Kişisel Verilerin Korunması ve İşlenmesi Politikası
TANIMLAR
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan
ve özgür iradeyle açıklanan rıza.
Anayasa: 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de
yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.
Anonim hale getirme: Kişisel verinin, kişisel veri niteliğini
kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme,
toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile
ilişkilendirilemeyecek hale getirilmesi.
Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için
yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili
Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru
Formu”.
Çalışan Adayı: Şirket’e herhangi bir yolla iş başvurusunda
bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişiler.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi
Şirket: Akyacht Yatçılık Sanayi ve Ticaret Anonim Şirketi
Intercity Şirket(ler)i: Ekim Turizm Ticaret ve Sanayi Anonim
Şirketi hissedarı olan gerçek ve/veya tüzel kişilerin hissedar olduğu diğer şirket(ler)
İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve
Yetkilileri: Şirket’in her türlü iş ilişkisi içerisinde bulunduğu
kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların
hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
İş Ortağı: Şirket’in ticari faaliyetlerini yürütürken bizzat veya
Intercity Şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş
ortaklığı kurduğu taraflar.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlem.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş
süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini;
kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve
veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri
amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen
kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları
envanter
Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin;
çalışan adayları.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye
ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun
kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası
vb.
KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de
yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce,
felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika
üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik veriler.
Politika: İşbu Kişisel Verilerin İşlenmesi ve Korunması
Politikası
Şirket Hissedarı: Şirket’in hissedarı gerçek kişiler
Şirket Yetkilisi: Şirket yönetim kurulu üyesi ve diğer yetkili
gerçek kişiler.
Tedarikçi: Şirket’in ticari faaliyetlerini yürütürken Şirket’in
emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan taraflar.
Türk Ceza Kanunu: 12 Ekim 2004 tarihli ve 25611 sayılı Resmi
Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.
Üçüncü Kişi: Politika kapsamında farklı bir şekilde tanımlanmamış
olan, kişisel verileri Politika kapsamında işlenen gerçek kişiler (Örn. Kefil, refakatçi, aile
bireyleri ve yakınlar, eski çalışanlar).
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun
adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve
vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi)
yöneten kişi.
Veri Sorumluları Sicili (VERBİS): Kişisel Verileri Koruma Kurulu
gözetiminde Başkanlık tarafından tutulan veri sorumluları sicili
Ziyaretçi: Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli
amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
İÇİNDEKİLER
1.4. POLİTİKA VE İLGİLİ MEVZUATIN UYGULANMASINDA
ÖNCELİK.
2. KİŞİSEL VERİLERİN KORUNMASI
2.1. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ VE VERİ
SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRMESİ
2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN
KORUNMASI
2.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN
SAĞLANMASI
2.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini
Sağlamak için Alınan Teknik ve İdari Tedbirler
2.4.2. Kişisel Verilerin Korunması Konusunda Alınan
Tedbirlerin Denetimi
2.4.3. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası
Durumunda Alınacak Tedbirler
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN
HUSUSLAR.
3.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE
UYGUN OLARAK İŞLENMESİ
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun
İşleme.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel
Olmasını Sağlama.
3.1.3. Belirli, Açık ve Meşru Amaçlarla
İşleme.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve
Ölçülü Olma.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri
Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
3.3. INTERCITY ŞİRKETLERİ TARAFINDAN İŞLENMEKTE OLAN
VERİLERİN ŞİRKET TARAFINDAN İŞLENMESİ
3.4. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE
BİLGİLENDİRİLMESİ
3.5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN
İŞLENMESİ
4.1. KİŞİSEL VERİLERİN KATEGORİZASYONU.
4.2. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
5. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN
SAHİPLERİNE İLİŞKİN KATEGORİZASYON
6. ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI
ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
6.1 KİŞİSEL VERİLERİN AKTARILMASI
6.1.1 Kişisel Verilerin Aktarılması
6.1.2. Özel Nitelikli Kişisel Verilerin
Aktarılması
6.2. KİŞİSEL VERİLERİN YURTDIŞINA
AKTARILMASI
6.2.1. Kişisel Verilerin Yurtdışına
Aktarılması
6.2.2. Özel Nitelikli Kişisel Verilerin Yurtdışına
Aktarılması
6.3
Aktarılan Kişiler ve Veri Aktarım Amacı
7. KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI
VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
7.1. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL
VERİLERİN İŞLENMESİ
7.1.1. Kişisel Verilerin İşlenmesi
7.1.2. Özel Nitelikli Kişisel Verilerin
İşlenmesi
8.1. BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN
KAMERA İLE İZLEME FAALİYETİ
8.1.1. Kamera ile İzleme Faaliyetinin Yasal
Dayanağı
8.1.2. KVKK’ye Göre Güvenlik Kamerası ile İzleme
Faaliyeti Yürütülmesi
8.1.3. Kamera ile İzleme Faaliyetinin
Duyurulması
8.1.4. Kamera ile İzleme Faaliyetinin Yürütülme Amacı
ve Amaçla Sınırlılık.
8.1.5. Elde Edilen Verilerin Güvenliğinin
Sağlanması
8.1.6. Kamera ile İzleme Faaliyeti ile Elde Edilen
Kişisel Verilerin Muhafaza Süresi
8.2. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE
YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
8.4. İNTERNET SİTESİ ZİYARETÇİLERİ
9.1. KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ
SEBEBİ
9.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA
ANONİM HÂLE GETİRİLMESİ
9.2.1. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve
Anonimleştirilmesi Şartları
9.2.2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve
Anonimleştirilmesi Teknikleri
9.2.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
Teknikleri
9.2.2.2. Kişisel Verileri Anonim Hale Getirme
Teknikleri
9.3. Kişisel Verilerin Saklanma Süresi
10. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU
HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
10.1 VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI
KULLANMASI
10.1.1. Kişisel Veri Sahibinin Hakları
10.1.2. Kişisel Veri Sahibinin Haklarını İleri
Süremeyeceği Haller
10.1.3. Kişisel Veri Sahibinin Haklarını
Kullanması
10.1.4. Kişisel Veri Sahibinin Kurul’a Şikâyette
Bulunma Hakkı
10.2. INTERCITY ŞİRKETLERİ’NE AİT
BAŞVURULAR.
10.3. ŞİRKET’İN BAŞVURULARA CEVAP VERMESİ
10.3.1. Şirket’in Başvurulara Cevap Verme Usulü ve
Süresi
10.3.2. Şirket’in Başvuruda Bulunan Kişisel Veri
Sahibinden Talep Edebileceği Bilgiler
10.3.3. Şirket’in Kişisel Veri Sahibinin Başvurusunu
Reddetme Hakkı
11. ŞİRKET’İN
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM
YAPISI
12. GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER.
KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI
BİRİNCİ BÖLÜM
1. GİRİŞ
Türkiye Cumhuriyeti Anayasası’nın 20’nci maddesine göre, herkes, kendisiyle ilgili
kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin
korunması konusunda, Şirket de azami özeni göstermekte; bu kapsamda verisini işlediği gerçek
kişilerin kişisel verilerinin korunması için kişisel verilerin işlenmesinde kişilerin temel hak
ve özgürlüklerini korunması ve kişisel verileri işleyenlerin yükümlülükleri ile uyacakları usul
ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile uyumlu
bir şirket politikası belirlemektedir.
Bu Politika’nın kapsamına giren her türlü kişisel veri işleme faaliyeti için veri
sorumlusunun kimliğine ilişkin bilgiler aşağıda verilmektedir.
Veri sorumlusu: Akyacht Yatçılık Sanayi ve
Ticaret Anonim Şirketi (“Şirket”)
Adres: Sepetlipınar SB Mahallesi, 104.
