HER ZAMAN YÜKSEK
KALİTELİ hizmet anlayışı
Kilikya Otelleri dünyaca ünlü kalite standartlarında hizmet politikası ile her geçen sezon kendini yenilemede ve çalışanların haklarını gözeterek çevre, toplum sağlığını ön planda tutarak her zaman en iyisini hedefler.
ÇAMYUVA TURİZM YATIRIMLARI A.Ş.
VE GÜLSAN ŞİRKETLER GRUBU
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. GİRİŞ VE KAPSAM
Çamyuva Turizm Yatırımları A.Ş. ve Gülsan Holding Grup Şirketleri (bundan böyle “Şirket” veya “Şirketler” olarak anılacaktır) Kişisel verilerin korunması konusunda azami özen ve hassasiyete sahip olup, bu kapsamda yürürlükte bulunan tüm mevzuata uygun hareket etmektedir. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (bundan böyle “Politika” olarak anılacaktır) bu amaçla oluşturulmuştur.
İşbu Politika ile; Şirket tarafından yürütülen kişisel veri işleme faaliyetlerine dair temel ilkeler ve bu faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (bundan böyle “KVKK” veya “Kanun” olarak anılacaktır) yer alan düzenlemeler ile uyumu yönünden benimsenen prensipler açıklanmaktadır.
İşbu Politika; Şirket tarafından, çalışanlar, çalışan adayları, bursiyerler, stajyerler, tedarikçiler, ziyaretçiler, iş bağlantıları, müşteriler, internet sitemizi ziyaret eden kullanıcılar ve sair üçüncü kişilere ait otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
1. TANIMLAR
Gülsan/ Gülsan Holding Şirketleri:
· Gülsan Yatırım Holding Anonim Şirketi
· Gülsan İnşaat Sanayi Turizm Nakliyat ve Ticaret A.Ş.
· Gülsan Elektrik Enerjisi Toptan Satış AŞ.
· Çamyuva Turizm Yatırımları A.Ş.
· Çamyuva Otelcilik İşletmeleri A.Ş.
· Değirmenüstü Enerji Üretim Tic. ve San. AŞ.
· Mar-En Enerji Üretim Tic. ve San. A.Ş.
· Agen Enerji Üretim Tic. ve San. AŞ
· Gülce Enerji Üretim Tic. ve San. AŞ.
· Nur Elektrik Üretim Tic. ve San. AŞ.
· Gülsü Enerji Üretim Tic. ve San. AŞ.
· Tekpa Beton San. Mot. Araç. Paz. ve San. AŞ.
· Petpa Akaryakıt Mad. Yağ. Pet. San. Ve Tic. AŞ. şirketlerinin tamamını kapsamaktadır. Her bir şirket ayrı ayrı Gülsan birlikte Gülsan Şirketleri olarak anılacaktır.
Veri: Dijital veya fiziki dosyalama sistemlerinde saklanan bilgileri ifade etmektedir.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.
Özel Nitelikli/Hassas Kişisel Veri: Irk, etnik köken, siyasi düşünceler, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyelikleri, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ve biyometrik verileri ifade etmektedir. Bu veriler sadece mevzuattaki şartlar kapsamında işlenebilirler ve işlenmesi genellikle veri sahibinin açık rızasını gerektirmektedir.
İlgili Kişi: Başta çalışanlar olmak üzere Kişisel Verileri işlenen tüm gerçek kişileri kapsamaktadır.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onaydır.
Çalışan: Gülsan Şirketleri personelini ifade eder.
Çalışan adayı: Gülsan’a iş başvurusunda bulunmuş olan kişi ya da kişileri ifade eder.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek kişi veya tüzel kişiyi ifade eder.
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek kişi veya tüzel kişiyi ifade eder.
Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.
Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
KVKK (Kanun): 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Politika: Çamyuva Turizm Yatırımları A.Ş. ve Gülsan Şirketler Grubu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı ifade eder.
