KVKK

KİŞİSEL VERİLERİ İŞLEME POLİTİKASI

1. Giriş

İşbu kişisel verileri işleme politikası KARALAR PETROL TAR. TUR. NAK. Ve TİC LTD. ŞTİ. SENSITIVE PREMIUM RESORT & SPA: kısaca (“ŞİRKET”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin işlenmesine ilişkin ŞİRKET tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

2. Kapsam

Çalışanlarımızın, çalışan adaylarımızın, misafirlerimizin ve herhangi bir nedenle ŞİRKET nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri işbu Kişisel Veri İşleme Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

3. Tanımlar

Kanun/KVKK: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

      Kurul/Kurum: Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu.

      Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

      İlgili Kişi: Kişisel verisi işlenen kişi.

      Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle alınan rıza.

      Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

      Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

      Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

      Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

      Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

      Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

      Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

      Aydınlatma Yükümlülüğü: Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;  Veri sorumlusunun ve varsa temsilcisinin kimliği,  Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,  Kişisel veri toplamanın yöntemi ve hukuki sebebi,  Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi verilmesi.

      Sedna: Misafir verilerinin yer aldığı Ön büro, Muhasebe, Satın Alma, Misafir İlişkileri,I.K. Otomasyon Sistemi.

      İmha Politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.

      Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü elektronik ortam.

      Şirket: KARALAR PETROL MAM. TAR. TUR. NAK. Ve TİC LTD. ŞTİ.

4. Kişisel Verilerin İşlenmesi ile İlgili İlkeler

4.1 Hukuka ve dürüstlük kurallarına uygun olma: ŞİRKET, kişisel verilerin işlenmesi sırasında, ilgili kişilerin münferit haklarını korumaktadır. Kişisel veriler, hukuka uygun ve adil bir şekilde toplanarak işlenmektedir.

4.2 Belirli, açık ve meşru (şeffaflık) amaçlar için işlenme ve işlendikleri amaçla bağlantılı sınırlı ve ölçülü olma: ŞİRKET tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. ŞİRKET, kişisel verileri yalnızca ilgili kişilere daha iyi hizmet verebilmek amacıyla işlemektedir. Kişisel verilerin elde edilmesi sırasında; İlgili kişi, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel veri işlemenin amacı, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile İlgili kişinin hakları konuları hakkında bilgilendirilmektedirler.

4.3 İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme: ŞİRKET, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Kişisel verilerin işlendikleri amaçları için gerekli addedildiği, düzenleyici otoriteler ve/veya ilgili kanun ve yönetmelikler tarafından zorunlu kılındığı sürece ŞİRKET ve kontrolü altındaki iştirakleri, işbu politika tarafından ortaya koyulan amaçlara uygun olarak kişisel verileri işlemeye ve muhafaza etmeye devam edecektir.

1. Bilgilerin doğruluğu, verilerin güncelliği: ŞİRKET, işlenmiş kişisel verileri doğru, eksiksiz ve gerekiyorsa güncel tutmaktadır. Gerekli durumlarda; doğru olmayan veya eksik olan verilerin silinmesi, düzeltilmesi, tamamlanması veya güncellenmesi sağlanmaktadır.
2. Gizlilik ve veri güvenliği: Kişisel veri, veri gizliliğine tabidir. Kişisel düzeyde gizli olarak değerlendirilmekte ve yetkisiz erişim, hukuka aykırı olarak işleme veya dağıtımın yanı sıra kazara kayıp, değişiklik veya tahribatın önlenmesi ve kişisel verilerin muhafazasının sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirler alınmaktadır.

5. Veri İşleme Kapsamı

Kişisel veri işleme iki farklı şekilde gerçekleştirilmektedir.

Verilerin tamamen veya kısmen otomatik olarak işlenmesi; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla işbu politikanın belirtilen ilgili kişi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanmasını kapsar.

Otomatik olmayan yollarla veri işlenmesi/elde edilmesi; herhangi bir kayıt sisteminin parçası olmak kaydıyla, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesini kapsar.

5.1 ŞİRKET, sunduğu hizmetlerinin kullanıldığı süre boyunca ve hizmet ilişkisinin sona ermesinin ardından işbu politikada belirtilen amaçlara uymak suretiyle, ilgili kişinin kişisel bilgilerini işleme hakkına sahip olacaktır.

