KVKK
Kişisel Verilerin Korunması Kanunu Hakkında Aydınlatma Metni ve KVKK Politikası
Bu bilgilendirme, 6698 sayılı “Kişisel Verilerin Korunması Kanunu” 10. maddesi gereğince ve yasal zorunluluk nedeniyle yapılmaktadır.
Kişisel Verilerin Korunması amacıyla Özyer Group bünyesinde faaliyet gösteren ve Otelcilik yönetimi altında hizmet veren tesislerimizin tümünde, tüzel kişilikleri itibariyle her biri veri sorumlusu unvanını taşıyan şirketler kapsamında hazırlanan bu metin, Kişisel Verilerin Korunması Kanunu’nda yer alan hususlar çerçevesinde kanunda bahsedilen unsurlara bağlı kalınarak hazırlanmıştır.
Lykia Turizm Yatırımları Sanayi ve Ticaret Anonim Şirketi (Liberty Lykia)
Ayfaba Turizm Yatırımları İnşaat Anonim Şirketi (Liberty Fabay)
Özyer Turizm Sanayi ve Ticaret A.Ş. (Liberty Lara, Liberty Kuşadası, Sundia By Liberty Suncity)
Ölüdeniz Otelcilik Turizm Sanayi ve Ticaret A.Ş. (Sundia By Liberty Ölüdeniz)
Fethiye Enerji Sanayi ve Ticaret Anonim Şirketi (Sundia Exclusive By Liberty Fethiye)
Ephesus Golf İşletmeciliği Turizm Sanayi ve Ticaret A.Ş (Ramada Resort By Wyndham Kuşadası, Ramada Suite By Wyndham Kuşadası)
Hez Turizm Yatırımları San. Ve Tic. A.Ş (Liberty Signa)
Yukarıda sayılan şirketlerin tümünden metnin devamında İştirakler olarak bahsedilecektir.
İştirakler; Kanun, Kanun’un ikincil düzenlemesi olan Yönetmelik ve diğer mevzuat uyarınca veri sorumlusu sıfatıyla başta;
Misafirlerinin,
Misafir adaylarının,
Ziyaretçilerinin,
Çalışanlarının,
İş ortaklığı içerisinde bulunduğu diğer şirketlerin ortakları ile çalışanlarının ve bunlarla sınırlı olmaksızın tüm muhataplarının kişisel verilerinin işlenmesi, korunması, işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi, belirlenen saklama süresi sonunda kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ve işlenen kişisel veriler ile ilgili kişilerin taleplerinin yerine getirilmesi sürecinin belirlenmesi amacıyla bu metin hazırlamıştır.
İşbu metnin ve Liberty Hotels Group Kişisel Veri Saklama ve İmha Politikasının amacı, iştiraklerimize ait web sitelerinde bir otel rezervasyonu yapan, web sitelerinde gezinen veya sağladığı formları dolduran sizleri, İştiraklerimizin bu kişilerin kişisel verilerinin korunmasını sağlamak için üstlendiği taahhütler hakkında bilgilendirmektir.
Özellikle de sizden topladığımız kişisel veriler, bu verileri nasıl kullandığımız, nasıl açıkladığımız, nasıl koruduğumuz ve son olarak da bu veriler üzerindeki haklarınızı nasıl kullanabileceğiniz hakkında sizi bilgilendirmekteyiz.
1. Kişisel Verilerin İşlenme Amaçları
İştiraklerimiz sizin bize sağladığınız ve sizinle alakalı olan kişisel verileri aşağıda durumlarda işlemektedir:
Web sitelerimizde gezinti yaptığınız zaman;
Doğrudan web site üzerinden şu otellerde rezervasyon yaptırdığınız hallerde: Liberty Lykia, Liberty Lara, Liberty Fabay, Sundia Exclusive By Liberty Fethiye, Sundia By Liberty Ölüdeniz, Sundia By Liberty Suncity, Liberty Signa, Liberty Kuşadası, Ramada Resort By Wyndham Kuşadası ve Ramada Suite By Wyndham Kuşadası.
