ÇAM LİMANI TURİZM OTEL ve YAT İŞLETMECİLİĞİ A.Ş. KİŞİSEL VERİLERİ SAKLAMA ve İMHA POLİTİKASI

1. GİRİŞ

Kişisel verilerin korunması ÇAM LİMANI TURİZM OTEL ve YAT İŞLETMECİLİĞİ A.Ş. (“ŞİRKET” veya “ÇAM LİMANI” olarak adlandırılacaktır.)için büyük önem arz etmekte olup, bu konuda azami hassasiyet gösterilmektedir. Bu doğrultuda, kişisel verilerin kişilerin beklentileri ile tutarlı bir şekilde ve yasalara uygun olarak işlenmesi, “ÇAM LİMANI”in temel ilkelerinden biridir.

Bu minvalde “ÇAM LİMANI” , faaliyetleri sırasında elde etmiş olduğu kişisel verileri başta Anayasa olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ilgili ulusal ve uluslararası mevzuata uygun şekilde hazırlanan işbu Kişisel Veri Saklama ve İmha Politikası’nda (“Politika”) belirtilen genel prensipler ve düzenlemelere uygun şekilde saklamakta ve imha etmektedir.

2.AMAÇ VE KAPSAM

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek, kişisel verilerin işlenmesi, muhafazası ve imhasına ilişkin ilkeleri yansıtmak amacıyla veri sorumlusu sıfatıyla “ŞİRKET” tarafından hazırlanmıştır.

“ŞİRKET” ; belirlenen amaç, kapsam ve temel ilkeler doğrultusunda; “ŞİRKET” çalışanlarına, müşterilere, potansiyel müşterilere, ziyaretçilere diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, “ŞİRKET” tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

3. TANIMLAR

Aktarım Grubu

Kişisel verinin aktarıldığı gerçek veya tüzel kişi kategorisini ifade etmektedir.

Kanun

24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nu ifade etmektedir.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Hizmet Sağlayıcı

Kişisel Verileri Koruma Kurulu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kişi

“ŞİRKET” tarafından kişisel verisi işlenen gerçek kişiyi ifade etmektedir.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

Son Kullanıcı

İlgili Kullanıcı tarafından işlenmiş kişisel verinin güvenlik kontrollerinin (erişim, depolama, transfer, kopyalama&dağıtma, imha) uygulanmasından, sınıflandırılmış olan kişisel veri için güvenlik kontrollerinin uygulanmasına yardımcı olmakla, kişisel verinin imhası sürecinde teknik işleyişi sağlamakla sorumlu olan kişiler

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kayıt

Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir

Özel Nitelikli Kişisel Veri

Irk/Etnik köken, Dini/Felsefi inançlar, sağlık ve cinsel hayat, ceza geçmişi, biyometrik bilgiler, kılık kıyafet bilgileri

“ŞİRKET”

Veri Envanteri

“ŞİRKET” tarafından iş süreçleri dikkate alınarak, şirketin işleyişi ve ticaretinin yapılması için gerekli olarak işlenen verilerin, kişisel veri işleme faaliyetlerinin amacının, veri kategorilerinin, veri aktarımlarının ve buna ilişkin yerli veya yabancı alıcı grupların bulunduğu ve bu verilerin “ŞİRKET” in işleyişi ile bağlantılı olarak ne kadar süre ile saklandığının ve veri güvenliğine ilişkin alınan tedbirlerin detaylandırıldığı belirlendiği envanterdir.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Periyodik İmha

Hazırlanan “ŞİRKET” Veri Envanteri kapsamında “ŞİRKET” in işleme şartlarının ortadan kalkması halinde tekrar eden aralıklarla yapılan silme işlemlerinin tümüdür.

Yönetmelik

Kişisel Verilerin Korunması Kurumu tarafından çıkarılıp 28.10.2017 tarihinde Resmi Gazete’de yayınlanan Kişisel Verilerin Silinmesi, Korunması ve İmha Edilmesi Hakkında Yönetmelik'i ifade etmektedir.

VERBİS

Veri Sorumluları Sicil Bilgi Sistemi

Veri Sorumlusu

“ŞİRKET” in kişisel veri işleme politikası çerçevesinde İlgili Kullanıcı tarafından işlenen, Son Kullanıcı tarafından teknik yönetimi yapılan kişisel verinin işleme amaçlarını ve vasıtalarını belirleyen veri kayıt sistemlerinin kurulması ve yönetiminden sorumlu olan kişidir.

