Bu politikanın amacı, Türkiye Cumhuriyeti Anayasası ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile CEYLAN OTELCİLİK VE TURİSTİK İŞLETMELER A.Ş. (Şirket)’nin “Kişisel Verilerin Korunması ve İşlenmesi Politikası” kapsamındaki düzenlemelere ek olarak özel nitelikli kişisel verilerin işlenmesi kapsamındaki yükümlülüklere uyumun sağlanması, özel nitelikli kişisel verilerin işlenmesi ve güvenliğinin sağlanması ile ilgili kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile veri sahiplerinin ve kurum çalışanlarının bilinçlendirilmesidir.
Bu politika hükümleri, Şirket tarafından özel nitelikli kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen müşteriler, çalışanlar, çalışanların aile üyeleri, stajyerler, müşteriler, hissedarlar hakkında uygulanır.
Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası’ na ek niteliğindeki işbu Politika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Politikalar çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirket Üst Yönetimi sorumludur.
Tüm Şirket çalışanları, görevlerini politikalara ve ilgili tüm prosedür ve mevzuata uygun olarak yerine getirmekten sorumludur.
Bu politikada yer alan önemli tanımlar aşağıda belirtilmiştir.
Açık rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Anonim hale getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
İlgili kişi |
Kişisel verisi işlenen gerçek kişi |
İlgili kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Kanun |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kayıt ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
Kişisel veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel verilerin işlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kişisel Verilerin Silinmesi |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi |
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi |
Kişisel Verilerin Anonim Hale Getirilmesi |
Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
Kurul |
Kişisel Verileri Koruma Kurulu |
Kurul Kararı |
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı |
Kurum |
Kişisel Verileri Koruma Kurumu |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Periyodik imha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Sicil |
Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili |
Veri işleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
Veri sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
5.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Şirket nezdinde özel nitelikli kişisel veriler, Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmekte ve kişisel verilerin işlenmesinde “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda düzenlenen ilkeler dikkate alınmaktadır.
5.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirket tarafından özel nitelikli kişisel verilerin işlenmesinde, öncelikle veri işleme şartlarının var olup olmadığı belirlenir, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti gerçekleştirilir. Bu kapsamda Kurul tarafından belirlenen yeterli önlemlerin alınması kaydıyla özel nitelikli kişisel verilerden;
Özel nitelikli kişisel verilerin elde edilmesi sırasında Şirket “Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni” ile aşağıdaki konular hakkında ilgili kişilere bilgi verir.
Şirket bilgileri,
İlgili kişinin açık rızası, kişisel veri sahibinin kendisiyle ilgili veri işlenmesine, Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni ile yeterli bilgi sahibi olarak, özgür iradesiyle, tereddüde yer bırakmayacak şekilde ve sadece ilgili işlemle sınırlı olarak Kişisel Verilerin İşlenmesine İlişkin Açık Rıza Beyanı ile onay vermesi suretiyle alınır.
Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm bulunması durumunda, Şirket tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veriler işlenmektedir.
İşlenen kişisel veriler Kanun hükümlerine aykırı olarak başkasına açıklanamaz ve işleme amacı dışında kullanılamaz.
Özel nitelikli kişisel verilerin açık rıza dışında kalan işleme şartları ve örnekleri aşağıdaki tabloda yer almaktadır:
İşleme Şartları |
Kapsam |
Örnek |
Kanun Hükmü |
Sağlık ve cinsel hayat dışındaki kişisel veriler ilgili kişinin açık rızası aranmaksızın işlenebilir. Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb. daha sıkı hassas veri işleme şartları. |
Çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması gerekir. |
Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve Finansmanı |
Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi |
Doktorun hastası hakkında işlediği sağlık verileri. |
5.3. VERİ KONUSU KİŞİ GRUBU VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
Şirket’imiz nezdinde özel nitelikli kişisel verisi işlenen kişi grubu aşağıda belirtilmektedir:
Veri Konusu Kişi Grubu |
|
Çalışanlar |
Şirket çalışanları |
Stajyer |
Şirket'te staj yapan lise ve üniversite öğrencileri |
Aile Üyeleri |
