KUŞTUR KUŞADASI TURİZM ENDÜSTRİSİ ANONİM ŞİRKETİ KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHA POLİTİKASI
İÇİNDEKİLER TANIMLAR. 3 1- KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHASI POLİTİKASININ AMAÇ VE KAPSAMI 4 2- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER. 5 3- KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER. 8 4- KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR. 9 5- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR. 10 6- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ 11 7- KİŞİSEL VERİ TEMEL İŞLEME AMAÇLARI 12 8- KİŞİSEL VERİLERİN AKTARILMASI 13 9- KİŞİSEL VERİLERİN SAKLANMA SÜRESİ 14 10- İLGİLİ KİŞİLER’İN KİŞİSEL VERİLERİ ÜZERİNDEKİ HAKLARI NASIL KULLANABİLECEKLERİ 15 11- KİŞİSEL VERİ SAHİBİ KATEGORİSİ 16 KUŞTUR KUŞADASI TURİZM ENDÜSTRİSİ ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA Doküman İsmi: KUŞTUR Kişisel Verilerin İşlenmesi, Korunması ve İmhası Politikası. Hedef Kitle: KUŞTUR tarafından kişisel verileri işlenen tüm gerçek kişiler. Onaylayan: KUŞTUR KVKK Uyum Ekibi tarafından onaylanmıştır. Mevzuata uyum sağlamak amacıyla veya ihtiyaç halinde başka bir sebeple Politika’ da değişiklik veya güncellemeler yapılabilecektir. Tüm bunlardan ilgili kişiler internet sitesi aracılığı ile haberdar edilecektir.
TANIMLAR
İşbu politikada ‘’kanun’’ , Kişisel Verilerin Korunması Kanunu’nu ifade etmektedir. Politikamızı daha iyi anlayabilmeniz için Kanun’da önemli olan tanımlardan bazılarına yer verilmiştir.
‘’ KUŞTUR ‘’ kimdir?
KUŞTUR KUŞADASI TURİZM ENDÜSTRİSİ ANONİM ŞİRKETİ’ ni ifade eder. Bundan sonra ‘’KUŞTUR ‘’ olarak anılacaktır.
Kişisel Veri nedir?
Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade eder.
3.Özel Nitelikli Kişisel Veri nedir?
Irk, etnik köken, siyasi düşünce, inanç, mezhep veya diğer inançlar, din, felsefe, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbiriyle ilgili verileriniz ile biyometrik ve genetik verilerinizi ifade eder.
4.İlgili Kişi ya da Veri Sahibi kimdir?
Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Kanunda kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Hazırlanan politikada ‘’İlgili Kişi’’ kullanılacaktır.
5.Veri sorumlusu kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.
6.Veri İşleyen kimdir?
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
7.Kişisel Verilerin İşlenmesi nedir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
8.KVK Kurumu kimdir?
Kişisel Verileri Koruma Kurumu’nu ifade eder.
9. Anonim Hale Getirme nedir?
Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir gerçek bir kişiyle ilişkilendirilemeyecek hale getirilmesi.
10.Açık Rıza Nedir?
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
11.KUŞTUR KVKK Başvuru Formu Nedir?
İlgili kişi olarak adlandırılan veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formunu ifade eder. İlgili başvuru formu internet sitemizde yer almaktadır.
12. VERBİS Nedir?
KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı nezdinde tutulan ve kamuya açık olan Veri Sorumluları Sicilini ifade eder.
1- KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHASI POLİTİKASININ AMAÇ VE KAPSAMI
A.Amaç Ve Kapsam
Hukuk düzenine uyum konusunda her türlü özeni göstermeyi geçmişinden bugüne benimsemiş olan KUŞTUR, kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin düzenlemeleri yerine getirmektedir.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası ile KUŞTUR tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler ve KVK Kanunu gereği KUŞTUR tarafından hayata geçirilmiş düzenlemelere yer verilmiştir.
