Amaç
Bu politikanın amacı;
POLEN TURİZM YATIRIMLARI A.Ş. (Firma) tarafından yürütülen her türlü faaliyette 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun olarak kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen yöntemleri tarif etmek,
Başta Firmanın idari yetkilileri, personeli, müşterileri, personel adayları, tedarikçileri, ziyaretçileri, iş birliği içinde olduğu kurumların çalışanları ve üçüncü kişiler olmak üzere kişisel verileri Firma tarafından işlenen tüm kişileri, Firmanın kişisel verilerin korunmasına yönelik benimsemiş olduğu ilkeler ve kurmuş olduğu sistemler konusunda bilgilendirerek şeffaflığısağlamaktır.
Kapsam
Başta Firmanın idari yetkilileri, personeli, müşterileri, personel adayları, tedarikçileri, ziyaretçileri, iş birliği içinde olduğu kurumların çalışanları ve üçüncü kişiler olmak üzere kişisel verileri Firma tarafından işlenen tüm kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Firmanın süreçlerinde işlenen tüm kişisel verileri kapsar.
Yetki ve Sorumluluklar
Firma içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, dış hizmet sağlayıcıları ve diğer surette kurum nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.
Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.
İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak imhalara; ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri işlemeyi yapan iş birimi dikkate alınarak ilgili yönetici ve belirleyeceği ekip karar verecektir.
Kişisel Verileri Koruma Kurumu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu veri sorumlusu irtibat kişisindedir.
Tanımlar ve Kısaltmalar
Firma: POLEN TURİZM YATIRIMLARI A.Ş.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili/Yetkili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili/yetkili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi; Kişisel verisi işlenen gerçek kişi.
Veri İşleyen; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik; 28 Ekim 2017 tarihinde Resmî Gazetede yayımlanan Kişisel Kısaltma Tanım Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Kişisel Verilerin Korunması ve İşlenmesi Politikası
Firma kişisel verileri korunması ve işlenmesi için gerekli tedbirleri ve uygulanan süreci politika ile somut bir şekilde ortaya koymaktadır. İlgili kanunlar ve yönetmelikler ile bu politikanın uyumsuz olduğu durumlarda ya da güncellenen mevzuatlar doğrultusunda politikanın güncel olmaması halinde Firma yürürlükteki mevzuata uyacağını kabul etmektedir. Kanun, yönetmelik e mevzuatlarda olan değişikliklere göre bu politika güncellenir.
5.1.1. Kişisel Verilerin Güvenliğinin Sağlanması
Firma, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
KVKK’nın 12. Maddesinin 1. bendinde öngörülen aşağıdaki maddeler için tedbirlerini almaktadır.
Kişisel verilerin hukuka aykırı olarak işlenmesiniönlemek,
Kişisel verilere hukuka aykırı olarak erişilmesiniönlemek,
Kişisel verilerin muhafazasının sağlanması,
Firma kişisel verilerin güvenliğini sağlamak için uyguladığı tedbirler alt maddelerde detaylandırılmıştır.
5.1.2. İdari Tedbirler
Firma veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli bilgi güvenliği farkındalığı ve kişisel verileri koruma ile ilgili eğitimleri verir.
Kişisel verilerin güvenliğini sağlamak amacı ile gerekli idari tedbirleri alır ve çalışanların bu tedbirlere göre çalışmalarını denetler. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak ve iş süreçlerinin aksamasına neden olmayacak düzeyde erişim ve yetkilendirmeleri tanımlar. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerini ve kurallarını tanımlar. Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Üçüncü taraflarla kişisel verilerin paylaşılmasıyla ilgili olarak kişisel verilerin paylaşıldığı kişilerle çerçeve sözleşme imzalanır yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabul eder. Alınan önlemlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği tespit edilmesi halinde veri sorumlusu irtibat kişisi tarafından ilgilisine ve KVK Kuruluna bildirir. Kişisel verinin nasıl başkaları tarafından elde edildiği araştırılır. Firma tespit ettiği zafiyeti gidermek için gerekli idari tedbirleri uygular, ihtiyaç halinde teknik tedbirleri alır.
5.1.3. Teknik Tedbirler
Firma kurulan sistemler için gerekli iç kontrolleri yapar. Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, bilgi güvenliği risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini işletir. Bu süreçler doğrultusunda teknolojideki gelişmelere uygun teknik önlemler alınmaktadır. Gelişen teknolojiye uygun altyapı yatırımlar yapılır.
