Anexservices Turizm Org.Taş.Tic.A.Ş.

İşlediğimiz kişisel verilere dair aydınlatma metnimiz aşağıda sunulmaktadır.

Bu açıklama, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereğince, veri sorumlusu sıfatıyla Anex Services Turizm Organizasyon Taşımacılık Ticaret Anonim Şirketi (Şirket) tarafından sizi bilgilendirmek amacıyla yapılmaktadır. İşbu Aydınlatma Metni kapsamında yer alan hususlara ilişkin detaylı bilgilere www.anexservices.com.tr adresinde yer alan “Kişisel Verilerin Korunması ve İşlenmesi Politikası”ndan erişebilirsiniz.

Kanun kapsamında;
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı;
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik ve genetik verileri;
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen işlemleri ifade etmektedir.

  1. İŞLENEN KİŞİSEL VERİLERİNİZ

    Şirketimiz tarafından işlenen kişisel veriler, aşağıdaki şekilde kategorize edilmiştir:

    • Kimlik Bilgileri (Nüfus cüzdanı, ehliyet, pasaport üzerinde yer alan bilgiler gibi)
    • İletişim Bilgileri (Adres, e-posta adresi, telefon numarası, KEP adresi vb.)
    • Konum Bilgileri
    • Çalışan Özlük Bilgileri (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme bilgileri, izin bilgileri vb.)
    • Hukuki İşlem Bilgileri (Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler vb.)
    • Müşteri İşlem Bilgileri (Ürün ve hizmet sunumuna yönelik kayıtlar, talepler, talimatlar vb.)
    • Fiziksel Mekan Güvenlik Bilgileri (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları vb.)
    • İşlem Güvenliği (IP adresi, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri vb.)
    • Risk Yönetimi (yetki belgesi, imza örneği, ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler)
    • Finansal Bilgiler (bilanço, finansal performans, banka hesap bilgileri vb.)
    • Mesleki Deneyim Bilgileri (diploma bilgileri, gidilen kurslar, meslek içi eğitimler, sertifikalar vb.)
    • Pazarlama Bilgileri (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
    • Görsel/İşitsel Bilgiler
    • Özel Nitelikli Kişisel Veri (Sabıka kaydı; sağlık bilgileri; dini aidiyet; ceza mahkûmiyeti bilgileri; Irk Verisi)
    • Diğer Bilgiler (şirkete ait araçların kullanımına ilişkin bilgiler, araç takip sistemi verileri; trafik cezaları, kaza tutanakları, iş kazası bildirimleri, araç zimmet belgeleri, vb)
  1. KİŞİSEL VERİLERİNİZİN İŞLENME AMACI

    Kanun’un 4. 5. ve 6. Maddeleri uyarınca kişisel verileriniz;

    1. Hukuka ve dürüstlük kurallarına uygun olma
    2. Doğru ve gerektiğinde güncel olma.
    3. Belirli, açık ve meşru amaçlar için işlenme.
    4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
    5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

    ilkelerine uygun olarak aşağıda sayılan amaçlar dahilinde işlenecektir:

    • Şirketimizin idaresi ile faaliyetlerin mevzuata, şirket politika ve prosedürlerine uygun olarak yerine getirilmesi;
    • Sözleşme, ürün ve hizmet koşullarının ifası ile üstlenilen yükümlülüklerin eksiksiz ve doğru bir şekilde yerine getirilebilmesi;
    • Hukuki yükümlülüklere uyum sağlanması;
    • Şirketimiz tarafından sunulan ürün ve hizmetlerin satışa sunulması;
    • Tedarikçi, iş ortakları, dış hizmet sağlayıcıları ve müşteriler arasında iletişimin sağlanması;
    • İnsan kaynakları politikalarının ve süreçlerinin yürütülmesi;
    • Bilgi güvenliği ve iş sürekliliği süreçlerinin planlanması ve uygulanması;
    • Şirket’in, personelin, müşterilerin ve Şirket ile iş ilişkisi içerisinde olan kişilerin fiziki, hukuki ve ticari güvenliğinin temini;
    • Pazarlama analiz çalışmalarının yürütülmesi;
    • İletişim ve pazarlama faaliyetlerinin yürütülmesi;
    • Çalışan ve müşteri memnuniyeti yönetimi;
    • Finans, muhasebe ve operasyon süreçlerinin yürütülmesi;
    • Organizasyon ve etkinlik yönetimi;
    • Denetim ve risk yönetimi faaliyetlerinin icrası ile kalite kontrol sürecinin yürütülmesi;
    • Şirket içi/dışı eğitim faaliyetlerinin planlanması ve icrası;
    • Şirket faaliyetlerinin şirket prosedürü ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası;
    • Ziyaretçi kayıtlarının oluşturulması, ve takibi ile şirket yerleşkesi ve tesislerinin güvenliğinin sağlanması;
    • Hukuki süreçlerin takibi;
    • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi.

    Şirketimiz, kişisel bilgilerinizi, bu amaçlar, kapsam ve faaliyetleri dışında hiçbir amaçla kullanmamakta ve satmamaktadır. Kişisel verilerinizin hukuka aykırı olarak işlenmesinin ve verilerinize hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerinizin güvenli bir şekilde muhafaza edilmesi amacıyla her türlü gerekli teknik ve idari tedbir tarafımızdan alınmaktadır.

    Kişisel verilerinizin Şirket’imiz tarafından işlenme amaçları konusunda detaylı bilgilere, www.anexservices.com.tr internet adresinde yer verilen “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda yer verilmiştir.

  1. KİŞİSEL VERİLERİNİZİN AKTARIMI

    Kişisel verileriniz, yukarıda belirtilen süreç̧ ve amaçların gerçekleştirilebilmesi amacıyla açık rızanıza istinaden veya Kişisel Verilerin Korunması Kanunu’ nun 5 inci maddenin ikinci fıkrasında yazılı hallerde ( a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.) ve yeterli önlemler alınmak kaydıyla 6 ncı maddenin üçüncü fıkrasında belirtilen sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rızanız aranmaksızın aşağıda yer alan amaçlarla; iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, şirket yetkililerine, Grup Şirketlerine/ hissedarlarına/ yetkililerine, işlenme amacının gerektirdiği ve faaliyetlerimiz gereği anlaşmalı olduğumuz ve hizmet sunduğumuz 3.kişilere/kuruluşlara,  kanunen yetkili kamu kurumlarına ve özel hukuk tüzel kişilerine aktarılabilmektedir:

    • Yetkili kamu kurum ve kuruluşları ile özel hukuk kişilerinin hukuki yetkisi dahilinde bilgi-belge talebinin karşılanması;
    • Şirketler hukuku, ticari faaliyetler, etkinlik yönetimi ve kurumsal iletişim süreçlerinin yürütülmesi;
    • Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, uygulanması ve yönetimi; izleme, risk yönetimi ve denetim faaliyetlerinin yürütülmesi;
    • Grup şirketlerinin de katılımını gerektiren süreçlerin, ticari faaliyetlerin ve müşteri şikayet/dava süreçlerinin yürütülmesi;
    • Dış kaynaklı olarak temin edilen mal ve hizmetlere ilişkin süreçlerin yönetilmesi, destek, denetim ve danışmanlık hizmeti alınması;
    • İş ortaklığının kurulma amaçlarının ve müşteri hizmetlerinin yerine getirilmesi.

    Kişisel verilerinizin Şirket’imiz tarafından aktarılmasına ilişkin detaylı bilgilere, www.anexservices.com.tr internet adresinde yer verilen “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda yer verilmiştir.

  1. KİŞİSEL VERİLERİNİZİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEPLERİ 

    Kişisel verileriniz, otomatik ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle, grup şirketlerimiz, iş ortaklarımız, işlenme amacının gerektirdiği ve faaliyetlerimiz gereği anlaşmalı olduğumuz ve hizmet sunduğumuz 3.kişilere/kuruluşlar tarafından veya tarafınızdan iletilen bilgi ve belgeler ve benzeri kanallarla sözlü, yazılı ya da elektronik olarak toplanabilecektir.

    4.1 Kişisel verileriniz, Kanun’un 5(1) maddesi doğrultusunda açık rızanıza istinaden; 5(2) maddesinde belirtilen ve aşağıda yer verilen durumların varlığı halinde açık rızanız aranmaksızın işlenebilmektedir.

    1. Kanunlarda açıkça öngörülmesi.
    2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
    4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

    4.2 Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileriniz Kanun’un 6(2) maddesi doğrultusunda açık rızanıza istinaden veya 6(3) maddesine uygun olarak Kanunlarda öngörülen hallerde işlenebilmektedir.

    4.3 Sağlık ve cinsel hayata ilişkin kişisel verileriniz Kanun’un 6(2) maddesi doğrultusunda açık rızanıza istinaden işlenebilmektedir. Açık rızanız bulunmaması halinde, sağlık ve cinsel hayata ilişkin kişisel verileriniz ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

  1. KANUN KAPSAMINDAKİ HAKLARINIZ

    Kanun’un 11. Maddesi kapsamında dilediğiniz zaman Şirketimize başvurarak kişisel verilerinizin;

    • İşlenip işlenmediğini, işlenme amacını ve amacına uygun kullanıp kullanılmadığı öğrenebilir ve işlenmiş ise bu konuda bilgi talep edebilir;
    • Kanun’a uygun olarak yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenebilir;
    • Eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteyebilir;
    • Kanun’da öngörülen şartlar çerçevesinde silinmesini ya da yok edilmesini talep edebilir;
    • Düzeltilmesi, silinmesi ya da yok edilmesi taleplerinizin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteyebilir;
    • Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz edebilir;
    • Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep edebilirsiniz.

    Kanun’un uygulanması ile ilgili haklarınızı kullanmak için Şirketimize www.anexservices.com.tr adresinde yer alan “Veri Sahibi Başvuru Formu”nu doldurarak başvurabilir ve söz konusu başvuruyu aşağıda belirtilen yöntemlerle gönderebilirsiniz. Kişisel Verileri Koruma Kurulu tarafından yeni başvuru yöntemleri belirlenmesi halinde, bu yöntemler tarafımızdan duyurulacaktır.

    • Veri Sahibi Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile “BARBAROS MAHALLESİ SERİK CAD. A Apt. NO: 305 A/1 AKSU ANTALYA” adresine iletilmesi.
    • Veri Sahibi Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun [email protected] adresine kayıtlı elektronik posta ile gönderilmesi.

    Bu kapsamda yapacağınız başvurular mümkün olan en kısa zaman diliminde ve en çok 30 gün içerisinde sonuçlandırılacaktır. Söz konusu başvurular şu an için ücretsizdir. Ancak Kişisel Verileri Koruma Kurulu’nun ücret tarifesi belirlemesi durumunda, bu tarifeye uygun olarak ücretlendirme yapılabilecektir.

    Başvuruların içeriğinde aşağıdaki bilgilerin bulunması mevzuat gereği zorunlu olup herhangi bir eksiklik halinde başvurunuz işleme alınamayacaktır. Buna göre başvurularda talebe ilişkin bilgi ve belgelerle birlikte;

    a. Ad, soyad ve başvuru yazılı ise imzanız,
    b. Türkiye Cumhuriyeti vatandaşlar için TC Kimlik Numarası Yabancılar için uyruğu pasaport numarası veya varsa kimlik numarası,
    c. Tebligata esas yerleşim yeri veya iş adresi,
    d. Bildirime esas elektronik posta adresi, telefon veya faks numarası,
    e. Talep Konusu’ nun açıkça belirtilmesi gereklidir.

    Bilgilerinize saygılarımızla sunarız.

    ANEX SERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET A.Ş.
    ADRES : BARBAROS MAHALLESİ SERİK CAD. A Apt. NO: 305 A/1 AKSU ANTALYA
    MERSİS NO : 0764038778500017
    TİCARET SİCİL NO : 83427
    VERGİ DAİRESİ : Antalya Kurumlar V.D.
    VERGİ NUMARASI : 7640387785
1. AMAÇ

Bu pulitikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’na uyum kapsamında, ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Şirket) tarafından işlenen kişisel verilerin işlendikleri amaç için gerekli ulan azami süreyle saklanması ve imha edilmesine ilişkin usul ve esasların, kurum içi kontrul ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesidir.

Şirket, Stratejik Planda belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun ularak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik ularak belirlemiştir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, şirket tarafından bu doğrultuda hazırlanmış ulan Pulitikaya uygun ularak gerçekleştirilir.

2. KAPSAM

Bu pulitika hükümleri, Şirket tarafından kişisel verileri tamamen veya kısmen otomatik ulan ya da herhangi bir veri kayıt sisteminin parçası ulmak kaydıyla otomatik ulmayan yullarla işlenen müşteriler, ziyaretçiler, çalışanlar, çalışan adayları, hissedarlar, Şirket’in ticari ilişki içinde ulduğu kuruluşların (grup şirketleri, iş ortakları, tedarikçiler, danışmanlar, vb.) gerçek kişi yetkilileri, hissedarları, çalışanları, veri sahiplerinin aile üyeleri hakkında uygulanır. İşbu pulitika Şirket “Kişisel Veri Envanteri” ne uygun ularak hazırlanmıştır.

3. SORUMLULUK

İşbu Pulitika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Pulitika çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirket Üst Yönetimi sorumludur.

Tüm Şirket çalışanları, görevlerini işbu Pulitika’ya ve ilgili tüm pulitika, prosedür ve mevzuata uygun ularak yerine getirmekten sorumludur.

4. TANIMLAR

Bu pulitikada yer alan önemli tanımlar aşağıda belirtilmiştir.

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Bulut Ortamları/Sistemleri

Office 365, Salesforce, Dropbox gibi verilerin internet üzerinde depulanabildiği ve erişilebildiği sistemler

Doğrudantanımlayıcılar

Tek başlarına, ilişki içinde uldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar

Dulaylı tanımlayıcılar

Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde uldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar

İlgili Kişi

Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı

Verilerin teknik ularak depulanması, korunması ve yedeklenmesinden sorumlu ulan kişi ya da birim hariç ulmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Karartma

Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler

Kayıt Ortamı

Tamamen veya kısmen otomatik ulan ya da herhangi bir veri kayıt sisteminin parçası ulmak kaydıyla otomatik ulmayan yullarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı ularak gerçekleştirmekte uldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek uluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli ulan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik ulan ya da herhangi bir veri kayıt sisteminin parçası ulmak kaydıyla otomatik ulmayan yullarla elde edilmesi, kaydedilmesi, depulanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

Manyetik Bant

Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlar

Manyetik Disk

Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlar

Maskeleme

Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha pulitikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu ulan gerçek veya tüzel kişi

5. KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, Şirket tarafından işbu Pulitika kapsamında düzenlenen aşağıdaki kayıt ortamlarında başta Kanun hükümleri ulmak üzere ilgili mevzuata uygun ularak ve veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

  1. Bulut ortamı
  2. Kâğıt ortamı
  3. Merkezi sunucular
  4. Veri tabanları
  5. Hard Diskler
6. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER

Şirket tarafından toplanan kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen işleme şartlarına uygun ularak Kişisel Verilerin Korunması ve İşlenmesi Pulitikası’nda belirtilen amaçlar dahilinde işlenmekte ve aşağıdaki amaçlarla saklanmaktadır:

  • Şirketin idaresi, faaliyetlerin hukuka, Şirket stratejilerine, pulitika ve prosedürlerine uygun ularak yerine getirilmesi, denetlenmesi,
  • İnsan kaynakları pulitikalarının yürütülmesi; insan kaynakları süreçlerinin planlanması ve icrası,
  • Bilgi güvenliği süreçlerinin planlanması ve uygulanması,
  • Şirket’in, personelin ve Şirket ile iş ilişkisi içerisinde ulan kişilerin fiziki, hukuki ve ticari güvenliğinin temini,
  • Kurumsal iletişim ve pazarlama faaliyetlerinin planlanması ve uygulanması,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesi ve yürürlükteki mevzuattan doğan hakların kullanılabilmesi,
  • İmzalanan sözleşmeler ve protokuller çerçevesinde iş ve işlemlerin ifa edilmesi,
  • Grup şirketleri, iş ortakları ve tedarikçilerle ulan ilişkilerin yönetimi,
  • İş ilişkisinde bulunan gerçek / tüzel kişilerle iletişim sağlanması,
  • İşlemlere dayanak ulacak tüm kayıt ve belgelerin düzenlenmesi,
  • Yasal raporlamalar yapılması,
  • Hukuken yetkili kurum ve kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
  • İleride doğabilecek hukuki uyuşmazlıklarda delil ularak ispat yükümlülüğünün yerine getirilmesi.

Şirket’in faaliyetleri çerçevesinde işlenen kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 6502 sayılı Tüketicinin Korunması Hakkında Kanun
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yuluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4857 sayılı İş Kanunu,
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • İlgili diğer kanunlar ve ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanır.

Kanun ve ilgili diğer kanun hükümlerine uygun ularak işlenmiş ulmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hâle getirilir. Buna göre;

  • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
  • Taraflar arasındaki sözleşmenin hiç kurulmamış ulması, sözleşmenin geçerli ulmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı ulduğunun tespit edilmesi,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • İlgili kişinin, Kanun’un 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş ulmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut ulmaması,
  • Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması

gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da anonim hâle getirilmesi sağlanır.

7. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OlARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEDBİRLER

Şirket tarafından kişisel verilerin, hukuka aykırı ularak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler alınır; Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması sağlanır. 

7.1 İDARİ TEDBİRLER
  1. Kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme ulasılığının ve gerçekleşmesi durumunda yul açacağı kayıpların belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik tedbirlerin alınması sağlanır.
  2. Kişisel verilerin işlenmesi, gizliliğinin ve güvenliğinin sağlanması ve imha edilmesine ilişkin tüm pulitika ve prosedürler ile ilgili süreçlerde görev alan personelin görev, yetki ve sorumlulukları yazılı hale getirilir ve tüm personelin erişimine sunulur.
  3. Personele kişisel verilerin işlenmesi, korunması ve veri güvenliği kapsamında gerekli eğitimlerin verilmesi sağlanır.
  4. Pulitika ve prosedürlerin güncel tutulması ve yapılan değişikliklerle ilgili çalışanlara gerekli eğitimlerin verilmesi ve bilgilendirmeler yapılması sağlanır.
  5. İşe alım süreci kapsamında, çalışanlar ile Şirket arasında düzenlenen sözleşmelere kişisel verilerin korunması ve gizliliğinin sağlanmasına ilişkin hükümler eklenip çalışan tarafından imzalanması sağlanır.
  6. İşlenen kişisel verilere hala ihtiyaç ulup ulmadığı ve doğru yerde muhafaza edilip edilmediği tespit edilerek, arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi, ihtiyaç duyulmayan kişisel verilerin ise işbu Pulitika doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi sağlanır.
  7. Saklanan kişisel verilere Şirket içi erişim, görev tanımı gereği erişmesi gerekli personel ile sınırlandırılır.
  8. Çalışanların Şirket tarafından belirlenip duyurulan pulitika ve prosedürlerine uymaması durumunda Disiplin Prosedürü doğrultusunda yaptırımlar uygulanır.
  9. Kişisel verilerin paylaşılması ile ilgili ularak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin gizlilik sözleşmeleri imzalanır veya mevcut sözleşmelere veri güvenliğine ilişkin hükümler eklenir.
  10. Pulitika ve prosedürler kapsamında; düzenli ularak kontruller yapılır, gelişime açık alanlar için gerekli aksiyonlar planlanıp uygulamaya alınır.
  11. Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması ve denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri için aksiyonlar planlanarak bulguların derhal giderilmesi sağlanır.
  12. İşlenen kişisel verilerin hukuka aykırı yullarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirilir.
7.2 TEKNİK TEDBİRLER
  1. Kişisel veri içeren bilgi teknuloji sistemlerinin ve verilerin korunması amacıyla, SSL bağlantıları, anti virüs ve güvenlik duvarı yazılım ve donanımları kullanılır.
  2. Kullanılmayan yazılım ve servislerin cihazlardan silinmesi sağlanır.
  3. Yazılım ve donanımların düzgün bir şekilde çalışması ve alınan güvenlik önlemlerinin yeterli ulup ulmadığı düzenli ularak kontrul edilir; ulası güvenlik açıklarının kapatılması için gerekli yama ve yazılım güncellemelerinin yapılması sağlanır. Şirket bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınır.
  4. Kişisel veri içeren sistemlere erişim, erişim pulitikaları, kullanıcı ve rul yönetimi prosedürleri çerçevesinde sağlanır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net ularak tanımlanır. Bilgi Teknulojileri çalışanlarının kişisel verilere erişim yetkileri kontrul altında tutulur.
  5. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılır.
  6. Periyodik ularak yetki kontrulleri gerçekleştirilir.
  7. Görev değişikliği ulan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.
  8. Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesi sağlanır.
  9. Tüm kullanıcıların işlem hareketleri kaydının (log kayıtları) düzenli ularak tutulması sağlanır.
  10. Düzenli ularak ve ihtiyaç uluştuğunda sızma testi hizmeti alınarak sistem zafiyetlerinin kontrulü sağlanır.
  11. Kişisel verilerin saklandığı ortam ve cihazların fiziksel güvenlik önlemleri alınarak korunması sağlanır.
  12. Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için verilerin yedeklenmesi ve tüm yedeklerin fiziksel güvenliği sağlanır.
  13. Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrul altında tutulmaktadır.
  14. Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanır.
  15. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz ulması için gerekli tedbirler alınır.
  16. Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kripto grafik yöntemler ile korunur. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması sağlanır.
  17. Bulut ortamında yer alan kişisel verilerin depulanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün ulan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması sağlanır.
  18. Kişisel verilerin e-posta yuluyla aktarılması gerekiyorsa şifreli ularak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanır.
  19. Taşınabilir Bellek, CD, DVD gibi ortamlar yuluyla aktarılması gerektiğinde kriptografik yöntemlerle şifrelenir ve kriptografik anahtarın farklı ortamda tutulması sağlanır.
  20. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilirken, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.
  21. Verilerin kağıt ortamı yuluyla aktarımında evrakın çalınması, kaybulması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınır.
8. KİŞİSEL VERİLERİN HUKUKA UYGUN ULARAK İMHA EDİLMESİ İÇİN ALINAN TEDBİRLER
8.1. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz ulması için gerekli her türlü teknik ve idari tedbirler Şirket tarafından alınmaktadır.

Kişisel verilerin silinmesi işleminde izlenen süreç aşağıdaki gibidir:

  1. Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
  2. Erişim yetki ve kontrul matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
  3. İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
  4. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.

Kişisel veriler saklandıkları kayıt ortamlarına uygun yöntemlerle silinir.

  1. Bulut ortamındaki veriler, silme komutu verilerek silinir. İlgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin ulmaması sağlanır.
  2. Kâğıt ortamında bulunan kişisel veriler, karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün ulan durumlarda kesilmesi, mümkün ulmayan durumlarda ise geri döndürülemeyecek ve teknulojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
  3. Merkezi sunucuda yer alan ofis dosyaları, işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması sağlanır. Bu işlemi gerçekleştiren kullanıcının, veri tabanı yöneticisinden farklı bir kişi ulması sağlanır.
  4. Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli ularak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.
  5. Veri tabanlarında saklanan kişisel verilerin, bulunduğu ilgili satırların veri tabanı komutları ile (Delete) silinmesi sağlanır. Bu işlemi gerçekleştiren kullanıcının, veri tabanı yöneticisinden farklı bir kişi ulması sağlanır.
8.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirler Şirket tarafından alınmaktadır.

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerle tek tek yok edilir:

  1. Yerel sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemler kullanılır:
    • De-manyetize etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemi.
    • Fiziksel yok etme: Optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi işlemi.
    • Üzerine yazma: Özel yazılımlar kullanılarak, manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden uluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi.
  2. Çevresel sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemler kullanılır:
    • Ağ cihazları (switch, router vb.): (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
    • Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip ulanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
    • Manyetik bant: Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
    • Manyetik disk gibi üniteler: Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
    • Mobil telefonlar (Sim kart ve sabit hafıza alanları): a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
    • Optik diskler (CD, DVD vb.): Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
    • Veri kayıt ortamı çıkartılabilir ulan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
    • Veri kayıt ortamı sabit ulan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
  3. Kâğıt ve mikrofiş ortamlarındaki kişisel veriler, kalıcı ve fiziksel ularak ortam üzerine yazılı ulduğundan ana ortamın yok edilmesi sağlanır. Bu işlem gerçekleştirilirken veriler, kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey ularak, geri birleştirilemeyecek şekilde küçük parçalara bölünür. Orijinal kâğıt formattan, tarama yuluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre de-manyetize edilmesi, fiziksel ularak yok edilmesi ve üzerine yazma gibi yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanır.
  4. Bulutortamında yer alan kişisel veriler için, bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi sağlanır.
  5. Arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
    • İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
    • Yok etmenin mümkün ya da uygun ulmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
    • Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması sağlanır.
8.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dulaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir ulma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır.

Şirket tarafından uygulanacak anonim hale getirme yöntemleri belirlenirken, sahip ulunan veri kümesine dair aşağıdaki özellikler dikkate alınarak, Kurum’un yayınladığı “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’nde yer alan yöntemlerinden uygun ulanı kullanılır:

  • Verinin niteliği,
  • Verinin büyüklüğü,
  • Verinin fiziki ortamlarda bulunma yapısı,
  • Verinin çeşitliliği,
  • Veriden sağlanmak istenen fayda / işleme amacı,
  • Verinin işlenme sıklığı,
  • Verinin aktarılacağı tarafın güvenilirliği,
  • Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı ulması,
  • Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı,
  • Verinin dağıtıklık/merkezilik oranı,
  • Kullanıcıların ilgili veriye erişim yetki kontrulü,
  • Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı ulması ihtimali.
8.3.1 Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri:
  • Değişkenleri Çıkartma
  • Kayıtları Çıkartma
  • Bölgesel Gizleme
  • Genelleştirme
  • Alt ve Üst Sınır Kodlama
  • Global Kodlama
  • Örnekleme
  • Maskeleme
  • Toplulaştırma/ Kümülatif Data Yaratma
8.3.2 Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri:
  • Mikro Birleştirme
  • Veri Değiş Tokuşu
  • Gürültü Ekleme
8.3.3 Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler:
  • K-Anonimlik
  • L-Çeşitlilik
  • T-Yakınlık
9. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN PERSONEL

Kişisel verilerin işlenmesi, saklanması ve imhası süreçlerinde yer alan Şirket’in tüm birimleri ve çalışanları, işbu Pulitika gereklerinin yerine getirilmesinden, Pulitika kapsamında alınan teknik ve idari tedbirlerin gereği gibi uygulanmasından ve kendi iş süreçlerinde ürettikleri verileri saklamak ve korumaktan sorumludurlar.

İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden ulacak periyodik imhalar, ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate alınarak Bilgi Teknulojileri Bölümü’nce yapılır.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına bu Pulitika’nın ekinde yer verilmiştir.

10. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirket nezdinde kişisel verileri saklama ve imha sürelerini gösteren tabloya aşağıda yer verilmiştir.

Veri kategorisi

Azami saklama süresi

İmha Süresi

Çalışan Kimlik, İletişim, Mesleki Deneyim, Özlük, Finansal, Görsel ve İşitsel Bilgileri, Risk Yönetimi, Ceza Mahkumiyeti Bilgileri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan Sağlık Bilgileri

İş ilişkisinin sona ermesini müteakip 15 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan İşlem/Bilgi Güvenliği Verileri

İş ilişkisinin sona ermesinden itibaren 2 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan Taşıt Verileri

İş ilişkisi süresince

İş ilişkisi bitimini takiben 180 gün içerisinde

Çalışan Konum Verileri

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan Adayı Kimlik, Özlük, Görsel ve İşitsel Kayıtlar, İletişim ve Mesleki Deneyim Bilgileri

 2 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Şirket Ortağı Kimlik, İletişim, Finansal, Risk Yönetimi Bilgileri, Hukuki İşlem, Görsel ve İşitsel Kayıtlar, Ceza Mahkumiyeti, Özlük, Müşteri İşlem Bilgileri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Tedarikçi Yetkilisi/Çalışanı Kimlik, İletişim, Finansal, Görsel ve İşitsel, Risk Yönetimi Bilgileri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Tedarikçi Yetkilisi/Çalışanı İşlem Güvenliği Bilgileri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Ziyaretçi İşlem Güvenliği Bilgileri

2 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Ziyaretçi Kimlik Bilgileri

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Fiziki Mekan Güvenlik Bilgileri

2 ay

Saklama süresinin bitimini takiben 180 gün içerisinde

Ürün Veya Hizmet alan Kişi Kimlik, İletişim, Müşteri İşlem Bilgileri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Ürün Veya Hizmet alan Kişi Görsel İşitsel Kayıtlar (Araç İçi Güvenlik Kameraları)

40 gün

Saklama süresinin bitimini takiben 180 gün içerisinde

Ürün Veya Hizmet alan Kişi İşlem Güvenliği Bilgileri

2 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

10.1 KİŞİSEL VERİLERİ RESEN SİLME, YOK ETME VEYA ANONİM HALE GETİRME SÜRELERİ

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel veriler, Şirket tarafından resen altı aylık periyotlarda düzenli ularak silinir, yok edilir veya anonim hale getirilir. Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde söz konusu işlemlerin uygulanması sağlanır.

İlgili kişisel veriler üçüncü kişilere aktarılmışsa bu durum veri aktarılan taraflara ve/veya Şirket’in verdiği yetkiye dayanarak Şirket adına veri işleyenlere bildirilir ve bu kişiler nezdinde gerekli işlemlerin yapılması sağlanır.

10.2 KİŞİSEL VERİLERİ İLGİLİ KİŞİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRELERİ

İlgili kişinin kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde;

  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel veriler, Şirket tarafından en geç otuz gün içinde silinir, yok edilir veya anonim hale getirilir ve ilgili kişiye bilgi verilir.
  2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu ulan kişisel veriler üçüncü kişilere aktarılmışsa bu durum veri aktarılan taraflara ve/veya Şirket’in verdiği yetkiye dayanarak Şirket adına veri işleyenlere bildirilir ve bu kişiler nezdinde gerekli işlemlerin yapılması sağlanır.
  3. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Kanun’un 13. maddesi uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı ularak ya da elektronik ortamda bildirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar diğer hukuki yükümlülükler hariç ulmak üzere en az üç yıl süreyle saklanır.

EK.1 KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN PERSONEL

UNVAN

BİRİM

GÖREV TANIMI

Üst Düzey Yönetim

Yönetim Kurulu, Genel Koordinatör, Genel Müdür

Pulitika’nın hazırlanması, yayınlanması, güncelliğinin sağlanması ve çalışanların pulitikaya uygun hareket etmesinden sorumludur.

Departman Yöneticisi

Tüm Birimler

Görevlerine uygun ularak Pulitika’nın yürütülmesinden ve sorumlu ulduğu birimde uygulanmasının sağlanmasından sorumludur.

Bilgi Teknulojileri Yöneticisi

Bilgi Teknulojileri

Kişisel verilerin güvenli bir şekilde saklanması, hukuka uygun ularak işlenmesi, erişilmesi ve imha edilmesine ilişkin teknik tedbirlerin alınmasından ve kişisel veri imha sürecinin yönetiminden sorumludur.

İnsan Kaynakları Müdürü

Finans Müdürü

Muhasebe Müdürü

Hukuk Müdürü

Kalite Müdürü

İnsan Kaynakları

Finans

Muhasebe

Hukuk

Kalite

Kişisel veri saklama ve imha pulitikası uygulama sorumlusu: Görevi dahilinde ulan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.