Tarafımızdan haber bültenlerimizi ve diğer pazarlama / ticari içerikli bilgileri almaya rıza gösterdiğiniz hallerde;
İştiraklerimize soru sormak, şikâyette bulunmak veya iletişim formu yoluyla iş başvurusunda bulunmak için bizimle iletişime geçmeyi istediğiniz zaman.
İştiraklerimiz tarafından kişisel veriler (ad, soyadı, doğum tarihi, kimlik ve pasaport bilgileri, iş, ev ve cep telefon numarası, e-posta adresi, cinsiyet, adres, meslek, eğitim, medeni durum, araç plakası, konaklama, kredi kartı, harcama ve uçuş bilgileri, alışveriş bilgileri, fatura bilgileri, tüketim tercihleri vb.)
Sunulan ürün ve hizmetlerden paydaşlarını faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması,
Ürün ve hizmetlerinin sunulabilmesi, paydaşlar tarafından alınan veya alacakları ürün ve hizmete ilişkin iletişim kurulabilmesi,
Ürün ve hizmetlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
Ürün / hizmet teklifi, (pazarlama faaliyetlerinde kullanılabilmesi),
Modelleme, raporlama, skorlama, insan değerleri politikalarının yürütülmesi,
İştiraklerimiz ile ilişki içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini,
Ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
İştiraklerimizin mevcut veya yeni ürün çalışmaları ve potansiyel müşteri tespiti vb. amaçlar ile
Turizm, pazarlama, tanıtım ve reklam faaliyetleri ile ilişkili olarak ve yasal yükümlülükler nedeni ile KVKK'nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde işlenmektedir.
2. Genel İlkeler
İştiraklerimiz, kişisel verilerin elde edilmesi, işlenmesi, saklanması, korunması, silinmesi, yok edilmesi ve anonimleştirilmesi ve bunlarla sınırlı olmaksızın kişisel verilere ilişkin tüm işlemlerde aşağıdaki ilkeler çerçevesinde hareket eder:
Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işleme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza, etme ve bu sürenin sonunda ilgili kişinin talebi veya periyodik silme sürelerini dikkate alarak kişisel verileri silme, yok etme veya anonim hale getirme,
İlgili kişilerin Kanun’un 11. maddesinde tanımlanan haklarına ilişkin taleplerini en kısa sürede yanıtlama,
Kişisel verilerin saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesiyle ile ilgili yapılan tüm işlemlerde Kanun’da, Liberty Hotels Group Kişisel Veri Saklama ve İmha Politikası ’nda, ilgili tüm diğer mevzuatta belirtilen tüm gerekli teknik ve idari tedbirleri alma,
Bu metinde belirtilen kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemleri kayıt altına alma ve diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklama.
3. Kişisel Verilerin Aktarılması
Kişisel veriler iştiraklerimiz tarafından sunulan ürün ve hizmetlerden paydaşları faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması, ürün ve hizmetlerinin sunulabilmesi, alınan veya alınacak ürün ve hizmete ilişkin iletişim kurulabilmesi, ürün ve hizmetlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi, ürün / hizmet teklifi, (pazarlama faaliyetlerinde kullanılabilmesi), iştiraklerimiz ile ilişki içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini, iştiraklerin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçları ile iş ortaklarına, tedarikçilere, hissedarlara, iştiraklere bağlı topluluk şirketlerimize, kanunen yetkili kamu kurumları, devlet güvenlik birimleri ve özel kişilere KVKK'nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
3.1. Misafir Kişisel Verileri
3.1.1. Kişiler ile İlişkilendirilebilen Misafir Verileri
Ad-soyad, kimlik veya pasaport numarası, yaş, cinsiyet, doğum tarihi gibi kişisel veriler (kimlik),
İletişim imkânı sağlayan adres, telefon numarası, elektronik posta adresi gibi kişisel veriler (iletişim),
Sunulan hizmet karşılığında ödemeyi temin etmek üzere iletilen banka kredi kartlarının ilk 6 ve son 4 hanesi veya banka kartlarının numarası, kart sahibi adı, soyadı, geçerlilik tarihi gibi kişisel veriler (ödeme),
Sunulan hizmet nedeniyle elde edilen seyahat ürününe (uçuş, konaklama, transfer, sağlık turizmi vb.) ilişkin kişisel veri içeren bilgi ve belgeler (hizmet birleşenleri),
Kişiselleştirme imkânı sunulan IP numarası gibi kişisel veriler (konum),
Sunulan hizmetin misafirin istek ve beklentilerine (ince yastık, yasemin kokusu, büyük boy bornoz vb.) göre kişiselleştirilmesini sağlayan kişisel verileri (alışkanlıklar)
Doğrudan kişi ile ilişki kurma imkânı sunmayan istatistiki veriler; Misafir profilinin belirlenmesi ve tercihlerinin öğrenilmesi ile sunulan hizmetlerin bu profile göre iyileştirilmesi amacıyla dijital pazarlama hizmeti alınan çözüm ortaklarından edinilen anonim bilgiler ve İştirakler tarafından anonim hale getirilebilecek olan misafir verileridir.
