Kişisel Verilerin Korunması Politikası

ANİA TURİZM YATIRIMLARI A.Ş.

KİŞİSEL VERİ KORUMA İŞLEME SAKLAMA VE İMHA POLİTİKAS

 

İÇİNDEKİLER

1. Giriş
   1. Amaç
   2. Kapsam
   3. Kısaltma ve tanımlar
2.  Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Olarak ANİA Turizm Yatırımları A.Ş. Tarafından Benimsenen İlkeler 
3. Temel Kişisel Veri İşleme Verilerine Uygunluk
4. Kişisel Veri İşleme Şartlarına Uygunluk
5. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk
6. Sorumluluk ve görev dağılımları
7. Kayıt ortamları
8. Kişisel Verilerin Aktarımı
   1. Kişisel Verilerin Yurtiçinde Aktarılması
   2. Kişisel Verilerin Yurtdışında Aktarılması
9. Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar
   1. Saklamaya ilişkin açıklamalar
   2. İmhayı gerektiren sebepler
10. Kişisel Veri Sahiplerinin Hakları ve Firma Tarafından Taleplerinin Sonuçlandırılması
11. Teknik ve idari tedbirler
    1. Teknik tedbirler
    2. İdari tedbirler
12. Kişisel verileri imha teknikleri
    1. Kişisel verilerin silinmesi
    2. Kişisel verilerin yok edilmesi
    3. Kişisel verilerin anonim hale getirilmesi
13. Saklama ve imha süreleri
14. Periyodik imha süresi
15. Politika’nın yayınlanması ve saklanması
16. Politikanın güncelleme periyodu

EK-1: Başvuru Formu

1. GİRİŞ 
2. Amaç

Bu dokümanın amacı, Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlenmesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Balmy Hotels işletmesinin işleticisi ANİA Turizm Yatırımları A.Ş.(Bundan böyle kısaca “ANİA” ya da “Firma” olarak anılacaktır.) tarafından hazırlanmıştır.

1. Kapsam

 Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1. Kısaltma ve Tanımlar
     

Kısaltma	Tanım
AÇIK RIZA	Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
GDPR	95/46/EC sayılı direktifi 25.05.2018 tarihinde yürürlükten kaldıran 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nü
İLGİLİ KULLANICI	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İMHA	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
KANUN / KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
KAYIT ORTAMI	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
KİŞİSEL VERİ	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
KİŞİSEL VERİLERİN AKTARILMASI	Kişisel verilerin KVKK’ya uygun bir biçimde işbu Politika’nın 5. maddesine uygun olarak yurt içi veya dışındaki kurum, kuruluş, tedarikçi vb. paylaşılması.
KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ	Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi.
KİŞİSEL VERİLERİN İŞLENMESİ	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
KİŞİSEL VERİLERİN SİLİNMESİ	Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
KİŞİSEL VERİLERİN YOK EDİLMESİ	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
KURUM	Kişisel Verileri Koruma Kurumu
OTOMATİK VERİ İŞLEME	İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen kişisel veri işleme faaliyetini
OTOMATİK OLMAYAN VERİ İŞLEME	İnsan müdahalesi ya da yardımı yoluyla yani elle yapılan kişisel veri işleme faaliyetini,
ÖZEL NİTELİKLİ KİŞİSEL VERİ	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
PERIODIC İMHA	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme ve anonim hale getirme işlemi
VERİ SAHİBİ / İLGİLİ KİŞİ	Kişisel verisi işlenen gerçek kişi
VERİ SORUMLUSU	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
YÖNETMELİK	28 Ekim 2017 tarihinde Resmî Gazete‘de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
POLİTİKA	Kişisel Veriler Saklama ve İmha Politikası
VERİ İŞLEYEN	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
VERBİS	Veri Sorumluları Sicili Bilgi Sistemi

 

2. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN OLARAK FİRMA TARAFINDAN BENİMSENEN İLKELER
3. Temel Kişisel Veri İşleme İlkelerine Uygunluk

Firma tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler benimsenmektedir:

1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme

Firma, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütür.