2. KİŞİSEL VERİLERİN İŞLENMESİ
3.1. Kişisel Verileri İşleme İlkeleri
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme; Kişisel veriler, hukuka ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede kişisel veriler, aydınlatma yükümlülüğüne uygun olarak ve Şirketin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı biçimde işlenmektedir.
3.1.2. Doğru ve Gerektiğinde Güncel Olma; Şirket, kişisel verilerin doğru ve güncel olması için gerekli önlemleri almakta ve kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme; Şirket, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve bunları iş faaliyetleriyle bağlantılı amaçlar kapsamında işlemektedir.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma; Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelik ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme; Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve her halükarda ilgili mevzuatta öngörülen maksimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
3.2. Kişisel Verilerin İşlenme Şartları
3.2.1. Kişisel Verilerin Açık Rıza Alınması Yoluyla İşlenmesi; Mevzuat uyarınca kişisel verilerin hukuka uygun bir şekilde işlenmesi için gerekli dayanaklardan biri, veri sahibinin açık rızasının alınmasıdır. Açık rıza, Kanunda “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Bununla birlikte, aşağıda yer alan şartlardan birinin varlığı durumunda da kişisel veriler, veri sahibinin açık rızası aranmaksızın Şirket tarafından işlenmektedir.
3.2.2. Kanunlarda Açıkça Öngörülmesi; İlgili kişinin kişisel verileri, kanunlarda açıkça öngörüldüğü hallerde hukuka uygun olarak işlenebilecektir.
3.2.3. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması; Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda kişisel veriler açık rıza olmaksızın işlenebilecektir.
3.2.4. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması; Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde açık rıza alınmaksızın kişisel verilerin işlenmesi mümkündür.
3.2.5. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi; Şirketin veri sorumlusu olarak, bir hukuki yükümlülüğünü yerine getirebilmesi için işlenmesi zorunlu olan kişisel verileri, ilgili kişinin rızası olmaksızın işleyebilecektir.
3.2.6. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi; İlgili kişinin kendisi tarafından alenileştirilen kişisel veriler açık rızanın varlığı aranmaksızın işlenebilecektir.
3.2.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması; Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler açık rıza aranmaksızın işlenebilecektir.
3.2.8. Şirketin Meşru Menfaati için Veri İşlemenin Zorunlu Olması; Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.3 Özel Nitelikli Kişisel Verilerin İşlenmesi
KVKK 6. Maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bazı kişisel veriler “özeli nitelikli” kişisel veriler olarak adlandırılmıştır. Bu “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler, Kanuna uygun bir biçimde Şirket tarafından gerekli her türlü idari ve teknik tedbirler alınmak kaydıyla aşağıdaki durumlarda işlenebilmektedir:
· Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
· Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir. Aksi halde veri sahibinin açık rızası alınacaktır.
3.4. Kişisel Veri İşlenme Amaçları
Gülsan Şirketleri tarafından kişisel veriler aşağıda belirlenmiş amaçlarla işlenmektedir.
