Kişisel Verilerin Korunması ve İşlenmesi Politikası

HOLIDAY INN İSTANBUL CİTY OLCAY TURİZM SANAYİ VE TİCARET A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1.GİRİŞ

Kişisel Verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, temel hak ve özgürlüklerin korunması ve kişisel verileri işleyen gerçek/tüzel kişilerin uymakla yükümlü oldukları usul ve esasların düzenlemesi amacıyla tanzim olunan 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun 07.04.2016 tarihli Resmi Gazetede yayınlanarak yürürlüğe girmiştir.

Holiday İnn İstanbul City, Olcay Turizm ve Ticaret A.Ş’nin Kişisel Verilerinizin işlenmesi ve korunması çerçevesinde yürüttüğü faaliyetler ‘Holiday İnn İstanbul City, Olcay Turizm ve Ticaret A.Ş Kişisel Verilerin Korunması ve İşlenmesi Politikası’ altında yönetilmekte olup, Politika Şirketimizin www.adresinde yayınlanarak sizlerin de erişiminize sunulmuştur.

2.AMAÇ

Politikanın amacı; kişisel verilerin işlenmesinde şirketimizin tabi olduğu usul ve esasların belirlenmesi, verilerin korunması noktasında yürütülen teknik ve idari faaliyetlerin bir politika altında yönetilmesi suretiyle etkin ve düzenli bir şekilde icrasının sağlanması ve ilgili kişilerin (çalışan adayı, çalışan, stajyer, otel misafiri/otel misafiri yanında konaklayan kişi, otel misafiri adına ödeme yapan kişi, üye, ziyaretçi, potansiyel müşteri, tedarikçi/müşteri ve alt işveren yetkilileri ve çalışanları, üye)bilgilendirilmesidir.

3.KAPSAM

Politika; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verilere ilişkindir. Politikada ‘Kişisel Veriler’ için yapılan açıklamalar, ‘Özel Nitelikli Verileri ‘de kapsamaktadır.

4.TANIMLAR

Şirket	OLCAY TURİZM SANAYİ VE TİCARET A.Ş.
Açık rıza:	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Kişisel veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikli Kişisel Veri	Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik veriler, uyruk, sağlık verileri vb.
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri işleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
İlgili kişi	Kişisel verisi işlenen gerçek kişi
Çalışan	Şirket ile yapılmış iş sözleşmesi çerçevesinde çalışanlar
Çalışan Adayı	Şirkete iş başvurusunda bulunmuş veya özgeçmiş/ bilgilerini şirkete sunmuş gerçek kişiler
Stajyer	Şirket bünyesinde staj yapan kişiler
Stajyer Adayı	Şirkete staj yapmak üzere başvuruda bulunan, özgeçmiş ve ilgili diğer bilgileri şirketin incelemesine açmış olan kişiler
Otel Misafiri ve Otel Misafiri Yanında Konaklayan Kişi	Holıday Inn İstanbul City bünyesinde konaklayan ve şirketin sunduğu ürün ve hizmetlerden faydalanan kişiler
Üye	Holiday Inn İstanbul City’nin dahil olduğu InterContinental Hotels Group (“IHG”)’un sunduğu otel misafirlerine genel/özel kampanya, promosyon, indirim, hediye vb. gibi avantajlar sağlamak amacıyla oluşturulmuş IHG Rewards Club kart üyeleri ile Holiday Inn İstanbul City bünyesindeki SPA Merkezi üyeleri
Ziyaretçi	Şirketin faaliyette bulunduğu fiziksel yerleşkeleri veya internet sitesini ziyaret eden gerçek kişiler
Tedarikçi	Şirketin sözleşme ilişkisi içerisinde olduğu ve şirkete ürün/hizmet sunan üçüncü kişiler
Potansiyel Müşteri	Şirketten ürün veya hizmet satın almak isteyen potansiyel müşteri adayları
Müşteri	Şirketin sözleşme ilişkisi içerisinde ürün ve hizmet sunduğu üçüncü şahıs/ tüzel kişilikler
Üçüncü kişi	Kişisel verileri işlenen gerçek kişiler(Çalışan Aile Bireyleri (Eş ve Çocuk Bilgileri, Otel Misafiri Adına Ödeme Yapan Kişi)
Veri Sorumlusu Temsilcisi	30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik” m.11/3 uyarınca, Şirket için atanmış Veri Sorumlusu Temsilcisi
İrtibat Temsilcisi	30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik m.11/4 uyarınca, Şirket için atanmış İrtibat Temsilcisi
KVKK	07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’ de yayınlanan 24.03.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun
KVK Kurulu	Kişisel Verileri Koruma Kurulu
KVK Kurumu	Kişisel Verileri Koruma Kurumu
Politika	Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası
Başvuru Formu	6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun uyarınca İlgili Kişi(Veri Sahibi)tarafından Veri Sorumlusu Şirkete yapılacak başvurularda kullanılacak Başvuru Formu
Kişisel verilerin işlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel Verilerin Silinmesi	Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel Verilerin anonim Hale Getirilmesi	Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli ya da belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

5.POLİTİKANIN YÜRÜTÜLMESİ VE SORUMLULAR

5.1 ‘Olcay Turizm ve Ticaret A.Ş’ ‘Veri Sorumlusu’ sıfatıyla, bu politikanın uygulatılmasından sorumludur.

5.2 Politikanın hazırlanması, uygulanması ve güncellenmesinden, ‘Olcay Turizm ve Ticaret A.Ş’ Yönetim Kurulu yetkili ve sorumlu olacaktır.