Cad., No:8/2 Başiskele - KOCAELİ
1.2. AMAÇ
Bu Politika’nın temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen
kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler
konusunda açıklamalarda bulunmak, bu kapsamda aşağıda bahsi geçen Şirket tarafından verisi
işlenen tüm ilgili gerçek kişileri bilgilendirerek şeffaflığı sağlamaktır.
1.3. KAPSAM
Bu Politika; aşağıda 5. Bölümde detaylarına yer verilen gerçek kişilerin otomatik
olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
işlenen tüm kişisel verilerine ilişkindir. Şirketimiz bu Politikayı internet sitesinde
yayımlamak suretiyle bahse konu Kişisel Veri Sahipleri’ni Kanun hakkında bilgilendirmektedir.
1.4. POLİTİKA VE İLGİLİ MEVZUATIN
UYGULANMASINDA ÖNCELİK
Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda,
Şirket yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
1.5. YÜRÜRLÜK TARİHİ
Şirket tarafından düzenlenerek işbu Politika Aralık 2023 tarihinde yürürlüğe
girmiştir. İşbu Politika; mevzuatta yapılan değişiklikler, Kurul kararları uyarınca
ya da sektördeki ve bilişim alanındaki gelişmeler gibi güncelleme yapılmasını gerekli kılan
durumlarda ve/veya ihtiyaç halinde güncellenir. Bu kapsamda yapılan değişiklikler
derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda yer alan
Değişiklik Tablosu’na işlenir.
İşbu Politika ve güncelleme kapsamında Politika’da yapılan değişiklikler, Şirket’in
internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
İKİNCİ BÖLÜM
2. KİŞİSEL VERİLERİN KORUNMASI
Şirket , işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun
güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda
gerekli denetimleri yapmak veya yaptırmaktadır.
2.1. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ VE VERİ
SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRMESİ
Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri
sahiplerine gereken bilgilendirmenin yapılması için gerekli kanalları, iç işleyişi, idari ve
teknik düzenlemeleri yürütmektedir.
Kişisel veri sahiplerinin Şirket’e iletilen talepleri işbu Politika’nın 10’uncu
maddesi uyarınca değerlendirilmektedir.
2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN
KORUNMASI
Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma
riski nedeniyle özel önem atfedilen ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep
veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel
hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
veriler, özel nitelikte kişisel verilerdir.
Şirket tarafından özel nitelikli kişisel verilerin korunmasında hassasiyetle
davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik
ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket
bünyesinde gerekli denetimler sağlanmaktadır.
2.3. İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA
FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Şirket , kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı
olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın
artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirket’in iş birimlerinin mevcut çalışanlarının ve iş birimi bünyesine yeni dahil
olmuş çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli
sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile
çalışılmaktadır.
Şirket’in iş birimlerinin kişisel verilerin korunması ve işlenmesi konusunda
farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları Şirket’e raporlanmaktadır. Şirket
bu doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları
değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır. Şirket, ilgili mevzuatın
güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
2.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirket, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak
açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik
eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır.
Bu kapsamda Şirketimiz , Kurul tarafından yayımlanmış olan rehberlere uygun olarak gerekli
güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta
veya yaptırmaktadır.
2.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik
ve İdari Tedbirler
Şirket , kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik
imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
2.4.1.1.Teknik Tedbirler
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Şirket tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan
başlıca teknik tedbirler aşağıda sıralanmaktadır:
o
Şirket bünyesinde gerçekleştirilen kişisel veri işleme
faaliyetleri kurulan teknik sistemlerle denetlenmektedir. Bu bağlamda ISO 27001 Bilgi Güvenliği
Yönetim Sistemi’ne uyum sağlanmış tüm kişisel verilerin oluşturulduğu, işlendiği, depolandığı,
gösterildiği, iletildiği ortamlar teknik tedbirlere tabi tutulmuştur.
o
Alınan teknik önlemler periyodik olarak iç denetim mekanizması
gereği ilgilisine raporlanmaktadır.
o
Teknik yeterliliğin sürdürülebilmesi açısından her yıl 3.
taraf bir kurum tarafından Şirket bilgi güvenliği alt yapısı denetlenmektedir.
o
Teknik konularda bilgili personel istihdam edilmektedir. Bilgi
Güvenliği Ekibi oluşturulmuş ve gerekli atamalar yapılmıştır.
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
Şirket tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan
başlıca teknik tedbirler aşağıda sıralanmaktadır:
o
Teknolojideki gelişmelere uygun teknik önlemler alınmakta,
alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
o
İş birimi bazında belirlenen hukuksal uyum gerekliliklerine
uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
o
Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak
gözden geçirilmektedir.
o
Alınan teknik önlemler periyodik olarak iç denetim mekanizması
gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli
teknolojik çözüm üretilmektedir.
o
Virüs koruma sistemleri ve güvenlik duvarlarını içeren
yazılımlar ve donanımlar kurulmaktadır.
o
Teknik konularda bilgili personel istihdam edilmektedir.
o
Saldırı tespit ve önleme sistemleri kullanılmakta, düzenli
zafiyet ve sızma testleri yaptırılmaktadır.
o
Kişisel verilerin toplandığı uygulamalardaki güvenlik
açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan
açıkların kapatılması sağlanmaktadır.
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirket tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca
teknik tedbirler aşağıda sıralanmaktadır:
o
Kişisel verilerin güvenli ortamlarda saklanması için
teknolojik gelişmelere uygun sistemler kullanılmaktadır.
o
Teknik konularda uzman personel istihdam edilmektedir.
o
Saklanma alanlarına yönelik teknik güvenlik sistemleri
kurulmakta, alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine
raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm
üretilmektedir.
o
Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak
için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
o
Kişisel verilerin bulunduğu veri depolama alanlarına erişimler
loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
2.4.1.2 İdari Tedbirler
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
Şirket tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için
alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
o
Çalışanlar, kişisel verilerin korunması hukuku ve kişisel
verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
o
Şirket’in yürütmekte olduğu tüm faaliyetler detaylı olarak tüm
iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin
gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya
konulmaktadır.
o
Şirket’in iş birimlerinin yürütmekte olduğu kişisel veri
işleme faaliyetleri her bir iş birimi ve yürütmekte olduğu faaliyet özelinde belirlenmektedir.
o
İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin
sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları
belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari
tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
o
Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten
sözleşme, iç yönetmelik ve ilgili belgelere, Şirket’in talimatları ve kanunla getirilen
istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren
kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler
yürütülmektedir.
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler
Şirket tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan
başlıca idari tedbirler aşağıda sıralanmaktadır:
o
Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek
için alınacak teknik tedbirler konusunda eğitilmektedir.
o
İş birimi bazında kişisel veri işlenmesi hukuksal uyum
gerekliliklerine uygun olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri
tasarlanmakta ve uygulanmaktadır.
o
Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine
aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu
yükümlülüğün görevden ayrılmalarından sonra da devam edeceği aksi davranışta gerek ilgili
mevzuat gerekse personel iç yönetmeliği gereği haklarında yaptırım uygulanacağı hususunda
bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
o
Şirket tarafından kişisel verilerin hukuka uygun olarak
aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel
verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu
tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
o
Şirket tarafından kişisel veri işlenen tüm elektronik
ortamlara erişim kontrol edilmekte, güvenlik sıkılaştırmaları yapılmakta ve yine güvenlik
çözümleri yardımı ile aykırılıklar tespit edilerek incelenmektedir.
o
Tüm veri aktarım yolları kontrol altında tutulmakta, veri
transferleri ile ilgili izinler denetlenmekte, veri transferi faaliyetleri filtrelenmekte, iz
kayıtları alınmakta ve korunmaktadır.
o
İz kayıtları sürekli olarak analiz edilmekte ve
raporlanmaktadır
o
Kişisel veriler kaydedildikleri, depolandıkları ve
iletildikleri ortamlarda şifrelenmekte, kurum bünyesinde kriptografik kontroller için anahtar
yönetimi uygulanmaktadır
o
Bilgi sistemleri, sistem tedarik, geliştirme ve bakım
kapsamında güvenlik önlemleri alınmaktadır.
o
Risk ve tehditler tanımlanmaktadır. Risk analizi, artık risk
ve risk işleme süreçleri tanımlanmış ve işletilmektedir.
