Kişisel Verilerin Korunması ve İşlenmesi Politikası
f*Bu Politika metninde yer alan tüm içeriklerin, izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır. Bu yasağa aykırı hareket edenler hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.
TANIMLAR
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anayasa: 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.
Anonim hale getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”.
Çalışan Adayı: Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişiler.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi
Şirket: Ekim Turizm Ticaret ve Sanayi Anonim Şirketi
Intercity Şirket(ler)i: Ekim Turizm Ticaret ve Sanayi Anonim Şirketi hissedarı olan gerçek ve/veya tüzel kişilerin hissedar olduğu diğer şirket(ler)
İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: Şirket’in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
İş Ortağı: Şirket’in ticari faaliyetlerini yürütürken bizzat veya Intercity Şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; çalışan adayları.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.
KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Politika: İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası
Şirket Hissedarı: Şirket’in hissedarı gerçek kişiler
Şirket Yetkilisi: Şirket yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.
Tedarikçi: Şirket’in ticari faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan taraflar.
Türk Ceza Kanunu: 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.
Üçüncü Kişi: Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri Politika kapsamında işlenen gerçek kişiler (Örn. Kefil, refakatçi, aile bireyleri ve yakınlar, eski çalışanlar).
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi.
Veri Sorumluları Sicili (VERBİS): Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık tarafından tutulan veri sorumluları sicili.
Ziyaretçi: Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
İÇİNDEKİLER
BİRİNCİ BÖLÜM
1. GİRİŞ
1.2. AMAÇ
1.3. KAPSAM
1.4. POLİTİKA VE İLGİLİ MEVZUATIN UYGULANMASINDA ÖNCELİK
1.5. YÜRÜRLÜK TARİHİ
İKİNCİ BÖLÜM
2. KİŞİSEL VERİLERİN KORUNMASI
2.1. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ VE VERİ SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRMESİ
2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
2.3. İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
2.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
2.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
2.4.1.1. Teknik Tedbirler
2.4.1.2. İdari Tedbirler
2.4.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
2.4.3. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
ÜÇÜNCÜ BÖLÜM
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
3.2. KİŞİSEL VERİLERİ, KVKK’NİN 5 MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME
3.3. INTERCITY ŞİRKETLERİ TARAFINDAN İŞLENMEKTE OLAN VERİLERİN ŞİRKET TARAFINDAN İŞLENMESİ
3.4. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
3.5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
DÖRDÜNCÜ BÖLÜM
4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
4.1. KİŞİSEL VERİLERİN KATEGORİZASYONU
4.2. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
5. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
ALTINCI BÖLÜM
6. ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
6.1. KİŞİSEL VERİLERİN AKTARILMASI
6.1.1. Kişisel Verilerin Aktarılması
6.1.2. Özel Nitelikli Kişisel Verilerin Aktarılması
6.2. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
6.2.1. Kişisel Verilerin Yurtdışına Aktarılması
6.2.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
6.3.