5.3 İlgili kişiler(çalışan, çalışan adayı ,stajyer, stajyer adayı, otel misafiri/otel misafiri yanında konaklayan kişi, üye, ziyaretçi, potansiyel müşteri/müşteri//tedarikçi/alt işveren yetkilileri ve çalışanları, üçüncü kişiler (çalışan yakınları (eş ve çocuk), otel misafiri adına ödeme yapan kişi) politika hükümlerine uygun hareket etmek, bu hükümlere uyulmasını sağlamak ve aykırı hareketin tespiti halinde durumu Şirket Veri Sorumlusu Temsilcisine bildirmekle yükümlüdür.

5.4 Politika, ‘www.hiistanbulcity.com.tr’ internet sitesinde yayınlanmış olup, ayrıca ortak bilgi işlem sistemlerine de yüklenmek suretiyle erişime açıktır.

5.5 Politikada yapılan güncellemeler, Yönetim Kurulu tarafından, gerek şirket web adresinde, gerekse de ortak bilgi işlem sistemine yüklenmek suretiyle erişime açık hale getirilecektir.

5.6 Politika ile mevcut kanun hükümleri arasında çelişki olması halinde, kanun hükümleri geçerli olacak ve Şirket Yönetim Kurulu politikanın kanun hükümlerine uygun hale getirilmesi için gerekli güncellemeyi yaparak erişime açık hale getirecektir.

5.7 Politikanın yürürlükten kaldırılmasına karar verme yetkisi; yönetim kuruluna aittir.

6.KİŞİSEL VERİ İŞLEME İLKELERİ

6.1 Kişisel Verilerin İşlenmesinde Genel İlkeler

Kişisel veriler, 6698 sayılı KVKK Kanunu ve ikincil düzenlemeler ile, bu Politikada öngörülen usul ve esaslara uygun olarak işlenmektedir.

Şirket, kişisel verilerin işlenmesinde aşağıdaki ilkelerle hareket eder:

6.1.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel Veriler, yürürlükteki hukuki düzenlemelere ve dürüstlük kuralına uygun olarak işlenmektedir. Şirket, kişisel verilerin işlenmesinde orantılılık gereklerini dikkate almakta ve kişisel verileri işleme amaçları dışında kullanmamaktadır.

6.1.2 Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin toplanması ve işlenmesinde gerekli tedbirler alınarak, verilerin doğruluğu sağlanmakta ve ilgili kişilere kişisel verilerini güncelleme imkanı tanınmaktadır.

6.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi

Şirket tarafından, kişisel veri işleme amaçları kesin ve açık olarak belirlenmekte ve söz konusu veriler grubun sunduğu hizmetlerle bağlantılı ve bunlar için gerekli olan kadar işlenmektedir.

6.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler ve işleme amaçları Şirket ‘Veri Envanteri’ ile kategorize edilmekte ve amaçların gerçekleştirilmesi ile ilgili olmayan verilerin işlenmesinden kaçınılmaktadır.

6.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket, kişisel verileri ancak ilgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Saklama sürelerinin tespitinde öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği belirlenmekte, bir süre belirlenmişse bu süreye riayet edilmekte, bir süre belirlenmemişse hukuk ve ceza zamanaşımı süreleri de dikkate alınarak, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Sürenin bitimi veya kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte veya yok edilmektedir. Mevzuatta veri işleme sürelerinde değişiklik yapılması halinde, belirlenen yeni süreler esas alınmaktadır.

7.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirket tarafından , kişisel verilerin işlenmesinde, 6698 sayılı KVKK’nun 5. maddesinde belirtilen kişisel veri işleme şartlarına uygun hareket edilmektedir.

7.1.İlgili Kişinin Açık Rızasının Bulunması

6698 sayılı KVKK’na göre kişisel verilerin işlenmesi bakımından temel hukuka uygunluk sebebi ‘Açık Rıza’dır. Açık Rıza; kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradesiyle açıklanan rızasını ifade eder.

Şirket tarafından kişisel veri işlenmesinde, öncelikle 6698 sayılı KVKK’ nun 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında sınırlı olarak belirtili ‘veri işleme şartlarının’ mevcut olup olmadığı değerlendirilmekte ve bu şartlardan herhangi biri yoksa, kişisel veri işleme faaliyeti ilgili kişiden veri işleme faaliyetine yönelik alınan ‘açık rıza’ ya dayalı olarak gerçekleştirilmektedir.

7.2.İşlemenin Kanunlarda Açıkça Öngörülmesi

Mevzuatta açıkça öngörülmesi halinde, ilgili kişinin kişisel verileri ‘açık rıza’ aranmaksızın hukuka uygun olarak işlenebilecektir.

7.3.Fiili İmkansızlık Sebebiyle İlgili Kişinin Açık Rızasının Alınamaması

Fiili imkansızlık sebebiyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin hayat ve beden bütünlüğünün korunması için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda, kişisel veriler açık rıza olmaksızın işlenebilmektedir.

7.4.Bir Sözleşmenin Kurulması ve İfası İle Doğrudan İlgili Olmak Kaydıyla Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması

Sözleşmenin kurulması veya sözleşme konusu borcun ifasının gerçekleştirilmesiyle doğrudan ilgili olan işlemlerde, kişisel veriler açık rıza olmaksızın işlenebilmektedir.

7.5.Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesinin Kişisel Veri İşlemeyi Zorunlu Kılması

Mevzuatta veri işlemenin zorunlu olarak öngörüldüğü hallerde, Şirketin hukuki yükümlülüğün yerine getirilmesi için kişisel veriler işlenebilmektedir.

7.6.Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi

İlgili kişinin(Veri sahibi) kişisel verisini alenileştirmiş olması halinde, bu veriler Şirket Grup tarafından işlenebilecektir.

