Anasayfaya dön
Sosyal Medya
Amatis Tour ile dünyalar senin!”
KVKK

Kişisel Verilerin İşlenmesi Saklanması Ve İmhasına İlişkin Politika

AMATİSTOUR, https://amatistour.com/kisisel-verilerin-islenmesi-politikasi adresinde yayımlanan işbu Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu sıfatıyla sorumlu olduğunu ilan etmektedir.

AMATİS TOUR, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerinizin kanun ve ilgili sair mevzuata uygun olarak işlenerek muhafaza edilmesine büyük önem vermektedir. AMATİS TOUR, bu bilinçle, yasal yükümlülüklerini ve iştigal konusuyla uygun olan faaliyetlerini gerçekleştirebilmek amacıyla kişisel verileri mevzuata uygun olarak işlemekte ve muhafaza etmektedir.

KISALTMA

TANIMLAR

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

İlgili Kişi

Kişisel verisi işlenen gerçek kişiyi ifade eder.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.

Kurul

Kişisel Verileri Koruma Kurulu’nu ifade eder.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.

Periyodik İmha

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Yönetmelik

28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini ifade eder.

 

 

Amaç ve Kapsam

İşbu Politika’nın amacı, AMATİS TOUR tarafından kişisel verilerin Kanun’a uygun olarak işlenmesi ve korunması ile Yönetmelik’e uygun olarak saklanması ve imhasını sağlamak amacıyla benimsenen ilkeleri ve bu kapsamda izlenecek olan yöntemleri açıklamaktır.

İşbu Politika, AMATİS TOUR’un ve AMATİS TOUR’un bağlı bulunduğu grup veya grupların, diğer şirketlerinin, doğrudan ve dolaylı bağlı ortaklık ve iştirakleri de dâhil olmak üzere yurtiçi ve yurtdışındaki iş ve çözüm ortaklarının yetkililerine, çalışanlarına, eski çalışanlarına, çalışan adaylarına, stajyerlerine, ziyaretçilerine, işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlara ve yetkililerine, iştigal konusuyla ilgili olarak hizmet tedarik ettiği veya hizmet temin ettiği üçüncü kişilere ait kişisel veriler başta olmak üzere AMATİS TOUR tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerin işlenmesi, korunması, saklanması ve imhası kapsamında AMATİS TOUR tarafından yönetilen tüm faaliyetlerde uygulanmaktadır.

2. KİŞİSEL VERİLERİN İŞLENMESİNE VE AKTARILMASINA İLİŞKİN ESASLAR

2.1 KİŞİSEL VERİLERİN İŞLENMESİ SIRASINDA ESAS ALINAN İLKELER

AMATİS TOUR, Kanun’un 4. maddesi uyarınca işbu Politika kapsamındaki kişisel verileri aşağıdaki genel ilkeler doğrultusunda işlemektedir.

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işleme
  • İşlendikleri amaçla sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

AMATİS TOUR, kişisel verileri ilgili kişinin açık rızası olmak şartıyla işlemektedir. AMATİS TOUR’nin Kanun’un 5. maddesi kapsamında (i) kanunlarda açıkça öngörülmesi, (ii) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (iv) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, (v) ilgili kişinin kendisi tarafından alenileştirilmiş olması, (vi) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, (vii) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın da işlemesi mümkündür.

AMATİS TOUR, özel nitelikli kişisel verileri ilgili kişinin açık rızası olmaksızın işlememektedir. Ancak, ilgili kişinin ırkını, etnik kökenini, siyasi düşüncesini, felsefi inancını, dinini, mezhebini veya diğer inançlarını, kılık ve kıyafetini, dernek, vakıf ya da sendika üyeliğini, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kanunlarda öngörülen hâllerde ilgili kişinin açık rızası olmaksızın da işleyebilmesi mümkündür.

