6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU GEREĞİNCE
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
VE AYDINLATMA METNİ
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında Hoops World Tourism Merkezi olarak , Veri Sorumlusu sıfatıyla, kişisel verileriniz, yalnızca aşağıda açıklanan amaç ve kapsam dahilinde 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik, Sağlık Bakanlığı düzenlemeleri ve mevzuata uygun olarak işlenebilecektir.
İşbu aydınlatma metninde geçen;
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Kişisel Verilerin Korunması Kanunu (“KVKK”): 07.04.2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorunlu olan gerçek veya tüzel kişiyi,
- Veri İşleyen: Veri Sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Sorumlusu :
KVKK uyarınca muhatap, tedarikçi, müşteri, çalışan, stajyer, ziyaretçi vb. sıfatları ile paylaştığınız kişisel verileriniz, veri sorumlusu olarak belirlenen Hoops World Tourism Merkezi tüzel kişiliği tarafından aşağıda belirtilen kapsamda değerlendirilecektir.
TEMEL İLKELER-SORUMLULUKLAR
Kişisel veriler, ancak 6698 sayılı Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenebilir. Buna göre veri sorumlusu olarak Hoops World Tourism Merkezi;
- Kişisel verilerin işlenmesini Hukuka ve Dürüstlük Kuralına Uygun olarak yürütür.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlamakla yükümlüdür.
- Kişisel verileri Belirli, Açık ve Meşru Amaçlarla İşlemektedir.
- Kişisel verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olmasına özen gösterir.
- Kişisel verileri İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etmektedir. VERBİS kaydına göre veya Mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri siler, yok eder veya anonim hale getirir.
VERİ SORUMLUSU
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişiliktir.
İŞLENEN KİŞİSEL VERİLER
Başta sağlık verileriniz olmak üzere, kişisel ve özel nitelikli kişisel verileriniz: Ad, Soyad, T.C. Kimlik numarası ve/veya pasaport numarası ve geçici TC Kimlik numarası, doğum yeri ve/veya tarihi, medeni hal, cinsiyet, sağlık güvencesi, meslek, sigorta kart numarası, iş yeri sicil ve/veya hasta kimlik numarası ile sizi tanımlayabilecek diğer kimlik verilerinizi; adres, telefon numarası, elektronik posta adresi vb. iletişim verilerinizi, randevularınız, müşteri temsilcileri ve/veya hasta hizmetleri tarafından çağrı merkezi standartları gereği tutulan sesli görüşme kayıtları ile elektronik posta, mektup vb. vasıtalar aracılığı ile tarafımızla iletişime geçtiğinizde elde edilen kişisel verilerinizi; banka hesap numarası, IBAN numarası, kredi kartı bilgileri, faturalama ve fatura bilgileri gibi finansal verilerinizi; sağlık hizmetlerinin finansmanı ve planlaması amacıyla özel sağlık sigortasına ilişkin verileriniz ile Sosyal Güvenlik Kurumu gibi ödeyici kurum bilgisi verilerinizi; hasta tıbbi raporları, tanı verileri, biyometrik ve genetik veriler, laboratuvar sonuçları, test sonuçları, muayene verileri, doktor analiz ve yorumları, randevu bilgileri, reçete bilgileri dahil ancak bunlarla sınırlı olmaksızın tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sırasında ve/veya bunların bir sonucu olarak elde edilen her türlü sağlık bilgileri ile verilerinizi; anket, teşekkür, şikâyet mektupları, memnuniyet sonuçları gibi bildirimlerinizi; Güzellik Merkezimizde mevzuat gereği, ortak alanlarda sürekli kayıt halinde olan kamera kayıtlarından elde edilen görüntülerinizi, Güzellik Merkezimize ait tüm web siteleri ve online hizmetler aracılığıyla gönderdiğiniz ve/veya girdiğiniz sağlık verileriniz, IP adresi, çerez vb. kişisel verileriniz, işlenebilecektir.
KİŞİSEL VERİLERİN TOPLANMASI,
Kişisel verileriniz, Hoops World Tourism Merkezi tarafından temin edilen hizmetlerden faydalanmanız, yürütülen faaliyetlerin gerçekleştirilmesi için ilgili birimlerimiz tarafından gerekli çalışmaların yapılması ve ilgili süreçlerin yürütülmesi ile Hoops World Tourism Merkezinin hizmetlerine yönelik tanıtım faaliyetlerinin yürütülmesi amaçlarıyla Kişisel Verilerin Korunması Kanunu’nun ilgili maddelerinde belirtilen kişisel verilerin işleme şartları ve dahilinde işlenecektir.