1. AMAÇ

Bu politikanın amacı, Türkiye Cumhuriyeti Anayasası ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)'na uyum kapsamında ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Şirket) tarafından, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin ve mahremiyetinin korunması, kişisel verilerin işlenmesi kapsamındaki yükümlülüklere uyumun sağlanması, kişisel verilerin işlenmesi ve güvenliğinin sağlanması ile ilgili stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kişisel veri sahiplerinin ve kurum çalışanlarının bilinçlendirilmesidir.

2. KAPSAM

Bu politika hükümleri, Şirket tarafından kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen gerçek kişiler hakkında uygulanır. Veri konusu kişi grubuna bu politikanın 5.4. maddesinde yer verilmiştir.

3. SORUMLULUK

İşbu Politika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Politika çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirket Üst Yönetimi sorumludur.

Tüm Şirket çalışanları, görevlerini işbu Politika'ya ve ilgili tüm prosedür ve mevzuata uygun olarak yerine getirmekten sorumludur.

4. TANIMLAR

Bu politikada yer alan önemli tanımlar aşağıda belirtilmiştir.

Açık rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim hale getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

İlgili kişi

Kişisel verisi işlenen gerçek kişi

İlgili kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik imha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Sicil

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

5. KİŞİSEL VERİLERİN İŞLENMESİ
5.1. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

Şirket nezdinde kişisel veriler, Kanun'da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmekte ve kişisel verilerin işlenmesinde aşağıdaki ilkeler dikkate alınmaktadır:

  1. Hukuka ve Dürüstlük Kurallarına Uygun Olma

    Şirket, bu Politika kapsamında kişisel verileri işlerken kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine göre hareket eder. Şirket tarafından veriler üzerinde gerçekleştirilecek her türlü işlemde asgari olarak;

    • Kişisel verilerin işlenmesinde meşru bir temele dayanılması (örneğin açık rıza),
    • Kişisel verilerin, meşru bir sebep olmaksızın bireyler aleyhine sonuçlar doğuracak şekilde kullanılmaması,
    • Kişisel verilerin işlenmesinde şeffaflığın ilke edinilmesi ve kişilerin bu bağlamda bilgilendirilmesi,
    • Kişisel verilerin, mümkün olan en az miktarda ve bireylerin makul beklentileri ve öngörüleri doğrultusunda işlenmesi sağlanır.
  2. Doğru ve Gerektiğinde Güncel Olma

    Bu ilke doğrultusunda Şirket tarafından;

    • Kişisel verilerin doğru olmasını sağlayacak kontrollerin gerçekleştirilmesi,
    • Kişisel verilerin elde edildiği kaynakların belirli olması ve doğruluğunun test edilmesi,
    • Kişisel verilerin doğru olmamasından kaynaklı taleplerin özenle dikkate alınması,
    • Kişisel verilerin güncellenmesi gerekip gerekmediğinin değerlendirilmesi,
    • İlgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalların açık tutulması için gereken teknik ve idari önlemler alınır.
  3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme

    Şirket tarafından, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olması ve kişisel veri işleme faaliyetine başlamadan önce belirlenmiş olan, açık ve hukuka uygun amaçlar dahilinde işlenmesi sağlanır.

  4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

    Şirket tarafından kişisel veriler, sadece belirlenen amaçların gerçekleştirilmesiyle ilgili olarak ve sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı olarak işlenir. Edinilen kişisel veriler, kanuna aykırı olarak başkalarına açıklanmaz ve işleme amacı dışında kullanılmaz.

  5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

    Şirket kişisel verileri, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

    Kişisel verilerin saklama süreleri ve muhafazasında uygulanacak esaslar Kişisel Veri Saklama ve İmha Politikası' nda düzenlenmiştir.

5.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirket tarafından kişisel veriler, Kanun'un 5. Maddesinde düzenlenen işleme şartlarına uygun olarak işlenmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:

  1. Kişisel Veri Sahibinin Açık Rızasının Bulunması

    Şirket tarafından kişisel veri işleme faaliyetinin amacının açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilir ve Kanun'da belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilir. Bu kapsamda, kişisel veri sahibinin kendisiyle ilgili veri işlenmesine, Şirket tarafından bilgisine sunulan Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni ile yeterli bilgi sahibi olarak, özgür iradesiyle, tereddüde yer bırakmayacak şekilde ve sadece ilgili işlemle sınırlı olarak Kişisel Verilerin İşlenmesine İlişkin Açık Rıza Beyanı ile onay vermesi halinde, Şirket tarafından ilgili kişisel veriler işlenmektedir.

  2. Kanunlarda açıkça öngörülmesi

    Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm bulunması durumunda, Şirket tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veriler işlenmektedir.

  3. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

    Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, Şirket tarafından bu kapsamda veri işlenebilir.

  4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

    Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda Şirket tarafından ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verileri işlenmektedir.

  5. Şirket'in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

    Hukuki yükümlülüğün yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde Şirket tarafından ilgili kişinin kişisel verileri işlenmektedir.

  6. İlgili kişinin kendisi tarafından alenileştirilmiş olması

    İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel veriler, alenileştirilme amacıyla sınırlı olarak Şirket tarafından işlenir.

  7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

    Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, Şirket tarafından bu zorunluluk ile paralel olarak kişisel veri işleme faaliyeti yürütülür.

  8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

    İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Şirket'in meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerin işlenmesi mümkündür. Şirket'in veri işleme sonucunda elde edeceği fayda ile ilgili kişinin temel hak ve özgürlükleri arasında makul bir denge sağlanır.

Kişisel verilerin açık rıza dışında kalan işleme şartları ve örnekleri aşağıdaki tabloda yer almaktadır:

İşleme Şartları

Kapsam

Örnek

Kanun Hükmü

Vergi Kanunları, İş Kanunu, Türk

Ticaret Kanunu vb.

Çalışana ait özlük bilgilerinin kanun gereği tutulması.

Sözleşmenin İfası

İş Sözleşmesi, Satış Sözleşmesi, vb.

Maaş bordrosu düzenlemek amacıyla çalışanların kişisel verilerinin işlenmesi.

Fiili İmkansızlık

Fiili imkansızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi.

Bilinci kapalı kişinin kişisel sağlık bilgisi. Kaçırılan ya da kayıp kişinin konum bilgisi.

Veri Sorumlusunun

Hukuki Yükümlülüğü

Mali Denetimler, Güvenlik Mevzuatı, Regülasyonlarla Uyum.

Çalışana maaş ödenebilmesi için, banka hesap numarası, evli olup olmadığa bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verilerin işlenmesi.

Aleniyet Kazandırma

İlgili kişinin kendisine ait bilgileri kamunun bilgisine sunması.

Kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi.

Hakkın Tesisi,

Korunması,

Kullanılması

Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler.

İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması.

Meşru Menfaat

İlgili kişinin temel haklarına zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenmesi

Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi.

5.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirket tarafından özel nitelikli kişisel verilerin işlenmesinde, öncelikle veri işleme şartlarının var olup olmadığı belirlenir, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti gerçekleştirilir. Bu kapsamda Kurul tarafından belirlenen yeterli önlemlerin alınması kaydıyla özel nitelikli kişisel verilerden;

  1. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler,
    • Kişisel veri sahibinin açık rızası var ise veya
    • Kanunlarda öngörülen hallerde işlenmektedir.
  2. Sağlık ve cinsel hayata ilişkin kişisel veriler,
    • Kişisel veri sahibinin açık rızası var ise işlenir.
    • Kişisel veri sahibinin açık rızası yok ise, sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Özel nitelikli kişisel verilerin açık rıza dışında kalan işleme şartları ve örnekleri aşağıdaki tabloda yer almaktadır:

İşleme Şartları

Kapsam

Örnek

Kanun Hükmü

Sağlık ve cinsel hayat dışındaki kişisel veriler ilgili kişinin açık rızası aranmaksızın işlenebilir. Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb. daha sıkı hassas veri işleme şartları.

Çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması gerekir.

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi

Doktorun hastası hakkında işlediği sağlık verileri.

Özel nitelikli kişisel verilerin işlenmesine ilişkin alınan önlemler “Özel Nitelikli Kişisel İşlemlerin Korunması ve İşlenmesi Politikası”nda düzenlenmiştir.

5.4. VERİ KONUSU KİŞİ GRUBU VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

Şirket'imiz nezdinde kişisel verisi işlenen kişi grubu aşağıda belirtilmektedir:

Veri Konusu Kişi Grubu

Çalışan Adayları & Stajyer Adayları

Şirkete herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler

Çalışanlar

Şirket çalışanları

Stajyerler

Şirket'te staj yapan lise ve üniversite öğrencileri

Aile Üyeleri

Kişisel veri sahiplerinin aile üyeleri

Ziyaretçiler

Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi herhangi bir amaç ile ziyaret eden tüm gerçek kişiler

İş Ortağı Yetkilileri & Çalışanları

Şirket'in ticari ilişki içinde olduğu kuruluşların gerçek kişi yetkilileri, hissedarları, çalışanları

Grup Şirketi Yetkilileri & Çalışanları

Şirket'in yürüttüğü operasyonlar kapsamında Grup Şirketleri'nin iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler

Tedarikçi Yetkilileri & Çalışanları

Şirket'in mal ve hizmetleri dış kaynak olarak tedarik ettiği gerçek kişiler veya tüzel kişilerin gerçek kişi yetkilileri, hissedarları, çalışanları

Hissedarlar

Şirket hissedarı gerçek kişiler

Şirket Yetkilileri

Şirket'in yönetim kurulu üyeleri ve yetkili diğer gerçek kişiler

Potansiyel Müşteriler

Şirketimizin/Grup şirketlerimizin sunmuş olduğu ürün ve hizmetleri alma/kullanma ihtimali olan gerçek kişiler

Müşteriler/Misafirler

Şirketimizle/Grup şirketlerimizle herhangi bir sözleşmese ilişkisi olup olmadığına bakılmaksızın Şirketimizin/ Grup şirketlerimizin sunmuş olduğu ürün ve hizmetleri alan/kullanan veya kullanmış olan gerçek kişiler

Üçüncü Kişiler

Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Referans olarak beyan edilen kişiler) veya Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer gerçek kişiler

Bu kişilere ilişkin işlenen veriler, aşağıdaki şekilde kategorize edilmiştir:

Kimlik Bilgileri

T.C. Kimlik No, Pasaport No, Nüfus Cüzdanı Seri No, Ehliyet No, Vergi No, Ad-Soyadı, Baba Adı, Anne Adı, Uyruğu, Doğum Yeri, Doğum Tarihi, Yaşı, Nüfusa Kayıtlı Olduğu Yer (İl, İlçe, Mahalle-Köy, Cilt No, Aile Sıra No, Sıra No) Nüfus Cüzdanının Verildiği Yer, Veriliş Nedeni, Kayıt No, Veriliş Tarihi, Geçerlilik Tarihi, Önceki Soyadı, Medeni Durumu, Cinsiyeti, Dini, Fotoğrafı; İmza örneği, Askerlik durumu/statüsü, Ebeveyn Muvafakatnamesi

Eğitim & Deneyim Bilgileri

Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, özgeçmiş ve referanslarına ilişkin bilgiler, iş deneyimi bilgileri, kurs, seminer staj bilgileri, diğer eğitim ve beceriler.

İletişim Bilgileri

Kişisel/Kurumsal mobil-sabit telefonu numarası; Kişisel/Kurumsal e-posta adresi; ikametgah adresi; acil durumda ulaşılacak kişi adı-soyadı ve telefon numarası

Özel Nitelikli Kişisel Veri

Sabıka kaydı;ceza mahkumiyet bilgileri; engellilik durumu; dini; sağlık verisi; kan grubu; ırk bilgisi

Aile Bilgisi

Anne, baba, eş ve çocuklarının kimlik bilgileri; telefon numarası, mesleği, çocuklarının öğrenim durumu; eşinin çalışma durumu ve gelir bilgileri; eş ve reşit olmayan çocuklar (18 yaş altı) haricinde bakmakla yükümlü olunan kişilerin adı-soyadı ve yaşı; çocuk doğum belgesi; birinci derece aile üyeleri vefat belgeleri.

Çalışma Bilgileri

SSK Sicil no; sigorta giriş/emeklilik, tahsis no; sosyal güvenlik no; vergi dairesi ve numarası; geçmiş işyeri sicil bilgileri, önceki işyeri ücret ve vergi kesintisi bilgileri; çalışma izni (yabancı çalışanlar için); teşvik durumu; iş sözleşmesi; gizlilik taahhütnameleri; genel sağlık sigortası bilgileri; iş teklif bilgisi; pozisyon adı /görevi, departmanı ve birimi, unvanı; son işe giriş tarihi; işe giriş çıkış tarihi; fazla çalışma bilgileri; demirbaş-araç-gereç teslim belgeleri; ortaklık/ek iş beyan formu vb.

İzin Bilgileri

İzin talep formları, izin çıkış/dönüş tarihi, izinli gün sayısı, izne çıkış nedeni, izinde bulunacağı adres/telefon; istirahat ve iş göremezlik raporları; yıllık ücretli izin cetveli; işe izinsiz gelmeme/işe geç gelme tutanağı-ihtarı

Performans Bilgileri

Performans değerlendirme ve hedef gerçekleştirme durumu, aktivite bilgileri, disiplin kayıtları

Eğitim & Gelişim Bilgileri

Katıldığı eğitimler, seminerler, edindiği beceriler, eğitim katılım ve bilgilendirme bilgileri/formları

Finansal Bilgiler

Banka hesap numarası, cüzdanı; maaş bordroları, ücret pusulaları prim, ikramiye vb. ödemelere ilişkin belgeler; icra takip dosyalarına ilişkin dosya ve borç bilgileri; asgari geçim indirimi bilgisi; özel sağlık sigortası bilgileri; kişisel veri sahibi ile kurulan hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler.

Taşıt Verileri

Araç/araç kullanım bilgileri (Plaka no, ruhsat seri no, işe başlama tarihi, sigorta-kasko başlangıç tarihi, trafik cezaları, kaza tutanakları, iş kazası bildirimleri, araç zimmet belgeleri)

Konum Verileri

Araç konum verisi -GPS lokasyonu

İşten Çıkış Bilgileri

 İstifa Mektubu, Fesih Bildirimi, İbraname, İhbarname, İkale Sözleşmesi, SGK İşten Çıkış Bildirgesi, Son Ay Bordrosu, Çalışma/Hizmet Belgesi, Kıdem ve ihbar tazminatı bordroları, Haklı fesih sebebini ispatlayan belgeler, Hizmet Sözleşmesinin Sona Ermesine İlişkin Düzenlenen Tutanaklar

Internet Erişim Bilgileri

Kişisel/Şirket'e ait elektronik cihazlar ile Şirket ağları üzerinden internete erişim log kayıtları, ilgili IP adresleri

Sistem Erişim Yetkilendirme Bilgileri

Sistem giriş-çıkış ve aktivite logları, kullanıcı adı- şifre, IP adresleri

Görsel/İşitsel Bilgiler

Fotoğraflar ve kamera kayıtları (Fiziki Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç)

Fiziki Mekan Güvenlik Bilgileri

Fiziksel mekana girişte, fiziksel mekan içerisinde bulunma sırasında alınan görüntü kayıtları, turnike kayıtları, güvenlik kayıtları, vb

Ziyaret Bilgileri

Şirket tesislerine giriş ve çıkış saati, araç marka ve plakası, firma bilgisi

Pazarlama Bilgileri

Kişisel veri sahibi müşterilerin kullanım alışkanlıkları, beğenileri ve ihtiyaçlarını gösteren, memnuniyet anketleri, kampanyalar, doğrudan pazarlama çalışmaları vb. neticesinde elde edilen rapor ve değerlendirmeler.

Müşteri/Misafir Bilgileri

Ürün ve hizmetlerin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetlerin kullanımı için gerekli olan talimatları, talepleri; meslek bilgisi, ziyaret ettiği ülkeler; eğitimi; boyu-kilosu

Seyahat & Konaklama Bilgileri

Seyahat ve vize bilgileri, rezervasyon/voucher numarası, uçuş bilgileri, otel bilgileri, check-in, check-out tarihleri, oda numarası

Talep ve Şikayet Yönetimi Bilgileri

Müşteri memnuniyet anketleri, ürün ve hizmetler ile ilgili yöneltilen talep ve şikayetlerin alınmasına ve değerlendirilmesine ilişkin kişisel veriler.

5.5. KİŞİSEL VERİLERİ İŞLEME AMAÇLARI

Şirket tarafından toplanan kişisel veriler, Kanun'un 5. ve 6. maddelerinde belirtilen işleme şartlarına uygun olarak aşağıda sayılan amaçlar dahilinde işlenmektedir:

Ana Amaçlar

Alt Amaçlar

Şirketin Yönetimi, Faaliyetlerin İcrası ve Denetimi, Fiziki, Hukuki ve Ticari Güvenliği Temini

Acil Durum ve Kriz Yönetimi Planlarının Yapılması ve Uygulanması

Finans ve Muhasebe Süreçlerinin Yönetilmesi

Fiziki Mekan Güvenliğinin Temini

Grup Şirketleri, İş Ortakları ve Tedarikçilerle İlişkilerin ve İlişkili Süreçlerin Yönetimi

Hukuki Süreçlerin Yürütülmesi

İç Denetim ve İç Kontrol Faaliyetlerinin İcrası

İş Sürekliliği Yönetimi

Kayıt ve Belge Düzeninin Sağlanması

Kurumsal Yönetim Faaliyetlerin Planlanması ve İcrası

Risk Yönetimi Süreçlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Stratejik Planlama Faaliyetlerinin Yürütülmesi

Süreç Yönetimi ve İyileştirme Faaliyetlerinin Yönetilmesi

Şirket Faaliyetlerinin Şirket Politika ve Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini

Şirket'in, personelin ve Şirket ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini

Şirket'e Ait Varlıkların Güvenliğinin Sağlanması

Tabii olunan mevzuatlar gereği yasal yükümlülüklerimizin yerine getirilmesi ve yürürlükteki mevzuattan doğan haklarımızın kullanılabilmesi

Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

Yatırım Süreçlerinin Yürütülmesi

Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

İnsan Kaynakları Süreçlerinin Yönetimi

Adayların başvuru süreçlerinin yürütülmesi

Adayların seçme ve değerlendirme süreçlerinin yürütülmesi

Çalışan memnuniyetine ve bağlılığına yönelik faaliyetlerin yürütülmesi

Çalışan yan hak ve menfaatlerine ilişkin süreçlerin yönetilmesi

Çalışanların iş faaliyetlerinin takibi ve denetimi

İş̧ sağlığı ve güvenliği süreçlerinin yürütülmesi

İş sözleşmelerinin kurulması, ifası ve üstlenilen yükümlülüklerin yerine getirilmesi

İşe alım, özlük ve işten çıkış işlemlerinin yürütülmesi

Kariyer planlama, terfi-tayin süreçlerinin icrası

Performans yönetimi süreçlerinin icrası

Personel Görevlendirme ve Yetkilendirme Süreçlerinin Yürütülmesi

Eğitim ve Oryantasyon Programlarının Planlanması ve Uygulanması

Ücret Politikasının Yönetimi

Yabancı Personel Çalışma ve Oturma İzni İşlemleri

Bilgi Sistemleri & Bilgi Güvenliği Yönetimi

Bilgi Güvenliği Süreçlerinin Planlanması ve İcrası

Bilgi Sistemleri Risk Yönetimi

İnternet Trafiğinin İzlenmesine İlişkin Yasal Yükümlülüklerinin Yerine Getirilmesi

Kullanıcı Erişim ve Yetkilendirme Süreçlerinin Yönetimi

Log Kayıtlarının Oluşturulması

İletişim ve Pazarlama Faaliyetlerinin Planlanması ve Uygulanması

Etkinlik ve organizasyonların planlanması ve uygulanması

Firma/Ürün/Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İstatistikî Analizler ve Pazar Araştırmaları Yapılması

Kampanya, Promosyon, Reklam, Tanıtım, vb. Faaliyetlerin Yürütülmesi

Müşteri İlişkileri Yönetimi

Müşteri Memnuniyeti Yönetimi

Pazarlama Aktivitelerinin Planlanması & Yönetimi

Sponsorluk Faaliyetlerinin Yürütülmesi

Ürün ve Hizmetlerin Planlanması ve Sunulması

Lojistik Faaliyetlerinin Yürütülmesi

Mal/Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

Operasyon Süreçlerinin Yürütülmesi

Sunulan Ürün ve Hizmetlerle İlgili, Müşterilerle İletişim Kurulması

Ürün/Hizmet Koşullarının İfası ve Yükümlülüklerin Yerine Getirmesi

Ürün/Hizmetlerin Planlaması ve Satışına İlişkin Süreçlerin Tesisi ve Yönetimi

Talep ve Şikayet Yönetimi

Kanun'un 5(2) ve 6(3) maddelerinde belirtilen kişisel veri işleme şartlarının karşılanmadığı aşağıdaki hallerde kişisel veriler, veri sahibinin açık rızasına istinaden işlenebilecektir:

İşlenen Kişisel Veri

İşleme Amacı

Sağlık ve Kan Grubu Bilgileri ile Engellilik Durumu

İş sağlığı ve güvenliği düzenlemelerine uyum; işyeri hekiminin sağlık gözetimi kapsamında işe giriş ve periyodik muayeneler ve tetkikler, sağlık raporu, e-reçete, sağlık taramaları süreçleri ile kurumsal sağlık sigortası süreçlerinin yönetimi, vize süreçlerinin yürütülmesi

Din (eski nüfus cüzdanı fotokopisinin temini ile elde edilen) ve Uyruk Bilgileri; ceza mahkumiyeti bilgileri

İnsan kaynakları süreçlerinin yönetimi; İş Kanunu kapsamında, özlük dosyasının oluşturulması; belirli turlar ile sınırlı olarak çalışanların, şirket yetkililerinin, çalışanların ve misafirlerin vize işlemlerinin yürütülmesi

Görsel ve İşitsel Veriler (Fotoğraflar & kamera kayıtları)

Kurumsal iletişim faaliyetlerinin planlanması ve uygulanması; kurumsal sosyal medya hesaplarının yönetimi; vize işlemlerinin yürütülmesi

Doğum Günü Bilgileri; 1. Derece yakınlarının doğum ve vefat bilgileri

İç iletişim faaliyetleri kapsamında çalışanların doğum günü kutlaması ve ailelerinin vefat bilgilerinin paylaşılması

5.6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hale getirilir.

Buna göre;

  • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
  • Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • İlgili kişinin, Kanun'un 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirket'in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  • Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması

gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekir.

Kişisel verilerin silinmesi yok edilmesi ya da anonim hale getirilmesine ilişkin hükümler Kişisel Veri Saklama ve İmha Politikası'nda düzenlenmiştir.

5.7. KİŞİSEL VERİLERİN AKTARILMASI

Şirket tarafından gerçekleştirilecek kişisel veri aktarımlarında Kanun'un 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilir.

Şirket tarafından kişisel verilerin aktarılabileceği taraflar ve aktarım amaçlarına aşağıda yer verilmiştir:

Veri Aktarılabilecek Taraflar

Aktarım Amaçları

Kanunen Yetkili Kurumlar

Yetkili kamu kurum ve kuruluşları ile özel hukuk kişilerinin hukuki yetkisi dahilinde bilgi-belge talebinin karşılanması.

Hissedarlar

Şirketler hukuku, ticari faaliyetler, etkinlik yönetimi ve kurumsal iletişim süreçlerinin yürütülmesi.

Şirket Yetkilileri

Şirket'in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, uygulanması ve yönetimi; izleme, risk yönetimi ve denetim faaliyetlerinin yürütülmesi.

İş Ortakları

İş ortaklığının kurulma amaçlarının ve ticari faaliyetlerin yerine getirilmesi.

Grup Şirketleri

Grup şirketlerinin de katılımını gerektiren süreçlerin ve ticari faaliyetlerin yürütülmesi.

Tedarikçiler

Dış kaynaklı olarak temin edilen mal ve hizmetlere ilişkin süreçlerin yönetilmesi, destek, denetim ve danışmanlık hizmeti alınması, personelin yan haklardan faydalandırılması.

Üçüncü Kişiler

Çalışan adayları ve işten ayrılan çalışanlar için, referans doğrulama/sorgulama işlemleri kapsamında bilgi paylaşımı.

5.7.1. KİŞİSEL VERİLERİN YURT İÇİNDE AKTARILMASI

Şirket tarafından kişisel veriler, aşağıdaki durumlardan birinin bulunması halinde aktarılabilir:

  • İlgili kişinin açık rızasının alınması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Şirket'in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket'in meşru menfaatleri için veri işlenmesinin zorunlu olması

Özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler alınmak suretiyle ve aşağıdaki hallerden birinin bulunması halinde aktarılabilir:

  • İlgili kişinin açık rızasının alınması,
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması.
  • Kişisel veri sahibinin açık rızası yok ise, sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; üçüncü kişilere aktarılabilir.

Özel nitelikli kişisel verilerin aktarımına ilişkin alınan önlemler “Özel Nitelikli Kişisel İşlemlerin Korunması ve İşlenmesi Politikası”nda düzenlenmiştir.

5.7.2. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Şirket tarafından kişisel veriler, aşağıdaki durumlardan birinin bulunması halinde yurt dışına aktarılabilir:

  • İlgili kişinin açık rızasının alınması,
  • Kanun'un 5(2) ve 6(3) maddelerinde belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması,
  • Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un izninin bulunması.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul'un izniyle yurt dışına aktarılabilir.

Özel nitelikli kişisel verilerin yurt dışına aktarımına ilişkin alınan önlemler “Özel Nitelikli Kişisel İşlemlerin Korunması ve İşlenmesi Politikası” nda düzenlenmiştir.

5.7.3. GRUP ŞİRKETLERİ TARAFINDAN İŞLENEN VERİLERİN ŞİRKET'E AKTARIMI

Grup Şirketleri'nin faaliyetlerinin Şirket ilke, hedef ve stratejilerine uygun olarak yürütülmesi, grubun hak ve menfaatleri ile itibarının korunması amacıyla Grup Şirketleri tarafından işlenmekte olan kişisel verileri, Şirket tarafından da işlenebilmektedir. Grup Şirketleri ile Şirket arasındaki kişisel veri paylaşımının Kanun kapsamında veri sorumlusundan veri sorumlusuna kişisel veri aktarımı kapsamında gerçekleşmesi durumunda, ilgili Grup Şirketi, ilgili kişinin kişisel verisini toplama aşamasında kişiyi, kişisel verilerinin Şirket'e gönderilebileceği konusunda aydınlatır.

6. VERİ GÜVENLİĞİNE İLİŞKİN HUSUSLAR

Şirket tarafından kişisel verilerin, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınır; Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması sağlanır. 

6.1 İDARİ TEDBİRLER
  1. Kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik tedbirlerin alınması sağlanır.
  2. Kişisel verilerin işlenmesi, gizliliğinin ve güvenliğinin sağlanması ve imha edilmesine ilişkin tüm politika ve prosedürler ile ilgili süreçlerde görev alan personelin görev, yetki ve sorumlulukları yazılı hale getirilir ve tüm personelin erişimine sunulur.
  3. Personele kişisel verilerin işlenmesi, korunması ve veri güvenliği kapsamında gerekli eğitimlerin verilmesi sağlanır.
  4. Politika ve prosedürlerin güncel tutulması ve yapılan değişikliklerle ilgili çalışanlara gerekli eğitimlerin verilmesi ve bilgilendirmeler yapılması sağlanır.
  5. İşe alım süreci kapsamında, çalışanlar ile Şirket arasında düzenlenen sözleşmelere kişisel verilerin korunması ve gizliliğinin sağlanmasına ilişkin hükümler eklenip çalışan tarafından imzalanması sağlanır.
  6. İşlenen kişisel verilere hala ihtiyaç olup olmadığı ve doğru yerde muhafaza edilip edilmediği tespit edilerek, arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi, ihtiyaç duyulmayan kişisel verilerin ise Kişisel Veri Saklama ve İmha Politikası doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi sağlanır.
  7. Saklanan kişisel verilere Şirket içi erişim, görev tanımı gereği erişmesi gerekli personel ile sınırlandırılır.
  8. Çalışanların Şirket tarafından belirlenip duyurulan politika ve prosedürlerine uymaması durumunda Disiplin Prosedürü doğrultusunda yaptırımlar uygulanır.
  9. Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ve veri işleyenlerle, kişisel verilerin korunması ve veri güvenliğine ilişkin gizlilik sözleşmeleri imzalanır veya mevcut sözleşmelere veri güvenliğine ilişkin hükümler eklenir.
  10. Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılır, gelişime açık alanlar için gerekli aksiyonlar planlanıp uygulamaya alınır.
  11. Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması ve denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri için aksiyonlar planlanarak bulguların derhal giderilmesi sağlanır.
  12. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, bu durum en kısa sürede ilgilisine ve Kurul'a bildirilir.
6.2 TEKNİK TEDBİRLER
  1. Kişisel veri içeren bilgi teknoloji sistemlerinin ve verilerin korunması amacıyla, SSL bağlantıları, anti virüs ve güvenlik duvarı yazılım ve donanımları kullanılır.
  2. Kullanılmayan yazılım ve servislerin cihazlardan silinmesi sağlanır.
  3. Yazılım ve donanımların düzgün bir şekilde çalışması ve alınan güvenlik önlemlerinin yeterli olup olmadığı düzenli olarak kontrol edilir; olası güvenlik açıklarının kapatılması için gerekli yama ve yazılım güncellemelerinin yapılması sağlanır.
  4. Kişisel veri içeren sistemlere erişim, erişim politikaları, kullanıcı ve rol yönetimi prosedürleri çerçevesinde sağlanır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır. Bilgi Teknolojileri çalışanlarının kişisel verilere erişim yetkileri kontrol altında tutulur.
  5. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılır.
  6. Periyodik olarak yetki kontrolleri gerçekleştirilir.
  7. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.
  8. Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesi sağlanır.
  9. Tüm kullanıcıların işlem hareketleri kaydının (log kayıtları) düzenli olarak tutulması sağlanır.
  10. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alınarak sistem zafiyetlerinin kontrolü sağlanır.
  11. Kişisel verilerin saklandığı ortam ve cihazların fiziksel güvenlik önlemleri alınarak korunması sağlanır.
  12. Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için verilerin yedeklenmesi ve tüm yedeklerin fiziksel güvenliği sağlanır.
  13. Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanır.
  14. Kanun'un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kripto grafik yöntemler ile korunur. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması sağlanır.
  15. Bulut ortamında yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması; bulut bilişim hizmet ilişkisi sona erdiğinde ise; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi sağlanır.
  16. Kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanır.
  17. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerektiğinde kriptografik yöntemlerle şifrelenir ve kriptografik anahtarın farklı ortamda tutulması sağlanır.
  18. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilirken, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir.
  19. Verilerin kağıt ortamı yoluyla aktarımında evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınır.
7. AYDINLATMA

İşlenen kişisel veriler Kanun hükümlerine aykırı olarak başkasına açıklanamaz ve işleme amacı dışında kullanılamaz. Kişisel verilerin elde edilmesi sırasında Şirket “Kişisel Verilen Korunması ve İşlenmesi Aydınlatma Metni” ile aşağıdaki konular hakkında ilgili kişilere bilgi verir.

  1. Şirket bilgileri,
  2. Kişisel verilerin işlenme amaçları,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. İlgili kişinin Kanun kapsamındaki hakları.

Kişisel Verilen Korunması ve İşlenmesi Aydınlatma Metni”ne Şirket web sitesi üzerinden de erişilmesi sağlanır.

Fiili imkansızlık veya ilgili kişiye ulaşılamaması nedeniyle kişisel veriler doğrudan ilgili kişiden elde edilemiyorsa;

  • Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
  • Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
  • Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğü yerine getirilir.

İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi halinde aydınlatma zorunluluğu bulunmamaktadır.

8. VERİ SAHİBİNİN HAKLARI

Kişisel veri sahibi, Şirketimize başvurarak kendisiyle ilgili;

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  6. eKişisel verilerin silinmesini veya yok edilmesini isteme,
  7. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

Şirket, kişisel veri sahiplerinin başvurularının yönetilmesi, yerine getirilmesi ve kaydedilmesine ilişkin işleyişi ve gerekli iletişim kanallarını tesis etmiştir.

İlgili kişi, Kanunun uygulanmasıyla ilgili taleplerini, kimliğini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurul'un belirlediği diğer yöntemlerle www.anexservices.com.tr adresinde yer verilen “Veri Sahibi Başvuru Formu”nu doldurarak Şirket'e iletir.

  • Veri Sahibi Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile “BARBAROS MAHALLESİ SERİK CAD. A Apt. NO: 305 A/1 AKSU ANTALYA” adresine iletilmesi.
  • Veri Sahibi Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun [email protected] adresine kayıtlı elektronik posta ile gönderilmesi.

Şirket, başvuruda yer alan taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Şirket talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde Şirket tarafından gereği yerine getirilir. Başvurunun Şirket hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, Şirket'in cevabını öğrendiği tarihten itibaren otuz ve herhalde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.

8.1 VERİ SAHİPLERİNİN HAKLARI DIŞINDA KALAN HALLER

Kanun hükümlerinin uygulanmadığı aşağıdaki hallerin varlığı halinde, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun'un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla aydınlatma yükümlülüğü ve zararın giderilmesini talep etme hakkı hariç, aşağıdaki hallerin varlığı halinde, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
1. AMAÇ

Bu politikanın amacı, Türkiye Cumhuriyeti Anayasası ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ(Şirket)’nin “Kişisel Verilerin Korunması ve İşlenmesi Politikası” kapsamındaki düzenlemelere ek olarak özel nitelikli kişisel verilerin işlenmesi kapsamındaki yükümlülüklere uyumun sağlanması, özel nitelikli kişisel verilerin işlenmesi ve güvenliğinin sağlanması ile ilgili kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile veri sahiplerinin ve kurum çalışanlarının bilinçlendirilmesidir.

2. KAPSAM

Bu politika hükümleri, Şirket tarafından özel nitelikli kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen müşteriler, çalışanlar, çalışanların aile üyeleri, stajyerler, müşteriler, hissedarlar hakkında uygulanır.

3. SORUMLULUK

Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası’ na ek niteliğindeki işbu Politika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Politikalar çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirket Üst Yönetimi sorumludur.

Tüm Şirket çalışanları, görevlerini politikalara ve ilgili tüm prosedür ve mevzuata uygun olarak yerine getirmekten sorumludur.

4. TANIMLAR

Bu politikada yer alan önemli tanımlar aşağıda belirtilmiştir.

Açık rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim hale getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

İlgili kişi

Kişisel verisi işlenen gerçek kişi

İlgili kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kurul

Kişisel Verileri Koruma Kurulu

Kurul Kararı

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı

Kurum

Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik imha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Sicil

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
5.1. ÖZEL NİTELİKLİ Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler

Şirket nezdinde özel nitelikli kişisel veriler, Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmekte ve kişisel verilerin işlenmesinde “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda düzenlenen ilkeler dikkate alınmaktadır.

5.2. ÖZEL NİTELİKLİ Kişisel Verilerin İşlenme Şartları

Şirket tarafından özel nitelikli kişisel verilerin işlenmesinde, öncelikle veri işleme şartlarının var olup olmadığı belirlenir, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti gerçekleştirilir. Bu kapsamda Kurul tarafından belirlenen yeterli önlemlerin alınması kaydıyla özel nitelikli kişisel verilerden;

  1. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler,
    • Kişisel veri sahibinin açık rızası var ise veya
    • Kanunlarda öngörülen hallerde işlenmektedir.
  2. Sağlık ve cinsel hayata ilişkin kişisel veriler,
    • Kişisel veri sahibinin açık rızası var ise işlenir.
    • Kişisel veri sahibinin açık rızası yok ise, sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Özel nitelikli kişisel verilerin elde edilmesi sırasında Şirket “Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni” ile aşağıdaki konular hakkında ilgili kişilere bilgi verir.

Şirket bilgileri,

  • b) Özel nitelikli kişisel verilerin işlenme amaçları,
  • c) İşlenen özel nitelikli kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • d) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • e) İlgili kişinin Kanun kapsamındaki hakları.

İlgili kişinin açık rızası, kişisel veri sahibinin kendisiyle ilgili veri işlenmesine, Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni ile yeterli bilgi sahibi olarak, özgür iradesiyle, tereddüde yer bırakmayacak şekilde ve sadece ilgili işlemle sınırlı olarak Kişisel Verilerin İşlenmesine İlişkin Açık Rıza Beyanı ile onay vermesi suretiyle alınır.

Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm bulunması durumunda, Şirket tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veriler işlenmektedir.

İşlenen kişisel veriler Kanun hükümlerine aykırı olarak başkasına açıklanamaz ve işleme amacı dışında kullanılamaz.

Özel nitelikli kişisel verilerin açık rıza dışında kalan işleme şartları ve örnekleri aşağıdaki tabloda yer almaktadır:

İşleme Şartları

Kapsam

Örnek

Kanun Hükmü

Sağlık ve cinsel hayat dışındaki kişisel veriler ilgili kişinin açık rızası aranmaksızın işlenebilir. Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb. daha sıkı hassas veri işleme şartları.

Çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması gerekir.

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve

Finansmanı

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi

Doktorun hastası hakkında işlediği sağlık verileri.

5.3. VERİ KONUSU KİŞİ GRUBU VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

Şirket’imiz nezdinde özel nitelikli kişisel verisi işlenen kişi grubu aşağıda belirtilmektedir:

Veri Konusu Kişi Grubu

Çalışanlar

Şirket çalışanları

Stajyer

Şirket'te staj yapan lise ve üniversite öğrencileri

Aile Üyeleri

Çalışanların aile üyeleri

Hissedarlar

Şirket hissedarı gerçek kişiler

Müşteriler

Şirketimizle herhangi bir sözleşmesi ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri alan/kullanan veya kullanmış olan gerçek kişiler

Bu kişilere ilişkin işlenen özel nitelikli kişisel veriler aşağıda belirtilmiştir:

Özel Nitelikli Kişisel Veri

Uyruğu, dini, sabıka kaydı, engellilik durumu, sağlık ve kan grubu bilgisi

5.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME AMAÇLARI

Şirket tarafından toplanan kişisel veriler, Kanun’un 6. maddesinde belirtilen işleme şartlarına uygun olarak aşağıda sayılan amaçlar dahilinde işlenmektedir:

Ana Amaçlar

Alt Amaçlar

Şirketin idaresi, faaliyetlerin hukuka, Şirket politika ve prosedürlerine uygun olarak yerine getirilmesi

Tabii olunan mevzuatlar gereği yasal yükümlülüklerimizin yerine getirilmesi ve yürürlükteki mevzuattan doğan haklarımızın kullanılabilmesi

Ürün/hizmetlerin planlaması ve satışına ilişkin süreçlerin tesisi ve yönetimi; ürün ve hizmet koşullarının ifası ve üstlenilen yükümlülüklerin eksiksiz ve doğru bir şekilde yerine getirebilmesi

Müşterilere konaklama, tur ve vize hizmetlerinin verilmesi

Sözleşme süreçlerinin ve/veya hukuki işlemlerin takibi

Operasyon süreçlerinin yürütülmesi

Risk yönetimi, denetim ve kontrol faaliyetlerinin icrası

İşlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi

İlgili mevzuat hükümleri doğrultusunda bilgi ve belge almaya yetkili kamu/özel kurum ve kuruluşlarına mevzuattan kaynaklı bilgi verilmesi

Hukuki yükümlülüklere ve şirket politikalarına uyumu teminen denetim şirketlerine, Kanun’a uygun olarak bilgi verilmesi

Şirket’in, personelin ve Şirket ile iş ilişkisi içerisinde olan kişilerin fiziki, hukuki ve ticari güvenliğinin temini

İnsan kaynakları politikalarının yürütülmesi; insan kaynakları süreçlerinin planlanması ve icrası

İş sözleşmelerinin kurulması, ifası ve üstlenilen yükümlülüklerin yerine getirilmesi

İşe alım ve özlük süreçlerinin yürütülmesi

Kurumsal sağlık sigortası ve bireysel emeklilik gibi yan hak ve menfaatlerine ilişkin süreçlerin tesisi, hakların kullanılması veya korunması

İş sağlığı ve güvenliği düzenlemelerine uyum; işyeri hekiminin sağlık gözetimi kapsamında işe giriş ve periyodik muayeneler ve tetkikler, sağlık raporu, e-reçete, sağlık taramaları süreçleri

 

Kanun’un 6(3) maddesinde belirtilen kişisel veri işleme şartlarının karşılanmadığı hallerde kişisel veriler, veri sahibinin açık rızasına istinaden işlenebilecektir.

5.5. ÖZEL NİTELİKLİ Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve Kişisel Veri Saklama ve İmha Politikası’ na uygun hareket edilmektedir.

5.6. ÖZEL NİTELİKLİ Kişisel verilerin aktarılması

Şirket tarafından gerçekleştirilecek özel nitelikli kişisel veri aktarımlarında Kurul Kararı ile düzenlenmiş olan özel nitelikli kişisel veri aktarım şartlarına uygun hareket edilir.

Şirket tarafından özel nitelikli kişisel verilerin aktarılabileceği taraflar ve aktarım amaçlarına aşağıda yer verilmiştir:

Veri Aktarılabilecek Taraflar

Aktarım Amaçları

Kanunen Yetkili Kurumlar

Yetkili kamu kurum ve kuruluşları ile özel hukuk kişilerinin hukuki yetkisi dahilinde bilgi-belge talebinin karşılanması.

İş Ortakları

İş ortaklığının kurulma amaçlarının ve ticari faaliyetlerin yerine getirilmesi.

Grup Şirketleri

Grup şirketlerinin de katılımını gerektiren faaliyetlerin sürdürülmesi.

Tedarikçiler

Dış kaynaklı olarak temin edilen mal ve hizmetlere ilişkin süreçlerin yönetilmesi, destek ve danışmanlık hizmeti alınması, personelin yan haklardan faydalandırılması.

5.6.1. Özel nitelikli kişisel verilerin yurt içinde aktarılması

Şirket tarafından özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler alınmak suretiyle ve aşağıdaki hallerden birinin bulunması halinde aktarılabilir:

  1. İlgili kişinin açık rızasının alınması,
  2. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması.
  3. Kişisel veri sahibinin açık rızası yok ise, sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; üçüncü kişilere aktarılabilir.

Özel nitelikli kişisel verilerin aktarımına ilişkin alınan yeterli önlemler bu Politika’nın 6. maddesinde düzenlenmiştir.

5.6.2. Özel nitelikli kişisel verilerin yurt dışına aktarılması

Şirket tarafından kişisel veriler, aşağıdaki durumlardan birinin bulunması halinde yurt dışına aktarılabilir:

  1. İlgili kişinin açık rızasının alınması,
  2. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması ve
    • Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması,
    • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir.

Özel nitelikli kişisel verilerin yurt dışına aktarımına ilişkin alınan yeterli önlemler bu Politika’nın 6. maddesinde düzenlenmiştir.

6. VERİ GÜVENLİĞİNE İLİŞKİN HUSUSLAR

Şirket tarafından özel nitelikli kişisel verilerin, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınır; Kanun hükümlerinin ve Kurul Kararı’nın uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması sağlanır.

6.1 İDARİ TEDBİRLER
  1. Özel nitelikli kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik tedbirlerin alınması sağlanır.
  2. Özel nitelikli kişisel verilerin işlenmesi, gizliliğinin ve güvenliğinin sağlanması ve imha edilmesine ilişkin tüm politika ve prosedürler ile ilgili süreçlerde görev alan personelin görev, yetki ve sorumlulukları yazılı hale getirilir ve tüm personelin erişimine sunulur.
  3. Personele Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi sağlanır.
  4. Politika ve prosedürlerin güncel tutulması ve yapılan değişikliklerle ilgili çalışanlara gerekli eğitimlerin verilmesi ve bilgilendirmeler yapılması sağlanır.
  5. İşe alım süreci kapsamında, çalışanlar ile Şirket arasında düzenlenen sözleşmelere özel nitelikli kişisel verilerin korunması ve gizliliğinin sağlanmasına ilişkin hükümler eklenip çalışan tarafından imzalanması sağlanır.
  6. İşlenen kişisel verilere hala ihtiyaç olup olmadığı ve doğru yerde muhafaza edilip edilmediği tespit edilerek, arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi, ihtiyaç duyulmayan özel nitelikli kişisel verilerin ise Kişisel Veri Saklama ve İmha Politikası doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi sağlanır.
  7. Saklanan kişisel verilere Şirket içi erişim, görev tanımı gereği erişmesi gerekli personel ile sınırlandırılır.
  8. Çalışanların Şirket tarafından belirlenip duyurulan politika ve prosedürlerine uymaması durumunda Disiplin Prosedürü doğrultusunda yaptırımlar uygulanır.
  9. Özel nitelikli kişisel verilerin paylaşılması ile ilgili olarak, Özel nitelikli kişisel verilerin paylaşıldığı kişiler ve veri işleyenler ile özel nitelikli kişisel verilerin korunması ve veri güvenliğine ilişkin gizlilik sözleşmeleri imzalanır veya mevcut sözleşmelere veri güvenliğine ilişkin hükümler eklenir.
  10. Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılır, gelişime açık alanlar için gerekli aksiyonlar planlanıp uygulamaya alınır.
  11. Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması ve denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri için aksiyonlar planlanarak bulguların derhal giderilmesi sağlanır.
  12. İşlenen özel nitelikli kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirilir.
6.2 TEKNİK tedbirler
  1. Kişisel veri içeren bilgi teknoloji sistemlerinin ve verilerin korunması amacıyla, SSL bağlantıları, anti virüs ve güvenlik duvarı yazılım ve donanımları kullanılır.
  2. Kullanılmayan yazılım ve servislerin cihazlardan silinmesi sağlanır.
  3. Yazılım ve donanımların düzgün bir şekilde çalışması, alınan güvenlik önlemlerinin yeterli olup olmadığı ve verilerin bulunduğu ortamlara ait güvenlik güncellemeleri düzenli olarak kontrol edilir. Gerekli güvenlik testleri düzenli olarak yapılarak test sonuçları kayıt altına alınır. Olası güvenlik açıklarının kapatılması için gerekli yama ve yazılım güncellemelerinin yapılması sağlanır.
  4. Özel nitelikli kişisel veri içeren sistemlere erişim, erişim politikaları, kullanıcı ve rol yönetimi prosedürleri çerçevesinde sağlanır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır. Bilgi Teknolojileri çalışanlarının kişisel verilere erişim yetkileri kontrol altında tutulur.
  5. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılır.
  6. Periyodik olarak yetki kontrolleri gerçekleştirilir.
  7. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.
  8. Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesi sağlanır.
  9. Tüm kullanıcıların işlem hareketleri kaydının (log kayıtları) düzenli olarak tutulması sağlanır.
  10. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alınarak sistem zafiyetlerinin kontrolü sağlanır.
  11. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.
  12. Özel nitelikli kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için verilerin yedeklenmesi ve tüm yedeklerin fiziksel güvenliği sağlanır.
  13. Özel nitelikli kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanır.
  14. Özel nitelikli kişisel verilerin saklandığı her türlü elektronik ortamdaki veriler kriptografik yöntemler kullanılarak muhafaza edilir. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması sağlanır.
  15. Bulut ortamında yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması; bulut bilişim hizmet ilişkisi sona erdiğinde ise; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi sağlanır.
  16. Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanır.
  17. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerektiğinde kriptografik yöntemlerle şifrelenir ve kriptografik anahtarın farklı ortamda tutulması sağlanır.
  18. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilirken, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.
  19. Verilerin kağıt ortamı yoluyla aktarımında evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınır ve “gizlilik dereceli belgeler” formatında gönderilir.
7. Veri Sahibinin Hakları

İlgili kişinin Kanun kapsamındaki hakları, Kanun’un uygulanmasıyla ilgili taleplerini iletme yöntemleri ve taleplerin Şirket tarafından sonuçlandırılmasına ilişkin hükümler Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda düzenlenmiştir.

İşbu Çerez (Cookie) Politikasının amacı; ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ ('Şirket') tarafından işletilmekte olan www.anexservices.com.tr internet sitesi ('Site') ile mobil uygulamasının (hepsi birlikte 'Platform' olarak anılacaktır) işletilmesi sırasında Platform kullanıcıları/üyeleri/ziyaretçileri ('Veri Sahibi') tarafından çerezlerin kullanımı sırasında elde edilen kişisel verilerin işlenmesine ilişkin olarak sizlere bilgi vermektir. Bu politikada yer alan 'kişisel veri' ifadesi aşağıda yer alan bilgileri kapsamaktadır:

  • Müşteri Bilgisi
  • Cihaz Bilgisi
  • Davranışlar
  • Demografik Bilgiler
  • Pazarlama Bilgisi
  • Davranışsal Reklamcılık

Platformu şahsi herhangi bir bilgi vermeden ziyaret edebilirsiniz. Ziyaretlerinizde, Platform kullanımına ilişkin bilgi toplamak, Platform'dan en verimli şekilde faydalanılabilmesini ve kullanıcı deneyiminin geliştirilmesini sağlamak amacıyla çerezler kullanılmaktadır.

Platformu ziyaret ederek, çerezlerin ve çerezler sayesinde toplanan bilgilerin https://www..... adresinde yer alan Kişisel Verilerin Korunması ve İşlenmesi Politikası ile uyumlu şekilde kullanılmasına onay vermiş olursunuz. Eğer çerezlerin bu şekilde kullanılmasını istemiyorsanız, tarayıcınızın ayarlarını düzenlemeli veya Platform'u kullanmamalısınız. Kullandığımız çerezleri devre dışı bırakmak, Platform'daki kullanıcı deneyiminizi etkileyebilir.

Çerezler (Cookie'ler) Nedir ve Neden Kullanılmaktadır?

Çerezler, ziyaret ettiğiniz internet siteleri tarafından tarayıcılar aracılığıyla cihazınıza veya ağ sunucusuna depolanan küçük metin dosyalarıdır. Çerezler bilgisayarınızda veya dosyalarınızda depolanan kişisel verileriniz de dahil herhangi bir bilgi toplayamamaktadır. Çerezler konusundan daha detaylı bilgi için www.aboutcookies.org e www.allaboutcookies.org adreslerini ziyaret edebilirisiniz.

Platform'da çerez kullanılmasının başlıca amaçları aşağıda sıralanmaktadır:

  • Platform'un işlevselliğini ve performansını arttırmak yoluyla sizlere sunulan hizmetleri geliştirmek, 
  • Platform'u iyileştirmek, Platform üzerinden yeni özellikler sunmak ve sunulan özellikleri sizlerin tercihlerine göre kişiselleştirmek; 
  • Platform'un, sizin ve Şirket'imizin hukuki ve ticari güvenliğinin teminini sağlamak. 
  • Doğrudan ve dolaylı pazarlama faaliyetleri kapsamında kullanmak.

Platform'da Kullanılan Çerezlerin Kategorileri

Teknik Çerezler

(Technical Cookies)

Teknik çerezler ile Site'nin çalışması sağlanmakta, internet sitesinin çalışmayan sayfaları ve alanları tespit edilmektedir.

Otantikasyon Çerezleri

(Authentication Cookies)

Ziyaretçiler, şifrelerini kullanarak Site'ye giriş yapmaları durumunda, bu tür çerezler ile, ziyaretçinin Site'de ziyaret ettiği her bir sayfada site kullanıcısı olduğu belirlenerek, kullanıcının her sayfada şifresini yeniden girmesi önlenir.

Flash Çerezleri

(Flash Cookies)

Site'de yer alan görüntü veya ses içeriklerini etkinleştirmek için kullanılan çerez türleridir.

Kişiselleştirme Çerezleri

(Customization Cookies)

Kullanıcıların tercihlerini farklı internet sitesinin farklı sayfalarını ziyarette de hatırlamak için kullanılan çerezlerdir. Örneğin, seçmiş olduğunuz dil tercihinizin hatırlanması.

Analitik Çerezler

(Analytical Cookies)

Analitik çerezler ile Site'yi ziyaret edenlerin sayıları, Site'de görüntülenen sayfaların tespiti, Site ziyaret saatleri, internet sitesi sayfaları kaydırma hareketleri gibi analitik sonuçların üretimini sağlayan çerezlerdir.

Platform'da Kullanılan Çerezler

Çerez

Açıklama, Süre ve Tercihler

Analitik Çerezler

Reklam Amaçlı

Davranışsal ve hedef odaklı reklamların ziyaretçilere gösterilmesi amacıyla kullanılmaktadır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Pazar Analizi

Pazar analizi yürütülmesi amacıyla kullanılmaktadır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkündür.

Kampanya/Promosyon

Kampanyaların etkisinin hesaplanması için kullanılmaktadır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Facebook

Bu tür çerezler, Facebook üyelerinin (veya üye olmayan kişilerin) pazar analizi ve ürün gelişimi amacıyla izlenmesini sağlar.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Twitter

Bu tür çerezler, sosyal medya ağlarına üye olan veya olmayan kişilerin, pazar analizi ve ürün gelişimi amacıyla izlenmesi için kullanılır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Google Analitikleri

Bu tür çerezler tüm istatistiksel verilerin toplanmasını bu şekilde Sitenin sunumunun ve kullanımının geliştirilmesini sağlar. Google, bu istatistiklere toplumsal istatistikler ve ilgilere ilişkin veriler eklemek suretiyle, kullanıcıları daha iyi anlamamızı sağlar.

Sitemiz, Google Analitik çerezleri kullanmaktadır. Söz konusu çerezler ile toplanan veriler, ABD'de bulunan Google sunucularına aktarılmakta ve söz konusu veriler Google'ın veri koruma ilkeleri ile uyumlu olarak muhafaza edilmektedir. Google'ın analitik veri işleme faaliyetleri ve kişisel verilerin korunması konusundaki ilkeler hakkında daha fazla bilgi sahibi olmak için buraya tıklayabilirsiniz.

Çerezlerin Kontrolü

https://tools.qooqle.com/dlpaqe/qaoptout

Teknik Çerezler

Oturum

Oturum çerezleri oturumun sürekliliğinin sağlanması amacıyla kullanılır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Yük Dengeleme

Yük dengeleme çerezleri, yükü dağıtarak sunucu yükünü azaltmak için kullanılır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Güvenlik

Güvenlik çerezler, güvenlik kontrolleri için kullanılır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Dolandırıcılık Tespiti

Tıklama hilelerinin tespit edilmesi için kullanılmaktadır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Otantikasyon Çerezleri

Kullanıcı Kimliği

Kullanıcı kimliği çerezler, kullanıcıların yalnızca kendi bilgilerini görmeleri için kullanılır.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Kişiselleştirme Çerezleri

Dil

Kullanıcının seçtiği dili kaydeder ve buna uygun seçenekler sunar.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Mobil

Eğer kullanıcı Siteyi mobil bir cihazdan ziyaret ediyorsa, ana web sitesini göstermek için kullanılır. (Örneğin, cihazın Flash'ı etkinleştiridiği), ya da Flash'a ihtiyaç duymayan bir mobil sitede olduğunu. Kaynak site kullanıcının tercihlerinin daha iyi anlaşılabilmesi için kaydedilir.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Flash Çerezleri

Flash çerezleri

Oynatılacak ses ve video içeriklerini etkinleştirir.

Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Çerezlerin Kullanımı Veri Sahipleri Tarafından Engellenebilir mi?

Veri sahipleri, tarayıcı ayarlarını değiştirerek çerezlere ilişkin tercihlerini kişiselleştirme imkanına sahiptir. Eğer kullanılan tarayıcı bu imkanı sunmaktaysa, tarayıcı ayarları üzerinden Çerezlere ilişkin tercihleri değiştirmek mümkündür. Böylelikle, tarayıcının sunmuş olduğu imkanlara göre farklılık gösterebilmekle birlikte, veri sahiplerinin çerezlerin kullanılmasını engelleme, çerez kullanılmadan önce uyarı almayı tercih etme veya sadece bazı Çerezleri devre bırakma ya da silme imkanları bulunmaktadır.

Çerezlere ilişkin tercihlerin, kullanıcının Platform'a erişim sağladığı her bir cihaz özelinde ayrı ayrı yapılması gerekebilecektir.

Adobe Analytics

http://www.adobe.com/uk/privacy/opt-out.html

AOL

https://help.aol.com/articles/restore-security-settings-and-enable-cookie-settings-on-browser

Google Adwords

https://support.google.com/ads/answer/2662922?hl=en

Google Analytics

https://tools.google.com/dlpage/gaoptout

Google Chrome

http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95647

Internet Explorer

https://support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies

Mozilla Firefox

http://support.mozilla.com/en-US/kb/Cookies

Opera

http://www.opera.com/browser/tutorials/security/privacy/

Safari

https://support.apple.com/kb/ph19214?locale=tr_TR

1. AMAÇ

Bu politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’na uyum kapsamında veri sorumlusu sıfatıyla ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Şirket) tarafından, ilgili kişilerin Kanun’un uygulanmasıyla ilgili başvurularının yönetilmesi, yerine getirilmesi ve kaydedilmesine ilişkin işleyişi ve tesis edilen iletişim kanallarını açıklamaktır. 

2. KAPSAM

Bu politika hükümleri, Şirket tarafından kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen gerçek kişiler hakkında uygulanır.

3. SORUMLULUK

İşbu Politika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Politika çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirket Üst Yönetimi sorumludur.

İrtibat Kişisi

  • İlgili kişilerin Şirket’e yönelteceği taleplerin cevaplandırılması konusunda iletişimin sağlanmasından;
  • İlgili departmanlar tarafından iletilen cevaplar doğrultusunda, ilgili kişilerin başvurularının en geç 30 gün içinde cevaplanmasının sağlanmasından;
  • Kurul ile Şirket arasındaki iletişimin sağlanmasından ve Kurul taleplerinin yerine getirilmesinden;

Departman Yöneticileri

  • Kendilerine ulaşan ilgili kişi başvurularının en geç 1 hafta içinde incelenerek cevaplanmasını sağlamaktan

sorumludur.

4. TANIMLAR

Anonim hâle getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Başvuru

Kanunun 13. maddesi kapsamında yapılan başvuru

Güvenli Elektronik İmza

Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imza

İlgili kişi

Kişisel verisi işlenen gerçek kişi

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

İrtibat Kişisi

Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kayıtlı elektronik posta (KEP) adresi

Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şekli

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

Mobil imza

Mobil bir cihaz kullanılarak oluşturulan elektronik imza

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

5. BAŞVURU HAKKI

Kanun’un 11. Maddesi uyarınca, ilgili kişi, Şirketimize başvurarak kendisiyle ilgili;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. e) Kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

İlgili kişi, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.

Kanun hükümlerinin uygulanmadığı aşağıdaki hallerin varlığı halinde, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla aydınlatma yükümlülüğü ve zararın giderilmesini talep etme hakkı hariç, aşağıdaki hallerin varlığı halinde, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
6. BAŞVURU USÜLLERİ

İlgili kişi, Kanun’un uygulanmasıyla ilgili taleplerini, kimliğini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle www.anexservices.com.tr adresinde yer verilen “Veri Sahibi Başvuru Formu” nu doldurarak Şirket’e iletebilir.

  • Veri Sahibi Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılarak “BARBAROS MAHALLESİ SERİK CAD. A Apt. NO: 305 A/1 AKSU ANTALYA” adresine iletilmesi.
  • Veri Sahibi Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra kayıtlı elektronik posta ile konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılarak [email protected] tr adresine gönderilmesi.

Yazılı başvurularda, Şirket’e evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemle yapılan başvurularda; başvurunun Şirket’e ulaştığı tarih, başvuru tarihidir.

7. BAŞVURUNUN KAYIT ALTINA ALINMASI

Başvuru Formunun elden ibraz edilmesi halinde ilgili kişinin kimliği, kimlik belgesi (Adı-Soyadı, Kimlik No) kontrol edilmek suretiyle tespit edilir.

Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunabilmesi için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname aslı ibraz edilmelidir. Vekaletnamenin bir kopyası başvuru ekinde muhafaza edilir.

18 yaşın altındaki kişilerin kişisel verilerine ilişkin başvuru, yasal temsilcisi tarafından yapılabilir. Bu durumda yasal temsilcinin yetkisini belirleyen belgelerin suretleri talep edilir ve bir örneği başvuru ekinde saklanır.

Güvenli elektronik imza ile yapılan başvurularda e-imzaya dayalı nitelikli elektronik sertifika ile başvuru yapanın kimliği hukuken tespit edilebilmektedir.

İlgili kişi tarafından şahsen veya noter aracılığı ile yazılı olarak yapılan başvurular, Muhaberat tarafından Evrak Kayıt Defterine kaydedilerek imza karşılığı İrtibat Kişisi’ne teslim edilir.

Kayıtlı elektronik posta adresine yapılan başvurular Mali Müşavir ya da yetkili kişi tarafından İrtibat Kişisi’ne e-posta ile ulaştırılır.

İrtibat Kişisi başvurunun işbu Politikada belirtilen usullere uygun olup olmadığını ve başvuru formunda yer alması gereken bilgi ve belgelerin eksiksiz olup olmadığını kontrol eder. Usulüne uygun olmayan başvurular için, gerekli bilgilerin temin edilmesi amacıyla ilgili kişi ile iletişime geçer. Buna rağmen usulüne uygun olmayan, eksik bilgi/belgeli başvurular gerekçesiyle ilgili kişiye yazılı olarak bildirilerek reddedilir.

Usulüne uygun olarak alınan başvurular, İrtibat Kişisi tarafından, başvuru sahibi kişi kategorisine göre aşağıda belirtilen ilgili departman yöneticisine iletilir.

  • Çalışan adayı, eski çalışan: İnsan Kaynakları
  • Tedarikçi: Muhasebe/Satın alma
  • Müşteri/Misafir: İlgili Bölüm
  • Ziyaretçi: Güvenlik
  • Diğer: Bilgi Teknolojileri/Hukuk
8. BAŞVURUNUN DEĞERLENDİRİLMESİ
8.1. KİŞİSEL VERİ TESPİTİ

İlgili kişilerden gelen taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin kişisel verilerinin, Şirket nezdinde işlenip işlenmediği ilgili departman tarafından tespit edilmelidir.

Bu amaçla öncelikle Başvuru Formunda yer alan bilgilerden hareketle Kişisel Veri Envanterindeki ilgili süreç, veri kategorisi, kayıt ortamı ve saklama yeri tespit edilir. Veri Envanteri üzerinden yapılan incelemenin yanı sıra başvuru formunda yer alan veri sahibi bilgileri, Şirket veri tabanları üzerinde aratılarak kontrol edilir.

İlgili süreçlerde ve gerçekleştirilen sistemsel testte ilgili kişinin başvuru formunda belirttiği kişisel verilere rastlanmıyorsa, İrtibat Kişisi’ne e-posta ile bilgi verilir.

İlgili süreçlerde ve gerçekleştirilen sistemsel testte ilgili kişinin başvuru formunda belirttiği kişisel verilere rastlanıyorsa, kişisel veri sahibinin talebine uygun olarak aşağıdaki adımlardan biri uygulanarak talebin gereği yerine getirilir.

