HOTEL ŞAHİNLER
KİŞİSEL VERİLERİ İŞLEME POLİTİKASI
(KVKK POLİTİKASI)
İÇİNDEKİLER
1. AMAÇ
2. KAPSAM
3. TERİMLER VE KAVRAMLAR
4. ROL VE SORUMLULUK…………………………………………………………………………………………………………………7 5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ ŞARTLAR
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
9. KİŞİSEL VERİLERİN AKTARILMASI
10. KİŞİSEL VERİ SORUMLUSUNUN VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLERİ
11. KİŞİSEL VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
12. İLGİLİ KİŞİLER TARAFINDAN YAPILAN BAŞVURULARIN CEVAPLANMASI VE KARARLARIN YERİNE GETİRİLMESİ YÜKÜMLÜLÜĞÜ21
13. VERİ SORUMLULARI SİCİLİNE KAYIT OLMA YÜKÜMLÜLÜĞÜ
14.BİLDİRİM YÜKÜMLÜLÜĞÜ……………………………………………………………………………………………………….22
15. İLGİLİ KİŞİNİN HAKLARI
16. İLGİLİ KİŞİNİN HAK ARAMA USULÜ2
17. GÜNCELLEME25
18. YÜRÜRLÜLÜK VE YÜRÜRLÜKTEN KALDIRMA5
Bu politikanın amacı, başta KVK Kanunu olmak üzere ulusal ve uluslararası hukuki düzenlemelerin gerektirdiği kurallar çerçevesinde kişisel veri işleyicisi KİŞİSEL VERİ SORUMLUSU ’nun, ilgili kişilere ait kişisel verilerin işlenmesi sırasında, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaya, kişisel verilerin işlenmesi sürecinde KİŞİSEL VERİ SORUMLUSU ’nun ve VERİ SORUMLUSU ile hukuki, ticari ve finansal ilişkiler içerisine giren tüm özel ya da kamu kurum kuruluşlarıyla gerçek ve tüzel kişilerin edimlerini, yükümlülüklerini, sorumluluklarını, uyulacak olan usule ve esasa ilişkin kuralları ve politikaları belirlemektir.
Bu politika, KVK Kanunu başta olmak üzere ulusal ve uluslararası kanun, tüzük, yönetmelik, genelge, düzenleyici ve denetleyici kurum ve kuruluş kararları, direktifler, uluslararası anlaşmalar, sözleşmeler ve KİŞİSEL VERİ SORUMLUSU ile iletişim, etkileşim, işbirliği, çözüm ortağı veya her ne isim altında olursa olsun, resmi, gerçek ya da tüzel kişiliğe sahip tüm kişi, kurum ve kuruluşlar, VERİ SORUMLUSU ’nun ortakları, müşterileri, çalışanları, tedarikçileri, ile yapılan ya da yapılacak olan hukuki, ticari, finansal her türlü sözleşmeler ve sözleşme ekleri çerçevesinde, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen KİŞİSEL VERİ SORUMLUSU hakkında uygulanır.
