Kişisel Verilerin Korunması Kanunu Hakkında Aydınlatma
Metni ve KVKK Politikası
Bu bilgilendirme, 6698 sayılı “Kişisel Verilerin Korunması
Kanunu” 10. maddesi gereğince ve yasal zorunluluk nedeniyle yapılmaktadır.
Kişisel Verilerin Korunması amacıyla Özyer Group bünyesinde
faaliyet gösteren ve Otelcilik yönetimi altında hizmet veren tesislerimizin
tümünde, tüzel kişilikleri itibariyle her biri veri sorumlusu unvanını taşıyan
şirketler kapsamında hazırlanan bu metin, Kişisel Verilerin Korunması
Kanunu’nda yer alan hususlar çerçevesinde kanunda bahsedilen unsurlara bağlı
kalınarak hazırlanmıştır.
Lykia Turizm Yatırımları Sanayi ve Ticaret Anonim Şirketi
(Liberty Lykia)
Ayfaba Turizm Yatırımları İnşaat Anonim Şirketi (Liberty
Fabay)
Özyer Turizm Sanayi ve Ticaret A.Ş. (Liberty Lara, Liberty
Kuşadası, Sundia By Liberty Suncity)
Ölüdeniz Otelcilik Turizm Sanayi ve Ticaret A.Ş. (Sundia By
Liberty Ölüdeniz)
Fethiye Enerji Sanayi ve Ticaret Anonim Şirketi (Sundia
Exclusive By Liberty Fethiye)
Hez Turizm Yatırımları San. Ve Tic. A.Ş (Liberty Signa)
Gülmete Turizm Yatırımları Aş. (XO Cape Arnna)
Yukarıda sayılan şirketlerin tümünden metnin devamında
İştirakler olarak bahsedilecektir.
İştirakler; Kanun, Kanun’un ikincil düzenlemesi olan
Yönetmelik ve diğer mevzuat uyarınca veri sorumlusu sıfatıyla başta;
Misafirlerinin,
Misafir adaylarının,
Ziyaretçilerinin,
Çalışanlarının,
İş ortaklığı içerisinde bulunduğu diğer şirketlerin
ortakları ile çalışanlarının ve bunlarla sınırlı olmaksızın tüm muhataplarının
kişisel verilerinin işlenmesi, korunması, işlendikleri amaç için gerekli olan
azami saklama süresinin belirlenmesi, belirlenen saklama süresi sonunda kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ve işlenen
kişisel veriler ile ilgili kişilerin taleplerinin yerine getirilmesi sürecinin
belirlenmesi amacıyla bu metin hazırlamıştır.
İşbu metnin ve Liberty Hotels Group Kişisel Veri Saklama ve
İmha Politikasının amacı, iştiraklerimize ait web sitelerinde bir otel
rezervasyonu yapan, web sitelerinde gezinen veya sağladığı formları dolduran
sizleri, İştiraklerimizin bu kişilerin kişisel verilerinin korunmasını sağlamak
için üstlendiği taahhütler hakkında bilgilendirmektir.
Özellikle de sizden topladığımız kişisel veriler, bu
verileri nasıl kullandığımız, nasıl açıkladığımız, nasıl koruduğumuz ve son
olarak da bu veriler üzerindeki haklarınızı nasıl kullanabileceğiniz hakkında
sizi bilgilendirmekteyiz.
1. Kişisel
Verilerin İşlenme Amaçları
İştiraklerimiz sizin bize sağladığınız ve sizinle alakalı
olan kişisel verileri aşağıda durumlarda işlemektedir:
Web sitelerimizde gezinti yaptığınız zaman;
Doğrudan web site üzerinden şu otellerde rezervasyon
yaptırdığınız hallerde: Liberty Lykia, Liberty Lara, Liberty Fabay, Sundia
Exclusive By Liberty Fethiye, Sundia By Liberty Ölüdeniz, Sundia By Liberty
Suncity, Liberty Signa, Liberty Kuşadası, XO Cape Arnna.
Tarafımızdan haber bültenlerimizi ve diğer pazarlama /
ticari içerikli bilgileri almaya rıza gösterdiğiniz hallerde;
İştiraklerimize soru sormak, şikâyette bulunmak veya
iletişim formu yoluyla iş başvurusunda bulunmak için bizimle iletişime geçmeyi
istediğiniz zaman.
İştiraklerimiz tarafından kişisel veriler (ad, soyadı, doğum
tarihi, kimlik ve pasaport bilgileri, iş, ev ve cep telefon numarası, e-posta
adresi, cinsiyet, adres, meslek, eğitim, medeni durum, araç plakası, konaklama,
kredi kartı, harcama ve uçuş bilgileri, alışveriş bilgileri, fatura bilgileri,
tüketim tercihleri vb.)