2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme

Firma tarafından kişisel verilerin işlenmesi faaliyeti yürütülürken, teknik imkânlar dâhilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik gerekli her türlü idari ve teknik tedbirler alınmaktadır.

3. Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi

Firma tarafından kişisel verilerin işlenmesi faaliyetleri, kişisel veri işleme faaliyeti başlamadan önce belirlenmiş olan, açık ve hukuka uygun amaçlar dahilinde yürütülmektedir.

4. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme

Firma tarafından, kişisel veriler, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlenmektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenerek, ileride kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir.

5. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

Firma, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Firma tarafından derhal silinmektedir.

2. Kişisel Veri İşleme Şartlarına Uygunluk

Firma, kişisel veri işleme faaliyetlerini, KVKK’nın 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:

1. Kişisel Veri Sahibinin Açık Rızasının Varlığı
2. Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması
3. Fiili İmkânsızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu
4. Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması
5. Firma’nın Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması
6. Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması
7. Veri Sahibinin Kişisel Verisini Alenileştirmesi
8. Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin Firmanın Meşru Menfaatleri için Gerekli Olması
9. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk

       Özel nitelikli kişisel veriler, Firma tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:

• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, 

3. SORUMLULUK VE GÖREV DAĞILIMLARI

Unvan	Görev
Bilgi İşlem Müdürü	İşyerindeki süreçlerin bilgi işlem açısından düzenlenmesi ve güvenliğinin sağlanması. Kişisel verilerin saklama süresine uygunluğunun kontrol edilmesi. İlgililerin başvurularının özenle değerlendirilip sonuçlandırılması. Periyodik kişisel veri imha sürecinin yönetimi.
İnsan Kaynakları Müdürü	İşyerindeki insan kaynakları süreçlerinin kişisel veri koruma mevzuatına uygunluğunun sağlanması. İşlenen kişisel verilerin amacına uygun ve orantılı bir şekilde saklanmasının yönetimi. İlgililerden gelen başvuruların dikkatlice takip edilip sonuçlandırılması. Kişisel veri imha sürecinin düzenli olarak yönetilmesi.
Operasyon Müdürü	Operasyonel süreçlerin kişisel veri koruma standartlarına uygunluğunun kontrol edilmesi. İşlenen kişisel verilerin amaçlarına uygun şekilde saklanmasının yönetimi. İlgililerden gelen başvuruların takip edilip etkin bir şekilde sonuçlandırılması. Periyodik kişisel veri imha sürecinin operasyonel yönetimi.
Satış ve Pazarlama Müdürü	Pazarlama süreçlerinin kişisel veri koruma standartlarına uygunluğunun sağlanması. Müşteri verilerinin amacına uygun ve orantılı bir şekilde saklanmasının yönetimi. İlgililerden gelen başvuruların hızlı bir şekilde ele alınması ve sonuçlandırılması. Periyodik kişisel veri imha sürecinin pazarlama departmanında etkin şekilde uygulanması.
Ön Büro Müdürü	Konaklama süreçlerinin kişisel veri koruma standartlarına uygunluğunun sağlanması. Misafir başvurularını dikkatlice takip edip sonuçlandırmak. Kişisel veri imha sürecini yönetmek ve gerekli önlemleri almak.
Misafir İlişkileri Müdürü	Misafir ilişkileri süreçlerinin kişisel veri koruma standartlarına uygunluğunun sağlanması. Konaklayan misafirlerden gelen başvuruların özenle değerlendirilip sonuçlandırılması. Oda rezervasyonlarının kişisel veri yönetim açısından kontrol edilmesi. Periyodik kişisel veri imha sürecinin konuk hizmetleri departmanında etkin şekilde uygulanması.
Mutfak Şefi	Mutfak süreçlerinin kişisel veri koruma standartlarına uygunluğunun sağlanması. Yemek hizmeti alacak konuklardan gelen özel taleplerin kişisel veri yönetim açısından değerlendirilmesi. Personel ile ilgili kişisel verilerin güvenli bir şekilde saklanmasının yönetimi. Periyodik kişisel veri imha sürecinin mutfak departmanında etkin şekilde uygulanması.
Mali İşler Müdürü	Finansal süreçlerin kişisel veri koruma standartlarına uygunluğunun sağlanması. Finansal verilerin güvenli bir şekilde saklanmasının yönetimi. İlgililerden gelen finansal başvuruların takip edilip sonuçlandırılması. Periyodik kişisel veri imha sürecinin finans departmanında etkin şekilde uygulanması.
Rezervasyon Müdürü	Rezervasyon süreçlerinin kişisel veri koruma standartlarına uygunluğunun sağlanması. Müşteri rezervasyon bilgilerinin güvenli bir şekilde saklanmasının yönetimi. İlgililerden gelen rezervasyonla ilgili başvuruların takip edilip sonuçlandırılması. Periyodik kişisel veri imha sürecinin rezervasyon departmanında etkin şekilde uygulanması.
F& B Müdürü	Yiyecek ve içecek süreçlerinin kişisel veri koruma standartlarına uygunluğunun sağlanması. Menü ve özel taleplere ilişkin kişisel veri yönetiminin kontrol edilmesi. Personel ile ilgili kişisel verilerin güvenli bir şekilde saklanmasının yönetimi. Periyodik kişisel veri imha sürecinin F&B departmanında etkin şekilde uygulanması.
Konsept Müdürü	Şirket içi konsept ve marka süreçlerinin kişisel veri koruma standartlarına uygunluğunun sağlanması. İlgililerden gelen konsept ile ilgili başvuruların özenle takip edilip sonuçlandırılması. Konsept belgeleri ve tasarımlarla ilgili kişisel veri yönetiminin kontrol edilmesi. Periyodik kişisel veri imha sürecinin konsept departmanında etkin şekilde uygulanması.
ANİA Kişisel Verileri Koruma Komitesi	Tüm departmanların KVKK mevzuatına ve şirket veri politikasına uygun davranmasını sağlamak üzere iç koordinasyon sağlanması. Departmanlar arası kişisel veri yönetim süreçlerinin düzenli olarak denetlenmesi ve gerektiğinde iyileştirilmesi.

