Kişisel Verilerin İşlenmesi ve Korunması Politikası

İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş

 KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

 

Genel Açıklamalar

KERVANSARAY OTELCİLİK olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önemi vermekteyiz. Bu sebeple, müşteri güvenliği anlamında sizlere daha iyi bir hizmet sunabilmek adına kişisel verilerin (bilgilerin) korunması, saklanması, işlenmesi, kullanımı, imhası, ticari elektronik iletişimler ve diğer hususlarda, aşağıda genel esasları belirtilen Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uygun hareket etmekteyiz. Bu kapsamda, gerek Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nı (“Politika”) sizlerin bilgisine sunuyoruz.

 

Politikanın Amacı ve Kapsamı

İşbu Politika’nın temel amacı, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda KERVANSARAY OTELCİLİK olarak otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkin bilgilendirmede bulunmaktır.

 

Kişisel Veri Sahibi / İlgili Kişi

Kişisel verilerini işlediğimiz çalışanlarımızı, hotel müşterilerimizi, potansiyel müşterilerimizi, iş ortaklarımızı, ziyaretçilerimizi ve üçüncü kişileri ifade eder.

 

Kişisel Veri Tanımı

Aşağıda KERVANSARAY OTELCİLİK tarafından işlenen ve Kanun uyarınca kişisel veri sayılan verilerin hangileri olduğu sıralanmıştır. Aksi açıkça belirtilmedikçe, işbu politika kapsamında arz edilen hüküm ve koşullar kapsamında “kişisel veri” ifadesi aşağıda yer alan bilgileri kapsayacaktır:

1) Bizimle Paylaştığınız Kişisel Veriler: Ad-soyad, doğum tarihi, T.C. Kimlik numarası, telefon numarası, e-mail adresi, adres, anketler ve yarışmalar kapsamında iletilen fotoğraf, video kayıtları ve yukarıda belirtilen kanallar üzerinden herhangi bir şekilde tarafımızla paylaştığınız diğer her türlü kişisel verilerinizdir.

2) Otomatik Yollarla Toplanan Kişisel Veriler Dâhil Sair Bilgiler: Otomatik Yollarla Toplanan Kişisel Veriler Dâhil Sair Bilgiler: Otomatik arama makineleri, görüntü ve ses kaydı cihazları ve internet sitemize girildiğinde otomatik olarak toplanan; ziyaret sayısı, sitede harcanan ortalama süre ve görüntülenen sayfa bilgileri bu kapsamdadır.

3) Diğer Kaynaklardan Alınan Kişisel Veriler ve Dâhil Sair Bilgiler: Sosyal medya araçları, iş ortaklarımız ve diğer üçüncü kişilerin daha önce vermiş olduğunuz izninize dayalı olarak tarafımızla paylaştığı güncellenmiş adres bilgileri, hesap bilgileri, satın alma, sayfa görüntüleme bilgileri, aranan terim ve arama sonuçları gibi bilgiler ve ödenmiş listelemeler gibi kişisel verilerinizdir.

 

Özel Nitelikli Kişisel Veri/Veriler

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. İşlenen verilerin KVK Kanunu’nda tanımlandığı şekilde özel nitelikli kişisel veri olması halinde; kişisel veri sahibinin açık rızası da yok ise, kişisel veri ancak KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işlenebilir.

 

Veri Sorumlusu

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Bu kapsamda İSTANBUL KERVANSARAY OTELCİLİK VE TURİZM A.Ş (“KERVANSARAY OTELCİLİK”) veri sorumlusu sıfatıyla hareket etmektedir.

Veri Sorumlusunun Yükümlülükleri

  1. Aydınlatma Yükümlülüğü

Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki sebeplerle işlenebileceği ve kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre KERVANSARAY OTELCİLİK, Kanun’un 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kanun’un 11. maddesinde sayılan diğer hakları.

