Doküman Adı:
VALÖR TURİZM KONGRE ORGANİZASYONLARI TİC. LTD. ŞTİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA
MÜŞTERİ AYDINLATMA METNİ
Onaylayan:
VALÖR TURİZM KONGRE ORGANİZASYONLARI TİC. LTD. ŞTİ. MÜDÜRLER KURULU
Versiyon:
1.0
Yürürlük Tarihi:
30.06.2020
I. GİRİŞ
II. AMAÇ – KAPSAM
III. GÜNCELLEME
IV. MÜŞTERİLERİMİZE İLİŞKİN KİŞİSEL VERİLERİN ELDE EDİLMESİ
V. KİŞİSEL VERİLERİN İŞLENMESİ
VI. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
VII. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMACI
VIII. KİŞİSEL VERİLERİNİZİN AKTARIMI
IX. KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEKNİK VE İDARİ TEDBİRLER
X. KİŞİSEL VERİLERİNİZİN SAKLANMASI VE İMHASI
XI. HAKLARINIZ - TALEPLERİNİZ
07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tanımlanmakta ve kişisel verilerin korunması ve hukuka uygun olarak işlenmesi için önemli adımlar atılması gerekmektedir.
Valör Turizm Kongre Organizasyonları Tic. Ltd. Şti. olarak (‘Şirket’) kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuata uyumun tam olarak sağlanması ve kişisel verilerin hukuka uygun olarak işlenmesi ve korunması önceliklerimiz arasındadır.
Şirket’in kişisel verilerin işlenmesine ilişkin olan ya da olmayan tüm faaliyetlerini, Şirket olarak müşterilerimize karşı sorumluluğumuzun bilincinde olarak yürütülmekte, müşterilerimiz tarafından da bir bütün olarak Kişisel Verilerin Korunması ve İşlenmesine Dair Şirket Politikalarına uygun davranması ve azami hassasiyeti göstermesi gerekmektedir.
İşbu Aydınlatma Metni, Şirket’in kişisel veri işleme faaliyetleri hakkında müşterilerimizin bilgilendirilmesi ve KVKK uyarınca aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanmıştır.
İşbu Aydınlatma Metni, Şirket ile herhangi bir sözleşmesel ilişkinin varlığından bağımsız olarak, Şirket’in yürüttüğü iş faaliyetleri kapsamında kişisel verileri elde edilen gerçek kişileri kapsamaktadır.
Şirket ile kongre, seyahat ve turizm organizasyonu hizmeti sunulmasına ilişkin tedarik ve alım satım ilişkisi hâlihazırda devam eden müşterilerimiz yanında; kişisel verileri mevzuata uygun olarak işlenmeye/muhafaza edilmeye devam eden eski müşterilerimiz ile yukarıda anılan süreçlere ilişkin olarak herhangi bir vesileyle Şirket ile iletişimde bulunan ve kişisel verileri işlenen müşteri adayları ve müşteriler için düzenlenen organizasyonların katılımcıları da işbu Aydınlatma Metni kapsamındadır.
İşbu Aydınlatma Metninde düzenlenmeyen hallerde, Şirket’in kişisel verilerin korunması ve işlenmesine dair genel politikalarında yer verilen hükümler/düzenlemeler uygulama alanı bulacaktır.
İşbu Aydınlatma Metni; mevzuat değişikliklerine ve değişen şartlara uyum sağlamak ve kişisel verilerin korunması ve işlenmesine ilişkin uygulamaları doğru yansıtmak amacıyla güncellenebilir. İlgili düzenlemeler, tüm müşterilerimizin ve katılımcıların erişimine açık olarak internet sitemizde yayınlanmaktadır.
Şirket olarak politikamız, müşterilerimiz ve katılımcılar da dâhil olmak üzere işbu Aydınlatma Metni kapsamına giren herkesin kişisel verilerinin hukuka uygun olarak elde edilmesi, işlenmesi ve bilgilendirme / aydınlatma yükümlüğünün yerine getirilmesidir. Bu doğrultuda, internet sitemiz, Şirket’e iletişim için gerekli bilgileri içerir. Müşterilerimiz, Şirket’e telefon, e-mail veya internet sitemiz üzerinden veya doğrudan Şirket’e başvurarak; fiziki veya elektronik ortamda ulaşabilirler.