5.2 ŞİRKET, tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olan bir sistemin parçası olmak kaydı ile otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar.

5.3 ŞİRKET, ilgili kişinin veya ilgili kişinin velayeti altında bulunan kişilerin verilerini işler.

5.4 Veri işleme ayrıca, ŞİRKET’in talimatlarıyla ve/veya ŞİRKET’in veri işleyen olduğu ve bir üçüncü tarafın lehine ve onun talimatlarıyla hareket ettiğinde, ilgili kişi ve/veya üçüncü tarafların açık rızası ile verilen verileri paylaşmayı kapsar.

5.5 İlgili kişinin açık rızası, ilgili kişinin çeşitli elektronik kanallar kullanırken (web tarayıcı, web sitesi, internet, mobil uygulamalar, ödeme işlemleri, para transferi ve alımı için kullanılan teknik yöntemler ve kanallar dahil olmak ancak bununla sınırlı olmamak üzere) ŞİRKET tarafından faaliyetlerinin kaydedilmesi ve işlenmesini de kapsamaktadır. (Örneğin; elektronik kanal kullanılırken ilgili kişinin lokasyonunu belirleme, girdi verilerini, ürün seçim sıklığını ve/veya diğer istatistiki verileri tanımlama ve analiz etme gibi)

    6. Veri İşlemenin Temelleri

6.1 İlgili kişi, ŞİRKET hizmetlerinin kullanımı süresince ve akdi ilişkisi sonlansa dahi, ŞİRKET’in aşağıdaki amaçları kapsamında, ilgili kişiyle ait veya ilgili kişi tarafından belirtilen üçüncü taraflara ait bilgileri işlemesinin gerekli olduğunu kabul eder.

      a) İlgili kişiye yönelik bir hizmetin verilebilmesi ve/veya uygulanması,

b) ŞİRKET ve/veya üçüncü tarafların hukuki haklarının korunması amacıyla veri işlemenin zorunlu olması,

c) ŞİRKET hukuki yükümlülüklerinin yerine getirilmesi,

d) İlgili kişi ile ŞİRKET arasında bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, ilgili kişiye ait kişisel verilerin işlenmesinin gerekli olması,

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

      f) İlgili kişinin açık rıza gösterdiği diğer hususlar,

     g) Mevzuatta açıkça öngörülen diğer hususlar.

6.2 İlgili kişinin vermiş olduğu açık rıza, ilgili kişinin politikayı ve hükümlerini kabul ettiği, anlamına gelecektir. 

7. Veri İşleme Amaçları

ŞİRKET ve/veya ilgili kişilerin rızası ile paylaşılan kişisel verileri işleyen üçüncü taraflar, ilgili kişinin veya ilgili kişi velayeti altında bulunan kişilerin kişisel verilerini aşağıdaki amaçlarla işleyebilir.

a) Konaklama hizmetlerinin beyan edildiği biçimde gerçekleştirilmesi, verilen hizmetlerin misafire daha iyi ve güvenilir verilebilmesi, yürütülmesi, 

b) Bilgi araştırması ve anket değerlendirmeleri yapılması, planlama, istatistik, arşivleme, saklama hizmetlerinin verilebilmesi, müşteri memnuniyeti çalışmalarının yapılabilmesi,

c) ŞİRKET hizmetlerinin optimize edilmesi ve geliştirilmesi için, ilgili kişinin konaklama geçmişi ve/veya davranış modellerinin kontrol edilmesi gerekli olması,

          d) ŞİRKET’in yeni ve/ veya ilave bir hizmet veya hizmet dışı ürün teklif edebillmesi,

          e) ŞİRKET’in sunmuş olduğu hizmetin mevcut koşulların değiştirilmesi,

f) ŞİRKET’in istatistiki verileri analiz etmesi, çeşitli raporların, araştırmaların ve/veya sunumların hazırlanması ve sunulması,

g) Güvenliğin sağlanmasının yanı sıra; suistimalin, diğer suç teşkil eden faaliyetlerin tespit edilmesi ve/veya önlenmesi,

          h) İlgili kişinin şikayet, soru ve taleplerinin karşılanması,

          ı) İlgili kişinin kimlik bilgilerinin doğrulanması,

     j) Konaklama hizmetine yönelik tanıtım, pazarlama, promosyon ve kampanya faaliyetlerinin yapılması,

     k) Ulusal ve uluslararası kanun ve mevzuatlarda öngörülen diğer amaçları gerçekleştirilmesi.