8.2. İŞLENEN KİŞİSEL VERİYE İLİŞKİN BİLGİ TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (a), (b), (c) ve (ç) bentlerinde belirtilen talebi doğrultusunda, Kişisel Veri Envanterinde yer alan işlenen kişisel veriler, veri işleme amacı, aktarılan taraf ve aktarma amacı bilgilerinden talebe uygun olanları, İrtibat Kişisi’ne e-posta ile iletilir.

8.3. İŞLENEN KİŞİSEL VERİYE İLİŞKİN DÜZELTME TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (d) bendinde belirtilen talebi doğrultusunda, veri sahibinin sağladığı kişisel veriler ve bunları tevsik eden belgeler ile Şirket kayıtlarında yer alan bilgiler karşılaştırılır. Şirket nezdinde hatalı ya da eksik olarak işlendiği belirlenen veriler, düzeltilmesi için tevsik edici belgelerle birlikte verinin kayıt altına alındığı ilgili birime iletilerek güncellenmesi sağlanır.

Güncellenen verilere ilişkin olarak bilgi, İrtibat Kişisi’ne e-posta ile iletilir.

8.4. İŞLENEN KİŞİSEL VERİYE İLİŞKİN SİLME/ YOK ETME TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (e) bendinde belirtilen talebi doğrultusunda, Kişisel Veri Envanterinde hangi süreçlerde yasal zorunluluk nedeniyle saklama ve işleme yapılması gerektiği tespit edilir.

Eğer yasal zorunluluk nedeniyle saklama ve işleme zorunluluğu yok ise ilgili kişisel verilerin, Kişisel Veri Saklama ve İmha Politikası’na uygun olarak silinmesi ve yok edilmesi sağlanır. Silme/yok etme işleminin tamamlanmasının ardından ilgili kişisel verilerin silindiği, yok edildiği bilgisi İrtibat Kişisi ile paylaşılır.

Eğer yasal zorunluluk nedeniyle işleme ve saklama zorunluluğu var ise, kişisel veri işlemeye temel olan yasal zorunluluğun ortadan kalkmaması nedeniyle talebinin gerçekleştirilemediği yönünde İrtibat Kişisi’ne bilgi verilir.

8.5. İŞLENEN KİŞİSEL VERİYE İLİŞKİN düzeltme/SİLME/ YOK ETME TALEPLERİNİN VERİ AKTARILAN TARAFLARA BİLDİRİMİ TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (f) bendinde belirtilen talebi doğrultusunda,

Kişisel Veri Envanterinden veri aktarılan kişi kategorileri tespit edilir.

Eğer ilgili kişinin düzeltme/silme veya yok etme talebi yerine getirilmişse, veri aktarılan taraflardan da aynı işlemlerin gerçekleştirilmesi ve talebin yerine getirildiğinin yazılı olarak teyit edilmesi istenir.

İlgili kişinin düzeltme/silme veya yok etme talebinin, kişisel verilerin aktarıldığı üçüncü kişiler tarafından da yerine getirildiğine ilişkin bilgi İrtibat Kişisi’ne e-posta ile iletilir.

8.6. kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmeSİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (g) bendinde belirtilen talebi doğrultusunda, veri sahibinin aleyhine sonuç doğurduğu iddia edilen süreç incelemeye alınır.

Yapılan incelemede süreçte veya süreç içerisinde işlenen kişisel verilerde aleyhe sonuç doğuracak herhangi bir eksiklik ve hata olmadığı tespit edilirse İrtibat Kişisi’ne bu yönde bilgi verilir.

Yapılan incelemede süreçte veya süreç içerisinde işlenen kişisel verilerde aleyhe sonuç doğuracak herhangi bir eksiklik veya hata tespit edilirse, kişinin sağladığı bilgiler doğrultusunda düzeltme yapılarak yapılan değişikliğin kişi lehine sonuç yarattığı ve sistemlerin bu şekilde güncellendiği bilgisi İrtibat Kişisi’ne e-posta ile iletilir.

8.7. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesi talebi

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (ğ) bendinde belirtilen talebi doğrultusunda, zarar talebi Hukuk Danışmanı ve ilgili birimlerin katılımıyla incelemeye alınır. İnceleme sonucunda alınacak aksiyon ve başvuruya verilecek yanıt belirlenerek Hukuk Danışmanlığı vasıtasıyla işleme alınır.

Kişisel verilerin Kanuna aykırı olarak işlenmesi nedeniyle ilgili kişinin uğradığı zararın giderilmesi, Üst Yönetim (Yönetim Kurulu/Genel Koordinatör) onayıyla gerçekleştirilir.

9. BAŞVURUNUN CEVAPLANMASI

Veri Sahibi taleplerinin Şirket tarafından en kısa sürede ve en geç başvuru tarihinden itibaren 30 gün içerisinde değerlendirilerek sonuçlandırılması gerekir.

İlgili departmanlara ulaştırılan başvuruların incelenmesi, teslim alındığı tarihten itibaren en geç 1 hafta içinde sonuçlandırılarak İrtibat Kişisi’ne bildirilmelidir.

İrtibat Kişisi, başvuruya ilişkin bilgi ve belgeleri, ilgili departmanlardan gelen cevaplar ve alınan aksiyonların hukuka ve Kanun’a uygunluğu açısından incelenmesi amacıyla Hukuk Danışmanı’na iletir.

Hukuk danışmanı tarafından iletilen hukuka uygunluk onayı ve başvuruya cevaben inceleme sonucuna göre hazırlanan yazı, İrtibat Kişisi tarafından, en geç otuz (30) gün içinde veri sahibine ulaştırılır. Cevap yazısının asgari olarak;

  1. Şirket veya temsilcisine ait bilgileri,
  2. Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
  3. Talep konusunu,
  4. Şirket’in başvuruya ilişkin açıklamalarını,

içermesi zorunludur.

Başvuruya verilecek yanıtlarda üçüncü kişilere ait kişisel veriler kesinlikle yer alamaz. Üçüncü kişilere ait kişisel verilere yer verilmeksizin başvurunun yanıtlanması mümkün olmayan durumlarda, üçüncü kişiye ait bilginin gizlenerek/anonimleştirilerek paylaşılması veya ilgili kişinin açık rızasının alınması yoluna gidilir.

Noter kanalıyla yapılan başvurulara verilen yanıtlar Şirket antetli kağıdına basılarak Şirket’in imza yetkilileri tarafından iki nüsha imzalanır. Cevap yazısı, Evrak Kayıt Defterine kaydedilerek posta yoluyla başvuru sahibine iletilmek üzere muhaberata verilir.

Elektronik imza ile verilen yanıtlar elektronik imzalı olarak Şirket’in imza yetkilileri tarafından güvenli elektronik imza kullanılarak imzalanır. Cevap başvuru sahibinin elektronik posta hesabına gönderilir.

İlgili başvuruya ilişkin oluşan tüm kayıtlar, inceleme sonuçları, sorgulamalar, yazışmalar, Hukuk görüşleri ve cevaplar İrtibat Kişisi tarafından oluşturulan elektronik dizinde, yazılı belgeler arşivde saklanır.

10. Ücret

Şirket başvuruda yer alan talepleri ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, üst yönetimin onayı ile Kurul tarafından belirlenen aşağıdaki tarife uygulanabilir:

  • İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.
  • Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirket tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

Başvurunun, Şirket hatasından kaynaklanması hâlinde alınan ücret ilgili kişiye iade edilir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11. Maddesi uyarınca kişisel veri sahiplerine Kanun kapsamında bazı haklar tanınmıştır. Lütfen Kanun kapsamında haklarınızdan yararlanmak üzere, Kanun’un 13. maddesinin birinci fıkrası uyarınca veri sorumlusu olan Şirketimize ileteceğiniz taleplerinizi, işbu başvuru formunun açık ve tam bir şekilde doldurarak

  • ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile “BARBAROS MAHALLESİ SERİK CAD. A Apt. NO: 305 A/1 AKSU ANTALYA” adresine
  • 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzaladıktan sonra güvenli elektronik imzalı formun [email protected] adresine kayıtlı elektronik posta ile

iletiniz. Formu indirmek için burayı tıklayınız . Yaptığınız başvuruyu mümkün olan en kısa sürede ve en geç 30 gün içerisinde yanıtlandıracağız. Tarafımıza sunduğunuz bilgi ve belgelerin eksik olması veyahut anlaşılamaz olması halinde başvurunuzu netleştirmek amacıyla sizlerle iletişime geçeceğiz.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ

GERÇEK KİŞİ İŞ ORTAĞI / TEDARİKÇİ ve

TÜZEL KİŞİ İŞ ORTAĞI / TEDARİKÇİ’NİN GERÇEK KİŞİ YETKİSİLİ ve ÇALIŞANI

Bu açıklama, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereğince, sizi bilgilendirmek amacıyla yapılmaktadır.İşbu Aydınlatma Metni kapsamında yer alan hususlara ilişkin detaylı bilgilere Kişisel Verilerin Korunması ve İşlenmesi Politikasından erişebilirsiniz.

Kanun kapsamında;

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı;

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;

Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik ve genetik verileri;

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen işlemleri ifade etmektedir.

  1. VERİ SORUMLUSU

Kişisel verileriniz veri sorumlusu sıfatıyla Anexservices Turizm Organizasyon Taşımacılık Ticaret Anonim Şirketi (Şirket)  tarafından, Kanun’da öngörülen usul ve esaslara uygun olarak, aşağıdaki ilkeler doğrultusunda ve bu metinde açıklanan amaçlar kapsamında işlenebilecek ve Kanun’un izin verdiği hallerde, işlendikleri amaçla sınırlı olarak aktarılabilecektir.

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2. Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
  1. İŞLENEN KİŞİSEL VERİLERİNİZ

Kimlik Bilgileri

Pasaport Seri-No, Veriliş Tarihi, Geçerlilik Tarihi, Ad-Soyad, Uyruğu, Doğum Tarihi, Yaşı, Medeni Durumu, Cinsiyeti

İletişim Bilgileri

Telefon numarası, E-posta adresi, Adresi

Finansal Bilgiler

Banka hesap numarası

Sistem Erişim Yetkilendirme Bilgileri

Sistem giriş-çıkış ve aktivite logları, kullanıcı adı- şifre, IP adresleri

Görsel/İşitsel Bilgiler

Nüfus cüzdanı/ehliyet suretinde yer alan fotoğraflar

Diğer

Eğitmen özgeçmişleri,… .

  1. Kişisel Verilerin Toplama Yöntemi ve Hukuki Sebepleri

Kişisel verileriniz, otomatik ya da ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle, grup şirketlerimiz tarafından veya tarafınızdan iletilen bilgi ve belgeler ve benzeri kanallarla sözlü, yazılı ya da elektronik olarak toplanabilecektir.

  • Kişisel verileriniz, Kanun’un 5(1) maddesi doğrultusunda açık rızanıza istinaden; 5(2) maddesinde belirtilen ve aşağıda yer verilen durumların varlığı halinde açık rızanız aranmaksızın işlenebilmektedir.
  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileriniz Kanun’un 6(2) maddesi doğrultusunda açık rızanıza istinaden işlenebilmektedir.
  • Sağlık ve cinsel hayata ilişkin kişisel verileriniz ise Şirket’imiz tarafından işlenmemektedir.
  • Açık rızanız bulunmaması halinde, sağlık ve cinsel hayata ilişkin kişisel verileriniz ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
  1. Kişisel Verilerin İşlenme Amacı

Toplanan kişisel verileriniz, Kanun’un 5. ve 6. maddelerinde belirtilen işleme şartlarına uygun olarak aşağıda sayılan amaçlar dahilinde işlenecektir:

  • Yürütülen faaliyetler kapsamında tabii olunan tüm mevzuatlar gereği hukuki sorumluluklarımızın yerine getirilmesi ve yürürlükteki mevzuattan doğan haklarımızın kullanılabilmesi,
  • İlgili mevzuat hükümleri doğrultusunda bilgi ve belge almaya yetkili kamu/özel kurum ve kuruluşlarına mevzuattan kaynaklı bilgi verilmesi,
  • Ürün ve hizmetlerin planlaması, satış ve organizasyonuna ilişkin süreçlerin tesisi ve yönetimi,
  • Sözleşme süreçlerinin ve/veya hukuki işlemlerin yürütülmesi,
  • İş Faaliyetlerinin Yürütülmesi/Denetimi
  • Grup şirketleri, iş ortakları ve tedarikçilerle olan ilişkilerin ve süreçlerin yönetimi,
  • Dış kaynaklı olarak temin edilen hizmetlere ilişkin süreçlerin yönetimi,
  • Lojistik faaliyetlerinin yürütülmesi,
  • Mal/Hizmet satın alım süreçlerinin yürütülmesi,
  • Mal/Hizmet satış sonrası destek hizmetlerinin yürütülmesi,
  • Mal/Hizmet satış süreçlerinin yürütülmesi,
  • Müşteri ilişkileri ve müşteri memnuniyeti süreçlerinin yönetimi,
  • Kurumsal yönetim faaliyetlerin planlanması ve icrası,
  • Finans ve muhasebe işlerinin yürütülmesi,
  • Operasyon süreçlerinin yürütülmesi,
  • Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerin fiziki, hukuki ve ticari güvenliğinin temini,
  • Risk yönetimi, denetim ve kontrol faaliyetlerinin icrası,
  • İş sürekliliği ve bilgi güvenliği süreçlerinin yönetimi,
  • İşlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi.

Kanun’un 5(2) ve 6(3) maddelerinde belirtilen kişisel veri işleme şartlarının karşılanmadığı hallerde kişisel verileriniz, işbu aydınlatma metni ile tarafınıza yaptığımız bilgilendirme doğrultusunda ve “Kişisel Verilerin İşlenmesine İlişkin Açık Rıza Beyanı” metnini imzalamanız suretiyle alınan açık rızanıza istinaden işlenebilecektir.

  1. Kişisel Verilerin AktarıMI

Kişisel verileriniz, yukarıda belirtilen süreç̧ ve amaçların gerçekleştirilebilmesi amacıyla açık rızanıza istinaden veya bu metnin 3. maddesinde yer verilen durumların varlığı halinde açık rızanız alınmaksızın; sözleşmelerin kurulması ve ifası, hukuki yükümlülüklerimizin yerine getirilmesi, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatimiz için zorunlu olması ve kanunen yetkili kurum ve kuruluşlara bilgi verilmesi hukuki sebeplerine dayanılarak aşağıdaki alıcı gruplarına, belirtilen amaçlarla aktarılabilecektir.

Veri Aktarılabilecek Taraflar

Aktarım Amaçları

Yetkili Kamu Kurum ve Kuruluşları

Yetkili kamu kurum ve kuruluşları ile özel hukuk kişilerinin hukuki yetkisi dahilinde bilgi-belge talebinin karşılanması.

Özel Hukuk Tüzel Kişileri

Özel hukuk kişilerinin hukuki yetkisi dahilinde bilgi-belge paylaşımı

Hissedarlar/Ortaklar

Şirketler hukuku, ticari faaliyetler, etkinlik yönetimi ve kurumsal iletişim süreçlerinin yürütülmesi.

Şirket Yetkilileri

Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, uygulanması ve yönetimi; izleme, risk yönetimi ve denetim faaliyetlerinin yürütülmesi.

Grup Şirketleri

Grup şirketlerinin de katılımını gerektiren süreçlerin, ticari faaliyetlerin ve süreçlerinin yürütülmesi.

Kişisel verileriniz, açık rıza temini suretiyle veya bu metnin 3. maddesinde öngörülen durumların varlığı halinde, açık rıza temin edilmeksizin ve Kanun’un 9. maddesi uyarınca, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından tespit edilecek yeterli korumaya sahip yabancı ülkeler ilan edildikten sonra, sadece bu ülkelerde yerleşik kişi ve kuruluşlara, yeterli korumanın bulunmadığı tespit ve ilan edilen ülkeler için ise, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve ilgili aktarım açısından Kurul’un izninin temin edilebildiği hallerle sınırlı olmak kaydıyla yurt dışına aktarılabilecektir.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir.

Kişisel verileriniz, ancak resmi makamlarca talep edilmesi halinde ve yürürlükteki emredici mevzuat hükümleri gereğince açıklama yapmak zorunda olunduğu durumlarda resmi makamlara açıklanır.

Şirketimiz, kişisel bilgilerinizi, bu amaçlar, kapsam ve faaliyetleri dışında hiçbir amaçla kullanmamakta ve satmamaktadır.

Kişisel verilerinizin hukuka aykırı olarak işlenmesinin ve verilerinize hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerinizin güvenli bir şekilde muhafaza edilmesi amacıyla her türlü gerekli teknik ve idari tedbir tarafımızdan alınmaktadır.

  1. Kanun Kapsamındaki Haklarınız Nelerdir?

Kanun’un 11. Maddesi kapsamında dilediğiniz zaman Şirketimize başvurarak kişisel verilerinizin;

  • İşlenip işlenmediğini, işlenme amacını ve amacına uygun kullanıp kullanılmadığı öğrenebilir ve işlenmiş ise bu konuda bilgi talep edebilir;
  • Kanun’a uygun olarak yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenebilir;
  • Eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteyebilir;
  • Kanun’da öngörülen şartlar çerçevesinde silinmesini ya da yok edilmesini talep edebilir;
  • Düzeltilmesi, silinmesi ya da yok edilmesi taleplerinizin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteyebilir;
  • Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz edebilir;
  • Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep edebilirsiniz.

Kanun’un uygulanması ile ilgili haklarınızı kullanmak için Şirketimize http://www.anexservices.com.tr adresinde yer verilen “Veri Sahibi Başvuru Formu” nu doldurarak başvurabilir ve söz konusu başvuruyu aşağıda belirtilen yöntemlerle gönderebilirsiniz. Kişisel Verileri Koruma Kurulu tarafından yeni başvuru yöntemleri belirlenmesi halinde, bu yöntemler tarafımızdan duyurulacaktır.

  • Veri Sahibi Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile “ Barbaros Mah. Serik Cad. No: 305 A/1 Aksu Antalya” adresine iletilmesi.
  • Veri Sahibi Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun [email protected] adresine kayıtlı elektronik posta ile gönderilmesi.

Bu kapsamda yapacağınız başvurular mümkün olan en kısa zaman diliminde ve en çok 30 gün içerisinde sonuçlandırılacaktır. Söz konusu başvurular şu an için ücretsizdir. Ancak Kişisel Verileri Koruma Kurulu’nun ücret tarifesi belirlemesi durumunda, bu tarifeye uygun olarak ücretlendirme yapılabilecektir.

  1. Kişisel Veri Saklama Süresi

Kişisel verileriniz, yukarıdaki amaçlar doğrultusunda işlenmesi gereken süre kadar saklanır işlenmesini gerektiren sebeplerin ortadan kalkması halinde veya mevzuat uyarınca verilerinizin işlenmesi için zorunlu kılınan süreler dolduğunda, Şirketimiz tarafından resen en geç altı aylık periyotlarda veya talebiniz üzerine en geç otuz gün içinde silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerinizin silinmesi, söz konusu verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Şirketimiz organizasyonu içerisinde veya Şirketimizden aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerinizin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerinizin anonim hale getirilmiş olması için; bu verilerin, geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir.

Kişisel verilerinizin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar gerektiğinde ilgili Bakanlığa sunulmak üzere işlem tarihinden itibaren 3 yıl saklanır.

  1. Kişisel Verilerin Güncel ve Doğru Tutulması

Şirketimiz Kanun kapsamında uyarınca kişisel verilerinizi doğru ve güncel olarak tutmakla yükümlüdür. Verilerinizin doğru olmaması veya herhangi bir surette değişikliğe uğraması halinde bizimle iletişime geçerek verilerinizi güncellemenizi rica ederiz.

Bilgilerinize saygılarımızla sunarız.

ANEXSERVİCES TURİZM ORGANİZASYON

TAŞIMACILIK TİCARET ANONİM ŞİRKETİ

ADRES : Soğucaksu Mah. Susam Sok. No:3 Aksu Antalya

MERSİS NO : 0764038778500017

TİCARET SİCİL NO : 83427

VERGİ DAİRESİ : Antalya Kurumlar V.D.

VERGİ NUMARASI : 7640387785

This statement is made in order to inform you in accordance with the Law on the Protection of Personal Data, numbered 6698 (the Law), by Anex Services Turizm Organizasyon Taşımacılık Ticaret Anonim Şirketi (the Company). You can have access to detailed information concerning the matters included in this Clarification Document via ‘‘the Policy of Protecting and Processing Personal Data’’ included in the following address www.anexservices.com.tr.

Within the scope of Law;

Explicit consent: means the consent that is based on being informed about a certain matter and given through free will;

Personal Data: means all kinds of information about a natural person whose identity is clear or can be defined;

Sensitive Personal Data: means data regarding race, ethnic origin, political opinion, philosophical belief, religion, denomination, other beliefs, fashion, association, foundation or union membership, health, sexual life, conviction and security measures, biometrical and genetic information;

Processing of Personal Data: means the processes carried out on data in order to prevent procurement, recording, storage, alteration, redeployment, disclosure, transfer, take-over, making obtainable, classification or utilization of personal data by means of fully or partially automated means or manually by being part of any data recording system.

  1. PERSONAL DATA PROCESSED

    The personal data that are processed by our Company are categorized as following:

    • Identity Information (Such as the information presented in identity card, driver license and passport)
    • Contact Information (Address, e-mail address, phone number, KEP address etc.)
    • Location Information
    • Employees’ personal information (payroll information, disciplinary proceeding, records of employment and termination of employment documents, Information on the declaration of property, information on curriculum vitae, information on performance evaluation, information on leaves etc.)
    • Information on Legal Procedures (Information in correspondence with judicial authorities, information in the lawsuit file etc.)
    • Information on Customer Transactions (Records, requests, instructions etc. related to goods and service offers)
    • Physical Space and Security Information (Record information with respect to entrances and exits of employees and visitors to and from the workplace, camera records etc.)
    • Process Security (IP address, web-site log in and log out information, password information etc.)
    • Risk Management (certificate of authority, specimen signature and information processed in order to manage commercial, technical and administrative risks)
    • Financial Information (balance sheet, financial performance, bank account information etc.)
    • Information on Occupational Experience (diploma information, courses received, vocational training, certificates etc.)
    • Marketing Information (information on the shopping history, records of surveys and cookies, information received through campaign activities)
    • Visual/Audio Information
    • Sensitive Personal Data (Criminal record; information regarding the state of health; religious affinity; information regarding penal conviction; racial data)
    • Other Information (information regarding the usages of vehicle that belongs to the Company; vehicle tracking system data; traffic fines; accident reports; occupation accident reports; vehicle possession documents; etc.)
  1. THE PURPOSE OF PROCESSING PERSONAL DATA
    1. To comply with the law and the principles of straightforwardness;
    2. To be accurate and up-to-date whenever necessary;
    3. To be processed for certain, obvious and legal purposes;
    4. To be connected, limited and restrained with the objectives of processing;
    5. To be stored as long as the period stipulated by the relevant legislation or required for the purposes of processing.

    Your personal data will be processed in accordance with the above given principles within the scope of purposes listed below as per the 4th, 5th and 6th clauses of the Law:

    • Fulfilling the management and activities of our company in accordance with the legislation and company policies and procedures;
    • Fulfilling the liabilities that are assumed through the execution of Agreement, product and service conditions fully and accurately;
    • Complying with the legal liabilities;
    • Putting up the products and services offered by our Company for sale;
    • Establishing and maintaining the communication between supplier, business partners, external service providers and customers;
    • Executing the policies and processes of Human Resources;
    • Planning and implementing the information security and business continuity processes;
    • Procuring the physical, legal and commercial security of the Company, personnel, customers and other persons who are in a business relationship with the Company;
    • Carrying out the marketing analysis activities;
    • Carrying out communication and marketing activities;
    • Management of the employee and customer satisfaction;
    • Carrying out finance, accounting and operation processes;
    • Management of organizations and events;
    • Carrying out quality control processes through audit and execution of risk management activities;
    • Planning and conducting intracompany/external training activities;
    • Planning and conducting operational activities required for ensuring the execution of company activities in compliance with company procedures and/or relevant legislation;
    • Ensuring the security of company premises and facilities by means of generating and following up the visitor records;
    • Follow up of legal processes;
    • Informing the authorized persons, organizations and institutions.

    Our company never use or sell your personal data for no purpose other than the above-listed purposes and its scope and activities. All kinds of technical and administrative precautions are taken by our Company in order to prevent your personal data to be processed or accessed illicitly and to ensure that your personal data are safely stored.

    You can have access to detailed information concerning the reasons why your personal data are processed by our Company through ‘‘The Policy of Protecting and Processing Personal Data’’ which is given in the following web-page: www.anexservices.com.tr

  1. TRANSFER OF PERSONAL DATA

    Your personal data may be transferred to our business partners, suppliers, shareholders, company officials, Group Companies/ shareholders/ authorized persons, 3rd persons/institutions, which are required to gather your personal data because of the purpose of processing your personal data or to which to which we provide services and have an agreement, and public institutions and organizations which are legally authorized and legal persons of the private law, with respect to your explicit consent in order to fulfil the abovementioned process and objectives or even without seeking for your explicit consent in the cases written down in the second subparagraph of 5th clause of the Personal Data Protection Law ( a) in the cases it is explicitly stipulated by relevant laws, b) it is obligatory to protect the life or physical integrity of the person or someone else who is in a condition of expressing his/her consent due to physical impossibility or whose consent does not gain legal validity, c) it is necessary to process personal data owned by the parties of a contract on the condition that it is directly related with concluding or execution of a contract, d) it is made public by the relevant person through her/his own free will, e) it is mandatory to process data in order to establish, exercise or protect a right and f) it is obligatory to process data for the legitimate interests of data supervisor provided that fundamental rights and freedoms of the related person are not harmed.) and personal data regarding health and sexual life expressed in the third paragraph of the 6th clause may be transferred by the persons and authorized institutions and organizations who/which are under confidentiality obligation provided that the required measures are taken only in order to ensure public health and to render services like preventive medicine, medical diagnosis, treatment and care and to plan and administer health services and financing and for the below-listed purposes:

    • Meeting information-document demand within the scope of legal authority of authorized state institutions and organizations and private law persons;
    • Execution of corporate law, commercial activities, activity management and corporate communication processes;
    • Planning, implementation and management of strategies regarding commercial activities of the Company; execution of monitoring, risk management and audit activities;
    • Execution of processes, commercial activities and customer complaint/lawsuit processes which require participation of group companies;
    • Managing the processes regarding goods and services that are procured extraneously and getting support, audit and consultancy services;
    • Fulfilling the objectives of establishing the business partnership and customer services.

    You can have access to detailed information concerning the transfer of your personal data by our Company through ‘‘The Policy of Protecting and Processing Personal Data’’ which is given in the following web-page: www.anexservices.com.tr

  1. THE METHOD OF DATA GATHERING AND LEGAL REASONS

    Your personal data may be gathered by our group companies, business partners and 3rd persons/institutions, which are required to gather your personal data because of the purpose of processing your personal data or to which to which we provide services and have an agreement, either automatically or manually as being a part of data recording system or through documents and information that you submit verbally, electronically or in writing.

    4.1 Your personal data may be processed with respect to your explicit consent pursuant to 5(1) clause of the Law but, without seeking for your explicit consent if the following conditions, specified in 5(2) clause of the Law, exist:

    1. It is clearly stipulated by Laws.
    2. It is obligatory to protect the life or physical integrity of the person or someone else who is in a condition of expressing his/her consent due to physical impossibility or whose consent does not gain legal validity.
    3. It is necessary to process personal data owned by the parties of a contract on the condition that it is directly related with concluding or execution of a contract
    4. It is required in order to enable data supervisor to perform her/his obligations.
    5. It is made public by the relevant person through her/his own free will.
    6. It is mandatory to process data in order to establish, exercise or protect a right.
    7. It is obligatory to process data for the legitimate interests of data supervisor provided that fundamental rights and freedoms of the related person are not harmed.

    4.2 Your sensitive personal data other than health and sexual life can be processed with regard to your explicit consent in accordance with the clause 6(2) of Law or in the cases stipulated in the Laws in accordance with the clause 6(3).

    4.3 Your sensitive personal data concerning health and sexual life may be processed with regard to your explicit consent in accordance with the clause 6(2) of Law. In the event that you did not give your explicit consent, you sensitive personal data concerning health and sexual life may be processed only by the persons and authorized institutions and organizations who/which are under confidentiality obligation in order to ensure public health and to render services like preventive medicine, medical diagnosis, treatment and care and to plan and administer health services and financing.

  1. YOUR RIGHTs WITHIN THE SCOPE OF LAW

    Pursuant to 11th clause of the Law, you can apply to our Company regarding your personal data in order to:

    • Learn whether your personal data are processed or not and whether your personal data are used according to declared purposes or not and learn the reason why your data are processed and demand information regarding processing your personal data in case it is processed;
    • Learn the third parties to whom your data are transferred within the borders of our country or abroad pursuant to Law;
    • Ask for correction in case your data are processed deficiently or improperly;
    • Request your personal data to be erased or destroyed within the frame of provisions stipulated by the Law;
    • Ask our Company to notify the third parties, to whom your personal data are transferred, regarding your request to correct, erase or destroy your personal data;
    • Object to any negative consequence that you face due to the fact that your personal data are exclusively analysed through automated systems;
    • Demand to be indemnified in case you suffer a loss since your personal data are processed illegally.

    In order to exercise your rights concerning implementation of the Law, you can apply to our Company by filling ‘‘Data Owner Application Form’’ which is provided in the following address: www.anexservices.com.tr and send this application form via the method, specified below. In case any new application method is defined by the Board of Protection of Personal Data, such methods will be announced by us.

    • Delivering a copy of the Application Form bearing the wet signature in person by hand or through public notary to the address of “Barbaros Mah. Serik Cad No:305A/1 Aksu/ANTALYA” after the Data Owner Application Form is filled out.
    • Sending the Data Owner Application Form bearing a secure electronic signature to [email protected] via registered electronic mail after the Application Form is filled out and signed by means of ‘‘secure electronic signature’’ within the scope of Electronic Signature Act numbered 5070.

    Your applications within this scope will be finalized as soon as possible and maximum within 30 days. Such applications are free of charge for now. However, in case that The Board of Protection of Personal Data designates a fee then, a fee can be charged in compliance with this tariff.

    The following information shall be included in the Application pursuant to legislation and in case of any deficiency your application will not be put into process. Accordingly, the following information shall accompany the information regarding your request in your applications:

    1. Your name, surname and your signature if it is a printed copy;
    2. Republic of Turkey Identity Number for the citizens of Republic of Turkey and nationality, passport number or identity number for foreigners;
    3. Residence address or workplace address used for the correspondence;
    4. Electronic mail address, phone and fax number used for the correspondence;
    5. The request matter shall be explicitly stated.

    Respectfully submitted for your information.