Çalışanların aile üyeleri |
Hissedarlar |
Şirket hissedarı gerçek kişiler |
Müşteriler |
Şirketimizle herhangi bir sözleşmesi ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri alan/kullanan veya kullanmış olan gerçek kişiler |
Bu kişilere ilişkin işlenen özel nitelikli kişisel veriler aşağıda belirtilmiştir:
Özel Nitelikli Kişisel Veri |
Uyruğu, dini, sabıka kaydı, engellilik durumu, sağlık ve kan grubu bilgisi |
5.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME AMAÇLARI
Şirket tarafından toplanan kişisel veriler, Kanun’un 6. maddesinde belirtilen işleme şartlarına uygun olarak aşağıda sayılan amaçlar dahilinde işlenmektedir:
Ana Amaçlar |
Alt Amaçlar |
Şirketin idaresi, faaliyetlerin hukuka, Şirket politika ve prosedürlerine uygun olarak yerine getirilmesi |
Tabii olunan mevzuatlar gereği yasal yükümlülüklerimizin yerine getirilmesi ve yürürlükteki mevzuattan doğan haklarımızın kullanılabilmesi |
Ürün/hizmetlerin planlaması ve satışına ilişkin süreçlerin tesisi ve yönetimi; ürün ve hizmet koşullarının ifası ve üstlenilen yükümlülüklerin eksiksiz ve doğru bir şekilde yerine getirebilmesi |
|
Müşterilere konaklama, tur ve vize hizmetlerinin verilmesi |
|
Sözleşme süreçlerinin ve/veya hukuki işlemlerin takibi |
|
Operasyon süreçlerinin yürütülmesi |
|
Risk yönetimi, denetim ve kontrol faaliyetlerinin icrası |
|
İşlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi |
|
İlgili mevzuat hükümleri doğrultusunda bilgi ve belge almaya yetkili kamu/özel kurum ve kuruluşlarına mevzuattan kaynaklı bilgi verilmesi |
|
Hukuki yükümlülüklere ve şirket politikalarına uyumu teminen denetim şirketlerine, Kanun’a uygun olarak bilgi verilmesi |
|
Şirket’in, personelin ve Şirket ile iş ilişkisi içerisinde olan kişilerin fiziki, hukuki ve ticari güvenliğinin temini |
|
İnsan kaynakları politikalarının yürütülmesi; insan kaynakları süreçlerinin planlanması ve icrası |
İş sözleşmelerinin kurulması, ifası ve üstlenilen yükümlülüklerin yerine getirilmesi |
İşe alım ve özlük süreçlerinin yürütülmesi |
|
Kurumsal sağlık sigortası ve bireysel emeklilik gibi yan hak ve menfaatlerine ilişkin süreçlerin tesisi, hakların kullanılması veya korunması |
|
İş sağlığı ve güvenliği düzenlemelerine uyum; işyeri hekiminin sağlık gözetimi kapsamında işe giriş ve periyodik muayeneler ve tetkikler, sağlık raporu, e-reçete, sağlık taramaları süreçleri |
|
|
Kanun’un 6(3) maddesinde belirtilen kişisel veri işleme şartlarının karşılanmadığı hallerde kişisel veriler, veri sahibinin açık rızasına istinaden işlenebilecektir.
5.5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve Kişisel Veri Saklama ve İmha Politikası’ na uygun hareket edilmektedir.
5.6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Şirket tarafından gerçekleştirilecek özel nitelikli kişisel veri aktarımlarında Kurul Kararı ile düzenlenmiş olan özel nitelikli kişisel veri aktarım şartlarına uygun hareket edilir.
Şirket tarafından özel nitelikli kişisel verilerin aktarılabileceği taraflar ve aktarım amaçlarına aşağıda yer verilmiştir:
Veri Aktarılabilecek Taraflar |
Aktarım Amaçları |
Kanunen Yetkili Kurumlar |
Yetkili kamu kurum ve kuruluşları ile özel hukuk kişilerinin hukuki yetkisi dahilinde bilgi-belge talebinin karşılanması. |
İş Ortakları |
İş ortaklığının kurulma amaçlarının ve ticari faaliyetlerin yerine getirilmesi. |
Grup Şirketleri |
Grup şirketlerinin de katılımını gerektiren faaliyetlerin sürdürülmesi. |
Tedarikçiler |
Dış kaynaklı olarak temin edilen mal ve hizmetlere ilişkin süreçlerin yönetilmesi, destek ve danışmanlık hizmeti alınması, personelin yan haklardan faydalandırılması. |
5.6.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT İÇİNDE AKTARILMASI
Şirket tarafından özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler alınmak suretiyle ve aşağıdaki hallerden birinin bulunması halinde aktarılabilir:
Özel nitelikli kişisel verilerin aktarımına ilişkin alınan yeterli önlemler bu Politika’nın 6. maddesinde düzenlenmiştir.
5.6.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
Şirket tarafından kişisel veriler, aşağıdaki durumlardan birinin bulunması halinde yurt dışına aktarılabilir:
Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir.
Özel nitelikli kişisel verilerin yurt dışına aktarımına ilişkin alınan yeterli önlemler bu Politika’nın 6. maddesinde düzenlenmiştir.
Şirket tarafından özel nitelikli kişisel verilerin, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınır; Kanun hükümlerinin ve Kurul Kararı’nın uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması sağlanır.
6.1 İDARİ TEDBİRLER
6.2 TEKNİK TEDBİRLER
İlgili kişinin Kanun kapsamındaki hakları, Kanun’un uygulanmasıyla ilgili taleplerini iletme yöntemleri ve taleplerin Şirket tarafından sonuçlandırılmasına ilişkin hükümler Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda düzenlenmiştir.