KİŞİSEL VERİ İŞLEME FAALİYETİNİN VERİ İŞLEME AMACINA UYGUN HALE GETİRİLMESİ
Yukarıdaki açıklamalar kapsamında kişisel verileriniz Kanunun 5’inci ve 6’ncı maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde aşağıda belirtildiği şekilde gerçekleştirilecektir;
KİŞİSEL VERİ İŞLEME ŞARTLARI
Çalışan-çalışan adayı verileri:
Kanunlarda Açıkça Öngörülmesi, Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi, Bir Sözleşmenin (İş) Kurulması veya İfasıyla Doğrudan İlgili Olması, Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması, Veri Sorumlusunun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:
İş başvurusu aşamasından başlamak suretiyle işe kabul halinde işe başlama ve çalışma hayatı ile ilgili zorunlu yasal girişlerin yapılması, sürdürülmesi ve gerektiğinde sona erdirilmesi amacıyla ayrıca açık rıza alınmasına gerek olmaksızın kişisel veri işlenebilmektedir.
Çalışan adayının işe kabul edilmemesi yada kendisinin başvurusundan vazgeçmesi halinde, çalışan adayına ait bilgiler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması kaydıyla Hoops World Tourism Merkezi’nin VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.
Müşteri, veli-vasi verileri:
Bir Sözleşmenin (Sağlık Hizmeti) Kurulması veya İfasıyla Doğrudan İlgili Olması, Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi, Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:
Hoops World Tourism Merkezi, özel sağlık kurumları tarafından polikliniklerde sağlanan yatılı olmayan genel hekimlik uygulamaları kapsamında T.C. Sağlık Bakanlığı prosedürlerine göre Poliklinik vasfını haiz bir sağlık kuruluşu olarak MEDİKAL ESTETİK uygulamaları alanında faaliyet göstermekte olup, faaliyet konusu itibarıyla hekimlik uygulamaları kapsamında hizmet almak üzere başvuran hastalardan (reşit olmaması halinde velisinden yada hukuki duruma göre vasisinden) hasta kayıt ve onam formları başta olmak üzere yazılı bilgilendirme ve işlem onamı alınması amacıyla ayrıca açık rıza alınmasına gerek olmaksızın kişisel veri işlenebilmektedir.
Özel nitelikli kişisel veriler:
Özel nitelikli kişisel veriler veri sorumlusu tarafından, işbu politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği usul ve esaslar da dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
a.Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler: kanunlarda açıkça öngörülen hâllerde veri sahibinin açık rızası aranmaksızın işlenebilir. Bunun dışındaki her hal ve durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
b.Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler: ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikteki kişisel verileriniz arasında sayılan, sağlık ve cinsel hayat dışındaki kişisel verileriniz, ancak kanunlarda öngörülen hâllerde, açık rızanız aranmaksızın işlenebilecek, belirtilen gerçek veya tüzel kişilere aktarılabilecektir. Sağlık ve cinsel hayata ilişkin kişisel verileriniz ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi ile 6698 sayılı Kişisel Verilerin Korunması Kanunu yanında 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 21.06.2019 tarihli Kişisel Sağlık Verileri Hakkında Yönetmelik ve ilgili diğer mevzuatta yer alan hukuki yükümlülüklerimizi yerine getirmek amacıyla açık rızanız aranmaksızın yukarıda sayılan gerçek veya tüzel kişilere aktarılabilecektir. Elektronik Tıbbi Kayıtlar ve Elektronik Sağlık kayıtları da bu kapsamdadır.
Bunun dışındaki her hal ve durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Söz konusu kişisel veriler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde Hoops World Tourism Merkezi’nin VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.
Ziyaretçi verileri:
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması, Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:
Hoops World Tourism Merkezi tarafından gerek işyeri, çalışan, müşteri güvenliğinin sağlanması amacıyla ve gerekse kamu düzeni açısından güvenliğe yönelik öngörülerle işbu metinde belirtilen amaçlarla, ayrıca açık rıza alınmasına gerek olmaksızın Hoops World Tourism Merkezi plaza ve binalarında, tesislerinde güvenlik kameralarıyla izleme ile giriş çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Kamera kaydı alındığına ilişkin görsel uyarılar uygun ebatlarda, yeteri kadar sayıda ve görünecek yerlerde asılmalıdır.
Söz konusu kişisel veriler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde Hoops World Tourism Merkezi’nin VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.