    ANEX SERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET A.Ş.
    ADDRESS : BARBAROS MAHALLESİ SERİK CAD. A Apt. NO: 305 A/1 AKSU ANTALYA
    CENTRAL REGISTRATION SYSTEM NO : 0764038778500017
    TRADE REGISTRATION NO : 83427
    TAX OFFICE : Antalya Kurumlar V.D.
    TAX IDENTIFICATION NUMBER : 7640387785

DOCUMENT CODE

:

GM-P002

APPROVED BY 

BOARD OF DIRECTORS

DATE OF APPROVAL

:

05/01/2019

LAST REVISION DATE

:

00/0000

VERSION NO

:

01

RELATED DOCUMENTS

:

Personal Transactions Protection and Processing Policy

Processing of Sensitive Personal Data Policy

Personal Data Protection and Processing Enlightenment Text

CONTENTS

   

1. PURPOSE. 2

2. SCOPE. 3

3. RESPONSIBILITY. 3

4. DEFINITIONS. 3

5. RECORDING MEDIUMS. 5

6. LEGAL, TECHNICAL OR OTHER REASONS THAT REQUIRE THE RETENTION AND DESTRUCTION OF PERSONAL DATA. 5

7. MEASURES TO PROTECT PERSONAL DATA AND PREVENT İLLEGAL PROCESSİNG AND İLLEGAL ACCESS. 6

7.1      ADMINISTRATIVE MEASURES. 7

7.2      TECHNICAL MEASURES. 7

8. MEASURES TAKEN FOR LAWFUL DESTRUCTION PERSONAL DATA. 8

8.1.     DELETION OF PERSONAL DATA. 8

8.2.     DESTRUCTION OF PERSONAL DATA. 9

8.3.     ANONYMIZATON OF PERSONAL DATA. 10

8.3.1   Anonymization Methods That Do Not Provide Value Irregularity: 11

8.3.2   Anonymization Methods That    Provide Value Irregularity: 11

8.3.3   Statistical Methods to Strengthen Anonymization: 11

9. PERSONNEL INVOLVED IN PERSONAL DATA RETENTION AND DESTRUCTION PROCESSES. 11

10.      PERSONAL DATA RETENTION AND DESTRUCTION TIMES. 12

10.1   DELETION, DESTRUCTION OR ANOYNMIZATION EX OFFICIO TIMES. 13

10.2    DELETION AND DESTRUCTION TIMES OF PERSONAL DATA UPON REQUEST OF THE PERSON CONCERNED.. 13

ANNEX 1 PERSONNEL INVOLVED IN PERSONAL DATA RETENTION AND DESTRUCTION PROCESSES. 13

  1. PURPOSE

The purpose of this policy is to define the procedures and principles, internal controls and precautions, operating rules and responsibilities regarding the retention and destruction of the ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Company) for the maximum time necessary for the purpose for which the personal data are processed in accordance to the Turkish Personal Data Protection Law no. 6698 (Law).

In line with the mission, vision and basic principles of the Strategic Plan, the company has adopted as a priority the processing of data of employees, employee candidates, service providers, visitors and other third parties in accordance with Turkish Basic Law, International Agreements, Turkish Personal Data Protection Law no. 6698 (Law) and other related consents and to effectively exercise the rights of the data owners. The work and procedures regarding the retention and destruction of personal data are carried out by the company in accordance with the Policy prepared in this policy.

  1. SCOPE

These policy provisions are applied to customers, visitors, employees, employee candidates, shareholders, natural person authorities, shareholders, employees of the companies with which the Company has commercial relations (group companies, partners, suppliers, consultancies, etc.) and family members of data owners,  whose personal data are processed by the Company in whole or in part, or non-automated provided that it is part of any data recording system. This policy has been prepared in accordance with the Company's "Personal Data Inventory".

  1. RESPONSIBILITY

This policy has been approved and implemented by the Company’s Board of Directors. Within the framework of the policy, all activities to be carried out in the company and the measures to be taken are defined by the appropriate procedures. The Company's management is responsible for preparing, updating and implementing these procedures.

All Company employees are responsible for performing their duties in accordance with this policy and all relevant procedures and regulations.

  1. DEFINITIONS

The important definitions in this policy are listed below.

Recipient Group

The category of natural or legal persons to whom personal data is transferred by the data controller.

Cloud Environments / Systems

Systems where data such as Office 365, Salesforce, Dropbox can be stored and accessed on the internet.

Direct identifiers

Identifiers that directly reveal, disclose and distinguish the person they are in contact with.

Indirect identifiers

Identifiers that come together with other identifiers to reveal, disclose and distinguish the person they are in contact with.

Data owner 

Natural person whose personal data are processed.

Related user

Persons who process personal data within the organization of the data controller or in accordance with the authorization and instruction received from the data controller, with the exception of the person or unit responsible for the technical retention, protection and backup of the data.

Destruction

Deletion, Destruction, and Anonymization of Personal Data.

Law

Turkish Personal Data Protection Law no. 6698.

Blackout 

Procedures such as scratching, painting and icing all of the personal data so that they cannot be associated with an identified or identifiable natural person.

Recording Medium

Any medium in which personal data are processed, which are fully or partially automated, or processed in non-automated ways, provided that they are part of any data recording system.

Personal Data

Any information relating to an identified or identifiable natural person;

Personal Data Processing Inventory

Inventory in which are described and detailed; personal data processing activities carried out depending on the business processes of data officers; personal data processing purposes, data category, transferred recipient group and the maximum amount of time required for the purposes for which the personal data is created and associated with the data owner group, personal data foreseen to be transferred to foreign countries and data security measures.

Processing of personal data

Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.

Deletion of personal data

Making personal data inaccessible and unusable to relevant users in any way.

Destruction of personal data

Making personal data inaccessible, retrievable and reusable by anyone.

Anonymization of personal data

Making personal data unrelated to an identified or identifiable natural person under any circumstances, even by matching with other data.

Board

The Board of Protection of Personal Data.

Authority

The Authority of Protection of Personal Data.

Magnetic Tape

Media that stores the data with the help of micro magnet pieces on the flexible tape

Magnetic Disc

Media that stores data with the help of micro-magnet pieces on flexible (plate) or fixed media

Masking

Operations such as deletion, scratching, painting and starring certain areas of personal data in such a way that they cannot be associated with a specific or identifiable natural person.

Periodic destruction

In the event that all the conditions in the law for processing personal data disappear, the deletion, destruction or anonymisation will be carried out ex officio at regular intervals, as specified in the Personal Data Retention and Destruction Policy.

Data processor

Natural or legal person who processes personal data based on the authority granted by and on behalf of the data controller.

Data recording system

Any recording system through which personal data are processed by structuring according to specific criteria.

Data controller

Natural or legal person who determines the purposes and means of the processing of personal data, and who is responsible for establishment and management of the filing system.

  1. RECORDING MEDIUM

The personal data of the data owners are stored securely in the following recording mediums organized by the Company in accordance with the relevant legislation, in particular the provisions of the Law, and within the framework of data security principles:

  1. Cloud 
  2. Paper medium
  3. Central servers
  4. Databases
  5. Hard Drives
  1. LEGAL, TECHNICAL OR OTHER REASONS THAT REQUIRE THE RETENTION AND DESTRUCTION OF PERSONAL DATA      

Personal data collected by the Company are processed within the scope of the purposes set out in the Personal Data Protection and Processing Policy in accordance with the processing conditions specified in Articles 5 and 6 of the Law and stored for the following purposes:

  • Management of the company, performing and auditing the activities in accordance with the law, Company strategies, policies and procedures,
  • Implementing human resources policies; planning and execution of human resources processes,
  • Planning and implementation of information security processes,
  • Ensuring the physical, legal and commercial security of the Company, its personnel and those who have a business relationship with the Company,
  • Planning and implementation of corporate communication and marketing activities,
  • Fulfilling legal obligations and exercising the rights arising from the legislation in force, as required or obligated by legal regulations,
  • Execution of works and transactions within the framework of signed contracts and protocols,
  • Management of relations with group companies, business partners and suppliers,
  • Providing communication with real / legal persons in business relationship,
  • Arrangement of all records and documents that will be based on transactions,
  • Legal reporting,
  • Providing legally authorized institutions and organizations with information arising from the legislation,
  • Fulfilment of the burden of proof as evidence in future legal disputes.

Personal data processed within the framework of the Company's activities, is stored for the period of retention envisaged under the laws given below:

  • Personal Data Protection Law No. 6698   
  • Turkish Commercial Code No. 6102,
  • Turkish Code of Obligations No. 6098,
  • Consumer Protection Law No. 6502 
  • Social Insurance and General Health Insurance Law No. 5510,
  • Law No. 5651 on the Arrangement of Broadcasts Made on the Internet and Combating Crimes Committed Through These Publications,
  • Occupational Health and Safety Law No. 6331,
  • Labour Law No. 4857,
  • Regulation on Health and Safety Measures to be Taken in Workplace Buildings and Additions,
  • Other relevant laws and secondary regulations

Although it has been processed in accordance with the provisions of the law and other relevant laws, in the event that the reasons requiring its processing disappear, the personal data is deleted, destructed or anonymized by the Company ex officio or upon the request of the person concerned.

Accordingly;

  • Amendment or removal of relevant legislation provisions that constitute the basis for processing personal data,
  • The contract between the parties has never been established, the contract is not valid, the contract is terminated spontaneously, the contract is terminated, or the contract is returned
  • The purpose that requires the processing of personal data disappears,
  • It is determined that processing personal data is against the law or honesty rule,
  • In cases where the processing of personal data occurs only based on explicit consent, the relevant person's withdrawal of his consent,
  • The Company's acceptance of the application of the relevant person regarding the processing of personal data within the framework of the rights in paragraph 11 (e) and (f) of Article 11 of the Law,
  • In cases where the company refuses the application made by the relevant person with the request of deletion or destruction of his personal data, the response he has given is insufficient or does not respond within the period stipulated by the Law; Complaints to the Board and this request is approved by the Board,
  • Although the maximum period requiring the retention of personal data has passed, there are no conditions that would justify keeping the personal data longer,
  • In the event of the disappearance of conditions requiring the processing of personal data in Articles 5 and 6 of the Law, personal data must be deleted, destructed or made anonymous.
  1. MEASURES TO PROTECT PERSONAL DATA AND PREVENT ILLEGAL PROCESSING AND ILLEGAL ACCESS         

Technical and administrative measures are taken by the Company to ensure the appropriate level of security in order to prevent and protect the personal data from being illegally processed and accessed; Necessary audits are provided to ensure the enforcement of the provisions of the law.

  1. ADMINISTRATIVE MEASURES
  1. By determining the probability of occurrence of the risks that may arise regarding the protection of personal data and the losses it will cause in case of occurrence, measures are taken to reduce or eliminate the risks.
  2. The duties, powers and responsibilities of the personnel involved in all processes and policies regarding the processing of personal data, ensuring the confidentiality and security and disposal are written down and made available to all personnel.
  3. Personnel are provided with the necessary trainings within the scope of processing, protection and data security of personal data.
  4. Keeping the policies and procedures up-to-date and providing the necessary training and informing the employees about the changes made are ensured.
  5. Within the scope of the recruitment process, provisions regarding the protection and confidentiality of personal data are added to the contracts signed between the employees and the Company and signed by the employee.
  6. By determining whether the processed personal data is still needed and stored in the right place, personal data retained for archival purposes will be kept in a more secure environment and unneeded personal data will be deleted, destructed or made anonymous in accordance with the Personal Data Retention and Destruction Policy.
  7. Access to the personal data stored within the company is restricted to the personnel required for access based on the duty description.
  8. If employees fail to comply with policies and procedures established and announced by the Company, sanctions will be imposed in accordance with the disciplinary process. 
  9. With regard to the disclosure of personal data, confidentiality agreements for the protection of personal data and data security are concluded with individuals and data processors or data protection provisions are added to existing agreements.
  10. within the framework of policies and procedures, regular checks are carried out for areas open to development, and necessary measures are planned and implemented.
  11. In order to ensure enforcement of the legal provisions, measures are planned for the confidentiality and security deficiencies resulting from the audits, and the findings are promptly remedied.
  12. If the processed personal data is obtained illegally from third parties, the data owner and the Management Board shall be informed as soon as possible.
  1. TECHNICAL MEASURES
  1. SSL connections, anti-virus and firewall software and hardware are used for the protection of information technology systems and data containing personal data.
  2. Unused software and services are deleted from the devices.
  3. The proper functioning of the software and hardware and the security measures taken are checked regularly; patch and software updates are provided to cover possible security gaps. Necessary precautions are taken by revealing risks, threats, weaknesses and openings, if any, for the company's information systems.
  4. Access to systems containing personal data is provided within the framework of access policies, user and role management procedures. The scope and duration of authorization of users who have access to data are clearly defined. Information Technology employees' access to personal data is kept under control.
  5. If remote access to the data is required, at least two-step authentication system is used.
  6. Authority checks are carried out periodically.
  7. The powers of the employees who change their duties or leave the job are revoked immediately. In this context, the inventory allocated to it by the Company is refunded.
  8. Technical infrastructure is provided to prevent or prevent data from leaking out of the institution.
  9. It is ensured that the log of transaction acts (log records) of all users are kept regularly.
  10. The system weaknesses are controlled by receiving penetration test services regularly and when the need arises.
  11. The medium and devices where personal data are stored are protected by taking physical security measures.
  12. To ensure that personal data is stored safely, data is backed up and physical security of all backups is ensured.
  13. Access to retention areas where personal data are stored is recorded and improper accesses or access attempts are kept under control.
  1. Personal data is ensured to be destructed in a way that cannot be recycled and leave an audit trail.
  2. Necessary measures are taken to make the deleted personal data inaccessible and reusable for the relevant users.
  3. Pursuant to Article 12 of the Law, all kinds of digital media where personal data are stored are protected by encrypted or crypto graphic methods in a way to provide information security requirements. Cryptographic keys are kept safe and in different mediums.
  4. During the storage and use of personal data in the cloud environment, encryption with cryptographic methods and using separate encryption keys where possible for personal data, especially for each cloud solution that is served; when the cloud computing service relationship ends; all copies of encryption keys required to make personal data available are destructed.
  5. If it is necessary to transfer personal data via e-mail, it is ensured that it is transferred with an encrypted corporate e-mail address or by using a Registered Electronic Mail (KEP) account.
  6. When it is necessary to transfer it via media such as Portable Memory, CD, DVD, it is encrypted with cryptographic methods and the cryptographic key is kept in different media.
  7. While transferring between servers in different physical environments is performed, data transfer is performed by installing VPN between servers or by SFTP method.
  8. Necessary precautions are taken against risks such as theft of documents, loss or being seen by unauthorized persons in the transfer of data via paper medium.
  1. MEASURES TAKEN FOR LAWFUL DESTRUCTION PERSONAL DATA
  1. DELETION OF PERSONAL DATA

Deletion of personal data is the process of making personal data inaccessible and reusable for the users concerned. All necessary technical and administrative measures are taken by the Company to make the deleted personal data inaccessible and reusable for the users concerned.

The process followed in the deletion of personal data is as follows:

  1. Identification of personal data that will be the subject of deletion.
  2. Identify relevant users for each personal data using the access authorization and control matrix or similar system.
  3. Identification of the authorities and methods of the relevant users such as access, retrieval and reuse.
  4. Closure and elimination of access, retrieval, reuse powers and methods of the relevant users within the scope of personal data.

Personal data are deleted by methods suitable for the recording media in which they are stored.

  1. Data in the cloud is deleted by issuing a delete command. It is ensured that the user is not authorized to retrieve deleted data on the cloud system. 
  2. Personal data on paper media is deleted using the blackout method. The blackout is done by truncating the personal data in the relevant documents whenever possible and making them invisible to the relevant users with solid ink so that they cannot be returned and read with technical solutions.
  3. Office files on the central server are deleted with the delete command in the operating system, or the access rights of the respective user are removed from the directory in which the file is located. It is ensured that the user performing this operation is a different person than the database administrator.
  4. Personal data on flash-based storage media is stored in encrypted form and deleted using software suitable for these media.
  5. The personal data stored in the databases are deleted with the database commands (Delete) of the corresponding lines. It is ensured that the user performing this operation is a different person than the database administrator.
  1. DESTRUCTION OF PERSONAL DATA

The destruction of personal data is to make the data inaccessible, retrievable and reusable for anyone. All necessary technical and administrative measures to destruct personal data are taken by the Company.

In order to destruct personal data, all copies of the data will be recognised and will be destructed in the following manner, one after the other, depending on the nature of the systems on which the data are available:

  1. The following methods are used to destruct data on local systems:
  • Demagnetize: The process of unacceptable falsification of the data on it by directing the magnetic media through a special device into a strong magnetic field.
  • Physical destruction: The process of melting, burning or pulverizing optical and magnetic media.
  • Overwrite: The process of preventing the recovery of old data by writing random data consisting of 0 and 1 at least seven times to magnetic media and rewritable optical media using special software.
  1. The following methods are used to destruct data on environmental systems:
  • Network devices (switch, router etc.): They are destructed by using one or more of the appropriate methods specified in (a).
  • Flash-based environments: Flash-based hard drives with ATA (SATA, PATA etc.), SCSI (SCSI Express etc.) interface are destructed by using the <block erase> command if supported, if it is not supported, it is destructed by using the method of disposal proposed by the manufacturer or by using one or more of the appropriate methods specified in (a).
  • Magnetic tape: They are destructed by exposure to very strong magnetic environments and demagnetizing or by physical destruction methods such as burning and melting.
  • Units such as magnetic disc: They are destructed by exposing it to very strong magnetic environments by demagnetizing or physical destruction methods such as burning and melting.
  • Mobile phones (Sim cards and fixed memory areas): They are destructed by using one or more of the appropriate methods specified in a).
  • Optical discs (CD, DVD etc.): They are destructed by physical destruction methods such as burning, breaking into small pieces, melting.
  • • Peripherals such as printer, fingerprint door access system, which can be removed from the data recording medium: By verifying that all data recording media are removed, they are destructed by using one or more of the appropriate methods specified in (a).
  • Peripherals such as printer with fixed data recording environment, fingerprint door access system: they are destructed by using one or more of the appropriate methods specified in (a).
  1. Since the personal data in the paper and microfiche media are permanently and physically written on the media, the main media is to be destructed. During this process, the data is divided with paper destroying or cutting machines, horizontally and vertically into small pieces of incomprehensible size that cannot be combined. Personal data transferred by scanning from the original paper format to the electronic medium is demagnetized, physically destroyed according to the electronic medium on which it is located, and methods such as overwriting are destructed using one or more methods.
  1. For the personal data contained in the Cloud, upon termination of the Cloud Computing Service relationship, all copies of the encryption keys required to provide the personal data will be destructed.
  1. The destruction of personal data in devices which are malfunctioning or sent for maintenance is done as follows:
  • Personal data are destructed by using one or more of the appropriate methods specified in (a), before they are disclosed to third parties such as manufacturers, vendors, maintenance service, repair,
  • In cases where destruction is not possible or appropriate, the data carrier will be removed and stored and other defective parts will be sent to third parties such as manufacturers, vendors, service providers,
  • It shall be ensured that the necessary measures are taken to prevent personal data from being copied by the personnel responsible for maintenance, repair and outside personnel.
  1. ANONYMIZATION OF PERSONAL DATA

When personal data is made anonymous, personal data is under no circumstances associated with an identified or identifiable natural person, even if it is compared with other data. Anonymisation means that all direct and/or indirect identifiers in a data set are removed or changed in order to prevent the identity of the data owner from being identified or from losing their distinction in a group or set in a way that cannot be attributed to any natural person. Data that does not indicate a specific person due to the blocking or loss of these functions is considered anonymous data.

In determining the anonymisation methods to be used by the company, taking into account the following characteristics of the data set, one of the methods contained in the guidelines published by the Authority on the deletion, destruction or anonymisation of personal data shall be used:

  • nature of the data,
  • size of the data,
  • structure of data in physical environments,
  • data diversity,
  • the purpose of the processing requested from the data,
  • frequency of data processing
  • reliability of the party to whom the data is transferred,
  • effort to make the data anonymous makes sense. 
  • extent and scope of the damage that may be caused if the anonymity of the data is compromised,
  • the distribution, centrality ratio of the data,
  • control of the users via access authorization to the relevant data,
  • probability that his effort to construct and implement an attack that would disrupt anonymity would be meaningful.
  1. Anonymization Methods That Do Not Provide Value Irregularity:

• Extracting Variables

• Extracting Records

• Regional Hiding

• Generalization

• Lower and Upper Limit Coding

• Global Coding

• Sampling

• Masking

• Aggregation / Creating Cumulative Data

  1. Anonymization Methods That Do Not Provide Value Irregularity:

• Micro Joining

• Data Exchange

• Add Noise

  1. Statistical Methods to Strengthen Anonymization: 

• K-Anonymity

• L-Diversity

• T-Proximity

  1. PERSONNEL INVOLVED IN PERSONAL DATA RETENTION AND DESTRUCTION PROCESSES    

All units and employees of the Company, who are involved in the processing, retention and destruction of personal data, are responsible for the fulfilment of this Policy requirements, the proper implementation of the technical and administrative measures taken under the Policy, and for storing and protecting the data they produce in their own business processes.

Regular destruction that affects business processes and leads to data integrity, data loss and results that are contrary to legal requirements is carried out by the Information Technology Department, taking into account the nature of personal data, the systems in which it is stored and the business unit that owns the data.

The titles, units and job descriptions of those involved in the retention and destruction of personal data are included in the annex of this Policy.

  1. PERSONAL DELATION, DESTUCTION OR ANOYNMIZATION EX OFFICIO TIMES

The table showing the time of retention and destruction of personal data at the company is given below:

Data category

Maximum retention time

Destruction time

Identity, Communication, Professional Experience, Personal, Financial, Visual and Audio Information, Risk Management, Disability, Criminal Record Registration Information of Employee

10 years after the end of the business relationship

Within 180 days after the end of the retention period

Health Information of Employee

15 years after the end of the business relationship

Within 180 days after the end of the retention period

Transaction / Information Security Data of Employee

2 years after the end of the business relationship

Within 180 days after the end of the retention period

Vehicle Data of Employee

During the business relationship

Within 180 days after the end of the business relationship

Location Data of Employee

1 year

Within 180 days after the end of the retention period

Identity, Communication, Professional Experience, Personal, Visual and Audio Information of Employee Candidate

2 years

Within 180 days after the end of the retention period

Identity, Communication, Financial, Risk Management, Legal Proceedings, Visual and Audio Information, Criminal Record Registration, Personal Information, Customer Transaction Information of Company Partner

10 years after the end of the business relationship

Within 180 days after the end of the retention period

Identity, Communication, Financial, Visual and Audio, Risk Management Information of Supplier Authority/Employee

10 years after the end of the business relationship

Within 180 days after the end of the retention period

Transaction Safety Information of Supplier Authority/Employee

10 years after the end of the business relationship

Within 180 days after the end of the business relationship

Transaction Safety Information of Visitors

2 years

Within 180 days after the end of the retention period

Identity Information of Visitors

1 year

Within 180 days after the end of the retention period

Physical Space Security Information

2 months

Within 180 days after the end of the retention period

Identity, Communication, Customer Transaction Information of The Person Receiving The Product / Service

10 years after the end of the business relationship

Within 180 days after the end of the retention period

Visual and Audio Information of The Person Receiving The Product/Service (in-vehicle security cameras)

40 days

Within 180 days after the end of the retention period

Transaction Safety Information of The Person Receiving The Product/Service

2 years

Within 180 days after the end of the retention period

  1. DELETION, DESTRUCTION OR ANOYNMIZATION EX OFFICIO TIMES

In the event that all the conditions for processing personal data disappear in the law, personal data will be regularly deleted, destructed or anonymize by the Company within a period of six months. In the first periodic destruction process following the date on which the obligation to delete, destruct or anonymize personal data occurs, the implementation of such transactions is ensured.

If the relevant personal data has been transferred to third parties, this is notified to the data transmitting parties and / or those who process data on behalf of the Company based on the authorization granted by the Company and necessary actions are taken before these persons.

  1. DELETION AND DESTRUCTION TIMES OF PERSONAL DATA UPON REQUEST OF THE PERSON CONCERNED             

In case the data owner requests the personal data to be deleted or destructed;

  1. When all conditions for processing personal data have disappeared, personal data which are the subject of the request shall be deleted, destructed or anonymized by the company within thirty days at the latest and the data owner shall be informed.
  2. If all the conditions for processing personal data have been disappeared and the personal data owner to the request have been transferred to third parties, this will be notified to the parties who have transferred the data and / or data processors on behalf of the Company based on the authorization granted by the Company, and the necessary actions are taken before these persons.
  3. If all the conditions for processing personal data have not disappeared, this request may be rejected by explaining its justification pursuant to Article 13 of the Law, and the rejection response will be notified to the concerned person in writing or electronically within thirty days at the latest.

All transactions regarding the deletion, destruction and anonymization of personal data are recorded and these records are kept for at least three years, excluding other legal obligations.

ANNEX 1 PERSONNEL INVOLVED IN PERSONAL DATA RETENTION AND DESTRUCTION PROCESSES         

TITLE

DEPARTMENT

DUTY DEFINITION

Senior Management

Board of Directors, General Coordinator, General Manager

Responsible for the preparation, publishing, updating of the policy and ensuring that the employees act in accordance with the policy.

Department Manager

All departments

Responsible for the execution of the Policy in accordance with its duties and for its implementation in the unit it is responsible for.

Information Technologies Manager

Information Technologies

Responsible for safely retention, processing, accessing and destructing of personal data, in accordance with the law and for the management of the personal data destruction process.

  

Human Resources Manager

Finance Manager

Accounting Manager

Law Manager

Quality Manager

Human Resources 

Finance 

Accounting 

Law 

Quality 

Responsible for implementing personal data retention and destruction policy: Is responsible for the management of the personal data destruction process in accordance with the periodic destruction period, ensuring the compliance of the processes within its duty with the retention period.

DOCUMENT NO

:

GM-P001

APPROVED BY

BOARD OF DIRECTORS

DATE OF APPROVAL

:

05/01/2019

LAST REVISION DATE

:

00/0000

VERSION NO

:

01

RELATED DOCUMENTS

:

Personal Data Retention and Destruction Policy

Personal Data Protection and Processing Enlightenment Text

Explicit Consent Statement for Processing of Personal Data

Processing of Sensitive Personal Data Policy

Data owner Application Form

CONTENTS

   

1.     PURPOSE. 3

2.     SCOPE. 3

3.     RESPONSIBILITY. 3

4.     DEFINITIONS. 3

5.     PROCESSING OF PERSONAL DATA. 5

5.1.   GENERAL PRINCIPLES REGARDING THE PROCESSING OF PERSONAL DATA.. 5

5.2.   CONDITIONS FOR PROCESSING OF PERSONAL DATA.. 6

5.3.   CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA.. 8

5.4.   DATA OWNER, PERSON GROUP AND PERSONAL DATA CATEGORIES PROCESSED.. 9

5.5.   PURPOSES OF PROCESSING PERSONAL DATA.. 11

5.6.   DELETION, DESTRUCTION AND ANONYMIZATION OF PERSONAL DATA.. 13

5.7.   TRANSFER OF PERSONAL DATA.. 14

5.7.1.    TRANSFER OF PERSONAL DATA DOMESTIC. 14

5.7.2.    TRANSFER OF PERSONAL DATA ABROADI 15

5.7.3.    TRANSFER OF DATA PROCESSED BY GROUP COMPANIES TO THE COMPANYI 15

6.     DATA SECURITY ISSUES. 16

6.1    ADMINISTRATIVE MEASURES. 16

6.2    TECHNICAL MEASURES. 16

7.     ENLIGHTENMENT. 17

8.     RIGHTS OF THE DATA OWNER. 18

8.1    SITUATIONS OUTSIDE THE RIGHTS OF DATA OWNERS. 18

  1. PURPOSE

The purpose of this policy is to respect the fundamental rights and freedoms and privacy of individuals, especially the privacy of personal life, to ensure compliance with the obligations arising from the processing of personal data, to establish strategies, internal controls and measures, operational rules and responsibilities with regard to the processing and security of personal data, to make the data owner and the employees of the company aware while the processing of personal data by the company ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Company), in accordance with the Basic Law of the Turkish Republic and Law No. 6698 on the protection of personal data. 

  1. SCOPE

These provisions apply to natural persons whose personal data are processed wholly or partly by automatic means or to natural persons whose data are not processed by automatic means, provided that they are part of a data collection system. Data owner is given in the article 5.4.

  1. RESPONSIBILITY

This policy has been approved and implemented by the Company’s Board of Directors. Within the framework of the policy, all activities to be carried out in the company and the measures to be taken are defined by the appropriate procedures. The Company's management is responsible for preparing, updating and implementing these procedures.

All Company employees are responsible for performing their duties in accordance with this policy and all relevant procedures and regulations.

  1. DEFINITIONS

The important definitions in this policy are listed below.

Explicit Consent

Consent on a specific subject, informative and explained by free will

Anonymization

Rendering personal data by no means identified or identifiable with a natural person even by linking with other data.

Data owner 

Natural person whose personal data are processed.

Related user

Persons who process personal data within the organization of the data controller or in accordance with the authorization and instruction received from the data controller, with the exception of the person or unit responsible for the technical retention, protection and backup of the data.

Destruction

Deletion, Destruction, and Anonymization of Personal Data

Law

Turkish Personal Data Protection Law no. 6698

Recording Medium

Any medium in which personal data are processed, which are fully or partially automated, or processed in non-automated ways, provided that they are part of any data recording system.

Personal Data

Any information relating to an identified or identifiable natural person.

Processing of personal data

Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.

Deletion of personal data

Making personal data inaccessible and unusable to relevant users in any way.

Destruction of personal data

Making personal data inaccessible, retrievable and reusable by anyone.

Anonymization of personal data

Making personal data unrelated to an identified or identifiable natural person under any circumstances, even by matching with other data.

Board

The Board of Protection of Personal Data.

Authority

The Authority of Protection of Personal Data.

Sensitive Personal Data

Race, ethnicity, political thought, philosophical belief, religion, sect or other beliefs, disguise and outfit, association, foundation or union membership, health, sexual life, criminal conviction and security measures and biometric and genetic data of persons.

Periodic destruction

In the event that all the conditions in the law for processing personal data disappear, the deletion, destruction or anonymisation will be carried out ex officio at regular intervals, as specified in the Personal Data Retention and Destruction Policy.

Registry

Register of Data Protection Officers of the Presidency of the Data Protection Authority

Data processor

Natural or legal person who processes personal data based on the authority granted by and on behalf of the data controller.

Data recording system

Any recording system through which personal data are processed by structuring according to specific criteria.

Data controller

Natural or legal person who determines the purposes and means of the processing of personal data, and who is responsible for establishment and management of the filing system.

  1. PROCESSING OF PERSONAL DATA 
  1.  GENERAL PRINCIPLES RELATED TO THE PROCESSING OF PERSONAL DATA

The Company processes personal data in accordance with the procedures and principles established by law and other legislation, and the following principles are taken into account when processing personal data:

  1. Compliance with laws and integrity rules

The Company will act in accordance with the law, secondary legislation and general principles of law when processing personal data under this policy. During the processing of personal data by the company, the following transaction will be applied as a minimum;

  • A legitimate basis for processing personal data (e. g. explicit consent).
  • The personal data may not be used in a way that leads to results against individuals without legitimate reason.
  • Introduce transparency as a principle in the processing of personal data and inform people in this context.
  • It is ensured that personal data are processed as little as possible and in accordance with the reasonable expectations and predictions of individuals.
  1. Being true and when necessary updated 

In accordance with this principle, the following points are realized by the Company;

  • Perform checks to ensure that personal data is correct,
  • The sources from which the personal data originate are secure and their accuracy is checked,
  • Careful consideration of requests due to incorrect personal data,
  • Assessment of personal data should be updated or not,
  • Technical and administrative measures are taken to keep channels open and to ensure that the information provided by the data owner is accurate and up-to-date.
  1. Processing for specific, clear and legitimate purposes

The company shall ensure that the activities relating to the processing of personal data are clearly understandable to the data owner and are processed within the framework of the clear and legitimate purposes established before the start of the processing of personal data.

  1. The data should be combined, limited and measured for the purpose for which they are processed

The personal data will be processed by the company only in connection with the achievement of the established objectives and only with the personal data necessary to achieve the purpose. The personal data collected will not be unlawfully disclosed to third parties and will not be used for purposes other than processing.