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
Şirket tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca
idari tedbirler aşağıda sıralanmaktadır:
o
Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını
sağlamak konusunda eğitilmektedirler.
o
Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin
korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik
danışmanlık hizmeti alınmaktadır.Şirket tarafından kişisel verilerin saklanması konusunda teknik
gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun
olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı
kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
o
Tüm ortamlar için erişim izinleri bilmesi gereken prensibine
göre tasarlanmıştır. İşten ayrılma veya görev değişikliği gibi durumlarda personel erişim
hakları revize edilmektedir. İzinler sadece ilgili birim amiri onayı ile verilebilmekte veya
değiştirilebilmektedir.
2.4.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin
Denetimi
Şirket , KVKK’nin 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri
yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile
ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler
yürütülmektedir.
2.4.3. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak
Tedbirler
Şirket, KVKK’nin 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan
yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri
sahibine ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir.
Kurul tarafından gerek görülmesi halinde, bu durum, Kurul’un internet sitesinde veya
başka bir yöntemle ilan edilebilecektir.
ÜÇÜNCÜ BÖLÜM
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN
HUSUSLAR
Şirket , kişisel verilerin işlenmesi konusunda mevzuatta belirtilen hususlara
harfiyen uymaktadır.
3.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK
İŞLENMESİ
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket ; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile
genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirket, kişisel
verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın
gerektirdiği dışında kullanmamaktadır.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını
Sağlama
Şirket; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini
dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda
gerekli tedbirleri almaktadır. Örneğin, Şirket tarafından; kişisel veri sahiplerinin kişisel
verilerini düzeltme ve doğruluğunu teyit etmelerine yönelik sistem kurulmuştur.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket , meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak
belirlemektedir. Şirket, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli
olan kadar işlemektedir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz
kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir
biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel
verilerin işlenmesinden kaçınmaktadır, kişisel verileri belirlenen amaçlarla sınırlı olarak
işlemektedir. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik
kişisel veri işleme faaliyeti yürütülmemektedir.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre
Kadar Muhafaza Etme
Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç
için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta
kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre
belirlenmişse ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar
muhafaza etmektedir, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli
olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan
kalkması halinde kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale
getirilmektedir. Gelecekte kullanma ihtimali ile Şirket tarafından kişisel veriler
saklanmamaktadır.
3.2. KİŞİSEL VERİLERİ, KVKK’NİN 5. MADDESİNDE
BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA
SINIRLI OLARAK İŞLEME
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine
dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve
ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel
veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirket bu
doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak mevzuatta öngörülen hallerde
veya kişinin açık rızasıyla işlemektedir.
3.3. INTERCITY ŞİRKETLERİ TARAFINDAN İŞLENMEKTE
OLAN VERİLERİN ŞİRKET TARAFINDAN İŞLENMESİ
Intercity Şirketlerinin faaliyetlerinin Şirket ilke, hedef ve stratejilerine uygun
olarak yürütülmesi, Şirket hak ve menfaatleri ile itibarının korunması amacıyla Intercity
Şirketleri tarafından işlenmekte olan kişisel verileri Şirket de işleyebilmektedir. Intercity
Şirketleri ile Şirket arasındaki kişisel veri paylaşımının KVKK kapsamında veri sorumlusundan
veri sorumlusuna kişisel veri aktarımı kapsamında gerçekleşmesi durumunda, ilgili Intercity
Şirketleri, ilgili kişinin kişisel verisini toplama aşamasında, kişiyi, kişisel verilerinin
Şirket’e gönderilebileceği konusunda aydınlatır.
3.4. KİŞİSEL VERİ SAHİBİNİN
AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirket , KVKK’nin 10. maddesine uygun olarak, kişisel verilerin elde edilmesi
sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, varsa temsilcisinin
kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi
amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri
sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
KVKK’nin 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de
sayılmıştır. Şirket bu kapsamda, Anayasa’nın 20. ve KVKK’nin 11. maddelerine uygun olarak
Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
3.5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Şirket tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin
işlenmesinde, KVKK’de öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
Şirket tarafından özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan
yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
a.
Kişisel veri sahibinin açık rızası var ise veya
b.
Kişisel veri sahibinin açık rızası yok ise;
o
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel
nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
o
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin
özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından işlenmektedir.
DÖRDÜNCÜ BÖLÜM
4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN
KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
Şirket, KVKK’nin 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi
kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini, kişisel veri sahibinin
kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine
bildirmektedir.
4.1. KİŞİSEL VERİLERİN
KATEGORİZASYONU
Aşağıda belirtilen kategorilerdeki kişisel veriler, KVKK’nin 10. maddesi uyarınca
ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
|
AÇIKLAMA |
|
|
Kimlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu
verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne
adı-baba adı, doğum yeri, doğum tarihi, yaşı, cinsiyet gibi
bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi
belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt
plakası v.b. bilgiler |
|
İletişim Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; telefon numarası, adres, e-mail adresi, sosyal
medya hesapları, faks numarası, IP adresi gibi bilgiler |
|
Aile Bireyleri ve Yakın Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Şirket iş birimleri tarafından yürütülen
operasyonlar çerçevesinde, Şirket iştiraklerinin sunduğu ürün ve
hizmetlerle ilgili veya Şirket’in ve kişisel veri sahibinin
hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri
sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları
ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki
bilgiler |
|
Fiziksel Mekân Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın
içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin
kişisel veriler; kamera kayıtları, CCTV kayıtları, ofise giriş
ve çıkış kayıtları ve güvenlik noktasında alınan kayıtlar v.b.
bilgiler |
|
Finansal Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Şirket’in kişisel veri sahibi ile kurmuş
olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal
sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen
kişisel veriler ile banka hesap numarası ve bilgisi, IBAN
numarası, kredi kartı numarası ve bilgisi, bilanço hesap
bilgisi, hesap hareketleri dökümü, finansal yardımlar, çalışana
işverence tahsis edilen taşınmaz/taşınır bilgisi, finansal
performans, mal varlığına ilişkin bilgiler, kefalet durumu,
sigorta bilgileri, kredi derecesi, borç bilgisi(kredi, ipotek
bilgileri, icra takipleri vb.) finansal profil, malvarlığı
verisi, gelir/maaş bilgisi gibi veriler |
|
Görsel/İşitsel Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel
Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses
kayıtları ile kişisel veri içeren belgelerin kopyası
niteliğindeki belgelerde yer alan veriler v.b. bilgiler |
|
Özlük Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Şirket ile çalışma ilişkisi içerisinde
olan gerçek kişilerin özlük haklarının oluşmasına temel olacak
bilgilerin elde edilmesine yönelik işlenen bordro bilgileri,
disiplin soruşturması, performans değerlendirmesi, işe giriş
belge kayıtları, , cv/özgeçmiş, çalışma izni belgesi, oturma
izni belgesi, kıyafet ölçüleri vb. her türlü kişisel veri |
|
Özel Nitelikli Kişisel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; KVKK’nin 6. maddesinde belirtilen veriler (örn.
