fbpx

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

EREĞLİ ANADOLU OTELCİLİK VE TİCARET SANAYİ LİMİTED ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

EREĞLİ ANADOLU OTELCİLİK TİCARET VE SANAYİ LİMİTED ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

BÜYÜK ANADOLU DİDİM RESORT HOTEL

 

ADRES: Mavisehir Mah., Kiray Cad., No:22, Didim/AYDIN

TELEFON: 0 (256) 825 94 94

WEB  :www.buyukanadoludidimresort.com

MAİL: info@buyukanadoludidimresort.com

 

İÇİNDEKİLER

1.GİRİŞ 4

1.1 Amaç 4

1.2 Kapsam 4

1.3 Kısaltmalar ve Tanımlar 4

2.SORUMLULUK VE GÖREV DAĞILIMLARI 7

3.KAYIT ORTAMLARI 9

4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR 10

4.1 Saklamaya İlişkin Açıklamalar 10

4.1.1 Saklamayı Gerektiren Hukuki Sebepler 10

4.1.2 Saklamayı Gerektiren İşleme Amaçları 11

4.2 İmhayı Gerektiren Sebepler 13

5.TEKNİK VE İDARİ TEDBİRLER 13

5.1 Teknik Tedbirler 14

5.2 İdari Tedbirler 16

6.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ 17

6.1 Kişisel Verilerin Silinmesi 17

6.2 Kişisel Verilerin Yok Edilmesi 18

6.3 Kişisel Verilerin Anonim Hale Getirilmesi 18

  1. SAKLAMA VE İMHA SÜRELERİ 19

7.1 Süreç Bazında Saklama ve İmha Süreleri 20

7.2 Talebe Bağlı İmha Süreleri 21

  1. PERİYODİK İMHA SÜRESİ 21
  2. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI 22

10.POLİTİKA’NIN GÜNCELLENME PERİYODU 22

11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI 22

 

1.GİRİŞ 

 

1.1 Amaç 

 

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Ereğli Anadolu Otelcilik Ticaret ve Sanayi Limited Şirketi’nce (Şirket) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. 

 

Şirket; çalışanlara, ziyaretçilere, günübirlik tesis kullanıcılarına, çalışan adaylarına, hizmet ve ürün sağlayıcılara, konaklayanlara, organizasyon sahiplerine, kamera kayıt ortamında bulunanlara, acente yetkililerine ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

 

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

 

1.2 Kapsam 

 

Çalışanlara, ziyaretçilere, günübirlik tesis kullanıcılarına, çalışan adaylarına, hizmet ve ürün sağlayıcılara, konaklayanlara, organizasyon sahiplerine, kamera kayıt ortamında bulunanlara, acente yetkililerine ve diğer üçüncü kişilere ait kişisel veriler, bu Politika kapsamında olup Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

 

1.3 Kısaltmalar ve Tanımlar

 

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

 

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. 

 

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. 

 

Çalışan: Kişisel Verileri Koruma Kurumu personeli. 

 

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. 

 

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

 

Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. 

 

İlgili Kişi: Kişisel verisi işlenen gerçek kişi. 

 

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. 

 

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. 

 

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu. 

 

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. 

 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. 

 

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. 

 

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

 

Kurul: Kişisel Verileri Koruma Kurulu 

 

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. 

 

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

 

Politika: Kişisel Verileri Saklama ve İmha Politikası 

 

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. 

 

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. 

 

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. 

 

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. 

 

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi 

 

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

 

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 

Maskeleme: Kişisel Verinin temel belirleyici bilgisinin veri içerisinden çıkartılarak Kişisel Verinin anonim hale getirilmesi yöntemi.

 

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.

 

F&B: Food and beverage (yiyicek ve içecek)

 

2.SORUMLULUK VE GÖREV DAĞILIMLARI 

 

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. 

 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir. 

 

Tablo 1: Saklama ve imha süreçleri görev dağılımı

 

ÜNVAN BİRİM GÖREV TANIMI
GENEL MÜDÜR YÖNETİM Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. Gelişen ve değişen iş süreçlerine yönelik olarak politikanın güncellenmesinden ve yayınlatılmasından sorumludur.

Diğer birimlerce iletilen başvuruların cevaba yetkili birimlere iletilmesi görevi Genel Müdür’e aittir.

