR'ye hizmet sunan tarafları tanımlamaktadır. VTR'nin tedarikçiden dış kaynaklı olarak temin ettiği ve VTR'nin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin VTR'ye sunulmasını sağlamak amacıyla sınırlı olarak veri aktarımı yapılabilir.
    10. Kiracı/Kiracı Taşeronları: Kiracılar; VTR'de sözleşme temelli olarak araç kiralayan kişileri, kiracı taşeronları ise VTR'nin koymuş olduğu kurallar ve yasal yükümlülükler çerçevesinde VTR güvenliğinin ve düzeninin sağlanmasında kiracının bu yükümlülüklerini yerine getirmesine yardımcı olan taraflardır. Kiracılar ve kiracı taşeronlarının VTR'nin koymuş olduğu kurallara uymasını ve üzerine düşen yükümlülüklerin yerine getirilmesini sağlamak amaçlarıyla sınırlı olarak veri aktarımı yapılabilir.
    11. Hissedarlar, VTR hissedarı tüzel ve gerçek kişiler: İlgili mevzuat hükümlerine göre VTR'nin şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak veri aktarımı yapılabilir.
    12. Şirket yetkilileri VTR yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler: İlgili mevzuat hükümlerine göre VTR'nin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak veri aktarımı yapılabilir.
    13. Hukuken yetkili kamu kurum ve kuruluşları: İlgili mevzuat hükümlerine göre VTR'den bilgi ve belge almaya yetkili kamu kurum ve kuruluşları. İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla sınırlı olarak veril aktarımı yapılabilir.
    14. Hukuken yetkili özel hukuk kişileri: İlgili mevzuat hükümlerine göre VTR'den bilgi ve belge almaya yetkili özel hukuk kişileri. İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak veri aktarımı yapılabilir.

  • 7. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI:

    VTR tarafından; KVK Kurumu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurumu'nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. VTR bu doğrultuda KVK Kanunu'nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

    7.1. Kişisel Verilerin Yurtdışına Aktarılması:

    VTR meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:

    7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması:

    VTR gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.

    • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
    • Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
    • VTR'nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
    • Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
    • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
    • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, VTR'nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
    • Kişisel veri sahibinin açık rızası var ise veya
    • Kişisel veri sahibinin açık rızası yok ise;
      • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
      • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.

  • 8. KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, İMHASI, ANONİM HALE GETİRİLMESİ:

    Elde ettiğimiz kişisel veriler, VTR'nin ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler, kapsamında, VTR tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, VTR tarafından re'sen yahut sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir. Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu'nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, İmha Politikası'ndaki prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin yok edilmesi, silinmesi ve anonim hale getirilmesine ilişkin kurallar İmha Politikası'nda detaylı bir biçimde açıklanmaktadır.

  • 9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER:

    VTR, KVKK'nun 12'inci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, VTR bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.

    9.1. Teknik Tedbirler:

    9.2. İdari Tedbirler:

    9.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi:

    KVKK kapsamında VTR veri sorumlusu sıfatını haiz olacak olup VERBİS sistemine kayıt olacaktır. Yönetmelik'in 11'inci maddesinin 1'inci fıkrasında “Türkiye'de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır. VTR, Türk Ticaret Kanunu'nun (TTK) 367,371 ve 553'üncü maddesi ve diğer ilgili maddeleri uyarınca VTR'nin yönetim ve temsiline ilişkin “Şirket İç Yönergesi” oluşturmuştur. Şirket İç Yönergesi, şirketin yönetimini ve iş bölümünü düzenlemektedir. Bu yönerge uyarınca Yönetim Kurulu sahip olduğu yönetim ve temsil yetkisi ile kendisine tanınmış olan her türlü yetki ve sorumluluğu, şirket müdürlerine devretmiştir. Bunun için gerekli olan görevleri tanımlamakta, yetki devredilen kişilerin görev ve sorumluluklarının detayları ve sınırlarını belirlemekte özellikle kimin kime bağlı olduğunu ve şirketin yönetim ve organizasyon şeklini ve Yönetim Kurulu'nun çalışma prensiplerini belirlemektedir. Şirket İç Yönergesi ile görevlendirilmiş olan yetkililer, İç Yönerge'de belirtilen kendilerine bağlı birimlerin yönetimiyle ilgili bütün hususlarda karar almaya yetkilidir. Yönetim kurulu tarafından TTK'nın ilgili maddeleri uyarınca sınırları belirlenmiş olarak şirketin yönetim ve temsili verilen bu kişiler TTK, BK ve TCK kapsamında kendi yetki sınırları dâhilinde gerçekleşen işlem ve eylemlerden sorumludur. Özellikle Kollukta, Savcılıklarda, kamu kurumlarında ve mahkemelerde şirketi temsil etme ile ifade vermeye yetkili olarak şirket müdürleri seçilmiştir. VTR tarafından, KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere Şirket İç Yönergesi'ne, asıl yetkili İş Sağlığı ve Güvenliği Uzmanı olmak üzere kurulan tüm departman müdürlerini yetkili kılınmıştır. Her bir departman müdürü, departmanlardaki İlgili Kullanıcı'ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ve İmha Politikası'na uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm departman müdürleri belirtilen periyodik imha sürelerinde İmha Politikası doğrultusunda gerçekleştirdiği işlemleri İş Sağlığı ve Güvenliği Uzmanı raporlayacaktır. İş Sağlığı ve Güvenliği Uzmanı, tüm departman müdürlerinin denetim ve işlem raporlarını yapılan toplantılarda Yönetim Kurulu'na sunacaktır. Karar alınmasını gerektiren durumlarda İş Sağlığı ve Güvenliği Uzmanının da görüşü alındıktan Yönetim Kurulu'nun karar almasını müteakip alınan karar uygulamaya konulacaktır.