3.1.2. Misafir Kişisel Verilerin Kaynakları
İştiraklerimiz, misafir verilerini doğrudan ilgili kişinin veya ilgili kişinin temsilcisi, tur operatörleri, acenteler, web sayfaları, çağrı merkezleri, mobil telefon uygulaması, sosyal medya hesapları, üçüncü kişi durumunda olan iş ve çözüm ortaklarından, ilgili kişinin bizzat alenileştirdiği kaynaklardan elde edilir.
İştiraklerimiz tarafından doğrudan ilgili kişiden edinilmeyen ve konaklama hizmetlerinden faydalanabilmek amacıyla İştiraklere aktarılan kişisel verilerin, ilgili kişinin iradesine ve hukuka uygun olduğu kabul edilir. Bu hususta herhangi bir tereddüt yaşanması halinde İştirakler, gerekli önlemleri ve tedbirleri gecikmeksizin alır. Gerektiğinde bu Liberty Hotels Group Kişisel Veri Saklama ve İmha Politikası ‘nda belirtilen esaslara göre, kişisel veriyi derhal siler, yok eder veya anonimleştirir.
3.1.3. Misafir Verilerinin Elde Edilmesi, İşlenmesi ve Aktarılması Sebepleri
İştiraklerimiz, misafir verilerini ancak kanunun 5.6.8. ve 9. Maddelerinde belirtilen meşru amaçlarla bu metnin 2.maddesinde belirtilen Genel İlkeler çerçevesinde elde eder, işler ve aktarır. İştiraklerimiz, ilgili kişinin açık rızasının bulunmadığı durumlarda kanunun 5. ve 6.maddelerinde belirtilen, aşağıda yer alan şartlarda herhangi birinin veya birden fazlasının bulunduğu durumlarda, bu halin gerektirdiği ölçü ve süre ile sınırlı şekilde kişisel verileri elde edebilir, işler veya aktarır:
Kanunlarda açıkça ön görülmesi,
Fiili imkânsızlık nedeni ile rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin kendisinin ya da başkasının hayatı veya bedensel bütünlüğünün korunması için zorunlu olması,
İlgili kişinin İştirakler ile akdetmiş olduğu sözleşmenin kurulması veya ifasının doğrudan doğruya ilgili olması kaydıyla kişisel veri işlenmesinin gerekli olması,
Veri sorumlusu sıfatıyla İştiraklerin hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması,
Kişisel verinin ilgili kişi tarafından bizzat alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusu sıfatıyla İştiraklerin meşru menfaatleri için veri işlenmesinin zorunlu olması.