KİŞİSEL VERİ İŞLEME AMAÇLARI
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Taşınır Mal Ve Kaynakların Güvenliğinin Temini
Ücret Politikasının Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
KİŞİSEL VERİ AKTARIMI
Kanunun 8’inci ve 9’uncu maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmesi koşuluyla Hoops World Tourism Merkezi tarafından kişisel veri aktarımı gerçekleştirilebilir. Bu kapsamda kişisel verilerin üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişimine açılması söz konusu olabilir. Toplanan kişisel verileriniz; Kanun ve diğer ilgili mevzuat kapsamında yer alan temel ilkelere uygun olarak ve Kanunun 8’inci ve 9’uncu maddelerinde belirtilen kişisel veri işleme şartları ve amaçlarına uygun olacak şekilde Hoops World Tourism Merkezi tarafından aşağıda yer verilen amaçlarla iş ortaklarımıza, tedarikçilerimize, kanunen yetkili kamu kurumlarına ve gerçek yada tüzel özel kişilere aktarılabilmektedir. Amacı doğrultusunda işlenmesi halinde veriler aşağıdaki durumlarda aktarılabilir:
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan birinin ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemlerle gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir:
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
- Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
- Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Buna göre:
- Hoops World Tourism Merkezi tarafından gerçekleştirilen ticari faaliyetin sürdürülmesi,
- Hukuki yükümlülüklerin takibi ve yerine getirilebilmesi,
- Sözleşmesel yükümlülüklerin takibi ve yerine getirilmesi,
- Verilen hizmetlerin ve/veya iş stratejilerinin planlanması, işlemlerin gerçekleştirilmesi, buna bağlı olarak gerek Hoops World Tourism ve gerekse Hoops World Tourism ile iş ilişkisi içerisinde olan ilgili 3. gerçek veya tüzel kişilerin hukuki, teknik ve ticari iş güvenliğinin temini,
- Site ve/veya mobil uygulama veya hizmet sunulan ürünlerin toplu istatistiksel verilerini, ziyaretçi hareket, hizmet alma tercihlerini analiz etmek ve anlamak, Klinik hizmetleri, randevusu, hizmet sonrası müşteri memnuniyeti, müşterilerimizle ilgili iletişimi sağlamak amacıyla, randevu-ödeme-banka-finans bilgileri-SGK, sigorta şirketi onayı, provizyon durumunu bildirmek için telefon – whatsapp araması yapılabilmesi, SMS-MMS, e-posta, ticari elektronik ileti bildirimleri gönderilmesi,
- Lansman, kampanya, etkinlik duyuruları, promosyon, anket ve pazarlama içerikleri göndermek ve bilgi vermek,
- Verilen hizmetin, Sitenin ve/veya mobil uygulamanın güvenliğini güçlendirmek,
- Yararlanılması kişinin sağlıkla ilgili durumunun elvermesine bağlı hizmetlerin alınabilmesi, gibi amaçlarından biri yada bir kaçı kapsamında işlenen kişisel verilerin aktarımı söz konusu olabilecektir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanunun 8 inci maddesine göre ilgili kişinin açık rızası olmaksızın aktarılamaz.
Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Kanun’un 9’ncu maddesine göre; Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Hoops World Tourism Merkezi tarafından VERBİS kaydında belirtilen düzenlemeye uygun olarak halen işlenen herhangi bir kişisel veri yurtdışına aktarılmamaktadır.
HAKLAR VE YÜKÜMLÜLÜKLER
VERİ SORUMLUSU
Hoops World Tourism Merkezi Turizm Tic.Ltd.Şti. KVKK’na göre Veri Sorumlusu sıfatıyla “Kazım Dirik Ma.*************************Prof. Dr. Ahmet Taner Kışlalı Mah. Alacaatlı Cad. G/1 Blok No: 9 Hilmi Barlas Yaşam Merkezi Çayyolu/ANKARA” adresinde Özel sağlık kurumları tarafından polikliniklerde sağlanan yatılı olmayan genel hekimlik uygulamaları kapsamında T.C. Sağlık Bakanlığı prosedürlerine göre Poliklinik vasfına haiz bir sağlık kuruluşu olarak MEDİKAL ESTETİK uygulamaları ile faaliyet göstermektedir. Hoops World Tourism Merkezi, ……… sicil numarası ile İzmir Ticaret Sicili Müdürlüğü’ne ve ……………..vergi numarası ile ………………Vergi Dairesi’ne kayıtlı olup, MERSİS Numarası: …………….. Web adresi: www…………………..com dur.
Dolayısıyla, işbu aydınlatma metni söz konusu tüm unvanlarla ilgili faaliyetler ve verilen hizmetler için geçerli olup, belirtilen tüm web adreslerinden gerekli bilgilendirmelere ulaşılabilecektir.
Hoops World Tourism Merkezi, halen güncel hükümleri içermekte olan işbu aydınlatma metni hükümlerini yasal mevzuata uygun olacak şekilde dilediği zaman internet sayfası üzerinden yayımlamak suretiyle güncelleyebilir ve değiştirebilir. Yapılan güncelleme ve değişiklikler yayınlandığı tarihten itibaren geçerli olacaktır.