kan grubu da dahil sağlık verileri) |
|
Şikâyet ve Öneriler Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Şirket’e yöneltilmiş olan her türlü talep veya
şikâyetin alınması ve değerlendirilmesine ilişkin kişisel
veriler |
|
Hukuki İşlem Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; adli makam yazışmaları, dava dosya bilgileri
vb. |
|
Eğitim ve İş Bilgileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Askerlik Durumu, CV/Özgeçmiş, Öğrenim Durumu,
Geçmiş Maaş ve Prim Bilgisi, Önceki İş Sona Erme Nedenleri,
Yabancı Dil Bilgisi, Yetenekler, Eğitim Durumu, Sınav ve Eğitim
Sonuçları, Çalışma Belgesi (Eski İşyerinden), SGK Hizmet Dökümü,
Diploma Örneği, Mesleki Gelişim Sertifikaları, Meslek
Bilgileri, İşe Yeterlilik Durumu, Kariyer Geçmişi v.b. bilgiler
|
|
Müşteri İşlem Bilgileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; çağrı merkezi kayıtları, fatura/çek/senet
bilgileri, sipariş veya talep bilgisi v.b.
bilgiler
|
|
Araç Bilgileri |
Araç ruhsatı, araç plakası v.b.
bilgiler
|
|
Çalışanın Performans ve Kariyer Gelişim Bilgisi
|
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; işe alım / istihdam, personel temin
süreçlerinin yürütülmesi amacıyla çalışan gerçek kişinin
bağlılığı skoru, performans değerlendirme bilgisi, çalışma
geçmişi, profesyonel yetkinlikler, ilgi alanları ve hobileri,
mülakat ve işe giriş değerlendirmeleri, mülakat, Eğitim Bilgisi
v.b. bilgiler
|
|
Ceza Mahkumiyeti ve Güvenlik Tedbirleri ile İlgili
Bilgiler |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Adli Sicil Bilgisi |
|
İşlem Güvenliği Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; ip adresi bilgileri, internet sitesi giriş
çıkış bilgisi, kullanıcı adı ve parola, Çalışanın Şirket
İçinde Kullanım Sağladığı Cihazların Şifre ve Kullanıcı
Bilgileri, Şirket İçi Erişim ve Yetkilendirme Bilgisi, E-imza,
log kayıtları v.b. bilgiler |
|
İşlem Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Şirket tarafından yürütülen
faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya
Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini
korumak amacıyla işlenen anket bilgisi, beyan bilgisi, cookie
kayıtları gibi veriler |
|
Sağlık Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; engellilik durumuna ait bilgiler, kan grubu
bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez
bilgileri v.b. |
4.2. KİŞİSEL VERİLERİN İŞLENME
AMAÇLARI
Şirket , KVKK’nin 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen
kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel
verileri işlemektedir. Bu amaçlar ve koşullar;
·
Kişisel verilerinizin işlenmesine ilişkin Şirket’in ilgili
faaliyette bulunmasının mevzuatta açıkça öngörülmesi
·
Kişisel verilerinizin Şirket tarafından işlenmesinin bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
·
Kişisel verilerinizin işlenmesinin Şirket’in hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması
·
Kişisel verilerinizin sizler tarafından alenileştirilmiş
olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından
işlenmesi
·
Kişisel verilerinizin Şirket tarafından işlenmesinin Şirket’in
veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu
olması
·
Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla
Şirket meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
·
Şirket tarafından kişisel veri işleme faaliyetinde
bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki
geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması
·
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel
nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması
·
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin
özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik,
tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından işlenmesidir.
|
İşlenme Şartları |
Kapsamı |
Örnek |
|
Kanun Hükmü |
Vergi Mevzuatı, İş Mevzuatı, Ticaret Mevzuatı vb.
|
Çalışana ait özlük bilgilerinin mevzuat gereği
tutulması gerekir. |
|
Sözleşmenin İfası |
İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser
Sözleşmesi vb. |
Kişisel verilerinizin Şirket tarafından işlenmesinin
bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
ve gerekli olması |
|
Fiili İmkânsızlık |
Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya
da ayırt etme gücü olmayan kişi. |
Şirket tarafından kişisel veri işleme faaliyetinde
bulunulmasının kişisel veri sahibinin ya da bir başkasının
hayatı veya beden bütünlüğünün korunması için zorunlu olması ve
bu durumda da kişisel veri sahibinin fiili veya hukuki
geçersizlik nedeniyle rızasını açıklayamayacak durumda
bulunması |
|
Veri Sorumlusunun Hukuki Sorumluluğu |
Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı
Regülâsyonlarla Uyum. |
Kişisel verilerinizin işlenmesinin
Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için
zorunlu olması |
|
Aleniyet Kazandırma |
İlgili kişinin kendisine ait bilgileri umumun
bilgisine sunması. |
Kişisel verilerinizin sizler tarafından
alenileştirilmiş olması şartıyla; sizlerin alenileştirme
amacıyla sınırlı bir şekilde Şirket tarafından işlenmesi
|
|
Hakkın Tesisi, Korunması, Kullanılması |
Dava açılması, tescil işlemleri, her türlü tapu
işlemi vb. işlerde kullanılması zorunlu veriler. |
İşten ayrılan bir çalışana ait gerekli bilgilerin
dava zaman aşımı boyunca saklanması.
Kişisel verilerinizin Şirket tarafından işlenmesinin
Şirket’in veya sizlerin veya üçüncü kişilerin haklarının
tesisi, kullanılması veya korunması için zorunlu olması |
|
Meşru Menfaat |
Veri ilgilisinin temel haklarına zarar gelmemek
kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması
halinde veri işlenebilir. |
Sizlerin temel hak ve özgürlüklerine zarar vermemek
kaydıyla Şirket meşru menfaatleri için kişisel veri işleme
faaliyetinde bulunulmasının zorunlu olması |
Bu kapsamda Şirket, kişisel verilerinizi aşağıdaki amaçlarla sınırlı olarak
işlemektedir:
·
Yat yapımı, bakım, onarım, tamir işlerinin ifası,
·
Deniz araçlarının satış ve kiralama işlerinin ifası,
·
Satış sonrası hizmetlerin yürütülmesi,
·
Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve
icrası,
·
Etkinlik yönetimi,
·
İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi
·
Düzenleyici ve denetleyici kurumlar ve resmi mercilerin talep
ve denetimleri doğrultusunda gerekli bilgilerin temini,
·
Hizmet kalitesini geliştirici çalışmalar yapılması ve müşteri
memnuniyeti,
·
İnsan kaynakları süreçlerinin takibi,
·
Şirket personel temin süreçlerinin yürütülmesi
·
Intercity Şirketleri’nin personel temin süreçlerine destek
olunması
·
Şirket finansal raporlama ve risk yönetimi işlemlerinin
icrası/takibi
·
Finans ve mali işlerin yürütülmesi
·
Şirket hukuk işlerinin icrası/takibi
·
Kurumsal iletişim faaliyetlerinin planlanması ve icrası
·
Kurumsal yönetim faaliyetlerinin icrası
·
Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
·
Talep ve şikâyet yönetimi
·
Şirket değerlerinin güvenliğinin sağlanması
·
Intercity Şirketleri’ne ilgili mevzuata uyum konusunda destek
olunması
·
Şirket ve Intercity Şirketleri’nin üst düzey yöneticilerine
sağlanacak yan haklar ve menfaatlerin planlanması ve icrası süreçlerine destek olunması
·
Intercity Şirketleri’nin faaliyetlerinin Intercity
Şirketleri’nin prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin temini için denetim
faaliyetlerinin planlanması ve icrası
·
Intercity Şirketleri’nin şirketler ve ortaklık hukuku
işlemlerinin gerçekleştirilmesi konusunda destek olunması
·
Intercity Şirketleri’nin itibarının korunmasına yönelik
çalışmaların gerçekleştirilmesi
·
Yatırımcı ilişkilerinin yönetilmesi
·
Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
·
Ziyaretçi kayıtlarının oluşturulması ve takibi
·
İş sözleşmesinin ifası için gerekli olması
·
Yasal yükümlülüklerin yerine getirilmesi,
·
İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik
Kanunu ve ilgili mevzuat ile, diğer kanunlar ve mevzuat kapsamında gerekli olması
·
Şirket içerisinde güvenliğin sağlanması
·
Müşteri sözleşmelerinin ifası,
·
Şirketin idaresi, işin yürütülmesi, şirket politikalarının
uygulanması
·
Şirketin iş sağlığı ve güvenliğini sağlama ve geliştirme
·
Şirketin ve Şirket ile iş ilişkisi içerisinde olan kişilerin
hukuki ve ticari güvenliğinin temini; insan kaynakları politikalarının ve iş stratejilerinin
belirlenmesi ve uygulanması
·
Ticari faaliyetlerimiz doğrultusunda, hizmetlerin
geliştirilmesi ve pazarlanması
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVKK kapsamında öngörülen
şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak
Şirket tarafından açık rızanız temin edilmektedir.
5. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN
SAHİPLERİNE İLİŞKİN KATEGORİZASYON
Kişisel veri sahibi 6698 sayılı Kanun uyarınca kişisel verileri işlenen gerçek
kişileri ifade etmekte olup Şirket tarafından, aşağıda sıralanan kişisel veri sahibi
kategorilerinin kişisel verileri işlenmekle birlikte, işbu Politika’nın uygulama kapsamı aşağıda
açıklamaları yapılan kişisel veri sahibi kategorileri ile sınırlıdır.
|
KİŞİSEL VERİ SAHİBİ KATEGORİZASYONU |
AÇIKLAMA |
|
Çalışan/Çalışan Adayı |
Şirket’e herhangi bir yolla iş başvurusunda bulunmuş
ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine
açmış olan gerçek kişiler. |
|
Eski Çalışan |
Şirket’e herhangi bir yolla iş başvurusunda bulunmuş
ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine
açmış olan ancak artık Şirket ile iş sözleşmesi ilişkisi bitmiş
olan gerçek kişiler. |
|
Stajyer/Stajyer Adayı |
Şirket’de stajını yapmak üzere iş başvurusunda
bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in
incelemesine açmış olan gerçek kişiler. |
|
Gerçek Kişi Müşteri/Müşteri Adayı |
Şirket ile iş birimlerinin yürüttüğü operasyonlar
kapsamında Şirket iş ilişkileri üzerinden kişisel verileri elde
edilen gerçek kişiler |
|
Gerçek Kişi Tedarikçi/İş Ortağı/Çözüm
Ortağı/Paydaşı/Yetkilisi /Çalışanı |
Şirket’in ticari faaliyetlerini yürütürken Şirket’in
emir ve talimatlarına uygun olarak sözleşme temelli olarak
Şirket’e hizmet sunan gerçek kişiler, her tülü iş ilişkisi
içerisinde bulunduğu gerçek kişiler, çalışanı yetkilisi veya
hissedarı olan gerçek kişiler . |
|
Hissedar |
Şirket’in hissedarı gerçek kişiler |
|
Şirket Yetkilisi/ İş Ortağı/Çözüm Ortağı |
Şirket’in yönetim kurulu üyesi ve diğer yetkili
gerçek kişiler |
|
Intercity Şirketleri |
Ekim Turizm Ticaret ve Sanayi Anonim Şirketi
hissedarı olan gerçek ve/veya tüzel kişilerin hissedar olduğu
diğer şirketler |
|
Sözleşme Tarafı |
Şirket ile iş birimlerinin yürüttüğü operasyonlar
kapsamında Şirket ile aralarında iş sözleşmesi akdedilen gerçek
kişilerdir. |
|
Üçüncü gerçek kişi |
Bu Politika ve Şirket Çalışanları Kişisel Verilerin
Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer
gerçek kişiler (Örn. kefil, refakatçi, eski çalışanlar) |
|
Ziyaretçi |
Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli
amaçlarla girmiş olan gerçek kişiler |
|
İnternet Sitesi Ziyaretçisi |
Şirket’in sahibi olduğu internet sitesini ziyaret
eden gerçek kişiler |
Şirket tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda belirtilen
kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler de KVKK kapsamında Şirket’e
taleplerini yöneltebilecek olup; bu kişilerin talepleri de bu Politika kapsamında
değerlendirmeye alınacaktır.
Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve bu
kategoriler içerisindeki kişilerin hangi tip kişisel verilerin işlendiği
detaylandırılmaktadır.
|
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ OLDUĞU VERİ SAHİBİ
KATEGORİSİ |
|
|
Kimlik Bilgisi |
Kişinin kimliğine dair bilgilerin bulunduğu
verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum
yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi
numarası, unvan, biyografi vb. bilgiler ile ehliyet, mesleki
kimlik, nüfus cüzdanı gibi belgeler |
Şirket ve/veya Intercity Şirketleri Müşterisi,
Müşteri Adayı, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer,
Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi,
İntrnet Ziyaretçisi, Tedarikçi, İşbirliği İçinde Olduğumuz
Kurumların (İş Ortağı) Çalışanları, ve Yetkilileri, Üçüncü Kişi
|
|
İletişim Bilgisi |
Telefon numarası, adres, e-mail adresi, faks numarası
vb. bilgiler |
Şirket ve/veya Intercity şirketleri Müşterisi,
Müşteri Adayı, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer,
Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi,
Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş
Ortağı) Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi
|
|
Aile Bireyleri ve Yakın Bilgisi |
Şirket tarafından yürütülen faaliyetler
çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve
kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak
amacıyla işlenen kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil
durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler)
|
Şirket ve/veya Intercity şirketleri Çalışan, Çalışan
Adayı, Stajyer, Stajyer Adayı |
|
Fiziksel Mekân Güvenlik Bilgisi |
Fiziksel mekâna girişte, fiziksel mekânın içerisinde
kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel
veriler; kamera kayıtları, araç bilgisi kayıtları ve güvenlik
noktasında alınan kayıtlar v.b. |
Şirket ve/veya Intercity şirketleri Müşteri, Müşteri
Adayları, Ziyaretçi, Eski Çalışan, Çalışan, Çalışan Adayı,
Stajyer, Stajyer Adayı, Şirket Hissedarları, Şirket
Yetkilileri, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların
(İş Ortağı) Çalışanları, Hissedarları ve Yetkilileri, Üçüncü
Kişi |
|
Finansal Bilgi |
Şirket’in ve/veya İntercity Şirketlerinin kişisel
veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre
yaratılan her türlü finansal sonucu gösteren bilgi, belge ve
kayıtlara ilişkin işlenen kişisel veriler ile banka hesap
numarası, IBAN numarası, gelir bilgisi, borç/alacak bilgisi gibi
veriler |
Şirket ve/veya Intercity şirketleri Müşterisi, Eski
Çalışan, Çalışan, Çalışan Adayı, Stajyer, Stajyer Adayı,
Şirket Hissedarı, Şirket Yetkilisi, Tedarikçi, İşbirliği İçinde
Olduğumuz Kurumların (İş Ortağı) Çalışanları, Hissedarları ve
Yetkilileri, Üçüncü Kişi |
|
Görsel/İşitsel Bilgi |
Fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik
Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları |
Şirket ve/veya Intercity şirketleri Müşterisi,
Müşteri Adayı, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer,
Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi,
Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı)
Çalışanları, ve Yetkilileri, Üçüncü Kişi |
|
Özlük Bilgisi |
Bordro bilgileri, performans değerlendirmesi, işe
giriş belge kayıtları, cv/özgeçmiş, çalışma izni belgesi gibi
veriler |
Şirket ve/veya Intercity şirketleri Çalışan Adayı,
Çalışan, Eski Çalışan, Stajyer, Stajyer Adayı
|
|
Özel Nitelikli Kişisel Veri |
KVKK’nin 6. maddesinde belirtilen veriler, |
Çalışan Adayı, Çalışan,
Eski Çalışan, Stajyer, Şirket Hissedarı, Şirket Yetkilisi
|
|
Şikâyet ve Öneriler Bilgisi |
Şirket’e yöneltilmiş olan her türlü talep veya
şikayetin alınması ve değerlendirilmesine ilişkin kişisel
veriler |
Şirket ve/veya Intercity şirketleri Müşterisi,
Müşteri Adayı, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer
Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İnternet
Ziyaretçisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların
Çalışanları ve Yetkilileri, Üçüncü Kişi |
|
Hukuki İşlem ve Uyum Bilgisi |
Hukuki alacak ve haklarımızın tespiti, takibi ve
borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirket’in
politikalarına uyum kapsamında işlenen kişisel veriler |
Şirket ve/veya Intercity Müşterisi, Çalışan, Eski
Çalışan, Stajyer, Şirket Hissedarı, Şirket Yetkilisi, Tedarikçi,
Ziyaetçi, İşbirliği İçinde Olduğumuz Kurumların (İş
