Rezervasyon

Kişisel Verilerin İşlenmesi Ve Korunması Politikası

İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

Genel Açıklamalar
KERVANSARAY OTELCİLİK olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önemi vermekteyiz. Bu sebeple, müşteri güvenliği anlamında sizlere daha iyi bir hizmet sunabilmek adına kişisel verilerin (bilgilerin) korunması, saklanması, işlenmesi, kullanımı, imhası, ticari elektronik iletişimler ve diğer hususlarda, aşağıda genel esasları belirtilen Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uygun hareket etmekteyiz. Bu kapsamda, gerek Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nı (“Politika”) sizlerin bilgisine sunuyoruz.

Politikanın Amacı ve Kapsamı
İşbu Politika’nın temel amacı, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda KERVANSARAY OTELCİLİK olarak otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkin bilgilendirmede bulunmaktır.

Kişisel Veri Sahibi / İlgili Kişi
Kişisel verilerini işlediğimiz çalışanlarımızı, hotel müşterilerimizi, potansiyel müşterilerimizi, iş ortaklarımızı, ziyaretçilerimizi ve üçüncü kişileri ifade eder.

Kişisel Veri Tanımı
Aşağıda KERVANSARAY OTELCİLİK tarafından işlenen ve Kanun uyarınca kişisel veri sayılan verilerin hangileri olduğu sıralanmıştır. Aksi açıkça belirtilmedikçe, işbu politika kapsamında arz edilen hüküm ve koşullar kapsamında “kişisel veri” ifadesi aşağıda yer alan bilgileri kapsayacaktır:

1) Bizimle Paylaştığınız Kişisel Veriler: Ad-soyad, doğum tarihi, T.C. Kimlik numarası, telefon numarası, e-mail adresi, adres, anketler ve yarışmalar kapsamında iletilen fotoğraf, video kayıtları ve yukarıda belirtilen kanallar üzerinden herhangi bir şekilde tarafımızla paylaştığınız diğer her türlü kişisel verilerinizdir.

2) Otomatik Yollarla Toplanan Kişisel Veriler Dâhil Sair Bilgiler: Otomatik Yollarla Toplanan Kişisel Veriler Dâhil Sair Bilgiler: Otomatik arama makineleri, görüntü ve ses kaydı cihazları ve internet sitemize girildiğinde otomatik olarak toplanan; ziyaret sayısı, sitede harcanan ortalama süre ve görüntülenen sayfa bilgileri bu kapsamdadır.

3) Diğer Kaynaklardan Alınan Kişisel Veriler ve Dâhil Sair Bilgiler: Sosyal medya araçları, iş ortaklarımız ve diğer üçüncü kişilerin daha önce vermiş olduğunuz izninize dayalı olarak tarafımızla paylaştığı güncellenmiş adres bilgileri, hesap bilgileri, satın alma, sayfa görüntüleme bilgileri, aranan terim ve arama sonuçları gibi bilgiler ve ödenmiş listelemeler gibi kişisel verilerinizdir.

Özel Nitelikli Kişisel Veri/Veriler
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. İşlenen verilerin KVK Kanunu’nda tanımlandığı şekilde özel nitelikli kişisel veri olması halinde; kişisel veri sahibinin açık rızası da yok ise, kişisel veri ancak KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işlenebilir.

Veri Sorumlusu
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Bu kapsamda İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş (“KERVANSARAY OTELCİLİK”) veri sorumlusu sıfatıyla hareket etmektedir.
Veri Sorumlusunun Yükümlülükleri
a) Aydınlatma Yükümlülüğü
Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki sebeplerle işlenebileceği ve kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre KERVANSARAY OTELCİLİK, Kanun’un 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kanun’un 11. maddesinde sayılan diğer hakları.

Kanun’un 11. Maddesine sayılan diğer haklar ise;

    • Kişisel verilerinin işlenip işlenilmediğini öğrenme,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
    • Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
    • KVKK kapsamında belirtilmiş olan esaslar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
    • Verilerinin yanlış aktarılması, silinmesi veya yok edilmesi gibi durumlarda bu durumun, verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • İşlenen verilerinin, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini talep etme, olarak sıralanmıştır.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanun’daki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmaktadır.

b) Veri Güvenliğine İlişkin Yükümlülükler
Kanun’un veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu olan KERVANSARAY OTELCİLİK;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak ile yükümlüdür.

Veri sorumlusu sıfatıyla hareket eden KERVANSARAY OTELCİLİK, bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurul’un yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.

KERVANSARAY OTELCİLİK, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin tedbirlerin alınması hususunda veri sorumlusu KERVANSARAY OTELCİLİK muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.

Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.
Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri güvenliğine ilişkin alınacak önlemlerin her birinin veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.

c) İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumlusu KERVANSARAY OTELCİLİK, ilgili kişiler tarafından yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle Kanun’un uygulanmasıyla ilgili kendisine iletilen talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde KERVANSARAY OTELCİLİK, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.

KERVANSARAY OTELCİLİK, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde bu talebin gereği yerine getirilir. Başvurunun KERVANSARAY OTELCİLİK’in hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, cevabı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

d) Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu KERVANSARAY OTELCİLİK tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. KERVANSARAY OTELCİLİK bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

e) Veri Sorumluluları Siciline Kayıt Yükümlülüğü
KERVANSARAY OTELCİLİK, Veri Sorumluları Sicili (VERBİS) olarak adlandırılan sisteme kayıt olmak ve veri işleme faaliyetleri ile ilgili bilgileri beyan etmek zorundadırlar.

Veri İşleyen
Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanabileceği gibi veri sorumlusu ve veri işleyen sıfatlarının tek bir tüzel veya gerçek kişide birleşmesi de mümkündür. KERVANSARAY OTELCİLİK, işbu politika kapsamında aynı zamanda Veri İşleyen sıfatıyla hareket etmekte ve kişisel verilerinizi Kanun’a uygun olarak işlemektedir.

Kişisel Verilerin İşlenmesi
Kişisel Verilerin İşlenmesi, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
KERVANSARAY OTELCİLİK tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. Ayrıca kişisel veriler, KERVANSARAY OTELCİLİK tarafından kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olduğu kadar işlenmektedir.

Kişisel Verilerin İşlenmesinde Bağlı Olduğumuz İlkeler
KERVANSARAY OTELCİLİK, gizliliğinizin korunması için gereken tedbirleri almak ve kişisel verilerin işlenmesine dair tüm yasal ilkelere uymak şartıyla; kişisel verileri, işbu Kişisel Verileri işleme politikasında belirtilen amaçlar çerçevesinde aşağıda sayılan ilkelere uygun olarak işlemektedir:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel Verileriniz Hangi Durumlarda İşlenebilir?
Kişisel veri sahibinin açık rızası var ise; kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise, kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, kişisel veriler kaydedilmekte ve aktarılabilmektedir.

Kişisel Verileriniz Ne Kadar Süreyle Muhafaza Edilecektir?
KVKK’ya uygun olarak, işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda belirtilen amaçlarla işlenmiş olan kişisel verileriniz, KVKK md. 7/f.1.’e göre işlenmesi gerektiren amaç ortadan kalktığında ve/veya kişisel verilerinizi işlememiz için mevzuat tarafından öngörülen zamanaşımı süreleri dolduğunda, KERVANSARAY OTELCİLİK tarafından silinecek, yok edilecek veya anonimleştirerek kullanılmaya devam edilecektir.

Kişisel Verilerin Güvenliği
KERVANSARAY OTELCİLİK, KVK Kanunu Madde 12’ye uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere hukuka aykırı erişimleri engellemek ve bunların muhafazasını sağlamak amacıyla uygun gerekli tedbirleri almakta ve kişisel verilerin üçüncü kişilerce hukuka aykırı olarak işlenmesine engel olmaktadır.

Sorumluluk
Hotel müşterilerimizin, ziyaretçilerimizin ve iş ortaklarımızın, www.artshotelbodrum.com.tr adresinden veya link verilen diğer sitelerden, mobil uygulamalardan, tanıtım ve reklamlardan ve kendilerine elektronik iletişimi yapılan her türlü bilgilendirme ve bildirimlerden edindikleri bilgiler kapsamında aldıkları kararlar ile bunlara göre yaptıkları her türlü işlem, uygulama ve sonuçlarından KERVANSARAY OTELCİLİK’in sorumluluğu bulunmaktadır.

KERVANSARAY OTELCİLİK tarafından, müşterilerimiz ve ziyaretçilerimizin hukuki/fiili ehliyet durumu bilinemeyeceğinden, çocukların ve diğer reşit olmayan kişilerin kullanımları ve işlemleri konusundaki sorumluluk, bu kişilerin kanuni temsilcilerine aittir. Bu kişiler, kişisel verilere ilişkin haklarını da kanuni temsilcileri marifetiyle kullanabilirler.

Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. KERVANSARAY OTELCİLİK, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden süreçte, kişisel verileri siler, yok eder veya anonim hale getirir.
Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci
Veri sahiplerinin KERVANSARAY OTELCİLİK’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda KERVANSARAY OTELCİLİK, kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel veriler silinir, yok edilir veya anonim hale getirilir. KERVANSARAY OTELCİLİK, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa KERVANSARAY OTELCİLİK bu durumu üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, KERVANSARAY OTELCİLİK, ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

Politika’da Yapılacak Değişiklikler
İlgili mevzuatta yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde KERVANSARAY OTELCİLİK tarafından iş bu Politika’da değişiklik yapılabilir.

KERVANSARAY OTELCİLİK tarafından gizlilik, kişisel verilerin saklanması ve yok edilmesi, site kullanım şartları, KERVANSARAY OTELCİLİK müşterilerine sunulan ürünler, hizmetler ve etkinliklerde gerekli görülebilecek her türlü değişiklik, internet adresi üzerinden veya diğer uygun iletişim araçlarıyla duyurulduğu andan itibaren geçerli olacaktır.
KERVANSARAY OTELCİLİK tarafından Politika üzerinde yapılabilecek değişiklikler incelenebilecek nitelikle olup değişikliklere ilişkin her türlü şikâyet ve ek bilgi talebi www.artshotelbodrum.com.tr üzerinden yapılabilecektir.

Politikanın Yürürlüğü
KERVANSARAY OTELCİLİK tarafından düzenlenerek yayınlandığı tarihte yürürlüğe giren işbu Veri İşleme Politikası, www.artshotelbodrum.com.tr internet adresinde yayımlanır ve Kişisel Veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
İşbu Politika 6698 sayılı Kanunun (Kanun) 10. Maddesinde belirtilen “Veri Sorumlusunun Aydınlatma Yükümlülüğü” kapsamında düzenlenmiştir.

İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI AYDINLATMA METNİ

İş bu Aydınlatma Metni, veri sorumlusu sıfatıyla hareket eden İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş (“KERVANSARAY OTELCİLİK”) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uygun olarak KERVANSARAY OTELCİLİK’e ait hotel müşterilerinin, hotel çalışanlarının, iş ortaklarının, potansiyel iş ortaklarının ve KERVANSARAY OTELCİLİK ile ilişkisi bulunan 3. kişilerin kişisel verilerinin işlenmesine ilişkin açıklamalarda bulunmak ve bilgilendirmek amacıyla kaleme almıştır. KERVANSARAY OTELCİLİK ile paylaştığınız kişisel verilerinizin işlenmesine ilişkin detaylı bilgiye www.artshotelbodrum.com.tr adresinde yer alan Kervansaray Otelcilik Kişisel Verilerin İşlenmesi ve Korunması Politikası’ndan (KVK Politikası) erişebilirsiniz.

Kişisel Veriler Nelerdir
KVKK bağlamında kişisel veri, bir gerçek kişiyi belirli veya belirlenebilir kılan her türlü bilgi olarak tanımlanmıştır. Veri sorumlusu KERVANSARAY OTELCİLİK tarafından işlenebilecek kişisel verileriniz sınırlı olmamak kaydıyla, aşağıda belirtilmiştir:
• İsim ve Soyisim
• E-posta Adresi
• TC Kimlik veya Pasaport Numarası
• Telefon ve Faks Numarası
• Doğum Tarihi ve Cinsiyet Bilgileri
• Kamera ve Ses Kayıtları
• Otellere Giriş Çıkış Saatleriniz
• Araç Bilgileriniz
• Fotoğraflarınız
• Banka Hesap Numaranız ve Faturalama Bilgileriniz

Kişisel Verilerin İşlenme ve Aktarılma Amaçları
Kişisel Veriler; hukuka ve Kanun’un amacına uygun olarak aşağıda sayılanlarla sınırlı olmamak kaydıyla;
• İnsan kaynakları politikalarının, ticari ortaklıklarının, yönetim ve iletişim faaliyetlerinin ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi
• Ürün ve hizmetlerinden kişisel veri sahiplerinin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi
• Risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi
• Hizmetlerimiz karşılığında faturalandırma yapılması
• Kimliğinizin teyit edilmesi
• Yetkisiz ve hukuka aykırı işlemlerin izlenmesi ve engellenmesi
• Memnuniyet analizi yapılabilmesi
• Veri güvenliğinin en üst düzeyde sağlanması
• İnternet sitesinde sunulan hizmetlerin geliştirilmesi ve sitede oluşan hataların giderilmesi
• KERVANSARAY OTELCİLİK’e talep ve şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçilmesi
• Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
• KERVANSARAY OTELCİLİK’te ve KERVANSARAY OTELCİLİK’e ait hotellerde genel güvenliğin sağlanması ve gerekli tedbirlerin alınması, ziyaretçi kayıtlarının oluşturulması ve takibi
Amaçlarıyla işlenmektedir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak KERVANSARAY OTELCİLİK tarafından açık rızanız temin edilmektedir.

Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz, KERVANSARAY OTELCİLİK tarafından e-mail, ilgili internet siteleri ve mobil uygulama gibi kanallardan, KERVANSARAY OTELCİLİK ve KERVANSARAY OTELCİLİK’e ait hoteller içerisindeki giriş-çıkışlar, otopark ve asansör gibi ortak alanlarda kullanılan otomatik veri işleme cihazlarından ve KERVANSARAY OTELCİLİK’in erişimine imkân verdiğiniz sosyal medya hesapları üzerinden toplanmaktadır.
Kişisel verileriniz ayrıca Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında işlenebilecek ve paylaşılabilecektir.

Kişisel Verilerin İşlenmesi İçin Gerekli Şartlar Nelerdir?
Kişisel verilerin işlenmesi, Kanun’un 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür. Buna göre;
♣ İlgili kişinin açık rızasının varlığı,
♣ Kanunlarda açıkça öngörülmesi,
♣ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
♣ Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
♣ Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
♣ İlgili kişinin kendisi tarafından alenileştirilmiş olması,
♣ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
♣ İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, hallerinde kişisel verilerin işlenmesi mümkündür.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanun’da sınırlı sayıda belirtilmiş olup, bu şartlar genişletilemez. Kişisel veri işleme, Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde KERVANSARAY OTELCİLİK’in diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.

Bu kapsamda, veri sorumlusu KERVANSARAY OTELCİLİK tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanun’da belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.

Kişisel Verilerin İşlenmesinde Rıza
Kişisel verilerinizin 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun hükümlerine uygun olarak KERVANSARAY OTELCİLİK tarafından işlenebilmesi için veri sahibinin AÇIK RIZA’sına ihtiyaç duyulmaktadır.
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi, açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır.
Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır. Açık rızanın bu anlamda, rıza veren kişinin olumlu irade beyanını içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir. Kanun’un 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:
1) Belirli Bir Konuya İlişkin Olması
Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar hukuken geçersiz sayılmaktadır. Geçerli olması için rızanın belirli bir konuya ilişkin olması gerekir. Bunun anlamı “Verilerimin işlenmesini kabul ediyorum.” şeklinde açık uçlu bir rızanın tek başına Kanun bağlamında “açık rıza” kabul edilmeyeceğidir.
Rızanın, başta hangi verilerin ne amaçlarla işleneceği olmak üzere işlemenin farklı noktaları açısından da verilmiş olması gerekir. Burada önemli olan tarafların karşılıklı makul beklentileri olacaktır. Anlaşılacağı üzere rızanın belirli bir konuya ilişkin olması, mahiyeti gereği bilgilendirilmeye dayanmasına da bağlıdır.
Veri sorumlusunun, gerçekleştireceği farklı işlemler için, ilgili kişi tarafından öngörülmesi muhtemel olması kaydıyla, ilgili kişinin açık rızasını bir defa alması kural olarak yeterlidir. Ancak veri sorumlusunun sonradan farklı amaçlarla bu verileri işlemek istemesi durumunda (üçüncü kişilere aktarım gibi) ayrıca buna ilişkin rıza alınması gerekecektir. Aynı durum, verilerin işlenme amaçlarının değişmesi halinde de geçerlidir.
2) Rızanın Bilgilendirmeye Dayanması
Rızanın verilmesinden önce ilgili kişinin işlemeyle alakalı bütün konularda açık ve anlaşılır bir biçimde bilgilendirilmesi gerekir. İlgili kişinin bilgilendirilmesine yönelik iki temel unsurdan bahsedilebilir:
• Anlaşılabilirlik: Bilgilendirmenin ortalama bir bireyin anlayabileceği bir dil kullanılarak gerçekleştirilmesi hayati önem arz eder. Belirtilmelidir ki anlaşılabilirlik sınırı, somut duruma ve hedef kitleye göre değişiklik gösterecektir. Bu bağlamda sade bir dil kullanılması, mesleki veya teknik jargondan uzak durulması ve gerektiği durumda terimlerin açıklanması gibi yollara başvurulması duruma göre gerekebilir.