7.7 Bir Hakkın Tesisi, Kullanımı veya Korunması İçin Veri İşlemenin Zorunlu Olması

Kişisel veri işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu hallerde, ilgili kişinin açık rızası aranmaksızın veriler işlenebilmektedir.

7.8 Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemenin Zorunlu Olması

İlgili kişilerin temel hak ve özgürlüklerine zarar verilmemesi kaydıyla, kişisel veri işlenmesinin zorunlu olduğu hallerde, Veri Sorumlusu Şirketin meşru menfaatleri için kişisel veriler işlenebilmektedir.

8.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirket tarafından, 6698 sayılı KVKK ve ilgili yasal mevzuat kapsamında, aşağıda belirtili amaçlarla sınırlı ve KVKK’nun 4. maddesinde belirtilen “Genel İlkeler” ile 5. maddesinde belirtilen “Kişisel Verilerin İşlenme Şartları” ve 6. maddesinde belirtilen “ Özel Nitelikli Kişisel Verilerin İşlenme Şartları” na uygun olarak kişisel veriler işlenebilmektedir.

Şirket tarafından kişisel veriler;

Holıday Inn İstanbul City ürün ve hizmetlerinden yararlanabilmeniz için gerekli çalışmaların ilgili iş birimlerimiz tarafından yapılabilmesi, tarafımıza bildirmiş olduğunuz tercihleriniz doğrultusunda farklı oda seçeneklerinin sizlere sunulabilmesi, otel rezarvasyon ve konaklama işlemlerinizin yönetilmesi, hizmet kullanımlarınızın izlenebilmesi
Sunduğumuz hizmet ve ürünlere ilişkin ödeme işlemlerinizin gerçekleştirilmesi, E-Arşiv mevzuatı gereğince gerekli yükümlülüklerin icrası, ödemelerinize ilişkin itiraz süreçlerinizin yönetimi, itirazlarınız doğrultusunda yetkili kurum ve kuruluşlara bilgi verme yükümlülüğümüzün ifası
Açık Rızanızın varlığı halinde, InterContinental Hotels Group (“IHG”)’un sunduğu IHG Rewards Club kart üyelik işlemlerinizin yapılması, üyeliğiniz kapsamında IHG Grup bünyesindeki otellerdeki rezervasyonslarınızın yönetimi, konaklamalarınızda/faydalandığınız ekstralarda kampanya, indirim, promosyon ve hediyelerden faydalanmanızın sağlanması, InterContinental Hotels Group (“IHG”) tarafından reklam, satış, pazarlama, promosyon, indirim, üyelik koşulları, tanıtım ve bilgilendirme amaçlarıyla tarafından şahsınızla iletişime geçilerek tarafınıza ticari elektronik ileti gönderilebilmesi
Açık Rızanızın varlığı halinde, otelimiz ve birimlerinde sunulan ürün ve hizmetlere ilişkin olarak şirketimiz tarafından sizlere tanıtım ve bilgilendirme yapılması, yönlendirmede bulunulması, reklam, satış, pazarlama, kampanya, promosyon, indirim, üyelik koşulları gibi avantajlar/faydaların sunulabilmesi ve bu amaçlarla tarafınızla iletişime geçilerek şahsınıza ticari elektronik ileti gönderilebilmesi
Organizasyon ve Etkinlik Yönetimi Kapsamında , Otele Bağlı Birimlerde Gerçekleştirilmesi Planlanan Etkinlik ve Organizasyonlar İçin Kurumsal İletişim Sağlanması, Teklif Verilmesi, Potansiyel Müşteri Kayıtlarının Tutulabilmesi, Mutabakat Sağlanılan Etkinlik ve Organizasyonlara İlişkin Olarak Müşterilerle Sözleşme Süreçlerinin Takibi ve İfası,
Müşteri/ziyaretçi memnuniyetinin ölçümlenmesi ve artırılması, talep/şikayet yönetimi, istekleriniz ve ihtiyaçlarınız doğrultusunda hizmetlerimizin geliştirilmesi ve çeşitlendirilmesi, gerekli kalite ve standart denetimlerimizin yapılabilmesi
Açık Rızanızın varlığı halinde Otelimiz ve bağlı olduğu InterContinental Hotels Group (“IHG”) tarafından müşteri memnuniyetinin ölçümlenmesi kapsamında tarafınıza memnuniyet anketi gönderilmesi, memnuniyet anketinin gönderilip gönderilmediği yönünde şirketimiz tarafından şahsınızla iletişime geçilmesi, otelimiz ve bağlı birimlerinde sunulan ürün ve hizmetlerin kullanım şekillerine göre, kişisel seçim olanaklarının araştırılması için listeleme, raporlama, istatistik ve analiz çalışmalarının yapılabilmesi ve buna bağlı olarak ürün ve hizmetlerimizin geliştirilmesi
Otelimiz ve bağlı birimlerinde bulunan gerçek ve/veya tüzel üçüncü kişi kurum ve kuruluşların (çalışan, misafir, ziyaretçi, müşteri, tedarikçi vb)can ve mal güvenlikleri ile hukuki, ticari ve iş sağlığı güvenliklerinin temini
Müşteri/Potansiyel Müşteri/Tedarikçilerle (yetkili ve çalışanlar) Olan İlişkilerin Kurulması, Yönetimi ve İletişim Faaliyetlerinin Yürütülmesi, Sözleşme Süreçlerinin Takibi ve Finansal Mutabakat Sağlanması, Yapılan Sözleşmelerden Kaynaklanan Hukuki, Ticari ve İdari Yükümlülüklerin İfası
Şirketin Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası
Yönetim Faaliyetlerinin İcrası
Finans ve muhasebe işlemlerinin İcrası
İnsan Kaynakları Süreç ve Politikalarının Yürütülmesi
Çalışanlar İçin İş Kanunu, Sosyal Güvenlik Kanunu , İş Sağlığı ve Güvenliği Kanunu ile Sair Mevzuattan Doğan Yükümlülüklerin Yerine Getirilmesi
Çalışan Görevlendirme Süreçleri ile İşyeri Giriş ve Çıkışlarının Takibi, Çalışan Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
İç Denetim/Soruşturma/İstihbarat Faaliyetlerinin Yürütülmesi
Acil Durum Yönetimi Süreçlerinin Planlanması ve İcrası
Hukuki Operasyonların Yönetimi
Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
Otel içi İçi İnternet Erişim Loglarının 5651 Sayılı Yasa Gereği Kayıt Altına Alınması
Resmi Kurumlarca Öngörülen Bilgi Saklama, Raporlama Yükümlülükleri ile, Resmi Kurumlar, Yargı Organları Ve/Veya İdari Makamların İstediği Bilgi Ve Belge Taleplerinin Yerine Getirilmesi
Yetkili kurum ve kuruluşlara hukuki yükümlülük nedeniyle bilgi verilmesi ve/veya denetime