Avrupa Birliği vatandaşı ve diğer yabancı ülke vatandaşı müşterilerimiz için bilgilendirme ve aydınlatma, talebi halinde metnin İngilizce tercümesi veya tercüman yardımıyla yapılabilecektir.
İLGİLİ KİŞİNİN HAKLARI
KVKK 11’inci maddesine göre (gerçek kişi olmak kaydıyla) herkes veri sahibi/ilgili kişi sıfatıyla herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- 7nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
BAŞVURU VE ŞİKÂYET HAKKI
Veri sorumlusuna başvuru:
Kanunun 13’üncü maddesine göre İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri, yukarıda (Kişisel Veri Sahibinin Hakları) başlığı altında sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerden tercih edeceği şekilde Şirketimize iletebilecektir.
Kurula şikâyet:
Kanunun 14’üncü maddesine göre Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde;
- İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
- 13’üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
- Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Şikâyet üzerine veya resen incelemenin usul ve esasları:
Kanunun 15’inci maddesine göre Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
- 01/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6’ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
- Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
- Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
- Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
- Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
- Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER
Kanunun 12’nci maddesine göre Veri Sorumlusu;
- a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Buna göre;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik olarak alınan idari tedbirler şu şekildedir:
İnsan faktörünün olduğu her işte veri güvenliğinde en temel tedbirin empati yapmak olacağı bilinci çalışanlara aşılanmaktadır.
Çalışanların teknik bilgi/becerilerinin geliştirilmesi sağlanmaktadır.
Kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve yürürlükteki ilgili mevzuat hakkında eğitimler verilmektedir.
Gizlilik sözleşmeleri ve taahhütnameler hazırlanmakta, gerekliliği anlatılarak çalışanlara imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
Kişisel veri güvenliğine ilişkin bilincin arttırılması, içselleştirilmesinin sağlanması hedeflenmektedir. Kişisel Veri Envanteri hazırlanmıştır. Kayıtlara göre gerektiğinde güncellenir. Özel nitelikli kişisel verilerin güvenliğine yönelik Özel nitelikli kişisel verilerin güvenliğine yönelik olarak belirlenen olarak belirlenen prosedürler prosedürler uygulanmaktadır. Kişisel veriler Kişisel verilerinin mevzuat elverdiği ölçüde mevzuat elverdiği ölçüde azaltılması hedeflenmektedir. Kâğıt yoluyla aktarılan kişisel veriler Kâğıt yoluyla aktarılan kişisel veriler en aza indirilmekte ve zorunluluk halinde gereken en aza indirilmekte ve zorunluluk halinde gereken güvenlik tedbirleri alınmakta güvenlik tedbirleri alınmaktadır. Veri ihlali en kısa süreden kısa sürede ilgilisine ve Kurul’a bildirilecektir
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik olarak alınan teknik tedbirler şu şekildedir:
Öncelikle profesyonel yaklaşım hedeflenmekte ve buna göre yetkin ve tecrübeli bir Bilgi-İşlem firması ile çalışmaya önem verilmektedir.
Donanımsal ve yazılımsal bileşen seçiminde pahalı olandan ziyade işlevsel olan tercih edilmektedir.
Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmakta, erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
Yetki matrisi uygulanmakta, erişimler ve uygunsuz erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
Bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar ve güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır. Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaları kullanılmaktadır. IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısı sınırlandırılmıştır. İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgileri görüntülenebilmektedir. İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiği hatırlatılmaktadır. Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması sağlanmıştır. Sistemlere giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulması sağlanmıştır. Sistemlere giriş için üçüncü parti yazılımlar veya servisler kullanılırken bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması sağlanmaktadır.
Bunların yanında Kurul’un yayınladığı tavsiye kararları da göz önünde bulundurularak teknik ve maddi imkanlar elverdiği ölçüde:
Çift kademeli kimlik doğrulama (two-factor authentication) sistemi kurulması, Hesaplara sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
Ayrıca, ISO 27001 sertifikası başvuru koşulları oluşturulması,
çalışmaları da devam etmektedir.
- Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Böyle bir durumun söz konusu olması halinde yukarıda belirtilen idari ve teknik tedbirlerin kendi adına kişisel veri işleyecek gerçek veya tüzel kişi tarafından da aynı şekilde alınmasını sağlayacak hukuki düzenlemeler imza altına alınacak, takibi, denetlemesi ve güncellenmesi sağlanacaktır.
- Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Bu zorunluluk kapsamında rutin ve rastgele denetim faaliyetleri yürütülmekte olup, öncelikle Veri Sorumlusu İrtibat Kişisi ve Bilgi İşlem Sorumlusu yetki ve kontrolünde iç denetim birimleri oluşturulmuştur. Denetim birimlerinin belli periyotlarda şirket yönetimine raporlama yapmaları sağlanmıştır. Gerekli olması, gerekli görülmesi halinde bağımsız denetim kuruluşlarından da hizmet alınması öngörülmektedir.
- Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Kanunun bu emredici hükmünün yerine getirilmesine yönelik bilgilendirme ilgili kişiler nezdinde yapılmış, gereken hususlar hukuki düzenleme ile hüküm altına alınmıştır.
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Bu madde kapsamında herhangi bir veri ihlalinin tespiti halinde durum Kanunda belirlenen yöntemlere uygun olarak derhal ilgili kişiye ve Kurula bildirilecek, takibi sağlanacaktır.
VERİ SORUMLUSU YÜKÜMLÜLÜKLERİ
VERİ SORUMLULARI SİCİLİ
Kanunun 16’ncı maddesine göre:
(1)Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2)Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3)Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
- a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
Şirketimiz Kurulca belirlenen kriterler doğrultusunda Veri Sorumlusu sıfatına haiz olmakla, süresinde ve yukarıda belirtilen hususları içeren bir bildirimle Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmiştir.
- b) Kişisel verilerin hangi amaçla işleneceği.
İşbu metnin KİŞİSEL VERİLERİN İŞLENMESİ başlığı altında ayrıntılı olarak açıklanmıştır.
- c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
VERİ KATEGORİSİ
VERİ KONUSU KİŞİ GRUBU
1.Kimlik
Ad soyad, Anne – baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
2.İletişim
Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
3.Lokasyon
Bulunduğu yerin konum bilgileri v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
4.Özlük
Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
5.Hukuki İşlem
Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
6.Müşteri İşlem
Çağrı merkezi kayıtları, Fatura, senet,
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.
Veli / Vasi / Temsilci
7.Fiziksel Mekan Güvenliği
Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
8.İşlem Güvenliği
IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
9.Risk Yönetimi
Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
10.Finans
Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
11.Mesleki Deneyim
Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
12.Pazarlama
Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
13.Görsel ve İşitsel Kayıtlar
Görsel ve İşitsel kayıtlar v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
21.Sağlık Bilgileri
Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
23.Ceza Mahkumiyeti ve Güvenlik Tedbirleri
Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
26.Diğer
Özel sağlık sigortası ve bireysel emeklilik sigortası poliçe bilgileri v.b.
Çalışan Adayı
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
Veri Sorumlusunun sakladığı verileri aktarım yapabileceği alıcı ve/veya alıcı grupları aşağıda listelenmiştir.
Gerçek kişiler veya özel hukuk tüzel kişileri,
İş Ortakları,
Tedarikçiler,
Yetkili Kamu Kurum ve Kuruluşları,
- d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
Veri Sorumlusu olarak halen herhangi bir kişisel verinin yabancı ülkelere aktarımı öngörülmemektedir.
- e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
İşbu metnin VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER başlığı altında ayrıntılı olarak açıklanmıştır.
- f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Söz konusu kişisel verilerin işlendikleri amaç için gerekli olan azami süre, yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde Hoops World Tourism Merkezi’nin VERBİS kaydında öngörülen 10 yıldır.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
KİŞİSEL VERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ
Kişisel verileriniz, her türlü sözlü, yazılı ya da elektronik ortamda, üyelik formu veya diğer bir yolla yukarıda yer alan amaçlar doğrultusunda toplanmaktadır. Bu hukuki sebeple toplanan kişisel verileriniz Kişisel Verilerin Korunması Hakkında Kanun’un ilgili maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında yukarıda belirtilen nedenlerle işlenebilmekte ve aktarılabilmektedir.
Kişisel Veri/Veriler’inizin, KVKK ve mevzuat hükümlerince kurumumuzda istenecek ve saklanacaktır.
KİŞİSEL VERİ SAHİBİNİN KİŞİSEL VERİLERİN KORUNMASI HAKKINDA KANUN’UN 11. MADDESİNDE SAYILAN HAKLARI
Bu kanunun 28. Maddesinde sayılan ‘’İstisnalar’’ başlığı adı altında öngörülen haller dışında;
Kişisel verilerin işlenip işlenmediğini öğrenme
Kişisel veriler işlenmişse buna ilişkin bilgileri talep etme
Kişisel verilerin, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
KVKK’ya ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilerin bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması durumunda itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarınız bulunmaktadır.
Yukarıda belirtilmiş olan haklarınızı kullanmak için talebinizi, yazılı veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle hastanemize iletebilirsiniz.
KVKK UYARINCA KİŞİSEL VERİ/KİŞİSEL VERİLER’İN AÇIK RIZA OLMAKSIZIN İŞLEYEBİLECEĞİ HALLER
KVKK’nın ilgili maddeleri uyarınca, aşağıdaki hallerde açık rızanız aranmaksızın aşağıda belirtilen Kişisel Veri/Veriler’iniz işlenebilir:
-Kanunlarda açıkça öngörülmesi.
– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
-İlgili kişinin kendisi tarafından alenileştirilmiş olması.
-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
-Kişisel sağlık verileri; kamu sağlığının korunması, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
KAMERA KAYITLARI İLE İLGİLİ AYDINLATMA SORUMLULUĞU
Hoops World Tourism Merkezi tarafından gerek işyeri, çalışan, müşteri güvenliğinin sağlanması amacıyla ve gerekse kamu düzeni açısından güvenliğe yönelik öngörülerle işbu metinde belirtilen amaçlarla, Hoops World Tourism Merkezi plaza ve binalarında, tesislerinde güvenlik kameralarıyla izleme ile giriş çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Bu faaliyetler ile kişisel verilerin işlenmesi söz konusudur. Şirketimiz tarafından Kanun’un 12’nci maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmayı, güvenilirliğini sağlamayı, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamayı ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumayı amaçlamaktadır. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmekte ve taahhüt edilen süresi boyunca saklanmaktadır.
Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, 5188 sayılı “Özel Güvenlik Hizmetlerine Dair Kanun” ve ilgili mevzuata uygun olarak sürdürülmektedir. Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir. Muayene odaları, tuvaletler, soyunma-giyinme kabinleri gibi yerlerde hiçbir şekilde izleme yapılmamaktadır.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ
Kanunun 7’nci maddesine göre:
(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Söz konusu, “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK” 28 Ekim 2017 tarihli Resmî Gazetede yayımlanmış ve 01/01/2018 tarihinden itibaren yürürlüğe girmiştir.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Yönetmeliğin 5’inci maddesine göre:
(1) Kanunun 16’ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
Kişisel veri saklama ve imha politikasının kapsamı:
Yönetmeliğin 6’ncı maddesine göre:
Kişisel veri saklama ve imha politikası asgari olarak;
- a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
- b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
- c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
- d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
- e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
- f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
- g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
- h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,
ilişkin bilgileri kapsar.
Buna göre:
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ HAZIRLANMA AMACI, Hoops World Tourism Merkezi’nde gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemektir.
Kişisel veri saklama ve imha politikası ile düzenlenen KAYIT ORTAMLARI:
Kişisel veriler, veri sorumlusu tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik olmayan ortamlar:
- Kağıt
- Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri, v.b.)
iii. Yazılı, basılı, görsel ortamlar
Elektronik ortamlar:
- Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
- Yazılımlar (ofis yazılımları, anti virüs yazılımları, faaliyet alanı ile ilgili portal v.b.)
iii. Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb. )
- Kişisel bilgisayarlar (Masaüstü, dizüstü)
- Mobil cihazlar (telefon, tablet vb.)
- Optik diskler (CD, DVD vb.)
vii. Çıkartılabilir bellekler (USB, Hafıza Kartı vb.)
viii. Yazıcı, tarayıcı, fotokopi makinesi
Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları şöyledir:
- a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
- b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
- c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
- d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
- e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
- f) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
- g) Kurul: Kişisel Verileri Koruma Kurulunu,
ğ) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
- h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
- i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder. Burada yer almayan tanımlar ve kavramlar için Kanundaki tanımlar geçerlidir.
Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar:
Veri sorumlusu tarafından; çalışanlar, çalışan adayları, hastalar, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edildikten sonra imha edilir.
Saklamayı gerektiren hukuki sebepler:
6698 sayılı “Kişisel Verilerin Korunması Kanunu”
5188 sayılı “Özel Güvenlik Hizmetlerine Dair Kanun”
5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”
1219 sayılı “Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun”
1593 sayılı “Umumi Hıfzıssıhha Kanunu”
3359 sayılı “Sağlık Hizmetleri Temel Kanunu”
4857 sayılı “İş Kanunu”
5510 sayılı “Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu”
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
15.02.2008 tarih ve 26788 sayılı RG’de yayımlanan “Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik”
28.10.2017 tarih ve 30224 sayılı RG’de yayımlanan “Kı̇şı̇sel Verı̇lerı̇n Sı̇lı̇nmesı̇, Yok Edı̇lmesı̇ veya Anonı̇m Hale Getı̇rı̇lmesı̇ Hakkında Yönetmelı̇k”
21 Haziran 2019 tarih ve 30808 sayılı RG’de yayımlanan “Kı̇şı̇sel Sağlık Verı̇lerı̇ Hakkında Yönetmelik”
6098 sayılı “Türk Borçlar Kanunu”
6102 sayılı “Türk Ticaret Kanunu”
Vergi ve Finans Mevzuatı ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Saklamayı Gerektiren İşleme Amaçları:
Hoops Güzellik Merkezi, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır.