İşbu politikada yer alan;
108 No’lu Sözleşme; Avrupa Konseyi tarafından hazırlanan ve imzalanan 01.10.1985 tarihinde yürürlüğe giren Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireyleri Korunması Sözleşmesi’ni,
95/46/EC Sayılı Direktif; Avrupa Parlamentosu ve Konseyi tarafından 1995 yılında kabul edilen Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi’ ni,
Açık rıza; Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
AİHS; Avrupa Konseyi tarafından hazırlanan, 03.09.1953 tarihinde yürürlüğe giren Avrupa İnsan Hakları Sözleşmesi’ni,
Alıcı grubu; KİŞİSEL VERİ SORUMLUSU tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Anonim hâle getirme; Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
AYYGE Tebliğ; KVKK tarafından 10.03.2018 tarihli RG Yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” i,
DHKD Kanun; Dilekçe Hakkının Kullanılmasına Dair Kanunu,
Etkileşim ve iletişim ; KİŞİSEL VERİ SORUMLUSU’ nun yazılı ya da sözlü, mesafeli ya da mesafesiz olarak hukuki, ticari, finansal, akdi vb açılardan oluşan sorumluluk ve yükümlülük doğuran her türlü ilişkiyi,
GDPR; 95/46/EC sayılı direktifi 25.05.2018 tarihinde yürürlükten kaldıran 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nü,
İlgili kişi; kişisel veri sorumlusu tarafından kişisel verisi işlenen, veri sahibi olan gerçek kişiyi,
İrtibat kişisi; Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen ve veri sorumlusunu temsil yetkisi bulunmayan gerçek kişiyi,
Kişisel veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel veri sorumlusu; İş bu politikada kişisel verilerle ilgili veri sorumlusu olan Türkiye ve Türkiye dışında yer alan ( ŞAHİNLER OTELCİLİK VE TURİZM AŞ) HOTEL ŞAHİNLER kapsamındaki şirketler ile şirketin yönetimi ve işletmesini; İşbu politika metninde HOTEL ŞAHİNLER olarak adlandırılan kişi ve otel grubunu;
Kişisel verilerin işlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel veri işleme envanteri; Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
KVKK; Kişisel Verileri Koruma Kurumu’nu,
KVK Kanunu; 24.03.2016 tarihinde kabul edilen ve 07.04.2016 tarihinde 29677 sayılı RG de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
KVK Kurulu; KVKK kurumu nezdindeki yetkili kurulu,
KVK Politikası; KİŞİSEL VERİ SORUMLUSU tarafından kabul edilen ve yürütülen işbu Kişisel Verileri Koruma Politikasını,
KVSİ Politikası; KVSYH Yönetmelik kapsamında hazırlanan Kişisel Veri Saklama ve İmha Politikasını,
KVSYH Yönetmelik; KVK Kanunu kapsamında çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik,
KVYDAY Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik
Otomatik işleme; İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen kişisel veri işleme faaliyetini,
Otomatik olmayan işleme ; İnsan müdahalesi ya da yardımı yoluyla yani elle yapılan kişisel veri işleme faaliyetini,
Özel nitelikli kişisel veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri , (Kanun’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiş olan ve kıyas yoluyla genişletilmesi mümkün olmayan veri türü)
Özet metin; KİŞİSEL VERİ SORUMLUSU tarafında hazırlanan ve düzenlenen detaylı ve içerikli metinler, kitaplar, kitapçıklar yerine geçerli olmak üzere, bu metinlerin kısa bir özetinin yer aldığı aynı hizmete, amaca ve hedefe yönelik metin, yazı ve direktifleri,
Periyodik imha; Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
RG; Resmi Gazeteyi,
Sicil; KVKK Başkanlığı tarafından tutulan veri sorumlular sicilini,
Silme; Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
TCK; 5237 sayılı Türk Ceza Kanunu’nu,
TMK; 4721 sayılı Türk Medeni Kanunu’nu,
VERBİS; Veri sorumluları sicil bilgi sistemi olarak bilinen veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, KVKK Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemini,
Veri aktaran; Kişisel verileri, kendi sisteminden başka bir veri sorumlusuna transfer eden, aktaran gerçek veya tüzel kişiyi,
Veri alıcısı; Başka bir veri sorumlusu tarafından kendi sistemine kişisel veri aktarılan gerçek veya tüzel kişiyi,
Veri envanteri; Kişisel veri işleme envanteri olarak da isimlendirilen KİŞİSEL VERİ SORUMLUSU’ nun iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Veri işleyen; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi; Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği elektronik ya da fiziki ortamda oluşturulabilen kayıt sistemini,
Veri sorumlusu temsilcisi; Türkiye’de yerleşik olmayan veri sorumlularını asgari olarak (a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme, (b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme, (c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin KVK Kanunu’nun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme, (ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere KVK Kanunu’nun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme, (d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma gibi konularda asgari temsile yetkili olmak üzere temsilci kılınan Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,
VSBUH Tebliğ; KVKK tarafından çıkarılan ve 10.03.2018 tarihli RG yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği,
VSSH Yönetmelik; KVK Kanunu kapsamında çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik,
Yeterlilik Kararı KVK Kurulu tarafından belirli şartların oluşması halinde, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına ilişkin verdiği kararı
Yok etme; Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
ifade eder.
Bu maddede bulunmayan terimler ve kavramlar için ilgili mevzuattaki terim ve kavram tanımları geçerlidir.