YEDİNCİ BÖLÜM
7. KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
7.1. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1.1. Kişisel Verilerin İşlenmesi
7.1.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
SEKİZİNCİ BÖLÜM
8. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ
8.1. BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
8.1.1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı
8.1.2. KVKK’ye Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
8.1.3. Kamera ile İzleme Faaliyetinin Duyurulması
8.1.4. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
8.1.5. Elde Edilen Verilerin Güvenliğinin Sağlanması
8.1.6. Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
8.1.7. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
8.2. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
8.3. ŞİRKET BİNA VE TESİSLERİNDE ZİYARETÇİLERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
8.4. İNTERNET SİTESİ ZİYARETÇİLERİ
DOKUZUNCU BÖLÜM
9. ŞİRKET’İN KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ, SİLME, YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ VE SAKLANMA SÜRESİ
9.1. KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ
9.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ
9.2.1. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Şartları
9.2.2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri
9.2.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
9.2.2.2. Kişisel Verileri Anonim Hale Getirme Teknikleri
9.3. Kişisel Verilerin Saklanma Süresi
ONUNCU BÖLÜM
10. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
10.1. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
10.1.1. Kişisel Veri Sahibinin Hakları
10.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
10.1.3. Kişisel Veri Sahibinin Haklarını Kullanması
10.1.4. Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı
10.2. INTERCITY ŞİRKETLERİ’NE AİT BAŞVURULAR
10.3. ŞİRKET’İN BAŞVURULARA CEVAP VERMESİ
10.3.1. Şirket’in Başvurulara Cevap Verme Usulü ve Süresi
10.3.2. Şirket’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
10.3.3. Şirket’in Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
ONBİRİNCİ BÖLÜM
11. ŞİRKET’İN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM YAPISI
ONİKİNCİ BÖLÜM
12. GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER
KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI
BİRİNCİ BÖLÜM
1. GİRİŞ
Türkiye Cumhuriyeti Anayasası’nın 20’nci maddesine göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, Şirket de azami özeni göstermekte; bu kapsamda verisini işlediği gerçek kişilerin kişisel verilerinin korunması için kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korunması ve kişisel verileri işleyenlerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile uyumlu bir şirket politikası belirlemektedir.
Bu Politika’nın kapsamına giren her türlü kişisel veri işleme faaliyeti için veri sorumlusunun kimliğine ilişkin bilgiler aşağıda verilmektedir.
Veri sorumlusu: Ekim Turizm Ticaret ve Sanayi Anonim Şirketi (“Şirket”)
Adres: Cevizli Mah. Tugay Yolu Cad. No:69A İç Kapı No: 171-174 Maltepe / İstanbul
1.2. AMAÇ
Bu Politika’nın temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda aşağıda bahsi geçen Şirket tarafından verisi işlenen tüm ilgili gerçek kişileri bilgilendirerek şeffaflığı sağlamaktır.
1.3. KAPSAM
Bu Politika; aşağıda 5. Bölümde detaylarına yer verilen gerçek kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Şirketimiz bu Politikayı internet sitesinde yayımlamak suretiyle bahse konu Kişisel Veri Sahipleri’ni Kanun hakkında bilgilendirmektedir.
1.4. POLİTİKA VE İLGİLİ MEVZUATIN UYGULANMASINDA ÖNCELİK
Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirket yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
1.5. YÜRÜRLÜK TARİHİ
Şirket tarafından düzenlenerek işbu Politika Aralık 2018'de yürürlüğe girmiştir. İşbu Politika; mevzuatta yapılan değişiklikler, Kurul kararları uyarınca ya da sektördeki ve bilişim alanındaki gelişmeler gibi güncelleme yapılmasını gerekli kılan durumlarda ve/veya ihtiyaç halinde güncellenir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda yer alan Değişiklik Tablosu’na işlenir.
İşbu Politika ve güncelleme kapsamında Politika’da yapılan değişiklikler, Şirket’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
İKİNCİ BÖLÜM
2. KİŞİSEL VERİLERİN KORUNMASI
Şirket , işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
2.1. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ VE VERİ SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRMESİ
Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahiplerinin Şirket’e iletilen talepleri işbu Politika’nın 10’uncu maddesi uyarınca değerlendirilmektedir.
2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilen ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler, özel nitelikte kişisel verilerdir.
Şirket tarafından özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır.
2.3. İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Şirket , kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirket’in iş birimlerinin mevcut çalışanlarının ve iş birimi bünyesine yeni dahil olmuş çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile çalışılmaktadır.
Şirket’in iş birimlerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları Şirket’e raporlanmaktadır. Şirket bu doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır. Şirket, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
2.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirket, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz , Kurul tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
2.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
Şirket , kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
2.4.1.1.Teknik Tedbirler
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik TedbirlerŞirket tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
Şirket tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirket tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
2.4.1.2 İdari Tedbirler
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari TedbirlerŞirket tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
Şirket tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
Şirket tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
2.4.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirket , KVKK’nin 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.2.4.3. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirket, KVKK’nin 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir.Kurul tarafından gerek görülmesi halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
ÜÇÜNCÜ BÖLÜM
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirket , kişisel verilerin işlenmesi konusunda mevzuatta belirtilen hususlara harfiyen uymaktadır.