T.C. Sağlık Bakanlığı prosedürlerine göre Poliklinik vasfına haiz bir sağlık kuruluşu olarak hizmet vermek,
Tabi olunan hukuki zorunlulukları ve yasal yükümlülükleri yerine getirmek,
Sözleşmeler ve diğer yasal düzenlemeler kapsamında iş ve işlemleri ifa edebilmek,
Hasta kaydı, protokol kaydı ve arşivi oluşturmak,
Yasal raporlamalar yapmak,
İnsan kaynakları süreçlerini yürütmek,
İşyeri güvenliğini sağlamak,
İletişim sağlamak,
İmhayı Gerektiren Sebepler:
Kişisel veriler:
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında,
Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere ilişkin bilgiler:
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Hoops World Tourism Merkezi tarafından teknik ve idari tedbirler alınır, takip edilir, gerekiyorsa değiştirilir.
Teknik Tedbirler:
Öncelikle insan kaynağına yatırım hedeflenmekte ve buna göre yetkin, tecrübeli ve kadrolu Bilgi-İşlem çalışanı istihdamı hedeflenmektedir. Bu gerçekleşse bile halen olduğu gibi dışarıdan profesyonel hizmet alımı da devam edecektir.
Donanımsal ve yazılımsal bileşen seçiminde pahalı olandan ziyade işlevsel olan tercih edilmektedir.
Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmakta, erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
Yetki matrisi uygulanmakta, erişimler ve uygunsuz erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
Bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar ve güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
İdari Tedbirler:
İnsan faktörünün olduğu her işte veri güvenliğinde en temel tedbirin empati yapmak olacağı bilinci çalışanlara aşılanmaktadır.
Çalışanların teknik bilgi/becerilerinin geliştirilmesi sağlanmaktadır.
Kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve yürürlükteki ilgili mevzuat hakkında eğitimler verilmektedir.
Gizlilik sözleşmeleri ve taahhütnameler hazırlanmakta, gerekliliği anlatılarak çalışanlara imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
Kişisel veri güvenliğine ilişkin bilincin arttırılması, içselleştirilmesinin sağlanması hedeflenmektedir. Kişisel Veri Envanteri hazırlanmıştır. Kayıtlara göre gerektiğinde güncellenir. Özel nitelikli kişisel verilerin güvenÖzel nitelikli kişisel verilerin güvenliğine yönelik liğine yönelik olarak belirlenen olarak belirlenen prosedürler prosedürler uygulanmaktadır.uygulanmaktadır. Kişisel verilerKişisel verilerinin mevzuat elverdiği ölçüde mevzuat elverdiği ölçüde azaltılmaazaltılması hedeflenmektedir.sı hedeflenmektedir. Kâğıt yoluyla aktarılan kişisel veriler Kâğıt yoluyla aktarılan kişisel veriler en aza indirilmekte ve zorunluluk halinde gereken en aza indirilmekte ve zorunluluk halinde gereken güvenlik tedbirleri alınmaktagüvenlik tedbirleri alınmaktadıdır.r. Veri ihlali eVeri ihlali en kısa süreden kısa sürede ilgilisine ve Kurul’a bildirilecektir.ilgilisine ve Kurul’a bildirilecektir.
Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler:
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Veri Sorumlusu tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Kişisel Verilerin Silinmesi:
Kişisel veriler Veri Sorumlusu tarafından/gözetiminde aşağıdaki tabloda belirtilen yöntemlerle silinir.
VERİ KAYIT ORTAMI
Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için bilgi-işlem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar/zamanında yetkili olsa dahi) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. Bulut Hizmeti Alınıyorsa Bulut Ortamında Tutulan Kişisel Veriler Yukarıda belirtilen Veri Kayıt Ortamlarında yer alan kişisel verilerden silinenlerin Bulut Hizmeti alınması ve Ortamda tutulması halinde Bulut Ortamında da yedekleme yapılmaksızın ve geri getirilme yetkisi olmaksızın silinmesi sağlanır.
Kişisel Verilerin Yok Edilmesi:
Kişisel veriler Veri Sorumlusu tarafından/gözetiminde aşağıdaki tabloda belirtilen yöntemlerle yok edilir.
VERİ KAYIT ORTAMI
Fiziksel Ortamda Yer Alan Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. Optik / Manyetik Medyada Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
Kişisel Verilerin Anonim Hale Getirilmesi:
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Bu kapsamda Veri Sorumlusu tarafından Bileşen Çıkarma/Ekleme – Değişken Çıkarma/Ekleme – Genelleştirme – Maskeleme – Veri Türetme gibi, bilinen ve/veya ileride geliştirilecek/ortaya çıkabilecek teknikler uygulanabilir.
Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları:
Şirket Müdürü: Aynı zamanda veri sorumlusu irtibat kişisi olup, tüm çalışanların Hoops World Tourism Merkezi kişisel veri politikası kapsamında aldığı ve/veya ileride uygulamaya alabileceği tüm teknik ve idari tedbirlere uygun hareket etmesini teminden ve denetiminden sorumludur.
