Menu CC
Menu CC

Kişisel Verileri Saklama ve İmha Politikası

Veri Sahibi Başvuru Yönetim Politikası

  1. AMAÇ

Bu politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’na uyum kapsamında veri sorumlusu sıfatıyla CEYLAN OTELCİLİK VE TURİSTİK İŞLETMELER A.Ş. (Şirket) tarafından, ilgili kişilerin Kanun’un uygulanmasıyla ilgili başvurularının yönetilmesi, yerine getirilmesi ve kaydedilmesine ilişkin işleyişi ve tesis edilen iletişim kanallarını açıklamaktır. 

  1. KAPSAM

Bu politika hükümleri, Şirket tarafından kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen gerçek kişiler hakkında uygulanır.

  1. SORUMLULUK

İşbu Politika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Politika çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirket Üst Yönetimi sorumludur.

İrtibat Kişisi

  • İlgili kişilerin Şirket’e yönelteceği taleplerin cevaplandırılması konusunda iletişimin sağlanmasından;
  • İlgili departmanlar tarafından iletilen cevaplar doğrultusunda, ilgili kişilerin başvurularının en geç 30 gün içinde cevaplanmasının sağlanmasından;
  • Kurul ile Şirket arasındaki iletişimin sağlanmasından ve Kurul taleplerinin yerine getirilmesinden;

Departman Yöneticileri

  • Kendilerine ulaşan ilgili kişi başvurularının en geç 1 hafta içinde incelenerek cevaplanmasını sağlamaktan sorumludur.
  1. TANIMLAR

Anonim hâle getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Başvuru

Kanunun 13. maddesi kapsamında yapılan başvuru

Güvenli Elektronik İmza

Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imza

İlgili kişi

Kişisel verisi işlenen gerçek kişi

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

İrtibat Kişisi

Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kayıtlı elektronik posta (KEP) adresi

Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şekli

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

Mobil imza

Mobil bir cihaz kullanılarak oluşturulan elektronik imza

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

  1. BAŞVURU HAKKI

Kanun’un 11. Maddesi uyarınca, ilgili kişi, Şirketimize başvurarak kendisiyle ilgili;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. e) Kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

İlgili kişi, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.

Kanun hükümlerinin uygulanmadığı aşağıdaki hallerin varlığı halinde, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla aydınlatma yükümlülüğü ve zararın giderilmesini talep etme hakkı hariç, aşağıdaki hallerin varlığı halinde, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
  1. BAŞVURU USÜLLERİ

İlgili kişi, Kanun’un uygulanmasıyla ilgili taleplerini, kimliğini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle www.anexservices.com.tr adresinde yer verilen “Veri Sahibi Başvuru Formu” nu doldurarak Şirket’e iletebilir.

  • Veri Sahibi Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılarak “Very Chic Zengin Hüseyin Sokak no 9 Gümbet Bodrum Muğla 48400” adresine iletilmesi.
  • Veri Sahibi Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra kayıtlı elektronik posta ile konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılarak [email protected] adresine gönderilmesi.

Yazılı başvurularda, Şirket’e evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemle yapılan başvurularda; başvurunun Şirket’e ulaştığı tarih, başvuru tarihidir.

  1. BAŞVURUNUN KAYIT ALTINA ALINMASI

Başvuru Formunun elden ibraz edilmesi halinde ilgili kişinin kimliği, kimlik belgesi (Adı-Soyadı, Kimlik No) kontrol edilmek suretiyle tespit edilir.

Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunabilmesi için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname aslı ibraz edilmelidir. Vekaletnamenin bir kopyası başvuru ekinde muhafaza edilir.

18 yaşın altındaki kişilerin kişisel verilerine ilişkin başvuru, yasal temsilcisi tarafından yapılabilir. Bu durumda yasal temsilcinin yetkisini belirleyen belgelerin suretleri talep edilir ve bir örneği başvuru ekinde saklanır.

Güvenli elektronik imza ile yapılan başvurularda e-imzaya dayalı nitelikli elektronik sertifika ile başvuru yapanın kimliği hukuken tespit edilebilmektedir.

İlgili kişi tarafından şahsen veya noter aracılığı ile yazılı olarak yapılan başvurular, Muhaberat tarafından Evrak Kayıt Defterine kaydedilerek imza karşılığı İrtibat Kişisi’ne teslim edilir.

Kayıtlı elektronik posta adresine yapılan başvurular Mali Müşavir ya da yetkili kişi tarafından İrtibat Kişisi’ne e-posta ile ulaştırılır.

İrtibat Kişisi başvurunun işbu Politikada belirtilen usullere uygun olup olmadığını ve başvuru formunda yer alması gereken bilgi ve belgelerin eksiksiz olup olmadığını kontrol eder. Usulüne uygun olmayan başvurular için, gerekli bilgilerin temin edilmesi amacıyla ilgili kişi ile iletişime geçer. Buna rağmen usulüne uygun olmayan, eksik bilgi/belgeli başvurular gerekçesiyle ilgili kişiye yazılı olarak bildirilerek reddedilir.