3.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket ; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır. Örneğin, Şirket tarafından; kişisel veri sahiplerinin kişisel verilerini düzeltme ve doğruluğunu teyit etmelerine yönelik sistem kurulmuştur.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket , meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirket, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır, kişisel verileri belirlenen amaçlarla sınırlı olarak işlemektedir. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile Şirket tarafından kişisel veriler saklanmamaktadır.
3.2. KİŞİSEL VERİLERİ, KVKK’NİN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirket bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak mevzuatta öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.
3.3. INTERCITY ŞİRKETLERİ TARAFINDAN İŞLENMEKTE OLAN VERİLERİN ŞİRKET TARAFINDAN İŞLENMESİ
Intercity Şirketlerinin faaliyetlerinin Şirket ilke, hedef ve stratejilerine uygun olarak yürütülmesi, Şirket hak ve menfaatleri ile itibarının korunması amacıyla Intercity Şirketleri tarafından işlenmekte olan kişisel verileri Şirket de işleyebilmektedir. Intercity Şirketleri ile Şirket arasındaki kişisel veri paylaşımının KVKK kapsamında veri sorumlusundan veri sorumlusuna kişisel veri aktarımı kapsamında gerçekleşmesi durumunda, ilgili Intercity Şirketleri, ilgili kişinin kişisel verisini toplama aşamasında, kişiyi, kişisel verilerinin Şirket’e gönderilebileceği konusunda aydınlatır.
3.4. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirket , KVKK’nin 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
KVKK’nin 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Şirket bu kapsamda, Anayasa’nın 20. ve KVKK’nin 11. maddelerine uygun olarak Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
3.5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Şirket tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’de öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
Şirket tarafından özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:a. Kişisel veri sahibinin açık rızası var ise veya
b. Kişisel veri sahibinin açık rızası yok ise;
DÖRDÜNCÜ BÖLÜM
4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
Şirket, KVKK’nin 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine bildirmektedir.
4.1. KİŞİSEL VERİLERİN KATEGORİZASYONU
Aşağıda belirtilen kategorilerdeki kişisel veriler, KVKK’nin 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
KİŞİSEL VERİ KATEGORİZASYONU
|
AÇIKLAMA
|
Kimlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, yaşı, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler |
İletişim Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, sosyal medya hesapları, faks numarası, IP adresi gibi bilgiler |
Aile Bireyleri ve Yakın Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Şirket iştiraklerinin sunduğu ürün ve hizmetlerle ilgili veya Şirket’in ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler |
Fiziksel Mekân Güvenlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, CCTV kayıtları, ofise giriş ve çıkış kayıtları ve güvenlik noktasında alınan kayıtlar v.b. bilgiler |
Finansal Bilgi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket’in kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası ve bilgisi, IBAN numarası, kredi kartı numarası ve bilgisi, bilanço hesap bilgisi, hesap hareketleri dökümü, finansal yardımlar, çalışana işverence tahsis edilen taşınmaz/taşınır bilgisi, finansal performans, mal varlığına ilişkin bilgiler, kefalet durumu, sigorta bilgileri, kredi derecesi, borç bilgisi(kredi, ipotek bilgileri, icra takipleri vb.) finansal profil, malvarlığı verisi, gelir/maaş bilgisi gibi veriler |
Görsel/İşitsel Bilgi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler v.b. bilgiler |
Özlük Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen bordro bilgileri, disiplin soruşturması, performans değerlendirmesi, işe giriş belge kayıtları, , cv/özgeçmiş, çalışma izni belgesi, oturma izni belgesi, kıyafet ölçüleri vb. her türlü kişisel veri |