Gerçek kişi müşterilerimiz doğrudan veya kurumsal müşterilerimiz yetkilileri olan gerçek kişiler aracılığıyla; organizasyon süreçlerine veya diğer ürün ve hizmetlere ilişkin taleplerini anılan yöntemlerden herhangi biri ile Şirket’e iletebilir.
Şirket elde edilebilecek kişisel veriler ve bunların işlenmesine ilişkin olarak müşterileri, kullanılan yönteme bağlı olarak e-mail veya web sitesi yoluyla bilgilendirir. Şirket, müşterilerin kanuni haklarını kullanabilmesi ve kişisel verilerine ilişkin taleplerini iletebilmesi için gerekli önlemleri alır.
Şirket, müşteri ile olan ilişkiler sırasında ve Şirketimizin işlerine ilişkin süreçlerde ve sonrasında; sözleşmeye, sözleşmenin kurulması için gerekli hususlara, gerçek kişinin açık rızasına veya mevzuattan kaynaklı yükümlülüklere istinaden; kişisel verilerin elektronik veya fiziki yollarla gerek tarafınızca proje yönetimi, satış - pazarlama departmanı, muhasebe-finans, kongre, IT ve bilişim departmanı gibi ilgili birimlere iletilmesi, mail order formlarının veya katılımcı formlarının doldurularak Şirket’e iletilmesi, veya birlikte çalıştığımız tedarikçiler, iş ortakları ile diğer paydaşlar veya yetkili makam ve mahkemeler aracılığıyla Şirket’e ulaştırılması sonucunda mevzuata uygun olarak kişisel verilerinizi elde edebilir.
Elektronik ortamda, internet sitemizde kullanılan çerezler aracılığıyla kişisel veri elde edilebilir. Elektronik ortamda internet sitemiz aracılığıyla düzenlenen etkinliklere katılım amacıyla kullanıcı hesapları oluşturularak, katılımcıların kimlik, iletişim ve mesleki eğitim bilgilerine ilişkin kişisel verileri ile oluşturdukları kullanıcı profiline, işlem güvenliği ve işlem tarihine ilişkin kişisel veriler elde edilebilir.
Şirketimizin faaliyetleri kapsamında müşterilere ve katılımcılara ilişkin gereksiz kişisel veri toplanmasından kaçınılır. Bu süreçte, işlenen kişisel verilere ilişkin sorular yöneltilebilir, belge istenebilir. Şirket’in mevzuattan kaynaklanan yükümlülüklerini yerine getirmek amacıyla; ayrıca, ilgili faaliyetin niteliğine bağı olarak daha kapsamlı kişisel verilerin elde edilmesi gerekmekteyse, bu veriler de istenebilir veya elde edilebilir. Müşterilerimize daha iyi hizmet sunabilmek veya sunulan hizmetle bağlantılı yasal yükümlülükleri yerine getirmek amacıyla; kurumsal paydaşlarla paylaşılması muhtemel olan bilgilere yönelik olarak da bu paydaşların kişisel verilerin korunmasına ilişkin taahhütte bulunmaları beklenir.