İştiraklerimiz, yukarıda belirtilen hukuki gerekçelere istinaden, genel ilkelere aykırı olmamak koşulu ile aşağıda belirtilen amaçlarla ve bunlarla sınırlı olmaksızın kişisel verileri elde eder, işler veya aktarır:
İştiraklerimiz tarafından sunulan ürün ve hizmetlerden misafirleri faydalandırmak için gerekli çalışmaların iş birimlerince yapılabilmesi,
İştiraklerimiz tarafından sunulan ürün ve hizmetlerin misafirlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek onlara önerilmesi ve sunulması,
İştiraklerimizin sunmuş olduğu hizmetlerin daha kaliteli hale getirilmesi ve kalite politikasının geliştirilmesi,
İştiraklerimizin sunmuş olduğu genel ve özel kampanyalarından, promosyon, tanıtım, indirim ve benzeri avantajlarından misafirlerin ve potansiyel misafirlerin haberdar edilmesi ve yararlandırılması,
İştiraklerimizin, sunduğu mecralardan hizmet almak amacıyla ziyaretçiler, kullanıcı adları ve şifreleri ile giriş yaptığında ilgili mecralarda yer alan kişisel verileri, tercihleri, işlemleri ile gezinme süreleri ile birlikte elde edilen veriler talep etmiş oldukları bilgi ve hizmetleri verebilmek amacıyla,
İştiraklerimiz ve ilgili kuruluşları tarafından çıkarılan ve/veya çıkarılacak olan her türlü sadakat kart ile İştiraklerimiz ve ilişkili kuruluşların web sitesi üyelikleri ile ilgili bildirimleri (yenileme, sona erme vb.) yapabilmek misafirler ile kurulabilecek her türlü iletişim, yeni sunulacak hizmet ve ürünler ile ilgili kişisel veri politikalarında ve üyelik koşullarında olabilecek değişiklik, yenilikler ve benzeri konularda bilgilendirmek,
İştiraklerimiz ve iştiraklerimiz ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve ticari güvenliğinin (İştirakler tarafından yürütülen iletişime yönelik idari operasyonlar, İştiraklere ait mekânların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/misafir/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri, hukuki uyum süreci, mali işler vb.),
İlgili kişilerin İştiraklerden talep edeceği bilgi, etkinlik ve hizmetlerle ilgili bilgilendirme yapmak,
İştiraklerimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
İştiraklerimizin, İnsan Değerleri politikalarının yürütülmesinin temini ve mevzuatta açıkça belirtilmesi durumunda veya gerektiği takdirde mevzuatla belirlenen bir hukuki yükümlülüğünün yerine getirilmesi
Misafirlerin doğrudan ve dolaylı şekilde edinilen kişisel verilerinde aydınlatılmış rızalarının alınması esastır. Ancak İştiraklerimiz, misafirleri veya misafir adayları arasında kanunun 5.maddesinin 2.fıkrasında belirtilen hususlarla sınırlı olarak açık rıza almaksızın da işleyebilir. Bu gerekliliğin ortadan kalkması halinde misafir veya misafir adayının rızası yoksa veri derhal silinir, yok edilir veya anonimleştirilir.
İştiraklerimiz, yukarıda belirtilmiş olan esaslar çerçevesinde misafirin açık rızası bulunmuş olsa dahi, sunduğu hizmet ve meşru amaçlar dışında kişisel verileri işlemez ve edinmiş olduğu verileri hiçbir şekilde hukuk ve dürüstlük kurallarına aykırı hizmetler için kullanmaz.
3.1.4. Misafir Kişisel Verilerin Aktarılması
İştiraklerimiz, bu metinde belirtilen hukuki gerekçelere istinaden amaçlarını yerine getirmek ve akdedilen sözleşmeler çerçevesinde üzerine düşen yükümlülükleri ifa etmek amacı ile elde etmiş odluğu verileri iş ve çözüm ortakları, konaklama ve transfer hizmeti tedarikçileri diğer üçüncü kişiler ile paylaşabilir.
İştirakler, kanunun 8.maddesinde sayılan nedenlerle sunmuş olduğu hizmetin yerine getirilebilmesi amacıyla kurul tarafından belirlenen esaslar çerçevesinde kişisel verileri yurtiçi ve yurtdışına aktarabilir. Kanunun 8/2 fıkrasında belirtilen nedenler dışında kişisel verilerin aktarılabilmesi ancak ilgili kişinin rızasının olmasına bağlıdır.
İştiraklerimiz, aktarımda bulunduğu kişi ve kuruluşlara veri paylaşımını yaparken Kanun, ilgili diğer mevzuat ve kurul kararları çerçevesinde hareket etmeyi gerekli teknik ve idari önlemleri almayı ilke edinir.