ilişkin faaliyet ve yükümlülüklerin ifası

Veri Güvenliği Kapsamında Gerekli Teknik, Hukuki Ve İdari Tedbirlerin Alınması

ve ayıca 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenebilecektir.

9.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE KORUNMASI YÖNTEMLERİ

9.1. Özel Nitelikli Verilerin İşlenme Amaçları

6698 sayılı KVK Kanunun 6/1. maddesi uyarınca; ‘kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri’ özel nitelikli kişisel veridir.

Özel nitelikli veriler; bu verilerin korunması konusunda Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alınması suretiyle,6698 sayılı KVK Kanununun 6. maddesinde belirtilen ‘Özel Nitelikli Kişisel Verilerin İşlenme şartları’ çerçevesinde aşağıdaki şartların varlığı halinde işlenmektedir:

Kişisel Veri Sahibinin Açık Rızası var ise,
Kişisel Veri Sahibinin Açık Rızası yok ise; Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde, Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi ve ayrıca sır saklama yükümlülüğü altında bulunulan durumlarda, mevzuatın öngördüğü ölçüde işlenmektedir.

9.2. Özel Nitelikli Verilerin Korunması Yöntemleri

Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca;

Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürü belirlenmiştir.

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,
Gizlilik sözleşmeleri yapılmakta,
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta,
Periyodik olarak yetki kontrolleri gerçekleştirilmekte,
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta ve kendilerine tahsis edilen envanter iade alınmakta,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

Verilerin kriptografik yöntemler kullanılarak muhafaza edilmekte,
Kriptografik anahtarların güvenli ve farklı ortamlarda tutulmakta,
Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,
Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmakta,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmakta,

Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmekte,

Özel nitelikli kişisel veriler aktarılacaksa;

Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmakta,
Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulmakta,
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmekte,
Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmektedir.

Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.

10.Kişisel Verilerin Aktarılması

10.1. Kişisel Verilerin Yurt İçinde Aktarılması

Şirket, kişisel verileri politikanın ‘8’ numaralı bendinde belirtili meşru ve hukuka uygun olan kişisel veri işleme amaçları doğrultusunda ve ayrıca KVKK’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak, KVKK’nun 8. maddesinde öngörülen düzenleme çerçevesinde üçüncü kişilere aktarabilmektedir:

Kişisel Veri Sahibinin açık rızası var ise,
Kanunlarda kişisel verinin aktarılacağına dair özel bir düzenleme var ise,
Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda ise,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması ve korunması için zorunlu ise,
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri aktarımı zorunlu ise kişisel veriler aktarılabilmektedir.

10.2. Kişisel Verilerin Yurt Dışına Aktarılması

10.2.1 İlgili Kişinin Kişisel Verilerinin Yurt Dışına Aktarılmasına İlişkin Açık Rızasının Bulunması

6698 sayılı KVKK’ nunun 9. maddesi gereğince, ‘Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.’ Şirket tarafından kişisel verilerin yurt dışına aktarılması gerektiğinde; öncelikli olarak kanunun 5. maddesinin ikinci fıkrasında sayılı şartlardan herhangi birinin mevcut olup olmadığı değerlendirilmekte, bu şartlardan herhangi birinin mevcut olmaması halinde açık rızanın alınması suretiyle kişisel veriler yurt dışına aktarılabilmektedir.

10.2.2 İlgili Kişinin Açık Rızası Bulunmasa Dahi Kişisel Verilerin İşlenmesine İlişkin Şartların Sağlanması Kaydıyla Kişisel Verilerin Aktarılması

6698 sayılı KVK Kanunun 5. Maddesinin ikinci fıkrasında yazılı ve aşağıda belirtili;

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması,
Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Özel nitelikli verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması

şartlarından herhangi birinin varlığı halinde açık rıza aranmaksızın ve ,

Kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması,

kaydıyla Şirket tarafından yurt dışına aktarılabilecektir.

10.3. Özel Nitelikli Verilerin Aktarılması

10.3.1. Özel Nitelikli Verilerin Yurt İçine Aktarılması

Özel Nitelikli Veriler, KVK Kanununun 8.maddesinde öngörülen düzenlemeye uygun olarak,

A)Açık rıza gerektiren hallerde 8. maddenin 1. fıkrası gereğince açık rıza alınmak suretiyle,

B)5 inci maddenin ikinci fıkrasında yazılı şartlardan birinin varlığı halinde açık rıza aranmaksızın,

C) Yeterli önlemler alınmak kaydıyla maddenin 3. fıkrasında yazılı;

Sağlık ve cinsel hayat dışındaki kişisel veriler(ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler)kanunlarda öngörülen hâllerde,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi ve ayrıca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında,

açık rıza aranmaksızın Şirket tarafından yurtiçinde aktarılabilecektir.