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulmasını sağlar. Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonlarını kullanır. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar.
Firmada işlenmekte olan kişisel verilerin saklandığı fiziki alanlar, çalınmaya ve kaybolmaya karşı gerekli fiziksel güvenlik önlemleri alınarak muhafaza edilir. Aynı şekilde kişisel verilerin yer aldığı ortamların dış risklere (yangın, sel, deprem vb.) karşı gerekli uygun yöntemler belirlenerek koruma altına alınmıştır. Bu ortamlara giriş çıkışlar kayıt altına alınarak izlenmektedir. Kişisel veri barındıran sunucular Firma sistem odasında muhafaza edilmektedir. Sistem odasının fiziki güvenlik önlemleri alınmıştır.
Kişisel veri barındıran sistem, uygulama, veri tabanı vb. alanlara erişim için kullanılmakta olan şifreler, karmaşık bir algoritma ile üretilmektedir ve sistemler bu şekilde kullanılmaya zorlamaktadır.
İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme tanımlarını yapar. Erişimlerin yetkilendirmelere uygunluğunu kontrol eder. Sistemlerin güvenliğinin kontrol edilmesi sonucu elde edilen bilgileri ilgililere raporlar.
Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır. Kişisel Verilerin güvenliğinin sürdürülebilmesi için teknik tedbirleri sürekli işleyen bir model ile kurum kültürünün bir parçası olması için farkındalığı yaygınlaştırır. Alınan tedbirlerin kontroller ile sürekli yaşatılmasını sağlar.
5.1.4. Kişisel Verilerin Korunmasının Sürdürülebilirliği İçin Yapılan Denetimler
Firma, KVK Kanunu’nun 12. maddesine uygun olarak, gerekli denetimleri yapar ve yaptırır.
Sistemlerde oluşabilecek teknik açıklıklar için düzenli olarak sistemlere sızma testlerini gerçekleştirir. Bilgi işlem tarafından sistemler düzenli olarak izlenmektedir. Ayrıca siber saldırılara karşı güvenliğin sağlanması için sistem iz kayıtları izlenmektedir. Yönetim sistemleri denetimleri, uyarı sistemlerinin ürettiği veriler ve sistemlerin izlenmesi ile tespit edilen bulgular için gerekli teknik ve idariBağlantı tedbirler alınmaktadır.
5.1.5. Kişisel Verilerin Yetkisiz İfşası Durumunda Alınan Tedbirler
Firma, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin yetkisiz ifşa olması halinde ilgili kişisel veri sahibine ve KVK Kurulu’na bilgi verir.
KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilir.
5.1.6. Üçüncü Tarafların Kişisel Verilerin Korunmasını Sağlaması İçin Uygulanan Tedbirler
Firma, üçüncü taraflar ile yaptığı sözleşmelerde; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik gerekli yaptırım maddelerini karşılıklı olarak bulundurur. Üçüncü taraflar ile bilgi paylaşımı yapılmadan önce gizlilik sözleşmeleri imzalanır. Üçüncü taraflara farkındalığın artırılması için gerekli bilgilendirmeler yapılır.
5.1.7. Özel Nitelikli Kişisel Verilerin Koruması İçin Uygulanan Tedbirler
Özel nitelikli kişisel veriler için gerek nitelikleri itibari ile gerekse kişilerin mağduriyetine veya ayrımcılığa yol açabilmesinden dolayı yeterli önlemlerin alınması gerekmektedir. KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir
Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Firma, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında gerekli tedbirleri almaktadır. Kişisel verileri korumak için alınan teknik ve idari tedbirlerde özel nitelikli kişisel veriler için hassasiyet gösterilmektedir.
Firma işlediği özel nitelikli kişisel verileri KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işlemektedir. Özel nitelikli kişisel veriler işlenmeden önce veri sahibinin açık rızası alınır. Veri sahibinin açık rızası yok ise aşağıdaki kriterlere uygun olarak kanunların verdiği yetki ile kişisel veriler işlenebilmektedir.
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, aktarılabilmektedir.
5.1.8. Kişisel Verilerin Korunmasının Sağlanması İçin Farkındalığın Yaratılması
Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bilgilendirmeler yapılmakta, eğitimler düzenlenmekte ve etkinlikleri ölçülmektedir. “Kişisel Verilerin Korunması ve İşlenmesi Politikası” kurumumuzun web sitesinde yayınlanmıştır. Kurumumuz çalışanları bu politikadan haberdar edilmiştir.