• Erişilebilirlik: Bilginin doğrudan ilgili kişiye sağlanması gerekir; bir yerlerde erişilebilir durumda olması yeterli değildir. Ayrıca bilginin açıkça görünür (bunda yazı tipi ve büyüklüğü etkilidir) olması önemlidir.
3) Özgür İradeyle Açıklanması
Rıza ancak ilgili kişinin gerçek bir tercih ortaya koyabildiği halde geçerlidir. Aldatma, korkutma, baskıya maruz kalma veya rıza gösterilmediği takdirde önemli bir olumsuz sonuç doğacak olması rızayı özgür iradeye dayanmaktan uzaklaştırır.

Kişisel Veri Sahibi’nin KVK Kanunu Uyarınca Hakları
KERVANSARAY OTELCİLİK olarak, kişisel verilerini işlediğimiz siz otel müşterilerimiz, çalışanlarımız ve iş ortaklarımıza, KVKK’nın 11. maddesi uyarınca Kanun’dan doğan haklarınızı bildirmekte, söz konusu hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmekteyiz.
Kişisel verileri işlenen veri sahipleri, KVKK madde 11 uyarınca KERVANSARAY OTELCİLİK’e karşı;
• Kişisel verilerinin işlenip işlenilmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK kapsamında belirtilmiş olan esaslar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
• Verilerinin yanlış aktarılması, silinmesi veya yok edilmesi gibi durumlarda bu durumun, verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerinin, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini talep etme,
• haklarına sahiptir.
Kişisel Veri Sahipleri, sayılan haklarına ilişkin taleplerini, kimliklerinin tespit edilebileceği bilgi ve belgelerle birlikte www.artshotelbodrum.com.tr adresinde yer alan “KVKK Kapsamında Veri Sorumlusu’na Başvuru Metni”nde gösterilen yöntemlerle KERVANSARAY OTELCİLİK’e ulaştırabilirler.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş
KAPALI KAMERA KAYIT SİSTEMLERİ AYDINLATMA METNİ

İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında, veri sorumlusu İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş (“KERVANSARAY OTELCİLİK”) tarafından güvenlik hizmeti verilen lokasyonlarda kullanılan kapalı devre kayıt sistemleri vasıtasıyla toplanan kişisel verilerin işlenmesine ilişkin usul ve esaslar hakkında veri sahiplerinin aydınlatılması amacı ile kaleme alınmıştır.

1. Kişisel Verilen İşlenme Amacı

Toplanan kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, KERVANSARAY OTELCİLİK ile iş ilişkisi içerisinde olan ilgili kişi ve kurumların, hukuki, teknik ve ticari-iş güvenliğinin temin edilmesi ve KERVANSARAY OTELCİLİK’e ait lokasyonların güvenliğinin sağlanması amaçları dâhilinde işlenmektedir.

2. Kişisel Verilerin Aktarılabileceği Taraflar ve Aktarım Amacı

Toplanan kişisel veriler, Kanun’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, KERVANSARAY OTELCİLİK ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temin edilmesi ve KERVANSARAY OTELCİLİK’e ait lokasyonların güvenliğinin sağlanması amaçları ile Kanun’un 8. ve 9. maddelerinde belirtilen şartlar dâhilinde KERVANSARAY OTELCİLİK ve KERVANSARAY OTELCİLİK’in bağlı bulunduğu grup şirketleri, Kurum’un iş ortaklıkları ve hukuken yetkili kurum ve kuruluşlar ile paylaşılabilecektir.

3. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel veriler, lokasyonlarda yer alan kapalı devre kamera sistemleri vasıtasıyla toplanmaktadır. Yukarıda belirtilen hukuki sebeplerle toplanan Kişisel Veriler, 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında işbu Aydınlatma Metni’nin 1. ve 2. maddelerinde belirtilen amaçlarla işlenebilmekte ve aktarılabilmektedir.

4. Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması

Kanun’un 11. maddesi uyarınca veri sahipleri;
– Kişisel verilerinin işlenip işlenmediğini öğrenme
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
– Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,

Haklarına sahiptir.

Söz konusu haklar, kişisel veri sahipleri tarafından KERVANSARAY OTELCİLİK’e iletilmesi halinde 30 gün içerisinde değerlendirilerek sonuçlandırılacaktır. Taleplere ilişkin olarak herhangi bir ücret talep edilmemesi esas olmakla birlikte, KERVANSARAY OTELCİLİK’in Kişisel Verileri Koruma Kurulu tarafından belirlenen ücret tarifesi üzerinden ücret talep etme hakkı saklıdır.

Saygılarımızla.

İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş
 KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
1.GİRİŞ
1.1 Amaç
Bu politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış olan ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri gereği kişisel verilerin saklanmasına ilişkin Yönetmelik’te belirtilen yükümlülüklerin yerine getirilmesi için veri sorumlusu İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş (“KERVANSARAY OTELCİLİK”) tarafından uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.