B.Kişisel Verilerin Korunması Kanunu Hakkında
6698 Sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun ile kişisel verinin tanımını, taraflarını ve kapsamına ilişkin ilkeleri ve bu verilerin işlenmesinde veri sorumlusu sıfatı taşıyanların uyması gereken şartlara yer verilmiştir.
KUŞTUR KUŞADASI TURİZM ENDÜSTRİSİ ANONİM ŞİRKETİ, veri sorumlusu sıfatı ile Kanun’un gereklerini yerine getirmek amacıyla ilgili mevzuatta yer alan kişisel verilerin korunması ve işlenmesine ilişkin ilkeleri benimseyerek gerekli idari ve teknik tedbirleri almış tüm bunlar doğrultusunda Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı hazırlamıştır.
Mevzuata uyum sağlamak amacıyla veya ihtiyaç halinde başka bir sebeple Politika’da değişiklik veya güncellemeler yapılabilecektir. Tüm bunlardan ilgili kişiler internet sitesi aracılığı ile haberdar edilecektir.
2- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Kişisel Verilerin işlenmesi hakkında Uluslararası mevzuatta kabul görmüş ve pek çok ülke uygulamasına yansımış temel ilkeler bulunmaktadır.
Anayasa’nın 20. maddesi (Özel Hayatın Gizliliği) ve Kişisel Verilerin Korunması Kanunu kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek kişisel verileri güvence altına alınmıştır.
Kanun koyucu tarafından veri sahiplerine tanınan bu hak doğrultusunda KUŞTUR kişisel verileri ilgili mevzuatta belirtilen ilkeler doğrultusunda veya kişinin açık rızasının bulunduğu durumlarda aşağıda açıklanan ilkelere uygun olarak işlemektedir.
A.Hukuk Ve Dürüstlük Kurallarına Uygun İşleme
KUŞTUR kişisel verilerin işlenmesinde kanun ile getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca KUŞTUR veri işlemedeki hedeflerine ulaşmaya çalışırken, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemekte, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır.
İlke uyarınca KUŞTUR için veri söz konusu veri işleme faaliyeti şeffaf ve bilgilendirmeye dayalı şekilde yapılacak; veri sorumlusuna ait olan uyarı, denetim ve gözetim yükümlülüklerine uygun hareket edecektir.
B.Verilerin Doğru Ve Gerektiğinde Güncel Olması
Kişisel verilerin doğru ve güncel bir şekilde tutulması, KUŞTUR çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü KUŞTUR’ a aittir.
Kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi mümkündür. Örneğin, kişisel iletişim bilgisi değişen ve güncellenmeyen ilgili kişi kendisine gönderilmesi gereken bilgi/belge/ürün zamanında alamaması veya yanlış bir kişiye gönderilmesi durumlarında ilgili kişi maddi ve manevi zarar görebilir. Dolayısıyla bu ilke, ilgili kişinin haklarını koruduğu gibi, veri sorumlusunun da menfaatlerine yöneliktir.
C.Belirli, Açık Ve Meşru Amaçlar İçin İşleme
Bu ilke KUŞTUR ‘ un veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır.
Bu ilke ile ilgili kişi kişisel veri işleme faaliyeti açık bir şekilde anlayabilir, veri işlemenin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğini tespit edebilir ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda anlamasını sağlamaktadır.
KUŞTUR yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veriyi işlemektedir. Bu ilke uyarınca hazırlamış olduğumuz politikalar hassasiyet gösterilmiş, teknik-hukuki terminoloji kullanımından kaçınılmıştır.
D.İşlendikleri Amaçla Bağlantılı, Sınırlı Ve Ölçülü Olma
KUŞTUR, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasına, veri işleme amacının gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Sonradan gerçekleşeceği düşünülen amaçlarla kişisel veri toplanmamakta ve işlememektedir. Ayrıca KUŞTUR veri işlemede ölçülülük ilkesine sadık kalmaktadır. Ölçülülük ilkesi verinin işlenme amacına hizmet etmeyen verilerin alınmamasını açıklamaktadır. Örneğin, ürün almak için internet sitesi üzerinden başvuruda bulunan kişiden cinsel hayatına ve sosyal faaliyetlerine yönelik tercihleri konusunda bilgi talebinde bulunulması ölçülülük ilkesine aykırılık teşkil edebilecektir.