Sunulan ürün ve hizmetlerden paydaşlarını faydalandırmak
için gerekli çalışmaların iş birimleri tarafından yapılması,
Ürün ve hizmetlerinin sunulabilmesi, paydaşlar tarafından
alınan veya alacakları ürün ve hizmete ilişkin iletişim kurulabilmesi,
Ürün ve hizmetlerin beğeni, kullanım alışkanlıkları ve
ihtiyaçlarına göre özelleştirilerek önerilmesi,
Ürün / hizmet teklifi, (pazarlama faaliyetlerinde
kullanılabilmesi),
Modelleme, raporlama, skorlama, insan değerleri
politikalarının yürütülmesi,
İştiraklerimiz ile ilişki içerisinde olan kişilerin hukuki
ve ticari güvenliğinin temini,
Ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
İştiraklerimizin mevcut veya yeni ürün çalışmaları ve
potansiyel müşteri tespiti vb. amaçlar ile
Turizm, pazarlama, tanıtım ve reklam faaliyetleri ile
ilişkili olarak ve yasal yükümlülükler nedeni ile KVKK'nın 5. ve 6.
maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde
işlenmektedir.
2. Genel İlkeler
İştiraklerimiz, kişisel verilerin elde edilmesi, işlenmesi,
saklanması, korunması, silinmesi, yok edilmesi ve anonimleştirilmesi ve
bunlarla sınırlı olmaksızın kişisel verilere ilişkin tüm işlemlerde aşağıdaki
ilkeler çerçevesinde hareket eder:
Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işleme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza, etme ve bu sürenin sonunda ilgili kişinin
talebi veya periyodik silme sürelerini dikkate alarak kişisel verileri silme,
yok etme veya anonim hale getirme,
İlgili kişilerin Kanun’un 11. maddesinde tanımlanan
haklarına ilişkin taleplerini en kısa sürede yanıtlama,
Kişisel verilerin saklanması, silinmesi, yok edilmesi veya
anonim hale getirilmesiyle ile ilgili yapılan tüm işlemlerde Kanun’da, Liberty
Hotels Group Kişisel Veri Saklama ve İmha Politikası ’nda, ilgili tüm diğer
mevzuatta belirtilen tüm gerekli teknik ve idari tedbirleri alma,
Bu metinde belirtilen kişisel verilerin silinmesi, yok
edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemleri kayıt altına
alma ve diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle
saklama.
3. Kişisel
Verilerin Aktarılması
Kişisel veriler iştiraklerimiz tarafından sunulan ürün ve
hizmetlerden paydaşları faydalandırmak için gerekli çalışmaların iş birimleri
tarafından yapılması, ürün ve hizmetlerinin sunulabilmesi, alınan veya alınacak
ürün ve hizmete ilişkin iletişim kurulabilmesi, ürün ve hizmetlerin beğeni,
kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi, ürün
/ hizmet teklifi, (pazarlama faaliyetlerinde kullanılabilmesi), iştiraklerimiz
ile ilişki içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini,
iştiraklerin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçları
ile iş ortaklarına, tedarikçilere, hissedarlara, iştiraklere bağlı topluluk
şirketlerimize, kanunen yetkili kamu kurumları, devlet güvenlik birimleri ve
özel kişilere KVKK'nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme
şartları ve amaçları çerçevesinde aktarılabilecektir.
3.1. Misafir Kişisel Verileri
3.1.1. Kişiler ile
İlişkilendirilebilen Misafir Verileri
Ad-soyad, kimlik veya pasaport numarası, yaş, cinsiyet,
doğum tarihi gibi kişisel veriler (kimlik),
İletişim imkânı sağlayan adres, telefon numarası, elektronik
posta adresi gibi kişisel veriler (iletişim),
Sunulan hizmet karşılığında ödemeyi temin etmek üzere
iletilen banka kredi kartlarının ilk 6 ve son 4 hanesi veya banka kartlarının
numarası, kart sahibi adı, soyadı, geçerlilik tarihi gibi kişisel veriler
(ödeme),
Sunulan hizmet nedeniyle elde edilen seyahat ürününe (uçuş,
konaklama, transfer, sağlık turizmi vb.) ilişkin kişisel veri içeren bilgi ve
belgeler (hizmet birleşenleri),
Kişiselleştirme imkânı sunulan IP numarası gibi kişisel
veriler (konum),
Sunulan hizmetin misafirin istek ve beklentilerine (ince
yastık, yasemin kokusu, büyük boy bornoz vb.) göre kişiselleştirilmesini
sağlayan kişisel verileri (alışkanlıklar)
Doğrudan kişi ile ilişki kurma imkânı sunmayan istatistiki
veriler; Misafir profilinin belirlenmesi ve tercihlerinin öğrenilmesi ile
sunulan hizmetlerin bu profile göre iyileştirilmesi amacıyla dijital pazarlama
hizmeti alınan çözüm ortaklarından edinilen anonim bilgiler ve İştirakler
tarafından anonim hale getirilebilecek olan misafir verileridir.