Özel Nitelikli Kişisel Veri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVKK’nin 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri) |
Şikâyet ve Öneriler Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
Hukuki İşlem Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; adli makam yazışmaları, dava dosya bilgileri vb. |
Eğitim ve İş Bilgileri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Askerlik Durumu, CV/Özgeçmiş, Öğrenim Durumu, Geçmiş Maaş ve Prim Bilgisi, Önceki İş Sona Erme Nedenleri, Yabancı Dil Bilgisi, Yetenekler, Eğitim Durumu, Sınav ve Eğitim Sonuçları, Çalışma Belgesi (Eski İşyerinden), SGK Hizmet Dökümü, Diploma Örneği, Mesleki Gelişim Sertifikaları, Meslek Bilgileri, İşe Yeterlilik Durumu, Kariyer Geçmişi v.b. bilgiler |
Müşteri İşlem Bilgileri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çağrı merkezi kayıtları, fatura/çek/senet bilgileri, sipariş veya talep bilgisi v.b. bilgiler |
Araç Bilgileri | Araç ruhsatı, araç plakası v.b. bilgiler |
Çalışanın Performans ve Kariyer Gelişim Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; işe alım / istihdam, personel temin süreçlerinin yürütülmesi amacıyla çalışan gerçek kişinin bağlılığı skoru, performans değerlendirme bilgisi, çalışma geçmişi, profesyonel yetkinlikler, ilgi alanları ve hobileri, mülakat ve işe giriş değerlendirmeleri, mülakat, Eğitim Bilgisi v.b. bilgiler |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri ile İlgili Bilgiler | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Adli Sicil Bilgisi |
İşlem Güvenliği Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ip adresi bilgileri, internet sitesi giriş çıkış bilgisi, kullanıcı adı ve parola, Çalışanın Şirket İçinde Kullanım Sağladığı Cihazların Şifre ve Kullanıcı Bilgileri, Şirket İçi Erişim ve Yetkilendirme Bilgisi, E-imza, log kayıtları v.b. bilgiler |
İşlem Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen anket bilgisi, beyan bilgisi, alışveriş bilgisi, çağrı merkezi kayıtları, üyelik bilgisi, cookie kayıtları gibi veriler |
Sağlık Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri v.b. |
4.2. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket , KVKK’nin 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;
İşlenme Şartları |
Kapsamı |
Örnek |
Kanun Hükmü | Vergi Mevzuatı, İş Mevzuatı, Ticaret Mevzuatı vb. | Çalışana ait özlük bilgilerinin mevzuat gereği tutulması gerekir. |
Sözleşmenin İfası | İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser Sözleşmesi vb. | Kişisel verilerinizin Şirket tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması |
Fiili İmkânsızlık | Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi. | Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması |
Veri Sorumlusunun Hukuki Sorumluluğu | Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı Regülâsyonlarla Uyum. | Kişisel verilerinizin işlenmesinin Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması |
Aleniyet Kazandırma | İlgili kişinin kendisine ait bilgileri umumun bilgisine sunması. | Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından işlenmesi |
Hakkın Tesisi, Korunması, Kullanılması | Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler. | İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması. Kişisel verilerinizin Şirket tarafından işlenmesinin Şirket’in veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması |
Meşru Menfaat | Veri ilgilisinin temel haklarına zarar gelmemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenebilir. | Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması |
Bu kapsamda Şirket, kişisel verilerinizi aşağıdaki amaçlarla sınırlı olarak işlemektedir:
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVKK kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rızanız temin edilmektedir.
BEŞİNCİ BÖLÜM
5. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
Kişisel veri sahibi 6698 sayılı Kanun uyarınca kişisel verileri işlenen gerçek kişileri ifade etmekte olup Şirket tarafından, aşağıda sıralanan kişisel veri sahibi kategorilerinin kişisel verileri işlenmekle birlikte, işbu Politika’nın uygulama kapsamı aşağıda açıklamaları yapılan kişisel veri sahibi kategorileri ile sınırlıdır.