İşbu Politika LIMAK HOTELS Yönetim Kurulu tarafından onaylanmıştır. Politika’nın oluşturulmasının, uygulanmasının ve gerektiğinde güncellenmesinin sağlanması konusunda yetkili onay mekanizmasıdır.
İşbu Politika’nın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden, Bilgi İşlem Direktörlüğü ile birlikte Hukuk Müşavirliği sorumludur. Hukuk Müşavirliği bu Politika’yı gerektiğinde güncelliği ve geliştirme ihtiyaçları açısından değerlendirir.
İşbu Politika’nın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden, Hukuk Müşavirliği ile birlikte Bilgi İşlem Direktörlüğü sorumludur. Bilgi İşlem Direktörlüğü bu Politika’yı gerektiğinde güncelliği ve geliştirme ihtiyaçları açısından değerlendirir. Hazırlanan dokümanın yayınlanması Bilgi İşlem Bölüm Yöneticisi’nin sorumluluğundadır.
Genel Olarak
KİŞİSEL VERİ SORUMLUSU, işyeri ya da işletmelerinde, her türlü kişisel veriyi, şeffaf, ahlaka, ulusal ve uluslararası hukuk kurallarına bağlı olarak, dürüstlük kuralları içerisinde, açıklık, erişilebilirlik, hesap verebilirlik ilkelerini benimseyerek işlemeyi, bunu yaparken, amaca uygun, sınırlı, ölçülü ve tarafsız bir şekilde, objektif kriterlere uygun davranmayı, kişisel veri sorumlusu ile etkileşim ve iletişim içinde bulunan ilgili kişilere ait kişisel verilerin doğruluğunu, güncelliğini ve bütünlüğünü korumak ve sürdürmek suretiyle, bu kişisel verilerin işleme amacına ve mevzuata uygun sürelerde ve güncel teknolojik koşullarda güvenli bir şekilde ticari ve mesleki etik kuralları ile kişisel mahremiyet ve özel hayatın gizliliği başta olmak üzere uluslararası ve ulusal hukuk kuralları ile teminat altına alınmış temel insan hak ve özgürlüklere saygı çerçevesinde korumayı ve saklamayı, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza ettikten sonra silmeyi, yok etmeyi veya anonim hale getirmeyi Kişisel Verileri Koruma Politikasının temel ilkeleri olarak kabul etmektedir.
Hukuki İlkeler
KİŞİSEL VERİ SORUMLUSU, KVK Kanunu çerçevesinde kişisel verilerin işlenmesi sürecinde ulusal ve uluslararası alanda yürürlükte bulunan mevzuata, hukuk düzeni içerisinde yer alan ve TMK’nın 2nci maddesinde düzenlenen dürüstlük kuralına uygun hareket etmenin bir gereklilik ve zorunluluk olduğunun bilinci ile hareket etmektedir.
Dürüstlük kuralına uygun olma ilkesi uyarınca KİŞİSEL VERİ SORUMLUSU, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerinin dikkate alınması gerektiğini, kişisel verisi işlenen kişinin beklemediği ya da kendisinden beklenmesinin mümkün olmadığı sonuçların ortaya çıkmasını önleyici şekilde hareket etmenin, söz konusu veri işleme faaliyetinin açık ve anlaşılır olması yanında ilgili kişiyi bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerektiğini kabul, taahhüt ve beyan etmektedir.
KİŞİSEL VERİ SORUMLUSU ayrıca dürüstlük kurallarına uygun davranırken, kişisel verilerin işlenmesine dair öngörülen haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde, kendisine verilen hakkın sınırları içinde ve amacına uygun şekilde davranmayı da bir görev ve sorumluluk olarak kabul etmektedir.
Anayasa ve KVK Kanunu ile de koruma altında bulunan ilgili kişinin kendisine ait verilerinin düzeltilmesi hakkına saygılı bir politika izleyen KİŞİSEL VERİ SORUMLUSU, bu politikaya uygun ve uyumlu olarak, işlediği kişisel verilerin doğru ve güncel bir şekilde tutulmasında, işleme sürecinin her aşamasında ve gerektiğinde güncel olmasının sağlanmasında, ilgili kişinin bilgilerinin doğru ve güncel olmasını sağlayacak kanalların açık tutulmasında, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle ilgili kişinin maddi ve manevi açıdan zarar görmesi halinde bunun tazminle sonuçlanacağı hususunda bilinçli, özenli ve dikkatli davranmayı beyan, kabul ve taahhüt etmektedir.