E.İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
KUŞTUR, veri sorumlusu sıfatı ile ‘’amaçla sınırlılık ilkesi ‘’ ‘ne bağlı olarak kişisel verileri ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Dolayısı ile KUŞTUR öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Kişisel veri işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile birlikte kişisel veriler KUŞTUR tarafından silinmekte, yok edilmekte veya anonimleştirilmektedir.
F.Kişisel Verilerin İşlenme Şartları
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 3.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
G.Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişi, açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
H.Kanunlarda Açıkça Öngörülmesi
İlgili kişinin kişisel verilerinin veri sorumlusu tarafından (KUŞTUR) işlenmesi, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir. Bu durumda KUŞTUR açık rıza aramaksızın kişisel veri işleyebilecektir.
İ.Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
J.Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
K.Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
L.Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
M.Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
N.Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3- KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER
KUŞTUR, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymaktadır. Bu kapsamda uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:
A.İlgili Kişiyi Aydınlatma Yükümlülüğü
KUŞTUR, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişinin bilgilendirilmesini sağlamak için gerekli işlemleri yapmaktadır.
Aydınlatma yükümlülüğü kapsamında ilgili kişiler ile ilgili dikkat edilmesi gereken hususlar aşağıda belirtilmiştir.
1.Veri sorumlusunun ve varsa temsilcisinin kimliği,
2.Kişisel verilerin hangi amaçla işleneceği,
3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5.İlgili kişinin hakları olan;
a.Kişisel verilerinin işlenip işlenmediğini öğrenmek,
b.Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
c.Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
d.Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
e.Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
f.Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
g.İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
h.Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
B.Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
KUŞTUR, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesi amacıyla;
1.Kişisel verilerin hukuka aykırı işlenmesini önlemek,
2.Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3.Kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
KUŞTUR ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimleri yapmaktadır.
C.KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü
KUŞTUR; kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından yayınlanan kararları hukuk birimi aracılığı ile düzenli olarak gözetlemekte ve ‘’ KUŞTUR’’ iş faaliyeti kapsamında değerlendirilebilecek her türlü karara uygun hareket etmektedir.
D.Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü
KUŞTUR, KVK Kanunu’nun 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir biçimde işlemektedir. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka uygun olarak yürütülmektedir.
4- KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri
KUŞTUR tarafından iş yeri güvenliğinin sağlanması amacıyla, KUŞTUR binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır. KUŞTUR Kişisel Verileri Koruma Kurumu tarafından belirtilen yöntemler ile hem tesis giriş çıkış noktalarında hem de tesis içerisinde gerekli Aydınlatma Yükümlülüğü yerine getirmektedir.
KUŞTUR Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri
KUŞTUR tarafından bina ve tesislerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir. KUŞTUR, Kişisel Verilerin Korunması Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. KUŞTUR tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika’da sayılan amaçlarla sınırlıdır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda KUŞTUR çalışanının erişimi bulunmaktadır.
KUŞTUR Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
KUŞTUR tarafından, güvenliğin sağlanması ve işbu Politika ’da belirtilen amaçlarla KUŞTUR binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak KUŞTUR binalarına gelen kişilerin isim ve soyadları elde edilirken ya da KUŞTUR nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda uygun şekilde aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
5- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
A. Kişisel Verilerin Güvenliğinin Sağlanması
KUŞTUR, KVK Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için korunacak olan kişisel verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda KUŞTUR, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak hukuk birimi aracılığı ile gerekli teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
B. Özel Nitelikli Kişisel Verilerin Korunması
Özel nitelikli kişisel veriler hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel bir öneme sahiptir. Özel nitelikli kişisel veriler belirli sayıda olup aşağıdaki gibidir.
Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KUŞTUR tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, KUŞTUR tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve KUŞTUR bünyesinde gerekli denetimler sağlanmaktadır.
Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 5.C. (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) bölümünde yer verilmiştir.
C. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler KUŞTUR tarafından, işbu Politika’ da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler ve yayınlayacağı kararlarda dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
D. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
KUŞTUR, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
KUŞTUR çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli teknik sistemler kurulmakta, konuya ilişkin alanında uzman danışmanlar ile çalışmaktadır. Bu doğrultuda KUŞTUR, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
6- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
KUŞTUR web sitesi, mobil uygulaması veya mobil sitesi aracılığıyla işlediği kişisel verileri, KVK Kanunu madde 7, 17 ve Türk Ceza Kanunu madde 138 uyarınca ilgili kanunların öngördüğü süreler ve/veya işleme amacının gerekli kıldığı süreler boyunca saklamaktadır. Bu sürelerin sona ermesi durumunda ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca silecek, yok edecek veya anonim hale getirecektir. KUŞTUR, tarafından kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcı seviyesinde erişim, yetki ve kontrol matrisi oluşturur ve uygulamaya alır. Veri tabanında silme işleminin gerçekleştirilmesi için gerekli tedbirleri alır. KUŞTUR, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığı Kişisel Verilerin Saklanması ve İmhası Politikası kapsamında silme, yok etme ve anonim hale getirmeye ilişkin yöntemleri ve aldığı teknik ve idari tedbirleri açıklamaktadır. Daha ayrıntılı bilgi alabilmek için lütfen Gizlilik Sözleşmesi’ni inceleyiniz.
7- KİŞİSEL VERİ TEMEL İŞLEME AMAÇLARI
1.KUŞTUR Meşru Menfaatlerinin sağlanması
2.KUŞTUR Operasyonlarının Güvenliğinin Temini
3.KUŞTUR 'un Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası
4.KUŞTUR İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
5.KUŞTUR İş Faaliyetlerinin Yürütülmesi / Denetimi
6.KUŞTUR İnsan Kaynakları Süreçlerinin Planlanması
7.KUŞTUR Ticari İtibarının Ticari Yaşam ve Tüketiciler Üzerinde Uyandırdığı Güvenin Korunması
8.KUŞTUR Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
9.KUŞTUR ‘a yönelik Talep / Şikâyetlerin Takibi
10.KUŞTUR Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
11.KUŞTUR Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
12.KUŞTUR Yönetim Faaliyetlerinin Yürütülmesi
13.KUŞTUR Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
14.KUŞTUR Denetim Faaliyetlerinin Planlanması ve İcrası
15.KUŞTUR Stratejik Planlama Faaliyetlerinin Yürütülmesi
16.KUŞTUR Sözleşme Süreçlerinin Yürütülmesi
17.KUŞTUR Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
18.KUŞTUR Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
19.KUŞTUR Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
20.KUŞTUR Mal / Hizmet Satış Süreçlerinin Yürütülmesi
21.KUŞTUR İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
22.KUŞTUR Acil Durum Yönetimi Süreçlerinin Yürütülmesi
23.KUŞTUR İletişim Faaliyetlerinin Yürütülmesi
24.KUŞTUR İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
25.KUŞTUR Hukuk İşlerinin Takibi Ve Yürütülmesi
26.KUŞTUR Fiziksel Mekân Güvenliğinin Temini
27.KUŞTUR Finans Ve Muhasebe İşlerinin Yürütülmesi
28.KUŞTUR Faaliyetlerin Mevzuata Uygun Yürütülmesi
29.KUŞTUR Bilgi Güvenliği Süreçlerinin Yürütülmesi
30.KUŞTUR Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
8- KİŞİSEL VERİLERİN AKTARILMASI
A. Kişisel Verilerin Aktarılmasına İlişkin Genel İlkeler
Kanun’un 8. ve 9. maddesinde kişisel verilerin yurt içinde ve yurt dışına aktarılmasına ilişkin hususlara yer verilmiştir. KUŞTUR, güvenlik önlemlerini alarak veri sahibinin kişisel verilerini/ özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda KUŞTUR kişisel verileri Kişisel Verilerin Korunması Kanunu’ndaki işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
B. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Genel İlkeler
Kanun’un 9. maddesine göre, yurt dışına veri aktarımı; • İlgili kişinin açık rızasının bulunması, • Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler), • Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.