4. KAYIT ORTAMLARI

Kişisel veriler, aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Elektronik ortamlar

Elektronik olmayan ortamlar

- Sunucular (Bulut Tabanlı Sistemler, Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) - Yazılımlar (ofis yazılımları, IK portal,….) - Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) - Kişisel bilgisayarlar (Masaüstü, dizüstü) - Mobil cihazlar (telefon, tablet vb.) - Optik diskler (CD, DVD vb.) - Çıkartılabilir bellekler (USB, Hafıza Kart vb.) - Yazıcı, tarayıcı, fotokopi makinesi

- Kağıt - Manuel veri kayıt sistemleri (Müşteri kayıt formu, rezervasyon Formu, tur ve transfer bilet koçanları) - Yazılı, basılı, görsel ortamlar

5. KİŞİSEL VERİLERİN AKTARIMI

      Kişisel veriler, Firma tarafından hizmetin sağlanabilmesi amacıyla turizm, otelcilik, seyahat acentalığı, tur operatörlüğü gibi hizmetler sunan iş ve çözüm ortaklarımız yanı sıra Firma iştirakleri , sosyal medya, reklamcılık ve analiz iş ortaklarımızla paylaşabiliriz. İş ortaklarımız, bu bilgileri kendilerine sağladığınız veya hizmetlerini kullanırken topladıkları diğer bilgilerle birleştirebilir.