MUHASEBE MÜDÜRÜ MUHASEBE Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. İş Kan., TBK, TTK ve Vergi Usul Kanunu ile sair kanunlar kapsamındaki kişisel veri saklama süreçlerinin yönetimi. İlgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur.
İNSAN KAYNAKLARI MÜDÜRÜ İNSAN KAYNAKLARI Çalışan, çalışan adayı ile diğer İK muhatabı ilgili kişilerin başvuru ve yerleştirme süreçlerine ilişkin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. İş. K,TBK, TTK ve Vergi Usul Kanunu ile sair kanunlar kapsamındaki kişisel veri saklama süreçlerinin yönetimi. İlgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanması, çalışanların kişisel verilere ilişkin politikalara uyumunun sağlanmasından sorumludur.
BİLGİ İŞLEM MÜDÜRÜ BT/IT Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. BT sistemleri muhataplarına ve ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından, politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
SATIN ALMA MÜDÜRÜ SATIN ALMA Tedarikçiler ile hizmet alan veya alınan gerçek kişilerin kişisel verilerinin saklama sürelerine uygunluğunun sağlanması, ilgili olduğu periyodik imha sürecinin yönetimi. İlgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur.
ÖN BÜRO MÜDÜRÜ ÖN BÜRO Konaklayanların ve ziyaretçilerin kişisel verilerinin saklama sürelerine uygunluğunun sağlanması, ilgili olduğu periyodik imha sürecinin yönetimi. Konaklayanlara yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur.
SATIŞ-PAZARLAMA MÜDÜRÜ SATIŞ PAZARLAMA Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. Konaklayanlar başta olmak üzere, ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur.
MİSAFİR İLİŞKİLERİ MÜDÜRÜ MİSAFİR İLİŞKİLERİ Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. Konaklayanlar başta olmak üzere, ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur.
KAT HİZMETLERİ MÜDÜRÜ KAT HİZMETLERİ Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. Konaklayanlar başta olmak üzere, ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak yetkili çalışana iletilmesinden sorumludur.
GÜVENLİK MÜDÜRÜ GÜVENLİK Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. Konaklayanlar başta olmak üzere, ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak yetkili çalışana iletilmesinden sorumludur.
HİJYEN MÜDÜRÜ HİJYEN Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. Covid-19 tedbirleri kapsamında alınan verilerin sahipleri başta olmak üzere, ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur.
F&B MÜDÜRÜ F&B Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. Konaklayanlar başta olmak üzere, ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak yetkili çalışana iletilmesinden sorumludur.

 

Tüm birim ve çalışanlar görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

Tüm birim müdürleri imha tutanaklarını Genel Müdür’e teslimden sorumludur.

3.KAYIT ORTAMLARI 

 

Kişisel veriler, Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

 

Elektronik Ortamlar Elektronik Olmayan Ortamlar
Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, IBM offline server, güvenlik duvarına entegre hotspot yazılım vb.)

-Yazılımlar (ofis yazılımları, portal )

-Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.)

-Kişisel bilgisayarlar (Masaüstü, dizüstü)

-Mobil cihazlar (telefon, tablet vb.)

-Çıkartılabilir bellekler (USB, hafıza kartı vb.)

-Yazıcı, tarayıcı, fotokopi makinesi

-KBS Sistemi (Emniyet sistemine gönderim vb.)

-E-fatura, E-defter sistemi

-Otel Yönetim Sistemi

-İnternet Sağlayıcı Sistemi

-İleti Yönetim Sistemi

-Kamera Kayıt Sunucusu

-Kâğıt 

-Otomatik olmayan veri kayıt sistemleri (anket formları, ziyaretçi defteri vb.)

-Yazılı, basılı, görsel ortamlar

-Dolaplar

 

4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR 

 

Şirket tarafından; çalışanlara, ziyaretçilere, günübirlik tesis kullanıcılarına, çalışan adaylarına, hizmet ve ürün sağlayıcılara, konaklayanlara, organizasyon sahiplerine, kamera kayıt ortamında bulunanlara, acente yetkililerine ve diğer üçüncü kişilere ait kişisel Kanuna uygun olarak saklanır ve imha edilir. 

 

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir. 

 

4.1 Saklamaya İlişkin Açıklamalar 

 

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. 

 

Buna göre, Şirketimizin faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

 

4.1.1 Saklamayı Gerektiren Hukuki Sebepler 

 

Şirketimiz, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

-6698 sayılı Kişisel Verilerin Korunması Kanunu

-4857 sayılı İş Kanunu

-5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

-213 Sayılı Vergi Usul Kanunu

-265 Nolu Gelir Vergisi Genel Tebliğ

-6331 sayılı İş Sağlığı ve Güvenliği Kanunu

-1111 sayılı Askerlik Kanunu

-Yıllık Ücretli İzin Yönetmeliği

-6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu

-İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği

-İş Kanununa İlişkin Fazla Çalışma ve Fazla Sürelerle Çalışma Yönetmeliği

-6098 sayılı Türk Borçlar Kanunu

-3308 sayılı Mesleki Eğitim Kanunu

-6102 sayılı Türk Ticaret Kanunu

-Turizm Tesislerinin Niteliklerine İlişkin Yönetmelik

-İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik

-Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik

-1174 sayılı Kimlik Bildirme Kanunu

-Kimlik Bildirme Kanunun Uygulanmasıyla İlgili Yönetmelik

-Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

-5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

-Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

Kültür ve Turizm Bakanlığı tarafından yayınlanan Konaklama Tesislerinde Kontrollü Normalleşme Süreci Genelgesi