İş akış sürecinde ve mevzuat dolayısıyla işlenmesi gerekli olan; kimlik, iletişim, adres, müşteri işlem, finans, borç/alacak bilgisi, banka hesap bilgisi, kredi kartı bilgisi, fiziksel mekân güvenliği ile görsel ve işitsel kayıtlar, mesleki deneyim, işlem güvenliği ve işlem tarihine ilişkin bilgileriniz, Şirket bünyesindeki güvenlik kamerası sistemleri vasıtasıyla elde edilen görüntü kayıtları (CCTV kapalı devre kamera sistemi kayıtları), internet sitemiz üzerinden erişilebilen çevrimiçi organizasyonlara katılım için oluşturulan kullanıcı profili ve bilgileri, kişisel verilerin korunması mevzuatına dayanarak işlenebilir. Sayılanlar, Şirketin yerleşik uygulamaları kapsamında işlenen verilerdir. Ancak, müşteri ilişkisinin niteliğine ve düzenlenen organizasyonun kapsamına bağlı olarak, yukarıda sayılmayan birtakım kişisel verilerin gerektiğinde, mevzuata ve Şirket’in kişisel verilerin işlenmesi ve korunmasına yönelik genel politikalarına uygun ve güncel olarak işlenmesi mümkündür.
Müşteri ve Katılımcıların kişisel verileri, Şirket tarafından sunulan hizmetlere ve düzenlenen etkinliklere ilişkin tanıtım, bilgilendirme, duyuru, promosyon, kampanya, reklam, satış – pazarlama faaliyetleri dolayısıyla mevzuata uygun olarak işlenebilir. Şirket, işlenen kişisel veriler aracılığı ile müşteri ve katılımcılara ticari elektronik iletiler gönderebilir. Müşteri ve Katılımcı, işbu aydınlatma metni kapsamında kendilerine telefon, e-posta, kısa mesaj veya masaüstü bildirimleri yoluyla ticari elektronik ileti gönderilmesini kabul etmiştir.
Özel nitelikli kişisel veriler, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, inanç, kılık kıyafet, dernek üyeliği, vakıf üyeliği, sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti – güvenlik tedbirleri, biyometrik ve genetik veriler olarak tanımlanmaktadır. Şirketimiz kanuni zorunluluk veya işin niteliği ve güvenlik gereği olanlar hariç; özel nitelikli kişisel verileri işlememektedir.
Derneklerin üyelerine yönelik organizasyonları kapsamında, dernek üyeliği verisi mevzuata uygun olarak işlenebilir. Bunun dışında müşterilerimize veya katılımcılara ilişkin özel nitelikli kişisel verilerin işlenmesi gerekirse, bu veriler mevzuat ve Şirket’in kişisel verilerin işlenmesi ve korunmasına yönelik genel politikaları uyarınca; gerçek kişi müşterilerimizin veya kurumsal müşterilerimizin gerçek kişi yetkililerinin açık rızası doğrultusunda, işlenme amacına uygun olarak sınırlı şekilde işlenebilir.
Yukarıda sayılan kişisel veriler;
- Müşteri ile sözleşme akdedilmesine bağlı ve böyle bir sözleşmenin imzalanmasına yönelik olarak,
- Başta Türk Borçlar Kanunu, Türk Ticaret Kanunu, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik, Tüketicinin Korunması Hakkında Kanun, Kurumlar Vergisi Kanunu, Katma Değer Vergisi Kanunu, Gelir Vergisi Kanunu ve bunların ikincil düzenlemeleri olmak üzere, ilgili diğer mevzuattan ve Kanunlardan doğan yükümlülüklerini yerine getirmek,
- Memnuniyet araştırmaları ve anketlerinin yapılması,
- Pazarlama kayıtlarının oluşturulması ve değerlendirilmesi,
- Bina, üretim alanı giriş ve çıkışlarında fiziki mekân güvenliğinin sağlanması,
- Seyahat planlamalarının sağlanması,
- Yönetim Faaliyetlerinin Yürütülmesi,
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
- Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini,
- Stratejik Planlama Faaliyetlerinin Yürütülmesi,
- Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası
- İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi
- Risk Yönetimi Süreçlerinin Yürütülmesi,
- Faaliyetlerin Mevzuata Uygun Yürütülmesi,
- Erişim Yetkilerinin Yürütülmesi,
- Talep / Şikâyetlerin Takibi,
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi,
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
- Görevlendirme Süreçlerinin Yürütülmesi,
- İç Denetim - Soruşturma Faaliyetlerinin Yürütülmesi,
- İletişim Faaliyetlerinin Yürütülmesi,
- Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
- Fiyatlandırma Politikasının Yürütülmesi,
- Sözleşme Süreçlerinin Yürütülmesi,
- Hukuk İşlerinin Takibi Ve Yürütülmesi,
- Finans Ve Muhasebe İşlerinin Yürütülmesi,
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
amaçlarına yönelik olarak, temel hak ve özgürlükleri gözeterek; Şirketin meşru menfaatleri doğrultusunda; amaç ile bağlantılı, sınırlı ve ölçülü olarak; elektronik ve fiziki ortamlarda yazılı olarak, otomatik ya da otomatik olmayan yöntemlerle işlenmektedir.
