Your shopping cart is empty!
ÇAM GRUP TURİZM OTELCİLİK SAĞLIK A.Ş
“Camellia Thermal”
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
1.
GİRİŞ
1.1
Amaç
Bu politikanın amacı; 6698 sayılı Kişisel Verilerin
Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış olan ve 30224
sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in
(Yönetmelik) 5’inci ve 6’ıncı maddeleri gereği kişisel verilerin saklanmasına
ilişkin Yönetmelik’te belirtilen yükümlülüklerin yerine getirilmesi için veri
sorumlusu “Çam Grup Turizm A.Ş.” tarafından uygulanacak kurallar ile rol ve
sorumlulukları belirlemektir.
1.2 Kapsam
İşbu Politika, Kanun’da belirtildiği şekilde tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan
kişisel verileri kapsamaktadır. Politikada aksi belirtilmedikçe kişisel veriler
ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak
adlandırılacaktır.
1.3 Kısaltmalar ve Tanımlar
Açık
Rıza: Belirli
bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim
Hale Getirme:
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi.
EBYS: Elektronik Belge Yönetim Sistemi
Elektronik
Ortam: Kişisel verilerin elektronik
aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve
yazılabildiği ortamlar.
Elektronik
Olmayan Ortam:
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer
ortamlar.
İlgili
Kişi: Kişisel
verisi işlenen İmaj Dizayn A.Ş çalışanlarını, iş ortaklarını, müşterilerini ve
üçüncü kişileri ifade eder.
İlgili
Kullanıcı:
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan
kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya
veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri
işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin
Korunması Kanunu.
Kayıt
Ortamı:
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
bulunduğu her türlü ortam.
Kişisel
Veri: Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel
Veri İşleme Envanteri:
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları
kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri
kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek
oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan
azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri
güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel
Verilerin İşlenmesi:
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
Özel
Nitelikli Kişisel Veri:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi
veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri.
Periyodik
İmha: Kanunda
yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar
eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha
Politikası
Veri
İşleyen: Kişisel
verileri işleyen İmaj Dizayn’ı ifade eder.
Veri
Kayıt Sistemi:
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemi.
Veri
Sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. (İmaj
Dizayn)
Veri
Sorumluları Sicil Bilgi Sistemi:
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde
kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından
oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi
Sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmî
Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik.
2.
TAAHHÜT VE BEYANLAR
İstisna
ile muaf tutulmadıkça yönetmelik uyarınca İmaj Dizayn, sicile kayıt yükümlülüğü
olan bir veri sorumlusudur. Bünyesinde tutmakta olduğu kişisel verileri, Kanun’a
ve Yönetmelik’e uygun bir şekilde saklamak ve gerektiğinde silmek, yok etmek ya
da anonim hale getirmek için bir Politika hazırlamak ve bu Politikaya uygun
hareket etmek ile yükümlü olduğunu kabul, beyan ve taahhüt eder.
Kişisel verilerin saklanması ve
imhasında aşağıdaki ilkeler geçerli olacaktır:
a) İmaj Dizayn, Kanun’un 4’üncü maddesinde yer
alan: “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel
olma, belirli, açık ve meşru amaçlar için kişisel veri işleme, kişisel verileri
sınırlı ve ölçülü bir şekilde işleme ve gerektiği süre kadar muhafaza etme”
ilkelere uyacağını kabul, beyan ve taahhüt eder.
b) İmaj Dizayn, işbu Politika’yı
hazırlamış olmanın tek başına kişisel verilerin mevzuata uygun olarak
silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmeyeceğini
kabul etmektedir.
c) İmaj Dizayn, kişisel verileri
saklarken, silerken, yok ederken veya anonim hale getirirken, Kanun’un 12’inci
maddesinde yer alan güvenlik tedbirlerine, Yönetmelik başta olmak üzere ilgili
mevzuatta yer alan hükümlere, Kişisel Verileri Koruma Kurulu’nun alacağı
kararlara ve Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
d) İmaj Dizayn, tamamen
veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok
edilmesi veya anonimleştirilmesi sırasında işbu Politika’ya ve Politika’ya
bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını
taahhüt eder.