Diğer yandan KİŞİSEL VERİ SORUMLUSU, bu ilke doğrultusunda hareket etmenin, özel hayatın gizliliği başta olmak üzere ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gerekli olduğuna inanmaktadır.
Böyle bir bakış açısı ile hareket etmenin, kişisel veri sahibinin haklarının korunması yanında, kendi menfaatlerini de koruduğunu bilen ve öngören KİŞİSEL VERİ SORUMLUSU, kişisel verilerin doğru ve güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli ya da belirlenebilir olmasına, bu kaynakların doğruluğunun ve güvenilirliğinin test ve teyit edilmesine dikkat ederek kişisel verilerin doğru olmamasından kaynaklı talepleri göz önünde bulundurarak, işbu politika ile mevzuat kapsamında makul önlemleri almayı ilke edinmiştir.
KİŞİSEL VERİ SORUMLUSU, KVK Politikası kapsamında işbu ilkenin konuluş amacına uygun olarak;
imkan sağlayacak şartları oluşturmayı beyan ve kabul etmektedir.
Bu ilke doğrultusunda KİŞİSEL VERİ SORUMLUSU, ilgili kişiye ait kişisel verilerin yasada öngörülen ve bu politikanın temelini oluşturan kurallara uygun, sunmuş olduğu iş ve hizmetlerle bağlantılı ve bunlar için gereksinim duyulması nedeniyle belirlenmiş, açık, kesin ve meşru amaçlar için işlendiğini ve işleneceğini bir politika olarak beyan ve kabul etmektedir.
Yine belirlilik ve açıklık ilkesinin gereği olarak KİŞİSEL VERİ SORUMLUSU, kişisel veri işleme amaçlarının açıklandığı etkileşim ve iletişim içinde bulunulan kişilerle ilgili hukuki iş, işlemlerde ve metinlerde (açık rıza, aydınlatma metni, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline başvuru, sözleşme vb belgelerde) uygun düzenlemelerin yapıldığını, düzenlemeler yapılırken herkes tarafından anlaşılamayan teknik ve hukuki terminoloji kullanılmamasına özen gösterildiğini ve güncel halde tutulduğunu, ilgili kişiye beyan edilen amaçlar dışında onaysız ya da izinsiz veri işlenmeyeceğini, başka amaçlarla veri işlenmesi halinde, bu fiillerinden dolayı hukuki ve cezai sorumlulukların ortaya çıkacağını KVK Politikası olarak benimsemiş ve kabul etmiştir.
KİŞİSEL VERİ SORUMLUSU, etkileşim ve iletişim içinde bulunduğu kişilere ait verilerin, daha önceden belirlenen ve açıklanan amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgisi olmayan veya gereksinim duyulmayan kişisel verilerin işlenmesinden kaçınılması gerektiğini, sonradan ortaya çıkması olası gereksinimlerin karşılanmasına yönelik olarak veri işleme yoluna gidilemeyeceği bilinci ile hareket etmektedir.
Yine buna paralel olarak KİŞİSEL VERİ SORUMLUSU, olası gereksinimlere yönelik veri işlenmesinin, yeni bir veri işleme faaliyeti anlamına geleceğini, böyle bir durumda, KVK Kanunu 5. maddesinde düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerektiğini ya da gerekeceğini, ayrıca işlenen verinin, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulacağını, amaç için gerekli olanın dışında veri işlenmesinin, sınırlı tutulma ilkesine aykırılık teşkil edeceğini KVK Politikasının bir gereği olarak görmektedir.
KİŞİSEL VERİ SORUMLUSU, bu madde çerçevesinde ele alınan ölçülülük ilkesinin de, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına geldiğini, diğer bir anlatımla veri işlemenin, veri işleme amacına uygun ve onunla uyumlu bir ölçüde gerçekleşmesi gerektiğini bilmekte ve buna göre hareket etmektedir.