    10. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

    • Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
    • İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
    • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
    • Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
    • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
    • Teknik konularda bilgili personel istihdam edilmektedir.
    • Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
    • İhtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
    • Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
    • Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
    • İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak VTR işyerlerinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
    • VTR personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün VTR ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.
    • Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
    • VTR tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
    • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul'a bildirir.
    • Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
    • Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerin giderir.
    • VTR, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVKK hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVKK'nun 12. maddesi uyarınca sorumludur. Bu nedenle VTR, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler alır. Yine VTR tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirmelidir.

  • VTR, KVKK'nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve VTR kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK'nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir. KVKK'nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

    VTR, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, VTR'nin ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK'na dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin VTR tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur. Öte yandan, KVKK'nun 28(1) maddesi çerçevesinde sayılan durumlarda VTR'nin aydınlatma yükümlülüğü bulunmamaktadır.

    1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
    2. Kişisel verilerin hangi amaçla işleneceği,
    3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
    4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
    5. KVKK'nun 11. maddesinde sayılan diğer haklar.

  • 11. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI:

    11.1. Kişisel Veri Sahibinin Hakları, Bu Hakları İleri Süremeyeceği Haller:

    11.1.1. Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

    11.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller:

    Kişisel veri sahipleri, KVKK'nun 28. maddesi gereğince aşağıdaki haller KVKK kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 11inci bölümde sayılan haklarını ileri süremezler:

    11.1.3. KVKK'nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 11. bölümde sayılan diğer haklarını ileri süremezler:

    11.2. Kişisel Veri Sahibinin Haklarını Kullanması:

    Veri sahipleri bu bölümün 11inci başlığı altında sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu'nun belirlediği diğer yöntemlerle EK-1'de yer alan Başvuru Formu'nu doldurup imzalayarak VTR'ye ücretsiz olarak iletebileceklerdir:

    Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

    11.3. Kişisel Veri Sahibinin KVK Kurulu'na Şikâyette Bulunma Hakkı:

    Kişisel veri sahibi KVKK'nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; VTR'nin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu'na şikâyette bulunabilir.

    1. Kişisel veri işlenip işlenmediğini öğrenme,
    2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    6. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
    9. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
    10. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
    11. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
    12. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
    13. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
    14. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
    15. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
    16. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
    17. info@vtrturizm.com e-posta adresine gönderecekleri bir e-posta ile,
    18. turizmegitim@hs02.kep.tr kayıtlı e-posta adresine elektronik imza veya mobil imza ile gönderecekleri bir e-posta ile,
    19. Mandırlar Mh. Altınoluk Cd. No:152 Aksu / ANTALYA adresine iadeli taahhütlü posta, noter vasıtasıyla veya elden teslim yöntemi ile gönderecekleri Başvuru Formu ile öğrenme hakkına sahiptirler.

12. VTR'nin Başvurulara Cevap Vermesi:

12.1. VTR'nin Başvurulara Cevap Verme Usulü ve Süresi:

Kişisel veri sahibinin, bu bölümün 11.2. başlıklı kısmında yer alan usule uygun olarak talebini VTR'ye iletmesi durumunda VTR talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, VTR tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

12.2. VTR'nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler:

VTR, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. VTR, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

12.3. VTR'nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı:

VTR aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

  1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  5. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  6. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  7. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  8. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
  9. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
  10. Orantısız çaba gerektiren taleplerde bulunulmuş olması.
  11. Talep edilen bilginin kamuya açık bir bilgi olması.

  • 13. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA:

    İşbu Politika'nın revize edilmesi veya yürürlükten kaldırılması halinde Politika'nın revize edilmiş hali veya yeni politika örneği ilgili yerlerde ilan edilecektir.

  • 14. YÜRÜRLÜK:

    İşbu Politika 01.01.2020 tarihinde yürürlüğe girer.

  • 15. YÜRÜTME:

    İşbu Politika'nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan VTR'nin yönetim kurulunun KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere Şirket İç Yönergesi'ne göre asıl yetkili İşq5t Sağlığı ve Güvenliği Uzmanı olmak üzere kurulan tüm departman müdürleri sorumludur.