3.1.2. Misafir Kişisel
Verilerin Kaynakları
İştiraklerimiz, misafir verilerini doğrudan ilgili kişinin
veya ilgili kişinin temsilcisi, tur operatörleri, acenteler, web sayfaları,
çağrı merkezleri, mobil telefon uygulaması, sosyal medya hesapları, üçüncü kişi
durumunda olan iş ve çözüm ortaklarından, ilgili kişinin bizzat alenileştirdiği
kaynaklardan elde edilir.
İştiraklerimiz tarafından doğrudan ilgili kişiden
edinilmeyen ve konaklama hizmetlerinden faydalanabilmek amacıyla İştiraklere
aktarılan kişisel verilerin, ilgili kişinin iradesine ve hukuka uygun olduğu
kabul edilir. Bu hususta herhangi bir tereddüt yaşanması halinde İştirakler,
gerekli önlemleri ve tedbirleri gecikmeksizin alır. Gerektiğinde bu Liberty
Hotels Group Kişisel Veri Saklama ve İmha Politikası ‘nda belirtilen esaslara
göre, kişisel veriyi derhal siler, yok eder veya anonimleştirir.
3.1.3. Misafir
Verilerinin Elde Edilmesi, İşlenmesi ve Aktarılması Sebepleri
İştiraklerimiz, misafir verilerini ancak kanunun 5.6.8. ve
9. Maddelerinde belirtilen meşru amaçlarla bu metnin 2.maddesinde belirtilen
Genel İlkeler çerçevesinde elde eder, işler ve aktarır. İştiraklerimiz, ilgili
kişinin açık rızasının bulunmadığı durumlarda kanunun 5. ve 6.maddelerinde
belirtilen, aşağıda yer alan şartlarda herhangi birinin veya birden fazlasının
bulunduğu durumlarda, bu halin gerektirdiği ölçü ve süre ile sınırlı şekilde
kişisel verileri elde edebilir, işler veya aktarır:
Kanunlarda açıkça ön görülmesi,
Fiili imkânsızlık nedeni ile rızasını açıklayamayacak
durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin
kendisinin ya da başkasının hayatı veya bedensel bütünlüğünün korunması için
zorunlu olması,
İlgili kişinin İştirakler ile akdetmiş olduğu sözleşmenin
kurulması veya ifasının doğrudan doğruya ilgili olması kaydıyla kişisel veri
işlenmesinin gerekli olması,
Veri sorumlusu sıfatıyla İştiraklerin hukuki yükümlülüğünün
yerine getirebilmesi için zorunlu olması,
Kişisel verinin ilgili kişi tarafından bizzat
alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri
işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla veri sorumlusu sıfatıyla İştiraklerin meşru menfaatleri için veri
işlenmesinin zorunlu olması.