– İçişleri Bakanlığı tarafından yayınlanan Konaklama Tesislerinde Uygulanacak Standartlar ve Tedbirler Hk. Genelge

– Sağlık Bakanlığı Tarafından yayınlanan Konaklama Tesislerinde Alınması Gereken Önlemler ile Salgın Yönetimi ve Çalışma Rehberi

 

çerçevesinde öngörülen saklama süreleri ve açık rızanın varlığı halinde veri işleme amacına uygun düşecek süre kadar saklanmaktadır.

 

4.1.2 Saklamayı Gerektiren İşleme Amaçları 

 

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

 

ANA AMAÇLAR ALT AMAÇLAR
Şirketin İnsan Kaynakları Politikalarının Yürütülmesi
  • Çalışanların İş Akdi Ve Mevzuattan Kaynaklı Asli Ve Yan Haklarına İlişkin Süreçlerin Yürütülmesi,
  • Sözleşme İlişkisi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi,
  • İnsan Kaynakları Süreç Ve Politikalarının Yürütülmesi,
  • İş Başvurularının Ve İşe Uygunluğun Değerlendirilmesine Yönelik İşlemlerin Gerçekleştirilmesi İle İş Görüşmesinin Olumsuz Sonuçlanması Durumunda İlerleyen Dönemlerde Oluşabilecek Uygun Pozisyonlar İçin Değerlendirilmesi,
  • Referans Gösterilen Kişilerle Bilgilerin Teyidi İçin İletişime Geçilmesi,
  • Eğitim, Yetenek Ve Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,
  • Görevlendirme Süreçlerinin Yürütülmesi.
Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi Ve Güvenliği İçin Gerekli Çalışmaların Ve Planlamaların Yapılması, İcrası
  • Kurumsal Yönetim Ve İletişim Faaliyetlerinin Kurgulanması, Geliştirilmesi Ve İcrası,
  • Şirketin Ticari Ve İş Faaliyetlerinin Ve/Veya İş Süreçlerinin Planlanması, İcrası Ve Denetimi,
  • Mal Veya Hizmet Satın Alım Faaliyetleri Dolayısıyla Tedarik İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
  • Otelcilik Faaliyetleri Kapsamındaki Hizmetleri Sunmak Ve Yönetmek İle Mal Ve Hizmet Satış Süreçlerinin Yürütülmesi,
  • Otel Konaklama Ve Tesis Kullanımına İlişkin Rezervasyon Başvurularının Alınması, Konaklama/Kullanım İşlemlerinin Gerçekleştirilmesi Ve Takibinin Sağlanması,
  • Etkinlik, Organizasyon Ve Davete İlişkin Süreçlerin Yürütülmesi,
  • Malzeme Talebinde Bulunulması Ve Sipariş Takibinin Sağlanması,
  • Firma, Ürün Ve Hizmetlere Bağlılık İle Pazarlama Analiz Çalışmalarının Ve İletişim Faaliyetlerinin Yürütülmesi,
  • Otel İçerisindeki İşletmelerle, Otelin Kiracısı Olduğu İşletmeler Kapsamında Kira İlişkisinin Kurulması Ve Yürütülmesi,
  • Yönetim Faaliyetlerinin Ve Risk Yönetimi Süreçlerinin Yürütülmesi,
  • Temizlik Ve Kat Hizmetleri Faaliyetlerinin Takibi,
  • Odalara Erişimin Yönetilmesi.
Şirket’in, Şirket Çalışanlarının Ve Şirket İle İş İlişkisi İçinde Olan Kişilerin Hukuki, Teknik Ve İş Güvenliğinin Temini
  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
  • Hukuki Süreçlerin Takibi Ve Yürütülmesi,
  • Veri Sorumlusunun Operasyonlarının Ve Bilgi Güvenliği Süreçlerinin Yürütülmesi Ve Temini,
  • Şirketin Hukuki Ve Cezai Sorumluluğuna Karşı Korunması,
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,
  • İşveren Sorumluluğunun Ekonomik Sonuçlarına Karşı Sigorta Güvencesinin Sağlanması,