  1. Retention for the time provided for by the relevant laws or for the time required for processing

The company stores personal data only for the period of time required by the relevant laws or for the purpose for which it is processed. If the reasons for processing cease to apply, the personal data will be deleted, destructed or made anonymous by the Company, either ex officio or at the request of the data owner. 

Retention periods and retention principles for personal data are regulated in the Personal Data Retention and Destruction Policy.

  1. CONDITIONS FOR PROCESSING OF PERSONAL DATA

Personal data are processed by the company in accordance with the processing conditions set out in Article 5 of the Law. In this context, the personal data processing activities carried out will be carried out in the presence of the personal data processing conditions set out below:

  1. Obtaining the explicit consent of the data owner

The Company evaluates whether the purpose of personal data processing is based on one of the processing conditions other than explicit consent. If it does not fulfil at least one of the conditions derogating from the law as the explicit consent, the consent of the person concerned shall be deemed to be given for the continuation of the data processing activity. 

In this context, the relevant personal data will be processed by the Company if the data owner consents to the Explicit Consent Statement for Processing of Personal Data regard to the processing of the data concerning him/her, with knowledge of the Personal Data Protection and Processing Enlightenment Text provided by the company, freewill, without leaving room for hesitation and limited only by the relevant transaction. 

  1. Clearly prescribed by law

Insofar as the laws contain provisions for the processing of personal data, personal data will only be processed by the Company within the framework of the relevant legal provisions.

  1. The person who cannot give his consent due to factual impossibility or whose consent is not legally valid is obliged to protect his/her life or the integrity of another person.

If the data owner cannot give his/her consent or his/her consent is not valid, the data may be processed by the Company in this context if the personal data are necessary to protect the life or physical integrity of the persons.

  1. Requirement to process personal data of the parties to the contract where they are directly related to the conclusion or performance of a contract.

If the processing of personal data of the parties to the contract is obligatory, insofar as it is directly related to the conclusion or performance of a contract, the personal data of the persons concerned will be processed by the company, limited for this purpose.

  1. The company is obliged to comply with its legal obligation

If data processing is required to fulfil the legal obligation, the personal data of the person concerned will be processed by the Company.

  1. The data were published by the data owner himself/herself

Personal data which are published by the person concerned himself or herself and which are made available to the public in any way, are processed by the company restricted to the purpose.

  1. Data processing is compulsory for the establishment, use or protection of a right

If the processing of personal data is necessary for the establishment, use or protection of a right, the processing of personal data is carried out by the Company in parallel with this obligation.

  1. The processing of data is compulsory for the legitimate interests of the controller, provided that the fundamental rights and freedoms of the data owner are not violated

The processing of personal data is possible if the processing of data is required for legitimate reasons of the company, provided that the fundamental rights and freedoms of the data owner are not violated. A fair balance is struck between the benefits to the company from the data processing and the fundamental rights and freedoms of the data owner.

Processing conditions and examples of personal data, which are out of consent, are given in the table below:

Processing conditions

Scope

Example

Provision of the law

Tax Laws, Labour Law, Turkish

Commercial Code, etc.

Keeping employee personal information in accordance with the law.

Conclusion of contract

Employment Contract, Sales Contract, etc.

Processing of personal data of employees in order to organize payroll.

Actual Impossibility

A person who cannot give consent due to de facto impossibility or is unable to distinguish.

Personal health information of the unconscious person. Location information of a kidnapped or missing person.

Legal Obligation of Data Controller

Financial Controls, Security Legislation, Compliance with Regulations.

Processing of data such as bank account number, marital status, existence of dependant, working situation of spouse, social insurance number in order to pay wages to the employee.

Publicity

The person concerned presents his information to the public.

The person declares his / her contact information publicly in order to be contacted in certain situations.

Establishment, use or protection of a right

Opening lawsuits, registration procedures, any kind of title deed etc. mandatory data in jobs.

Keeping the necessary information about an employee leaving the job during the trial timeout.

Legitimate Interest

The processing of data is compulsory for the legitimate interests of the controller, provided that the fundamental rights of the data owner are not violated 

Data processing for the purpose of applying rewards and premiums that increase employee loyalty.

  1. CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA

When the company processes sensitive personal data, it first determines whether data processing conditions exist, after ensuring that the legal compliance requirement that data be processed is met. In this context, and subject to appropriate measures being adopted by the Management Board, specific personal data shall be processed under the following conditions:

  1. Specific personal data other than health and sex life,
    • If there is an explicit consent statement of data owner or
    • in legally prescribed cases
  1. Personal data relating to health and sex life,
    • If there is an explicit consent statement of data owner 
    • Without the explicit consent of the data owner, personal data relating to health and sex life may only be processed for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

Processing conditions and examples of sensitive personal data, excluding explicit consent, are given in the table below:

Processing conditions

Scope

Example

Provision of the law

Personal data other than health and sexual life can be processed without the explicit consent of the person concerned. Tax Laws, Labour Law, Turkish Commercial Code etc. stricter sensitive data processing conditions.

The union information of the employee should be kept in the personal file as required by the legislation.

Protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing

Processing of data for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

Health data processed by the doctor about his patient.

The measures taken for the processing of sensitive quality personal data are regulated in the "Processing of Sensitive Personal Data Policy".

  1. DATA OWNER PERSON GROUP AND PROCESSED PERSONAL DATA CATEGORIES

The group of persons whose personal data are processed by our company are as follows:

Data owner person group

Employee Candidates & Trainee Candidates

Real persons who have applied for a job to the company by any means or who have opened their CV and related information for our company review

Employees

Company employees

Trainees

High school and university students intern at the company

Family members

Family members of data owners

Visitors

All natural persons who have entered the physical campuses owned by the company for various purposes or visit our websites for any purpose

Partner Authorities & Employees

Real person authorities, shareholders, employees of the companies with which the Company has commercial relations

Group Company Authorities & Employees

Real persons whose personal data are obtained through the business relations of the Group Companies within the scope of the operations carried out by the Company.

Supplier Authorities & Employees

Real persons or natural persons authorities, shareholders, employees of the company or the legal entities outsourcing the goods and services.

Shareholders

Company shareholder natural persons

Company Authorities

Company's board members and other authorized natural persons

Potential Customers

Real persons who are likely to buy / use the products and services offered by our company / group companies

Customers / Guests

Regardless of whether there is any contract with our Company / Group companies, real persons who buy / use or use the products and services offered by our Company / Group companies.

Third Parties

Third party natural persons (eg, those declared as references) or other natural persons not covered by the Personal Data Protection and Processing Policy in order to ensure the security of business transactions between our above mentioned parties, or to protect the rights of such persons and provide benefits.

The data processed for these people are categorized as follows:

ID information

Turkish ID No., Passport No., ID Card Serial no., Driving Licence No., Tax No., Name Surname, Name of Father, Name of Mother, Nationality, Place of Birth, Date of Birth, Age, Place of Registry, (Province, District, Neighbourhood-Village, Volume No, Family Sequence Number, Sequence Number) Issuing Authority of the Identity Card, Reason of Issue, Registration Number, Issue Date, Validity Date, Previous Surname, Marital Status, Gender, Religion, Photograph; Signature example, Military status, Parental Consent

Education & Experience Information

Educational status, certificate and diploma information, foreign language information, CV and references, work experience information, course, seminar internship information, other education and skills.

Contact information

Personal / Corporate mobile-landline phone number; Personal / Corporate e-mail address; residence address; contact name and surname and phone number in case of emergency

Sensitive Personal Data

Criminal record, criminal conviction information; disability; religion; health data; blood group; race information

Family Information

ID information of mother, father, spouse and children; telephone number, profession, educational status of their children; spouse's employment status and income information; Name-surname and age of persons responsible for caring, except for spouse and minors (under 18); child birth certificate; first degree family members death certificates.

Working Information

SSK Registration number; insurance entry / pension, allocation number; social security no; tax office and number; past workplace registration information, previous workplace wage and tax deduction information; work permit (for foreign employees); incentive status; business arrangement; confidentiality commitments; general health insurance information; job offer information; position name / task, department and unit, title; deadline for employment; the date of entry and exit of work; overwork information; fixture-tool-equipment delivery documents; partnership / additional work declaration form etc.

Permission Information

Leave request forms, leave exit / return date, number of leave days, reason for leave, address / phone to be tracked; rest and incapacity reports; annual paid leave schedule; Not to come to work without permission / to arrive late for work report-warning

Performance Information

Performance evaluation and goal achievement status, activity information, discipline records

Education & Development Information

Participated trainings, seminars, gained skills, training participation and information / forms

Financial Information

Bank account number, wallet; payrolls, wage compasses, premiums, bonuses etc. documents related to payments; file and debt information on enforcement proceedings; minimum subsistence information; private health insurance information; Personal data processed for information, documents and records showing any financial results created according to the type of legal relationship established with the personal data owner. 

Vehicle Data

Vehicle / vehicle usage information (License plate number, license serial number, work start date, insurance-motor insurance start date, traffic fines, accident minutes, work accident notifications, vehicle embezzlement documents)

Location Data

Vehicle location data -GPS location

Dismissal Information

Letter of Resignation, Notice of Termination, Disclaimer, Notice, Contract of Employment, SSI Exit Declaration, Last Month Payroll, Work / Service Document, Severance and Notice Payrolls, Documents Proving the Reason for Termination of Service, Minutes Arranged for the Termination of the Service Contract

Internet Access Information

Personal / Company electronic devices and internet access log records over the Company's networks, related IP addresses

System Access Authorization Information

System login-logout and activity logs, username-password, IP addresses

Audio / Visual Information

Photographs and camera recordings (Except for records within the scope of Physical Space Security Information)

Physical Space Security Information

Image records, turnstile records, security records, etc., taken at the entrance to the physical space and during the stay at the physical space.

Visit Information

Entry and exit time to company facilities, vehicle brand and license plate, company information

Marketing Information

Satisfaction surveys that show the usage habits, likes and needs of customers with personal data, campaigns, reports and evaluations obtained as a result of direct marketing studies etc.

Customer / Guest Information

Records regarding the use of products and services and instructions and requests of the customer required for the use of products and services; professional knowledge, countries visited; training; height-weight

Travel & Accommodation Information

Travel and visa information, reservation / voucher number, flight information, hotel information, check-in, check-out dates, room number

Request and Complaint Management Information

Personal data regarding the receipt and evaluation of requests and complaints about customer satisfaction surveys, products and services.

  1. PURPOSES OF PROCESSING PERSONAL DATA

Personal data collected by the company are processed in accordance with the processing conditions specified in Articles 5 and 6 of the Law for the following purposes:

Main Purposes

Sub Purposes

Management of the Company, Execution and Control of the Activities, Physical, Legal and Commercial Security Supply

Making and Implementing Emergency and Crisis Management Plans

Managing Finance and Accounting Processes

Provision of Physical Space Security

Management of Relations and Related Processes with Group Companies, Partners and Suppliers

Execution of Legal Processes

Performance of Internal Audit and Internal Control Activities

Business Continuity Management

Ensuring Registration and Document Layout

Planning and Execution of Corporate Management Activities

Execution of Risk Management Processes

Execution of Contract Processes

Execution of Strategic Planning Activities

Managing Process Management and Improvement Activities

Ensuring Company Activities are Carried out in accordance with Company Policies and Procedures and / or Relevant Legislation

Ensuring the legal and commercial security of the company, personnel and people who have a business relationship with the Company

Securing the Company's Assets

Fulfilling our legal obligations and exercising our rights arising from the applicable legislation in accordance with the applicable legislation.

Execution of Supply Chain Management Processes

Execution of Investment Processes

Giving Information to Authorized Persons, Institutions and Organizations

Creating and Tracking Visitor Records

Management of Human Resources Processes

Execution of candidate application processes

Execution of candidate selection and evaluation processes

Carrying out activities for employee satisfaction and loyalty

Managing processes regarding employee benefits and rights

Follow-up and control of employees' business activities

Conducting occupational health and safety processes

Establishment, performance and fulfilment of the obligations assumed.

Recruitment, personal and discharge procedures

Career planning, execution of promotion-appointment processes

Fulfilment of performance management processes

Execution of Personnel Assignment and Authorization Processes

Planning and Implementing Training and Orientation Programs

Management of Wage Policy

Foreign Personnel Work and Residence Permit Procedures

Information Systems & Information Security Management

Planning and Execution of Information Security Processes

Information Systems Risk Management

Fulfilling Legal Obligations Regarding Internet Traffic Monitoring

Management of User Access and Authorization Processes

Creating Log Records

Planning and Implementation of Communication and Marketing Activities

Planning and Implementation of Events and Organizations

Execution of Loyalty Processes for Firms / Products / Services

Execution of Communication Activities

Statistical Analysis and Market Research

Execution of Activities like Campaign, Promotion, Advertisement, Promotion, etc. 

Customer Relations Management

Customer Satisfaction Management

Planning & Management of Marketing Activities

Execution of Sponsorship Activities

Planning and Serving Products and Services

Execution of Logistics Activities

Execution of Goods / Services After Sales Support Services

Execution of Operation Processes

Communication with Customers Regarding the Products and Services Offered

Performance of Product / Service Conditions and Fulfilment of Obligations

Establishment and Management of Processes Regarding Planning and Sales of Products / Services

Demand and Complaint Management

Personal data may be processed with the explicit consent of the data owner in the following cases where the conditions for processing personal data laid down in Article 5(2) and (3) of the Law are not met;

Processed Personal Data

Purpose of processing

Health and Blood Group Information and Disability Status

Compliance with occupational health and safety regulations; Recruitment and periodic inspections and examinations within the scope of health surveillance of the workplace doctor, health report, e-reçete (prescription), health screening processes and corporate health insurance processes, execution of visa processes. 

Religion (obtained by obtaining a copy of the old identity card) and Nationality Information; criminal conviction information

Management of human resources processes; Creation of the personal file within the scope of the Labour Law; Visa processing of employees, company authorities, employees and guests limited to certain tours.

Audiovisual Data (Photos & camera recordings)

Planning and implementation of corporate communication activities; management of corporate social media accounts; execution of visa procedures

Birthday Information; Birth and death information of 1st degree relatives

Celebrating the birthday of employees and sharing their families' death information within the scope of internal communication activities

  1. DELETION, DESTRUCTION, AND ANONYMIZATION OF PERSONAL DATA     

Although it has been processed in accordance with the provisions of the law and other relevant laws, in the event that the reasons requiring its processing disappear, the personal data is deleted, destructed or anonymized by the Company ex officio or upon the request of the person concerned.

Accordingly;

  • Amendment or removal of relevant legislation provisions that constitute the basis for processing personal data,
  • The contract between the parties has never been established, the contract is not valid, the contract is terminated spontaneously, the contract is terminated or the contract is returned
  • The purpose that requires the processing of personal data disappears,
  • It is determined that processing personal data is against the law or honesty rule,
  • In cases where the processing of personal data occurs only based on explicit consent, the relevant person's withdrawal of his consent,
  • The Company's acceptance of the application of the relevant person regarding the processing of personal data within the framework of the rights in paragraph 11 (e) and (f) of Article 11 of the Law,
  • In cases where the company refuses the application made by the relevant person with the request of deletion or destruction of his personal data, the response he has given is insufficient or does not respond within the period stipulated by the Law; Complaints to the Board and this request is approved by the Board,
  • Although the maximum period requiring the retention of personal data has passed, there are no conditions that would justify keeping the personal data longer,
  • In the event of the disappearance of conditions requiring the processing of personal data in Articles 5 and 6 of the Law, personal data must be deleted, destructed or made anonymous.

The rules for the deletion or anonymisation of personal data are laid down in the Personal Data Retention and Destruction Policy.

  1. TRANSFER OF PERSONAL DATA

The transmissions of personal data to be carried out by the Company will comply with the conditions of transmission of personal data laid down in Articles 8 and 9 of the Law.

The parties to whom personal data may be transferred and the purposes of transfer are as follows:

Parties, to whom personal data may be transferred

Transfer purposes

Legally Authorized Institutions

Meeting the information-document request within the legal authority of authorized public institutions and organizations and private law persons.

Shareholders

Corporate law, commercial activities, event management and execution of corporate communication processes.

Company Authorities

Designing, implementing and managing strategies regarding the commercial activities of the Company; carrying out monitoring, risk management and audit activities.

Work partners

Fulfilment of the purposes of establishment of business partnership and commercial activities.

Group Companies

Carrying out processes and commercial activities that also require the participation of group companies.

Suppliers

Managing processes regarding outsourced goods and services, receiving support, supervision and consultancy services, benefiting from the benefits of the personnel.

Third Parties

Information sharing within the scope of reference verification / inquiry processes for employee candidates and leaving employees.

  1. TRANSFER OF PERSONAL DATA DOMESTIC

Personal data may be transferred by the company if one of the following conditions exists:

  • Obtaining explicit consent of the person concerned,
  • Clearly prescribed in laws,
  • The person who cannot give his consent due to factual impossibility or whose consent is not legally valid is obliged to protect his/her life or the integrity of another person,
  • Requirement to process personal data of the parties to the contract where they are directly related to the conclusion or performance of a contract,
  • The company is obliged to comply with its legal obligation,
  • The data were published by the data owner himself/herself,
  • Data processing is compulsory for the establishment, use or protection of a right,
  • The processing of data is compulsory for the legitimate interests of the controller, provided that the fundamental rights and freedoms of the data owner are not violated.

Sensitive personal data can be transferred by taking sufficient precautions determined by the Board and if one of the following conditions exists:

  • Obtaining explicit consent of the data owner,
  • It is clearly prescribed by law in terms of sensitive personal data other than health and sexual life.
  • Without the explicit consent of the data owner, personal data relating to health and sex life may only be processed for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

The measures taken for the transfer of sensitive personal data are regulated in the " Processing of Sensitive Personal Data Policy".

  1. TRANSFER OF PERSONAL DATA ABROAD

Personal data may be transferred abroad by the company if one of the following conditions exists:

  • Obtaining explicit consent of the data owner,
  • Presence of one of the conditions specified in Articles 5 (2) and 6 (3) of the Law and the presence of sufficient protection in the foreign country where personal data will be transferred,
  • In the event of a lack of adequate protection, the data controllers in Turkey and in the foreign countries must suffice in writing a sufficient obligation for protection, which has the permission of the board.

In the event that Turkey or the interest of the person concerned suffers serious harm, personal data may be transferred abroad with the permission of the Executive Board, without prejudice to the provisions of the international treaty, but only with the opinion of the competent public institution or organization.

The measures taken for the transfer of sensitive personal data abroad are regulated in the " Processing of Sensitive Personal Data Policy".

  1. TRANSFER OF DATA PROCESSED BY GROUP COMPANIES TO THE COMPANY

The Company's personal data, which are processed by the Group Companies, in order to carry out the activities of the Group Companies in accordance with the Company's principles, targets and strategies, and to protect the rights, interests and reputation of the group, can also be processed by the Company. G In the event that the personal data sharing between the Group Companies and the Company takes place within the scope of the Law within the scope of the personal data transfer from the data controller to the data controller, the relevant Group Company enlightens the person that the personal data can be sent to the Company at the stage of collecting the personal data of the relevant person.

  1. DATA SECURITY ISSUES

Any necessary technical and administrative measures are taken by the Company to ensure the appropriate level of security in order to prevent and protect the personal data from being processed and accessed unlawfully; Necessary audits are provided to ensure the enforcement of the provisions of the law.

  1. ADMINISTRATIVE MEASURES
  1. By determining the probability of occurrence of the risks that may arise regarding the protection of personal data and the losses it will cause in case of occurrence, measures are taken to reduce or eliminate the risks.
  2. The duties, powers and responsibilities of the personnel involved in all processes and policies regarding the processing of personal data, ensuring the confidentiality and security and disposal are written down and made available to all personnel.
  3. Personnel are provided with the necessary trainings within the scope of processing, protection and data security of personal data.
  4. Keeping the policies and procedures up-to-date and providing the necessary training and informing the employees about the changes made are ensured.
  5. Within the scope of the recruitment process, provisions regarding the protection and confidentiality of personal data are added to the contracts signed between the employees and the Company and signed by the employee.
  6. By determining whether the processed personal data is still needed and stored in the right place, personal data retained for archival purposes will be kept in a more secure environment and unneeded personal data will be deleted, destructed or made anonymous in accordance with the Personal Data Retention and Destruction Policy.
  7. Access to the personal data stored within the company is restricted to the personnel required for access based on the duty description.
  8. If employees fail to comply with policies and procedures established and announced by the Company, sanctions will be imposed in accordance with the disciplinary process. 
  9. With regard to the disclosure of personal data, confidentiality agreements for the protection of personal data and data security are concluded with individuals and data processors or data protection provisions are added to existing agreements.
  10. Within the framework of policies and procedures; regular checks are carried out for areas open to development, and necessary measures are planned and implemented.
  11. In order to ensure enforcement of the legal provisions, measures are planned for the confidentiality and security deficiencies resulting from the audits, and the findings are promptly remedied.
  12. If the processed personal data is obtained illegally from third parties, the data owner and the Management Board shall be informed as soon as possible.
  1. TECHNICAL MEASURES
  1. SSL connections, anti-virus and firewall software and hardware are used for the protection of information technology systems and data containing personal data.
  2. Unused software and services are deleted from the devices.
  3. The proper functioning of the software and hardware and the security measures taken are checked regularly; patch and software updates are provided to cover possible security gaps.
  4. Access to systems containing personal data is provided within the framework of access policies, user and role management procedures. The scope and duration of authorization of users who have access to data are clearly defined. Information Technology employees' access to personal data is kept under control.
  5. If remote access to the data is required, at least two-step authentication system is used.
  6. Authority checks are carried out periodically.
  7. The powers of the employees who change their duties or leave the job are revoked immediately. In this context, the inventory allocated to it by the Company is refunded.
  8. Technical infrastructure is provided to prevent data from leaking out of the institution.
  9. It is ensured that the log of transaction acts (log records) of all users are kept regularly.
  10. The system weaknesses are controlled by receiving penetration test services regularly and when the need arises.
  11. The medium and devices where personal data are stored are protected by taking physical security measures.
  12. Ensuring that personal data is stored safely, data is backed up and physical security of all backups is ensured.
  13. Personal data is ensured to be destructed in a way that cannot be recycled and leave an audit trail.
  14. Pursuant to Article 12 of the Law, all kinds of digital media where personal data are stored are protected by encrypted or crypto graphic methods in a way to provide information security requirements. Cryptographic keys are kept safe and in different mediums.
  15. During the storage and use of personal data in the cloud environment, encryption with cryptographic methods and using separate encryption keys where possible for personal data, especially for each cloud solution that is served; when the cloud computing service relationship ends; all copies of encryption keys required to make personal data available are destructed.
  16. If it is necessary to transfer personal data via e-mail, it is ensured that it is transferred with an encrypted corporate e-mail address or by using a Registered Electronic Mail (KEP) account.
  17. When it is necessary to transfer it via media such as Portable Memory, CD, DVD, it is encrypted with cryptographic methods and the cryptographic key is kept in different media.
  18. While transferring between servers in different physical environments is performed, data transfer is performed by installing VPN between servers or by SFTP method.
  19. Necessary precautions are taken against risks such as theft of documents, loss or being seen by unauthorized persons in the transfer of data via paper medium.
  1. ENLIGHTENMENT

The processed personal data cannot be disclosed to anyone else in violation of the provisions of the Law and cannot be used for purposes other than processing. During the acquisition of personal data, the Company informs the relevant people about the following subjects with the "Personal Data Protection and Processing Enlightenment Text". 

  1. Company information,
  2. The purposes of processing personal data,
  3. To whom and for what purpose the processed personal data can be transferred,
  4. Method and legal reason of collecting personal data,
  5. Rights of the person under the Law.

The “Personal Data Protection and Processing Enlightenment Text" is also provided on the Company website.

If personal data cannot be obtained directly from the person due to the actual impossibility or inaccessibility of the person concerned;

•     Within a reasonable time from the acquisition of personal data,

•     In case personal data will be used for communication with the person concerned, during the initial communication,

•     If personal data is to be transferred, the obligation to enlighten the relevant person is fulfilled at the latest when personal data is transferred for the first time.

There is no obligation of illumination if personal data that is publicized by the person concerned is processed.

  1. RIGHTS OF DATA OWNER

The data owner has the following rights about him/her by applying to our Company;

a)  Find out if personal data is processed,

b)     If personal data is processed, requesting information about it,

c)  Learning the purpose of processing personal data and whether they are used in accordance with its purpose,

ç)  To know the third parties to whom personal data are transferred domestically or abroad,

d)     Requesting correction of personal data if it is incomplete or incorrectly processed,

e)     Request personal data to be deleted or destructed,

f)  to request notification of transactions made in accordance with clauses (d) and (e) to third parties to whom personal data are transferred,

g)  To object to the emergence of a result against the person by analysing the processed data exclusively through automated systems,

ğ)  In the event that personal data is damaged due to illegal processing, the data owner has the right to demand the removal of the damage.

The company has established the operation and necessary communication channels for the management, fulfilment and recording of personal data owners’ applications.

The data owner conveys his requests regarding the implementation of the Law to the Company by filling out the "Data owner Application Form" at www.anexservices.com.tr with the information and documents that will determine his/her identity and by the following methods or other methods determined by the Board.

  • After the Data owner Application Form has been filled out, a wet signed copy will be sent to the company’s address “Barbaros Mah. Serik Cad No: 305A / 1 Aksu / ANTALYA ”.
  • After the Data owner Application Form is filled and signed with the “secure electronic signature” within the scope of the Electronic Signature Law No. 5070, it will be sent to the registered e-mail [email protected]

The company concludes its requests in the application free of charge as soon as possible and within thirty days at the latest, depending on the nature of the request. However, if the transaction requires a separate cost, the fee at the tariff determined by the Board may be charged.

The company accepts the request or rejects it by explaining its reason and informs the person in writing or electronically. In case the request in the application is accepted, the Company fulfils the requirement. In case the application is caused by the Company's error, the fee collected is returned to the concerned person.

In case the application is rejected, the answer is insufficient or the application is not answered in due time; the person concerned may complain to the Board within thirty days from the date when the Company has learned the answer, and within sixty days from the date of application.

  1.  SITUATIONS OUTSIDE THE RIGHTS OF DATA OWNERS

Personal data owners will not be able to assert their rights in case of the following situations where the provisions of the law are not applied:

  • Processing personal data for art, history, literature or scientific purposes or within the scope of freedom of expression, provided that they do not violate national defence, national security, public security, public order, economic security, privacy or personal rights, or constitute a crime.
  • Processing personal data for purposes such as research, planning and statistics by anonymizing with official statistics.
  • Processing personal data within the scope of preventive, protective and intelligence activities carried out by public institutions and organizations authorized by law to provide national defence, national security, public security, public order or economic security.
  • Processing of personal data by judicial authorities or enforcement authorities regarding investigations, prosecutions, trials and execution proceedings.

Except for the obligation of illumination and the right to demand compensation, provided that it complies with the purpose and basic principles of the Law, personal data owners will not be able to assert their rights if:

  • Personal data processing is necessary for crime prevention or criminal investigation.
  • Processing of personal data personalized by the personal data owner.
  • In case that personal data processing is necessary for the disciplinary investigation or prosecution by the authorized public institutions and organizations and the professional institutions that are public institutions based on the authority given by the law.
  • Personal data processing is necessary to protect the state's economic and financial interests in relation to budget, tax and financial matters.

DOCUMENT NO

:

GM-P003

APPROVED BY

BOARD OF DIRECTORS

DATE OF APPROVAL

:

05/01/2019

LAST REVISION DATE

:

00/0000

VERSION NO

:

01

RELATED DOCUMENTS

:

Personal Data Protection and Processing Policy

Personal Data Retention and Destruction Policy

Personal Data Protection and Processing Enlightenment Text

Personal Data Processing Explicit Consent Statement

CONTENTS

   

1.     PURPOSE. 3

2.     SCOPE. 3

3.     RESPONSIBILITY. 3

4.     DEFINITIONS. 3

5.     PROCESSING OF SENSITIVE PERSONAL DATA. 5

5.1.       GENERAL PRINCIPLES REGARDING THE PROCESSING OF SENSITIVE PERSONAL DATA.. 5

5.2.       CONDITIONS FOR PROCESSING OF SENITIVE PERSONAL DATA.. 5

5.3.       DATA OWNER, PERSON GROUP AND PERSONAL DATA CATEGORIES PROCESSED.. 6

5.4.       PURPOSES OF PROCESSING SENSITIVE PERSONAL DATA.. 7

5.5.       DELETION, DESTRUCTION AND ANONYMIZATION OF SENSITIVE PERSONAL DATA.. 8

5.6.       TRANSFER OF SENSITIVE PERSONAL DATA.. 8

5.6.1.    TRANSFER OF SENSITIVE PERSONAL DATA DOMESTIC. 8

5.6.2.    TRANSFER OF SENSITIVE PERSONAL DATA ABROAD.. 9

6.     DATA SECURITY ISSUES. 9

6.1    ADMINISTRATIVE MEASURES. 9

6.2    TECHNICAL MEASURES. 10

7.     RIGHTS OF DATA OWNER. 11

  1. PURPOSE 

The purpose of this policy is to ensure compliance with the obligations within the scope of processing sensitive personal data, determination of controls and precautions, rules and responsibilities related to processing and security of sensitive personal data and to make the data owner and the employees of the company aware, in addition to the regulations within the scope of the "Protection and Processing of Personal Data Policy" (law) while the processing of personal data by the company ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (Company), in accordance with the Basic Law of the Turkish Republic and Law No. 6698 on the protection of personal data.

  1. SCOPE

These policy provisions apply to customers, employees, family members of employees, trainees, customers, shareholders whose data are processed by the Company wholly or partly by automatic means or who are processed automatically by being part of a data collection system.

  1. RESPONSIBILITY

This policy, which is an annex to the Company's Personal Data Protection and Processing Policy, has been approved by the Company's Board of Directors and came into force. All activities and measures to be taken within the framework of policies and within the Company are determined by relevant procedures.  The Company's Senior Management is responsible for the preparation, updating and implementation of these procedures.

All Company employees are responsible for performing their duties in accordance with this policy and all relevant procedures and regulations.

  1. DEFINITIONS

The important definitions in this policy are listed below.

Explicit Consent

Consent on a specific subject, informative and explained by free will

Anonymization

Rendering personal data by no means identified or identifiable with a natural person even by linking with other data.

Data owner 

Natural person whose personal data are processed.

Related user

Persons who process personal data within the organization of the data controller or in accordance with the authorization and instruction received from the data controller, with the exception of the person or unit responsible for the technical retention, protection and backup of the data.

Destruction

Deletion, Destruction, and Anonymization of Personal Data

Law

Turkish Personal Data Protection Law no. 6698

Recording Medium

Any medium in which personal data are processed, which are fully or partially automated, or processed in non-automated ways, provided that they are part of any data recording system.

Personal Data

Any information relating to an identified or identifiable natural person.

Processing of personal data

Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.

Deletion of personal data

Making personal data inaccessible and unusable to relevant users in any way.

Destruction of personal data

Making personal data inaccessible, retrievable and reusable by anyone.

Anonymization of personal data

Making personal data unrelated to an identified or identifiable natural person under any circumstances, even by matching with other data.

Board

The Board of Protection of Personal Data.

Authority

The Authority of Protection of Personal Data.

Sensitive Personal Data

Race, ethnicity, political thought, philosophical belief, religion, sect or other beliefs, disguise and outfit, association, foundation or union membership, health, sexual life, criminal conviction and security measures and biometric and genetic data of persons.

Periodic destruction

In the event that all the conditions in the law for processing personal data disappear, the deletion, destruction or anonymisation will be carried out ex officio at regular intervals, as specified in the Personal Data Retention and Destruction Policy.