KİŞİSEL VERİ SAHİBİ KATEGORİZASYONU |
AÇIKLAMA
|
Çalışan/Çalışan Adayı | Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişiler. |
Eski Çalışan | Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan ancak artık Şirket ile iş sözleşmesi ilişkisi bitmiş olan gerçek kişiler. |
Stajyer/Stajyer Adayı | Şirket’de stajını yapmak üzere iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişiler. |
Gerçek Kişi Müşteri/Müşteri Adayı | Şirket ile iş birimlerinin yürüttüğü operasyonlar kapsamında Şirket iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler |
Gerçek Kişi Tedarikçi/İş Ortağı/Çözüm Ortağı/Paydaşı/Yetkilisi /Çalışanı | Şirket’in ticari faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan gerçek kişiler, her tülü iş ilişkisi içerisinde bulunduğu gerçek kişiler, çalışanı yetkilisi veya hissedarı olan gerçek kişiler . |
Hissedar | Şirket’in hissedarı gerçek kişiler |
Şirket Yetkilisi/ İş Ortağı/Çözüm Ortağı | Şirket’in yönetim kurulu üyesi ve diğer yetkili gerçek kişiler |
Intercity Şirketleri | Ekim Turizm Ticaret ve Sanayi Anonim Şirketi hissedarı olan gerçek ve/veya tüzel kişilerin hissedar olduğu diğer şirketler |
Sözleşme Tarafı | Şirket ile iş birimlerinin yürüttüğü operasyonlar kapsamında Şirket ile aralarında iş sözleşmesi akdedilen gerçek kişilerdir. |
Üçüncü gerçek kişi | Bu Politika ve Şirket Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer gerçek kişiler (Örn. kefil, refakatçi, eski çalışanlar) |
Ziyaretçi | Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan gerçek kişiler |
İnternet Sitesi Ziyaretçisi | Şirket’in sahibi olduğu internet sitesini ziyaret eden gerçek kişiler |
Şirket tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler de KVKK kapsamında Şirket’e taleplerini yöneltebilecek olup; bu kişilerin talepleri de bu Politika kapsamında değerlendirmeye alınacaktır.
Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerin işlendiği detaylandırılmaktadır.
KİŞİSEL VERİ KATEGORİZASYONU
|
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ OLDUĞU VERİ SAHİBİ KATEGORİSİ |
Kimlik Bilgisi | Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi numarası, unvan, biyografi vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı gibi belgeler | Şirket ve/veya Intercity Şirketleri Müşterisi, Müşteri Adayı, Çalışan,Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İntrnet Ziyaretçisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları, ve Yetkilileri, Üçüncü Kişi |
İletişim Bilgisi | Telefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler | Şirket ve/veya Intercity şirketleri Müşterisi, Müşteri Adayı, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Aile Bireyleri ve Yakın Bilgisi | Şirket tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler) | Şirket ve/veya Intercity Şirketleri Müşterisi, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Şirket Hissedarı, Şirket Yetkilisi, |
Fiziksel Mekân Güvenlik Bilgisi | Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, araç bilgisi kayıtları ve güvenlik noktasında alınan kayıtlar v.b. | Şirket ve/veya Intercity şirketleri Müşteri, Müşteri Adayları, Ziyaretçi, Eski Çalışan, Çalışan, Çalışan Adayı, Stajyer, Stajyer Adayı, Şirket Hissedarları, Şirket Yetkilileri, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Finansal Bilgi | Şirket’in ve/veya Intercity Şirketlerinin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, gelir bilgisi, borç/alacak bilgisi gibi veriler | Şirket ve/veya Intercity şirketleri Müşterisi, Eski Çalışan, Çalışan, Çalışan Adayı, Stajyer, Stajyer Adayı, Müşteri Adayı, Şirket Hissedarı, Şirket Yetkilisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Görsel/İşitsel Bilgi | Fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları | Şirket ve/veya Intercity şirketleri Müşterisi, Müşteri Adayı, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları, ve Yetkilileri, Üçüncü Kişi |
Özlük Bilgisi | Bordro bilgileri, performans değerlendirmesi, işe giriş belge kayıtları, cv/özgeçmiş, çalışma izni belgesi gibi veriler | Şirket ve/veya Intercity şirketleri Çalışan Adayı, Çalışan, Eski Çalışan, Stajyer, Stajyer Adayı |