Bilgi-İşlem Hizmet Birimi: Kadrolu olmamakla birlikte, verilen hizmet doğrultusunda Hoops World Tourism Merkezi kişisel veri politikası kapsamında uygulamada ihtiyaç duyulan teknik tedbirlerin alınmasından, tedbirlerin denetlenmesinden ve yeni çözümlerin sunulmasından sorumludur.
Çalışanlar: Hoops World Tourism Merkezi kişisel veri politikası kapsamında Şirket bünyesindeki görev tanımlarına ve görevlerine uygun olarak işbu politikanın esaslarına uygun yürütülmesinden, eğitim ve denetim faaliyetlerine katılım göstermekle kişisel gelişimin ve kişisel verilerin korunmasına ilişkin farkındalığın arttırılmasından sorumludur. Böylece kişisel verilere hukuka aykırı olarak erişilmesinin ve işlenmesinin önlenmesi süreçlerinde de aktif olarak rol alırlar.
SAKLAMA VE İMHA SÜRELERİ
Veri Sorumlusu tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında
yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Veri Sorumlusu tarafından güncellemeler yapılabilir. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Veri Sorumlusu tarafından yerine getirilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler Veri Sorumlusu tarafından kayıt altına alınır. Bu kayıtlar, ilgili hukuki yükümlülükler kapsamında belirtilen sürede saklanır.
Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri:
“Kı̇şı̇sel Verı̇lerı̇n Sı̇lı̇nmesı̇, Yok Edı̇lmesı̇ veya Anonı̇m Hale Getı̇rı̇lmesı̇ Hakkında Yönetmelı̇k” 12’nci maddesine göre:
İlgili kişi, Kanunun 13’üncü maddesine istinaden Hoops World Tourism Merkez’ne başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
- b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa: veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
- c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa; bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Saklama ve imha sürelerini gösteren tablo:
SÜREÇ – SAKLAMA SÜRESİ – İMHA SÜRESİ
Hasta Kayıtları/Onam Kayıtları
Veli/Vasi Kayıtları
10 YIL
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Poliklinik Kayıtları
10 YIL
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan/Diğer Mahkeme/İcra Kayıtları
İş İlişkisinin sona ermesinden itibaren 10 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe ve Vergi Kayıtları
10 YIL
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmeler
Sözleşmenin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Kanunu Kapsamında Saklanan Çalışan Şahsi Sicil Dosyasına İlişkin Veriler
İş İlişkisinin sona ermesinden itibaren 10 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adayları Kayıtları
Başvuru Tarihinden İtibaren 10 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Kanunu Kapsamında Saklanan Diğer Veriler
İş İlişkisinin sona ermesinden itibaren 5 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sosyal Güvenlik Mevzuatı kapsamında tutulan veriler
İş İlişkisinin sona ermesinden itibaren 10 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler
İş İlişkisinin sona ermesinden itibaren 10 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hizmet Sağlayıcılara İlişkin Kişisel Veriler
İş İlişkisinin sona ermesinden itibaren 10 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerine İlişkin Kayıtlar
Faaliyetin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İç Yazışmalar/E-mail Yazışmaları
10 YIL
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takibine İlişkin Veriler
10 YIL
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları
1 AY
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
PERİYODİK İMHA SÜRESİ
“Kı̇şı̇sel Verı̇lerı̇n Sı̇lı̇nmesı̇, Yok Edı̇lmesı̇ veya Anonı̇m Hale Getı̇rı̇lmesı̇ Hakkında Yönetmeliğin” 11’inci maddesi gereğince Hoops World Tourism Merkezi, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Hoops World Tourism Merkezi’nde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
Buna bağlı olarak kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Bu doküman, ıslak imza içermesinin gerektiği hallerde basılı kâğıtta, aksi Şirket yönetimi tarafından kararlaştırılmadığı sürece Veri Sorumlusu irtibat kişisi imza yetkilisi olacak şekilde ıslak imzalı ve Veri Sorumlusunun internet sayfasında olmak üzere iki farklı ortamda yayımlanır. İlgili kişiler için internet sayfasından ulaşabilecek şekilde kamuya açıklanır. Islak imzalı ve güncel hali işyerinde Veri Sorumlusu irtibat kişisi tarafından tutulması zorunlu KVKK dosyasında saklanır.
POLİTİKA’NIN GÜNCELLENMESİ
Politika, Yasal ve teknik gereklilikler kapsamında ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. 14/10/2022 tarihli revizyon ile bu versiyonu metnin güncel halidir.
Veri Sorumlusu
Hoops World Beauty Cebter Turizm Tic.Ltd.Şti.