KİŞİSEL VERİLERİ İŞLEME POLİTİKASI
1. Giriş
İşbu kişisel verileri işleme politikası KARALAR PETROL TAR. TUR. NAK. Ve TİC LTD. ŞTİ. SENSITIVE PREMIUM RESORT & SPA: kısaca (“ŞİRKET”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin işlenmesine ilişkin ŞİRKET tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
2. Kapsam
Çalışanlarımızın, çalışan adaylarımızın, misafirlerimizin ve herhangi bir nedenle ŞİRKET nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri işbu Kişisel Veri İşleme Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.
3. Tanımlar
Kanun/KVKK: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kurul/Kurum: Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
İlgili Kişi: Kişisel verisi işlenen kişi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle alınan rıza.
Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Aydınlatma Yükümlülüğü: Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi verilmesi.
Sedna: Misafir verilerinin yer aldığı Ön büro, Muhasebe, Satın Alma, Misafir İlişkileri,I.K. Otomasyon Sistemi.
İmha Politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü elektronik ortam.
Şirket: KARALAR PETROL MAM. TAR. TUR. NAK. Ve TİC LTD. ŞTİ.
4. Kişisel Verilerin İşlenmesi ile İlgili İlkeler
4.1 Hukuka ve dürüstlük kurallarına uygun olma: ŞİRKET, kişisel verilerin işlenmesi sırasında, ilgili kişilerin münferit haklarını korumaktadır. Kişisel veriler, hukuka uygun ve adil bir şekilde toplanarak işlenmektedir.
4.2 Belirli, açık ve meşru (şeffaflık) amaçlar için işlenme ve işlendikleri amaçla bağlantılı sınırlı ve ölçülü olma: ŞİRKET tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. ŞİRKET, kişisel verileri yalnızca ilgili kişilere daha iyi hizmet verebilmek amacıyla işlemektedir. Kişisel verilerin elde edilmesi sırasında; İlgili kişi, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel veri işlemenin amacı, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile İlgili kişinin hakları konuları hakkında bilgilendirilmektedirler.
4.3 İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme: ŞİRKET, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Kişisel verilerin işlendikleri amaçları için gerekli addedildiği, düzenleyici otoriteler ve/veya ilgili kanun ve yönetmelikler tarafından zorunlu kılındığı sürece ŞİRKET ve kontrolü altındaki iştirakleri, işbu politika tarafından ortaya koyulan amaçlara uygun olarak kişisel verileri işlemeye ve muhafaza etmeye devam edecektir.
5. Veri İşleme Kapsamı
Kişisel veri işleme iki farklı şekilde gerçekleştirilmektedir.
Verilerin tamamen veya kısmen otomatik olarak işlenmesi; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla işbu politikanın belirtilen ilgili kişi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanmasını kapsar.
Otomatik olmayan yollarla veri işlenmesi/elde edilmesi; herhangi bir kayıt sisteminin parçası olmak kaydıyla, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesini kapsar.
5.1 ŞİRKET, sunduğu hizmetlerinin kullanıldığı süre boyunca ve hizmet ilişkisinin sona ermesinin ardından işbu politikada belirtilen amaçlara uymak suretiyle, ilgili kişinin kişisel bilgilerini işleme hakkına sahip olacaktır.
5.2 ŞİRKET, tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olan bir sistemin parçası olmak kaydı ile otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar.
5.3 ŞİRKET, ilgili kişinin veya ilgili kişinin velayeti altında bulunan kişilerin verilerini işler.
5.4 Veri işleme ayrıca, ŞİRKET’in talimatlarıyla ve/veya ŞİRKET’in veri işleyen olduğu ve bir üçüncü tarafın lehine ve onun talimatlarıyla hareket ettiğinde, ilgili kişi ve/veya üçüncü tarafların açık rızası ile verilen verileri paylaşmayı kapsar.