İştiraklerimiz, kişisel verileri aşağıda belirtilen kişi ve kurumlarla ve hizmet yerine getirilmesi amacıyla sınır olarak aktarabilir:
Konaklama hizmetlerini misafirlerine sunabilmek ve aynı zamanda ticari faaliyetini yerine getirebilmesi için iştiraklerin gereken hizmetleri tedarik ettiği tedarikçi ve taşeron firmalara,
Misafirin havayolu ile ulaşım ve konaklama hizmetlerinden bir paket halinde bir arada yararlanmak istemesi durumunda ilgili havayolu firmalarına,
Misafirin havaalanından otelde konaklayacağı otele ve/veya konaklamış olduğu otelden havaalanına karayolu ile özel transfer hizmeti talep etmesi durumunda, bu transfer hizmetini sunana tedarikçi ve taşıyıcı firmalara,
İştiraklerimizin sunmuş olduğu konaklama hizmetleri için ticari faaliyetlerin yürütülmesini sağlamak üzere çözüm ortaklarına,
Yasal yükümlülüklerin yerine getirilmesi amacıyla kamu kurum ve kuruluşlarına,
Kişisel verilerin kişilerin hayatlarına, vücut bütünlüklerine ve güvenliklerine yönelik bir tehdidin ortadan kaldırılması, dolandırıcılık, fikri hak ve ihlalleri ile veri politikasının ihlali halinde hukuka aykırı fiillerin ortadan kaldırılması veya önlenmesi amacıyla üçüncü kişilere veya kamu kurum ve kuruluşlarına,
İştiraklerimizin meşru menfaatleri gerek kendi gerekse kendisine iletilecek taleplere karşı hak ve menfaatlerini korumak amacıyla avukat ve hukuki danışmaları ile denetim şirketlerine.
3.2. Çalışan ve Çalışan Adaylarına İlişkin Kişisel Veriler
İştiraklerimiz, istihdam ettikleri çalışanlarının kişisel verilerini kurulan iş sözleşmesinin ifası, karşılıklı edimlerin yerine getirilmesi ve istihdam eden olarak üzerine düşen kanuni yükümlülüklerin yerine getirilebilmesi amacıyla ve bu amaçlarla sınırlı şekilde açık rıza almak kaydıyla işleyebilir. İştiraklerimiz, bu takdirde bu metnin 2. maddesinde belirtilen Genel İlkeleri esas alır, çalışanlarını aydınlatır ve kişisel verilerinin güvenliğini temin eder.
İştiraklerimiz, istihdam edilmek üzere kendisine başvuruda bulunan çalışan adaylarının başvuru süreçlerinde ve başvuruları sonuçlandırılana kadar kendisine iletilen özgeçmiş ve ilgili belgelerde yer alan kişisel verileri açık rıza almak kaydıyla işleyebilir. Başvurunun olumsuz sonuçlanması halinde belirlenen saklama süresinin bitimini müteakip kişisel veriler tümüyle silinir, yok edilir veya anonimleştirilir. Başvurunun kısmen veya tamamen olumlu sonuçlanması halinde, elde edilen kişisel verilerin muhafazası ve işlenmeye devam etmesi yeni kurulacak olan hukuki ilişkinin koşullarına bağlıdır.
3.3. Özel Nitelikli Kişisel Veriler
Kanun’un 6. maddesinde sayılan özel nitelikteki kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik verilerdir.
İştiraklerimiz, bu metinde belirtilen ve ayrıca özel nitelikteki kişisel verilerin işlenmesine, aktarılmasına, silinmesine, yok edilmesi veya anonim hale getirilmesine ilişkin ilave tedbirleri alır. Yasal yükümlülüklerden yahut kanunlarda öngörülen hallerden kaynaklanan nedenlerle yapılacak işlemler saklıdır.
İştiraklerimiz, özel nitelikli kişisel verilerin işlenmesinde Kanun’un 6. maddesinde ortaya konulan veri işleme şartlarına uygun olarak hareket etmektedir. Özel nitelikli kişisel verilerin işlenebilmesi için bu metinde belirtilen usul ve esaslara ilave olarak ilgili mevzuatta belirlenen yeterli önlemlerin alınması da şarttır.