Ortağı) Çalışanları, ve Yetkilileri, Üçüncü Kişi |
|
Eğitim ve İş Bilgileri |
Öğrenim Durumu, Geçmiş Maaş ve Prim Bilgisi, Önceki
İş Sona Erme Nedenleri, Yabancı Dil Bilgisi, Yetenekler, Eğitim
Durumu, Çalışma Belgesi (Eski İşyerinden), Diploma
Örneği, Mesleki Gelişim Sertifikaları, Meslek Bilgileri, İşe
Yeterlilik Durumu, Kariyer Geçmişi v.b. bilgiler |
Şirket ve/veya Intercity şirketleri
Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer
Adayı
|
|
Müşteri İşlem Bilgileri
|
Fatura bilgileri, sipariş veya talep bilgisi
v.b. bilgiler |
Şirket ve/veya Intercity şirketleri
Müşterisi, Müşteri Adayı, Çalışan, Tedarikçi,
İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı)
Çalışanları ve Yetkilileri |
|
Araç Bilgisi |
Aracın plaka, ruhsat bilgisi
|
Şirket ve/veya Intercity şirketleri
Müşterisi, Çalışan, Eski Çalışan, Stajyer, Ziyaretçisi,
Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş
Ortağı) Çalışanları ve Yetkilileri, Üçüncü Kişi |
|
Çalışanın Performans ve Kariyer Gelişim Bilgisi
|
İşe alım / istihdam, performans değerlendirme
bilgisi, çalışma geçmişi, profesyonel yetkinlikler, mülakat ve
işe giriş değerlendirmeleri v.b. bilgiler |
Şirket ve/veya Intercity şirketleri Çalışan, Eski
Çalışan, Stajyer |
|
Ceza Mahkumiyeti ve Güvenlik Tedbirleri ile İlgili
Bilgiler |
Adli Sicil Bilgisi,
|
Şirket ve/veya Intercity şirketleri Çalışan, Çalışan
Adayı, Eski Çalışan, Stajyer, Stajyer adayı |
|
İşlem Güvenliği Bilgisi |
Faaliyetlerimizin yürütülmesi sırasında teknik,
idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen
kişisel verileriniz (örneğin log kayıtları, IP bilgisi, kimlik
doğrulama bilgileri) |
Şirket ve/veya Intercity şirketleri Müşterisi,
Çalışan, Eski Çalışan, Stajyer, Şirket Hissedarı, Şirket
Yetkilisi, Ziyaretçi, İnternet Ziyaretçisi, Tedarikçi, İşbirliği
İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları ve
Yetkilileri, Üçüncü Kişi |
|
İşlem Bilgisi |
Şirket tarafından yürütülen faaliyetler çerçevesinde,
sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri
sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen
anket bilgisi, beyan bilgisi, çağrı merkezi kayıtları, üyelik
bilgisi, cookie kayıtları gibi veriler |
Şirket ve/veya Intercity şirketleri Müşterisi,
Müşteri Adayı, Çalışan, Eski Çalışan, Stajyer, Şirket Hissedarı,
Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz
Kurumların (İş Ortağı) Çalışanları ve Yetkilileri, Üçüncü
Kişi |
|
Sağlık Bilgisi |
Engellilik durumuna ait bilgiler, kan grubu bilgisi,
kişisel sağlık bilgileri v.b. bilgiler
|
Şirket ve/veya Intercity şirketleri Çalışan, Eski
Çalışan, Çalışan adayı, Stajyer, Şirket Hissedarı, Şirket
Yetkilisi |
ALTINCI BÖLÜM
6. ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI
ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
6.1 KİŞİSEL VERİLERİN AKTARILMASI
Şirket hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel
verilerini üçüncü kişilere aktarabilmektedir. Şirket bu doğrultuda KVKK’nin 8. maddesinde
öngörülen düzenlemelere uygun hareket etmektedir.
6.1.1 Kişisel Verilerin Aktarılması
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda
sayılan kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel
verileri üçüncü kişilere aktarabilmektedir:
·
Kişisel veri sahibinin açık rızası var ise,
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme
var ise,
·
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya
ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
·
Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel
veri aktarımı zorunlu ise,
·
Kişisel veriler, kişisel veri sahibi tarafından
alenileştirilmiş ise,
·
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya
korunması için zorunlu ise,
·
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
6.1.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul
tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme
amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki
durumlarda üçüncü kişilere aktarabilmektedir.
a.
Kişisel veri sahibinin açık rızası var ise veya,
b.
Kişisel veri sahibinin açık rızası yok ise;
o
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel
nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya
diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti
ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir),
kanunlarda öngörülen hallerde,
o
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin
özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından.
6.2. KİŞİSEL VERİLERİN YURTDIŞINA
AKTARILMASI
Şirket hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini
üçüncü kişilere aktarabilmektedir.
Şirket tarafından; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı
ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması
durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı
yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli
Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler
aktarılabilmektedir.
6.2.1. Kişisel Verilerin Yurtdışına Aktarılması
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri
sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki
hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli
Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
·
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir
düzenleme var ise,
·
Kişisel veri sahibinin veya başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
·
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya
ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
·
Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel
veri aktarımı zorunlu ise,
·
Kişisel veriler, kişisel veri sahibi tarafından
alenileştirilmiş ise,
·
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya
korunması için zorunlu ise,
·
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, Şirket‘in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
6.2.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul
tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme
amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda
Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı
Ülkelere aktarabilmektedir.
a.
Kişisel veri sahibinin açık rızası var ise veya
b.
Kişisel veri sahibinin açık rızası yok ise;
o
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel
nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya
diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda
öngörülen hallerde,
o
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin
özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından işlenmesi kapsamında.
6.3 Aktarılan Kişiler ve Veri Aktarım
Amacı
Şirket, KVKK’nin 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi
gruplarını kişisel veri sahibine bildirmektedir.
Şirket, Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan
kişi kategorilerine aktarılabilir:
·
Şirket iş ortaklarına,
·
Şirket tedarikçilerine,
·
Intercity Şirketleri’ne,
·
Şirket hissedarlarına,
·
Şirket yetkililerine,
·
Hukuken yetkili kamu kurum ve kuruluşlarına
·
Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları
aşağıda belirtilmektedir.