İlgili kanun, yönetmelik ya da mevzuatlarda değişiklik olması halinden politikalar revize edilmekte ve çalışanlara tekrardan duyurulmaktadır.
5.2. Kişisel Verilerin İşlenmesi İçin İlkeler
KVK Kanunun 4. maddesi 2. bendinde kişisel verilerin işlenmesi için ilkeler belirlenmiştir. Firma belirlenen ilkelere uygun şekilde kişisel verileri işlemektedir.
Kişisel verilerin işlenmesi aşağıdaki ilkelere uygun yapılmaktadır;
Hukuka ve dürüstlük kurallarına uygunolma.
Doğru ve gerektiğinde güncelolma.
Belirli, açık ve meşru amaçlar içinişlenme.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülüolma.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
5.3. Kişisel Verinin İşlenmesi Şartları
Firma bir kamu kurumu olarak işlediği verilerin önemli bir çoğunluğunu yasal zorunluluklar nedeniyle ve kamu düzeninin korunması için kullanması zorunlu olan yetkileri kullanarak işlemektedir. KVK kanununun 5/2 maddesi gereği verinin işlenmesinin:
Kanunlarda açıkçaöngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunluolması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekliolması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunluolması.
İlgili kişinin kendisi tarafından alenileştirilmişolması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunluolması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında açık rıza olmaksızın verileriişleyebilmektedir.
Bunların dışındaki durumlar için Firma ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir.
5.4. Kişisel Verilerin İmhası
Firma elde ettiği kişisel verilerini kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar nedeniyle ve kamu düzeninin korunması için kullanması zorunlu değilse imha eder. Veri sahiplerine ait kişisel veriler, hizmetin devam ettirebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması gereklilikleri ortadan kalktığında kurumun alacağı karara istinaden imha edilmektedir.
5.5. Kişisel Verilerin Yurtiçindeki Kişilere Aktarılması
Firma, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler; veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunluolması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekliolması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunluolması,
Veri sahibinin kendisi tarafından alenileştirilmişolması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunluolması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,
Kamu sağlığının korunması,
Koruyucu hekimlik,
Tıbbî teşhis,
Tedavi ve bakım hizmetlerininyürütülmesi,
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.
Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır
5.6. Kişisel Verilerin Yurtdışındaki Kişilere Aktarılması
Firma, kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, KVKK kapsamında veri sahibinin açık rızası aranmaktadır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da Kurumumuz tarafından kişisel veriler yurtdışına aktarılabilecektir. Eğer aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, Kurumumuz ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecektir.
Firma hiçbir şekilde yabancı ülkelere kişisel veri aktarmamaktadır ve yabancı ülkelerde tutulan sunucularda kişisel veri tutmamaktadır.
5.7. Kişisel Veri Sahibinin Hakları
Kişisel Verilerin Korunması Hakkında Kanun’dan kaynaklanan veri sahibi hakları ilgili kanunun 11. maddesinde sayılmış olup aşağıda belirtilmiştir:
Madde 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
Kişisel veri işlenip işlenmediğiniöğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talepetme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme)
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileribilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesiniisteme,
7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
Yukardaki maddelerde geçen haklar “Kişisel Veri Sahibi Başvuru Formunu” doldurarak yapılabilir. İlgili kanun gereği veri sorumlusu ve veri sorumlusu irtibat kişisi bilgileri aşağıdaki şekildedir:
Veri sorumlusu : POLEN TURİZM YATIRIMLARI A.Ş.
Veri sorumlusu irtibat kişisi: Bilgi İşlem Personeli
5.8. Aydınlatma ve Bilgilendirme Yükümlülüğü
KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:
Veri sorumlusunun ve varsa temsilcisininkimliği,
Kişisel verilerin hangi amaçlaişleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçlaaktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukukisebebi,
KVKK’nın 11. maddesinde sayılan diğerhaklar.
Öte yandan, KVKK’nın 28(1). maddesi çerçevesinde, aşağıda sayılan durumlarda aydınlatma yükümlülüğü bulunmamaktadır:
Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamındaişlenmesi,
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarlaişlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamındaişlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafındanişlenmesi.
5.9. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Şartları
Firma elde ettiği kişisel verileri kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar nedeniyle ve kamu düzeninin korunması için kullanması zorunlu değil ise siler, yok eder ya da anonimleştirir.