İşbu Aydınlatma Metninde sayılan kişisel veriler; yine bu metinde belirtilen amaçlara uygun olarak ve ayrıca; Şirket’in ticari faaliyetlerinin yürütülebilmesi amacıyla bağlantılı, sınırlı ve ölçülü olarak;
- iş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak iş ortaklarımıza,
- Şirket’in dış kaynaklardan tedarik ettiği gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak tedarikçilerimize (güvenlik hizmeti şirketi, danışmanlar, hukuk bürosu, mali müşavirlik firması, denetim firması, bilişim hizmetleri sağlayıcısı, hesapların bulunduğu banka, seyahat hizmeti sağlayıcıları, SMS hizmeti sağlayıcısı iletişim şirketi, konaklama hizmeti sağlayıcıları, taşıma ve lojistik hizmeti aracıları, ortak organizasyon yürütülen organizasyon şirketi, organizasyona ev sahipliği yapan kurum veya kuruluş vb. iç ve dış paydaşlar),
- İlgili özel hukuk kişilerinin hukuki olarak talep etmeye yetkili olduğu hususlarla ve belirtilen amaçla sınırlı olarak, kanunen yetkili özel hukuk kişilerine mevzuata uygun olarak yurtiçi veya yurtdışına aktarılabilir.
Kişisel veri sahibinin doğrudan talimat vermesi ve ilgili verileri paylaşması neticesinde, seyahat vb. organizasyonların düzenlenmesi amacı ile elde edilen kişisel veriler; kişinin talebi doğrultusunda yurt içi veya yurtdışına seyahat organizasyonu düzenlenmesi kapsamında yurt içi veya yurtdışı hizmet sağlayıcılara aktarılabilir.
İlgili kişisel veriler ayrıca, Şirketin kurumsal hesapları da dâhil olmak üzere, kullanılan yazılım ve işletim sistemleri dolayısıyla, dünyanın çeşitli ülkelerinde bulunan güvenli sunucularında tutulabilir.
Kişisel verilerin aktarılabileceği üçüncü kişiler; yürürlükteki mevzuat uyarınca aksi öngörülmedikçe ve aktarım / paylaşım amacıyla bağlı ve sınırlı olarak kişisel verilerinizi işleyebilir. Böyle bir durumda bu kişiler, Şirket ile girdikleri sözleşme ilişkisi bünyesinde elde ettikleri kişisel verileri korumakla yükümlüdürler.
Müşterilere dair kişisel veriler ayrıca, hukuki sorumluluk ve yükümlülüklerimizi yerine getirmek amacıyla resmi kurum, kuruluşlar ve yargı makamları ile yürürlükteki mevzuata uygun olarak paylaşılabilir.
Şirket uhdesindeki tüm kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesini, hukuka uygun olmayan şekilde hatalı işlenmesini, ifşa edilmesini, değiştirilmesini, silinmesini önlemek; muhafazasını ve güvenliğini sağlamak için yürürlükteki mevzuata uygun olarak her türlü idari ve teknik tedbiri alır, alınan tedbirler VERBİS’te gösterilir.