1. Şirketin insan kaynakları politikaları ve süreçlerinin planlanması ve yürütülmesi,
2. Şirketin işe alım / iş başvurusu ve İstihdam ihtiyaçlarının planlanması ve süreçlerinin yürütülmesi,
3. Şirket bünyesindeki ticari hizmet ve faaliyetlerin planlanması ve yönetilmesi,
4. Şirket çalışanlarıyla ilgili personel süreçlerinin yürütülmesi, özlük, sosyal haklar, bordro ve ücret işlemlerinin yürütülmesi,
5. Sözleşme süreçlerinin, hukuki takiplerin ve Hukuk işlerinin yürütülmesi,
6. Disiplin süreçlerinin yürütülmesi,
7. Şirketin iç ve dış denetim- kontrol ve teftiş süreçlerinin yürütülmesi,
8. Şirket bünyesindeki reklam, tanıtım ve ilgili diğer faaliyetlerin planlanması ve yönetilmesi,
9. Şirket iş ortaklıkları, alt işverenler, hizmet alımları ve ilgili diğer faaliyetlerin planlanması ve yönetilmesi,
10. Şirket otelcilik, turizm ve konaklama hizmetleri kapsamında müşteri ilişkileri ve süreçlerinin yürütülmesi,
11. İş Hukuku Mevzuatı, Sosyal Güvenlik Hukuku Mevzuatı, 213 sayılı Vergi Usul Kanunu ve sair mevzuat hükümleri çerçevesindeki hukuki yükümlülüklerin yerine getirilmesi,
12. Ulusal ve uluslararası nitelikteki etkinliklerin planlanması ve yürütülmesi,
13. Bilgi güvenliği süreçlerinin yürütülmesi,
14. Tedarikçiler, hizmet sağlayıcıları ve diğer tüm üçüncü kişiler ile olan ilişkilerin yürütülmesi,
15. Çalışanların eğitimi,
16. Sosyal sorumluluk kapsamındaki proje ve etkinliklerin yürütülmesi, bu kapsamda çalışan adayı, stajyer ve bursiyerlerle ilgili süreçlerin planlanması ve yürütülmesi,
17. Ziyaretçilerin ve konukların kayıtlarının oluşturulması ve yönetimi,
18. Tesislerin güvenliğinin sağlanması,
19. Risk yönetimi ve kalite geliştirme çalışmalarının planlanması ve yürütülmesi,
20. Hizmetler karşılığında faturalandırma, muhasebe işlemlerinin yapılması,
21. Şirket satın alma süreçlerinin yürütülmesi,
22. Şirket faaliyetlerine ilişkin her türlü talep ve şikâyet sürecinin yönetilmesi,
23. İlgili mevzuat uyarınca Adli ve İdari merciler, Yargı mercileri, Savcılıklar, Sosyal Güvenlik Kurumu, Çalışma ve Sosyal Güvenlik Bakanlığı gibi ilgili kamu kurum ve kuruluşlarına bilgi verilmesi,
24. Özel sigorta şirketlerine talep edilen bilgilerin verilmesi,
25. Düzenleyici ve denetleyici kurumlarla, resmi mercilerin denetimleri doğrultusunda gerekli bilgilerin verilmesi,
26. Yukarıda sayılan amaçlar dışında kalmakla birlikte, Şirketin ticari faaliyetleri doğrultusunda, temel hak ve özgürlüklere zarar vermemek kaydıyla şirketin meşru menfaatleri uyarınca işlenmesi,
Bu kapsamdaki işleme faaliyetinin, KVKK uyarınca öngörülen hukuka uygunluk nedenlerinden herhangi birini karşılamaması halinde, veri işlemesi yapılmamaktadır. Ancak açık rıza alınması halinde söz konusu kişisel veri işlenmektedir.
4. KİŞİSEL VERİLERİN AKTARILMASI
Şirket, yukarıda sayılan ve hukuka uygun olan kişisel veri işleme amaçları doğrultusunda mevzuatın ve KVK Kurumu’nun belirlediği gerekli güvenlik tedbirlerini almak koşuluyla, veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket bu hususta Kanun’un 8. ve 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Şirket, kişisel verileri Türkiye’de üçüncü kişilere aktarabileceği gibi, Türkiye’de işlenerek veya Türkiye dışında işlenip muhafaza edilmek üzere, mevzuatta öngörülen şartlara uygun olarak ve belirtilen tüm güvenlik önlemlerini alarak yurt dışına da aktarabilir.
Şirket, üçüncü bir gerçek ya da tüzel kişiye kişisel veri aktardığı durumda, üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Şirket, üçüncü kişilere veri aktarımı sırasında hak ihlallerini önlemek için gerekli teknik ve idari önlemler almaktadır.
Şirket, KVKK’nın 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.
4.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı
Şirket, kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini Türkiye’de bulunan üçüncü kişilere aktarabilmektedir. Şirket tarafından, ayrıca Kurulca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere de kişisel veriler aktarılabilmektedir. Yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurulun izninin bulunduğu yabancı ülkelere kişisel veriler aktarılabilmektedir.