5.5 İlgili kişinin açık rızası, ilgili kişinin çeşitli elektronik kanallar kullanırken (web tarayıcı, web sitesi, internet, mobil uygulamalar, ödeme işlemleri, para transferi ve alımı için kullanılan teknik yöntemler ve kanallar dahil olmak ancak bununla sınırlı olmamak üzere) ŞİRKET tarafından faaliyetlerinin kaydedilmesi ve işlenmesini de kapsamaktadır. (Örneğin; elektronik kanal kullanılırken ilgili kişinin lokasyonunu belirleme, girdi verilerini, ürün seçim sıklığını ve/veya diğer istatistiki verileri tanımlama ve analiz etme gibi)
6. Veri İşlemenin Temelleri
6.1 İlgili kişi, ŞİRKET hizmetlerinin kullanımı süresince ve akdi ilişkisi sonlansa dahi, ŞİRKET’in aşağıdaki amaçları kapsamında, ilgili kişiyle ait veya ilgili kişi tarafından belirtilen üçüncü taraflara ait bilgileri işlemesinin gerekli olduğunu kabul eder.
a) İlgili kişiye yönelik bir hizmetin verilebilmesi ve/veya uygulanması,
b) ŞİRKET ve/veya üçüncü tarafların hukuki haklarının korunması amacıyla veri işlemenin zorunlu olması,
c) ŞİRKET hukuki yükümlülüklerinin yerine getirilmesi,
d) İlgili kişi ile ŞİRKET arasında bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, ilgili kişiye ait kişisel verilerin işlenmesinin gerekli olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin açık rıza gösterdiği diğer hususlar,
g) Mevzuatta açıkça öngörülen diğer hususlar.
6.2 İlgili kişinin vermiş olduğu açık rıza, ilgili kişinin politikayı ve hükümlerini kabul ettiği, anlamına gelecektir.
7. Veri İşleme Amaçları
ŞİRKET ve/veya ilgili kişilerin rızası ile paylaşılan kişisel verileri işleyen üçüncü taraflar, ilgili kişinin veya ilgili kişi velayeti altında bulunan kişilerin kişisel verilerini aşağıdaki amaçlarla işleyebilir.
a) Konaklama hizmetlerinin beyan edildiği biçimde gerçekleştirilmesi, verilen hizmetlerin misafire daha iyi ve güvenilir verilebilmesi, yürütülmesi,
b) Bilgi araştırması ve anket değerlendirmeleri yapılması, planlama, istatistik, arşivleme, saklama hizmetlerinin verilebilmesi, müşteri memnuniyeti çalışmalarının yapılabilmesi,
c) ŞİRKET hizmetlerinin optimize edilmesi ve geliştirilmesi için, ilgili kişinin konaklama geçmişi ve/veya davranış modellerinin kontrol edilmesi gerekli olması,
d) ŞİRKET’in yeni ve/ veya ilave bir hizmet veya hizmet dışı ürün teklif edebillmesi,
e) ŞİRKET’in sunmuş olduğu hizmetin mevcut koşulların değiştirilmesi,
f) ŞİRKET’in istatistiki verileri analiz etmesi, çeşitli raporların, araştırmaların ve/veya sunumların hazırlanması ve sunulması,
g) Güvenliğin sağlanmasının yanı sıra; suistimalin, diğer suç teşkil eden faaliyetlerin tespit edilmesi ve/veya önlenmesi,
h) İlgili kişinin şikayet, soru ve taleplerinin karşılanması,
ı) İlgili kişinin kimlik bilgilerinin doğrulanması,
j) Konaklama hizmetine yönelik tanıtım, pazarlama, promosyon ve kampanya faaliyetlerinin yapılması,
k) Ulusal ve uluslararası kanun ve mevzuatlarda öngörülen diğer amaçları gerçekleştirilmesi.