İştiraklerimiz, çalışanların ve misafirlerinin sağlıkla ilgili kişisel verilerini ilgili mevzuatta öngörülen yeterli önlemleri almak, genel ilkelere uygun şekilde işlemek, sır saklama yükümlülüğü altında bulunmak kaydı ile aşağıdaki şartların birinin varlığı halinde işleyebilecektir:
Kişisel ilgili kişi olan ilgili kişinin açık rızası,
Kamu sağlığının korunması,
Koruyucu hekimlik,
Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi,
Çalışanlar için İnsan Değerleri süreçlerinin yönetimi. İlgili kişinin açık rızasının bulunmadığı hallerde,
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca işlenebilir.
4. Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi
İştiraklerimiz tarafından kişisel veriler her türlü sözlü, yazılı ya da elektronik ortamda, yukarıda yer verilen amaçlar doğrultusunda sunulan ürün ve hizmetlerin belirlenen yasal çerçevede sunulabilmesi ve bu kapsamda sözleşme ve yasadan doğan mesuliyetlerini eksiksiz ve doğru şekilde yerine getirebilmesi gayesiyle edinilir. Bu hukuki sebeple toplanan kişisel veriler KVKK'nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında bu metnin 1. maddesinde belirtilen amaçlarla işlenebilmekte ve aktarılabilmektedir.
5. Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalığın Artırılması, Denetimi
İştiraklerimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın arttırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
İştiraklerimiz mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda İştiraklerimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımlar değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.
6. Kişisel Verilerin İşlenme Şartları
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde Özel Nitelikli Kişisel Veriler içerisinde yer alan şartlar uygulanacaktır.
6.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
6.2. Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
6.3. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
6.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
6.5. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
6.6. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
6.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
6.8. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
7. Kişisel Veri Sahiplerinin Hakları
KVKK’nın 11. Maddesine göre Kişisel veri sahibi olarak;
Kişisel verilerin işlenip işlenmediğini öğrenme,
Kişisel verilerin işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde ve yurt dışında kişisel verilerin aktarıldığı 3. kişileri bilme,
Kişisel verilerin eksik ya da yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı 3. kişilere bildirilmesini isteme,
KVKK ve ilgili kanun hükümlerine uygun olarak işlenmesine rağmen işlenmesini gerektiren sebeplerin ortadan kaldırılması halinde kişisel verilerin yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı 3. kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtası ile analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarar uğraması halinde zararın giderilmesini talep etme hakları bulunmaktadır.
Kişisel veri sahibinin KVKK'nın 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını kullanmak ile ilgili talebini 'yazılı' olarak aşağıda belirtilen yöntemlerle veya 'Kişisel verileri Koruma Kurulu'nun belirlediği diğer yöntemlerle iştiraklerimize iletmesi gerekmektedir. Bu çerçevede iştiraklerimize KVKK'nın 11. maddesi kapsamında yapılan başvurularda yazılı olarak başvurunun iletildiği kanallar ve usuller aşağıda açıklanmaktadır. Yukarıda belirtilen hakların kullanımı için kimliği tespit edici bilgiler ile KVKK'nın 11. maddesinde belirtilen haklardan kullanmayı talep edilen haklara yönelik açıklamaları içeren talep; başvuru Formu doldurarak formun imzalı bir nüshasını kimliği tespit edici belgeler ile “kvkk@libertyhotels.com, kvkk@libertyhospitality.com, kvkk@sundiabyliberty.com, kvkk@sundiahotels.com” mail adreslerimize mail yolu ile iletebilir, Liberty Hospitality Group otelleri adreslerimize bizzat elden iletebilir, Noter kanalı ile iadeli taahhütlü mektupla veya KVKK ‘da belirtilen diğer yöntemlerle gönderilebilir.