İştiraklerimiz, yukarıda belirtilen hukuki gerekçelere
istinaden, genel ilkelere aykırı olmamak koşulu ile aşağıda belirtilen
amaçlarla ve bunlarla sınırlı olmaksızın kişisel verileri elde eder, işler veya
aktarır:
İştiraklerimiz tarafından sunulan ürün ve hizmetlerden
misafirleri faydalandırmak için gerekli çalışmaların iş birimlerince
yapılabilmesi,
İştiraklerimiz tarafından sunulan ürün ve hizmetlerin
misafirlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre
özelleştirilerek onlara önerilmesi ve sunulması,
İştiraklerimizin sunmuş olduğu hizmetlerin daha kaliteli
hale getirilmesi ve kalite politikasının geliştirilmesi,
İştiraklerimizin sunmuş olduğu genel ve özel
kampanyalarından, promosyon, tanıtım, indirim ve benzeri avantajlarından
misafirlerin ve potansiyel misafirlerin haberdar edilmesi ve yararlandırılması,
İştiraklerimizin, sunduğu mecralardan hizmet almak amacıyla
ziyaretçiler, kullanıcı adları ve şifreleri ile giriş yaptığında ilgili
mecralarda yer alan kişisel verileri, tercihleri, işlemleri ile gezinme
süreleri ile birlikte elde edilen veriler talep etmiş oldukları bilgi ve
hizmetleri verebilmek amacıyla,
İştiraklerimiz ve ilgili kuruluşları tarafından çıkarılan
ve/veya çıkarılacak olan her türlü sadakat kart ile İştiraklerimiz ve ilişkili
kuruluşların web sitesi üyelikleri ile ilgili bildirimleri (yenileme, sona erme
vb.) yapabilmek misafirler ile kurulabilecek her türlü iletişim, yeni sunulacak
hizmet ve ürünler ile ilgili kişisel veri politikalarında ve üyelik
koşullarında olabilecek değişiklik, yenilikler ve benzeri konularda
bilgilendirmek,
İştiraklerimiz ve iştiraklerimiz ile iş ilişkisi içerisinde
olan ilgili kişilerin hukuki ve ticari güvenliğinin (İştirakler tarafından
yürütülen iletişime yönelik idari operasyonlar, İştiraklere ait mekânların
fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/misafir/tedarikçi
(yetkili veya çalışanları) değerlendirme süreçleri, hukuki uyum süreci, mali
işler vb.),
İlgili kişilerin İştiraklerden talep edeceği bilgi, etkinlik
ve hizmetlerle ilgili bilgilendirme yapmak,
İştiraklerimizin ticari ve iş stratejilerinin belirlenmesi
ve uygulanması,
İştiraklerimizin, İnsan Değerleri politikalarının
yürütülmesinin temini ve mevzuatta açıkça belirtilmesi durumunda veya gerektiği
takdirde mevzuatla belirlenen bir hukuki yükümlülüğünün yerine getirilmesi
Misafirlerin doğrudan ve dolaylı şekilde edinilen kişisel
verilerinde aydınlatılmış rızalarının alınması esastır. Ancak İştiraklerimiz,
misafirleri veya misafir adayları arasında kanunun 5.maddesinin 2.fıkrasında
belirtilen hususlarla sınırlı olarak açık rıza almaksızın da işleyebilir. Bu
gerekliliğin ortadan kalkması halinde misafir veya misafir adayının rızası
yoksa veri derhal silinir, yok edilir veya anonimleştirilir.
İştiraklerimiz, yukarıda belirtilmiş olan esaslar
çerçevesinde misafirin açık rızası bulunmuş olsa dahi, sunduğu hizmet ve meşru
amaçlar dışında kişisel verileri işlemez ve edinmiş olduğu verileri hiçbir
şekilde hukuk ve dürüstlük kurallarına aykırı hizmetler için kullanmaz.
3.1.4. Misafir Kişisel
Verilerin Aktarılması
İştiraklerimiz, bu metinde belirtilen hukuki gerekçelere
istinaden amaçlarını yerine getirmek ve akdedilen sözleşmeler çerçevesinde
üzerine düşen yükümlülükleri ifa etmek amacı ile elde etmiş odluğu verileri iş
ve çözüm ortakları, konaklama ve transfer hizmeti tedarikçileri diğer üçüncü
kişiler ile paylaşabilir.
İştirakler, kanunun 8.maddesinde sayılan nedenlerle sunmuş
olduğu hizmetin yerine getirilebilmesi amacıyla kurul tarafından belirlenen
esaslar çerçevesinde kişisel verileri yurtiçi ve yurtdışına aktarabilir.
Kanunun 8/2 fıkrasında belirtilen nedenler dışında kişisel verilerin
aktarılabilmesi ancak ilgili kişinin rızasının olmasına bağlıdır.
İştiraklerimiz, aktarımda bulunduğu kişi ve kuruluşlara veri
paylaşımını yaparken Kanun, ilgili diğer mevzuat ve kurul kararları
çerçevesinde hareket etmeyi gerekli teknik ve idari önlemleri almayı ilke
edinir.
İştiraklerimiz, kişisel verileri aşağıda belirtilen kişi ve
kurumlarla ve hizmet yerine getirilmesi amacıyla sınır olarak aktarabilir:
Konaklama hizmetlerini misafirlerine sunabilmek ve aynı
zamanda ticari faaliyetini yerine getirebilmesi için iştiraklerin gereken
hizmetleri tedarik ettiği tedarikçi ve taşeron firmalara,
Misafirin havayolu ile ulaşım ve konaklama hizmetlerinden
bir paket halinde bir arada yararlanmak istemesi durumunda ilgili havayolu
firmalarına,
Misafirin havaalanından otelde konaklayacağı otele ve/veya
konaklamış olduğu otelden havaalanına karayolu ile özel transfer hizmeti talep
etmesi durumunda, bu transfer hizmetini sunana tedarikçi ve taşıyıcı firmalara,
İştiraklerimizin sunmuş olduğu konaklama hizmetleri için
ticari faaliyetlerin yürütülmesini sağlamak üzere çözüm ortaklarına,
Yasal yükümlülüklerin yerine getirilmesi amacıyla kamu kurum
ve kuruluşlarına,
Kişisel verilerin kişilerin hayatlarına, vücut
bütünlüklerine ve güvenliklerine yönelik bir tehdidin ortadan kaldırılması,
dolandırıcılık, fikri hak ve ihlalleri ile veri politikasının ihlali halinde
hukuka aykırı fiillerin ortadan kaldırılması veya önlenmesi amacıyla üçüncü
kişilere veya kamu kurum ve kuruluşlarına,
İştiraklerimizin meşru menfaatleri gerek kendi gerekse
kendisine iletilecek taleplere karşı hak ve menfaatlerini korumak amacıyla
avukat ve hukuki danışmaları ile denetim şirketlerine.
