Kişisel Verilerin Korunması ve İşlenmesi Politikası

1-Giriş

Politikanın Amacı

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup “kimliği belirli veya belirlenebilir” gerçek kişilere (“ilgili kişi”) ilişkin her türlü bilginin işlenmesine ilişkin düzenlemeleri içermektedir. San-Tur Turizm A.Ş. (“Şirket”) olarak Kanun gereği kişisel verilerin hukuka uygun olarak saklanması ve imha edilmesine azami önem vermekteyiz.


İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“Politika”), “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı (“Kurul Kararı”) uyarınca, veri sorumlusu olarak özel nitelikli kişisel verilerin işlenmesine yönelik aldığımız önlemlerin belirlenmesi amacıyla hazırlanmıştır.


İşbu Politika ile Şirketimizin “San-Tur Turizm A.Ş. Kişisel verileri Saklama ve İmha Politikası” (“Saklama ve İmha Politikası”) birbirlerini tamamlayıcı nitelikte olup, bu Politika’da bahsedilmeyen hususlar için Saklama ve İmha Politikasının incelenmesi gerekmektedir. Şirketimiz, veri sorumlusu olarak özel nitelikli kişisel veri işlerken, üçüncü kişiler ile paylaşırken ve veri kayıt ortamlarında saklarken işbu Politika’ya uygun olarak hareket edecektir.

Politikanın Kapsamı

Şirketimiz tarafından yürütülen tüm süreçler göz önünde bulundurulduğunda Şirket İmza Yetkilisi, Hukuki Süreç Muhatabı, İlgili Kişi, Çalışan, Çalışan Adayı, Stajyer, Meslek Lisesi Stajyeri, Taşeron/Taşeron Çalışanı, Potansiyel Ürün veya Hizmet Alıcısı ve Ürün veya Hizmet Alan Kişi gruplarının özel nitelikli kişisel verileri işlenmekte olup işbu Politika işbu sayılan kişi gruplarının işlenen özel nitelikli kişisel verilerine ilişkindir. San-Tur Turizm A.Ş. (Megasaray Hotels),

Tanımlar ve Kısaltmalar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. 

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Elektronik Ortam:Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. 

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. 

Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. 

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Veri İşlenme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. 

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. 

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. 

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. 

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Çalışan Adayı: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişilerdir.

Şirket Çalışanı: Şirketimiz bünyesinde çalışan gerçek kişilerdir.

Ürün veya Hizmet Alıcısı/Müşteri: Şirketimizin mal ve hizmet sunduğu kişilerdir.

Potansiyel Ürün veya Hizmet Alıcısı/Müşteri: Şirketimizin mal ve hizmet sunma ihtimali bulunan potansiyel kişilerdir.

Hukuki Uyuşmazlık İlişkisi Bulunan Kişi: Şirketimizin hukuki uyuşmazlık ilişkisi içerisinde olduğu kişidir.

Şirket İmza Yetkilisi: Şirketin resmi olarak yetkilendirmiş olduğu imza yetkilisidir.

Stajyer: Şirketimizde staj yapan kişilerdir.

Taşeron: Şirketimizin mal ve hizmetlerin sunumu gibi işlerin bir bölümünü uzmanlıkları gereği devrettiği gerçek kişilerdir.

Taşeron Çalışanı: Şirketimizin mal ve hizmetlerin sunumu gibi işlerin bir bölümünü uzmanlıkları gereği devrettiği gerçek veya tüzel kişi çalışanıdır.

Meslek Lisesi Stajyeri: Meslek liselerinde eğitim görmekte olan ve Şirketimizde zorunlu stajını yapan kişilerdir.

Üçüncü Kişi: İşbu Politika’da herhangi bir ilgili kişi kategorisine girmeyen diğer kişilerdir.

2-Politika Esasları

Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler

İşbu Politika, yürürlükte bulunan mevzuat ile ortaya konulan kural ve düzenlemelerin Şirketimiz tarafından yapılan uygulamalar kapsamında somutlaştırılması ile oluşturulmuştur. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.


Şirket, gerek kişisel verilerin gerekse özel nitelikli kişisel verilerin işlenmesi süreçlerinde Kanun’un 4. maddesinin 2. fırkasında belirtilen ve aşağıda sayılan ilkeleri göz önünde bulundurarak hareket edecektir:

Hukuka ve Dürüstlük Kurallarına Uygun Olma

Kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca Şirketimiz, kişisel veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır.