1.2 Kapsam
İşbu Politika, Kanun’da belirtildiği şekilde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır. Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.

1.3 Kısaltmalar ve Tanımlar
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
EBYS: Elektronik Belge Yönetim Sistemi Elektronik
Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
İlgili Kişi: Kişisel verisi işlenen KERVANSARAY OTELCİLİK çalışanlarını, iş ortaklarını, müşterilerini ve üçüncü kişileri ifade eder.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen: Kişisel verileri işleyen KERVANSARAY OTELCİLİK’i ifade eder.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. (KERVANSARAY OTELCİLİK)
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. TAAHHÜT VE BEYANLAR
İstisna ile muaf tutulmadıkça yönetmelik uyarınca KERVANSARAY OTELCİLİK, sicile kayıt yükümlülüğü olan bir veri sorumlusudur. Bünyesinde tutmakta olduğu kişisel verileri, Kanun’a ve yönetmeliğe uygun bir şekilde saklamak ve gerektiğinde silmek, yok etmek ya da anonim hale getirmek için bir Politika hazırlamak ve bu Politikaya uygun hareket etmek ile yükümlü olduğunu kabul, beyan ve taahhüt eder.
Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:
a) KERVANSARAY OTELCİLİK, Kanun’un 4’üncü maddesinde yer alan: “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için kişisel veri işleme, kişisel verileri sınırlı ve ölçülü bir şekilde işleme ve gerektiği süre kadar muhafaza etme” ilkelere uyacağını kabul, beyan ve taahhüt eder.
b) KERVANSARAY OTELCİLİK, işbu Politika’yı hazırlamış olmanın tek başına kişisel verilerin mevzuata uygun olarak silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmeyeceğini kabul etmektedir.
c) KERVANSARAY OTELCİLİK, kişisel verileri saklarken, silerken, yok ederken veya anonim hale getirirken, Kanun’un 12. Maddesinde yer alan güvenlik tedbirlerine, Yönetmelik başta olmak üzere ilgili mevzuatta yer alan hükümlere Kişisel Verileri Koruma Kurulu’nun alacağı kararlara ve Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
d) KERVANSARAY OTELCİLİK, tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında İşbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

3. KAYIT ORTAMLARI
KERVANSARAY OTELCİLİK, İşbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Politika’nın kapsamına dahil etmeyi kabul eder.
a) KERVANSARAY OTELCİLİK adına kayıtlı bilgisayarlar ve sunucular
b) Ağ cihazları
c) Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri
d) Bulut sistemleri
e) Mobil telefonlar ve içerisindeki tüm saklama alanları
f) Kâğıt
g) Mikrofiş
h) Yazıcı, parmak izi okuyucu gibi çevre birimler
i) Manyetik bantlar
j) Optik diskler
k) Flash hafızalar

4. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN DURUMLAR
KERVANSARAY OTELCİLİK, kişisel verileri, ilgilinin açık rızası ile veya Kanun’da yazılı durumlarda ilgilinin açık rızası bulunmaksızın, mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, verilerin işleme amacının gerektirdiği süre boyunca, Kanun’da belirtilen ilkelere uygun olarak saklar.
Özel nitelikli kişisel verilerin ise kural olarak ilgilinin açık rızası bulunmaksızın saklanması veya diğer herhangi bir şekilde işlenmesi mümkün olmamakla beraber Kanun’da sayılan haller ve süreçlerde işlenmesi söz konusudur.
Kişisel verileri birden fazla amaç ile işlediğimiz hallerde, verinin işleme amaçlarının ortadan kalkması veya ilgili kişinin talebi üzerine (mevzuatta bir engel olmaması halinde) veriler silinir, yok edilir veya anonimleştirilerek saklanır. Yok etme, silme veya anonimleştirme hususlarında mevzuat hükümleri ve KVK Kurul kararlarına uyulur.

5. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN DURUMLAR
Aşağıda belirtilen şekilde bir ihlal olması halinde KERVANSARAY OTELCİLİK gerekli işlemleri başlatacaktır. KERVANSARAY OTELCİLİK, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır. Kişisel verilerin imhasını gerektiren sebepler aşağıda belirtilmiştir:

5.1. Kanuna Aykırılık
KERVANSARAY OTELCİLİK, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak saklamayacağını ve/veya diğer herhangi bir şekilde işlemeyeceğini, değişen mevzuat doğrultusunda saklanması hukuka aykırı hale gelen verileri Kanun, Yönetmelik, KVKK kararları ve işbu Politika hükümlerine uygun şekilde imha edeceğini taahhüt eder.