|
Veri Aktarımı Yapılabilecek Kişiler |
Tanımı |
Veri Aktarım Amacı |
|
İş Ortağı |
Şirket’in ticari faaliyetlerini yürütürken bizzat
veya İntercity şirketleri ile birlikte muhtelif projeler
yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu
tarafları tanımlamaktadır. |
İş ortaklığının kurulma amaçlarının yerine
getirilmesini temin etmek amacıyla sınırlı olarak |
|
Tedarikçi |
Şirket’in ticari faaliyetlerini yürütürken Şirket’in
emir ve talimatlarına uygun olarak sözleşme temelli olarak
Şirket’e hizmet sunan tarafları tanımlamaktadır. |
Şirket’in tedarikçiden dış kaynaklı olarak temin
ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için
gerekli hizmetlerin Şirket‘e sunulmasını sağlamak amacıyla
sınırlı olarak. |
|
Hissedarlar |
Şirket’in hissedarı gerçek kişiler |
İlgili mevzuat hükümlerine göre Şirket’in şirketler
hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri
kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak
|
|
Şirket Yetkilileri/Şirket İş ve Çözüm Ortakları
|
Şirket yönetim kurulu üyeleri ve diğer yetkili gerçek
kişiler |
İlgili mevzuat hükümlerine göre Şirket’in ticari
faaliyetlerine ilişkin stratejilerin tasarlanması, en üst
düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı
olarak |
|
Hukuken Yetkili Kamu Kurum ve Kuruluşları
|
İlgili mevzuat hükümlerine göre Şirket’den bilgi ve
belge almaya yetkili kamu kurum ve kuruluşları |
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi
dahilinde talep ettiği amaçla sınırlı olarak |
|
Hukuken Yetkili Özel Hukuk Kişileri |
İlgili mevzuat hükümlerine göre Şirket’den bilgi ve
belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi
dahilinde talep ettiği amaçla sınırlı olarak |
|
Intercity Şirketleri |
Ekim Turizm Ticaret ve Sanayi Anonim Şirketi
hissedarı olan gerçek ve/veya tüzel kişilerin hissedar olduğu
diğer şirketler |
Şirket’in ticari faaliyetlerini yerine getirmek için
gerekli hizmetlerin Şirket‘e sunulmasını sağlamak amacıyla
sınırlı olarak. |
YEDİNCİ BÖLÜM
7. KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA
DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
Şirket, KVKK’nin 10. maddesine uygun olarak işlediği kişisel veriler hakkında kişisel
veri sahibini aydınlatmaktadır.
7.1. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL
VERİLERİN İŞLENMESİ
7.1.1. Kişisel Verilerin İşlenmesi
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak
işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda
yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri
işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu
şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
Şirket tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık
gösterse de her türlü kişisel veri işleme faaliyetinde KVKK’nin 4. maddesinde belirtilen genel
ilkelere uygun olarak hareket edilmektedir.
·
Kişisel Veri Sahibinin Açık Rızasının
Bulunması: Kişisel verilerin işlenme şartlarından biri sahibinin açık
rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye
dayalı olarak ve özgür iradeyle açıklanmalıdır.
Kişisel verilerin elde edilme sebeplerine yönelik işleme amacının
dışındaki kişisel veri işleme faaliyetleri için bu başlıkta yer alan şartlardan en az biri
aranmakta; bu şartlardan biri yok ise, Şirket tarafından bu kişisel veri işleme faaliyetleri
kişisel veri sahibinin bu işleme faaliyetlerine yönelik açık rızasına dayalı olarak
gerçekleştirilmektedir.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı
olarak işlenmesi için, kişisel veri sahiplerinin ilgili yöntemler ile açık rızaları
alınmaktadır.
·
Kanunlarda Açıkça Öngörülmesi: Veri
sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak
işlenebilecektir.
·
Fiili İmkânsızlık Sebebiyle İlgilinin Açık
Rızasının Alınamaması: Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik
tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü
korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel
verileri işlenebilecektir.
·
Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi
Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
halinde kişisel verilerin işlenmesi mümkündür.
·
Şirket’in Hukuki Yükümlülüğünü Yerine
Getirmesi: Şirket veri sorumlusu olarak hukuki yükümlülüklerini yerine
getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir.
·
Kişisel Veri Sahibinin Kişisel Verisini
Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından
alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
·
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin
Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için
veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir.
·
Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu
Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri
verileri işlenebilecektir.
7.1.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirket tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası
yok ise ancak, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki
durumlarda işlenmektedir:
·
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel
nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
·
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin
özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından.
SEKİZİNCİ BÖLÜM
8. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE
YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ
ZİYARETÇİLERİ
Şirket tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri
işleme faaliyetleri, Anayasa’ya, KVKK’ye ve ilgili diğer mevzuata uygun bir biçimde
yürütülmektedir.
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde
güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel
veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması
yoluyla Şirket tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
8.1. BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME
FAALİYETİ
Bu bölümde Şirket’in kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve
kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin
bilgilendirme yapılacaktır.
Şirket, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer
kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
8.1.1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı
Şirket tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine
Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
8.1.2. KVKK’ye Göre Güvenlik Kamerası ile İzleme Faaliyeti
Yürütülmesi
Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde
KVKK’de yer alan düzenlemelere uygun hareket edilmektedir. Şirket, bina ve tesislerinde
güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve
KVKK’de sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme
faaliyetinde bulunmaktadır.
8.1.3. Kamera ile İzleme Faaliyetinin Duyurulması
Şirket tarafından KVKK’nin 10. Maddesine uygun olarak, kişisel veri sahibi
aydınlatılmaktadır. Şirket, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera
ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle,
kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın
ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Şirket tarafından kamera ile izleme faaliyetine yönelik olarak; Şirket internet
sitesinde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme
yapılacağına ilişkin bildirim yazısı asılmaktadır.
8.1.4. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla
Sınırlılık
Şirket, KVKK’nin 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu
Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları,
sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı
olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale
sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
8.1.5. Elde Edilen Verilerin Güvenliğinin Sağlanması
Şirket tarafından KVKK’nin 12. maddesine uygun olarak, kamera ile izleme faaliyeti
sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari
tedbirler alınmaktadır.
8.1.6. Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza
Süresi
Şirket’in, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza
süresi ile ilgili ayrıntılı bilgiye bu Politika’nın Kişisel Verilerin Saklanma Süreleri isimli
9. maddesinde yer verilmiştir.
8.1.7. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu
Bilgilerin Kimlere Aktarıldığı
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara
yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı
sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan
etmektedir.
8.2. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE
YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla,
Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri
işleme faaliyetinde bulunulmaktadır.
Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya
da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler
aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir
giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve
ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
8.3. ŞİRKET BİNA VE TESİSLERİNDE ZİYARETÇİLERİMİZE
SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
Şirket tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla;
Şirket tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden
Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize
ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir
hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları
tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili
hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının
erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları
yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak
üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı
sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan
etmektedir.
8.4. İNTERNET SİTESİ
ZİYARETÇİLERİ
Şirket sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin
sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin
etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık
faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Kurabiyeler-cookie gibi) site
içerisindeki internet hareketlerini kullanıcılara tarayıcılardan bu ayarı değiştirebilme seçimi
sunmak kaydıyla kaydetmektedir.
Şirket yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve
işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinde yer almaktadır.
DOKUZUNCU BÖLÜM
9. ŞİRKET’İN KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE
HUKUKİ SEBEBİ, SİLME, YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ VE SAKLANMA
SÜRESİ
9.1. KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ
Kanun’un amacını düzenleyen 1. Madde ile Kanun’un kapsamını düzenleyen 2. Madde’ye
uygunluğunun denetimi amacıyla, Kişisel Veriler; her türlü sözlü, yazılı, elektronik ortamda;
teknik ve sair yöntemlerle, çağrı merkezi, Şirket internet sitesi, mobil uygulama gibi muhtelif
yollardan, Politika’da yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat,
sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde yasadan doğan sorumlulukların
eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirket veya Şirket
tarafından görevlendirilen veri işleyenler tarafından işlenir.
9.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE
GETİRİLMESİ
Kişisel Veriler’in silinmesi, yok edilmesi veya anonim hâle getirilmesine
ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirket, bu Kanun ve diğer
kanun hükümlerine uygun olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde Kişisel Veriler’i resen veya veri sahibinin talebi üzerine siler, yok
eder veya anonim hale getirir. Kişisel Veriler’in silinmesi ile bu veriler tekrar hiçbir şekilde
kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre Kişisel Veriler, kayıtlı
oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde
silinir. Kişisel Veriler’in yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve
kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD,
disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade
etmektedir. Verilerin anonim hale getirilmesiyle, Kişisel Veriler’in başka verilerle
eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesi kastedilmektedir.