Registry

Register of Data Protection Officers of the Presidency of the Data Protection Authority

Data processor

Natural or legal person who processes personal data based on the authority granted by and on behalf of the data controller.

Data recording system

Any recording system through which personal data are processed by structuring according to specific criteria.

Data controller

Natural or legal person who determines the purposes and means of the processing of personal data, and who is responsible for establishment and management of the filing system.

Processing of personal data

Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.

  1. PROCESSING OF SENSITIVE PERSONAL DATA
  1. GENERAL PRINCIPLE RELATED TO THE PROCESSING OF SENSITIVE PERSONAL DATA

The personal data at the company are processed in accordance with the procedures and principles stipulated in the Law and other laws, and the principles set out in the "Personal Data Protection and Processing Policy" are taken into consideration in the processing of personal data.

  1. CONDITION FOR PROCESSING OF SENSITIVE PERSONAL DATA

When the company processes sensitive personal data, it first determines whether data processing conditions exist, after ensuring that the legal compliance requirement that data be processed is met. In this context, and subject to appropriate measures being adopted by the Management Board, specific personal data shall be processed under the following conditions:

  1. Specific personal data other than health and sex life,
    • If there is an explicit consent statement of data owner or
    • in legally prescribed cases
  1. Personal data relating to health and sex life,
    • If there is an explicit consent statement of data owner 
    • Without the explicit consent of the data owner, personal data relating to health and sex life may only be processed for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

During the acquisition of sensitive personal data, the Company informs the data owner about the following issues with the "Protection and Processing of Personal Data Enlightenment Text":

  1. Company information,
  2. The purposes of processing personal data,
  3. To whom and for what purpose the processed personal data can be transferred,
  4. Method and legal reason of collecting personal data,
  5. Rights of the person under the Law.

The relevant personal data will be processed by the Company if the data owner consents to the Explicit Consent Statement for Processing of Personal Data regard to the processing of the data concerning him/her, with knowledge of the Personal Data Protection and Processing Enlightenment Text provided by the company, freewill, without leaving room for hesitation and limited only by the relevant transaction.

Insofar as the laws contain provisions for the processing of personal data, personal data will only be processed by the Company within the framework of the relevant legal provisions.

The processed personal data cannot be disclosed to anyone else in violation of the provisions of the Law and cannot be used for purposes other than processing.

Processing conditions and examples of sensitive personal data, excluding explicit consent, are given in the table below:

Processing conditions

Scope

Example

Provision of the law

Personal data other than health and sexual life can be processed without the explicit consent of the person concerned. Tax Laws, Labour Law, Turkish Commercial Code etc. stricter sensitive data processing conditions.

The union information of the employee should be kept in the personal file as required by the legislation.

Protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing

Processing of data for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

Health data processed by the doctor about his patient.

  1. DATA OWNER PERSON GROUP AND PROCESSED PERSONAL DATA CATEGORIES

The group of persons whose personal data are processed by our company are as follows:

Data owner person group

Employees

Company employees

Trainees

High school and university students intern at the company

Family members

Family members of data owners

Shareholders

Company shareholder natural persons

Customers 

Regardless of whether there is any contractual relationship with our company, real persons who have purchased / used our products and services.

The sensitive personal data processed for these people are as follows:

Sensitive Personal Data

Nationality, religion, criminal record, disability, health and blood group information

  1.  PURPOSES OF PROCESSING sensıtıve PERSONAL DATA

The personal data collected by the company are processed in accordance with the processing conditions specified in Article 6 of the Law for the following purposes:

Main Purposes

Sub Purposes

Management of the company, performing the activities in accordance with the law, Company policies and procedures

Fulfilling our legal obligations and exercising our rights arising from the current legislation in accordance with the applicable legislation.

Establishment and management of processes related to the planning and sales of products / services; performance of product and service conditions and fulfill the obligations assumed completely and correctly

Providing accommodation, tour and visa services to customers

Follow-up of contract processes and / or legal transactions

Execution of the operational processes

Risk management, auditing and control activities

Arrangement of all records and documents that will be based on transactions

Providing information from the legislation to public / private institutions and organizations authorized to receive information and documents in line with the relevant legislation provisions.

Providing information to audit companies in accordance with the Law to ensure compliance with legal obligations and company policies

Ensuring the physical, legal and commercial security of the company, personnel and people who have business relations with the Company

Execution of human resources policies; planning and execution of human resources processes

Establishment, performance and fulfilment of the obligations assumed.

Conducting recruitment and personal processes

Establishment, use or protection of processes related to benefits and interests such as corporate health insurance and private pension

Compliance with occupational health and safety regulations; Recruitment and periodic inspections and examinations within the scope of health surveillance of the workplace doctor, health report, e-reçete (prescription), health screening processes.

 

In cases where the personal data processing conditions specified in Article 6 (3) of the Law are not met, personal data may be processed on the explicit consent of the data owner.

  1. DELETION, DESTRUCTION AND ANONYMIZATION OF SENSITIVE PERSONAL DATA             

Although it has been processed in accordance with the provisions of the law and other relevant laws, in the event that the reasons requiring its processing disappear, the personal data is deleted, destructed or anonymized by the Company ex officio or upon the request of the person concerned.

In terms of deletion, destruction or anonymization of personal data, it is complied with the general principles in article 4 of the Law and the technical and administrative measures to be taken within the scope of article 12, the relevant legislation provisions, Board decisions and Personal Data Retention and Destruction Policy.

  1. TRANSFER OF SENSITIVE PERSONAL DATA 

In the case of sensitive personal data transfers to be carried out by the company, it will act in accordance with the sensitive personal data transfer conditions arranged by the Board Decision.

The parties to which sensitive personal data can be transferred and the transfer purposes are as follows:

Parties, to whom personal data may be transferred

Transfer purposes

Legally Authorized Institutions

Meeting the information-document request within the legal authority of authorized public institutions and organizations and private law persons.

Work partners

Fulfilment of the purposes of establishment of business partnership and commercial activities.

Group Companies

Carrying out processes and commercial activities that also require the participation of group companies.

Suppliers

Managing processes regarding outsourced goods and services, receiving support, supervision and consultancy services, benefiting from the benefits of the personnel.

  1.  TRANSFER OF SENSITIVE PERSONAL DATA DOMESTIC
 

Sensitive personal data can be transferred by taking sufficient precautions determined by the Board and if one of the following conditions exists:

  1. Obtaining explicit consent of the data owner.
  2. It is clearly prescribed by law in terms of sensitive personal data other than health and sexual life.
  3. Without the explicit consent of the data owner, personal data relating to health and sex life may only be processed for the protection of public health, preventive medicine, medical diagnosis, treatment and care, health care, and for the purpose of planning and management of health services and financing by persons under the obligation to keep secrets or by authorized institutions and organizations.

Adequate measures taken for the transfer of personal data of special nature are regulated in Article 6 of this Policy.

  1. TRANSFER OF SENSITIVE PERSONAL DATA ABROAD
 

Personal data may be transferred abroad by the company if one of the following conditions exists:

  1. Obtaining explicit consent of the data owner,
  2. It is clearly prescribed by law in terms of sensitive personal data other than health and sexual life and
  • Adequate protection in the foreign country where personal data will be transferred,
  • In the absence of adequate protection, adequate protection of data in a responsible and Turkey in the foreign countries to commit themselves in writing and the permission of the Board,

Without prejudice to the provisions of international conventions, where the interest of Turkey or the data owner will be seriously damaged personal data can only be transferred abroad with the permission of the Board, by obtaining the opinion of the relevant public institution or organization.

Adequate measures taken for the transfer of sensitive personal data abroad are regulated in Article 6 of this Policy.

  1. DATA SECURITY ISSUES

Any necessary technical and administrative measures are taken by the Company to ensure the appropriate level of security in order to prevent and protect the personal data from being processed and accessed unlawfully; Necessary audits are provided to ensure the enforcement of the provisions of the law.

  

  1.  ADMINISTRATIVE MEASURES
  1. By determining the probability of occurrence of the risks that may arise regarding the protection of sensitive personal data and the losses it will cause in case of occurrence, measures are taken to reduce or eliminate the risks.
  2. The duties, powers and responsibilities of the personnel involved in all processes and policies regarding the processing of sensitive personal data, ensuring the confidentiality and security and disposal are written down and made available to all personnel.
  3. Personnel are provided with the necessary trainings within the scope of processing, protection and data security of personal data.
  4. Keeping the policies and procedures up-to-date and providing the necessary training and informing the employees about the changes made are ensured.
  5. Within the scope of the recruitment process, provisions regarding the protection and confidentiality of personal data are added to the contracts signed between the employees and the Company and signed by the employee.
  6. By determining whether the processed personal data is still needed and stored in the right place, personal data retained for archival purposes will be kept in a more secure environment and unneeded personal data will be deleted, destructed or made anonymous in accordance with the Personal Data Retention and Destruction Policy.
  7. Access to the personal data stored within the company is restricted to the personnel required for access based on the duty description.
  8. If employees fail to comply with policies and procedures established and announced by the Company, sanctions will be imposed in accordance with the disciplinary process. 
  9. With regard to the disclosure of personal data, confidentiality agreements for the protection of personal data and data security are concluded with individuals and data processors or data protection provisions are added to existing agreements.
  10. Within the framework of policies and procedures, regular checks are carried out for areas open to development, and necessary measures are planned and implemented.
  11. In order to ensure enforcement of the legal provisions, measures are planned for the confidentiality and security deficiencies resulting from the audits, and the findings are promptly remedied.
  12. If the processed personal data is obtained illegally from third parties, the data owner and the Management Board shall be informed as soon as possible
    1. TECHNICAL MEASURES
  1. SSL connections, anti-virus and firewall software and hardware are used for the protection of information technology systems and data containing personal data.
  2. Unused software and services are deleted from the devices.
  3. The proper functioning of the software and hardware and the security measures taken are checked regularly; patch and software updates are provided to cover possible security gaps.
  4. Access to systems containing personal data is provided within the framework of access policies, user and role management procedures. The scope and duration of authorization of users who have access to data are clearly defined. Information Technology employees' access to personal data is kept under control.
  5. If remote access to the data is required, at least two-step authentication system is used.
  6. Authority checks are carried out periodically.
  7. The powers of the employees who change their duties or leave the job are revoked immediately. In this context, the inventory allocated to it by the Company is refunded.
  8. Technical infrastructure is provided to prevent data from leaking out of the institution.
  9. It is ensured that the log of transaction acts (log records) of all users are kept regularly.
  10. The system weaknesses are controlled by receiving penetration test services regularly and when the need arises.
  11. Adequate security measures (against electricity leakage, fire, flooding, theft, etc.) are taken depending on the nature of the environment where sensitive personal data are available. By ensuring the physical security of these environments, unauthorized entry and exit are prevented.
  12. Ensuring that sensitive personal data is stored safely, data is backed up and physical security of all backups is ensured.
  13. Sensitive Personal data is ensured to be destructed in a way that cannot be recycled and leave an audit trail.
  14. Data in any electronic environment where sensitive personal data are stored is kept using cryptographic methods. Cryptographic keys are kept safe and in different environments. Cryptographic keys are kept safe and in different environments.
  15. During the storage and use of personal data in the cloud environment, encryption with cryptographic methods and using separate encryption keys where possible for personal data, especially for each cloud solution that is served; when the cloud computing service relationship ends; all copies of encryption keys required to make personal data available are destructed.
  16. If it is necessary to transfer sensitive personal data via e-mail, it is ensured that it is transferred with an encrypted corporate e-mail address or by using a Registered Electronic Mail (KEP) account.
  17. When it is necessary to transfer it via media such as Portable Memory, CD, DVD, it is encrypted with cryptographic methods and the cryptographic key is kept in different media.
  18. While transferring between servers in different physical environments is performed, data transfer is performed by installing VPN between servers or by SFTP method.
  19. Necessary precautions are taken against risks such as theft of documents, loss or being seen by unauthorized persons in the transfer of data via paper medium.
  1. RIGHTS OF DATA OWNER

The rights of the data owner under the Law, the methods of transmitting their requests regarding the implementation of the Law, and the provisions regarding the finalization of the requests by the Company are regulated in the Protection and Processing of Personal Data Policy.

The purpose of this Cookie Policy is to provide information to you regarding processing of personal data which are obtained because of the usage of cookies by Platform users/members/visitors (Data Owner’) while running the mobile application and the web-page (‘Website’)  www.anexservices.com.tr (all together hereinafter referred to as ‘Platform’), which are operated by ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (the ‘Company’). The expression of ‘personal data’ included in this policy covers the information listed below:

• Customer Information

• Device Information 

• Behaviours

• Demographic Information 

• Marketing Information 

• Behavioural Advertising

You may visit the Platform without giving any personal information.  Cookies are used during your visit in order to collect information about Platform usage, to ensure that our visitors benefit from the Platform in the most efficient manner and to improve user experience.

By visiting the Platform, you are deemed to have approved the use of the information, collected thanks to cookies, in compliance with the Policy of Protecting and Processing Personal Data which is presented in the following address:  https://www..... If you do not want the cookies to be used in such manner, you must adjust the settings of your browser or abstain from using the Platform. Deactivating the cookies that we use may affect your user experience in the Platform.

What are the Cookies and why are the Cookies used?

Cookies are the text files with small sizes which are stored in your device or the network server through the browsers by websites you visit. Cookies cannot collect any information, including your personal information stored in your computer or files. In order to receive more information about cookies please visit the following websites:  www.aboutcookies.org and  www.allaboutcookies.org. The purposes of using cookies in the Platform are listed below:

  • Improve the services rendered to you by means of increasing the functionality and performance of the Platform;
  • To improve the Platform and offer new features over the Platform and customise the features offered according to your preferences;
  • To ensure legal and commercial security of the Platform, you and our Company;
  • To benefit from cookies within the scope of direct and indirect marketing activities.

Categories of the Cookies Used in the Platform

(Technical Cookies)

Thanks to technical cookies running of the Site is ensured and pages and areas of the website that do not run or respond are determined.

(Authentication Cookies)

In case the visitors log in the Site by entering their passwords, Authentication Cookies detects the visitor as the user of the website in each page visited by the visitor so that, visitors do not have to enter their passwords in each page.

(Flash Cookies)

These are the cookies that are used to activate the image or audio contents present in the Site.

(Customization Cookies)

Customization Cookies are used to remember the preferences of users while visiting different pages of a different website. For instance, it remembers the language preference that you have previously selected.

(Analytical Cookies)

Analytical Cookies make it possible to generate the analytical results such as number of visitors who visit the Site and the pages displayed in the Site, the time when the Site is visited and scrolling motions between different internet sites.

Cookies Used in the Platform

Cookie Type

Explanation, Duration and Preferences

Analytical Cookies

For Advertisement

It is used in order to display behavioural or target-oriented advertisements to visitors. It is possible to accept or reject them through browser settings.

Market Analysis

It is used in order to conduct a market analysis.

It is possible to accept or reject them through browser settings.

Campaign/Promotion

It is used in order to calculate the effect of campaigns.

It is possible to accept or reject them through browser settings.

Facebook

These kinds of cookies makes it possible to monitor Facebook members (or non-members) with the intent of market analysis and product development. It is possible to accept or reject them through browser settings.

Twitter

These cookies are used to monitor members or non-member visitors of social media networks with the intent of market analysis and product development. It is possible to accept or reject them through browser settings.

Google Analytical

These kinds of cookies ensures collecting all statistical data and thus improving the presentation and usage of the Site. Google enables us to have a better understanding on the users by adding data regarding societal statistics and interests to such statistics.

Our website uses Google Analytical cookies. Data that are collected by means of such cookies are transmitted to Google servers located in USA and these data are preserved in compliance with the data protection principles of Google. In order to receive further information about principles of Googles regarding the analytical data processing activities and protection of personal data please click  here.

Controlling the Cookies

https://tools.qooqle.com/dlpaqe/qaoptout

Technical Cookies

Session

Session cookies are used in order to maintain the continuity of the session.

It is possible to accept or reject them through browser settings.

Load-Balancing

Load Balancing Cookies are used in order to reduce the load on server by dispersing the load.

It is possible to accept or reject them through browser settings.

Security

Security cookies are used for the security controls.

It is possible to accept or reject them through browser settings.

Fraud Detection

These kinds of cookies are used in order to detect clicking tricks.

It is possible to accept or reject them through browser settings.

Authentication Cookies

User ID

User ID cookies are used in order to display to users only their own information.

It is possible to accept or reject them through browser settings.

Customization Cookies

Language

It memorizes the language selected by user and offers options in accordance with the selection of language.

It is possible to accept or reject them through browser settings.

Mobile

It is used to display the main website if the user visits the Site through a mobile device. (For example, the device activated the flash or user is in a mobile site which do not require a Flash.) The From Site is recorded in order to comprehend the user preferences better.

It is possible to accept or reject them through browser settings.

Flash Cookies

Flash Cookies

It activates the audio and video contents to be played.

It is possible to accept or reject them through browser settings.

Is It Possible to Avoid the Usage of Cookies by Data Owners?

Data owners have the ability to customise their preferences regarding cookies by changing their browser settings. If the browser, which is used, provides the user with such opportunity then, it is possible to change the preferences regarding Cookies through the browser settings. Thus, while it may vary across the possibilities offered by the browser used data owners have the opportunity to block usage of cookies or to receive a warning before using cookies or deactivate or delete only the certain Cookies.

Preferences regarding cookies may be required to be determined and adjusted separately for each different device through which the user gain access to the Platform.

Adobe Analytics

http://www.adobe.com/uk/privacy/opt-out.html

AOL

https://help.aol.com/articles/restore-security-settings-and-enable-cookie-settings-on-browser

Google Adwords

https://support.google.com/ads/answer/2662922?hl=en

Google Analytics

https://tools.google.com/dlpage/gaoptout

Google Chrome

http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95647

Internet Explorer

https://support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies

MozillaFirefox

http://support.mozilla.com/en-US/kb/Cookies

Opera

http://www.opera.com/browser/tutorials/security/privacy/

Safari

https://support.apple.com/kb/ph19214?locale=tr_TR

DATA OWNER APPLICATION MANAGEMENT POLICY 

DOCUMENT NO

:

GM-P004

APPROVED BY

BOARD OF DIRECTORS

DATE OF APPROVAL

:

05/01/2019

LAST REVISION DATE

:

00/0000

VERSION NO

:

01

RELATED DOCUMENTS

:

Personal Data Retention and Destruction Policy

Data Owner Application Form 

 

CONTENTS

     

1.& PURPOSE. 2

2.& SCOPE. 3

3.& RESPONSIBILITY. 3

4.& DEFINITION.. 3

5.& APPLICATION RIGHT. 4

6.& APPLICATION PROCEDURES. 5

7.& APPLICATION RECORDING. 6

8.& APPLICATION EVALUATION.. 7

8.1. PERSONAL DATA DETECTION.. 7

8.2. INFORMATION REQUEST FOR PERSONAL DATA PROCESSED.. 7

8.3. CORRECTION REQUEST FOR PERSONAL DATA PROCESSED.. 7

8.4. DELETION/ DESTRUCTION REQUEST FOR PERSONAL DATA PROCESSED.. 7

8.5. REQUEST FOR NOTIFICATION OF CORRECTION / DELETION / DESTRUCTION REQUESTS REGARDING THE PROCESSED PERSONAL DATA TO THE DATA TRANSMITTED PARTIES. 8

8.6. OBJECTING TO THE EMERGENCE OF A RESULT AGAINST THE PERSON HIMSELF/HERSELF. 8

8.7. REQUEST TO ELIMINATE THE LOSS, IN CASE THE PERSONAL DATA IS DAMAGED DUE TO UNLAWFUL PROCESSING OF PERSONAL DATA.. 8

9.& RESPONDING APPLICATION.. 8

10. FEE. 9

  1. PURPOSE

The purpose of this policy is to explain the operation and communication channels established regarding the management, execution and recording of the applications of the data owners with the implementation of the Law by the company ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ (company) in the capacity of data controller in accordance with Personal Data Protection Law No. 6698 (Law). 

  1. SCOPE

These policy provisions apply to natural persons who have personal data processed by the Company in full or partial automation, or non-automated means provided that they are part of any data recording system.

  1. RESPONSIBILITY

This policy has been approved and implemented by the Company’s Board of Directors. Within the framework of the policy, all activities to be carried out in the company and the measures to be taken are defined by the appropriate procedures. The Company's management is responsible for preparing, updating and implementing these procedures.

Contact Person

  • is responsible for ensuring communication in responding to requests to be made by the data owners to the Company.
  • is responsible for ensuring that the applications of the data owner are answered within 30 days at the latest in line with the responses conveyed by the relevant departments.
  • is responsible for ensuring the communication between the Board and the Company and meeting the requests of the Board.

Department Managers

  • Department managers are responsible for ensuring that the contact applications received by them are examined and responsed within 1 week at the latest.
  1. DEFINITIONS

Anonymization

Rendering personal data by no means identified or identifiable with a natural person even by linking with other data.

Application

Application made under Article 13 of the Law

Secure Electronic Signature

The electronic signature, which is linked exclusively to the signer and is created using the secure electronic signature creation tool available only to the signer, identifies the signer using the qualified electronic certificate and ensures that changes have been made to the signed electronic data.

Data owner 

Natural person whose personal data are processed.

Destruction

Deletion, Destruction, and Anonymization of Personal Data

Contact Person 

Legal person reported to the Registry by the data officer for communication with the institution during registration, regarding the obligations of its representative under the Law and secondary regulations to be issued based on this Law of the legal person representative of data controller not residing at Turkey with legal persons residing at Turkey. 

Law

Turkish Personal Data Protection Law no. 6698

Recording Medium

Any medium in which personal data are processed, which are fully or partially automated, or processed in non-automated ways, provided that they are part of any data recording system.

Registered e-mail (REM) address

Qualified form of electronic mail that provides legal evidence regarding the use of electronic messages, including their delivery and delivery.

Personal Data

Any information relating to an identified or identifiable natural person.

Anonymization of personal data

Making personal data unrelated to an identified or identifiable natural person under any circumstances, even by matching with other data.

Processing of personal data

Any operation which is performed upon personal data such as collection, recording, retention, preservation, alteration, adaptation, disclosure, transfer, retrieval, making available for collection, categorization or blocking its use by wholly or partly automatic means or otherwise than by automatic means which form part of a filing system.

Deletion of personal data

Making personal data inaccessible and unusable to relevant users in any way.

Destruction of personal data

Making personal data inaccessible, retrievable and reusable by anyone.

Board

The Board of Protection of Personal Data.

Authority

The Authority of Protection of Personal Data.

Mobile signature

Electronic signature created using a mobile device

Data controller

Natural or legal person who determines the purposes and means of the processing of personal data, and who is responsible for establishment and management of the filing system.

  1. APPLICATION RIGHT

Pursuant to Article 11 of the Law, the data owner has the right to apply to our Company to

request the following:

Find out if personal data is processed,

b) If personal data is processed, requesting information about it,

c)  Learning the purpose of processing personal data and whether they are used in accordance with its purpose,

ç)  To know the third parties to whom personal data are transferred domestically or abroad,

d) Requesting correction of personal data if it is incomplete or incorrectly processed,

e) Request personal data to be deleted or destructed,

f)  to request notification of transactions made in accordance with clauses (d) and (e) to third parties to whom personal data are transferred,

g)  To object to the emergence of a result against the person by analysing the processed data exclusively through automated systems,

ğ)  In the event that personal data is damaged due to illegal processing, the data owner has the right to demand the removal of the damage.

The data owner can benefit from this right provided that the application is made in Turkish.

Personal data owners will not be able to assert their rights in case of the following situations where the provisions of the law are not applied:

  • Processing personal data for art, history, literature or scientific purposes or within the scope of freedom of expression, provided that they do not violate national defence, national security, public security, public order, economic security, privacy or personal rights, or constitute a crime.
  • Processing personal data for purposes such as research, planning and statistics by anonymizing with official statistics.
  • Processing personal data within the scope of preventive, protective and intelligence activities carried out by public institutions and organizations authorized by law to provide national defence, national security, public security, public order or economic security.
  • Processing of personal data by judicial authorities or enforcement authorities regarding investigations, prosecutions, trials and execution proceedings.

Except for the obligation of illumination and the right to demand compensation, provided that it complies with the purpose and basic principles of the Law, personal data owners will not be able to assert their rights if:

  • Personal data processing is necessary for crime prevention or criminal investigation.
  • Processing of personal data personalized by the personal data owner.
  • In case that personal data processing is necessary for the disciplinary investigation or prosecution by the authorized public institutions and organizations and the professional institutions that are public institutions based on the authority given by the law.
  • Personal data processing is necessary to protect the state's economic and financial interests in relation to budget, tax and financial matters.
  1. APPLICATION PROCEDURES

The data owner may submit his or her requests to the Company for the implementation of the law by filling in the data owner application form at www.anexservices.com.tr with the information and documents that determine his or her identity, using the methods indicated below.

  • After the application form has been filled in, the data owner writes ‘“Personal Data Protection Law Information Request’’ on the envelope - the notification, and transmits it either manually or through a notary, to the address Serik Cad No: 305A - 1 Aksu - ANTALYA.

•&   After the application form has been filled in, the data owner signed it with the “secure electronic signature” within the scope of Electronic Signature Law No. 5070 and sent it to [email protected] address by writing “Personal Data Protection Law Information Request” to the subject part by registered e-mail.

In written applications, the date when the document is notified to the Company is the application date. For applications made with the other method, the date the application reaches the Company is the application date.

  1. APPLICATION RECORDING

If the Application Form is submitted by hand, the identity of the person concerned is determined by checking the identity document (Name-Surname, Identity Number).

In order for a person other than the personal data owner to make a request, the original power of attorney issued on behalf of the person to apply by the personal data owner must be submitted. A copy of the power of attorney is kept in the annex.

The application for personal data of persons under the age of 18 can be made by their legal representative. In this case, copies of the documents that determine the authority of the legal representative are requested and a copy of it is kept in the application annex.

In applications made with secure electronic signature, the identity of the applicant can be legally determined with a qualified electronic certificate based on e-signature.

Applications made in writing by the data owner in person or through a notary are recorded in the Documents Registry by the Correspondent and delivered to the Contact Person against the signature.

Applications made to the registered e-mail address are sent to the Contact Person by e-mail by the Financial Advisor or authorized person.

The Contact Person checks whether the application is in accordance with the procedures set out in this Policy and whether the information and documents required to be included in the application form are complete. For applications that are not in accordance with the procedure, they contact the person concerned to provide the necessary information. Nevertheless, applications that are inappropriately and incomplete information / documented are rejected after being notified in writing to the person concerned.

Applications received in accordance with the procedure are forwarded by the Contact Person to the relevant department manager listed below, according to the category of the applicant.

• Candidate employee, former employee: Human Resources

• Supplier: Accounting / Purchasing

• Customer / Guest: Related Department

• Visitor: Security

• Other: Information Technologies / Law

  1. APPLICATION EVALUATION
 
  1. PERSONAL DATA DETECTION

In order to evaluate the requests of the data owners, firstly, it should be determined by the relevant department whether the personal data of the applicant is processed before the Company.

For this purpose, firstly, the relevant process, data category, recording medium and storage location in the Personal Data Inventory are determined based on the information in the Application Form. In addition to the review made on the Data Inventory, the data owner information on the application form is checked by searching on the Company databases.

If the personal data specified by the relevant person in the application form are not found in the relevant processes and systematic testing, the Contact Person is informed by e-mail.

If personal data specified by the relevant person in the application form are encountered in the relevant processes and systematic testing, one of the following steps is carried out in accordance with the request of the personal data owner and the requirement is fulfilled.

  1. INFORMATION REQUEST FOR PERSONAL DATA PROCESSED

In line with the request of the person concerned, specified in the 11/1 of the Law and in the in the clause  (a) (b) (c) and (ç) of article 5 of this Policy, personal data processed in the Personal Data Inventory, the data processing purpose, the transmitted party and the transfer purpose information are sent to the Contact Person by e-mail.

  1. CORRECTION REQUEST FOR PERSONAL DATA PROCESSED

In line with the request of the relevant person specified in the 11/1 of the Law and in the clause (d) of article 5 of this Policy, the personal data provided by the data owner and the documents proving them and the information in the Company records are compared. The data determined to be processed as defective or incomplete at the company are forwarded to the relevant department where the data is recorded together with the proving documents for correction and updated.

Information regarding the updated data is sent to the Contact Person by e-mail.

  1. DELETION/DESTRUCTION REQUEST FOR PERSONAL DATA PROCESSED

In line with the request of the relevant person specified in 11/1 of the Law and in the clause (e) of article 5 of this Policy, it is determined in which processes that the Personal Data Inventory should be stored and processed due to legal obligation.

If there is no obligation to store and process due to legal obligation, related personal data will be deleted and destroyed in accordance with the Personal Data Retention and Destruction Policy. Upon completion of the deletion / destruction process, the information that the relevant personal data has been deleted and destructed is shared with the Contact Person.

If there is an obligation to process and store due to legal obligation, the Contact Person is informed that his request could not be fulfilled because the legal obligation, which is the basis for personal data processing, has not disappeared.

  1. REQUEST FOR NOTIFICATION OF CORRECTION / DELETION / DESTRUCTION REQUESTS REGARDING THE PROCESSED PERSONAL DATA TO THE DATA TRANSMITTED PARTIES

In line with the request of the person concerned specified in the 11/1 of the Law and in clause (f) of article 5 of this Policy, The categories of people whose data are transferred from the Personal Data Inventory are determined.

If the person's request for correction / deletion or destruction has been fulfilled, the parties whose data are transferred are asked to carry out the same transactions and to confirm in writing that the request has been fulfilled.

Information about the request of the person's correction / deletion or destruction has been fulfilled by the third parties to whom the personal data is transferred is sent to the Contact Person by e-mail.

  1. OBJECTING TO THE EMERGENCE OF A RESULT AGAINST THE PERSON HIMSELF/HERSELF   

In line with the request of the relevant person specified in the 11/1 of the Law and in the clause (g) of article 5 of this Policy, the process alleged to have a result against the data subject is examined.

If it is determined that there is no deficiency and error in the personal data processed in the process or during the process, it is informed to the Contact Person in this direction.

If any deficiencies or errors are detected in the process or in the personal data processed during the process, the information that the change made has been in favor of the person and the systems have been updated in this way is sent to the Contact Person via e-mail.

  1. REQUEST TO ELIMINATE THE LOSS, IN CASE THE PERSONAL DATA IS DAMAGED DUE TO UNLAWFUL PROCESSING OF PERSONAL DATA
 

In accordance with the request of the relevant person specified in the 11/1 of the Law and in the clause (ğ) article 5 of this Policy, the loss request is examined with the participation of the Legal Advisor and the relevant departments. The action to be taken as a result of the examination and the response to the application are determined and processed through Legal Counseling.

Elimination of the damage caused by the person concerned due to the processing of personal data in violation of the Law is carried out with the approval of the Senior Management (Board of Directors / General Coordinator).

  1. RESPONDING APPLICATON

Data Owner requests must be evaluated and finalized by the Company as soon as possible and within 30 days at the latest.

Examination of the applications submitted to the relevant departments should be finalized within 1 week from the date of receipt and notified to the Contact Person.

The Contact Person sends the information and documents related to the application to the Legal Advisor in order to examine the answers and actions taken from the relevant departments in terms of compliance with the legal order and the Law.