KİŞİSEL VERİ SORUMLUSU, KVK Politikasının en önemli prensiplerinden birisi olan “amaçla sınırlılık ilkesi” nin bir gereği olarak, kişisel veriyi işlediği amaç için gerekli olan süreye uygun bir şekilde, ulusal ya da uluslararası mevzuatta yer alan hükümler çerçevesinde zamanaşımı ve hak düşürücü süreleri de dikkate alarak muhafaza etmeyi, böyle bir kanuni süre öngörülmemiş ise işlendikleri amaç için gerekli olan makul süre kadar saklamayı, verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde o verinin silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda gerekli hukuki ve idari tedbirleri almıştır ve almaktadır.
Bir yandan bu sürelere uygun muhafaza edilme ilkesinin gereğini yerine getirirken, diğer yandan da KVK Kanunu’nun 12. maddesinde yer alan hüküm çerçevesinde KİŞİSEL VERİ SORUMLUSU, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesine engel olmak ve kişisel verilerin muhafazasını sağlamak amacıyla uygun fiziksel ve teknolojik güvenlik düzeyini güvenli ve güncel halde tutmaktadır.
Bu maddede değinilen amaç doğrultusunda ve işbu politika kapsamında KİŞİSEL VERİ SORUMLUSU tarafından, kişisel veri saklama ve imha politikası ve esasları oluşturulmuş, saklama süreleri ve muhafaza edilmesi için gereken teknik ve idari tedbirleri belirlenmiş, kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamak üzere gerekli hukuki, idari, fiziki ve teknolojik önlemler uygulamaya konulmuştur.
KİŞİSEL VERİ SORUMLUSU, KVK Kanunu’nun 16. maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi VSSH Yönetmeliğin 9. Maddesini de dikkate alarak tespit etmekte, bu süreyi beyan etmekte, sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan ve mevzuatta öngörülen azami saklama sürelerini; bu süreler ile mevzuatta öngörülen süreler farklı olabileceği için ya da zaman aşımı süreleri söz konusu olabileceği saklamak için zamanaşımı sürelerinin veya en uzun sürenin esas alınmasını öngörerek sicile bildirimde bulunmaktadır.
Son olarak hem KİŞİSEL VERİ SORUMLUSU’ nun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen süreler, hem de zamanaşımı süreleri de dikkate alınarak KİŞİSEL VERİ SORUMLUSU tarafından belirlenen ve bildirilen saklama sürelerinin dolması durumunda, kişisel veriler KİŞİSEL VERİ SORUMLUSU tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir..
KVK Kanunu’nun 5 inci maddesi çerçevesinde KİŞİSEL VERİ SORUMLUSU, etkileşim ve iletişim içinde bulunduğu kişilerin verilerini işleme faaliyetine başlamadan önce, aşağıda belirtilen ve mevzuatta yer alan diğer veri işleme şartlarından birine dayanılıp dayanılamayacağı hususunda bir değerlendirme yapmakta, bu değerlendirme sonucunda veri işleme ilgili diğer şartlardan hiç birisinin bulunmaması halinde ilgili kişinin açık rızasını alma yoluna gitmektedir.
İşte bu amaçla KİŞİSEL VERİ SORUMLUSU ile etkileşim ve iletişim içinde bulunan kişilere ait verilerin yer aldığı fiziki ve elektronik ortamlar, tüm hukuki iş, işlemler ve metinler (açık rıza, aydınlatma metni, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline başvuru, form, beyan, sözleşme vb belgelerde ) düzenlemelere gidilmiş, tüm süreç mevzuata uygun ve uyumlu hale getirilmiştir.
KİŞİSEL VERİ SORUMLUSU, her alanda olduğu gibi KVK Politikası kapsamında da ulusal ve uluslararası mevzuatta öngörülen hüküm ve kurallara uygun hareket eden, kanuna saygılı bir kurumdur.
KVK Kanunu kapsamında KİŞİSEL VERİ SORUMLUSU, mevzuatta açıkça öngörülen veri işleme şartlarından birinin oluşması veya kişisel verinin işlenmesi için emredici bir kuralın bulunması durumunda ilgili kişinin açık rızasına gerek duymaksızın kişisel verileri işleme faaliyetinde bulunmaktadır.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya hak ehliyetine sahip olup da fiil ehliyetine herhangi bir nedenle sahip olmayan ya da olamayan veya başkaca nedenlerle rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumlarında KİŞİSEL VERİ SORUMLUSU, ilgili kişinin açık rızasını almadan kişisel verilerini işleyebilir.