8. Verinin İşlenmesi, Aktarımı veya Açıklanması
ŞİRKET, kişisel verilerin işlenmesi, aktarılması veya açıklanması süreçlerine ilişkin olarak ilgili mevzuat ve kurul ilke kararları ile yüklenen yükümlülükleri yerine getirmektedir. İşbu politikanın belirlediği amaçlara uygun olarak, ilgili kişi ve üçüncü tarafların, aşağıda belirtilen kişisel verileri dahil olmak ve ancak bunlarla sınırlı olmamak üzere; ŞİRKET’in sunduğu, konaklama hizmeti içeriğine ve çeşitliliğine bağlı olarak her türlü bilginin işlenmesi, aktarımı ve/veya açıklanması için; İlgili kişinin adı ve soyadı,Kişisel kimlik numarası ve/veya kimlik kartında bulunan özgün özellik, Kayıtlı olunan ve/veya ikamet edilen adres, Telefon/cep telefonu numarası, E-posta adresi, İşverenle ilgili veri, ayrıca istihdam koşullarıyla ilgili bilgi (çalışma yeri, ücret, çalışma saatleri, vb.), Çeşitli elektronik kanallar ve/veya internet kullanılırken (web çerezleri vb. dahil olmak ancak bununla sınırlı olmamak üzere) ve yukarıda anılan kanallar kullanılırken ilgili kişinin ve/veya ilgili kişi tarafından belirtilen üçüncü tarafların faaliyetleri (bu kanalların doğrulanması, yapılan eylemler veya işlem geçmişi dahil olmak ancak bununla sınırlı olmamak üzere), İlgili kişinin hizmet alım süresince birlikte konakladığı kişilerle ilgili verileri kullanmaktadır.
8.1 ŞİRKET’in hizmetlerinden faydalanmak amacı ile ilgili kişi (Kişisel veri, özel nitelikli kişisel veri vb. dahil olmak ancak bununla sınırlı olmamak üzere), üçüncü kişilerinde (Aile üyeleri, işveren, vb.) kişisel verilerini ŞİRKET’e verirse; bu kişisel verilerin işlenmesi için gerekli rızanın alınmasından, verileri ŞİRKET’e veren ilgili kişi sorumlu olacaktır.
8.2 İlgili kişi, ŞİRKET (veya yetkili personeline) söz konusu bilgiyi verirse, ilgili kişinin gerekli açık rızayı verdiği varsayılır ve ŞİRKET’in bu açık rızayı alma zorunluluğu ortadan kalkmış olur.
8.3 İlgili kişinin açık rızası alınmadan kişisel ve/veya özel nitelikli kişisel verilerin işlenmesi ve bu işleme neticesinde ilgili kişinin bir zararının doğması halinde ŞİRKET bu zararı karşılamakla mükelleftir.
8.4 İlgili kişinin açık rızası, ilgili kişinin çeşitli elektronik kanallar kullanırken (Web tarayıcı, web sitesi, internet, mobil uygulamalar, ödeme işlemleri, para transferi ve alımı için kullanılan teknik yöntemler ve kanallar dahil olmak ancak bununla sınırlı olmamak üzere) ŞİRKET tarafından faaliyetlerinin kaydedilmesi ve işlenmesini de kapsamaktadır. (Örneğin; elektronik kanal kullanılırken ilgili kişinin lokasyonunu belirleme, girdi verilerini, ürün seçim sıklığını ve/veya diğer istatistiki verileri tanımlama ve analiz etme gibi)
8.5 ŞİRKET, ilgili kişi tarafından verilen telefon, cep telefonu numarası, e-posta adresi ve diğer iletişim bilgilerini, ilgili kişinin reddetme hakkını kullanana kadar SMS gönderme, sesli ve/veya diğer türlü pazarlama mesajları gönderme (Doğrudan pazarlama yapma) dahil 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında ticari elektronik ileti gönderme hakkına sahiptir.
8.6 İlgili kişi, ŞİRKETE, kendisine ait kişisel verileri, ŞİRKET’in bağlı ortaklıklarıyla ve /veya hissedarlarıyla çeşitli pazarlama tekliflerinde bulunulması amacıyla paylaşma hakkı vermektedir.