7.1. İştiraklerimizin Başvurulara Cevap Vermesi
İştiraklerimiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
Kişisel veri sahibinin, bölüm 7’de (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak İştiraklerimize iletmesi durumunda, İştiraklerimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
8. Kişisel Veri Kayıt Ortamları
İştirakler, yukarıda belirtilen kişisel verileri aşağıda belirtilen kayıt ortamlarında saklamaktadır:
Elektronik Ortamlar ve Fiziksel Ortamlar
9. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
İştiraklerimiz, bu metinde ve Kanun’da belirtilen esas ve usuller çerçevesinde elde edilen kişiler verileri işleme amaç ve hukuki gerekçelerinin ortadan kalkması halinde periyodik imha süreçlerinde re ’sen veya ilgili kişinin usulüne uygun başvurusu üzerine Kanun, ilgili mevzuat, Kurul kararları ve kılavuzlarına uygun şekilde siler, yok eder veya anonim hale getirir.
Gerçekleştirilen silme, yok etme veya anonim hale getirme işlemleri bir tutanak ile tespit edilir ve İştiraklerimizin veri sorumlusu sıfatıyla diğer yükümlülükleri saklı kalmak kaydı ile silme, yok etme veya anonimleştirme işlemlerine ilişkin kayıtlar en az 3 yıl süreyle saklanır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi sürecinde İştirakler tarafından her türlü teknik ve idari tedbir alınır.
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
İştiraklerimiz adına veri işleyen, veriye erişim imkânı kalmadığını denetler ve bu durumu bir tutanakla tespit eder.
9.1. Kişisel Verilerin Silinme Teknikleri
Kâğıt Ortamında Bulunan Kişisel Veriler: Karartma yöntemi kullanılarak silinmektedir.
Merkezi Sunucuda Yer Alan Ofis Dosyaları: İşletim sistemindeki silme komutu ile silinir.
Taşınabilir Medyada Bulunan Kişisel Veriler: Uygun yazılımlarla silinir.
Veri Tabanları: Kişisel veri bulunan ilgili satırlar veri tabanları komutları ile okunamaz hale getirilir.
9.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin herhangi bir kişi tarafından erişilemez hale gelmesi, verilerin hiçbir koşulda geri getirilememesi ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yerel Sistemlerde Bulunan Kişisel Veriler: De-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
Çevresel Sistemlerde Bulunan Kişisel Veriler:
Ağ Cihazları (switcher, router vb.): Yakma, küçük parçalara ayırma gibi fiziksel yok etme yöntemleriyle verilerin erişilmez kılınması sağlanır.
Sim kart ve sabit hafıza kartları: Optik veya manyetik medyayı eritmek veya yakmak gibi işlemlerle verilerin erişilmez kılınması sağlanır.
Optik Diskler: Üzerine yazma veya yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle verilerin erişilmez kılınması sağlanır.
Veri Kayıt Ortamı Sabit Olan Çevre Birimleri: Üzerine yazma veya yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle verilerin erişilmez kılınması sağlanır.
Kâğıt ve Mikrofiş Ortamlarında Bulunan Kişisel Veriler: Kâğıt imha makinaları kullanılarak yok edilir.
Orijinal kâğıt formattan tarama yoluyla elektronik ortama aktarılan kişisel veriler ise bulundukları ortama göre uygun yazılımlarla silinir.
Bulut Ortamı: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında şifre ile erişim yapılmaktadır. Dışarıdan bakım, onarım gibi amaçlarla gelen personelin erişimi dışarıdan bakım onarım gibi amaçlarla gelen yetkili personelin gözetimi altında yapılmaktadır. Süresi geçen sunucuların diskleri küçük parçalara ayırma işleminden geçirilerek imha edilir.
9.3. Kişisel Verilerin Anonim Hale Getirilmesi
Bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişilerin kimliğinin saptanabilmesinin engellenmesi veya bir grup içinde ayırt edilebilir olma özelliğini bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir.
Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri: Kişisel Verilerin Anonim hale getirilmesi aşamasında, ilgili mevzuat hükümlerinde, metinde gösterilen yöntemlerden biri kullanılır.