5.2. Veri İşleme Şartlarının Ortadan Kalkması
KERVANSARAY OTELCİLİK, veri işleme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu çalışanları ile paylaşır. Çalışanlar, veri işleme şartlarının ortadan kalkması halinde veri işlemeye devam edemez. KERVANSARAY OTELCİLİK, Yönetmelikte de belirtildiği üzere aşağıda listelenen durumlarda veri işleme şartlarının ortadan kalktığını kabul eder:
a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
e) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
f) İlgili kişinin, veri işleme faaliyetini gerektiren hallerin ortadan kalkmasının akabinde kişisel verilerin silinmesi veya yok edilmesi talebiyle veri sorumlusuna yapmış olduğu başvurunun veri sorumlusu tarafından kabulü,
g) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
h) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

6. KİŞİSEL VERİLERİN İMHASI
Kişisel verilerin imhası, üç farklı şekilde sağlanabilir. Bunlar verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

6.1 Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. KERVANSARAY OTELCİLİK, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması ve Yönetmelik’te düzenlenmiş hallerin ortaya çıkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler veya yok eder.

6.2 Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok etme işlemi, KERVANSARAY OTELCİLİK’in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır. Yok etme işlemi ile bu veriler, tekrar geri getirilmesi mümkün olmayacak hale getirilmektedir. Bu işlemler sırasında KERVANSARAY OTELCİLİK çalışanları ve ilgili departmanlar KVKK Çalışma Grubu’na yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise KERVANSARAY OTELCİLİK gerekli her türlü teknik ve idari tedbiri alacaktır.

6.3 Kişisel Verilerin Anonimleştirilmesi
Anonim hale getirme işlemi, KERVANSARAY OTELCİLİK’in kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

7. KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA İLİŞKİN ALINAN TEDBİRLER
7.1 Kişisel Verilerin Saklanmasına İlişkin Alınan Teknik Tedbirler
Kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurulur. Kişisel verilere yalnızca yetkili çalışanlar erişebilmektedir. Yetkili çalışanların dahi erişemeyeceği kişisel veriler, anahtar ve şifre yöntemleri ile korunmaktadır. KERVANSARAY OTELCİLİK, çalıştığı 3. kişilerden de verilerin saklanmasında belirli standartların yerine getirilmesine ilişkin taahhütler talep eder. Bununla birlikte KERVANSARAY OTELCİLİK, kişisel verilerin kaybolmaması ve hukuk dışı kullanılmaması için gerekli önlemleri alır.

7.2 Kişisel Verilerin Saklanmasına İlişkin Alınan İdari Tedbirler
Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmakla birlikte, kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerini almaktayız.

8. KİŞİSEL VERİLERİN İMHASINA İLİŞKİN ALINAN TEDBİRLER
8.1 Kişisel Verilerin İmhasına İlişkin Alınan Teknik Tedbirler
Veri işlenmesi ve imhasından sorumlu ünite, silme işlemine konu teşkil edecek kişisel verileri belirler, her bir kişisel veri için ilgili kullanıcıları tespit eder. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri kapatılır ve ortadan kaldırılır.
Bulut sistemler ve merkezi sunucuda yer alan veriler silme komutu verilerek silinir. Veri tabanlarında bulunan verilerin ilgili satırları veri tabanı komutları (Delete) ile silinir. Bütün bu işlemlerde ilgili kullanıcının silinmiş verileri geri getirme yetkisi varsa kaldırılır. Diğer kayıt ortamlarında bulunan veriler için silme (karartma. vs), yok etme (fiziksel yok etme, de-manyetize etme, üzerine yazma) ya da anonimleştirme yöntemlerinden biri tercih edilir. Seçilecek imha yöntemi için ilgili tüm ortamlar tespit edilir ve verinin bulunduğu sistemin türü göz önüne alınır.

8.2 Kişisel Verilerin İmhasına İlişkin Alınan İdari Tedbirler
Kişisel verilerin korunması ve imhası ile ilgili mevzuat dahilinde çalışanlara bilgi verilir. İş yeri dahilinde özellikle fiziksel imhaya ilişkin gerekli ekipman bulundurulur.

9. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası aşağıdaki şekillerde gerçekleştirilir:

9.1 Silme Komutu
Bulut sisteminde ve veri tabanlarında bulunan veriler silme komutu verilerek silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi veya veri tabanı üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilir. Kişisel verilerin şifreleme anahtarlarının tüm kopyaları da imha edilir. Gerekli durumlarda bulut sistemi yöneticisinden imha konusunda yardım alınır.