8. Verinin İşlenmesi, Aktarımı veya Açıklanması

ŞİRKET, kişisel verilerin işlenmesi, aktarılması veya açıklanması süreçlerine ilişkin olarak ilgili mevzuat ve kurul ilke kararları ile yüklenen yükümlülükleri yerine getirmektedir. İşbu politikanın belirlediği amaçlara uygun olarak, ilgili kişi ve üçüncü tarafların, aşağıda belirtilen kişisel verileri dahil olmak ve ancak bunlarla sınırlı olmamak üzere; ŞİRKET’in sunduğu, konaklama hizmeti içeriğine ve çeşitliliğine bağlı olarak her türlü bilginin işlenmesi, aktarımı ve/veya açıklanması için; İlgili kişinin adı ve soyadı,Kişisel kimlik numarası ve/veya kimlik kartında bulunan özgün özellik, Kayıtlı olunan ve/veya ikamet edilen adres, Telefon/cep telefonu numarası, E-posta adresi, İşverenle ilgili veri, ayrıca istihdam koşullarıyla ilgili bilgi (çalışma yeri, ücret, çalışma saatleri, vb.), Çeşitli elektronik kanallar ve/veya internet kullanılırken (web çerezleri vb. dahil olmak ancak bununla sınırlı olmamak üzere) ve yukarıda anılan kanallar kullanılırken ilgili kişinin ve/veya ilgili kişi tarafından belirtilen üçüncü tarafların faaliyetleri (bu kanalların doğrulanması, yapılan eylemler veya işlem geçmişi dahil olmak ancak bununla sınırlı olmamak üzere),  İlgili kişinin hizmet alım süresince birlikte konakladığı kişilerle ilgili verileri kullanmaktadır.

8.1 ŞİRKET’in hizmetlerinden faydalanmak amacı ile ilgili kişi (Kişisel veri, özel nitelikli kişisel veri vb. dahil olmak ancak bununla sınırlı olmamak üzere), üçüncü kişilerinde (Aile üyeleri, işveren, vb.) kişisel verilerini ŞİRKET’e verirse; bu kişisel verilerin işlenmesi için gerekli rızanın alınmasından, verileri ŞİRKET’e veren ilgili kişi sorumlu olacaktır.

8.2 İlgili kişi, ŞİRKET (veya yetkili personeline) söz konusu bilgiyi verirse, ilgili kişinin gerekli açık rızayı verdiği varsayılır ve ŞİRKET’in  bu açık rızayı  alma zorunluluğu ortadan kalkmış olur.

8.3 İlgili kişinin açık rızası alınmadan kişisel ve/veya özel nitelikli kişisel verilerin işlenmesi ve bu işleme neticesinde ilgili kişinin bir zararının doğması halinde ŞİRKET bu zararı karşılamakla mükelleftir.

8.4 İlgili kişinin açık rızası, ilgili kişinin çeşitli elektronik kanallar kullanırken (Web tarayıcı, web sitesi, internet, mobil uygulamalar, ödeme işlemleri, para transferi ve alımı için kullanılan teknik yöntemler ve kanallar dahil olmak ancak bununla sınırlı olmamak üzere) ŞİRKET tarafından faaliyetlerinin kaydedilmesi ve işlenmesini de kapsamaktadır. (Örneğin; elektronik kanal kullanılırken ilgili kişinin lokasyonunu belirleme, girdi verilerini, ürün seçim sıklığını ve/veya diğer istatistiki verileri tanımlama ve analiz etme gibi)

8.5 ŞİRKET, ilgili kişi tarafından verilen telefon, cep telefonu numarası, e-posta adresi ve diğer iletişim bilgilerini, ilgili kişinin reddetme hakkını kullanana kadar SMS gönderme, sesli ve/veya diğer türlü pazarlama mesajları gönderme (Doğrudan pazarlama yapma) dahil 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında ticari elektronik ileti gönderme hakkına sahiptir.