8.7 ŞİRKET’in hizmet noktalarında yer alan reklam/bilgi mesajları (örneğin reklam broşürü, tanıtıcı görseller, sözlü teklifler vb.) veya ŞİRKET’in (veya ŞİRKET ‘in bağlı ortaklıklarının), internet, mobil pazarlama gibi elektronik kanalların kullanımı sırasında gösterilen içerikler doğrudan pazarlama olarak nitelendirilemeyecek olup, ilgili kişinin bu tür içeriklerin yayınlamasının ve/veya gösteriminin sona erdirilmesini talep etme hakkı olmayacaktır.
9. Başvuru Sahiplerinin Veya Çalışanların Verilerinin İşlenmesi
9.1 Hizmet sözleşmesi akdetmek, ifa etmek, sürdürmek ve feshetmek amacıyla kişisel verilerin işlenmesi: Hizmet sözleşmesinden doğan özlük haklarının yerine getirilmesi ve bunların kesintisiz olarak sürdürülmesi, çalışanlara sağlanacak iş sağlığı ve güvenliği hizmeti, çalışma izni işlemlerinin yerine getirilmesi, kişisel iş başvurularının değerlendirilmesi, araştırma ve diğer işe alım süreçlerinin yürütülmesi performans değerlendirmesi ve takibi, eğitim faaliyetleri, çalışma koşullarının iyileştirilmesi, kişisel gelişim süreçlerinin yürütülmesi gibi insan kaynakları ve eğitim süreçlerinin yerine getirilmesi gibi amaçlarla ŞİRKET, ilgili kişinin iş, deneme süresi ve/veya staja başlaması sebebiyle açıkladığı kişisel bilgilerini işleme hakkına sahiptir.
İşe başvuru sürecinde, üçüncü taraflardan başvuru sahibiyle ilgili bilgi toplanması 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri çerçevesinde yapılmaktadır.
İş ilişkisiyle ilgili olan ancak ilk başta iş akdinin ifasının bir parçası olmayan kişisel verinin işlenmesi için başvuru sahibinin açık rızası gerekmektedir.
9.2 Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel Nitelikli kişisel veriler, yalnızca ilgili kişinin özel nitlelikli kişisel verilerinin işlenmesi yönündeki açık rızasıyla işlenebilmektedir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel veriler ise; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesine uyulmaktadır.
10. Üçüncü Taraflara/Taraflardan Bilgi Aktarımı/Paylaşımı
ŞİRKET’in ilgili kişiye hizmet verebilmesi için veri işleme kapsamında, ilgili kişi ve/veya ilgili kişi tarafından belirtilen üçüncü taraflarla işbu politikanın aktarımı/paylaşımı yapılmaktadır. İlgili kişi, ŞİRKET’e kişisel verilerinin; tüm departman, internet, çağrı merkezleri, kamu kurum ve kuruluşları ile ŞİRKET’in faaliyetlerinin tamamlayıcısı veya uzantısı niteliğindeki hizmetleri aldıkları taraflar, tedarikçileri vasıtasıyla verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının haklarını vermektedir.
11. Veri Sorumlusu ve Veri İşleyenin Yükümlülüğü
11.1 İşbu politikanın hükümlerine istinaden; ŞİRKET, bazı kişisel veri türlerini işlerken, veri işleyen olup üçüncü taraflar dahil olmak üzere veri sorumlusu adına hareket edebilir. Veri sorumlusu, bazı kişisel verilerde üçüncü taraflar için veri işleyen olabilir. Buna bağlı olarak, böyle bir ilişkinin taraflarından her biri (veri işleyenin yanı sıra veri sorumlusu), Kişisel Verilerin Korunması Kanunu’na uygun hareket eder. Bu nedenle;
a) Kişisel veriler, mevzuatta yer alan ilkelere uygun olarak işlenmektedir.
b) İlgili kişinin açık rızası alınır, gerekli bilgilendirmeler ve aydınlatmalar yapılmaktadır.