     KVKK başta olmak üzere ulusal ve uluslararası mevzuat hükümleri çerçevesinde Firma, işlediği kişisel verileri yurt içinde ya da yurt dışına aktarabilir. Transfer işlemlerine tabi tutabilir. Bu işlemler sırasında KVK Kanunu 8 ve 9 uncu maddeleri ile 95/46/EC Sayılı Direktif ve bu direktifi yürürlükten kaldıran GDPR hükümleri dikkate alınmaktadır. Firma, kişisel verilerin yurt içinde ve dışına aktarımı konusunda yukarıda belirtilen kanun maddeleri ile direktiflerin öngördüğü şartları yerine getirmiştir.

1. Kişisel Verilerin Yurtiçinde Aktarılması

Firma, KVKK’nın 8. ve 9.maddelerinin verdiği yetki ve işbu politika çerçevesinde ilgili kişinin açık rızasını almak suretiyle, işlediği verileri üçüncü kişilere aktarabilir. Firma tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler işbu Politikanın 2. Bölümünde açıklanmıştır.

Firma tarafından usulüne uygun şekilde toplanan, depolanan ve işlenen veriler, teknik destek hizmeti alınması, veri güvenliğinin sağlanması gibi amaçlarla aşağıda belirtilen yurtiçinde kain üçüncü kişilerle paylaşılmakta ve açık rıza kapsamında işlenmektedir.

Google LLC
Meta Inc,
Microsoft Corporation, Inc.,
Yandex LLC,
ve ayrıca Dijital Pazarlama faaliyetleri kapsamında
Cyber Medya Bilişim Teknolojileri. Tic. Ltd. Şti.

Kişisel verilerin yurtiçinde aktarılmasında diğer kanunlarda yer alan hükümler saklıdır.

İşbu Veri Politikası kapsamında herhangi bir Veri İşleyen ’in söz konusu olması halinde, Veri İşleyen ile Firma arasındaki kişisel veri transferlerinde KVKK’nın 8 inci madde hükümleri uygulanır. Veri sorumlusu sıfatına sahip firma tüzel kişiliği bünyesinde gerçekleşen, tüzel kişilikte faaliyet gösteren çalışanlar ve farklı departmanlar arasındaki veri aktarımı, KVK Kanunu’nun 8. maddesi çerçevesinde aktarım olarak kabul edilmemektedir. Ancak firma ile iş birliği veya çözüm ortağı olarak faaliyet gösteren ayrı tüzel kişiliğe sahip olanlarla gerçekleşen veri aktarımları, KVK Kanunu 8 inci ve 9 uncu madde ile işbu KVK Politikası kapsamında veri transferi olarak değerlendirilmektedir.

2. Kişisel Verilerin Yurtdışına Aktarılması

Firma tarafından, KVKK’nın 9. maddesi gereğince kişisel veri işleme şartlarına uygun olarak kişisel veriler;

(1) Yeterli korumanın bulunması (Yeterli korumanın bulunduğu ülkeler Kurumca belirlenerek ilan edilir.)

(2) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurumun izninin bulunması

(3)Firma ve paylaşım yapılacak üçüncü taraf ile Kurum tarafından ilan edilen standart sözleşmenin imzalanmış olması

veya

• Bir sözleşmenin ifası veya sözleşme öncesi tedbirlerin uygulanması,
• İlgili kişi yararına yapılacak bir sözleşmenin kurulması veya ifası, üstün bir kamu yararı,
• Bir hakkın tesisi, kullanılması veya korunması,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına Hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
• Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden aktarım yapılması

hallerinde yurtdışına aktarılabilir.

6. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Veri sahiplerine ait kişisel veriler, Firma tarafından özellikle ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası ile müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

1. 1. Saklamaya İlişkin Açıklamalar

Hukuka ve işbu Politika’ya uygun olarak işlenen kişisel veriler aşağıdaki şartların varlığında saklanabilecektir.

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Firma’nın meşru menfaatleri için saklanmasının zorunlu olması,
• Kişisel verilerin Firma’nın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
  2. İmhayı Gerektiren Sebepler

 Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Firma tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir.

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ifası,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. Ve 6. Maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemeni sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alma,
• İlgili kişinin, Kanun’un 11. Maddesinin 2 (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesini, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurum’a şikâyette bulunulması ve bu talebin Kurum tarafından uygun bulunulması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olması.