2.3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

AMATİS TOUR tarafından kişisel veriler aşağıdaki belirtilen amaçlar doğrultusunda işbu Politika’nın 2.1. maddesi ile 2.2. maddesinde belirtilen ilke ve şartlara uygun şekilde işlenmektedir. 

A – İş başvuruları kapsamında, çalışan adaylarının ve stajyerlerin insan kaynakları süreçlerinin planlanması ve takibi, çalışan adayı / stajyer seçme ve yerleştirme süreçlerinin yürütülmesi, çalışan adaylarının başvuru süreçlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi, 

B – İnsan Kaynakları süreçleri kapsamında çalışan ve stajyerlerin bordro ve özlük hakları ile ilgili işlemlerin yürütülmesi, yasal bildirimlerin yapılması, sağlık sigortası işlemlerinin takip edilmesi, çalışan hak ve menfaatlerinin planlanması, çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi, akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, yan haklar ve menfaatleri süreçlerinin yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi, yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi, maaş politikalarının belirlenmesi, görevlendirme süreçlerinin yürütülmesi, yabancı personel çalışma ve oturma izni işlemlerinin takibi, yetkili kişi kurum ve kuruluşlara bilgi verilmesi,

C – Sunulan ürün ve hizmetler üçüncü kişilerin beğenilerini, kullanım alışkanlıkları ve ihtiyaçları doğrultusunda özelleştirilerek önerilmesi ve tanıtılması için gerekli olan faaliyetlerin planlanması ve icrası kapsamında müşteri memnuniyeti faaliyetlerinin planlanması ve/veya icrası, ürün ve hizmetlerle ilgili pazar araştırma ve pazarlama faaliyet ve süreçlerinin planlanması ve/veya icrası, sunulan ürün veya hizmetlerden en yüksek faydanın elde edilmesi için ilgili süreçlerin planlanması ve/veya icrası,

D – AMATİS TOUR tarafından sunulan ürün ve hizmetlerden üçüncü kişileri faydalandırmaya yönelik çalışmaların ilgili iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi kapsamında ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve/veya icrası, satış sonrası destek hizmetlerinin planlanması ve/veya icrası, müşteri ilişkileri yönetimi süreçlerinin planlanması ve/veya icrası, müşteri talep ve şikayetlerinin takibi, sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,

E – AMATİS TOUR’un ve onunla iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi kapsamında; denetim faaliyetlerinin planlanması ve/veya icrası, faaliyetlerin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerin planlanması ve icrası, operasyonların güvenliğinin temini, verilerin doğru ve güncel olmasının sağlanması, yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi

 

F – AMATİS TOUR tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi kapsamında bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi, finans ve/veya muhasebe işlerinin takibi, hukuk işlerinin takibi, iş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası, iş faaliyetlerinin planlanması ve icrası, kurumsal iletişim faaliyetlerinin planlanması ve icrası, lojistik faaliyetlerinin planlanması ve icrası, operasyon süreçlerinin planlanması ve icrası

G – AMATİS TOUR’un ticari ve/veya iş stratejilerinin planlanması ve icrası kapsamında iş ortakları, müşteriler ve/veya tedarikçilerle olan ilişkilerin yönetimi, stratejik planlama faaliyetlerinin icrası, iş ortakları ve/veya tedarikçilerin performans değerlendirme süreçlerinin planlanması ve takibi,

H – Fiziksel mekân güvenliğinin sağlanması, taşınır mal ve kaynaklarının güvenliğinin sağlanması,

İ- AMATİS TOUR faaliyetlerinin sürekliliğinin sağlanması, finans ve muhasebe işlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, iç denetim/ soruşturma / istihbarat faaliyetlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, yönetim faaliyetlerinin yürütülmesi, organizasyon ve etkinlik yönetimi, erişim yetkilerinin yürütülmesi.