3.
KAYIT ORTAMLARI
İmaj Dizayn, işbu Politika ile kişisel veri içeren ve
aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer
ortamlardaki kişisel verileri Politika’nın kapsamına dâhil etmeyi kabul eder.
a) İmaj Dizayn adına kayıtlı
bilgisayarlar ve sunucular
b) Ağ cihazları
c) Ağ üzerinde veri saklanması için
kullanılan paylaşımlı/paylaşımsız disk sürücüleri
d) Bulut sistemleri
e) Mobil telefonlar ve içerisindeki
tüm saklama alanları
f) Kâğıt
g) Mikrofiş
h) Yazıcı, parmak izi okuyucu gibi
çevre birimler
i) Manyetik bantlar
j) Optik diskler
k) Flash hafızalar
4. KİŞİSEL VERİLERİN SAKLANMASINI
VE İMHASINI GEREKTİREN DURUMLAR
İmaj Dizayn, kişisel verileri,
ilgilinin açık rızası ile veya Kanun’da yazılı durumlarda ilgilinin açık rızası
bulunmaksızın, mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla,
verilerin işleme amacının gerektirdiği süre boyunca, Kanun’da belirtilen ilkelere
uygun olarak saklar.
Özel
nitelikli kişisel verilerin ise kural olarak ilgilinin açık rızası
bulunmaksızın saklanması veya diğer herhangi bir şekilde işlenmesi mümkün
olmamakla beraber Kanun’da sayılan haller ve süreçlerde işlenmesi söz
konusudur.
Kişisel verileri birden fazla amaç ile işlediğimiz
hallerde, verinin işleme amaçlarının ortadan kalkması veya ilgili kişinin
talebi üzerine (mevzuatta bir engel olmaması halinde) veriler silinir, yok
edilir veya anonimleştirilerek saklanır. Yok etme, silme veya anonimleştirme
hususlarında mevzuat hükümleri ve Kişisel Verileri Koruma Kurulu kararlarına
uyulur.
5. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN
DURUMLAR
Aşağıda belirtilen şekilde bir ihlal olması halinde İmaj
Dizayn gerekli işlemleri başlatacaktır. İmaj Dizayn, kişisel verilerin güvenli
bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin
önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır. Kişisel
verilerin imhasını gerektiren sebepler aşağıda belirtilmiştir:
5.1. Kanuna Aykırılık
İmaj Dizayn , kişisel
verileri Kanun’da belirtildiği şekle aykırı olarak saklamayacağını ve/veya
diğer herhangi bir şekilde işlemeyeceğini, değişen mevzuat doğrultusunda
saklanması hukuka aykırı hale gelen verileri Kanun, Yönetmelik, KVKK kararları
ve işbu Politika hükümlerine uygun şekilde imha edeceğini taahhüt eder.
5.2. Veri İşleme Şartlarının
Ortadan Kalkması
İmaj Dizayn, veri işleme
şartlarının güncelliğinden sorumludur ve bu sorumluluğunu çalışanları ile
paylaşır. Çalışanlar, veri işleme şartlarının ortadan kalkması halinde veri
işlemeye devam edemez. İmaj Dizayn, Yönetmelik’te de belirtildiği üzere aşağıda
listelenen durumlarda veri işleme şartlarının ortadan kalktığını kabul eder:
a) Kişisel verileri işlemeye esas
teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten
kaldırılması,
b) Taraflar arasındaki sözleşmenin
hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden
sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini
gerektiren amacın ortadan kalkması,
d) Kişisel verileri işlemenin
hukuka veya dürüstlük kuralına aykırı olması,
e) Kişisel verileri işlemenin
sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin
rızasını geri alması,
f) İlgili kişinin, veri işleme
faaliyetini gerektiren hallerin ortadan kalkmasının akabinde kişisel verilerin
silinmesi veya yok edilmesi talebiyle veri sorumlusuna yapmış olduğu başvurunun
veri sorumlusu tarafından kabulü,
g) Veri sorumlusunun, ilgili kişi
tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine
yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda
öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması
ve bu talebin Kurul tarafından uygun bulunması,
h) Kişisel verilerin
saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri
daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
6. KİŞİSEL VERİLERİN İMHASI
Kişisel verilerin imhası, üç farklı şekilde sağlanabilir.