 

Kanun’un 11. Maddesine sayılan diğer haklar ise;

  1. Kişisel verilerinin işlenip işlenilmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. KVKK kapsamında belirtilmiş olan esaslar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
  7. Verilerinin yanlış aktarılması, silinmesi veya yok edilmesi gibi durumlarda bu durumun, verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerinin, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini talep etme, olarak sıralanmıştır.

 

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanun’daki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmaktadır.

  1. Veri Güvenliğine İlişkin Yükümlülükler

Kanun’un veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu olan KERVANSARAY OTELCİLİK;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak ile yükümlüdür.

Veri sorumlusu sıfatıyla hareket eden KERVANSARAY OTELCİLİK, bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurul’un yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.

KERVANSARAY OTELCİLİK, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin tedbirlerin alınması hususunda veri sorumlusu KERVANSARAY OTELCİLİK muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.

Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.
Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri güvenliğine ilişkin alınacak önlemlerin her birinin veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.

  1. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumlusu KERVANSARAY OTELCİLİK, ilgili kişiler tarafından yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle Kanun’un uygulanmasıyla ilgili kendisine iletilen talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde KERVANSARAY OTELCİLİK, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.

KERVANSARAY OTELCİLİK, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde bu talebin gereği yerine getirilir. Başvurunun KERVANSARAY OTELCİLİK’in hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, cevabı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

 

  1. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu KERVANSARAY OTELCİLİK tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. KERVANSARAY OTELCİLİK bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

 

 

  1. Veri Sorumluluları Siciline Kayıt Yükümlülüğü

KERVANSARAY OTELCİLİK, Veri Sorumluları Sicili (VERBİS) olarak adlandırılan sisteme kayıt olmak ve veri işleme faaliyetleri ile ilgili bilgileri beyan etmek zorundadırlar.

Veri İşleyen

Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanabileceği gibi veri sorumlusu ve veri işleyen sıfatlarının tek bir tüzel veya gerçek kişide birleşmesi de mümkündür. KERVANSARAY OTELCİLİK, işbu politika kapsamında aynı zamanda Veri İşleyen sıfatıyla hareket etmekte ve kişisel verilerinizi Kanun’a uygun olarak işlemektedir.

Kişisel Verilerin İşlenmesi

Kişisel Verilerin İşlenmesi, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

KERVANSARAY OTELCİLİK tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. Ayrıca kişisel veriler, KERVANSARAY OTELCİLİK tarafından kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olduğu kadar işlenmektedir.

 

Kişisel Verilerin İşlenmesinde Bağlı Olduğumuz İlkeler

KERVANSARAY OTELCİLİK, gizliliğinizin korunması için gereken tedbirleri almak ve kişisel verilerin işlenmesine dair tüm yasal ilkelere uymak şartıyla; kişisel verileri, işbu Kişisel Verileri işleme politikasında belirtilen amaçlar çerçevesinde aşağıda sayılan ilkelere uygun olarak işlemektedir:

  1. Hukuka ve dürüstlük kurallarına uygun olma,
  2. Doğru ve gerektiğinde güncel olma,
  3. Belirli, açık ve meşru amaçlar için işlenme,
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

 

Kişisel Verileriniz Hangi Durumlarda İşlenebilir?

Kişisel veri sahibinin açık rızası var ise; kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise, kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, kişisel veriler kaydedilmekte ve aktarılabilmektedir.

 

Kişisel Verileriniz Ne Kadar Süreyle Muhafaza Edilecektir?

KVKK’ya uygun olarak, işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda belirtilen amaçlarla işlenmiş olan kişisel verileriniz, KVKK md. 7/f.1.’e göre işlenmesi gerektiren amaç ortadan kalktığında ve/veya kişisel verilerinizi işlememiz için mevzuat tarafından öngörülen zamanaşımı süreleri dolduğunda, KERVANSARAY OTELCİLİK tarafından silinecek, yok edilecek veya anonimleştirerek kullanılmaya devam edilecektir.