2.4. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, AMATİS TOUR tarafından verilen hizmetler ve işçi-işveren ilişkisi kapsamında, sigorta şirketleri, hizmet tedarik ve temin edilen şirketler ile bu şirketlerin çalışanları, yazılım firmaları, yurtdışı ve yurtiçi banka ve finans kuruluşları, lisanslı ödeme kuruluşları, verilerin bulut ve benzeri ortamlarda tutulması ve korunması için hizmet alınan yurtiçi ve yurtdışı kuruluşlar, sunucu hizmeti alınan yurtiçi ve yurtdışı kuruluşlar, ticari elektronik ileti gönderilmesi için hizmet alınan yurtiçi ve yurtdışı kuruluşlar, Bankalararası Kart Merkezi (BKM), reklam ve iletişim ajansları, kredi kartı hizmet sağlayıcıları, ödeme hizmet sağlayıcıları, internet servis sağlayıcıları, mobil uygulama ve internet sitesi yazılım bakım ve destek hizmetleri sağlayanlar, AMATİS TOUR’un pay sahipleri, bağlı bulunduğu grup veya grupların diğer şirketleri, doğrudan ve dolaylı bağlı ortaklık ve iştirakleri de dâhil olmak üzere AMATİS TOUR’un yurtiçi ve yurtdışındaki iş ve çözüm ortakları başta olmak üzere AMATİS TOUR’un iştigal konusuna giren faaliyetleri doğrultusunda, sözleşmesel ilişki içinde olduğu üçüncü gerçek ve tüzel kişilerle, bunların faaliyetleri kapsamında kullanacakları bilgilerle sınırlı olmak kaydıyla paylaşılmaktadır.

AMATİS TOUR, ayrıca kişisel verileri yasal mevzuat gereği bilgi verilmesi zorunlu olan adli, idari ya da resmi sair makamlarla da paylaşmaktadır. Söz konusu veri paylaşımlarıyla; AMATİS TOUR tarafından verilen hizmetlerin güvenli bir şekilde, kesintisiz olarak ve üstün kalitede sunulabilmesi ve yasal yükümlülüklerin yerine getirilmesi amaçlanmaktadır.

AMATİS TOUR, kişisel verilerin aktarılması sürecinde, verilerin hukuka aykırı olarak kullanılmasını önlemek ve muhafazasını sağlamak için mevzuat uyarınca uygun güvenlik düzeyini sağlamak için gerekli tüm tedbirleri almaktadır

3. KİŞİSEL VERİLERİN KATEGORİZASYONU

AMATİS TOUR, kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ilgili kişinin kişisel verilerini, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işbu Politika’nın 2.1. maddesi ile 2.2. maddesinde belirtilen ilke ve şartlara uygun şekilde işleyebilmektedir.

AMATİS TOUR, kişisel verileri, işçi işveren ilişkisi, hizmet ilişkisi ve AMATİS TOUR’nin iştigal konusuna giren faaliyetleri ve sözleşmeler çerçevesinde başta çalışanları, eski çalışanları, çalışan adaylarını, stajyerleri, ziyaretçileri, iş birliği içinde olduğu kurum ve kuruluşların çalışanları ve yetkilileri, iştigal konusuyla ilgili olarak hizmet tedarik ettiği veya hizmet temin ettiği üçüncü kişiler olmak üzere ilgili kişilerin kişisel verilerini aşağıdaki kategorilerde işlemektedir.