İşbu ilke uyarınca ayrıca Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri son derece şeffaftır. Nitekim özellikle ürün veya hizmet alan kişiler ile çalışan, stajyer ve meslek lisesi stajyerlerine yönelik olarak Şirket tarafından yapılan ilgili kişi aydınlatmalarında sadece işlenen kişisel veriler ve işleme amaçları ile yetinilmeyerek kişisel verilerin her bir süreç bazında hangi amaçlarla işlendiği de ayrı ayrı gösterilmiştir.

Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin doğru ve güncel bir şekilde tutulması, ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gerekli olduğu kadar Şirketimizin kurumsal kimliği için de son derece önemlidir.


Bu kapsamda Şirket tarafından ilgili kişiye ilişkin tutulan kişisel veriler, her bir işlem aşamasında teyit ve güncellenerek karşılıklı sağlıklı bilgi akışı sağlanmaktadır.

Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi; kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.


Bu itibarla, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, Veri Sorumluları Siciline kayıt gibi) belirlilik ve açıklık ilkesine uyumda son derece hassasiyet gösterilmektedir. Paralel olarak anlaşılması güç, teknik-hukuki ifadelerin kullanımından kaçınılmaktadır.

İşlendikleri Amaçla Bağlantılı, Sınırlı Ve Ölçülü Olma Belirli

Bu ilke, işlenen kişisel verilerin belirlenen amaçların gerçekleştirilebilmesi için elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir.


Bu ilke kapsamında Şirketimiz tarafından kişisel verilerin amaçla bağlı, sınırlı ve ölçülü olarak işlenmesini temin amacıyla veri minimizasyonu için düzenli olarak değerlendirme çalışmaları yapılmakta, çalışanlar bilgilendirilmekte, belirli periyotlarda ve habersiz denetimler yapılmakta, işbu Politika ve Saklama ve İmha Politikasında belirtilen diğer idari ve teknik tedbirler alınmaktadır.

İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Kişisel verilerin “amaçla sınırlılık ilkesi”nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekmektedir. Bu kapsamda Şirketimiz tarafından kişisel veriler, mevzuatta öngörülen saklama süreleri, böyle bir süre yok ise herhangi bir hukuki uyuşmazlıkta zamanaşımı süreleri kadar muhafaza etmektedir.

İşletmeye Konu Olan Özel Nitelikli Kişisel Veriler, İşleme Amaçları ve İşleme Süreçlerine İlişkin Bilgiler

İşlemeye konu olan özel nitelikli kişisel veriler, işleme amaçları, hukuki sebepleri, işleme ve imha süreleri ile birlikte Şirketimiz tarafından hazırlanan veri envanteri, VERBİS kaydı, Saklana ve İmha Politikası ve ilgili aydınlatma metinlerinde belirtilmiştir. Bu bilgilere ek olarak aşağıda Şirketimiz tarafından işlemeye konu olan özel nitelikli kişisel verilerin işleme amacı ve süreçlerine ilişkin açıklamalara yer verilmiştir.