Müşterilere ve katılımcılara ilişkin kişisel veriler; Şirket bünyesinde
(a) Elektronik olarak; faaliyetin niteliği ile uygun düştüğü şekilde, yetkili kişilerce erişim sağlanabilen şirket bilgisayarları, telefonları ve tabletlerinde, taşınabilir hafızalarda (CD, DVD, USB, Harici harddisk), kurumsal e-posta kutularında; şirketin güvenli elektronik sistemleri, veri tabanı ve bilgi güvenliği sistemlerinde; yurtdışı merkezli sunucularında;
(b) Fiziki olarak; yetkili kişiler tarafından erişilebilen ve muhasebe – finans, kongre departmanı başta olmak üzere ilgili birimlerce işlenen verileriniz, şirketin merkezinde yer alan kilitli dolaplarda muhafaza edilebilir.
Müşterilere ait kişisel veriler, müşteri ile olan sözleşmeler süresince ve her hâlükârda yasal düzenlemeler gereği sözleşmesel (ticari veya tüketici vs. diğer iş faaliyetleri ile ilgili) ilişkinin veya Şirket faaliyetinin sona ermesinden itibaren 10 yıl boyunca saklanır.
Çevrimiçi organizasyonlar kapsamında elde edilen kişisel veriler, ilgili kategori için VERBİS’te gösterilen sürelerle saklanmaktadır.
Fiziksel mekân güvenliği, görsel - işitsel kayıtlar, kullanılan teknolojiye ve depolama kapasitesine bağlı olarak değişkenlik gösterebilmekle beraber; 1 ay süreyle saklanmaktadır.
Her bir kişisel veri kategorisiyle ilgili yasal düzenlemede öngörülen sürenin veya kişisel verinin işlendiği amaç için gerekli olan sürenin sona ermesi halinde Şirketin Kişisel Verileri İşleme, Saklama ve İmha Politikası doğrultusunda ve mevzuata uygun olarak ilgili elektronik veya fiziki ortamlardan silinir, yok edilir veya anonim hale getirilir.
Şirketin arşivleri, sunucuları ve/veya diğer sistemlerine yapılan saldırılar sonucunda veri güvenliğinin zarar görmesi ve/veya verilerin üçüncü kişiler tarafından ele geçirilmesi/ifşası durumunda, Şirket veri konusu müşterileri ve KVKK’yı mevzuata uygun olarak bilgilendirir.
Kanunun ilgili kişinin haklarını düzenleyen 11. maddesi kapsamında, Şirket’e başvurarak; kişisel verilerinizin;
(1) işlenip işlenmediğini öğrenme;
(2) işlenmişse buna ilişkin bilgi talep etme,
(3) işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme;
(4) yurt içinde veya yurt dışında aktarıldığı kişileri bilme,
(5) eksik veya yanlış işlenmişse düzeltilmesini isteme;
(6) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme;
(7) kişisel verilerinizin KVKK’nın 7. maddesi kapsamında silinmesi ve yok edilmesi ve eksik veya yanlış işlenmiş kişisel verilerinin düzeltilmesi taleplerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
(8) münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme;
(9) kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme
Hakkınız bulunmaktadır.
Yukarıda yer verilen, Kanunun 11. Maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre, adınız, soyadınız, TC kimlik numaranız, adres, telefon ve e-mail bilgilerinizi belirtmek kaydıyla,
- VALÖR TURİZM KONGRE ORGANİZASYONLARI TİC. LTD. ŞTİ’ye bizzat veya normal posta yoluyla,
- Elektronik posta üzerinden [email protected] e-posta adresine iletebilirsiniz.
Şirkete ulaşan bilgi edinme başvuruları ve talepleri; talebin niteliği göz önünde bulundurularak, başvurucunun kimliği teyit edilerek ve Kanunun 13. Maddesi uyarınca en geç otuz (30) gün içinde sonuçlandırılacak; red halinde gerekçeli olarak bildirim yapılacaktır.
Böyle bir başvurunun maliyeti, varsa, Kişisel Verilerin Korunması Kurulunun belirlemiş olduğu resmi tarife uyarınca ücretlendirilebilir.
VALÖR TURİZM KONGRE ORGANİZASYONLARI TİC. LTD. ŞTİ