  • Kimlik
  • İletişim
  • Özlük
  • Hukuki İşlem
  • Fiziksel Mekân Güvenliği
  • İşlem Güvenliği
  • Finans
  • Mesleki Deneyim
  • Görsel ve İşitsel Kayıtlar
  • Sağlık Bilgileri
  • Irk ve Etnik Köken
  • Din
  • Ceza Mahkumiyeti

4.KİŞİSEL VERİLERİN SAKLANMA AMAÇLARI VE SEBEPLERİ

AMATİS TOUR, işbu Politika kapsamında ele alınan kişisel verileri Türkiye Cumhuriyeti Devleti’nin Anayasası ile ilgili kanunların, yönetmeliklerin, tüzüklerin ve tüm sair yasal mevzuatın ve bağlı bulunduğu grup veya grupların diğer şirketleri ile doğrudan ve dolaylı bağlı ortaklık ve iştiraklerinin tabi olduğu ilgili yasal düzenlemelerin kendisine yüklediği yükümlülükler nedeniyle işbu Politika’nın 2.3. maddesinde belirtilen amaçları doğrultusunda saklamaktadır.

5.KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

AMATİS TOUR, kişisel verileri, ilgili verinin türüne ve niteliğine uygun biçimde Kanun ve Yönetmelik kapsamında belirtilen ilkeler ve şartlar ile Kanun ve Yönetmelik başta olmak üzere sair mevzuat uyarınca kendisine veri sorumlusu sıfatıyla yüklenen yükümlülükler doğrultusunda uygun bir kayıt ortamında muhafaza eder.

Bu doğrultuda AMATİS TOUR, kişisel verileri başta kağıt olmak üzere sair matbu ortamlarda fiziksel olarak; veri tabanı, bulut (cloud) ortamı, e-posta, web sitesi, yazılımlar, bilgisayarlar, mobil cihazlar, CD, DVD, flash bellek başta olmak üzere sair elektronik ortamlarda dijital olarak güvenli bir şekilde saklamaktadır.

6.KİŞİSEL VERİLERİN İMHASI

6.1 Kişisel Verilerin İmha Edilme Amaçları ve Sebepleri

AMATİS TOUR, işlediği kişisel verileri, Kanun ve Yönetmelik uyarınca, bunların işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili kişinin talebi üzerine işbu Politika’da belirtilen sürelere uygun olarak silme, yok etme veya anonim hale getirme suretiyle imha eder.

Bu kapsamda;

a. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

b. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması,

c. Sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,

d. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

e. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi,

f. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

g. İlgili kişinin, Kanunun 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

h. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

i. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

j. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması

halleri başta olmak üzere, AMATİS TOUR’nin Politika kapsamında işlediği kişisel verilerin saklanmasında lüzum görmediği ve Kanun ve Yönetmelik’te belirtilen tüm durumlarda, kişisel veriler AMATİS TOUR tarafından silinmek, yok edilmek veya anonim hale getirilmek suretiyle imha edilecektir.

6.3.1 Kişisel Verilerin Silinmesi

Kişisel Veriler aşağıda yer alan tabloda belirtilen yöntemler ile silinmektedir:

Veri Kayıt Ortamı

Silinme Yöntemi

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

6.3.2 Kişisel Verilerin Yok Edilmesi

Kişisel Veriler aşağıda yer alan tabloda belirtilen yöntemler ile yok edilir:

Veri Kayıt Ortamı

Yok Edilme Yöntemi

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

6.3.3 Anonim Hale Getirme

Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesini sağlayacak şekilde maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle anonim hale getirilmektedir.

7. KİŞİSEL VERİLERİN SAKLAMA VE İMHA EDİLME SÜRELERİ

Veri

Saklama Süresi

İmha Süresi

Ticari Faaliyetler Kapsamında Akdedilen Sözleşmelerden Kaynaklan Veriler

Sözleşmede öngörülen süre boyunca veya en geç sözleşmenin sona ermesini takiben 10 yıl