Kişisel veri sahibinin açık rızası olmasa dahi, aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirket tarafından gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
· Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
· Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
· Kişisel verilerin aktarılmasının Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından aktarılması,
· Kişisel verilerin Şirket tarafından aktarılmasının Şirketin veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
· Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
· Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Kişisel veriler, mevzuatta belirlenen istisnai hallerde açık rıza olmaksızın yahut diğer hallerde kişisel veri sahibinin açık rızası alınmak şartı ile Türkiye’de bulunan üçüncü kişilere aktarılabilir. Şirket, yukarıda belirtilen doğrultuda, Türkiye’de bulunan üçüncü kişilere ve Gülsan Şirketler grubu bünyesindeki diğer şirketlere, iş ortaklarına, alt işverenlerine, kamu otoritelerine ve diğer üçüncü kişilere veri aktarabilir.
4.2. Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı
Kişisel veriler, mevzuatta belirlenen istisnai hallerde açık rıza olmaksızın yahut diğer hallerde kişisel veri sahibinin açık rızası alınmak şartı ile yurt dışında bulunan üçüncü kişilere aktarılabilir. Kişisel verilerin mevzuata uygun olarak açık rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir:
· Kişisel verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması.
· Aktarımın sağlanacağı yabancı ülkenin, Kurulun güvenli ülkeler listesinde yer almaması halinde Şirketin ve ilgili ülkedeki veri sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.
4.3. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket tarafından işbu Politika uyarınca öngörülmüş ilkelere uygun olarak ve KVK Kurulunun belirleyeceği usuller uyarınca gerekli her türlü idari ve teknik tedbirler alınmak kaydıyla ve aşağıdaki şartların varlığı halinde, özel nitelikli kişisel veriler aktarılabilecektir:
· Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rızası aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
· Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
4.4. Kişisel Verilerin Aktarılmasına Dair Tedbirler
4.4.1. İdari tedbirler
Şirket, kişisel verilerin korunması için aşağıda sayılanlarla sınırlı olmamak üzere;
· Gülsan/Gülsan Şirketleri bünyesindeki çalışanlar da dahil olmak üzere kişisel verilere erişim politika ve prosedürlerini oluşturmakta,
· Çalışanlarını, kişisel verilerin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirmekte ve eğitmekte,
· Çalışanlar ile yapılan sözleşmelerde ve/veya oluşturulan politikalarda, çalışanlar tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirleri kayıt altına almakta ve
· Birlikte çalışılan veri işleyenlerin ve/veya veri işleyenlerin ortaklarının kişisel verilerin işlenmesi faaliyetlerini denetlemektedir.
4.4.2. Teknik tedbirler
Şirket, kişisel verilerin korunması için aşağıda sayılanlarla sınırlı olmamak üzere;
· Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için Şirket bünyesindeki teknik organizasyonu yapmakta,
· Kişisel verilerin saklanacağı veri tabanlarının güvenliğini sağlamak için gerekli teknik alt yapıyı oluşturmakta,
· Riskli durumları yeniden inceleyerek gerekli teknolojik çözümleri üretmekte,
· Oluşturulan teknik alt yapının süreçlerini takip etmekte ve denetimlerini yapmakta,
· Alınan teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin süreçleri belirlemekte,
· Teknik tedbirleri periyodik olarak güncellemekte ve yenilemekte,
· Virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılım veya donanım güvenlik ürünleri kullanmakta, teknolojik gelişmelere uygun güvenlik sistemleri kurmakta ve teknik konularda alanında uzman çalışanlar istihdam etmekte ve/veya bu hususta hizmet almaktadır.
5. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI
Şirket, Kişisel Verilerin Korunması Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı, hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda aydınlatmaktadır. Şirket bu kapsamda mevzuattan kaynaklı aydınlatma yükümlülüğünü, mevzuatla belirlenmiş usul ve esaslara uygun olarak yerine getirmektedir.
