+90 264 279 3673

Müşteri Hizmetleri

Saklama ve İmha Politikası

  1. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ HAZIRLANMA AMACI

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), veri sorumlusu sıfatıyla [ŞİRKET TAM ÜNVAN] (bundan sonra “Şirket” olarak anılacaktır.) tarafından Şirket kişisel veri işleme envanterine uygun olarak hazırlanmıştır. Politika’nın hazırlanma amacı 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te öngörülen yasal yükümlülüklerin yerine getirilmesi; tüzel kişilik bünyesinde kişisel veri saklama ve periyodik imha sürelerinin ortaya konulması; kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarının, birimlerinin ve görev tanımlarının belirlenmesi ve diğer yükümlülüklerin yerine getirilmesidir.

 

  1. TANIMLAR
KISALTMATANIM
“Açık Rıza”Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
“İlgili Kullanıcı”Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
“İmha”Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
“Kanun”6698 Sayılı Kişisel Verilerin Korunması Kanunu.
“Kayıt Ortamı”Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
“Kişisel Veri”Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
“Kişisel Veri İşleme Envanteri”Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
“Kişisel Verilerin Anonim Hale Getirilmesi”Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
“Kişisel Verilerin İşlenmesi”Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
“Kişisel Verilerin Silinmesi”Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
“Kişisel Verilerin Yok Edilmesi”Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
“Kurul”Kişisel Verileri Koruma Kurulu
“Periyodik İmha”Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
“Politika”Kişisel Veri Saklama ve İmha Politikası
“Sicil”Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili.
“Şirket”SAKARYA ASİL TUR SEYAHAT TAŞIMACILIK HİZMETLERİ TURİZM TİCARET LİMİTED ŞİRKETİ
“Veri Kayıt Sistemi”Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
“Veri Sahibi”Kişisel verisi işlenen gerçek kişi
“Veri Sorumlusu”Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

 

 

“Yönetmelik”Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 

  1. KAYIT ORTAMLARI

Kişisel veriler, Şirket tarafından Kanun ve diğer mevzuata uygun bir şekilde ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak aşağıdaki fiziki ve elektronik ortamlarda saklanmaktadır:

  • Fiziki Kayıt Ortamları

Birim Dolapları

Arşiv

  • Elektronik Kayıt Ortamları

Personel bilgisayarları

Sunucular

Yazılımlar (Bordro programları, İşyeri hekimi programı)

Çıkartılabilir bellekler (USB vb.)

Yazıcı, tarayıcı, faks makinesi

Mobil cihazlar (Telefon, tablet vb.)

Optik diskler (CD, DVD vb.)

 

  1. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER

Kişisel veriler, Şirket’in hukuki yükümlülüklerini yerine getirebilmesi, müşteri, tedarikçi, çalışan ve diğer iş ortakları ile ilişkilerinin sürdürülebilmesi, ticari faaliyetlerinin yürütülebilmesi amaçlarıyla ile aşağıdaki hukuki sebepler dâhilinde saklanmaktadır:

  1. Veri sahibinin açık rızasının elde edilmiş olması
  2. Kişisel verilerin saklanmasının Şirket’in tabi olduğu mevzuatta açıkça öngörülmüş olması
  3. Sözleşmelerin kurulması ya da ifası ile doğrudan doğruya ilgili olmak kaydıyla sözleşme taraflarından birine ait kişisel verilerin saklanmasının gerekli olması
  4. Kişisel verilerin saklanmasının Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması
  5. Bir hakkın tesisi, kullanılması ya da korunması için kişisel verilerin saklanmasının gerekli olması
  6. Veri sahiplerinin kendileri tarafından alenileştirilen kişisel verilerin alenileştirme amacıyla örtüşecek biçimde saklanmasının gerekli olması
  7. Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatlerinin elde edilebilmesi için kişisel verilerin saklanmasının gerekli olması

Şirket tarafından hukuka uygun olarak ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak saklanan kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:

  1. Kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
  2. Kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
  3. Kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
  4. Kanun’un 5. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
  5. Veri sahibinin Şirket’e usulüne uygun olarak ilettiği kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
  6. Şirket’in, veri sahibi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Özel nitelikli kişisel verilerin korunması ve hukuka uygun olarak işlenmesine yönelik Şirket tarafından alınan tedbirler Şirket Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda düzenlenmektedir.