9.4. Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonimleştirilmesi Süreleri
Kanuni yükümlülükler gereği kanunun emrettiği süre boyunca ilgili kişinin kişisel verilerini saklama yükümlülüğü bulunmaması kaydıyla; ilgili kişinin rızası ile işlenen veriler yine ilgili kişinin talebi doğrultusunda, talebin İştiraklerimize iletilmesinden itibaren en geç 30 gün içinde silinir, yok edilir veya anonim hale getirilir.
Kanun’un açık rıza gerektirmeyen 5. maddesinde sayılan nedenlerle işlenen kişisel verilerde, nedenin ve hukuki gerekçenin ortadan kalkmasından itibaren süre sonunda ilk periyodik silme, yok etme veya anonim hale getirme döneminde silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin açık rıza şartı aramaksızın Kanun’un 5. maddesinde sayılan nedenlerle işlendiği ancak ilgili kişinin silinmesini talep ettiği durumlarda kişisel veri, rıza ile işlenen veriden ayrılarak, sadece kanuni yükümlülüklerle ilgili birimlerin erişebileceği şekilde yetki ve kontrol matrisleri sınırlandırılarak muhafaza edilir ve Kanun’un 5. Maddesinde belirtilen hukuki gerekçenin ortadan kalkması ile derhal yok edilir veya anonim hale getirilir.
10. Teknik ve İdari Tedbirler
10.1. İdari Tedbirler
İştiraklerimiz idari tedbirler kapsamında;
İşlenen ve saklanan kişisel verilere şirket içi erişimde iş tanımlarını dikkate alarak yetki ve kontrol matrislerini sınırlandırır.
İşlenen kişisel verilerin hukuka aykırı şekilde başkaları tarafından elde edilmesi halinde, bu durumu en kısa süre içerisinde ilgili kişiye bildirir.
Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve gerekli eğitim, uyarıları yapar.
Kendi tüzel kişiliği kapsamında ve tüm grup şirketlerinde veri güvenliğine ilişkin gerekli denetimleri yapar veya yaptırır. Denetimler sonucu tespit edilen hususlar ile ilgili gerekli önlemleri alır.
10.2. Teknik Tedbirler
Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
Kişisel verilerin kurum dışına çıkmasını engelleyecek teknik altyapının temin edilmesini ve yetki, kontrol matrislerinin oluşturulmasını sağlar.
Periyodik aralıklarla ve ihtiyaç duyduğunda sızma testi hizmeti alarak sistem açıklarının kontrolünü sağlar.
Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altına tutulmasını sağlar.
Kişisel verilerin saklandığı ortamlar yüksek güvenlikli şifre teknolojisi veyahut kripto grafik yöntemlerle koruma altına alınır, firewall, SSL Protokolü (Secure Socket Layer) ile kötüye kullanımların önüne geçilir. Fiziken tutulan veriler ise sadece İştirakler tarafından yetkilendirilmiş kişilerin giriş izni olan arşivlerde tutulur.
Kişisel verilerin saklandığı ortamlarda siber güvenliğin sağlanması için gerekli tedbirleri alır. Bu kapsamda internet servis sağlayıcılarından siber saldırılara karşı DDOS hizmeti alır.
Sanal sunucuların güvenliğini sağlamak için ayrıca güvenlik yazılımları kullanır.
Kişisel verilerin bulunduğu kayıt ortamlarında gerçekleşen tüm işlemler ve hareketler takip edilir, güvenlik ihlali durumlarında risk analizi yapılarak zafiyetler derhal giderilir.
Kişisel verilerin yer aldığı kayıt ortamları siber sistemlerin ve sunucuların fiziki muhafazası özel güvenlik cihazları ile ve yetki kontrolü ile sağlanmaktadır.
Kişisel veriler yedekleme diskleri ve sunucuları, kilitli kasalarda yangın, sel gibi dış faktörlü risklere karşı korunur
ISP sistem odasında tutulan veriler, point to point hatlar ile günlük olarak yedeklenir.
Kayıt ortamlarına girişlerde yetki kontrolleri sağlanır.
Veri kaybı riskinin önlenmesi için DLP çözümü kullanılır.
Yetkililerin kaybetme riskine karşı harici medya portları kapalı tutulur.