8.6  İlgili kişi, ŞİRKETE, kendisine ait kişisel verileri, ŞİRKET’in bağlı ortaklıklarıyla ve /veya hissedarlarıyla çeşitli pazarlama tekliflerinde bulunulması amacıyla paylaşma hakkı vermektedir.

8.7 ŞİRKET’in hizmet noktalarında yer alan reklam/bilgi mesajları (örneğin reklam broşürü, tanıtıcı görseller, sözlü teklifler vb.) veya ŞİRKET’in (veya ŞİRKET ‘in bağlı ortaklıklarının), internet, mobil pazarlama gibi elektronik kanalların kullanımı sırasında gösterilen içerikler doğrudan pazarlama olarak nitelendirilemeyecek olup, ilgili kişinin bu tür içeriklerin yayınlamasının ve/veya gösteriminin sona erdirilmesini talep etme hakkı olmayacaktır.

9. Başvuru Sahiplerinin Veya Çalışanların Verilerinin İşlenmesi

9.1 Hizmet sözleşmesi akdetmek, ifa etmek, sürdürmek ve feshetmek amacıyla kişisel verilerin işlenmesi: Hizmet sözleşmesinden doğan özlük haklarının yerine getirilmesi ve bunların kesintisiz olarak sürdürülmesi, çalışanlara sağlanacak iş sağlığı ve güvenliği hizmeti, çalışma izni işlemlerinin yerine getirilmesi, kişisel iş başvurularının değerlendirilmesi, araştırma ve diğer işe alım süreçlerinin yürütülmesi performans değerlendirmesi ve takibi, eğitim faaliyetleri, çalışma koşullarının iyileştirilmesi, kişisel gelişim süreçlerinin yürütülmesi gibi insan kaynakları ve eğitim süreçlerinin yerine getirilmesi gibi amaçlarla ŞİRKET, ilgili kişinin iş, deneme süresi ve/veya staja başlaması sebebiyle açıkladığı kişisel bilgilerini işleme hakkına sahiptir.

İşe başvuru sürecinde, üçüncü taraflardan başvuru sahibiyle ilgili bilgi toplanması 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri çerçevesinde yapılmaktadır.

İş ilişkisiyle ilgili olan ancak ilk başta iş akdinin ifasının bir parçası olmayan kişisel verinin işlenmesi için başvuru sahibinin açık rızası gerekmektedir.

9.2 Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel Nitelikli kişisel veriler, yalnızca ilgili kişinin özel nitlelikli kişisel verilerinin işlenmesi yönündeki  açık rızasıyla işlenebilmektedir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,  sağlık ve cinsel hayata ilişkin kişisel veriler ise; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesine uyulmaktadır.

10. Üçüncü Taraflara/Taraflardan Bilgi Aktarımı/Paylaşımı

ŞİRKET’in ilgili kişiye hizmet verebilmesi için veri işleme kapsamında, ilgili kişi ve/veya ilgili kişi tarafından belirtilen üçüncü taraflarla işbu politikanın aktarımı/paylaşımı yapılmaktadır. İlgili kişi, ŞİRKET’e kişisel verilerinin; tüm departman, internet, çağrı merkezleri, kamu kurum ve kuruluşları ile ŞİRKET’in faaliyetlerinin tamamlayıcısı veya uzantısı niteliğindeki hizmetleri aldıkları taraflar, tedarikçileri vasıtasıyla verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının haklarını vermektedir.

11. Veri Sorumlusu ve Veri İşleyenin Yükümlülüğü

11.1 İşbu politikanın hükümlerine istinaden; ŞİRKET, bazı kişisel veri türlerini işlerken, veri işleyen olup üçüncü taraflar dahil olmak üzere veri sorumlusu adına hareket edebilir. Veri sorumlusu, bazı kişisel verilerde üçüncü taraflar için veri işleyen olabilir. Buna bağlı olarak, böyle bir ilişkinin taraflarından her biri (veri işleyenin yanı sıra veri sorumlusu), Kişisel Verilerin Korunması Kanunu’na uygun hareket eder. Bu nedenle;

a) Kişisel veriler, mevzuatta yer alan ilkelere uygun olarak işlenmektedir.

b) İlgili kişinin açık rızası alınır, gerekli bilgilendirmeler ve aydınlatmalar yapılmaktadır.