9.2 Anonimleştirme Yöntemleri
Anonimleştirme söz konusu olduğunda verinin niteliği, büyüklüğü, çeşitliliği, fiziki ortamlarda bulunma yapısı, işleme sıklığı, aktarılacak tarafın güvenirliği, verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması vb. özellikler dikkate alınarak uygun yöntem seçilip anonimleştirme uygulanır.

9.3 Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

9.4 Manyetize Etme
Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
9.5 Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir. Kâğıt ortamında bulunan kişisel veriler de gerekli durumlarda kâğıt imha veya kırpma makineleri ile yok edilir.
Yazıcı, kapı giriş turnikesi, ağ cihazları, mobil telefonlar vb. ortamlarda bulunan kişisel verilerin imhası için yukarıdaki yöntemlerden uygun olan seçilir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

10. SAKLAMA VE İMHA SÜRELERİ
10.1 Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak mevzuatın öngördüğü aralıklar dahilinde imha edilir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin bu işlemlerin kayıtları, diğer hukuki yükümlülüklerden ari en az 3 yıl süre ile saklanır.

10.2 Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci
Veri sahiplerinin KERVANSARAY OTELCİLİK’e başvuru yaparak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda KERVANSARAY OTELCİLİK, kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. KERVANSARAY OTELCİLİK, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa KERVANSARAY OTELCİLİK bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, KERVANSARAY OTELCİLİK ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

11. POLİTİKA’NIN YÜRÜRLÜK TARİHİ VE POLİTİKA’DA YAPILACAK GÜNCELLEMELER
1. İlgili mevzuatta yapılacak değişikliğin ardından Politika’da güncelleme yapılabilir.
2. KERVANSARAY OTELCİLİK, Politika üzerinde yaptığı değişiklikleri incelenebilecek şekilde e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal internet üzerinden çalışanlarının erişimine sunacaktır. İşbu Politika …/…/… tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.

İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş 
KVKK KAPSAMINDA VERİ SORUMLUSUNA BAŞVURU METNİ

6698 Sayılı KVK Kanunu’nda veri sahibinin veri sorumlusuna başvuru hakkı düzenlenmiştir. Bu kapsamda ilgili kişi (“başvuru sahibi”) veri sorumlusu KERVANSARAY OTELCİLİK’e başvurarak Kanun’un 11. maddesinde yer verilen:
• Kişisel verilerinin işlenip işlenilmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK kapsamında belirtilmiş olan esaslar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
• Verilerinin yanlış aktarılması, silinmesi veya yok edilmesi gibi durumlarda bu durumun, verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerinin, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini talep etme,
Haklarının yerine getirilmesini isteyebilir.

KVK Kanunu’nun 13’üncü maddesinin birinci fıkrası: “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.” hükmü uyarınca yazılı olarak ya da Kişisel Verilerin Korunması Kurumu tarafından belirlenen diğer yöntemler ile yapılan başvurular, KVK Kanunu’nun 13’üncü maddesinin 2’inci fıkrası gereğince, talebin niteliğine göre başvurunun KERVANSARAY OTELCİLİK’e ulaştığı tarihten itibaren en kısa sürede ve en geç otuz gün içinde sonuçlandırılacaktır.

Bu çerçevede yapılacak olan başvuruda başvuru sahibinin;
a) Adı, soyadı ve başvuru yazılı ise imzasının,
b) Türkiye Cumhuriyeti vatandaşı ise T.C. kimlik numarasının, yabancı ise uyruğunun, pasaport numarasının veya kimlik numarasının (varsa),
c) Tebligata esas yerleşim yeri veya iş yeri adresinin,
d) Bildirime esas elektronik posta adresinin (varsa), telefon / faks numarasının,
e) Talep konusunun,
Bulunması zorunludur.
Başvuru sahipleri, “Kocatepe Mah. Lamartin Cad. No:22-24 Beyoğlu/İSTANBUL” adresine gelerek kimliklerini tesvik edici bir belge ile bizzat başvuruda bulunabilecekleri gibi, Noter Vasıtasıyla, 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan Güvenli Elektronik İmza ile imzalanmış Kayıtlı Elektronik Posta (KEP) yoluyla veya infobodrum@artshotel.com.tr adresine gönderecekleri bir mail ile başvuruda bulunabilirler. Ayrıca, Kişisel Verileri Koruma Kurumu’nun belirleyeceği diğer yöntemler duyurulduktan sonra bu yöntemler üzerinden de başvuruların ne şekilde alınacağı KERVANSARAY OTELCİLİK tarafından duyurulacaktır.

Forma Ulaşmak İçin lütfen Tıklayınız