C. Kişisel Verilerin 3. Kişiye Aktarılması
KUŞTUR yukarıda belirtilen şartlar doğrultusunda ve Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini iş ortaklıklarının kurulma amaçlarını gerçekleştirmek, KUŞTUR’ un tedarikçiden dış kaynaklı olarak temin ettiği ve KUŞTUR’ un ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin KUŞTUR’a sunulmasını sağlamak, şirket olarak tedarikçi ile kurulan iş ortaklığının kurulma amacını gerçekleştirmek, şirketin ticari faaliyetlerini gerçekleştirmek, şirket olarak imzalanan sözleşmelerin amaçlarını gerçekleştirmek ve benzeri sebepler ile kişisel verilerinizin korunması için gerekli güvenlik önlemlerinin alınması kaydıyla, kişisel verileriniz yurtiçinde veya yurtdışında yerleşik olan, KUŞTUR iş ortağı, tedarikçisi, Kanunen Yetkili Kamu Kurum ve Kuruluşlar, Kanunen Yetkili Özel Hukuk Kişileri ile ‘ KUŞTUR’ un hizmet / destek / danışmanlık aldığı üçüncü kişi firmalar ile paylaşılabilecektir.
Daha fazla bilgi alabilmek için hazırladığımız Gizlilik Sözleşmesi’ni incelemenizi tavsiye ederiz.
9- KİŞİSEL VERİLERİN SAKLANMA SÜRESİ
Kişisel veriler, KUŞTUR tarafından veri sorumlusu sıfatı ile üstüne düşen yükümlülükleri yerine getirmek amacıyla ilgili mevzuatta öngörülen süreler boyunca ve hukuki yükümlülükleri doğrultusunda saklanmaktadır. Kişisel veriler aşağıdaki hallerde; sadece olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın yapılabilmesi amacıyla saklanabilmektedir. O haller;
İşlenme amacı sona ermesi,
Veri sahipleri tarafından silinmesi/anonimleştirilmesi talep edilmiş olması,
İlgili mevzuat ve KUŞTUR ’in belirlediği saklama süresinin sonuna gelinmesi.
KUŞTUR kişisel verilerin saklanma sürelerini belirlerken ilgili mevzuatta öngörülen zamanaşımı sürelerini esas alınarak saklanan kişisel verilere yalnızca ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman yetki matrisi (her kişinin yetkisi dâhilindeki kişisel veriye ulaşabildiğini ifade eder) çerçevesinde kişisel verilere ulaşabilir ve bu amaç dışında başka bir amaçla erişilmemektedir. Bu sürenin sonunda kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Daha ayrıntılı bilgi alabilmek için lütfen Gizlilik Sözleşmesi’ni inceleyiniz.
10- İLGİLİ KİŞİLER’İN KİŞİSEL VERİLERİ ÜZERİNDEKİ HAKLARI NASIL KULLANABİLECEKLERİ
Kişisel Verilerin Korunması Kanunu veri sahiplerinin, Kanunun uygulanmasına ilişkin taleplerini iletebilmeleri ve kişisel verilerine ilişkin haklarını koruyabilmeleri için bazı hak arama yöntemlerine yer vermiştir. Böylelikle veri sahipleri yargı yoluna başvurmanın yanı sıra Kanunla getirilen diğer hak arama yöntemlerini de kullanabileceklerdir. Bu anlamda Kişisel Verilerin Korunması Kanunu’nda kademeli bir başvuru usulü öngörülmüştür. Veri sorumluları, Kanunun uygulanmasıyla ilgili taleplerini ilk olarak veri sorumlusuna yani KUŞTUR’ a iletmeleri gerekecektir. Veri sorumlusuna yapılan başvurudaki talebin reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresinde cevap verilmemiş olması durumlarında ilgili kişiler Kurula şikâyet hakkını elde edeceklerdir.