  • İşyerindeki Güvenlik Önlemlerinin Alınmasını Sağlamak Ve İşyerindeki Çalışma Ortamının Bozulmasını Önlemek,
  • Bina İçerisinde Ve Çevresinde Taşınır Mal Ve Kaynaklar İle Personel Güvenliğinin Temini,
  • Tesiste Meydana Gelen Olayların Takibi Kapsamında Tesis Güvenliğinin Sağlanması,
  • Tesiste Meydana Gelen Ve Basit Tıbbi Müdahale Gerektiren Olayların Takibi.
Şirketin Denetim Faaliyetlerinin İcrası Ve Tüketiciler Üzerine Uyandırdığı Güvenin Korunması
  • Disiplin, Şikayet, İç Soruşturma Ve Denetim Faaliyetlerinin Yürütülmesi İçin Gereken Bilgilerin Toplanması,
  • Müşteri İlişkileri Yönetimi Çalışmalarının Yürütülmesi Kapsamında Müşteri Memnuniyetinin Ölçümlenmesi Ve Arttırılması İle Talep Ve Şikayetlerin Takibi,
  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,
  • Hizmet/Sözleşme İfasına İlişkin Kalite Kontrolü Ve Değerlendirmesi,
  • Acentelerle İşbirliği Yapılması Ve Müşterilere En Uygun Seçeneklerin Sunulmasının Sağlanması,
  • Satış Sonrası Destek Hizmetlerinin Yürütülmesi Kapsamında İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi,
  • Unutulan Veya Kaybedilen Eşyanın İade Süreçlerinin Yürütülmesi.
Şirketin İş İlişkisi İçerisinde Olduğu Kişiler İle Şirket Çalışanlarına Yapılacak Ödeme Süreçlerinin Planlanması Ve İcrası
  • Finans, Muhasebe, Ücret Ve Ödemelere İlişkin Süreç Ve Politikaların Yürütülmesi,
  • Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi İle Şirketimizin Taraf Olduğu Kontratların Dosyalanması,
  • Sefer Sayısına Göre Ödeme Faaliyetlerinin Yürütülmesi,
  • Alacak/Borç İlişkisinin Takibi,
  • İptal İade Süreçlerinin Yürütülmesi,
  • Rezervasyon, Konaklama Ve Ödeme İhtilaflarında Çözüm Tespitinin Sağlanabilmesi.
Acil Durumlarda Şirket Çalışanlarının Güvenliğinin Temini
  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi.
Şirketimiz Tarafından Sunulan Ürün Ve Hizmetlerin Kişisel Veri Sahiplerinin Beğeni, Kullanım Alışkanlıkları Ve İhtiyaçlarına Göre Özelleştirilerek Kişisel Veri Sahiplerine Önerilmesi İçin Gerekli Çalışmaların Yapılması
  • Potansiyel Konaklayanların Otel Faaliyet Ve Etkinlik Süreçlerinden Haberdar Edilmesi,
  • Sosyal Medya Bağlantısı İçerisinde Bulunan Kişilere Otel Faaliyet Ve Etkinliklerinin Tanıtılması İle Paylaşılması,
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi Kapsamında Reklam, Kampanya Ve Promosyon Süreçlerinin Yürütülmesi İle Kampanya Çalışmalarında Elde Edilen Otel Konsept Bilgilerinin Sağlanması,
  • Otelimizin Bilgi Danışma Hizmeti Temin Sürecini Yürütebilmesi Kapsamında Aramanın Teyidi Ve Arayan Kişiye Doğru Hitap Edilebilmesi.
Tesis İçerisindeki Faaliyetlerin Düzenli, Disiplinli Ve Güvenli Bir Şekilde Yürütülebilmesi İçin Gereken Bilgilerin Elde Edilmesi 
  • Konaklayanların Araçlarının Güvenliğinin Ve Otopark Düzeninin Sağlanması İle Gerektiği Durumlarda Misafirlere Ulaşılması,
  • Periyodik Bakım Süreçlerinin Yürütülmesi,
  • Tesise Gelen Kargoların Takibi Ve Alıcılara Teslimi,
  • Dolum Sürecinin Takibi Ve Emniyetli Bir Şekilde Yürütülmesi,
  • Konaklayan, Ziyaretçi Ve Günübirlik Kullanım Kayıtlarının Oluşturulması Ve Çıkışlarının Takibi.