3.2. Çalışan ve Çalışan Adaylarına
İlişkin Kişisel Veriler
İştiraklerimiz, istihdam ettikleri çalışanlarının kişisel
verilerini kurulan iş sözleşmesinin ifası, karşılıklı edimlerin yerine
getirilmesi ve istihdam eden olarak üzerine düşen kanuni yükümlülüklerin yerine
getirilebilmesi amacıyla ve bu amaçlarla sınırlı şekilde açık rıza almak
kaydıyla işleyebilir. İştiraklerimiz, bu takdirde bu metnin 2. maddesinde
belirtilen Genel İlkeleri esas alır, çalışanlarını aydınlatır ve kişisel
verilerinin güvenliğini temin eder.
İştiraklerimiz, istihdam edilmek üzere kendisine başvuruda
bulunan çalışan adaylarının başvuru süreçlerinde ve başvuruları
sonuçlandırılana kadar kendisine iletilen özgeçmiş ve ilgili belgelerde yer
alan kişisel verileri açık rıza almak kaydıyla işleyebilir. Başvurunun olumsuz
sonuçlanması halinde belirlenen saklama süresinin bitimini müteakip kişisel
veriler tümüyle silinir, yok edilir veya anonimleştirilir. Başvurunun kısmen
veya tamamen olumlu sonuçlanması halinde, elde edilen kişisel verilerin muhafazası
ve işlenmeye devam etmesi yeni kurulacak olan hukuki ilişkinin koşullarına
bağlıdır.
3.3. Özel Nitelikli Kişisel Veriler
Kanun’un 6. maddesinde sayılan özel nitelikteki kişisel
veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili veriler, biyometrik ve genetik verilerdir.
İştiraklerimiz, bu metinde belirtilen ve ayrıca özel
nitelikteki kişisel verilerin işlenmesine, aktarılmasına, silinmesine, yok
edilmesi veya anonim hale getirilmesine ilişkin ilave tedbirleri alır. Yasal
yükümlülüklerden yahut kanunlarda öngörülen hallerden kaynaklanan nedenlerle
yapılacak işlemler saklıdır.
İştiraklerimiz, özel nitelikli kişisel verilerin
işlenmesinde Kanun’un 6. maddesinde ortaya konulan veri işleme şartlarına uygun
olarak hareket etmektedir. Özel nitelikli kişisel verilerin işlenebilmesi için
bu metinde belirtilen usul ve esaslara ilave olarak ilgili mevzuatta belirlenen
yeterli önlemlerin alınması da şarttır.
İştiraklerimiz, çalışanların ve misafirlerinin sağlıkla
ilgili kişisel verilerini ilgili mevzuatta öngörülen yeterli önlemleri almak,
genel ilkelere uygun şekilde işlemek, sır saklama yükümlülüğü altında bulunmak
kaydı ile aşağıdaki şartların birinin varlığı halinde işleyebilecektir:
Kişisel ilgili kişi olan ilgili kişinin açık rızası,
Kamu sağlığının korunması,
Koruyucu hekimlik,
Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi,
Çalışanlar için İnsan Değerleri süreçlerinin yönetimi.
İlgili kişinin açık rızasının bulunmadığı hallerde,
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel
veriler, ancak kanunlarda öngörülen hallerde,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise, ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlarca işlenebilir.
4. Kişisel Veri
Toplama Yöntemi ve Hukuki Sebebi
İştiraklerimiz tarafından kişisel veriler her türlü sözlü,
yazılı ya da elektronik ortamda, yukarıda yer verilen amaçlar doğrultusunda
sunulan ürün ve hizmetlerin belirlenen yasal çerçevede sunulabilmesi ve bu
kapsamda sözleşme ve yasadan doğan mesuliyetlerini eksiksiz ve doğru şekilde
yerine getirebilmesi gayesiyle edinilir. Bu hukuki sebeple toplanan kişisel
veriler KVKK'nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları
ve amaçları kapsamında bu metnin 1. maddesinde belirtilen amaçlarla işlenebilmekte
ve aktarılabilmektedir.