KİŞİSEL VERİ SORUMLUSU, içinde bulunduğu sektörün gerektirdiği hizmet ve ürünler ile ilgili faaliyette bulunabilmek için kendisi ile etkileşim ve iletişim içinde bulunan gerçek veya tüzel kişilerle sözleşmeler yapmakta, bu sözleşmeler kapsamında karşılıklı yükümlülük ve sorumluluklar altına girmektedir.
İşte bu sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda, bu amaçla sınırlı olmak üzere ilgili kişilerin verilerini işlemektedir. Bu kapsamda yapılan veri işleme faaliyeti nedeniyle KİŞİSEL VERİ SORUMLUSU, ilgili kişinin açık rızasına gerek duymamaktadır.
KİŞİSEL VERİ SORUMLUSU, KVK Kanunu başta olmak üzere ulusal ya da uluslararası mevzuatın öngördüğü başkaca mevzuat hükümleri çerçevesinde bir hukuki sorumluluk ya da yükümlülüğün gereği olarak veya resmi kurum ve kuruluşların, savcılık, mahkeme ya da başkaca devlet dairelerinin istemleri doğrultusunda ilgili kişinin açık rızasına başvurmadan kişisel verilerini işleyebilir. Bu kurumlarla paylaşabilir.
KİŞİSEL VERİ SORUMLUSU, etkileşim ve iletişimde bulunduğu ilgili kişinin kamuya açıkladığı, ilan ettiği üçüncü kişilerin erişimine açık şekilde paylaştığı, kendisi tarafından açık ve özgür iradesi ile alenileştirdiği kişisel verilerini öngörülen amaç çerçevesinde veri işleme faaliyetine tabi tutabilir. Böyle bir durumda ilgili kişinin açık rızasına başvuruda bulunmaya gerek duymamaktadır.
KİŞİSEL VERİ SORUMLUSU, kendisi lehine ya da aleyhine yürütülen bir soruşturmanın belgelendirilmesi, davanın ispatı, yasal takiplerle ilgili fatura, sözleşmelerin resmi işlemler için kullanılması için belgelerin zamanaşımı süresince saklanması gibi bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel verilerini işlemektedir. Böyle bir durumda ilgili kişinin açık rızasına başvuruda bulunmaya gerek duymamaktadır.
KVK Kanunu çerçevesinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile KİŞİSEL VERİ SORUMLUSU’ nun meşru menfaatleri için veri islenmesinin zorunlu olması durumunda, ilgili kişinin kişisel verilerinin işlenmesi mümkündür. Böyle bir durumda ilgili kişinin açık rızası aranmaz.
Diğer bir anlatımla ilgili kişinin temel hak ve özgürlüklerinin korunması karşısında, KİŞİSEL VERİ SORUMLUSU’ nun meşru, yeterli düzeyde etkin, hali hazırda mevcut bir menfaatinin bulunması, bu menfaatin mevzuatın ruhuna ve amacına uygun olması, kişisel veri işleme faaliyetinin, güncel aktivitelerin yerine getirmesini zorunlu kılması halinde KİŞİSEL VERİ SORUMLUSU’ nun ilgili kişiye ait kişisel verileri işlemesinde herhangi bir hukuki engel bulunmamaktadır.
KİŞİSEL VERİ SORUMLUSU kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul eder.
Özel nitelikli kişisel verilerin işlenmesi kural olarak mevzuat gereğince yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
halinde özel nitelikli verilerin de işlenmesi mümkündür. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması öngörülüyorsa bu kurul kararlarına da uygun davranılmaktadır.
KİŞİSEL VERİ SORUMLUSU kişisel verilerin silinmesi, yok edilmesi, veya anonim hale getirilmesi yolundaki faaliyet politikalarını belirlemek üzere ayrıca ve açıkça KVSİ ( Kişisel Verileri Saklama ve İmha) Politikası oluşturmuştur. Bununla birlikte kısaca açıklamak gerekirse :
KVK Kanunu’nun 7. Maddesinde düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hükmüne göre, kişisel verilerin hukuka uygun olarak islenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, re’sen veya ilgili kişinin talebi üzerine KİŞİSEL VERİ SORUMLUSU tarafından silinmekte, yok edilmekte veya anonim hâle getirilmektedir.
Buna göre KİŞİSEL VERİ SORUMLUSU;