 

ANA AMAÇLAR ALT AMAÇLAR
Covic-19 Tedbirleri Kapsamında Öngörülen Yükümlülüklerin Yerine Getirilmesi  

  • Kültür Ve Turizm Bakanlığı Tarafından Yayınlanan Konaklama Tesislerinde Kontrollü Normalleşme Süreci, İçişleri Bakanlığı Tarafından Yayınlanan Konaklama Tesislerinde Uygulanacak Standartlar Ve Tedbirler Hk. Başlıklı Genelgeler İle Sağlık Bakanlığı Tarafından Yayınlanan Konaklama Tesislerinde Alınması Gereken Önlemler Başlıklı Yazı İle Salgın Yönetimi Ve Çalışma Rehberi Uyarınca Öngörülen Yükümlülüklerin Yerine Getirilmesi Amacıyla İşlenmektedir. 

 

4.2 İmhayı Gerektiren Sebepler 

Kişisel veriler; 

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,  
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin
  • silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,  Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,  
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, 

 

durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

 

5.TEKNİK VE İDARİ TEDBİRLER

 

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

 

5.1 Teknik Tedbirler

 

Şirket tarafından işlenen kişisel verilere ilişkin olarak alınan teknik tedbirler aşağıda sıralanmıştır:

 

 

  • Erişim logları düzenli olarak tutulmaktadır. (İnternet erişimine ilişkin olarak güvenlik duvarı ile kimlik doğrulama yapılarak log tutmaktadır)
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır. (Güvenlik duvarı aracılığıyla sağlanmaktadır.)
  • Güvenlik duvarları kullanılmaktadır. (Güvenlik duvarına ilişkin yazılım günceldir)
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. 
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. (İlgili faaliyet Bilgi İşlem tarafından gerçekleştirilmekte olup yazılım sağlayıcılar tarafından sistemlerin iyileştirilmesi ve korunması amacıyla erişim sağlanabilmektedir.)
  • Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. (5651 Sayılı Kanun’a uygun şekilde gerçekleştirilmektedir.)
  • Özel nitelikli kişisel veriler elektronik ortamda posta yoluyla gönderilecekse mutlaka şifreli olarak kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır. 
  • Şifreleme yapılmaktadır. (Kullanıcılara tek bir şifre ile değil ayrı ayrı şifreleme yapılmıştır)
  • Sızma testi uygulanmaktadır. (Güvenlik duvarı aracılığıyla sağlanmaktadır)
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. (Ağda kullanılan Acsess point, switch vb. cihazların şifreli olarak kurulumları yapılıp dışarıdan gelecek saldırılara karşı tedbir alınmıştır) (Kullanılan uygulamaların güvenliği, server üzerinden çalıştırılması sağlanması yoluyla silinme ve bozulmaya karşı engellenmiştir.)
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Çerez ve Gizlilik politikası oluşturulacak tatbiki sağlanmıştır. 
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Güvenlik duvarı ve ağ geçidi tedbirleri alınmaktadır. 
  • Donanım ve yazılımlar güvenli kurulum ve yapılandırma işlemlerine tabi tutulmaktadır.
  • Kullanılmayan yazılım ve servislerin silinmektedir.
  • Sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmektedir. 
  • Kişisel veri içeren sistemlere erişimin sınırlandırılmaktadır.
  • Erişim yetkisi ve buna bağlı politika ve prosedürler oluşturularak bunların takibinin yapılmaktadır.
  • İlişkileri kesilen çalışanlar için zaman kaybetmeksizin hesap silme işlemi sağlanmaktadır.
  • Farklı internet siteleri/ mobil uygulama kanallarından kişisel veri temin edilecekse bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.
  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığı kontrol edilmektedir.
  • Tüm kullanıcıların işlem hareket kaydının düzenli olarak tutulmaktadır.
  • Güvenlik sorunları mümkün olduğunca hızlı bir şekilde raporlanmaktadır.
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığı belirlenebilmektedir.
  • Elektronik ortamda bulunan kişisel veriler için ağ bileşenleri arasındaki erişimin sınırlandırılması veya bileşenlerin ayrılması sağlanmıştır.
  • Elektronik posta yoluyla veri aktarılacak olması halinde gerekli güvenlik tedbirlerinin alınmaktadır.
  • Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, seviş gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamını sökülerek saklanmaktadır. Sadece arızalı parçaların gönderilmesi, bakım ve onarı gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak şirket dışına çıkartmasının engellenmesi için gerekli önlemler alınmaktadır.
  • Kişisel veri içeren basılı evrakların, sunucuların, yedekleme cihazlarının ve USB gibi cihazların ek güvenlik önlemlerinin alınacağı ayrı bir kısımda tutulması ve bu alanlara giriş çıkışların kontrol altına alınması sağlanmıştır.
  • Kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme sağlanmaktadır.
  • Yedeklenen kişisel verilerin sadece sistem yöneticisi tarafından erişilebilir olması, veri seti yedeklerinin ağ dışında tutulması sağlanmaktadır.
  • Şirket dışına çıkarılan içinde kişisel veri barındıran veya kişisel verilerin olduğu sunuculara erişebilen diz üstü bilgisayarların sabit disklerinin şifrelenmesi sağlanmıştır.
  • Uzaktan yapılacak yeni saldırı tiplerinin fark edilmesi için SIEM üzerindeki ilgileşim kurallarının belirli aralıklarla gözden geçirilmesi ve gerekiyorsa güncellenmesi amacıyla Güvenlik Duvarı sağlayıcı şirketten destek alınmaktadır.
  • Uzaktan erişimlerde RDP (Remote Destkop Security) kullanılmaktadır.
  • İlgililere ilişkin verilerin tutulduğu dosyaların şirket dışına sızmaması için USB cihazlara kişisel veri aktarımı yapıldığında cihazlar üzerinde şifreleme zorunluluğu bulunmaktadır.
  • Çalışanların hukuka aykırı ifşa; kötü yazılımların bilinçsizce kullanılması; yanlış elektronik posta gönderimi; güvenlik politika ve prosedür kullanımı hususlarında eğitilmektedir.
  • Kişisel verilerin tam olarak korunmasına yardımcı olacak ve uluslararası kabul gören şifreleme programları kullanılmaktadır.
  • Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmaktadır.
  • Uygulamalar işlemi sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmıştır.
  • Çalışanların kendi bilgisayar ve/veya mobil cihazlarını şirket ağına sokmaları sırasında MAC adresi alınmakta ve/veya izin süreci tanımlanmaktadır. 
  • Şirket içi dosya paylaşımı yapılan alanlarda grup/rol bazlı yetkilendirme yöntemine gidilmektedir. 
  • Veri tabanı yedeklerin bulunduğu odaya girişler Teknik Servis sorumluluğunda ve sınırlı olarak gerçekleşmektedir.
  • Çalışanlar hukuka aykırı ifşa; kötü yazılımların bilinçsizce kullanılması; yanlış elektronik posta gönderimi; güvenlik politika ve prosedür kullanımı hususlarında eğitilmektedir.
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.