5. Kişisel
Verilerin Korunması ve İşlenmesi Konusunda Farkındalığın Artırılması, Denetimi
İştiraklerimiz, kişisel verilerin hukuka aykırı olarak
işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin
muhafazasını sağlamaya yönelik farkındalığın arttırılması için iş birimlerine
gerekli eğitimlerin düzenlenmesini sağlamaktadır.
İştiraklerimiz mevcut çalışanlarının ve bünyesine yeni dâhil
olan çalışanların kişisel verilerin korunması konusunda farkındalığının
oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması
halinde danışmanlar ile çalışmaktadır. Bu doğrultuda İştiraklerimiz, ilgili
eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımlar
değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak yeni
eğitimler düzenlemektedir.
6. Kişisel
Verilerin İşlenme Şartları
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel
veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri
olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin
dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması
halinde Özel Nitelikli Kişisel Veriler içerisinde yer alan şartlar
uygulanacaktır.
6.1. Kişisel Veri Sahibinin Açık
Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri veri sahibinin
açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin,
bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
6.2. Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte
ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin
açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz
edilebilecektir.
6.3. Fiili İmkânsızlık Sebebiyle İlgilinin
Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka
bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin
işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir.
6.4. Sözleşmenin Kurulması veya İfasıyla
Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin
işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş
sayılabilecektir.
6.5. Şirketin Hukuki Yükümlülüğünü
Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için
işlemenin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir.
6.6. Kişisel Veri Sahibinin Kişisel
Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması
halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak
işlenebilecektir.
6.7. Bir Hakkın Tesisi veya Korunması için
Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri
işlemenin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir.
6.8. Şirketimizin Meşru Menfaati için Veri
İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu
olması halinde veri sahibinin kişisel verileri işlenebilecektir.
7. Kişisel Veri
Sahiplerinin Hakları
KVKK’nın 11. Maddesine göre Kişisel veri sahibi olarak;
Kişisel verilerin işlenip işlenmediğini öğrenme,
Kişisel verilerin işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme,
Yurt içinde ve yurt dışında kişisel verilerin aktarıldığı 3.
kişileri bilme,
Kişisel verilerin eksik ya da yanlış işlenmiş olması halinde
bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı 3. kişilere bildirilmesini isteme,
KVKK ve ilgili kanun hükümlerine uygun olarak işlenmesine
rağmen işlenmesini gerektiren sebeplerin ortadan kaldırılması halinde kişisel
verilerin yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel
verilerin aktarıldığı 3. kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtası ile
analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz
etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle
zarar uğraması halinde zararın giderilmesini talep etme hakları bulunmaktadır.
Kişisel veri sahibinin KVKK'nın 13. maddesinin 1. fıkrası
gereğince yukarıda belirtilen haklarını kullanmak ile ilgili talebini 'yazılı'
olarak aşağıda belirtilen yöntemlerle veya 'Kişisel verileri Koruma Kurulu'nun
belirlediği diğer yöntemlerle iştiraklerimize iletmesi gerekmektedir. Bu
çerçevede iştiraklerimize KVKK'nın 11. maddesi kapsamında yapılan başvurularda
yazılı olarak başvurunun iletildiği kanallar ve usuller aşağıda
açıklanmaktadır. Yukarıda belirtilen hakların kullanımı için kimliği tespit edici
bilgiler ile KVKK'nın 11. maddesinde belirtilen haklardan kullanmayı talep
edilen haklara yönelik açıklamaları içeren talep; başvuru Formu doldurarak
formun imzalı bir nüshasını kimliği tespit edici belgeler ile “kvkk@libertyhotels.com, kvkk@libertyhospitality.com, kvkk@sundiabyliberty.com, kvkk@sundiahotels.com” mail
adreslerimize mail yolu ile iletebilir, Liberty Hospitality Group otelleri
adreslerimize bizzat elden iletebilir, Noter kanalı ile iadeli taahhütlü
mektupla veya KVKK ‘da belirtilen diğer yöntemlerle gönderilebilir.
7.1. İştiraklerimizin Başvurulara Cevap
Vermesi
İştiraklerimiz, kişisel veri sahibi tarafından yapılacak
başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli
idari ve teknik tedbirleri almaktadır.