Kurul

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kurulmuş, beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilerek oluşturulan Kişisel Verileri Koruma Kurulunu.

Kurum

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kurulmuş idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz merkezi Ankara’da bulunan Kişisel Verileri Koruma Kurumunu.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi.

4. İLKELER

“ÇAM LİMANI” Kişisel Verileri KVKK ve ilgili mevzuata uygun olarak işlemektedir. “ÇAM LİMANI” tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

  • 1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
  • 2. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler “ŞİRKET” tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanmaktadır.
  • 3. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
  • 4. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler “ŞİRKET” tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından “ŞİRKET” e başvurulması halinde;
    • a.İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
    • b.Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

5. KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

“ÇAM LİMANI” nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. “ŞİRKET” her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.

  • a) Fiziksel ortamlar : Başta birim dolapları ve arşiv olmak üzere verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlar ile Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) Yazılı, basılı, görsel ortamlar
  • b) Ulusal dijital ortamlar : “ŞİRKET” bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlar, Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.) Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ,Yazıcı, tarayıcı, fotokopi makinesi
  • c) Bulut ortamlar : “ŞİRKET” in kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.

6. ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASINA YÖNELİK TEDBİRLER

“ÇAM LİMANI” kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır. İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

6.1. TEKNİK TEDBİRLER: “ÇAM LİMANI” tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda belirtilmiştir:

  • “ŞİRKET” te harici veri depolama alanı (bir adet) online olarak kullanılmaktadır.
  • “ŞİRKET” tarafından veri içeren sistemlerin yedekleri düzenli olarak alınmakta ve raporlanması yapılmaktadır.
  • “ŞİRKET” tarafından gerçek ve/veya tüzel kişilere kişisel veri içeren dosya paylaşımı korumalı olarak yapılmaktadır.
  • “ŞİRKET” te bir adet fiziksel sunucu bulunmakta ve sanallaştırma yapılmamaktadır.
  • “ŞİRKET” tarafından sunucu sistemi ile ilgili güvenlik önlemleri alınmakta, sunucu dış risklere karşı koruma altında bulundurulmaktadır.
  • “ŞİRKET” çalışanları, şahsi cihazları ile sisteme erişim sağlayamamaktadır.
  • “ŞİRKET” tarafından çalışanlar için yetki matrisi belirlenmiştir. Hangi çalışan, hangi bilgilere ulaşabileceği ve yetki sınırları belirlenmiştir.
  • “ŞİRKET” te kullanılan cihazlarda çalışan yazılımlar güncel ve lisanslıdır.
  • “ŞİRKET” te kullanılan cihazlarda anti virüs yazılımı ve sand box yazılımı / donanımı günceldir.
  • “ŞİRKET” te bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamında departmanı bulunmamakta, ŞİRKET tarafından dışarıdan hizmet alınmaktadır.
  • “ŞİRKET” te kullanılan sistemlere harici kullanıcı / misafir vb. kişiler giriş yaptığı zaman bilgi kaynağına erişim sağlayamamaktadır.
  • “ŞİRKET” tarafından veri kaybı önleme yazılımları kullanılmaktadır.
  • “ŞİRKET” te kullanılan, kişisel verilerin bulunduğu sisteme VPN ile erişim imkânı bulunmamaktadır.
  • “ŞİRKET” in web sitesinde kişisel veri bulunmamaktadır.

6.2. İDARİ TEDBİRLER: “ÇAM LİMANI” tarafından kişisel verilerin hukuka uygun işlenmesi için alınan başlıca idari tedbirler aşağıda belirtilmiştir:

  • ŞİRKETçalışanları, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
  • ŞİRKETin yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
  • ŞİRKETbünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, ŞİRKETtarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir. Ayrıca özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • ŞİRKETbünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve yönetimi, Kişisel Verilerin Korunması Komitesi tarafından organize edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • ŞİRKETile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmıştır. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • ŞİRKETtarafından kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmakta ve kişisel veri güvenliğinin takibi yapılmaktadır.
  • ŞİRKETKişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmakta ve kişisel veri içeren ortamların güvenliği sağlanmakta, kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • ŞİRKETtarafından işlenmekte olan kişisel veriler mümkün olduğunca azaltılmaktadır.
  • ŞİRKETtarafından gizlilik taahhütnameleri yapılmaktadır.
  • ŞİRKETtarafından kişisel veri güvenliğinin takibi yapılmakta, kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • “ŞİRKET” KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Siciline kayıt olmuştur.