9.2.1. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve
Anonimleştirilmesi Şartları
Şirket, Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’nin 7. maddesinde düzenlendiği
üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde Şirket’in kendi kararına istinaden veya kişisel veri
sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Kişisel Veriler’in saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile
ilgili Şirket tekniklerine dair detaylı düzenlemeler Şirket’in internet sitesinde yayımlanan
Kişisel Veri Saklama Ve İmha Politikası’nda yer almaktadır.
İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kararına istinaden veya kişisel veri
sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu
kapsamda Şirket ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
9.2.2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve
Anonimleştirilmesi Teknikleri
9.2.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
Teknikleri
Şirket ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel
veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirket tarafından en
çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
·
Fiziksel Olarak Yok Etme: Kişisel veriler
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da
işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan
kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
·
Yazılımdan Güvenli Olarak Silme: Tamamen
veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler
silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan
silinmesine ilişkin yöntemler kullanılır.
·
Uzman Tarafından Güvenli Olarak Silme:
Şirket bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu
durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde
güvenli olarak silinir/yok edilir.
9.2.2.2. Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirket , hukuka uygun olarak işlenen
kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri
anonimleştirebilmektedir.
KVKK’nin 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler
araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı
dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen
kişisel veriler KVKK kapsamı dışında olacağından Politika’nın 10. Bölümünde düzenlenen haklar bu
veriler için geçerli olmayacaktır. Şirket tarafından en çok kullanılan anonimleştirme teknikleri
aşağıda sıralanmaktadır.
·
Maskeleme: Veri maskeleme ile kişisel
verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim
hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim,
T.C. Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız
hale geldiği bir veri setine dönüştürülmesi.
·
Toplulaştırma: Veri toplulaştırma yöntemi
ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle
ilişkilendirilemeyecek hale getirilmektedir. Örnek: Çalışanların yaşlarının tek tek
göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.
·
Veri Türetme: Veri türetme yöntemi ile
kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir
kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri
yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
·
Veri Karma: Veri karma yöntemi ile kişisel
veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın
kopartılması sağlanmaktadır. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile
veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.
9.3. Kişisel Verilerin Saklanma Süresi
Şirket, Kişisel Veriler’i mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen
süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine
ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken
yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri
uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya
anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği
saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda
delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın
tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın
ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen
daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama
süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla
erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel
verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler
silinmekte, yok edilmekte veya anonim hale getirilmektedir.
ONUNCU BÖLÜM
10. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU
HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
Şirket, KVKK’nin 10. maddesine uygun olarak kişisel veri sahibinin haklarını
kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol
göstermektedir ve Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri
sahiplerine gereken bilgilendirmenin yapılması için KVKK’nin 13. maddesine uygun olarak gerekli
kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
10.1 VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI
KULLANMASI
10.1.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
·
Kişisel veri işlenip işlenmediğini öğrenme,
·
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
·
Kişisel verilerin işlenme amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme,
·
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı
üçüncü kişileri bilme,
·
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
·
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
·
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla
analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
·
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle
zarara uğraması hâlinde zararın giderilmesini talep etme.
10.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği
Haller
Kişisel veri sahipleri, KVKK’nin 28. maddesi gereğince aşağıdaki haller KVKK kapsamı
dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 10.1.1.’de sayılan haklarını ileri
süremezler:
·
Kişisel Veriler’in, üçüncü kişilere verilmemek ve veri
güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle
veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
·
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek
suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
·
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını
ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla
ya da ifade özgürlüğü kapsamında işlenmesi.
·
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve
yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari
faaliyetler kapsamında işlenmesi.
·
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz
işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK’nin 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri
zararın giderilmesini talep etme hakkı hariç, 10.1.1.’de sayılan diğer haklarını ileri
süremezler:
·
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç
soruşturması için gerekli olması.
·
Kişisel veri sahibi tarafından kendisi tarafından
alenileştirilmiş kişisel verilerin işlenmesi.
·
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak
görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
·
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin
olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
10.1.3. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri Sahipleri bu bölümde sıralanan haklarına ilişkin taleplerini
kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel
Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak
Şirket’e ücretsiz olarak iletebileceklerdir:
·
akyacht.com adresinde bulunan
formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden; iadeli taahhütlü posta
veya noter aracılığı ile “Sepetlipınar SB Mahallesi, 104. Cad., No: 8/2,
Başiskele/Kocaeli ” adresine iletilmesi,
·
akyacht.com adresinde bulunan
formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla
imzalandıktan sonra güvenli elektronik imzalı formun [email protected] adresine kayıtlı
elektronik posta ile gönderilmesi
·
Mobil imza ile,
·
Şirket’e daha önce bildirilen ve Şirket sisteminde kayıtlı
bulunan elektronik posta adresini kullanmak suretiyle [email protected] adresine başvuru formunun iletilmesi.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için
veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel
vekâletname bulunmalıdır.
10.1.4. Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı
Kişisel veri sahibi, KVKK’nin 14. maddesi gereğince başvurusunun reddedilmesi,
verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde;
Şirket’in cevabını öğrendiği tarihten itibaren otuz ve her hâlükârda başvuru tarihinden itibaren
altmış gün içinde Kurul’a şikâyette bulunabilir.
10.2. INTERCITY ŞİRKETLERİ’NE AİT BAŞVURULAR
Intercity Şirketleri’ne ait kişisel veri işleme faaliyetleri ile ilgili başvuruların
Şirket’e yapılması halinde bu başvurular da Şirket tarafından işleme alınarak sonuçlandırılır.
10.3. ŞİRKET’İN BAŞVURULARA CEVAP
VERMESİ
10.3.1. Şirket’in Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 10.1.3. başlıklı kısmında yer alan usule uygun
olarak talebini Şirket’e iletmesi durumunda Şirket talebin niteliğine göre en geç otuz gün
içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Kurulca bir ücret öngörülmesi
hâlinde, Şirket tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret
alınacaktır.
10.3.2. Şirket’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği
Bilgiler
Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek
adına ilgili kişiden bilgi talep edebilir. Şirket, kişisel veri sahibinin başvurusunda yer alan
hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
10.3.3. Şirket’in Kişisel Veri Sahibinin Başvurusunu Reddetme
Hakkı
Şirket aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini
açıklayarak reddedebilir:
·
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek
suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
·
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını
ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla
ya da ifade özgürlüğü kapsamında işlenmesi.
·
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve
yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari
faaliyetler kapsamında işlenmesi.
·
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz
işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
·
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç
soruşturması için gerekli olması.
·
Kişisel veri sahibi tarafından kendisi tarafından
alenileştirilmiş kişisel verilerin işlenmesi.
·
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak
görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
·
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin
olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
·
Kişisel veri sahibinin talebinin diğer kişilerin hak ve
özgürlüklerini engelleme ihtimali olması
·
Orantısız çaba gerektiren taleplerde bulunulmuş olması.
·
Talep edilen bilginin kamuya açık bir bilgi olması.
ONBİRİNCİ BÖLÜM
11. ŞİRKET’İN KİŞİSEL
VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM YAPISI
Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer
politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi
oluşturulmuştur. Kişisel Veri Komitesi, Kişisel Veri Sahipleri’nin verilerinin hukuka,
işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve
işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir. Kişisel Veri Komitesi’nde
görevlendirilenler ve görevlerine dair Şirket’in internet sitesinde yayımlanan Kişisel Veri
Saklama Ve İmha Politikası’nda detaylı düzenlemeler yer almaktadır.
ONİKİNCİ BÖLÜM
12. GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER
|
TADİL TABLOSU
|
||
|
Tadil Edilen Madde |
Değişiklik Tarihi |
Tadil Sebebi |