Kişisel veri sahibinin, bölüm 7’de (“Kişisel Veri Sahibinin
Hakları”) yer alan haklara ilişkin talebini usule uygun olarak İştiraklerimize
iletmesi durumunda, İştiraklerimiz talebin niteliğine göre en kısa sürede ve en
geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.
Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından
belirlenen tarife uyarınca ücret alınabilecektir.
8. Kişisel Veri
Kayıt Ortamları
İştirakler, yukarıda belirtilen kişisel verileri aşağıda
belirtilen kayıt ortamlarında saklamaktadır:
Elektronik Ortamlar ve Fiziksel Ortamlar
9. Kişisel
Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
İştiraklerimiz, bu metinde ve Kanun’da belirtilen esas ve
usuller çerçevesinde elde edilen kişiler verileri işleme amaç ve hukuki
gerekçelerinin ortadan kalkması halinde periyodik imha süreçlerinde re ’sen
veya ilgili kişinin usulüne uygun başvurusu üzerine Kanun, ilgili mevzuat,
Kurul kararları ve kılavuzlarına uygun şekilde siler, yok eder veya anonim hale
getirir.
Gerçekleştirilen silme, yok etme veya anonim hale getirme
işlemleri bir tutanak ile tespit edilir ve İştiraklerimizin veri sorumlusu
sıfatıyla diğer yükümlülükleri saklı kalmak kaydı ile silme, yok etme veya
anonimleştirme işlemlerine ilişkin kayıtlar en az 3 yıl süreyle saklanır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesi sürecinde İştirakler tarafından her türlü teknik ve idari tedbir
alınır.
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
İştiraklerimiz adına veri işleyen, veriye erişim imkânı
kalmadığını denetler ve bu durumu bir tutanakla tespit eder.
9.1. Kişisel Verilerin Silinme
Teknikleri
Kâğıt Ortamında Bulunan Kişisel Veriler: Karartma yöntemi
kullanılarak silinmektedir.
Merkezi Sunucuda Yer Alan Ofis Dosyaları: İşletim
sistemindeki silme komutu ile silinir.
Taşınabilir Medyada Bulunan Kişisel Veriler: Uygun
yazılımlarla silinir.
Veri Tabanları: Kişisel veri bulunan ilgili satırlar veri
tabanları komutları ile okunamaz hale getirilir.
9.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin herhangi bir kişi tarafından erişilemez
hale gelmesi, verilerin hiçbir koşulda geri getirilememesi ve tekrar
kullanılamaz hale getirilmesi işlemidir.
Yerel Sistemlerde Bulunan Kişisel Veriler: De-manyetize
etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak
yok edilir.
Çevresel Sistemlerde Bulunan Kişisel Veriler:
Ağ Cihazları (switcher, router vb.): Yakma, küçük parçalara
ayırma gibi fiziksel yok etme yöntemleriyle verilerin erişilmez kılınması
sağlanır.
Sim kart ve sabit hafıza kartları: Optik veya manyetik
medyayı eritmek veya yakmak gibi işlemlerle verilerin erişilmez kılınması
sağlanır.
Optik Diskler: Üzerine yazma veya yakma, küçük parçalara
ayırma, eritme gibi fiziksel yok etme yöntemleriyle verilerin erişilmez
kılınması sağlanır.
Veri Kayıt Ortamı Sabit Olan Çevre Birimleri: Üzerine yazma
veya yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle
verilerin erişilmez kılınması sağlanır.
Kâğıt ve Mikrofiş Ortamlarında Bulunan Kişisel Veriler:
Kâğıt imha makinaları kullanılarak yok edilir.
Orijinal kâğıt formattan tarama yoluyla elektronik ortama
aktarılan kişisel veriler ise bulundukları ortama göre uygun yazılımlarla
silinir.
Bulut Ortamı: Söz konusu sistemlerde yer alan kişisel
verilerin depolanması ve kullanımı sırasında şifre ile erişim yapılmaktadır.
Dışarıdan bakım, onarım gibi amaçlarla gelen personelin erişimi dışarıdan bakım
onarım gibi amaçlarla gelen yetkili personelin gözetimi altında yapılmaktadır.
Süresi geçen sunucuların diskleri küçük parçalara ayırma işleminden geçirilerek
imha edilir.
9.3. Kişisel Verilerin Anonim Hale
Getirilmesi
Bir veri kümesindeki tüm doğrudan ve/veya dolaylı
tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişilerin kimliğinin
saptanabilmesinin engellenmesi veya bir grup içinde ayırt edilebilir olma
özelliğini bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir.
Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri:
Kişisel Verilerin Anonim hale getirilmesi aşamasında, ilgili mevzuat
hükümlerinde, metinde gösterilen yöntemlerden biri kullanılır.