Özel Nitelikli Kişisel Veri | KVKK’nin 6. maddesinde belirtilen veriler | Şirket ve/veya Intercity şirketleri Müşterisi, Çalışan Adayı, Çalışan, Eski Çalışan, Stajyer, Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları, ve Yetkilileri, Üçüncü Kişi |
Şikâyet ve Öneriler Bilgisi | Şirket’e yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler | Şirket ve/veya Intercity şirketleri Müşterisi, Müşteri Adayı, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İnternet Ziyaretçisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları ve Yetkilileri, Üçüncü Kişi |
Hukuki İşlem ve Uyum Bilgisi | Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirket’in politikalarına uyum kapsamında işlenen kişisel veriler | Şirket ve/veya Intercity şirketleri Müşterisi, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları, ve Yetkilileri, Üçüncü Kişi |
Eğitim ve İş Bilgileri | Öğrenim Durumu, Geçmiş Maaş ve Prim Bilgisi, Önceki İş Sona Erme Nedenleri, Yabancı Dil Bilgisi, Yetenekler, Eğitim Durumu, Çalışma Belgesi (Eski İşyerinden), Diploma Örneği, Mesleki Gelişim Sertifikaları, Meslek Bilgileri, İşe Yeterlilik Durumu, Kariyer Geçmişi v.b. bilgiler | Şirket ve/veya Intercity şirketleri Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer Adayı |
Müşteri İşlem Bilgileri | Çağrı merkezi kayıtları, fatura/çek/senet bilgileri, sipariş veya talep bilgisi v.b. bilgiler | Şirket ve/veya Intercity şirketleri Müşterisi, Müşteri Adayı, Çalışan, Eski Çalışan, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları ve Yetkilileri |
Araç Bilgisi | Aracın plaka, ruhsat bilgisi | Şirket ve/veya Intercity şirketleri Müşterisi, Müşteri Adayı, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer Adayı, Ziyaretçisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları ve Yetkilileri, Üçüncü Kişi |
Çalışanın Performans ve Kariyer Gelişim Bilgisi | İşe alım / istihdam, performans değerlendirme bilgisi, çalışma geçmişi, profesyonel yetkinlikler, mülakat ve işe giriş değerlendirmeleri v.b. bilgiler | Şirket ve/veya Intercity şirketleri Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri ile İlgili Bilgiler | Adli Sicil Bilgisi, | Şirket ve/veya Intercity şirketleri Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer adayı |
İşlem Güvenliği Bilgisi | Faaliyetlerimizin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin log kayıtları, IP bilgisi, kimlik doğrulama bilgileri) | Şirket ve/veya Intercity şirketleri Müşterisi, Müşteri Adayı, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İnternet Ziyaretçisi, Tedarikçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları ve Yetkilileri, Üçüncü Kişi |
İşlem Bilgisi | Şirket tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen anket bilgisi, beyan bilgisi, alışveriş bilgisi, çağrı merkezi kayıtları, üyelik bilgisi, cookie kayıtları gibi veriler | Şirket ve/veya Intercity şirketleri Müşterisi, Çalışan, Çalışan Adayı, Eski Çalışan, Stajyer, Stajyer Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların (İş Ortağı) Çalışanları ve Yetkilileri, Üçüncü Kişi |
Sağlık Bilgisi | Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri v.b. bilgiler | Şirket ve/veya Intercity şirketleri Çalışan, Eski Çalışan, Çalışan adayı, Stajyer, Stajyer adayı, Şirket Hissedarı, Şirket Yetkilisi |
ALTINCI BÖLÜM
6. ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
6.1 KİŞİSEL VERİLERİN AKTARILMASI
Şirket hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket bu doğrultuda KVKK’nin 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
6.1.1 Kişisel Verilerin Aktarılması
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
6.1.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
a. Kişisel veri sahibinin açık rızası var ise veya,
b. Kişisel veri sahibinin açık rızası yok ise;
6.2. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Şirket hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir.