10.3.2.Özel Nitelikli Verilerin Yurt Dışına Aktarılması

6698 sayılı KVK Kanunun 9. maddesi uyarınca;

Açık rıza gerektiren hallerde açık rızaların alınması suretiyle,
Kanunun 5 inci maddesinin ikinci fıkrasında yazılı şartlardan herhangi birinin varlığı halinde açık rıza aranmaksızın,
Yeterli önlemler alınmak kaydıyla 6. maddenin 3. fıkrasında yazılı şartlardan herhangi birinin varlığı halinde açık rıza aranmaksızın ve,

Kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

kaydıyla Şirket tarafından yurt dışına aktarılabilecektir.

10.4 Kişisel Verilerin Kategorizasyonu

Şirket, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini kişisel veri sahibine bildirmek amacıyla aşağıda açıklamıştır:

KİŞİSEL VERİ KATEGORİZASYONU

Kimlik Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair veriler; Ad-Soyad, TC Kimlik Numarası, Uyruk Bilgisi, Anne adı, Baba adı, Doğum Yeri, Doğum Tarihi, Medeni Hali, Cinsiyet, Nüfusa Kayıtlı Olduğu Yer, Cilt No, Aile Sıra No, Sıra No,SGK Sicil Numarası, Dini, Vergi Numarası, ID numarası, pasaport numarası vb bilgiler
İletişim Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; telefon numarası, adres ,e-mail adresi gibi bilgiler
Aile Bireyleri ve Acil Durumda Aranacak Kişi Bilgileri	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; Şirketin kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (eş ve çocuk) yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler (Ad-Soyad,Cep telefonu)
Finansal Bilgi	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan Şirketin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkiye istinaden alınan banka hesap numarası, IBAN numarası, fatura, çek, senet verileri
Özlük Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olan; Şirket ile hizmet ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
Mesleki Deneyim	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar
Biyometrik Veri	Parmak İzi Bilgileri, yüz tanıma bilgileri vb
Özel Nitelikli Kişisel Veri	Kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olduğu açık olan; KVKK’nun 6. maddesinde belirtili veriler (Sağlık verileri, Kan grubu, Ceza Mahkumiyeti ve Güvenlik tedbirleriyle ilgili veriler ,Uyruk verileri)
Görsel/İşitsel Bilgi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları verileri
Uyruk Bilgisi	Uyruk
İşlem Güvenliği	IP Adres Bilgileri, İnternet Sitesi Giriş ve Çıkış Bilgileri ,şifre ve parola bilgileri
Hukuki İşlem	Adli makamlarla yazışmalar, dava dosyasındaki bilgiler vb
Ceza Mahkumiyeti ve Güvenlik Tedbirleri	Şirkette çalışan kişilerden alınan ceza mahkumiyetine ilişkin veriler ile güvenlik tedbirlerine ilişkin veriler
Müşteri İşlem	Şirketten ürün veya hizmet satın alan müşterilere ilişkin fatura, çek, talep bilgisi gibi
Pazarlama Bilgisi	Şirket tarafından sunulan ürün ve hizmetlerle ilgili, kişisel veri sahiplerinin kullanım alışkanlıkları, tercihleri, memnuniyeti ve ihtiyaçları doğrultusunda belirlenerek pazarlama ve tanıtım yapılması yönelik işlenen kişisel veriler ve bu verilere ilişkin hazırlanan raporlara ilişkin bilgiler
Talep/Şikayet Yönetimi Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirkete yöneltilmiş olan her türlü şikayet/talebin alınması ve değerlendirilmesine ilişkin veriler
Fiziksel Mekan Güvenlik Bilgisi	Şirketin sahip olduğu otele giriş ve mekan içerisinde kalış sırasında alınan kamera kayıtları, güvenlik sebebiyle alınan kayıtlara ve belgelere ilişkin bilgiler

TİMS GRUP TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON

Kişisel Veri Sahibi Kategorisi Açıklaması

Çalışan	Şirket bünyesinde çalışanlar
Çalışan adayı	Şirkete iş başvurusunda bulunmuş veya özgeçmiş/ bilgilerini şirkete sunmuş gerçek kişiler
Stajyer	Şirkette staj yapan kişiler
Stajyer Adayı	Şirkete staj yapmak üzere başvuruda bulunan, özgeçmiş ve ilgili diğer bilgileri şirketin incelemesine açmış olan kişiler
Otel Misafiri ve otel misafiri yanında konaklayan kişiler	Şirkettin sahip olduğu otelde konaklayan ve otelin sunduğu ürün ve hizmetlerden yararlanan kişiler
Potansiyel Müşteri	Şirketten hizmet almak isteyen potansiyel müşteri adayları
Müşteri Şirket Yetkilisi/Çalışanları	Şirketin sözleşme ilişkisi içerisinde ürün veya hizmet sunduğu üçüncü şahıs tüzel kişiliklerin yetkilileri ve çalışanları/alt işveren yetkilileri ve çalışanları
Müşteri	Şirketin sözleşme ilişkisi içerisinde ürün veya hizmet sunduğu üçüncü şahıslar
Tedarikçi Şirket Yetkilisi/Çalışanları	Şirkete mal veya hizmet sunan tedarikçi şirket ve alt işverenlerinin yetkilileri/çalışanları olmak üzere gerçek kişiler
Tedarikçi	Şirketin faaliyetlerini yürütürken Şirketin emir ve talimatlarına uygun, sözleşme temelli olarak Şirkete hizmet sunan şahsı tanımlamaktadır.
3. kişi	Kişisel verileri işlenen gerçek kişiler(Çalışan Yakını, Çalışan Aile Bireyleri (Eş ve Çocuk Bilgileri), otel misafiri adına ödeme yapan kişi)
Ziyaretçi	Şirketin faaliyette bulunduğu fiziksel yerleşkeleri veya internet sitesini ziyaret eden gerçek kişiler

10.6 ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER

Şirket, KVKK’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.