9.4. Kişisel Verilerin Silinmesi, Yok
Edilmesi, Anonimleştirilmesi Süreleri
Kanuni yükümlülükler gereği kanunun emrettiği süre boyunca
ilgili kişinin kişisel verilerini saklama yükümlülüğü bulunmaması kaydıyla;
ilgili kişinin rızası ile işlenen veriler yine ilgili kişinin talebi
doğrultusunda, talebin İştiraklerimize iletilmesinden itibaren en geç 30 gün
içinde silinir, yok edilir veya anonim hale getirilir.
Kanun’un açık rıza gerektirmeyen 5. maddesinde sayılan
nedenlerle işlenen kişisel verilerde, nedenin ve hukuki gerekçenin ortadan
kalkmasından itibaren süre sonunda ilk periyodik silme, yok etme veya anonim
hale getirme döneminde silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin açık rıza şartı aramaksızın Kanun’un 5.
maddesinde sayılan nedenlerle işlendiği ancak ilgili kişinin silinmesini talep
ettiği durumlarda kişisel veri, rıza ile işlenen veriden ayrılarak, sadece
kanuni yükümlülüklerle ilgili birimlerin erişebileceği şekilde yetki ve kontrol
matrisleri sınırlandırılarak muhafaza edilir ve Kanun’un 5. Maddesinde
belirtilen hukuki gerekçenin ortadan kalkması ile derhal yok edilir veya anonim
hale getirilir.
10. Teknik ve İdari Tedbirler
10.1. İdari
Tedbirler
İştiraklerimiz idari tedbirler kapsamında;
İşlenen ve saklanan kişisel verilere şirket içi erişimde iş
tanımlarını dikkate alarak yetki ve kontrol matrislerini sınırlandırır.
İşlenen kişisel verilerin hukuka aykırı şekilde başkaları
tarafından elde edilmesi halinde, bu durumu en kısa süre içerisinde ilgili
kişiye bildirir.
Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli
personel istihdam eder ve gerekli eğitim, uyarıları yapar.
Kendi tüzel kişiliği kapsamında ve tüm grup şirketlerinde
veri güvenliğine ilişkin gerekli denetimleri yapar veya yaptırır. Denetimler
sonucu tespit edilen hususlar ile ilgili gerekli önlemleri alır.
10.2. Teknik
Tedbirler
Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
Kurulan sistemler kapsamında bilgi teknolojileri risk
değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
Kişisel verilerin kurum dışına çıkmasını engelleyecek teknik
altyapının temin edilmesini ve yetki, kontrol matrislerinin oluşturulmasını
sağlar.
Periyodik aralıklarla ve ihtiyaç duyduğunda sızma testi
hizmeti alarak sistem açıklarının kontrolünü sağlar.
Bilgi teknolojileri birimlerinde çalışanların kişisel
verilere erişim yetkilerinin kontrol altına tutulmasını sağlar.
Kişisel verilerin saklandığı ortamlar yüksek güvenlikli
şifre teknolojisi veyahut kripto grafik yöntemlerle koruma altına alınır,
firewall, SSL Protokolü (Secure Socket Layer) ile kötüye kullanımların önüne
geçilir. Fiziken tutulan veriler ise sadece İştirakler tarafından
yetkilendirilmiş kişilerin giriş izni olan arşivlerde tutulur.
Kişisel verilerin saklandığı ortamlarda siber güvenliğin
sağlanması için gerekli tedbirleri alır. Bu kapsamda internet servis
sağlayıcılarından siber saldırılara karşı DDOS hizmeti alır.
Sanal sunucuların güvenliğini sağlamak için ayrıca güvenlik
yazılımları kullanır.
Kişisel verilerin bulunduğu kayıt ortamlarında gerçekleşen
tüm işlemler ve hareketler takip edilir, güvenlik ihlali durumlarında risk
analizi yapılarak zafiyetler derhal giderilir.
Kişisel verilerin yer aldığı kayıt ortamları siber
sistemlerin ve sunucuların fiziki muhafazası özel güvenlik cihazları ile ve
yetki kontrolü ile sağlanmaktadır.
Kişisel veriler yedekleme diskleri ve sunucuları, kilitli
kasalarda yangın, sel gibi dış faktörlü risklere karşı korunur
ISP sistem odasında tutulan veriler, point to point hatlar
ile günlük olarak yedeklenir.
Kayıt ortamlarına girişlerde yetki kontrolleri sağlanır.
Veri kaybı riskinin önlenmesi için DLP çözümü kullanılır.
Yetkililerin kaybetme riskine karşı harici medya portları
kapalı tutulur.