Firma bünyesinde, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen asgari süre kadar muhafaza etmektedir. Bu kapsamda, Firma öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan yukarıdaki tabloda gösterildiği süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

7. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE FİRMA TARAFINDAN TALEPLERİNİN SONUÇLANDIRILMASI

     Veri sahiplerinin kişisel verilerine ilişkin taleplerini Firmaya yazılı olarak veya KVK Kurumu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, Firma veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir.

     Firma, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Şirketimiz ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

     Veri sahibinin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda, Firma tarafından gerekçesi açıklanarak talep reddedilebilecektir.

Kişisel Veri Sahiplerinin Hakları KVK Kanunu’nun 11. maddesi uyarınca, Şirketimize başvurarak aşağıda yer alan konularda talepte bulunabilirsiniz:

1. Kişisel verilerinizin işlenip işlenmediğini öğrenmek,
2. Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etmek,
3. Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
4. Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenmek,
5. Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,
6. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,
7. İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etmek,
8. Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etmek.

8. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurum tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Firma tarafından teknik ve idari tedbirler alınmaktadır.

1. Teknik Tedbirler 

• Sızma (Penetrasyon) testleri ile Şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
• Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
• Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kuruma bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı info@balmyhotels.com adresi üzerinden e-posta gönderilmek suretiyle oluşturulmuştur.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• Firma tarafında hiçbir surette flash bellek, USB sürücüsü, Data Bank ve benzeri taşınabilir sistemler içerisinde kişisel veriler saklanmamakta, mevcut kişisel verilerin belirtilen tarz taşınabilir sistemlere aktarılmasına izin verilmemektedir.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

1. 2. İdari Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

• Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
• Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
• Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
• Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
• Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmekte olup bu hususa ilişkin özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmıştır.

9. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

1. 1. Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi kontrolünde imha edilir.

1. 2. Kişisel Verilerin Yok Edilmesi

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler eritilerek, yakılarak, toz haline getirilerek veya benzeri bir yöntem ile fiziksel olarak yok edilmek suretiyle imha edilme işlemi uygulanır.

10. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

• Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
• Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında

 yer alır.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Firma tarafından yerine getirilir.

 

Veri Sahibi	Süreç	Saklama Süresi	İmha Süresi
Çalışan, Stajyer ve Çalışan Yakınları	Çalışan Özlük Dosyası Oluşturma	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan ve Stajyer	İş Sağlığı ve Güvenliği Uygulamaları	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan ve Stajyer	Maaş Ödemeleri	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan ve Stajyer	Eğitim Planlaması	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adayı	İş Başvuru Sürecinin Yürütülmesi	Ziyaretin Tamamlanmasından İtibaren 2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Eğitmen	Eğitim Planlaması	Eğitimin Tamamlanmasından İtibaren 1 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Taşeron	Taşere Edilen Faaliyetlerin Yürütülmesi	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adayı ve Ziyaretçi	Bina Giriş Çıkışlarının Takibi	Ziyaretin Tamamlanmasından İtibaren 2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Günübirlik Otel Misafirleri, Tedarikçi Çalışanı, Tedarikçi Yetkilisi ve Ziyaretçi	Bina/Kurum Giriş Çıkışlarının Takibi	Ziyaretin Tamamlanmasından İtibaren 2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan ve Stajyer	Çalışanların Disipline Yönelik Davranışlarının Tespiti	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ürün veya Hizmet Alan Kişi	Kurum Güvenliğinin Sağlanması	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ürün veya Hizmet Alan Kişi	Kamera Kayıtları	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi, Günübirlik Otel Misafirleri, Çalışan Adayı ve Stajyer	Kamera Kayıtları	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ürün veya Hizmet Alan Kişi	Konaklama Hizmetine İlişkin Süreçlerin Yürütülmesi ve Hizmet Satışı	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ürün veya Hizmet Alan Kişi	Kişisel Sağlık Verileri, Kan Grubu Bilgileri ve Alerjen Bilgisi	Hukuki İlişki + 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ürün veya Hizmet Alan Kişi	Satış ve Pazarlama Faaliyetleri	Hukuki İlişki + 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan, Stajyer ve Ürün veya Hizmet Alan Kişi	İşlem Güvenliği Faaliyetleri	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan, Stajyer ve Ürün veya Hizmet Alan Kişi	Log/Kayıt/Takip Sistemleri	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnternet Sitesi Ziyaretçisi	İnternet Sitesi Ziyaretleri	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ürün veya Hizmet Alan Kişi	Müşteri Kayıt Bilgileri	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Tedarikçi Çalışanı ve Tedarikçi Yetkilisi	Satın Alma Süreçlerinin Yürütülmesi	Hukuki İlişki + 1 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnternet Sitesi Ziyaretçisi	Log Kayıt Takip Sistemleri (5651 sayılı kanuna istinaden)	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