İşlenen Özel Nitelikli Kişisel Veri İşleme Amacına İlişkin Açıklama İşleme Sürecine İlişkin Açıklama
Din Bilgisi -Yasal sorumluluk ve yükümlülük kapsamında alınmasının gerektiği durumlarda- kimlik belgesi vesair belgelerde yer alması nedeniyle işlemeye konu olmaktadır. Bu bilgi özellikle ilgili kişi başvuru süreci, hukuki işlem süreci, şirket imza yetkilisi işlemleri süreçlerinde alınması gereken kimlik, vekaletname veya imza sirküleri gibi belgelerde yer aldığından işlenmektedir.
Kılık ve Kıyafet Bilgisi Sadece çalışanlardan alınan bu bilgi, çalışanlara iş kıyafeti temin etmek amacıyla işlenmektedir. Bu bilgi, çalışan ayakkabı ve kıyafet temin sürecinde işlenmektedir. Bu bilgi esasında beden/ayakkabı ölçüsünden ibaret olup herhangi bir dini/siyasi vb. düşünce/inanç hakkında bilgi vermemektedir.
Alerjen Bilgisi Misafirlere sunulacak ürün ve hizmetlerin misafir tercihlerine göre özelleştirilmesi, özellikle misafir sağlığının korunması amacıyla işlenmektedir. Bu bilgi, konaklama ve rezervasyon sürecinde işlenmekte olup misafirin kendisi tarafından belirtilmesi halinde işlemeye konu olmaktadır.
Engellilik ve Özel İhtiyaç Durumu Bilgisi Misafirlere sunulacak ürün ve hizmetlerin misafir tercihlerine göre özelleştirilmesi, özellikle misafir sağlığının korunması amacıyla işlenmektedir. Çalışanlar için ise özellikle yasal yükümlülüklerin yerine getirilmesi amacıyla işlenmektedir. Bu bilgi, misafirler için konaklama ve rezervasyon sürecinde işlenmekte olup misafirin kendisi tarafından belirtilmesi halinde işlemeye konu olmaktadır. Çalışanlardan alınan bu bilgi ise özlük dosyası oluşturma süreci başta olmak üzere gerekli SGK bildirim süreçlerinde işlenmektedir.
Sağlık Bilgisi Misafirler için yasal sorumluluk kapsamında acil durum yönetimi süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi gibi amaçlarla hekim tarafından işlenmektedir. Çalışanlar, taşeron çalışanları ve stajyerler için de bu amaçların yanı sıra İSG yükümlülüklerinin yerine getirilmesi için işlenmektedir. Misafirler için bu bilgiler, hekim tarafından yürütülen süreçler kapsamında işlenmektedir. Çalışanlar, taşeron çalışanları ve stajyerler için ise özlük dosyası ve sağlık dosyalarının oluşturulması, periyodik muayene süreçleri, iş kazası bildirim süreçleri kapsamında işlenmektedir.
Kan Grubu Bilgisi Bu bilgi, çalışan, stajyer, meslek lisesi stajyeri, hukuki süreç muhatabı ve imza yetkilisinden yasal süreçlerin yürütülmesi, çalışanlar için acil durum yönetim süreçleri, operasyonların güvenliğinin temini gibi amaçlarla işlenebilmektedir. Bu bilgi özellikle ilgili kişi başvuru süreci, hukuki işlem süreci, şirket imza yetkilisi işlemleri süreçlerinde alınması gereken kimlik, vekaletname veya imza sirküleri gibi belgelerde yer aldığından işlenmektedir. Buna ek olarak özlük dosyası oluşturma sürecinde de acil durum süreçlerinin yürütülmesi amacıyla işlenmektedir.
Ceza Mahkumiyeti ve Güvenlik Tedbirlerine İlişkin Bilgiler Bu bilgi, özellikle iş akdi ve mevzuatından kaynaklı yükümlülüklerin yerine getirilmesi, insan kaynakları süreçlerinin yürütülmesi amacıyla işlenmektedir. Bu bilgi sadece hukuki süreç muhatabından ve taşeron/taşeron çalışanından alınmaktadır. Hukuki işlem süreçlerinde bu bilgi yer aldığından işlemeye konu olmaktadır. Buna ek olarak Şirket tarafından taşeron işçi çalıştırılması durumunda taşeron işçi özlük kayıt ve takip sürecinde işlenmektedir.

Kanun’un 10. maddesi gereği Şirketimiz, ilgili kişilere özel nitelikli kişisel verilerinin hangi amaçlarla işlendiği bilgisini vermektedir. Şirkette, faaliyetleri çerçevesinde işlenen özel nitelikli kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda özel nitelikli kişisel veriler,

6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu,
6102 sayılı Türk Ticaret Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
3065 sayılı Katma Değer Vergisi Kanunu, 193 sayılı Gelir Vergisi Kanunu,
5520 sayılı Kurumlar Vergisi Kanunu, 488 sayılı Damga Vergisi Kanunu
657 sayılı Devlet Memurları Kanunu, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu, 2547 sayılı Yükseköğretim Kanunu,
5434 sayılı Emekli Sağlığı Kanunu, 2828 sayılı Sosyal Hizmetler Kanunu,
1774 sayılı Kimlik Bildirme Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
6502 sayılı Tüketicinin Korunması Hakkında Kanun 3308 sayılı Mesleki Eğitim Kanunu
4904 sayılı Türkiye İş Kurumu Kanunu 2634 sayılı Turizm Teşvik Kanunu
Turizm Tesislerinin Niteliklerine İlişkin Yönetmelik Turizm Tesisleri Uygulama Yönetmeliği
Arşiv Hizmetleri Hakkında Yönetmelik, Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler,
Ulusal/uluslararası sözleşmeler Seyahat Acentaları Yönetmeliği

çevresinde öngörülen saklama süreleri kadar saklanmaktadır.