Veri sorumlusu aşağıdakilerin gerçekleşmesi halinde; ilgili kişi tarafından kendi kişisel verileriyle ilgili bilgiler hususunda bir talepte bulunduğunda, Veri sorumlusunun mevzuatın getirdiği zorunluluklara uyumu ile ilgili bir şikayet veya beyanın iletildiğinde, en kısa sürede ve en geç 30 gün içerisinde ilgili kişiye bildirimde bulunur.
Ayrıca, Veri işlenmesi esnasında taraflardan biri veri işleyeni ve diğeri veri sorumlusunu temsil ediyorsa, veri işleyen aşağıdaki yükümlülükleri yerine getirir. Veri işleyen şunları yapmakla yükümlüdür;
12. Veri Güncelleme, İşleme, Elde Tutma Dönemi ve Veri İmhası
Erişim yetki ve kontrol matris sistemi kullanılmaktadır. Her bir kişisel veri için ilgili kullanıcılar tespit edilmekte, İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri tespit edilmekte, iş akdi fesih ya da pozisyon değişikliği vb. durumlarda ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri güncellenmekte, kapatılmakta ve ortadan kaldırılmaktadır.
Merkezi sunucuda yer alan ofis dosyaları, dosyanın işletim sistemindeki silme komutu ile silinmekte veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Varsa taşınabilir belleklerde bulunan kişisel veriler şifreli olarak saklanmaktadır ve bu ortamlara uygun yazılımlar ile silinmektedir. Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinmektedir. İşlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olup olmadığına dikkat edilmektedir.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. ŞİRKET, Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilmekte ve verilerin bulunduğu sistemler optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmektedir. Optik veya manyetik medyayı eritme, yakma, toz haline getirme ya da bir metal öğütücüden geçirme gibi işlemlerle verilere erişilmemesi sağlanmaktadır. Ağ cihazları (switch, router vb.) silme komutu ile, mobil telefonlar (sim kart ve sabit hafıza alanları); taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu ve fiziksel yok etme yöntemleriyle, optik diskler; CD, DVD gibi veri saklama ortamları, yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir. Arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi ise veri saklama ortamı sökülerek saklanmakta, arızalı diğer parçaları üretici, satıcı, servis gibi üçüncü kurumlara gönderilmektedir. Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartması engellenmekte ve gerekli tedbirler alınmaktadır.
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinden ilgili veriye uygun olan biri seçilerek veriler anonim hale getirilmektedir.
13. İlgili Kişinin Hakları
Her ilgili kişi; kişisel verilerin işlenip işlenmediğini öğrenme, kişisel veriler işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin yurt içinde veya yurtdışında üçüncü kişilere aktarıldığının bildirilmesini isteme, İşlenen verilerin sadece otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
14. Veri İşlemenin Gizliliği
15. Veri İşleme Güvenliği
Kişisel veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin kazara kaybına, değiştirilmesine veya imhasına karşı korunmaktadır. Veriler ister elektronik ortamda ister kâğıt üzerinde işlensin koruma kapsamındadır. Kişisel verileri korumaya yönelik teknik ve idari tedbirlerin alınması açısından yeni ve ileri veri işleme yöntemleri ve bilgi teknolojisi sistemleri takip edilmektedir.
16. Veri Koruma Kontrolü
İşbu Veri Koruma Politikasına ve ilgili veri koruma kanunlarına uyulup uyulmadığı hususu, ŞİRKET ilgili birimlerinde görevli yetkili kişiler tarafından düzenli olarak kontrol edilmektedir. Kişisel verileri koruma kurumu, ulusal kanunlarca izin verildiği şekilde, ŞİRKET’in, iştiraklerinin ve bağlı ortaklıklarının işbu politikanın hükümlerine uyum durumunu bizzat denetleyebilmektedir.
İlgili kişi, bu politikanın ve Kişisel Verileri Korunması Kanunun uygulanması ile ilgili taleplerini yazılı olarak Veri Sorumlusuna ilettiğinde, Veri Sorumlusu başvuruda yer alan talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde talebi ücretsiz olarak sonuçlandırmaktadır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler alınmaktadır.