Usulüne uygun olarak alınan başvurular, İrtibat Kişisi tarafından, başvuru sahibi kişi kategorisine göre aşağıda belirtilen ilgili departman yöneticisine iletilir.

  • Çalışan adayı, eski çalışan: İnsan Kaynakları
  • Tedarikçi: Muhasebe/Satın alma
  • Müşteri/Misafir: İlgili Bölüm
  • Ziyaretçi: Güvenlik
  • Diğer: Bilgi Teknolojileri/Hukuk
  1. BAŞVURUNUN DEĞERLENDİRİLMESİ

8.1. KİŞİSEL VERİ TESPİTİ

İlgili kişilerden gelen taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin kişisel verilerinin, Şirket nezdinde işlenip işlenmediği ilgili departman tarafından tespit edilmelidir.

Bu amaçla öncelikle Başvuru Formunda yer alan bilgilerden hareketle Kişisel Veri Envanterindeki ilgili süreç, veri kategorisi, kayıt ortamı ve saklama yeri tespit edilir. Veri Envanteri üzerinden yapılan incelemenin yanı sıra başvuru formunda yer alan veri sahibi bilgileri, Şirket veri tabanları üzerinde aratılarak kontrol edilir.

İlgili süreçlerde ve gerçekleştirilen sistemsel testte ilgili kişinin başvuru formunda belirttiği kişisel verilere rastlanmıyorsa, İrtibat Kişisi’ne e-posta ile bilgi verilir.

İlgili süreçlerde ve gerçekleştirilen sistemsel testte ilgili kişinin başvuru formunda belirttiği kişisel verilere rastlanıyorsa, kişisel veri sahibinin talebine uygun olarak aşağıdaki adımlardan biri uygulanarak talebin gereği yerine getirilir.

8.2. İŞLENEN KİŞİSEL VERİYE İLİŞKİN BİLGİ TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (a), (b), (c) ve (ç) bentlerinde belirtilen talebi doğrultusunda, Kişisel Veri Envanterinde yer alan işlenen kişisel veriler, veri işleme amacı, aktarılan taraf ve aktarma amacı bilgilerinden talebe uygun olanları, İrtibat Kişisi’ne e-posta ile iletilir.

8.3. İŞLENEN KİŞİSEL VERİYE İLİŞKİN DÜZELTME TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (d) bendinde belirtilen talebi doğrultusunda, veri sahibinin sağladığı kişisel veriler ve bunları tevsik eden belgeler ile Şirket kayıtlarında yer alan bilgiler karşılaştırılır. Şirket nezdinde hatalı ya da eksik olarak işlendiği belirlenen veriler, düzeltilmesi için tevsik edici belgelerle birlikte verinin kayıt altına alındığı ilgili birime iletilerek güncellenmesi sağlanır.

Güncellenen verilere ilişkin olarak bilgi, İrtibat Kişisi’ne e-posta ile iletilir.

8.4. İŞLENEN KİŞİSEL VERİYE İLİŞKİN SİLME/ YOK ETME TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (e) bendinde belirtilen talebi doğrultusunda, Kişisel Veri Envanterinde hangi süreçlerde yasal zorunluluk nedeniyle saklama ve işleme yapılması gerektiği tespit edilir.

Eğer yasal zorunluluk nedeniyle saklama ve işleme zorunluluğu yok ise ilgili kişisel verilerin, Kişisel Veri Saklama ve İmha Politikası’na uygun olarak silinmesi ve yok edilmesi sağlanır. Silme/yok etme işleminin tamamlanmasının ardından ilgili kişisel verilerin silindiği, yok edildiği bilgisi İrtibat Kişisi ile paylaşılır.

Eğer yasal zorunluluk nedeniyle işleme ve saklama zorunluluğu var ise, kişisel veri işlemeye temel olan yasal zorunluluğun ortadan kalkmaması nedeniyle talebinin gerçekleştirilemediği yönünde İrtibat Kişisi’ne bilgi verilir.

8.5. İŞLENEN KİŞİSEL VERİYE İLİŞKİN DÜZELTME/SİLME/ YOK ETME TALEPLERİNİN VERİ AKTARILAN TARAFLARA BİLDİRİMİ TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (f) bendinde belirtilen talebi doğrultusunda,

Kişisel Veri Envanterinden veri aktarılan kişi kategorileri tespit edilir.

Eğer ilgili kişinin düzeltme/silme veya yok etme talebi yerine getirilmişse, veri aktarılan taraflardan da aynı işlemlerin gerçekleştirilmesi ve talebin yerine getirildiğinin yazılı olarak teyit edilmesi istenir.

İlgili kişinin düzeltme/silme veya yok etme talebinin, kişisel verilerin aktarıldığı üçüncü kişiler tarafından da yerine getirildiğine ilişkin bilgi İrtibat Kişisi’ne e-posta ile iletilir.