Veri sorumlusu aşağıdakilerin gerçekleşmesi halinde; ilgili kişi tarafından kendi kişisel verileriyle ilgili bilgiler hususunda bir talepte bulunduğunda, Veri sorumlusunun mevzuatın getirdiği zorunluluklara uyumu ile ilgili bir şikayet veya beyanın iletildiğinde, en kısa sürede ve en geç 30 gün içerisinde ilgili kişiye bildirimde bulunur.

Ayrıca, Veri işlenmesi esnasında taraflardan biri veri işleyeni ve diğeri veri sorumlusunu temsil ediyorsa, veri işleyen aşağıdaki yükümlülükleri yerine getirir. Veri işleyen şunları yapmakla yükümlüdür;

1. İşbu politikanın hükümleriyle tanımlandığı ve mevzuatın izin verdiği ölçü ve kapsama uyarak veya düzenleyici bir otoritenin talebiyle, taraflardan diğerinin ilettiği/açıkladığı veriyi işler,
2. Veri sorumlusu tarafından iletilmiş/açıklanmış verilerin yetkisiz işlenmesi, kaybı, tahribatı, hasara uğraması, yetkisiz değişiklik yapılmasını veya açıklamasını önlemek için, makul her türlü teknik ve idari tedbirin uygulanması ve gerekli her aksiyonun alınması ve veri sorumlusunun bu kapsamda alınan her tedbirden haberdar eder,
3. ŞİRKET, yetkili personeli aracılığıyla veri güvenliği amacıyla veri işleyen tarafından uygulanan tedbirleri ve uygulamaları denetler,
4. Veri İşleyen tarafından aşağıdakiler dahil olmak üzere, ŞİRKET tarafından iletilen/açıklanan bir şikayet veya beyanın incelenmesi konusunda iş birliği yapar ve destek olur,
5. Veri sorumlusu tarafından veri işleyene iletilen/açıklanan, ilgili kişi hakkında veriler dahil olmak üzere (elektronik veri dahil), şikayet ve beyan durumuyla ilgili detaylı bilginin talep tarihinden itibaren 7 iş günü içerisinde ŞİRKET’e sağlar, 
6. Veri İşleyen tarafından Avrupa Birliği Ekonomik Bölgesinin bir parçası olmayan ve kişisel verilerin korunması için yeterli seviyede olan ülkeler listesinde olmayan yahut ilgili kişinin ya da Kişisel Verileri Koruma Kurulu’nun aktarılmasına izin vermediği bir ülkeye ve/veya uluslararası kuruluşa veri işleme (transferi) faaliyetine engel olur,
7.  ŞİRKET’in önceden yazılı açık rızası olmaksızın; verilerin üçüncü taraflara transfer etmez/açıklamaz,
8. ŞİRKET’in önceden yazılı açık rızası olduğu durumlarda dahi; veri işleyen yazılı bir sözleşme uyarınca veriyi transfer etme/açıklamakla yükümlüdür. Sözü edilen yazılı sözleşmesinde üçüncü taraf ve onun alt yüklenicileri, verinin yetkisiz işlenmesi, kaybı, tahribatı, hasar görmesi, yetkisiz değiştirilmesi veya açıklanmasının önlenmesi için gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. 
9. Veri işleyenin (Politika ve mevzuat uyarınca) gerekli aksiyonları almaması veya tam olarak yerine getirememesinden dolayı ŞİRKET’in uğrayacağı her türlü zarar/kaybın tazmin edilmesi. Veri işleyenin ihlali sonucunda, ŞİRKET’in uğrayabileceği her türlü zarar/kayıp (netice kabilinden doğan zararlar dâhil, ancak bununla sınırlı olmamak üzere), şikayet, giderler (ŞİRKET yasal haklarını kullanmasından dolayı uğrayacağı giderler dahil, ancak bununla sınırlı olmamak üzere), yasal süreçler ve diğer yükümlülüklere karşı, zararları gidermeye ve tazminat vermeye veri işleyen açık rıza verir ve veri sorumlusu ile mutabık kalır. 
10. ŞİRKET ile veri işleyen arasında sözleşme ile aksi belirtilmediği takdirde, ŞİRKET ile veri işleyen arasındaki akdi ilişkinin sona ermesinden sonra veri işleyen; ŞİRKET’ten transfer edilen/açıklanan her türlü verinin (kişisel veri dahil olmak üzere) iade edilmesi. Üçüncü tarafların veriye yetkisiz erişimini engellemek için gereken her türlü güvenlik tedbirinin alınması, ŞİRKET tarafından transfer edilmiş/açıklanmış kişisel verilerin imha edilmesi ve bu aksiyonun alındığını teyit etmek için ŞİRKET ‘e bildirimde bulunulması ile yükümlüdür.