6.3. “ŞİRKET” İçi Denetim

“ÇAM LİMANI” , Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir. Denetim sırasında ya da sair bir şekilde “ŞİRKET” sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, “ŞİRKET” bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

7 KİŞİSEL VERİLERİN İMHASI

7.1. Saklama ve İmha Nedenleri

7.1.1. Saklama Nedenleri ve Hukuki Sebepleri

“ÇAM LİMANI” bünyesinde tutulan kişisel veriler Kanun ve Kişisel Veriler Politikamız uyarınca, burada belirtilen amaç ve nedenlerle saklanmaktadır. “ŞİRKET” faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • Arşiv Hizmetleri Hakkında Yönetmelik

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

7.1.2. Saklamayı Gerektiren İşleme Amaçları

“ÇAM LİMANI” faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

“ŞİRKET” içi iletişimi sağlamak, “ŞİRKET” güvenliğini sağlamak, İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek, Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesini sağlamak, “ŞİRKET” ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,Yasal raporlamalar yapmak, İnsan kaynakları süreçlerini yürütmek, İstatistiksel çalışmalar yapabilmek.

7.2. İmha Nedenleri

“ÇAM LİMANI” bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir. Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdaki gibidir:

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

8. İMHA YÖNTEMLERİ

“ÇAM LİMANI”, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

8.1. Silme Yöntemleri

Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri

Karartma

Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.

Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri

Yazılımdan güvenli olarak silme

Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.

8.2. Yok Etme Yöntemleri

Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel yok etme

Matbu ortamda fiziksel olarak tutulan formlar, dosyalar, kâğıtlar kâğıt öğütücü yöntemi/yakılarak tekrar bir araya getirilemeyecek şekilde yok edilmektedir.

Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel yok etme

Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

Üzerine yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Yazılımdan güvenli olarak silme

Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

8.3. Anonimleştirme Yöntemleri

Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Değişkenleri çıkarma

İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.

Bölgesel gizleme

Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.

Genelleştirme

Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.

Mikro birleştirilme

Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.

Veri karma ve bozma

Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

9. SAKLAMA ve PERİYODİK İMHA SÜRELERİ

Kişisel Veri Kaynağı

Süre

Yasal Dayanak

Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar

10 Yıl

6102 Sayılı Kanun, 213 Sayılı Kanun

Müşterilere İlişkin Kişisel Veriler

6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl

6563 Sayılı Kanun, 6102 Sayılı Kanun,

6098 Sayılı Kanun, 213 Sayılı Kanun,

6502 Sayılı Kanun

Tedarikçilere İlişkin Kişisel Veriler

Hukuki ilişki sona erdikten sonra 10 Yıl

6102 Sayılı Kanun, 6098 Sayılı Kanun ve

213 Sayılı Kanun

Kişisel Verileri Koruma Kurulu İşlemleri

10 Yıl

KVKK Tarafından Yayınlanan Kişisel

Verileri Koruma Kurumu Kişisel Veri

Saklama Ve İmha Politikası

Sözleşmeler

Sözleşmenin Sona Ermesinden İtibaren 10 Yıl

KVKK Tarafından Yayınlanan Kişisel

Verileri Koruma Kurumu Kişisel Veri

Saklama Ve İmha Politikası

İnsan Kaynakları Süreçleri

Faaliyetin Sona Ermesinden İtibaren 10 Yıl

KVKK Tarafından Yayınlanan Kişisel

Verileri Koruma Kurumu Kişisel Veri

Saklama Ve İmha Politikası

Ziyaretçi ve Toplantı Kullanıcıların Kaydı

Etkinliğin Sona ermesinden İtibaren 2 Yıl

KVKK Tarafından Yayınlanan Kişisel

Verileri Koruma Kurumu Kişisel Veri

Saklama Ve İmha Politikası

İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.)

İş İlişkisinin sona ermesinden itibaren 5 Yıl

4857 Sayılı İş Kanunu ve İlgili Mevzuat

İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler

İş İlişkisinin sona ermesinden itibaren 10 Yıl

4857 Sayılı İş Kanunu ve İlgili Mevzuat /

6098 Sayılı Türk Borçlar Kanunu

İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.)

İş İlişkisinin sona ermesinden itibaren 15 Yıl

6331 Sayılı İş Sağlığı ve Güvenliği

Kanunu, İş Sağlığı ve Güvenliği

Hizmetleri Yönetmeliği

SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.)