Şirket, KVKK’nun 8. ve 9. maddelerine uygun olarak politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:

Şirket müşterileri/alt işverenlerine ,
Şirket tedarikçileri/alt işverenlerine,
Açık rızanın varlığı halinde Holiday Inn otellerinin bağlı olduğu yurtdışı InterContinental Hotels Group’a
Hukuken Yetkili kamu kurum ve kuruluşlarına, idari mercilere

11.KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kişisel verileriniz; iş bu aydınlatma metninde belirtili kişisel veri işleme amaçları dahilinde, otomatik ya da otomatik olmayan yöntemlerle, otelimiz ve bağlı birimleri, şirket web sitesi, çağrı merkezi ve tedarikçiler vasıtasıyla sözlü, yazılı ya da elektronik ortamda toplanabilmektedir.

VERİ SORUMLUSU SIFATI İLE ŞİRKETİN YÜKÜMLÜLÜKLERİ

Şirket, kişisel verilerin elde edilmesi sırasında yetkilendirdiği kişilerle, ilgili kişilere;

Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
11 inci maddede sayılan diğer hakları

konularında bilgi vermektedir.

İLGİLİ KİŞİNİN HAKLARI

13.1 Kişisel Veri Sahibinin Aydınlatılması

Şirket tarafından, ilgili kişilere ‘Aydınlatma Metni’ ile; kişisel verilerin toplanma yöntemi ve hukuki sebebi, kişisel verilerin işlenme amaçları, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve kişisel veri sahibinin KVKK m. 11’de sayılan hakları konularında bilgilendirme yapılmaktadır.

13.2 Kişisel Veri Sahibinin KVKK çerçevesindeki Hakları

KVKK’ nın “İstisnalar” başlıklı 28. maddesinde öngörülen haller saklı kalmak kaydıyla, Kanun’un 11. maddesi çerçevesinde ilgili kişiler Şirkete başvurarak, kişisel verilerin;

İşlenip işlenmediğini öğrenme,
İşlenmişse buna ilişkin bilgi verilmesini talep etme,
İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
Eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
(e) ve (f) bentleri uyarınca yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesin isteme,
Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahiptir.

13.3 Kişisel Veri Sahibinin Haklarını Kullanması

Şirket, ilgili kişilerin haklarını nasıl kullanacağına ilişkin olarak yol göstermekte olup, başvurular şirketin www. www.hiistanbulcity.com.tr adresinde yer alan ‘Veri Sahibi Başvuru Formu’ doldurulduktan sonra, aşağıda yer alan yöntemlerle yazılı veya elektronik ortamda yapılabilmektedir.

Yazılı olarak talepte bulunulması halinde;

Veri Sahibi Başvuru Formu’ nun ıslak imzalı bir nüshasını, ‘Turgut özal Millet cad. No:189 Topkapı/Fatih/İSTANBUL ’adresine kimliğinizi tespit edici bir belge ile şahsen veya 11. madde kapsamında sayılan haklara ilişkin başvuru yapmaya yetkili olduğunuzu gösterir ve noter tasdikli bir vekâletname ile vekaleten teslim edebilir ya da noter veya iadeli taahhütlü posta aracılığıyla şirketin adresi olan; ‘Turgut özal Millet cad. No:189 Topkapı/Fatih/İSTANBUL ’ adresine gönderilebilmektedir.

Elektronik olarak talepte bulunulması halinde;

Veri Sahibi Başvuru Formu’ nu, 5070 sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” sertifikasına sahip bir elektronik ya da mobil imza ile imzalayarak, şirketin Kayıtlı Elektronik Posta (KEP) adresi; ‘olcayturizm@ hs04.kep.tr’ adresine veya Şirketin ‘info@hiistanbulcity.com.tr’ mail adresine gönderilebilmektedir.

13.4 Şirketin Başvurulara Cevap Verme Süresi

Şirkete ilettiğiniz talepleriniz, talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde, Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’ in 7. maddesinde belirlenen işlem ücreti karşılığında, yazılı olarak veya elektronik ortamda cevaplandırılmaktadır.

KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANILMASI

14.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler

Şirket, KVK Kanunu uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik tedbirleri almakta, gerekli denetimleri yapmakta veya yaptırmaktadır.
30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik” m.11/3 uyarınca; Kişisel Veri işleme amaç ve yollarının belirlenmesi, Veri İşleme Süreçlerinin takibi ve denetimi, KVK Kanunu ve ikincil düzenlemeler kapsamında yükümlülüklerin etkin olarak yerine getirilmesi, Kişisel Verilerin KVKK prosedürlerine uygun şekilde korunmasına yönelik güvenlik düzeyini temin için gelişmelerin ve idari faaliyetlerin takip edilerek gerekli KVKK prosedürlerinin hazırlanması, teknik ve idari önlemlerin alınması, Politikanın yürürlük ve denetiminin sağlanması amacıyla, şirket bünyesinde ‘Veri Sorumlusu Temsilcisi’ atanmıştır.
Teknik konularda mevcut personelimize ek olarak teknik personel istihdam edilmektedir.
Kişisel veri işleme faaliyetleri teknik sistemlerle denetlenmekte, ilgili denetim raporu Veri Sorumlusu Temsilcisi ve Yönetim Kurulu tarafından da incelenmek suretiyle alınması gereken ek teknik tedbirler belirlenerek ivedilikle uygulamaya koyulmaktadır.
KVK Kanunu kapsamında alınması gereken teknik önlemler çerçevesinde, ilgili mevcut altyapının veri güvenliği açısından analizi ve varsa eksiklik /iyileştirme noktalarının belirlenmesi, mevcut veri güvenliği durum tespiti sırasında ortaya çıkan uyumlu olmayan alanların geliştirilmesi amacıyla oluşturulan yol haritası doğrultusunda ilgili eksikliklerin giderilmesi, verilere dışarıdan yapılabilecek yetkisiz erişimlerin engellenmesi için gerekli yazılım ve donanımların kurulması ve ilgili testlerin yapılması amacıyla üçüncü kişi/kuruluşlarla teknik destek konusunda sözleşmeler akdedilecektir.
Kişisel Veriler Koruma Kurulu Kararları ve ikincil düzenlemeler kapsamında doğacak yükümlülüklerle ilgili olarak gerekli iç prosedürler ivedi olarak oluşturulmakta ve ilgili teknik tedbirler düzenlenerek çalışanlara bildirilmektedir

14.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler

Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

Şirket çalışanlarına 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili yönetmelikler çerçevesinde bilgilendirme çalışmaları yapılmakta ve bu konuda periyodik olarak eğitimler verilmektedir.
Çalışanlardan hizmet akitlerinin devamı süresince öğrenmiş oldukları kişisel ve özel nitelikli verilerin işlenmesinde KVK Kanununda öngörülen hükümlere uygun davranacakları, bu verileri kanunda belirtili ölçü, kapsam, süre, Şirketin tabi olduğu mevzuat ve ikincil düzenlemeler kapsamı haricinde başka herhangi bir amaçla ve açık rıza gerektiren konularda veri sahibinin açık rızasını vermiş olduğu amaç dışında işlemeyecekleri, kişisel veri sahibinin Şirkete verilmiş ‘açık rızası’ olmadıkça kanunen paylaşmakla yükümlü olunan kuruluşlar dışında verilerin yurtiçi ve yurtdışındaki üçüncü kişilere aktarılmayacağı, bu yükümlülüklerin hizmet akdinin sona ermesinden sonra da devam edeceği, kişisel verilerin herhangi bir çalışan tarafından hukuka aykırı olarak işlendiğinin öğrenilmesi halinde durumun derhal Veri Sorumlusu Temsilcisi’ne iletme yükümlülüğünün bulunduğu hususlarında taahhütleri alınmakta ve sözleşmelerde ihlaller halinde uygulanacak yaptırımlar belirlenmektedir.
Şirket ile sözleşme ilişkisi içerisinde olan veri işleyen kişi/kuruluşlarla devam eden sözleşmelerde ve yapılmakta olan sözleşmelerde, veri işleyenin kendisine aktarılan kişisel verileri veri işleme amaç ve kapsamı dışında işlemeyeceği, bu verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik olarak her türlü teknik ve idari tedbiri alacakları, kişisel verileri sözleşmeye aykırı olarak üçüncü şahıslara ifşa etmeyecekleri konularında taahhütleri alınmaktadır.
Şirket departmanları tarafından yürütülen kişisel veri işleme faaliyetleri incelenerek oluşturulmuş ‘Veri Envanteri’ doğrultusunda, çalışanların kişisel ve özel nitelikli verilere erişimi departman bazında yetki sınırlandırılma kararları ile düzenlenmektedir. İlgili denetimler Veri Sorumlusu Temsilcisi tarafından yapılmaktadır.
Kişisel Verilerin güvenli olarak saklanılması, bu verilerin hukuka aykırı olarak işlenmesi, yok edilmesi, değiştirilmesi veya silinmesini önlemek için uygulama maliyetlerine göre gerekli idari tedbirler alınmaktadır.

14.3 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler

Kişisel verilere hukuka aykırı olarak yetkisiz erişimi engellemek, bu verilerin tedbirsizlik veya yetkisiz olarak ifşa edilmesini engellemek amacıyla, uygulama maliyetlerine göre teknik tedbirler alınmakta, periyodik olarak güncellenmekte ve yenilenmektedir.
Kişisel Veriler Koruma Kurulu Kararları ve ikincil düzenlemeler kapsamında doğacak yükümlülüklerle ilgili olarak gerekli iç prosedürler ivedi olarak oluşturulmakta ve teknik tedbirler düzenlenerek çalışanlara bildirilmektedir.
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
Yetki sınırlaması yönünde alınan idari ve teknik kararlarla, çalışanların kendilerine tahsis edilen yetki çerçevesinde bilgilere erişmesi ve bu bilgileri kullanması sağlanmaktadır.