 

 

5.2 İdari Tedbirler

 

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

 

  • Aydınlatma yükümlülüğünün yerine getirilmesi getirilmesinde uygulanacak usul ve esaslar hakkında tebliğ ile Kişisel Verilerin Korunması Kanunu 10. Ve 11. Maddeleri kapsamında aydınlatma metinleri düzenlenmiş ve kullanılmaktadır.
  • Kişisel verilerin Korunması ve İşleme Politikası hazırlanmış ve kullanılmaktadır.
  • Kişisel Veri İşleme Envanteri hazırlanmış ve politikalar, metinler vb. bu envanter ışığında oluşturulmuştur.
  • Kişisel Verilerin Korunması Kanunu’nun 5. ile 6. Maddelerindeki istisnalar dışında veri işlenmesinde kullanılmak üzere ve geçici madde 1/3 kapsamında açık rıza metinleri hazırlanarak kullanılmaya başlamıştır. Rızasını geri almak isteyen ilgililer için rıza geri alım formu oluşturularak sürecin rıza verilmesindeki hız ve verimlilikle sürdürülmesi hedeflenmiştir.
  • Kişisel Verilerin Korunması Kanunu madde 11 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ çerçevesinde başvuru formu oluşturularak ilgili kişilerin erişimine sunulmuştur. Bu kapsamda başvuru cevap metinleri ile yasal süresi içerisinde talebin yerine getirilmesi aksi halde ise yasal süresi içerisinde gerekçenin ilgili kişiye bildirilmesi hedeflenmektedir. 
  • Üçüncü kişiye aktarılmış verilerle ilgili res ’en yahut talep üzerine imha süreçlerinin etkili bir biçimde sürdürülebilmesi için üçüncü kişiye aktarılmış veri imha ihtar oluşturulmuştur. Ayrıca ilgilinin düzeltme talebi olabileceği göz önünde bulundurularak üçüncü kişiye aktarılmış verilere yönelik düzeltme ihtarı oluşturulmuştur.
  • Kişisel veri ihlali gerçekleşmesi durumunda sürecin en kısa zamanda ve en az zararla atlatılmasına yönelik olarak ilgili kişi ve kuruma bildirim alt yapısı ile İhlal Bildirim Politikası oluşturulmuştur.
  • Kişisel Verilerin Korunması Kurumu kararları farkındalık ve uyum eğitimleri kapsamında veri güvenliği süreçlerine dâhil edilmiş ve yeni kararlar takip edilmektedir.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
  • Kişisel veri işleme envanteri hazırlık sürecinde Erişim ve Yetki Kontrol Matrisi oluşturulmuş ve denetim amaçlanmıştır.
  • Çalışanların farkındalığına ve iş süreçlerinin güvenliğine yönelik “iletişim araçlarının kullanımına yönelik politika” ile “parola politikası” hazırlanmıştır.
  • Çalışanların iş sözleşmeleri kişisel verilerin korunmasına bakımından revize edilmiştir.
  • Erişim ve yetki politikası, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. 
  • İş ortaklarına yönelik sözleşmelerin eki niteliğindeki “bilgi güvenliği ve kişisel verilerin korunması taahhüdü” oluşturularak veri sorumluları ile bağlantılı süreçlerde uyum sağlanmıştır.
  • İşin gereklerine yönelik olarak veri sorumlusundan veri sorumlusuna aktarım taahhütnamesi ve veri sorumlusundan veri işleyene aktarım taahhütnamesi kullanılmaktadır. Ayrıca veri işleyenlere yönelik olarak veri işleme sözleşmeleri hazırlanmış ve kullanılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri işlenmesini gerektiren süreçlere ilişkin gerekli Prosedürler hazırlanmış ve kullanılmaya başlanmıştır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Kişisel veri aktarımına ilişkin genel çerçeveyi ortaya koyacak “aktarım politikası” hazırlanmıştır.
  • Özel nitelikli kişisel veri güvenliğine yönelik ayrı bir politika ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Web sitesi aracılığıyla otomatik olan yahut yine sitede bulunan başvuru formu aracılığıyla otomatik olmayan yollarla veri edilen durumlara ilişkin “Gizlilik ve Çerez” politikaları hazırlanmıştır.
  • Covid-19 tedbirleri nedeniyle oluşturulan metinlere yönelik uyum çalışması yapılmış ve ilgili veriler envanterde ayrıca bölümlendirilmiştir.