İş İlişkisinin sona ermesinden itibaren 10 Yıl

5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat

İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması

İş İlişkisinin sona ermesinden itibaren 10 Yıl

4857 Sayılı İş Kanunu ve İlgili Mevzuat

Şirket Ortakları veYönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri vb.)

10 Yıl

6102 Sayılı Türk Ticaret Kanunu

Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler)

Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz

6102 Sayılı Türk Ticaret Kanunu

Burs ödemesi / Çalışan Avans Ödemesi

10 Yıl

6102 Sayılı Türk Ticaret Kanunu

İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover

1 Yıl

Sektörel teamüller geçerli.

Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.)

İş İlişkisinin sona ermesinden itibaren 10 Yıl

Sektörel Teamül

Çalışan Memnuniyet Anketlerine İlişkin Veriler

Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl

Sektörel Teamül

Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler

10 Yıl

6102 sayılı Türk Ticaret Kanunu

Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler

10 Yıl

6102 sayılı Türk Ticaret Kanunu

Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.)

Sözleşmenin Sona Ermesine Müteakip 10 Yıl

6098 Sayılı Türk Borçlar Kanunu

Vergisel Kayıtlara İlişkin Kişisel Veriler

5 Yıl

213 Sayılı Vergi Usul Kanunu

Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler

5 Yıl

213 Sayılı Vergi Usul Kanunu

Ziyaretçilerin Kişisel Verileri

2 Yıl

5651 Sayılı Kanun (Şirketin Wi-Fi Ağına

Erişim Sağlayan Ziyaretçiler İçin)

CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları)

22 GÜN

Sektörel Teamül

Görsel ve İşitsel Kayıtlar

….AY

Sektörel Teamül

6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri)

Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.)

Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.)

15 Yıl

10 Yıl

10 Yıl

6502 Sayılı Tüketicinin Korunması

Hakkında Kanun, 13.06.2014 Tarih ve

29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği

6098 Sayılı Türk Borçlar Kanunu

6098 Sayılı Türk Borçlar Kanunu

Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler)

13 Ay

Avrupa Birliği / Sektörel Teamül

Uygulaması

Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

10. İMHA SÜRELERİ

“ÇAM LİMANI”, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden “ŞİRKET” e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; “ŞİRKET” talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. ”“ ŞİRKET” in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. “ŞİRKET”, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep ŞİRKETtarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

11. PERİYODİK İMHA

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; “ÇAM LİMANI” işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Periyodik imha süreçleri ilk kez ………………..tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.

12. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ

“ÇAM LİMANI” , gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar. “ŞİRKET”, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.

12.1.Teknik Tedbirler

  • ŞİRKETişbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
  • ŞİRKETimha işlemlerinin yapıldığı yerin güvenliğini sağlar.
  • ŞİRKETimha işlemini yapan kişilerin erişim kayıtlarını tutar.
  • ŞİRKETimha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.

12.2. İdari Tedbirler

  • ŞİRKET imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
  • ŞİRKETbilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
  • ŞİRKETteknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
  • ŞİRKETimha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli
  • ŞİRKETkişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

13. KİŞİSEL VERİ KORUMA KOMİTESİ

“ÇAM LİMANI” bünyesinde bir Kişisel Veri Koruma Komitesi kurar. Kişisel Veri Koruma Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir. Kişisel Veri Koruma Komitesi bir sorumlu yönetici, bir idari uzman ve bir teknik uzman olmak üzere en az 5 kişiden oluşur. Kişisel Veri Koruma Komitesinde görevli “ŞİRKET” çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

Unvan

Görev Tanımı

Kimlik bilgisi

Kişisel Veri Koruma Komitesi Yöneticisi

Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.

Üye

Üye

KVK Uzmanı (Teknik ve İdari)

İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

Teknik Personel

İdari Personel

14. GÜNCELLEME VE UYUM

“ÇAM LİMANI” Kanunda yapılan değişiklikler nedeniyle, şirket kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar. İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır. …………. tarihinde Kişisel Verileri Saklama ve İmha Politikası yayınlanmıştır.

Veri Sorumlusu : ÇAM LİMANI TURİZM OTEL ve YAT İŞLETMECİLİĞİ A.Ş.

Mersis No : 0330005058600011

Adres : Acıbadem Caddesi Raufpaşa Hanı Sokak No:19/2 Üsküdar/İSTANBUL

Telefon : 444 2 803

Kep Adresi : camlimani@hs01.kep.tr

E-posta Adresi : kvkk@camlicauniverse.com

Web Adresi : www.camlicauniverse.com