14.4. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler

Şirket tarafından kişisel verilere hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

Kişisel verilere erişim ve yetkilendirme süreçlerine ilişkin idari kararlar alınarak uygulanmakta, ilgili kararlar konusunda çalışanlara bilgilendirme yapılmakta ve kararların uygulanması gruba dahil her bir şirketin Veri Sorumlusu Temsilcisi tarafından da denetlenmektedir.
Çalışanlar, öğrendikleri kişisel verileri mevzuata aykırı olarak başkasına açıklayamayacakları, işleme amacı dışında kullanamayacakları ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda hizmet sözleşmelerinde gerekli düzenlemeler yapılmaktadır.
Şirkette staj yapan stajyerler, staj süresince herhangi bir şekilde öğrenilen kişisel verilerin, KVK Kanununa aykırı olarak başkasına açıklanmayacağı, bu verilere hukuka aykırı olarak erişilemeyeceği, verilerin işleme amacı dışında kullanılamayacağı konusunda bilgilendirilmekte ve stajyerlerden ilgili taahhütler alınmaktadır.
Gizli dokümanların tüm sayfalarına “GİZLİDİR” ifadesi basılmaktadır.
Hizmet sözleşmelerinde ‘gizli bilgi’ nin tanımı yapılmakta olup, çalışanların gizli bilgileri kanuna uygun olarak gizli tutmak ve korumak için gerekli her türlü özeni göstereceği, bu bilgileri Şirketin yazılı izni olmadan kopyalayıp saklamayacakları, mevzuat hükümleri çerçevesinde paylaşmakla yükümlü olduğu kuruluşlar dışında hiçbir üçüncü kişi ile yazılı, sözlü ve/veya elektronik ortamda paylaşmayacakları, gizli bilgilerin, bir başka çalışan tarafından ek protokol hükümlerine aykırı olarak ifşa edildiğini öğrenmesi halinde durumu derhal sorumlu olduğu birim yetkilisine yazılı olarak bildirecekleri, hizmet sözleşmesinin sona ermesi halinde gizli bilgileri içeren materyal, araç ve dökümanları teslim tutanağı mukabilinde Şirkete teslim edecekleri taahhütleri alınmaktadır.

14.5. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler

Kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
Teknik konularda uzman ek personel istihdam edilmektedir.
Sunucular, fiziksel olarak güvenli ortamlarda tutulmaktadır. Bu ortamlara girebilecek teknik personel belirlenerek, yetkisiz girişler engellenmiştir.
Çalışanların şirket sistemlerine girişleri kullanıcı adı ve parolası ile yapılmakta olup, çalışanlar kullanıcı adı ve şifresini üçüncü kişilerle paylaşmamaları gerektiği konusunda eğitilmektedir.
Sunucu üzerinde çalışan işletim sistemlerinin, sistem yazılımlarının ve güvenlik amaçlı yazılımların sürekli güncellenmesi sağlanmaktadır.
Sunucu günlükleri (loglar) düzenli aralıklarla denetim ve izlemeye tabi tutulmaktadır.
Veri tabanı sunucuları, modemler, santral, anti-virüs programı, toplu eposta gönderim yazılımı erişim şifreleri sadece Bilgi İşlem Sorumlusu nezdinde tutulmaktadır.

14.6. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

Şirket, KVK Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumun ivedilikle ‘Veri Sorumlusu Temsilcisi’ne, ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmek üzere gerekli idari tedbirleri almaktadır.

15.1 ŞİRKET MERKEZ ADRESİ BİNA GİRİŞİ VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ

Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak, şirketimiz merkezinde, şirketimiz ile İlişkisi Bulunan Gerçek ve/veya Tüzel Üçüncü Kişi Kurum ve Kuruluşların (çalışanlar, otel misafirler/otel misafirleri yanında konaklayan kişiler, ziyaretçiler, tedarikçi şirket çalışanları ve yetkilileri, müşteri yetkilileri ve çalışanları, üyeler vb) Can ve Mal Güvenlikleri ile Hukuki, Ticari ve İş Sağlığı Güvenliklerinin Temini, Giriş ve Çıkışların Takibi, şirketimizin kullanımında olan binanın fiziksel güvenliği ve denetimi amaçlarıyla sınırlı olarak, merkez, tesis ve işletmelerimizin giriş kapıları, bina dış cephesi, restaurant, kafeterya, lobby, ziyaretçi bekleme salonu, asansör, otopark, güvenlik kulübesi, kat koridorları gibi genel hizmet alanlarında görüntü kaydı yapılmaktadır. güvenlik kamerasıyla izleme faaliyeti sürdürülmektedir. KVKK’nun 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

15.2 İNTERNET ERİŞİMİNE İLİŞKİN KAYITLARIN İŞLENMESİ

Şirketimiz tarafından güvenliğin sağlanması ve kişisel veri politikasında belirtili amaçlarla, otel ve otele bağlı birimlerde konaklayan otel misafiri/otel misafiri yanında konaklayan kişi, üye vb kişilerin işletme içerisinde kaldıkları süre boyunca ,internet erişimlerine ilişkin log kayıtlarını, 5651 Sayılı Kanun ve bu kanuna göre düzenlenmiş olan mevzuatın emredici hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşlar tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ

Kişisel veriler, kanunlar ile ikincil düzenlemeler kapsamında ilgili yükümlülüklerin yerine getirilebilmesi için, veri işleme ve zamanaşımı sürelerine riayet edilerek işlenmekte ve kanunlarda veri işleme sürelerine ilişkin değişiklik yapılması halinde, belirlenen yeni süreler esas alınmaktadır.

KİŞİSEL VERİLERİN SİLİNMESİ,YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Şirket tarafından, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya veya anonim hâle getirilmesi için gerekli idari tedbirler alınmakta ve ayrıca bu konuda teknik alt yapıyı kurma çalışmalarına devam edilmektedir.

GÜNCELLEME Bu Politikayı güncelleme; Şirket Yönetim Kurulu tarafından alınacak karar çerçevesinde yapılacak ve yürürlüğe girecektir. Şirket, mevzuattaki değişmeler kapsamında Politikayı gözden geçirme ve güncelleştirme hakkını saklı tutar.