A. Kişisel Veri Sahibinin Hakları
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
B. Başvuru Hakkı
Kanuna göre veri sahipleri, Kişisel Verilerin Korunması Kanunu’nu ile ilgili taleplerini, öncelikle KUŞTUR’a iletmeleri zorunludur. Veri sahiplerinin, taleplerini KUŞTUR’a yazılı olarak ya da Kurulun belirlediği diğer yöntemlerle iletebilmelerine imkân sağlanmaktadır. Bu kapsamda, yazılı başvurunun yanı sıra veri sahipleri kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da veri sahibi tarafından veri sorumlusuna daha önce bildirilen ve KUŞTUR’ un sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle KUŞTUR’ a başvurma olanağı tanınmıştır. Kişisel veri sahipleri, bölüm 6.A.’de (“Kişisel Veri Sahibinin Hakları”) sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir. Bu doğrultuda Başvuru Formunun Linki adresinden ulaşılabilecek “KUŞTUR Veri Sahibi Başvuru Formu ”ndan yararlanabileceklerdir.
Daha ayrıntılı bilgi alabilmek için lütfen Başvuru Formu ’nu inceleyiniz.
C. Şirketimizin Başvurulara Cevap Vermesi
KUŞTUR, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır. Kişisel veri sahibinin, bölüm 6.A’da (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Şirketimize iletmesi durumunda KUŞTUR, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç otuz (30) gün içinde talebi inceleyecek ve talebi kabul veya gerekçesini açıklayarak reddedecektir. Ayrıca cevabını veri sahibine kısa sürede bildirecektir.
11- KİŞİSEL VERİ SAHİBİ KATEGORİSİ
KİŞİSEL VERİ SAHİBİ KATEGORİZASYONU
AÇIKLAMA
MÜŞTERİ/KULLANICI
KUŞTUR ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişileri ifade eder.
POTANSİYEL MÜŞTERİ
KUŞTUR’ un sunduğu ürün veya hizmetleri kullanma ilgisini göstermiş veya bu ilgiye sahip olabileceği değerlendirilmiş, müşteriye dönüşme potansiyeli olan gerçek kişileri ifade eder.
ZİYARETÇİ
KUŞTUR’ un sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
ÇALIŞAN ADAYI
KUŞTUR’ a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini KUŞTUR’ un incelemesine açmış olan gerçek kişileri ifade eder.
ÇALIŞAN
KUŞTUR tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb. faaliyetler çerçevesinde kişisel verileri işlenen KUŞTUR çalışanları ifade eder.
DANIŞMAN
KUŞTUR’ a sözleşme temelli olarak danışmanlık veren tarafları tanımlamaktadır.
AİLE BİREYLERİ VE YAKINLARI
KUŞTUR tarafından yürütülen faaliyetler çerçevesinde bu Politika kapsamında kişisel verileri işlenen veri sahiplerinin eş, çocuk ve yakınları ifade eder.
ÜÇÜNCÜ KİŞİ
İşbu Politika kapsamına girmeyen diğer gerçek kişileri ifade eder.
TEDARİKÇİ
KUŞTUR’ un ticari faaliyetlerini yürütürken KUŞTUR’ un emir ve talimatlarına uygun olarak sözleşme temelli olarak KUŞTUR’ a hizmet sunan taraf çalışanı yetkilisi veya hissedarı olan gerçek kişileri ifade eder.
ŞİRKET HİSSEDARI
KUŞTUR hissedarı tüzel ve/veya gerçek kişileri ifade eder.
ŞİRKET YETKİLİSİ
KUŞTUR’ un yönetim kurulu üyesi ve diğer yetkili gerçek kişileri ifade eder.
İŞ BİRLİĞİ İÇİNDE OLDUĞUMUZ KURUMLARIN ÇALIŞANLARI, HİSSEDARLARI VE YETKİLİLERİ
KUŞTUR’ un her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişileri ifade eder.