Şirket tarafından; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir.
6.2.1. Kişisel Verilerin Yurtdışına Aktarılması
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
6.2.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.
a. Kişisel veri sahibinin açık rızası var ise veya
b. Kişisel veri sahibinin açık rızası yok ise;
6.3 Aktarılan Kişiler ve Veri Aktarım Amacı
Şirket, KVKK’nin 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.
Şirket, Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler |
Tanımı |
Veri Aktarım Amacı |
İş Ortağı | Şirket’in ticari faaliyetlerini yürütürken bizzat veya Intercity şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi | Şirket’in ticari faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan tarafları tanımlamaktadır. | Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket‘e sunulmasını sağlamak amacıyla sınırlı olarak. |
Hissedarlar | Şirket’in hissedarı gerçek kişiler | İlgili mevzuat hükümlerine göre Şirket’in şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak Şirket Yetkilileri/Şirket İş ve Çözüm Ortakları Şirket yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler İlgili mevzuat hükümlerine göre Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirket’den bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri | İlgili mevzuat hükümlerine göre Şirket’den bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Intercity Şirketleri | Ekim Turizm Ticaret ve Sanayi Anonim Şirketi hissedarı olan gerçek ve/veya tüzel kişilerin hissedar olduğu diğer şirketler | Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket‘e sunulmasını sağlamak amacıyla sınırlı olarak. |
YEDİNCİ BÖLÜM
7. KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
Şirket, KVKK’nin 10. maddesine uygun olarak işlediği kişisel veriler hakkında kişisel veri sahibini aydınlatmaktadır.7.1. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1.1. Kişisel Verilerin İşlenmesi
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. Şirket tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde KVKK’nin 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.Kişisel verilerin elde edilme sebeplerine yönelik işleme amacının dışındaki kişisel veri işleme faaliyetleri için bu başlıkta yer alan şartlardan en az biri aranmakta; bu şartlardan biri yok ise, Şirket tarafından bu kişisel veri işleme faaliyetleri kişisel veri sahibinin bu işleme faaliyetlerine yönelik açık rızasına dayalı olarak gerçekleştirilmektedir.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, kişisel veri sahiplerinin ilgili yöntemler ile açık rızaları alınmaktadır.
7.1.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirket tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
SEKİZİNCİ BÖLÜM
8. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ
Şirket tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVKK’ye ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirket tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
8.1. BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Bu bölümde Şirket’in kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin bilgilendirme yapılacaktır. Şirket, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
8.1.1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı
Şirket tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
8.1.2. KVKK’ye Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVKK’de yer alan düzenlemelere uygun hareket edilmektedir. Şirket, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVKK’de sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
8.1.3. Kamera ile İzleme Faaliyetinin Duyurulması
Şirket tarafından KVKK’nin 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Şirket, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Şirket tarafından kamera ile izleme faaliyetine yönelik olarak; Şirket internet sitesinde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır.
8.1.4. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
Şirket, KVKK’nin 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
8.1.5. Elde Edilen Verilerin Güvenliğinin Sağlanması
Şirket tarafından KVKK’nin 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
8.1.6. Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
Şirket’in, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politika’nın Kişisel Verilerin Saklanma Süreleri isimli 9. maddesinde yer verilmiştir.