 

 

6.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ 

 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re ’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir. 

 

6.1 Kişisel Verilerin Silinmesi 

 

Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.

 

Tablo 3: Kişisel Verilerin Silinmesi

Veri kayıt ortamı Açıklama
Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır
Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar veya üçüncü kişiler (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yönetici hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için silme işlemi yapılır.

 

6.2 Kişisel Verilerin Yok Edilmesi 

 

Kişisel veriler, Kurum tarafından Tablo-4’te verilen yöntemlerle yok edilir. 

 

Tablo 4: Kişisel Verilerin Yok Edilmesi

 

Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde veya yakma suretiyle geri döndürülemeyecek şekilde yok edilir.
Optik/Manyetik Medyada Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması gibi fiziksel olarak yok edilmesi işlemi uygulanır.

 

6.3 Kişisel Verilerin Anonim Hale Getirilmesi 

 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

 

Şirket,

Verinin niteliği,

Verinin büyüklüğü,

Verinin bulunduğu fiziki ortamın yapısı,

Verinin çeşitliliği,

Verinin işlenme sıklığı,

Verinin imha edilmesi için harcanacak çabanın orantılığı,

İmhanın etkisiz olması halinde ortaya çıkabilecek zararın büyüklüğü,

İmhanın etkisiz olma ihtimali,

Verinin merkezilik oranı,

Kullanıcıların ilgili veriye erişim yetki kontrollerini göz önünde bulundurarak imha yöntemlerinden uygun olanı seçip res’en ya da ilgili kişinin başvurusu üzerine imha sürecini yönetir.

 

Silinen, yok edilen veya anonim hale getirilen veriler tutanak altına alınmaktadır. İş bu tutanaklar 3 yıl süreyle saklanmaktadır.

 

  1. SAKLAMA VE İMHA SÜRELERİ 

 

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;  

 

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;  

Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;

Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır. 

 

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Genel Müdür tarafından güncellemeler yapılır. Yapılan güncellemeler tarih kaydıyla birlikte Politikaya eklendikten sonra güncel hali yayınlanır.

 

Saklama süreleri sona eren kişisel veriler için re ‘sen silme, yok etme veya anonim hale getirme işlemi Fiziksel ortamda yer alan veriler bakımından ilgili bölüm müdürü tarafından, Elektronik ortamda yer alan veriler bakımından Bilgi İşlem Müdürü tarafından yerine getirilir. 