8.6. KİŞİNİN KENDİSİ ALEYHİNE BİR SONUCUN ORTAYA ÇIKMASINA İTİRAZ ETMESİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (g) bendinde belirtilen talebi doğrultusunda, veri sahibinin aleyhine sonuç doğurduğu iddia edilen süreç incelemeye alınır.

Yapılan incelemede süreçte veya süreç içerisinde işlenen kişisel verilerde aleyhe sonuç doğuracak herhangi bir eksiklik ve hata olmadığı tespit edilirse İrtibat Kişisi’ne bu yönde bilgi verilir.

Yapılan incelemede süreçte veya süreç içerisinde işlenen kişisel verilerde aleyhe sonuç doğuracak herhangi bir eksiklik veya hata tespit edilirse, kişinin sağladığı bilgiler doğrultusunda düzeltme yapılarak yapılan değişikliğin kişi lehine sonuç yarattığı ve sistemlerin bu şekilde güncellendiği bilgisi İrtibat Kişisi’ne e-posta ile iletilir.

8.7. KİŞİSEL VERİLERİN KANUNA AYKIRI OLARAK İŞLENMESİ SEBEBİYLE ZARARA UĞRAMASI HÂLİNDE ZARARIN GİDERİLMESİ TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (ğ) bendinde belirtilen talebi doğrultusunda, zarar talebi Hukuk Danışmanı ve ilgili birimlerin katılımıyla incelemeye alınır. İnceleme sonucunda alınacak aksiyon ve başvuruya verilecek yanıt belirlenerek Hukuk Danışmanlığı vasıtasıyla işleme alınır.

Kişisel verilerin Kanuna aykırı olarak işlenmesi nedeniyle ilgili kişinin uğradığı zararın giderilmesi, Üst Yönetim (Yönetim Kurulu/Genel Koordinatör) onayıyla gerçekleştirilir.

  1. BAŞVURUNUN CEVAPLANMASI

Veri Sahibi taleplerinin Şirket tarafından en kısa sürede ve en geç başvuru tarihinden itibaren 30 gün içerisinde değerlendirilerek sonuçlandırılması gerekir.

İlgili departmanlara ulaştırılan başvuruların incelenmesi, teslim alındığı tarihten itibaren en geç 1 hafta içinde sonuçlandırılarak İrtibat Kişisi’ne bildirilmelidir.

İrtibat Kişisi, başvuruya ilişkin bilgi ve belgeleri, ilgili departmanlardan gelen cevaplar ve alınan aksiyonların hukuka ve Kanun’a uygunluğu açısından incelenmesi amacıyla Hukuk Danışmanı’na iletir.

Hukuk danışmanı tarafından iletilen hukuka uygunluk onayı ve başvuruya cevaben inceleme sonucuna göre hazırlanan yazı, İrtibat Kişisi tarafından, en geç otuz (30) gün içinde veri sahibine ulaştırılır. Cevap yazısının asgari olarak;

  1. Şirket veya temsilcisine ait bilgileri,
  2. Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
  3. Talep konusunu,
  4. Şirket’in başvuruya ilişkin açıklamalarını,

içermesi zorunludur.

Başvuruya verilecek yanıtlarda üçüncü kişilere ait kişisel veriler kesinlikle yer alamaz. Üçüncü kişilere ait kişisel verilere yer verilmeksizin başvurunun yanıtlanması mümkün olmayan durumlarda, üçüncü kişiye ait bilginin gizlenerek/anonimleştirilerek paylaşılması veya ilgili kişinin açık rızasının alınması yoluna gidilir.

Noter kanalıyla yapılan başvurulara verilen yanıtlar Şirket antetli kağıdına basılarak Şirket’in imza yetkilileri tarafından iki nüsha imzalanır. Cevap yazısı, Evrak Kayıt Defterine kaydedilerek posta yoluyla başvuru sahibine iletilmek üzere muhaberata verilir.

Elektronik imza ile verilen yanıtlar elektronik imzalı olarak Şirket’in imza yetkilileri tarafından güvenli elektronik imza kullanılarak imzalanır. Cevap başvuru sahibinin elektronik posta hesabına gönderilir.

İlgili başvuruya ilişkin oluşan tüm kayıtlar, inceleme sonuçları, sorgulamalar, yazışmalar, Hukuk görüşleri ve cevaplar İrtibat Kişisi tarafından oluşturulan elektronik dizinde, yazılı belgeler arşivde saklanır.

  1. ÜCRET

Şirket başvuruda yer alan talepleri ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, üst yönetimin onayı ile Kurul tarafından belirlenen aşağıdaki tarife uygulanabilir:

  • İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.
  • Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirket tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

Başvurunun, Şirket hatasından kaynaklanması hâlinde alınan ücret ilgili kişiye iade edilir.