Bunlar verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
6.1 Kişisel Verilerin Silinmesi
Kişisel verilerin
silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez
ve tekrar kullanılamaz hale getirilmesi işlemidir. İmaj Dizayn, ilgili kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması ve Yönetmelik’te düzenlenmiş hallerin ortaya
çıkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi
üzerine kişisel verileri siler veya yok eder.
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç
kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar
kullanılamaz hale getirilmesi işlemidir.
Yok etme işlemi, İmaj Dizayn ‘ın verileri fiziksel kayıt
ortamlarında işlediği durumlarda yapılacaktır. Yok etme işlemi ile bu veriler,
tekrar geri getirilmesi mümkün olmayacak hale getirilmektedir. Bu işlemler
sırasında İmaj Dizayn çalışanları ve ilgili departmanlar KVKK Çalışma Grubu’na
yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise İmaj Dizayn
gerekli her türlü teknik ve idari tedbiri alacaktır.
6.3 Kişisel Verilerin
Anonimleştirilmesi
Anonim hale getirme işlemi, İmaj Dizayn ‘ın kişisel
verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka
verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir.
7. KİŞİSEL VERİLERİN SAKLANMASINA
VE İMHASINA İLİŞKİN ALINAN TEDBİRLER
7.1 Kişisel Verilerin Saklanmasına
İlişkin Alınan Teknik Tedbirler
Kişisel verilerin saklama alanlarına ilişkin teknolojik
gelişmeler uyarınca güvenlik sistemleri kurulur. Kişisel verilere yalnızca
yetkili çalışanlar erişebilmektedir. Yetkili çalışanların dahi erişemeyeceği
kişisel veriler, anahtar ve şifre yöntemleri ile korunmaktadır. İmaj Dizayn,
çalıştığı üçüncü kişilerden de verilerin saklanmasında belirli standartların
yerine getirilmesine ilişkin taahhütler talep eder. Bununla birlikte İmaj
Dizayn, kişisel verilerin kaybolmaması ve hukuk dışı kullanılmaması için gerekli
önlemleri alır.
7.2 Kişisel Verilerin Saklanmasına
İlişkin Alınan İdari Tedbirler
Kişisel verilerin saklanması ile ilgili teknik ve idari
riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmakla
birlikte, kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin
korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerini
almaktayız.
8. KİŞİSEL VERİLERİN İMHASINA
İLİŞKİN ALINAN TEDBİRLER
8.1 Kişisel Verilerin İmhasına
İlişkin Alınan Teknik Tedbirler
Veri
işlenmesi ve imhasından sorumlu ünite, silme işlemine konu teşkil edecek
kişisel verileri belirler, her bir kişisel veri için ilgili kullanıcıları
tespit eder. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri
getirme, tekrar kullanma yetki ve yöntemleri kapatılır ve ortadan kaldırılır.
Bulut sistemler ve merkezi sunucuda yer alan veriler
silme komutu verilerek silinir. Veri tabanlarında bulunan verilerin ilgili
satırları veri tabanı komutları (Delete) ile silinir. Bütün bu işlemlerde
ilgili kullanıcının silinmiş verileri geri getirme yetkisi varsa kaldırılır.
Diğer kayıt ortamlarında bulunan veriler için silme (karartma. vs), yok etme
(fiziksel yok etme, de-manyetize etme, üzerine yazma) ya da anonimleştirme
yöntemlerinden biri tercih edilir. Seçilecek imha yöntemi için ilgili tüm
ortamlar tespit edilir ve verinin bulunduğu sistemin türü göz önüne alınır.