Özel nitelikli kişisel veriler, Şirket tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki sebeplerle dahilinde saklanmaktadır:

  1. Veri sahibinin açık rızasının elde edilmiş olması
  2. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
  3. Sağlık ve cinsel hayata ilişkin verilerin saklanmasının kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi için gerekli olması.

Şirket tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:

  1. Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
  2. Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
  3. Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
  4. Kanun’un 6. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
  5. Veri sahibinin Şirket’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
  6. Şirket’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.

 

  1. VERİ GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

  • İdari Tedbirler

 

Şirket’in aldığı idari tedbirler şunlardır:

  • Şirket, Kanun ve diğer mevzuata uygun olarak kişisel veri güvenliği politika ve prosedürlerini belirler; Kanun’un ve belirlenen politikaların uygulanmasının temini için tüzel kişiliği bünyesinde düzenli denetim çalışmaları yürütür.
  • Şirket, kişisel verilerin korunması konusunda bilgili personel istihdam eder. Personellerine yönelik kişisel verilerin korunması hukuku eğitim programları düzenler ve farkındalık çalışmaları yürütür.
  • Şirket, kişisel veri aktarım faaliyetlerinde kişisel verilerin aktarıldığı kişiler ile veri paylaşım sözleşmesi imzalar ve veri güvenliğini sağlar.
  • Şirket, saklanan kişisel verilere erişim yetkisini yalnızca tüzel kişilik bünyesindeki görevi gereği yetkili personel ile sınırlandırır.
  • Şirket, kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından ele geçirilmesi halinde ihlali veri sahibine ve Kurul’a gecikmeksizin bildirir.

 

  • Teknik Tedbirler

Şirket, teknik tedbirler kapsamında;

  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
  • Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
  • Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
  • Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.

 

  1. PERİYODİK İMHA SÜRESİ

Şirket, işbu Politika’da belirlenen saklama süresinin dolması ile imha yükümlülüğünün ortaya çıkmasını takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder ya da anonim hale getirir.

Periyodik imha, yılda iki kez 6 aylık aralıklarla olmak üzere Haziran ve Aralık aylarında gerçekleştirilir.

 

  1. KAYITLARIN SAKLANMASI

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

 

  1. SAKLAMA VE İMHA SÜRELERİ

Kişisel veriler, Kanun’un 4. maddesinde yer alan genel ilkelere uygun olarak mevzuatta öngörülen ya da işlenme amacı için gerekli olan süre ile sınırlı olarak saklanmaktadır. Bu kapsamda belirlenen saklama süreleri aşağıdaki tabloda yer almaktadır:

SÜREÇSAKLAMA SÜRESİİMHA SÜRESİ
Kamera kayıtlarına ilişkin süreçlerin yürütülmesi30 günSaklama süresinin bitiminde otomatik imha
İnsan Kaynakları süreçlerinin yürütülmesi10 yılSaklama süresinin bitimine takiben 6 ay içerisinde
İnsan Kaynakları süreçlerinde işe alım faaliyetlerinin yürütülmesi1 yılSaklama süresinin bitimine takiben 6 ay içerisinde
Sözleşme, Fatura, Yasal Beyanname, Ticari Defter ve Ticari Yazışmalar vb. finansal ve hukuki yükümlülüklere ilişkin süreçlerin yürütülmesi10 yılSaklama süresinin bitimine takiben 6 ay içerisinde
Şirket ortaklık yapısı ve bu kapsamda hukuki yükümlülüklere ilişkin süreçlerin yürütülmesi10 yılSaklama süresinin bitimine takiben 6 ay içerisinde
Log Kayıtlarının tutulmasına ilişkin süreçlerin yürütülmesi2 YılSaklama süresinin bitimine takiben 6 ay içerisinde
Kurumsal iletişim süreçleri ile müşteri ilişkileri yönetimi faaliyetlerinin icrası10 yılSaklama süresinin bitimine takiben 6 ay içerisinde