Kişisel Verilerin Güvenliği

KERVANSARAY OTELCİLİK, KVK Kanunu Madde 12’ye uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere hukuka aykırı erişimleri engellemek ve bunların muhafazasını sağlamak amacıyla uygun gerekli tedbirleri almakta ve kişisel verilerin üçüncü kişilerce hukuka aykırı olarak işlenmesine engel olmaktadır.

Sorumluluk

Hotel müşterilerimizin, ziyaretçilerimizin ve iş ortaklarımızın, www.grandoztanik.com adresinden veya link verilen diğer sitelerden, mobil uygulamalardan, tanıtım ve reklamlardan ve kendilerine elektronik iletişimi yapılan her türlü bilgilendirme ve bildirimlerden edindikleri bilgiler kapsamında aldıkları kararlar ile bunlara göre yaptıkları her türlü işlem, uygulama ve sonuçlarından KERVANSARAY OTELCİLİK’in sorumluluğu bulunmaktadır.

KERVANSARAY OTELCİLİK tarafından, müşterilerimiz ve ziyaretçilerimizin hukuki/fiili ehliyet durumu bilinemeyeceğinden, çocukların ve diğer reşit olmayan kişilerin kullanımları ve işlemleri konusundaki sorumluluk, bu kişilerin kanuni temsilcilerine aittir. Bu kişiler, kişisel verilere ilişkin haklarını da kanuni temsilcileri marifetiyle kullanabilirler.

 

Periyodik İmha ve Yasal Saklama Süreleri

Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. KERVANSARAY OTELCİLİK, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden süreçte, kişisel verileri siler, yok eder veya anonim hale getirir.

Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci

Veri sahiplerinin KERVANSARAY OTELCİLİK’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda KERVANSARAY OTELCİLİK, kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel veriler silinir, yok edilir veya anonim hale getirilir. KERVANSARAY OTELCİLİK, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa KERVANSARAY OTELCİLİK bu durumu üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, KERVANSARAY OTELCİLİK, ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

 

 

 

 

Politika’da Yapılacak Değişiklikler

İlgili mevzuatta yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde KERVANSARAY OTELCİLİK tarafından iş bu Politika’da değişiklik yapılabilir.

KERVANSARAY OTELCİLİK tarafından gizlilik, kişisel verilerin saklanması ve yok edilmesi, site kullanım şartları, KERVANSARAY OTELCİLİK müşterilerine sunulan ürünler, hizmetler ve etkinliklerde gerekli görülebilecek her türlü değişiklik, internet adresi üzerinden veya diğer uygun iletişim araçlarıyla duyurulduğu andan itibaren geçerli olacaktır.

KERVANSARAY OTELCİLİK tarafından Politika üzerinde yapılabilecek değişiklikler incelenebilecek nitelikle olup değişikliklere ilişkin her türlü şikâyet ve ek bilgi talebi www.grandoztanik.com üzerinden yapılabilecektir.

 

Politikanın Yürürlüğü

KERVANSARAY OTELCİLİK tarafından düzenlenerek yayınlandığı tarihte yürürlüğe giren işbu Veri İşleme Politikası, www.grandoztanik.com internet adresinde yayımlanır ve Kişisel Veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

İşbu Politika 6698 sayılı Kanunun (Kanun) 10. Maddesinde belirtilen “Veri Sorumlusunun Aydınlatma Yükümlülüğü” kapsamında düzenlenmiştir.

 

Diğer Politikalar

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI AYDINLATMA METNİ
KİŞİSEL VERİLER İLE İLGİLİ TALEP VE ŞİKÂYETLER BAŞVURU FORMU
KVKK KAPSAMINDA VERİ SORUMLUSUNA BAŞVURU METNİ
KAPALI KAMERA KAYIT SİSTEMLERİ AYDINLATMA METNİ
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

 

The Grand Öztanık Hotel

Topçu Cad. No: 9-11 Taksim, Istanbul, Türkiye