2. PERİYODİK İMHA SÜRESİ

Periyodik imha süreleri 3 ay olarak belirlenmiştir. Firma bünyesinde her yıl Firma tarafından belirlenen tarihte 3 aylık periyotlarla imha işlemi gerçekleştirilir.

3. POLİTİKANIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kağıt nüshası ofis merkezinde saklanır.

4. POLİTİKA’NIN GÜNCELLENME PERİYODU

İşbu veri politikası 21.03.2024 tarihinde güncellenmiş olup gelişmeler doğrultusunda ihtiyaç duyulması halinde gözden geçirilir ve gerekli olan bölümler güncellenir. Güncellemeler web sayfasında yayınlanır.

EK-1 BAŞVURU FORMU

Bu form Kişisel Verilerin Korunması Hakkında Kanun’un 11. maddesi uyarınca ANİA Turizm Yatırımları A.Ş. (ANİA) başvuruda bulunarak bilgi alma hakkınızı kullanımınızda kolaylık sağlamak açısından hazırlanmıştır. Kişisel Verilerinizin işlenme sürecine ve bu formla yapacağınız başvurunuzdan sonraki sürece ilişkin ayrıntılı bilgi için balmyhotels.com web sitesinde yayınlanan “ANİA Turizm Yatırımları A.Ş.”  Kişisel Verilerin Korunması, İşlenmesi, Saklanması ve İmhası Politikası”nı (“Politika”) inceleyiniz.

1. Başvuru Sahibinin İletişim Bilgileri

Bu form ile talep edilen bilgiler, kimliğinizin doğru bir şekilde tespiti, talebiniz ile ilgili detaylı araştırma yapılabilmesi ve başvurunuzun sonucunun tarafınıza iletilmesi için gereklidir ve bu Amaçla işlenebilir. Bu nedenle lütfen bilgilerinizi doğru ve eksiksiz olarak iletiniz. Talep edilen kişisel verileriniz, Amacı gerçekleştirmek dışında herhangi bir şekilde kullanılmayacaktır.

Adınız-Soyadınız:
TC Kimlik Numaranız:
Telefon Numaranız:
E-posta Adresiniz:
Adresiniz:

2. Başvuru Sahibinin ANİA ile İlişkisi
    
3. 1. Lütfen ANİA ile olan ilişkinizi belirtiniz.

Örneğin: Çalışan; Pay Sahibi; Şirket Yetkilisi; Müşteri; Müşteri Yetkilisi/Çalışan; Yeniden Satıcı.

…………...…………………………………………………………………………………………………......

1. 2. ANİA içerisinde hangi birim ile iletişiminiz olmuştur?

…………...…………………………………………………………………………………………………......

3. Başvuru Sahibinin Talebi

Lütfen talebinizi aşağıda detaylı olarak açıklayınız.

…………...…………………………………………...……………………………………………………......

…………...…………………………………………………………………………………………………......

…………...…………………………………………………………………………………………………......

…………...…………………………………………………………………………………………………......

…………...…………………………………………………………………………………………………......