6. KİŞİSEL VERİLERİN KORUNMASI, SAKLANMASI VE İMHASI
Şirket, Kanunun 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu doğrultuda Şirket, mevzuattan kaynaklanan düzenlemelere ve Kurul tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta ve/veya yaptırmaktadır. Bu kapsamda Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır.
Şirket; kişisel verilerin hukuka aykırı olarak işlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasının sağlamasına yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirket; çalışanlarının, kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Şirket, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup, ilgili mevzuatın güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.
Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen maksimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
7. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
Şirket, KVKK’nın 7. maddesinde düzenlendiği üzere, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler, yok eder veya anonim hale getirir. Şirket, bu konuda KVKK ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır. Bu kapsamda Şirket tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.
7.1. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Teknikleri
7.1.1. Şirket tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır.
7.1.1.1 Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
7.1.1.2. Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken, bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
7.1.1.3. Uzman Tarafından Güvenli Olarak Silme: Şirket, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman kişi ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
7.1.2. Şirket tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
7.1.2.1. Veri maskeleme ile kişisel verinin temel belirleyici bilgisi veri seti içerisinden çıkartılarak kişisel veri anonim hale getirilir.
7.1.2.2. Toplulaştırma yöntemi ile birçok veri toplulaştırılır ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilir.
7.1.2.3. Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulur ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanır.
7.1.2.4. Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanır.
KVKK’nın 8. maddesine uygun olarak, anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
8. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI
Kişisel veri sahipleri mevzuat uyarınca aşağıdaki haklara sahiptir. Şirket, bu hakların korunması ve kullanılması ile ilgili her türlü tedbiri almaktadır.
Kişisel veri sahipleri;
· Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.
Kişisel veri sahipleri bu haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirkete iletebileceklerdir. Bu doğrultuda “www.gulsanholding.com.tr” adresinden ulaşılabilecek “Veri Sahibi Başvuru Formu”nu kullanabileceklerdir.
İlgili kişi, Kurul’un belirlediği diğer yöntemler saklı kalmak üzere, kişisel verilerine ilişkin hak taleplerini, kimliğini doğrulayıcı belgeleri (nüfus cüzdanı sureti vs.) başvurusuna eklemek suretiyle “kvkkbilgi@gulsanholding.com.tr” elektronik posta adresine elektronik posta veya “Hilal Mah. R. Tagore Cad. No:74 – Çankaya/ANKARA” adresine posta yoluyla gönderebilir.
İlgili kişi yukarıda belirtilen hakları kullanmak için yapacağı başvuruda, talep edilen hususu açık ve anlaşılır şekilde belirtmelidir.
Talep konusunun başvuranın şahsı ile ilgili olması gerekmekle birlikte, başkası adına da hareket edilebilir. Başkasının adına hareket edilmesi durumunda, başvuruyu yapanın, bu konuda özel olarak yetkili olması ve bu yetkinin belgelendirilmesi (özel vekâletname) gerekmektedir. Ayrıca başvurunun, kimlik ve adres bilgilerini içermesi ve başvuruya kimliği tevsik edici belgelerin eklenmesi gerekmektedir. Yetkisiz üçüncü kişilerin başkası adına yaptığı talepler değerlendirmeye alınmaz.