Şirketimizin VERBİS kaydında yer aldığı üzere özel nitelikli kişisel veriler, aşağıdaki amaçlarla işlenmektedir;

1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi 2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
3. Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi 4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
6. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi 7. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
8. Denetim / Etik Faaliyetlerinin Yürütülmesi 10. Erişim Yetkilerinin Yürütülmesi
11. Faaliyetlerin Mevzuata Uygun Yürütülmesi 12. Finans Ve Muhasebe İşlerinin Yürütülmesi
15. Görevlendirme Süreçlerinin Yürütülmesi 16. Hukuk İşlerinin Takibi Ve Yürütülmesi
17. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi 18. İletişim Faaliyetlerinin Yürütülmesi
19. İnsan Kaynakları Süreçlerinin Planlanması 20. İş Faaliyetlerinin Yürütülmesi / Denetimi
21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi 25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi 27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
28. Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi 29. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi 33. Performans Değerlendirme Süreçlerinin Yürütülmesi
35. Risk Yönetimi Süreçlerinin Yürütülmesi 36. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
38. Sözleşme Süreçlerinin Yürütülmesi 40. Stratejik Planlama Faaliyetlerinin Yürütülmesi
41. Talep / Şikayetlerin Takibi 42. Taşınır Mal Ve Kaynakların Güvenliğinin Temini
43. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi 44. Ücret Politikasının Yürütülmesi
46. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini 50. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
54. Kimlik Belgesi/Vekaletname vb Belge Alınmak Suretiyle İlgili Süreçlerin Yürütülmesi 54. Kimlik Belgesi Alınmak Suretiyle Sözleşmesel Süreçlerin Yürütülmesi ve Denetimi
51. Yönetim Faaliyetlerinin Yürütülmesi

Özel Nitelikli Kişisel Verilerin Aktarılması

Şirketimiz, özel nitelikli kişisel verileri KVK Kanunu’nun 8. ve 9. maddesinde belirtilen veri işleme şartlarına uygun olarak üçüncü kişiler ile paylaşabilmektedir. Özel nitelikli kişisel verilerin üçüncü kişilere aktarması esnasında Şirket, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda özel nitelikli kişisel veriler;

  • Farklı fiziksel ortamlardaki sunucular arasında aktarım yaptığı durumlarda, sunucular arasında VPN kurarak veya sFTP yöntemiyle aktarılmaktadır.
  • Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir. rketimiz

Özel Nitelikli Kişisel Verilerin Muhafazası

Şirketimiz, yukarıda detaylıca bahsi geçen genel ilke ve işleme şartlarına uygun bir şekilde özel nitelikli kişisel verileri muhafaza etmektedir. Özel nitelikli kişisel verilerin muhafaza edildiği ve/veya erişildiği ortamlara ilişkin Şirketimiz, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda Şirket tarafından özel nitelikli kişisel verilerin muhafazası için alınan idari ve teknik tedbirler aşağıdaki gibidir:

  1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  3. Anahtar yönetimi uygulanmaktadır.
  4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  5. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  6. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  7. Çalışanlar için yetki matrisi oluşturulmuştur.
  8. Erişim logları düzenli olarak tutulmaktadır.
  9. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  10. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  11. Gizlilik taahhütnameleri yapılmaktadır.
  12. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  13. Güncel anti-virüs sistemleri kullanılmaktadır.
  14. Güvenlik duvarları kullanılmaktadır.
  15. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  16. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  17. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  18. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  19. Kişisel veri güvenliğinin takibi yapılmaktadır.
  20. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  21. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  22. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  23. Kişisel veriler mümkün olduğunca azaltılmaktadır.
  24. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  25. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  26. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  27. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  28. Mevcut risk ve tehditler belirlenmiştir.
  29. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  30. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  31. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  32. Sızma testi uygulanmaktadır.
  33. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  34. Şifreleme yapılmaktadır.
  35. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  36. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  37. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  38. Veri kaybı önleme yazılımları kullanılmaktadır.

Politikanın Yayımlanması ve Saklanması

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanabilir, internet sayfasında kamuya açıklanabilir. Basılı kâğıt nüshası da İnsan Kaynakları Biriminde ve dosyasında saklanır.

Politikanın Güncellenme Periyodu

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

Politikanın Güncellenme Periyodu

Politika, yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları İnsan Kaynakları Birimi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile İnsan Kaynakları Birimi tarafından saklanır. Kullanılan otel işletim sistemi üzerinden politika iptale alınır.