 

7.1 Süreç Bazında Saklama ve İmha Süreleri

 

Tablo 5: Süreç bazında saklama ve imha süreleri tablosu

 

SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
İş sözleşmelerinin kurulması ve ifasına yönelik faaliyetler ile ilgili sürecin mevzuat yükümlülüklerinin yerine getirilmesi İş sözleşmesinin sona ermesinden itibaren 10 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
İş sağlığı ve güvenliğinin sağlanması ile çalışanların kişisel sağlık dosyalarının oluşturulması İş sözleşmesinin sona ermesinden itibaren 15 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Hukuki süreçlerin yürütülmesine ilişkin faaliyetler Kesinleşme tarihinden itibaren 10 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Çalışanlara ilişkin fiziki mekan güvenliği kayıtları Çalıştığı süre boyunca Saklama Süresinin bitimini takip eden 180 gün içerisinde
Çalışan adayı başvuru ve yerleştirme süreçleri Sözleşme kurulması halinde çalışana ilişkin sürelere tabidir aksi taktirde 2 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Doğrudan ticari faaliyetlerin yürütülmesine ilişkin iş ve işlemler 

(Konaklayana, organizasyon sahibine, hizmet alan firma yetkilisine, günübirlik tesis kullanıcısına ait ticari kayıtlarda dâhil olmak üzere)

Hukuki ilişkinin bitiminden itibaren 10 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Dolaylı olarak ticari faaliyetlerin yürütülmesine ilişkin iş ve işlemler Ticari ve hukuk ilişki devam ettiği sürece Saklama Süresinin bitimini takip eden 180 gün içerisinde
Pazarlama faaliyetleri 1 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Organizasyon ve etkinlik faaliyetleri Organizasyon veya konferansın bitiminden itibaren 1 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Kamera kayıtları 21 gün Saklama Süresinin bitimini takip eden 180 gün içerisinde
Sertifikasyon süreçleri

dolayısıyla işlenen

veriler

Sertifika geçerlilik

Süresi boyunca

Saklama Süresinin bitimini takip eden 180 gün içerisinde
İş faaliyetlerinin yürütümü ve denetimi için tahsis veya yetki işlemleri Çalışılan süre boyunca Saklama Süresinin bitimini takip eden 180 gün içerisinde
Sezonluk otelcilik faaliyetleri

icrası dolayısıyla işlenen

veriler

1 Yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Log/Kayıt/Takip sistemleri 2 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Mail order ile ödeme yapılması halinde işlenen kişisel veriler Konaklayan çıkışına 

kadar

Saklama Süresinin bitimini takip eden 180 gün içerisinde
Sosyal medyada paylaşılan

görsel ve işitsel veriler

5 yıl Saklama Süresinin bitimini takip eden 180 gün içerisinde
Konaklama kayıtları oluşturulması Konaklama Belgeleri Düzenlendiği Yılı İzleyen Takvim Yılından Başlayarak 1 Yıl, Konaklama Yeri Kayıt

Defteri Yerine Geçen Elektronik Sisteme Kaydedilen Veriler İse İzleyen Takvim Yılından

İtibaren Başlayarak 5 Yıl

Saklama Süresinin bitimini takip eden 180 gün içerisinde
Covid-19 tedbirlerinin yerine getirilmesi İkinci Bir Genelge İle Yerine Getirilmesi Öngörülen Yükümlülükler Kaldırılıncaya Kadar Saklama Süresinin bitimini takip eden 180 gün içerisinde

 

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır

 

7.2 Talebe Bağlı İmha Süreleri

 

Talep halinde ve kişisel verileri işleme şartlarının tamamının ortadan kalkması durumunda Şirket talebe konu kişisel verileri silecek, yok edecek veya anonim hale getirecektir. Bu talep en geç 30 gün içinde yerine getirilerek ilgili kişiye bildirilecektir. 

Kişisel verilerin üçüncü kişiye aktarılması halinde ise Şirket ilgili talebi üçüncü kişilere aktararak talebin iletilmesini sağlar.

Kişisel verileri işleme şartlarının tamamının ortadan kalkmaması halinde bu talep reddedilebilir. Bu durum gerekçesiyle birlikte 30 gün içinde ilgili kişiye bildirilir. Bildirim yazılı veya elektronik ortamda yapılabilir. Tercihen iletişim kolaylığı açısından ilgili kişinin talep için kullandığı yöntem ile bildirim gerçekleştirilir. 

 

  1. PERİYODİK İMHA SÜRESİ 

 

Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. 

 

  1. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI 

 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Genel Müdür’de bulunan “Kişisel Verilerin Korunmasında Uygulanacak Usul ve Esaslar” dosyasında saklanır. 

 

10.POLİTİKA’NIN GÜNCELLENME PERİYODU 

 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Yapılan güncellemeler tarih kaydıyla birlikte Politikaya eklendikten sonra güncel hali yayınlanır.

 

11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI 

 

Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Genel Müdür tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Muhasebe Müdürü tarafından saklanır.