Şirket, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
Kişisel veri sahibinin, haklarına ilişkin talebini usule uygun olarak Şirkete iletmesi halinde, Şirket talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
9. KİŞİSEL VERİ SAHİPLERİNE DAİR TABLO
KİŞİSEL VERİ SAHİBİ KATEGORİSİ | AÇIKLAMA |
Çalışan adayı/Stajyer | Şirkete/Şirketlere herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket incelemesine açıklamış olan gerçek kişidir. |
Çalışan | Şirket/Şirketler bünyesinde fiilen çalışan ve kişisel verileri işlenen gerçek kişidir. |
Eski çalışan | Şirket/Şirketler bünyesinde önceki zamanlarda çalışmış, hali hazırda iş akdi sona ermiş olan ve kişisel verileri işlenen gerçek kişidir. |
Bursiyer | Şirket/Şirketler’den sosyal sorumluluk projeleri kapsamında mali destek alan gerçek kişilerdir. |
Müşteri | Şirket/Şirketler’den mal veya hizmet satın almış olan gerçek kişilerdir. |
Ziyaretçi | Şirket/Şirketlere ait bina ve yerleşkeleri, internet sitelerini ziyaret eden veya Şirketin misafir internet ağına katılmış gerçek kişilerdir. |
Hissedar | Şirket/Şirketlerde ortaklık payı bulunan gerçek kişilerdir. |
Veri sahibi yakınları | Şirket/Şirketlerin ürün ve/veya hizmetlerinden yararlanan kişilerin ve/veya çalışanların aile üyeleri ve yakınları olan gerçek kişilerdir. |
Tedarikçi çalışanı/ Yetkilisi/ Ortağı | Şirket/Şirketlere mal ve/veya hizmet sağlayan şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişilerdir. |
İş ortağı/ Yetkilisi/ Çalışanı | Şirket/Şirketlerle iş ortaklığı yapan şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişilerdir. |
Görüş/Öneri/Şikayet sahipleri | Görüş, öneri, şikayet ve benzeri taleplerini Şirket/Şirketlere ileten gerçek kişilerdir. |
Diğer 3. kişiler | İşbu Politika kapsamına dahil olmakla birlikte, sayılan kategorilere girmeyen gerçek kişilerdir. |
10. KİŞİSEL VERİ KATEGORİLERİNE DAİR TABLO
KİŞİSEL VERİ KATEGORİLERİ | AÇIKLAMA |
Kimlik Bilgisi Verisi | İsim, soy isim, T.C. Kimlik Numarası, pasaport numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet, fotoğraf, araç plaka bilgisi ve kimlik fotokopisi gibi verilerdir. |
İletişim Bilgileri Verisi | Telefon, GSM numarası, E-posta adresi, faks numarası, işyeri veya ev adresi, IP adresi gibi verilerdir. |
Mali ve Finans Bilgileri Verisi | Banka hesap numarası, kredi kartı bilgileri, vergi levhası, fatura bilgileri, maaş veya ücret bilgisi, çek karnesi bilgileri, mali veya ekonomik durumunu gösterir sair verilerdir. |
Aile ve Yakınlara Dair Bilgi Verisi | Aile bireylerinin veya yakınlarının ismi, soy ismi, T.C. kimlik numarası, fotoğrafı, medeni durum bilgisi, ev ve iş adresi, cep telefonu numarası, faks numarası, ev telefonu numarası, posta ve elektronik posta adresi gibi verilerdir. |
Özlük Bilgisi Verileri | Çalışanların, eski çalışanların ve stajyerlerin, mevzuat kapsamında tutulması gerekli, iş sözleşmesi, işyerine giriş-çıkış kayıtları, fazla mesai, yıllık izin, puantaj kayıtları Pozisyon/unvan bilgisi, diploma ve sertifikalar, çalışma geçmişi ve detayları, önceki iş yerinden alınan bonservis/hizmet/çalışma belgesi, öz geçmiş, eğitim durumu, çalışan hakkında yapılan resmi yazışmalar, SGK işe giriş bildirgesi, SGK işten ayrılış bildirgesi, kan grubu, sağlık raporu, adli sicil kaydı, engelli raporu, periyodik muayene raporu, eski hükümlü raporu, askerlik durum bilgisi gibi verileridir. |