Saklama süresini takip eden ilk periyodik imha süresinde

İşçi İşveren İlişkisinden Kaynaklanan Sözleşmelerden Kaynaklan Veriler

Sözleşmenin sona ermesini takiben 10 yıl

Saklama süresini takip eden ilk periyodik imha süresinde

Kira İlişkisinden Kaynaklanan Sözleşmelerden Kaynaklan Veriler

Sözleşmenin sona ermesini takiben 5 yıl

Saklama süresini takip eden ilk periyodik imha süresinde

Çalışan ve Stajyer Adayına Ait Veriler

Başvurunun yapılmasını takiben 1 yıl

Saklama süresini takip eden ilk periyodik imha süresinde

Kamera Kayıtları

3 ay

Saklama süresini takip eden ilk periyodik imha süresinde

Vergisel Kayıtlar

Sözleşmenin sona ermesini takiben 5 yıl

Saklama süresini takip eden ilk periyodik imha süresinde

8.KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ ADINA ALINMIŞ OLAN TEDBİRLER

8.1.TEKNİK TEDBİRLER

AMATİS TOUR, kişisel verilerin saklanması ve imha edilmesine ilişkin olarak Kanun ve Yönetmelik kapsamında yükümlülüklerini yerine getirebilmek adına aşağıda belirtilen teknik tedbirleri almış bulunmaktadır.

  • Sızma (Penetrasyon) testleri ile bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
  • Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.

Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi işlemi erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.

  • Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmalı ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri alınmaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kişisel Verileri Koruma Kurulu’na bildirmek için buna uygun bir sistem ve altyapı oluşturulmaktadır.

Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
    Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • İnternet sitesine erişimde güvenli protokol (HTTPS) kullanılarak site SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmektedir.

  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmaktadır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, fiziksel güvenlik sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilecekse, sunucular arasında VPN kurularak veya  SFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarım gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

8.2 İDARİ TEDBİRLER

AMATİS TOUR, kişisel verilerin saklanması ve imha edilmesine ilişkin olarak Kanun ve Yönetmelik kapsamında yükümlülüklerini yerine getirebilmek adına aşağıda belirtilen idari tedbirleri almış bulunmaktadır.

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

9. POLİTİKA’NIN UYGULANMASI VE SÜRECİN TAKİBİ

AMATİS TOUR’nin, işbu Politika uyarınca ilgili kişilerin verilerinin Kanun ve Yönetmelik’e uygun olarak işlenmesi, saklanması ve imhasına yönelik gerekli işlemleri yapmak/yaptırmak ve süreçleri yönetmek üzere görevlendirdiği kişiler aşağıdaki gibidir.

Birim / Ünvan

Sorumlu

Görev Tanımı

İnsan Kaynakları Müdürü

Eda Şahin

Çalışanların Politikaya uygun hareket etmesinden sorumludur.

İnsan Kaynakları Uzman Yard.

Simge Akkılıç

Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.

İnsan Kaynakları Uzmanı

Ufuk Delice

Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

5. İLGİLİ KİŞİNİN HAKLARI

İlgili kişi, Kanun’nun 11. maddesi uyarınca AMATİS TOUR’ye başvurarak;

a. Kişisel verilerinin işlenip işlenmediğini öğrenme,

b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

e. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

f. Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme,

g. Kişisel verilerinin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

h. İşlenen kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhinize bir sonucun ortaya çıkması halinde bu sonuca itiraz etme

i. Kişisel verilerinin kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

AMATİS TOUR nezdinde tutulan kişisel verilerin güncellenmesi, düzeltilmesi ve kişisel veriler ile ilgili diğer her türlü soru, talep ve görüşler için https://amatistour.com/basvuru-formu adresinde yer alan AMATİS TOUR İlgili Kişi Başvuru Formu’nda düzenlenen yöntemlerle AMATİS TOUR’ye her zaman ulaşılabilmektedir. Başvurular, AMATİS TOUR’ye iletilmesinin akabinde en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, AMATİS TOUR’nin Kurul tarafından belirlenen tarife üzerinden ücret talep etme hakkı saklıdır.

 

09:00-21:00
09:00-21:00
09:00-21:00
09:00-21:00
DAHA FAZLA BİLGİ VE DETAY İÇİN
NUMARANIZI BIRAKIN BİZ SİZİ ARAYALIM.