12. Veri Güncelleme, İşleme, Elde Tutma Dönemi ve Veri İmhası

1.  Şirket’in hizmetlerini kullanma süresi boyunca ve bu sürenin sonrasında bu politikada belirtilen amaçlara yönelik olarak, şirketin amaç ve çıkarlarıyla, denetleyici/düzenleyici makamların talepleriyle ve/veya mevzuatla tutarlı bir zaman süresi boyunca işlemeye devam etmektedir.
2.  İlgili kişinin, ŞİRKET elektronik kanalların (web tarayıcı, web sitesi, internet, mobil uygulamalar ve/veya diğer elektronik veri aktarım araçları) kullanımı esnasında aktarılan verilerin işlenmesi, ilgili kişinin verileri ilgili elektronik kanallardan silmesinden sonra da devam etmektedir.
3.  İlgili kişinin talebi üzerine mevzuata uygun kapsamda, ŞİRKET ‘te tutulan kişisel verileriyle ilgili bilgi verilmektedir.
4.  ilgili kişinin ŞİRKET ‘te tutulan kendisine ait verilerin eksik veya yanlış olması halinde, ilgili kişinin ŞİRKET’e yazılı bildirimde bulunması üzerine eksik ve yanlış verilerin tamamlanması ve düzeltilmesi sağlanmaktadır.
5.  Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar ve her halükarda 15 yıl muhafaza edilmektedir. Mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması ve ŞİRKET’in saklama süresinin bitmesi halinde kişisel veriler kendiliğinden veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
6.  Kişisel verilerin saklama ve imha sürelerinin tespitinde, aşağıda belirtilen kriterlerden yararlanılarak işlem yapılmaktadır:
   1.  Verinin saklanmasının, Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilerek,

Erişim yetki ve kontrol matris sistemi kullanılmaktadır. Her bir kişisel veri için ilgili kullanıcılar tespit edilmekte, İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri tespit edilmekte, iş akdi fesih ya da pozisyon değişikliği vb. durumlarda ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri güncellenmekte, kapatılmakta ve ortadan kaldırılmaktadır.

1.  Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 10 yıllık periyodlarda silinmekte, yok edilmekte ya da anonim hale getirilmektedir.
2.  Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde, Kanun’un “Genel ilkeler” başlıklı 4. maddesinde sayılan ilkeler ile, “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesi kapsamında alınması gereken tedbirlere, ilgili mevzuat hükümlerine, Kurum kararlarına ve işbu politikaya uygun hareket edilmektedir.
3.  Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler ŞİRKET tarafından kayıt altına alınmaktadır. Söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 10 yıl süreyle saklanmaktadır.
4.  Kişisel Verileri Koruma Kurumu tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı ŞİRKET tarafından seçilmektedir. 
5. ŞİRKET tarafından toplanan kişisel veriler çeşitli kayıt ortamlarında saklanmaktadır. Kayıt ortamlarına uygun yöntemlerle silinmektedir. Sunucularda bulunan veriler silme komutu verilerek ve/veya manuel silinmekte, kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmekte, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünmez hale getirilmektedir.

Merkezi sunucuda yer alan ofis dosyaları, dosyanın işletim sistemindeki silme komutu ile silinmekte veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Varsa taşınabilir belleklerde bulunan kişisel veriler şifreli olarak saklanmaktadır ve bu ortamlara uygun yazılımlar ile silinmektedir. Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinmektedir. İşlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olup olmadığına dikkat edilmektedir.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. ŞİRKET, Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilmekte ve verilerin bulunduğu sistemler optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmektedir. Optik veya manyetik medyayı eritme, yakma, toz haline getirme ya da bir metal öğütücüden geçirme gibi işlemlerle verilere erişilmemesi sağlanmaktadır. Ağ cihazları (switch, router vb.) silme komutu ile, mobil telefonlar (sim kart ve sabit hafıza alanları); taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu ve fiziksel yok etme yöntemleriyle, optik diskler; CD, DVD gibi veri saklama ortamları, yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir. Arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi ise veri saklama ortamı sökülerek saklanmakta, arızalı diğer parçaları üretici, satıcı, servis gibi üçüncü kurumlara gönderilmektedir. Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartması engellenmekte ve gerekli tedbirler alınmaktadır.

Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinden ilgili veriye uygun olan biri seçilerek veriler anonim hale getirilmektedir.

13. İlgili Kişinin Hakları 

Her ilgili kişi; kişisel verilerin işlenip işlenmediğini öğrenme, kişisel veriler işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin yurt içinde veya yurtdışında üçüncü kişilere aktarıldığının bildirilmesini isteme, İşlenen verilerin sadece otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

14. Veri İşlemenin Gizliliği

1.  Kişisel veriler, veri güvenliğine tabidir. ŞİRKET’in, iştiraklerinin ve/veya bağlı ortaklıklarının herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi engellenmekte ve yetkisiz kişilerin bu verileri işlemesi veya kullanması kesinlikle yasaklanmıştır. ŞİRKET’in, iştiraklerinin ve/veya bağlı ortaklıklarının görev tanımı çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu verileri işlemesi yetkisiz işlem anlamına gelmektedir. ŞİRKET’in, iştiraklerinin ve/veya bağlı ortaklıklarının çalışanları kişisel verilere ancak görev tanımı içerisinde kişisel verilere ulaşım yetkisi olması halinde erişebilir.
2.  ŞİRKET’in, iştiraklerinin ve/veya bağlı ortaklıklarının çalışanlarının kişisel verileri özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale getirmeleri yasaklanmıştır. Veri sorumlusu, işe başlangıç aşamasında çalışanlarını veri gizliliğini koruma yükümlülüğü hususunda bilgilendirmekte, çalışanlarına eğitimler vermekte ve eğitim almalarını sağlamaktadır.
3.  Mülkiyetin ve gizliliğin güvenliği-korunması ve ayrıca hizmet kalitesinin kontrolü ve ölçümlenmesi amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri gözetilerek, bina ve işyerlerinin çevresinde ve girişlerinde, mutfak ve servis background vb. ortamlarda video ve ses kaydı yapılmaktadır.
4.  İlgili kişi, ŞİRKET ilgili hizmet noktalarında ve ŞİRKET ile iletişim kurarken, uygun araçlar kullanılarak video kaydı ve video denetimi yapılmakta olduğu hususunda bilgilendirilmektedir. İlgili kişi, video ve ses kaydının önemini kabul etmekte ve işbu maddeyle ŞİRKET ‘e verilerini bu bakımdan işleme konusunda açık rıza vermektedir. 

15. Veri İşleme Güvenliği

Kişisel veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin kazara kaybına, değiştirilmesine veya imhasına karşı korunmaktadır. Veriler ister elektronik ortamda ister kâğıt üzerinde işlensin koruma kapsamındadır. Kişisel verileri korumaya yönelik teknik ve idari tedbirlerin alınması açısından yeni ve ileri veri işleme yöntemleri ve bilgi teknolojisi sistemleri takip edilmektedir.

16. Veri Koruma Kontrolü 

İşbu Veri Koruma Politikasına ve ilgili veri koruma kanunlarına uyulup uyulmadığı hususu, ŞİRKET ilgili birimlerinde görevli yetkili kişiler tarafından düzenli olarak kontrol edilmektedir. Kişisel verileri koruma kurumu, ulusal kanunlarca izin verildiği şekilde, ŞİRKET’in, iştiraklerinin ve bağlı ortaklıklarının işbu politikanın hükümlerine uyum durumunu bizzat denetleyebilmektedir.

İlgili kişi, bu politikanın ve Kişisel Verileri Korunması Kanunun uygulanması ile ilgili taleplerini yazılı olarak Veri Sorumlusuna ilettiğinde, Veri Sorumlusu başvuruda yer alan talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde talebi ücretsiz olarak sonuçlandırmaktadır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler alınmaktadır.