Sağlık Verileri | Çalışanların, eski çalışanların ve stajyerlerin, mevzuat kapsamında alınması gerekli kan grubu, sağlık raporu, periyodik muayene raporu gibi verileridir. |
Görsel ve İşitsel Veriler | Kamera, ses kaydı, fotoğraf gibi verilerdir. |
Güvenlik Bilgisi Verileri | Şirket/Şirketlere ait bina ve yerleşkelerinde giriş ve çıkışlarda veya kalınan süre içerisinde alınan kayıtlara dair verilerdir. |
İşlem Güvenliği Verisi | Şirket faaliyetlerinin yürütülmesinde kullanılan teknik, idari, hukuki ve ticari güvenliğin sağlanması için işlenen Log kayıtları, şifre ve parolalar, vb kişisel verilerdir. |
Diğer Veriler | Şirket faaliyetleri kapsamında toplanan diğer verilerdir. |
11. KİŞİSEL VERİLERİN 3. KİŞİLERE AKTARILMASI
KİŞİSEL VERİ AKTARIMI YAPILABİLECEK KİŞİLER | AKTARIM AMACI |
GRUP ŞİRKETLERİ Gülsan Şirketleri bünyesindeki doğrudan ya da dolaylı olarak bağlı tüm şirketleri ifade eder. | Şirket/Şirketlerin ticari faaliyetlerine ilişkin stratejilerinin planlanması ve yürütülmesi, denetim, işgücü aktarımı, çalışan aday değerlendirilmesi gibi amaçlarla sınırlı olarak kişisel veriler aktarılmaktadır. |
HİSSEDARLAR Gülsan Şirketleri bünyesinde doğrudan ya da dolaylı olarak bağlı tüm şirketlerin hissedar/ortaklarını ifade eder. | Şirket/Şirketlerin ticari faaliyetlerine ilişkin stratejilerinin planlanması ve yürütülmesi, denetim, gibi amaçlarla sınırlı olarak kişisel veriler aktarılmaktadır. |
TEDARİKÇİLER/HİZMET SAĞLAYICILAR Gülsan Şirketleri bünyesinde doğrudan ya da dolaylı olarak bağlı tüm şirketlerin ticari faaliyetleri kapsamında mal/hizmet alınan kişileri ifade eder. | Şirket/Şirketlerin ticari faaliyetlerinin yürütülmesini sağlamak amacıyla gerekli hizmetlerin yerine getirilmesi için sınırlı olarak kişisel veriler aktarılmaktadır. |
KANUNEN YETKİLİ KAMU KURUM VE KURULUŞLARI İlgili mevzuat hükümlerince, bilgi/belge talebinde bulunmaya hakkı olan Mahkemeler, Vergi Dairesi gibi kamu kurum ve kuruluşlarını ifade eder. | Mevzuat uyarınca, kamu kurum ve kuruluşlarından gelen bilgi/belge temini amacıyla, hukuki yükümlülüklerin yerine getirilmesi için veri aktarılmaktadır. |
İŞ ORTAKLARI Gülsan Şirketleri bünyesinde doğrudan ya da dolaylı olarak bağlı tüm şirketlerin ticari faaliyetleri kapsamında iş ortaklığı yaptığı kişileri ifade eder. | İş ortaklığının kurulması ve yürütülmesini teminen gerekli ve sınırlı ölçüde veri aktarılmaktadır. |
DİĞER 3. KİŞİLER Yukarıda sayılmamakla birlikte, Gülsan Şirketleri bünyesinde doğrudan ya da dolaylı olarak bağlı tüm şirketlerin veri aktarması gerektiği tüm diğer kişileri ifade eder. | Yukarıda sayılmamakla birlikte, kişisel verilerin aktarılmasının Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, kişisel verilerin Şirket tarafından aktarılmasının Şirketin veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması, veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması durumlarında veri aktarılmaktadır. |
12. POLİTİKADA YAPILABİLECEK DEĞİŞİKLİKLER VE GÜNCELLEMELER
Çamyuva Turizm Yatırımları A.Ş. bu Politikada yasal düzenlemeler ve Şirket Politikası doğrultusunda değişiklik veya güncellemeler yapabilir. Tüm bu değişiklik ve güncellemeleri yansıtan yeni Politika metni hakkında ilgili kişilere web sitesi üzerinden gerekli bilgilendirmeler yapılır.