8.2 Kişisel Verilerin İmhasına
İlişkin Alınan İdari Tedbirler
Kişisel verilerin korunması ve imhası ile ilgili mevzuat dâhilinde
çalışanlara bilgi verilir. İş yeri dâhilinde özellikle fiziksel imhaya ilişkin
gerekli donanım bulundurulur.
9. KİŞİSEL VERİLERİN İMHA
YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası aşağıdaki şekillerde
gerçekleştirilir:
9.1 Silme Komutu
Bulut sisteminde ve veri tabanlarında bulunan veriler
silme komutu verilerek silinir. Anılan işlem gerçekleştirilirken ilgili
kullanıcının bulut sistemi veya veri tabanı üzerinde silinmiş verileri geri
getirme yetkisinin olmadığına dikkat edilir. Kişisel verilerin şifreleme
anahtarlarının tüm kopyaları da imha edilir. Gerekli durumlarda bulut sistemi
yöneticisinden imha konusunda yardım alınır.
9.2 Anonimleştirme Yöntemleri
Anonimleştirme söz konusu olduğunda verinin niteliği,
büyüklüğü, çeşitliliği, fiziki ortamlarda bulunma yapısı, işleme sıklığı,
aktarılacak tarafın güvenirliği, verinin anonim hale getirilmesi için
harcanacak çabanın anlamlı olması vb. özellikler dikkate alınarak uygun yöntem
seçilip anonimleştirme uygulanır.
9.3 Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine
yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski
verinin okunamaz hale getirilmesi işlemidir.
9.4
Manyetize Etme
Manyetik medyanın yüksek değerde manyetik alanda fiziksel
değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
9.5 Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline
getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir.
Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda
uygulanabilir. Kâğıt ortamında bulunan kişisel veriler de gerekli durumlarda kâğıt
imha veya kırpma makineleri ile yok edilir.
Yazıcı, kapı giriş turnikesi, ağ cihazları, mobil
telefonlar vb. ortamlarda bulunan kişisel verilerin imhası için yukarıdaki
yöntemlerden uygun olan seçilir. Bu tip imhaların, cihazların yedekleme, bakım
ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.
10. SAKLAMA VE İMHA SÜRELERİ
10.1 Periyodik İmha ve Yasal
Saklama Süreleri
Yasal saklama sürelerini dolduran fiziksel ve dijital
veriler, periyodik olarak mevzuatın öngördüğü aralıklar dâhilinde imha edilir.
Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında
gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin
bu işlemlerin kayıtları, diğer hukuki yükümlülüklerden ari en az 3 yıl süre ile
saklanır.
10.2 Veri Sahiplerinin Talep Etmesi
Durumunda Silme ve Yok Etme Süreci
Veri sahiplerinin İmaj Dizayn ‘a başvuru yaparak
kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği
durumlarda İmaj Dizayn, kişisel verileri işleme şartlarının mevcut durumunu
kontrol eder ve buna bağlı ilgili aksiyonları alır. Kişisel verileri işleme
şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok
eder veya anonim hale getirir. İmaj Dizayn, ilgili kişinin talebini en geç otuz
gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme
şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü
kişilere aktarılmışsa İmaj Dizayn bu durumu üçüncü kişiye bildirir; üçüncü kişi
nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, İmaj Dizayn ilgili
veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını
ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda
bildirir.
11. POLİTİKA’NIN YÜRÜRLÜK TARİHİ VE
POLİTİKA’DA YAPILACAK GÜNCELLEMELER
1. İlgili mevzuatta
yapılacak değişikliğin ardından Politika’ da güncelleme yapılabilir.
2. İmaj Dizayn, Politika üzerinde
yaptığı değişiklikleri incelenebilecek şekilde e-posta yolu ile çalışanlarıyla/müşterileriyle
paylaşacak ve kurumsal internet üzerinden müşterilerinin/çalışanlarının
erişimine sunacaktır.