8.1.7. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
8.2. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
8.3. ŞİRKET BİNA VE TESİSLERİNDE ZİYARETÇİLERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
Şirket tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; Şirket tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
8.4. İNTERNET SİTESİ ZİYARETÇİLERİ
Şirket sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Kurabiyeler-cookie gibi) site içerisindeki internet hareketlerini kullanıcılara tarayıcılardan bu ayarı değiştirebilme seçimi sunmak kaydıyla kaydetmektedir.
Şirket yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinde yer almaktadır.
DOKUZUNCU BÖLÜM
9. ŞİRKET’İN KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ, SİLME, YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ VE SAKLANMA SÜRESİ
9.1. KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ
Kanun’un amacını düzenleyen 1. Madde ile Kanun’un kapsamını düzenleyen 2. Madde’ye uygunluğunun denetimi amacıyla, Kişisel Veriler; her türlü sözlü, yazılı, elektronik ortamda; teknik ve sair yöntemlerle, çağrı merkezi, Şirket internet sitesi, mobil uygulama gibi muhtelif yollardan, Politika’da yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirket veya Şirket tarafından görevlendirilen veri işleyenler tarafından işlenir.
9.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ
Kişisel Veriler’in silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirket, bu Kanun ve diğer kanun hükümlerine uygun olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Veriler’i resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel Veriler’in silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre Kişisel Veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel Veriler’in yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, Kişisel Veriler’in başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.
9.2.1. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Şartları
Şirket, Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’nin 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Kişisel Veriler’in saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili Şirket tekniklerine dair detaylı düzenlemeler Şirket’in internet sitesinde yayımlanan Kişisel Veri Saklama Ve İmha Politikası’nda yer almaktadır.
İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Şirket ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
9.2.2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri
9.2.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Şirket ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirket tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
9.2.2.2. Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirket , hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVKK’nin 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVKK kapsamı dışında olacağından Politika’nın 10. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır. Şirket tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
9.3. Kişisel Verilerin Saklanma Süresi
Şirket, Kişisel Veriler’i mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
ONUNCU BÖLÜM
10. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
Şirket, KVKK’nin 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nin 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
10.1 VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
10.1.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:10.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, KVKK’nin 28. maddesi gereğince aşağıdaki haller KVKK kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 10.1.1.’de sayılan haklarını ileri süremezler:
KVKK’nin 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 10.1.1.’de sayılan diğer haklarını ileri süremezler:
10.1.3. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri Sahipleri bu bölümde sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Şirket’e ücretsiz olarak iletebileceklerdir:
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
10.1.4. Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı
Kişisel veri sahibi, KVKK’nin 14. maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirket’in cevabını öğrendiği tarihten itibaren otuz ve her hâlükârda başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.
10.2. INTERCITY ŞİRKETLERİ’NE AİT BAŞVURULAR
Intercity Şirketleri’ne ait kişisel veri işleme faaliyetleri ile ilgili başvuruların Şirket’e yapılması halinde bu başvurular da Şirket tarafından işleme alınarak sonuçlandırılır.
10.3. ŞİRKET’İN BAŞVURULARA CEVAP VERMESİ
10.3.1. Şirket’in Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 10.1.3. başlıklı kısmında yer alan usule uygun olarak talebini Şirket’e iletmesi durumunda Şirket talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Kurulca bir ücret öngörülmesi hâlinde, Şirket tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır.
10.3.2. Şirket’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirket, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
10.3.3. Şirket’in Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Şirket aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:ONBİRİNCİ BÖLÜM
11. ŞİRKET’İN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM YAPISI
Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi oluşturulmuştur. Kişisel Veri Komitesi, Kişisel Veri Sahipleri’nin verilerinin hukuka, işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir. Kişisel Veri Komitesi’nde görevlendirilenler ve görevlerine dair Şirket’in internet sitesinde yayımlanan Kişisel Veri Saklama Ve İmha Politikası’nda detaylı düzenlemeler yer almaktadır.
ONİKİNCİ BÖLÜM
12. GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER
TADİL TABLOSU |
||
Tadil Edilen Madde |
Değişiklik Tarihi |
Tadil Sebebi |