The letter prepared by the legal advisor according to the approval of the law and the result of the examination in response to the application is sent to the data owner by the Contact Person within thirty (30) days at the latest. The reply letter should include at least the following information;

  1. Information about the company or its representative,
  2. The applicant’s name and surname, for the citizens of the Republic of Turkey T. C. identity number, nationality for foreigners, passport number or identity number, if any, place of residence or workplace based on notification, e-mail address based on notification, telephone and fax number,
  3. Request subject
  4. Company's explanations regarding the application

Personal data of third parties may not be included in the responses to the application. In cases where the application cannot be responded without including the personal data belonging to third parties, the information of the third party is concealed / anonymized or shared by the relevant person.

The responses given to the applications made through the notary public are printed on the company letterhead and signed in two copies by the signatory authorities of the Company. The reply letter is recorded in the Document Registry and given to the correspondent to be sent to the applicant by mail.

The responses given by electronic signature are signed by the signature officers of the Company with electronic signature using a secure electronic signature. The reply is sent to the applicant's electronic mail account.

All the records, examination results, inquiries, correspondence, legal opinions and responses regarding the relevant application, written in the electronic directory created by the Contact Person, are stored in the archive.

  1. FEE

The company concludes the requests in the application free of charge. However, if the transaction requires additional cost, the following tariff determined by the Board with the approval of the senior management may be applied:

  • If the application of the person concerned is to be responded in writing, there is no fee for up to ten pages. 1 Turkish Lira transaction fee may be charged for each page above ten pages.
  • If the response to the application is given in a recording medium such as CD, flash memory, the fee that can be requested by the Company cannot exceed the cost of the recording medium.

In case the application is caused by the Company's fault, the fee collected is returned to the relevant person.

Some rights are granted to owners of personal data pursuant to the Law and in accordance with the 11th Clause of Personal Data Protection Law numbered 6698 (the Law). In order to exercise your rights within the scope of the Law, please submit your requests to the Company, which is your data supervisor, to the following addresses by filling out this application form clearly and fully pursuant to first subparagraph of the 13th clause of Law:

  • A copy which bears the wet signature to “Barbaros Mah. Serik Cad No:305A/1 Aksu/ANTALYA in person by hand or through public notary.
  • By sending the form that bears the secure electronic signature to  [email protected]. via registered electronic mail after the form is signed by means of ‘‘secure electronic signature’’ within the scope of Electronic Signature Act numbered 5070.

We will reply your application as promptly as practicable or within 30 days at the latest. In the case that the information and documents you submitted to us are incomplete or incomprehensible, we will get in contact with you in order to clarify your application.

  1. INFORMATION OF THE DATA OWNER

Name-Surname

Republic of Turkey Identity Number (For the citizens of Republic of Turkey)

Nationality and passport/Identity Number (For foreigners)

Phone Number

Residential Address/Workplace Address

E-mail Address

  1. YOUR RELATIONSHIP WITH OUR COMPANY (Please specify your relationship with our Company such as customer, business partner, employee candidate, former employee, employee of the third party company and shareholder).

 Customer

 Visitor

 Business Partner 

 Employee

 Other (please specify)

  1. CONTENT OF THE APPLICATION (Please specify your demand within the scope of the Law and your personal data regarding the application in detail. Please attach the relevant information and documents to your application.)
  1. STATEMENT OF THE APPLICANT 

In accordance with the requests I specified above, I kindly request my application that I submitted to your company to be evaluated within the scope of 13th clause of the Law and to be informed in this regard. I hereby declare and undertake that the information and document which I provided to you through this application and your Company may demand additional information in order to complete my application and that I have been informed about the fact that I may be required to pay the amount determined by the Board in case any additional cost arises.

Notification Method of the Application Response (Please select one of the following)

 

 I want it to be sent to the address that I stated via mail.

 I want it to be sent to my e-mail address that I stated.

 

Applicant/Owner of Personal Data

 

Name and Surname  : 

Application Date  : 

Signature    : 

 Текст настоящей Пояснительной записки подготовлен    АО "Анекс Сервисез Туризм Организасьон Ташимаджилык Тиджарет"  (Anex Services Turizm Organizasyon Taşımacılık Ticaret Anonim Şirketi) (Компания), действующим в качестве   ответственного за обработку персональных данных   на основании Закона №6698 "О защите персональных данных" (Закон)  , с целью ознакомления общественности. Подробная информация о положениях настоящей Пояснительной записки содержится на вебсайте www.anexservices.com.tr в разделе «Политика в отношении защиты и обработки персональных данных».

В соответствии с Законом нижеперечисленные понятия означают следующее:

Прямое согласие: согласие, выражаемое по собственной воле после, будучи полностью проинформированным в отношении конкретного вопроса;

Персональные данные: любая информация, касающаяся конкретного или идентифицируемого физического лица;  

Персональные данные особого характера: данные о расе, этническом происхождении, внешнем виде и одежде, членстве в ассоциациях, фондах или профсоюзах, состоянии здоровья, интимной жизни, данные о судимости и мерах безопасности, биометрические и генетические данные;    

Обработка персональных данных: получение, запись, хранение, архивирование, изменение, реорганизация, раскрытие, передача, переуступка, подготовка, предоставление, классификация или ограничение доступа к персональным данным с использованием полностью или частично автоматизированных систем или же при совершении любых операций, являющихся частью неавтоматизированной системы.  

1. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Обрабатываемые Компанией персональные данные классифицируются следующим образом:

  • Идентификационная информация (удостоверение личности, водительские права, информация в паспорте и пр.)
  • Контактная информация (адрес, адрес электронной почты, номер телефона, зарегистрированный адрес электронной почты и пр.)
  • Информация о местоположении
  • Информация о сотрудниках (информация о заработной плате, дисциплинарных взысканиях, входе-выходе с рабочего места, декларации об имуществе, резюме, оценке производительности труда, отпусках и пр.)
  • Информация о правовых операциях (информация из уведомлений судебных органов, информация о материалах дела и пр.)
  • Информация о клиентских транзакциях (записи о предоставлении продуктов и услуг, запросы, инструкции и пр.)
  • Сведения о безопасности физического пространства (информация о входе и выходе сотрудников и посетителей, записи с камер и пр.)
  • Безопасность транзакций (IP-адрес, информация для входа и выхода с веб-сайта, пароль и сведения о пароле и пр.)
  • Управление рисками (доверенность, образец подписи, обработанная информация для управления коммерческими, техническими, административными рисками)
  • Финансовая информация (баланс, финансовая производительность, информация о банковском счете и пр.)
  • Информация о профессиональном опыте (сведения о дипломах, пройденных курсах, курсах повышения квалификации, сертификатах и пр.)
  • Маркетинговая информация (информация об истории покупок, анкеты, файлы cookie, полученная в ходе кампании информация)
  • Аудио/визуальная информация
  • Персональные данные особого характера (сведения о привлечении к уголовной ответственности; медицинская информация; религиозная принадлежность; сведения о судимости; сведения о расовой принадлежности)
  • Прочая информация (информация об использовании принадлежащих компании транспортных средств, данные системы слежения за автотранспортными средствами; штрафы за нарушение ПДД, отчеты об авариях, отчеты о несчастных случаях на производстве, документы об использовании транспортных средств и пр.)

2. Цель обработки персональных данных

В соответствии со ст. 5 и 6 Закона ЗПД, персональные данные обрабатываются:

  1. в соответствии с принципами законности и добросовестности,
  2. в соответствии с принципами достоверности и актуальности,
  3. в конкретных, четких и законных целях,
  4. исключительно в рамках, пределах и объеме целей обработки,
  5. с хранением на протяжении срока, предусмотренного для конкретных целей обработки информации;

в следующих целях:

  • выполнение уставной деятельности Компании в соответствии с законодательством, политикой и процедурами Компании;
  • точное и полное выполнения обязательств Компании, возникающих из заключенных Компанией соглашений, условий предоставлений продукции и услуг;
  • выполнение правовых обязательств;
  • продажа продуктов и услуг, предлагаемых Компанией;
  • взаимодействие между поставщиками, деловыми партнерами, внешними поставщиками услуг и клиентами;
  • реализация кадровой политики и процессов;
  • планирование и внедрение процессов информационной безопасности и непрерывности бизнеса;
  • обеспечение физической, юридической и коммерческой безопасности Компании, ее персонала, клиентов и лиц, вступающих деловые отношения с Компанией;
  • проведение маркетинговых аналитических исследований;
  • выполнение коммуникационной и маркетинговой деятельности;
  • управление уровнем удовлетворенности сотрудников и клиентов;
  • выполнение финансовых, бухгалтерских и оперативных процессов;
  • организация и управление мероприятиями;
  • осуществление контроля качества путем проведения аудита и управления рисками;
  • планирование и проведение внутренних / внешних учебных мероприятий;
  • планирование и выполнение оперативной деятельности, направленной на осуществление уставной деятельности Компании в соответствии с процедурами Компании и / или соответствующим законодательством;
  • создание и отслеживание записей о посетителях и обеспечение безопасности помещений и производственных мощностей компании;
  • сопровождение правовых процессов;
  • предоставление информации уполномоченным лицам и организациям.

Компания не использует и не продает персональные данные в каких-либо других целях, помимо указанных в настоящих документах целей, объемов и сфер деятельности. Компания принимает все необходимые технические и административные меры для правовой защиты персональных данных, предотвращения незаконного доступа к персональным данным и обеспечения безопасности персональных данных.

Подробная информация о целях обработки персональных данных Компанией содержится на вебсайте www.anexservices.com.tr в разделе  «Политика в отношении защиты и обработки персональных данных» .

3. Передача персональных данных

Для реализации вышеуказанных процессов и целей персональные данные могут передаваться при наличии прямого согласия их владельца или, в соответствии с положениями Закона "О защите персональных данных" в случаях, описанных в п. 2 ст. 5, (а) когда это напрямую предусмотрено законодательством, b) Необходимость защиты жизни или физической неприкосновенности лица, которое физически не в состоянии выразить свое согласие или не осознающего его юридической правомерности или же других лиц, c) Необходимость обработки персональных данных сторон договора при условии, что они напрямую связаны с подготовкой или исполнением договора, ç) необходимость выполнения правовых обязательств ответственного за обработку персональных данных, d) предоставление персональных данных общественности заинтересованным лицом, e) в случаях, когда обработка данных является обязательной для установления, использования или защиты прав, f) Необходимость обработки данных для обеспечения законных интересов ответственного за обработку персональных данных при условии, что такая обработка не наносит ущерб основным правам и свободам заинтересованного лица) для обработки деловым партнерам, поставщикам, акционерам, должностным лицам компании, группам компаний / акционерам / уполномоченным лицам, третьим лицам / организациям, юридически уполномоченным государственным учреждениям и частным юридическим лицам, давшими обязательство о неразглашении конфиденциальных данных для обработки информации, а также в случаях, описанных в п. 3 ст. 6, при условии принятия соответствующих мер, персональные данные о состоянии здоровье и интимной жизни могут предоставляться исключительно с целью защиты общественного здоровья, принятия профилактических медицинских мер, медицинской диагностики, лечения и ухода, планирования, управления и финансирования служб здравоохранения в следующих целях:  

  • удовлетворение запроса информации и документов, получаемых от уполномоченных государственных учреждений и организаций, а также частных юридических лиц в рамках законодательства;
  • реализация корпоративного законодательства, коммерческой деятельности, управление мероприятиями и процессами корпоративных коммуникаций;
  • разработка, внедрение и управление стратегиями, связанными с коммерческой деятельностью Компании; реализация мониторинговой и аудиторской деятельности и управления рисками;
  • реализация процессов, коммерческой деятельности и проведения разбирательств, связанных с жалобами/исками клиентов, требующих участия ассоциации компаний;
  • управление процессами, связанными с товарами и услугами, предоставляемыми третьими лицами, получение консультационных, аудиторских услуг и услуг поддержки;
  • организация  делового партнерства и предоставление услуг клиентам.

Подробная информация о передаче персональных данных Компанией содержится на вебсайте www.anexservices.com.tr в разделе  «Политика в отношении защиты и обработки персональных данных».

4. Порядок и правовые основания для сбора персональных данных

Персональные данные могут собираться с помощью автоматизированных систем или неавтоматизированных систем, являющихся частью системы обработки данных ассоциацией компаний,  третьими лицами/учреждениями, вступившими в договорные отношения с целью предоставления услуг по обработке данных  или направляться вами по соответствущим каналам связи в устном, письменном или электронном виде.

4.1 Персональные данные могут обрабатываться при наличии прямого согласия их владельца в соответствии со статьей 5 (1) Закона, или без прямого согласия в соответствии со статьей 5 (2) в нижеперечисленных случаях:

  1. когда это напрямую разрешено законодательством.
  2. Необходимость защиты жизни или физической неприкосновенности лица, которое физически не в состоянии выразить свое согласие или не осознающего его юридической правомерности или же других лиц.
  3. Необходимость обработки персональных данных сторон договора при условии, что они напрямую связаны с подготовкой или исполнением договора.
  4. Необходимость выполнения правовых обязательств ответственным лицом по обработке данных.
  5. Предоставление личных данных общественности самим лицом.
  6. В случаях, когда обработка данных является обязательной для установления, использования или защиты прав.
  7. Необходимость обработки данных для обеспечения законных интересов ответственного лица при условии, что такая обработка не наносит ущерб основным правам и свободам соответствующего лица.

4.2 Персональные данные особого характера, кроме данных о состоянии здоровье и половой жизни, могут обрабатываться при наличии прямого согласия в соответствии со статьей 6 (2) Закона или без него в предусмотренных в ст. 6 (3) Закона случаях.

4.3 Данные о состоянии здоровье и половой жизни, могут обрабатываться при наличии прямого согласия в соответствии со статьей 6 (2) Закона. Персональные данные о состоянии здоровья и половой жизни могут предоставляться исключительно с целью защиты общественного здоровья, принятия профилактических медицинских мер, медицинской диагностики, лечения и ухода, планирования, управления и финансирования служб здравоохранения и в случае отсутствия прямого согласия могут обрабатываться лицами или уполномоченными организациями, давшими обязательство о неразглашении конфиденциальных данных.

5 Законные права владельца данных

В соответствии со ст. 11 Закона владелец данных имеет право обращения в Компанию в отношении своих персональных данных для выполнения следующих действий:

  • осуществление запроса о статусе, цели обработки информации и использования персональных данных в соответствии с целью обработки;
  • получение сведений о предоставлении персональных данных третьим лицам внутри страны или за рубеж в соответствии с действующим законодательством;
  • требование исправления персональных данных в случае их неполной или неправильной обработки;
  • требование удаления или уничтожения персональных данных на условиях, предусмотренных Законом;
  • осуществление запроса об уведомлении третьих лиц о передаче информации об исправлении, удалении или аннулировании, а также о передаче персональных данных;
  • опротестование результатов анализа, выполненного автоматизированным системами, направленных против владельца данных;
  • требование возмещения ущерба, понесенного в случае незаконной обработки персональных данных.

Во исполнение Закона и осуществления связанных с ним прав просим заполнить находящуюся на веб-странице  www.anexservices.com.tr  "Форму заявки владельца данных" и отправить ее в Компанию нижеперечисленными способами. В случае, если Советом по защите персональных данных будет определен новый порядок подачи заявления, Компания уведомит о таком порядке.

  • После заполнения формы заявки владельца данных ее экземпляр с оригинальной подписью передается лично или через нотариуса по адресу:  Barbaros Mah. Serik Cad No: 305A / 1 Aksu / ANTALYA/АНТАЛЬЯ, ТУРЦИЯ
  • После заполнения и подписания "защищенной электронной подписью" в соответствии с положениями закона №5070 "Об электронной подписи" формы заявки владельца данных форма отправляется по адресу электронной почты [email protected].

Подающиеся таким образом заявки обрабатываются в кратчайший срок, не превышающий 30 дней. На данное время подача заявок осуществляется на бесплатной основе. При этом, в случае утверждения Советом по защите персональных данных тарифа, за услугу взимается плата в соответствии с утвержденным тарифом.

В связи с обязательным условиям наличия в форме нижеперечисленных сведений, заявки с какими-либо отсутствующими сведениями обработке не подлежат. Соответственно, помимо предмета запроса, в форме заявки должны содержаться следующие данные:

a. имя, фамилия и, в случае подачи заявки на бумажном носителе, подпись,

b. идентификационный номер ТР для граждан Турецкой Республики, номер паспорта или идентификационного документа для граждан других государств,

c. адрес проживания или места работы для получения уведомления,

d. адрес электронной почты, номер телефона или факса,

e. четко указанный предмет запроса.

Убедительно просим принять данную информацию к сведению.

АО "АНЕКС СЕРВИСЕЗ ТУРИЗМ ОГАНИЗАСЬОН ТАШИМАДЖИЛЫК ТИДЖАРЕТ"

АДРЕС: Barbaros Mah. Serik Cad No: 305A / 1 Aksu / ANTALYA/АНТАЛЬЯ, ТУРЦИЯ

НОМЕР В ЕДИНОМ РЕЕСТРЕ ЮРИДИЧЕСКИХ ЛИЦ: 0764038778500017

НОМЕР РЕГИСТРАЦИИ В ТОРГОВОЙ ПАЛАТЕ: 83427

НАЛОГОВАЯ АДМИНИСТРАЦИЯ: Налоговая администрация по обслуживанию учреждений Антальи

НАЛОГОВЫЙ НОМЕР: 7640387785

КОД ДОКУМЕНТА

:

GM-P002

УТВЕРДИЛ

ПРАВЛЕНИЕ

ДАТА УТВЕРЖДЕНИЯ

:

05/01/2019

ДАТА ПОСЛ. РЕД.

:

00/0000

ВЕРСИЯ

:

01

СВЯЗАННЫЕ ДОКУМЕНТЫ

:

Политика в отношении защиты и обработки персональных данных 

Политика в отношении защиты и обработки персональных данных особого характера

Пояснительная записка о защите и обработке персональных данных

СОДЕРЖАНИЕ

1.   ЦЕЛЬ. 2

2.   СФЕРА ДЕЙСТВИЯ. 3

3.   ОТВЕТСТВЕННОСТЬ. 3

4.   ОПРЕДЕЛЕНИЯ. 3

5.   НОСИТЕЛИ ДАННЫХ. 5

6.   ЮРИДИЧЕСКИЕ, ТЕХНИЧЕСКИЕ ИЛИ ДРУГИЕ ОСНОВАНИЯ ДЛЯ ХРАНЕНИЯ ИЛИ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. 5

7.   МЕРЫ. ПРИНИМАЕМЫЕ В ЦЕЛЯХ БЕЗОПАСНОГО ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРЕДОТВРАЩЕНИЯ ИХ НЕЗАКОННОГО ХРАНЕНИЯ ИЛИ ДОСТУПА К НИМ.. 6

7.1     АДМИНИСТРАТИВНЫЕ МЕРЫ.. 7

7.2     ТЕХНИЧЕСКИЕ МЕРЫ.. 7

8.   МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ    8

8.1.   УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. 8

8.2.   УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. 9

8.3.   АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. 10

8.3.1 Методы анонимизации, не обеспечивающие нерегулярность показателей: 11

8.3.2 Методы анонимизации, обеспечивающие нерегулярность показателей i: 11

8.3.3 Статистические способы для усиления анонимизации: 11

9.   ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ .   11

10.     СРОКИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ . 12

10.1  СРОКИ ОФИЦИАЛЬНОГО УДАЛЕНИЯ, УНИЧТОЖЕНИЯ И АНОНИМИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ  13

10.2  СРОКИ УДАЛЕНИЯ, УНИЧТОЖЕНИЯ И АНОНИМИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ЗАПРОСУ ЗАИНТЕРЕСОВАННОГО ЛИЦА. 13

ПРИЛОЖЕНИЕ 1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ  13

  1. ЦЕЛЬ

 Цель настоящей Политики состоит в предоставлении сведений о принципах и правилах хранения в течение максимального срока обработанных персональных данных и их уничтожения, оперативных правил и ответственности учреждения за контроль и принятие мер, в отношении вышеуказанных действий, выполняемых   АО "АНЕКС СЕРВИСЕЗ ТУРИЗМ ОРГАНИЗАСЬОН ТАШИМАДЖИЛЫК ТИДЖАРЕТ (ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ)    (Компания),  действующего в качестве Ответственного лица за обработку персональных данных на основании Закона №6698 "О защите персональных данных" (Закон).

 

В соответствии с миссией, видением и основными принципами, определенными в Стратегическом плане, основным приоритетом является обработка персональных данных сотрудников Компании, соискателей должности, поставщиков услуг, посетителей и других третьих лиц в соответствии с Конституцией Турецкой Республики, международными договорами, Законом № 6698 о защите персональных данных («Закон») и другими соответствующими законодательными актами, а также обеспечивается эффективная реализация прав соответствующих лиц. Работы и операции по хранению и уничтожению персональных данных осуществляются Компанией в соответствии с разработанной в этом направлении Политикой.

  1. СФЕРА ДЕЙСТВИЯ

Положения настоящей политики применяются к клиентам, посетителям, сотрудникам, соискателям, акционерам, должностным лицам юридических лиц, вступивших в коммерческие отношения с Компанией (ассоциация компаний, партнеры, поставщики, консультанты и пр.), членам семей акционеров, сотрудников и владельцев данных, чьи персональные данные обрабатываются Компанией полностью или частично с помощью автоматизированных систем или неавтоматизированных систем, являющихся частью системы обработки данных. Настоящая политика разработана в соответствии с «Учетом персональных данных».

  1. ОТВЕТСТВЕННОСТЬ

Настоящая политика утверждена и введена в действие правлением Компании. Все действия, осуществляемые Компанией в рамках своей деятельности, а также принимаемые меры в рамках настоящей политики определяются соответствующими процедурами. Высшее руководство Компании несет ответственность за подготовку, обновление и реализацию данных процедур.

Все сотрудники Компании несут ответственность за выполнение своих обязанностей в соответствии с настоящей Политикой и всеми соответствующими процедурами и правилами.

  1. ОПРЕДЕЛЕНИЯ

Ниже перечислены важные определения, использующиеся в настоящей Политике. 

Группа получателей

Категория физических или юридических лиц, получающих персональные данные от ответственного за обработку данных

Облачные носители/системы

Такие системы, как Office 365, Salesforce, Dropbox, хранящие и обеспечивающие доступ к данным через интернет 

Непосредственные идентификаторы 

Идентификаторы, непосредственно раскрывающие, идентифицирующие и выделяющие личность человека, которому они принадлежат

Косвенные идентификаторы

Идентификаторы, которые необходимо объединить с другими идентификаторами для раскрытия, идентификации и выделения личности человека, которому они принадлежат

Заинтересованное лицо

Физическое лицо, персональные данные которого подвергаются обработке

Заинтересованный пользователь

Лица, обрабатывающие персональные данные в организационной структуре ответственного за обработку данных или в соответствии с полномочиями и инструкциями, полученными от ответственного за обработку данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных

Уничтожение

Удаление, уничтожение или анонимизация персональных данных

Закон

Закон № 6698 "О защите персональных данных"

Затемнение

Такие процедуры, как стирание, закраска и размывка всех персональных данных с целью обеспечения невозможности их ассоциации с известным или идентифицируемым физическим лицом

Носитель записи

Любая среда-носитель персональных данных, обрабатываемых полностью или частично автоматизированными системами или неавтоматизированными системами, являющимися частью системы обработки данных

Персональные данные

Любая информация о конкретном или идентифицируемом физическом лице

Учет обработки персональных данных

Деятельность по обработке персональных данных, осуществляющаяся в зависимости от деловой деятельности ответственного лица за обработку данных: детальная опись, содержащая информацию о целях обработки персональных данных, категории данных, группе получателей передаваемых персональных данных и максимальном сроке, необходимом для хранения персональных данных в соответствии с целями их обработки, персональных данных, подлежащих передаче за рубеж, а также мерах, принимаемых для обеспечения безопасности персональных данных

Обработка персональных данных

Получение, запись, хранение, архивирование, изменение, реорганизация, раскрытие, передача, переуступка, подготовка, предоставление, классификация или ограничение доступа к персональным данным с использованием полностью или частично автоматизированных систем или же при совершении любых операций, являющихся частью неавтоматизированной системы

Удаление личных данных

Процесс, делающие персональные данные недоступными и непригодными для использования соответствующими пользователями

Уничтожение персональных данных

Процесс, при котором персональные данные никогда не могут быть доступны, восстановлены или использованы повторно 

Анонимизация персональных данных

Процесс, обеспечивающий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств

Совет

Совет по защите персональных данных

Управление

Управление по защите персональных данных

Магнитная лента

Гибкая магнитная лента-носитель, хранящий данные с помощью микромагнитных частиц

Магнитный диск

Гибкий (дисковый) или жесткий носитель, хранящий данные с помощью микромагнитных частиц

Маскировка

Такие процедуры, как удаление, зачеркивание, закраска, сокрытия звездочками и т.д. части персональных данных с целью обеспечения невозможности их ассоциации с известным или идентифицируемым физическим лицом

Периодическое уничтожение

Периодическое официальное удаление, уничтожение или анонимизация персональных данных в случаях полного устранения необходимых условий для обработки персональных данных в соответствии с Политикой в отношении хранения и уничтожения персональных данных

Оператор данных

Физическое или юридическое лицо, обрабатывающее персональные данные на основании полномочий, полученных от ответственного за обработку персональных данных

Система учета данных

Система учета, в которой персональные данные обрабатываются в соответствии с определенными критериями

Ответственный за данные

Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и несущее ответственность за создание и управление системой учета данных

  1. НОСИТЕЛИ ДАННЫХ

Безопасное хранение персональных данных их владельцев данных обеспечивается на следующих носителях, предоставляемых Компанией в соответствии с действующим законодательством, в частности с положениями Закона и согласно принципам безопасности данных:

  1. Облачные носители
  2. Бумажные носители
  3. Центральные серверы
  4. Базы данных 
  5. Жесткие диски
  1. ЮРИДИЧЕСКИЕ, ТЕХНИЧЕСКИЕ ИЛИ ДРУГИЕ ОСНОВАНИЯ ДЛЯ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Полученные Компанией персональные данные обрабатываются в соответствии с условиями обработки, указанными в статьях 5 и 6 Закона, в объеме, указанном в Политике в отношении защиты и обработки персональных данных и хранятся в следующих целях:

  • Выполнение и проверка уставной деятельности Компании в соответствии с законодательством, стратегией, политикой и процедурами Компании
  • Реализация кадровой политики; планирование и реализация кадровых процессов,
  • Планирование и внедрение процессов информационной безопасности,
  • Обеспечение физической, юридической и коммерческой безопасности Компании, ее персонала, клиентов и лиц, вступающих деловые отношения с Компанией,
  • Планирование и реализация корпоративной коммуникационной и маркетинговой деятельности,
  • Выполнение правовых обязательств и реализации прав Компании, вытекающих из действующего законодательства в соответствии с требованиями законодательства или правовых норм,
  • Выполнение работ и транзакций в рамках подписанных договоров и протоколов,
  • Управление отношениями с ассоциацией компаний, деловыми партнерами и поставщиками,
  • Обеспечение коммуникации с физическими / юридическими лицами, находящихся в деловых отношениях с Компанией
  • Учет всех записей и документов, необходимых для основной деятельности,
  • Юридическая отчетность,
  • Предоставление вытекающей из законодательства информации законно уполномоченным учреждениям и организациям,
  • Выполнение свидетельских обязательств в потенциальных правовых разбирательствах.

Персональные данные, обрабатываемые в рамках деятельности Компании, хранятся на протяжении срока, предусмотренного следующими законодательно-нормативными актами:

  • Закон № 6698 "О защите персональных данных",
  • Торговый Кодекс Турции № 6102,
  • Обязательственный Кодекс Турции № 6098
  • Закон № 6502 "О защите прав потребителей"
  • Закон № 5510 "О социальном страховании и общем медицинском страховании",
  • Закон № 5651 «Об организации публикаций в интернете и борьбе с преступлениями, совершенными с помощью таких публикаций»,
  • Закон № 6331 "Об охране труда и технике безопасности",
  • Закон № 4857 "О труде",
  • Положение "О мерах по охране труда и технике безопасности, подлежащих к применению в зданиях и пристройках на местах выполнения работ",
  • Другие соответствующие законы и подзаконные акты 

Независимо от статуса обработки при устранении причин для обработки информации в соответствии с положениями Закона и других законодательных актов Компания периодически или по требованию заинтересованного лица удаляет, уничтожает или анонимизирует персональные данные.   Соответственно, удаление, уничтожение или анонимизация персональных данных выполняется в следующих случаях:

  • Поправка или отмена соответствующих положений законодательства, являющихся основанием для обработки персональных данных,
  • Отсутствие оформленного договора между сторонами, недействительность договора, самопроизвольное прекращение действия договора, расторжение или аннулирование договора
  • Устранение цели обработки персональных данных,
  • Выявление противоречия обработки персональных данных законодательству или правилам добропорядочности,
  • Отзыв прямого согласия владельца данных в случаях, когда обработка персональных данных происходит при наличии прямого согласия,
  • Принятие Компанией заявки заинтересованного лица относительно обработки персональных данных в рамках реализации прав, указанных в пунктах 1 (e) и (f) статьи 11 Закона,
  • В случаях отклонения Компанией заявки заинтересованного лица об удалении или уничтожении персональных данных, неадекватности ответа или неполучения ответа в предусмотренный Законом срок; подачи жалобы в Совет и удовлетворение ее Советом,
  • Отсутствие каких-либо обстоятельств, необходимых для хранения персональных данных на протяжении срока, превышающего максимальный срок хранения персональных данных,
  • Устранение обстоятельств, требующих обработки персональных данных согласно статьям 5 и 6 Закона 
  1. МЕРЫ, ПРИНИМАЕМЫЕ В ЦЕЛЯХ БЕЗОПАСНОГО ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРЕДОТВРАЩЕНИЯ ИХ НЕЗАКОННОЙ ОБРАБОТКИ ИЛИ ДОСТУПА К НИМ

Компания принимает технические и административные меры для обеспечения надлежащего уровня безопасности с целью предотвращения и защиты от незаконного доступа и обработки персональных данных; в целях соблюдения положений Закона проводятся необходимые проверки.  

  1. АДМИНИСТРАТИВНЫЕ МЕРЫ
  1. Проводится определение возможного риска в отношении защиты персональных данных; в случае возможности возникновения такого риска определяется возможный ущерб и предпринимаются меры для снижения или устранения риска.
  2. Обязанности, полномочия и ответственность персонала, участвующего в процессах, политике и процедурах, связанных с обработкой, конфиденциальностью и безопасностью персональных данных и их уничтожением, оформляются в письменном виде и предоставляются всем сотрудникам для ознакомления.
  3. Персонал проходит необходимую подготовку в сфере обработки, защиты и обеспечения безопасности персональных данных. 
  4. Обеспечивается обновление политики и процедура, а также осуществляется необходимое обучение и оповещение сотрудников о внесенных изменениях. 
  5. При найме на работу и подписании трудовых соглашений между Компанией и работников обеспечивается подписание работниками приложений к соглашению о защите и обеспечении конфиденциальности персональных данных. 
  6. В процессе проверки потребности хранения, а также соответствия условий хранения персональных данных, обеспечивается более надежное хранение персональных данных в архиве, а персональные данные, потребность в хранении которых отпала, удаляются, уничтожаются или анонимизируются в соответствии с настоящей Политикой.
  7. Доступ к хранящимся в Компании персональным данным ограничивается персоналом, для которого такой доступ предусматривается должностной инструкцией. 
  8. В случае несоблюдения сотрудниками определенных и оглашенных Компанией политики и процедур, в отношении таких сотрудников применяются санкции, предусмотренные Процедурой дисциплинарного взыскания
  9. В отношении обмена персональными данными, с лицами и операторами данных подписывается соглашение о конфиденциальности, касающиеся защиты и безопасности персональных данных, а уже существующие соглашения дополняются положениями о безопасности данных.
  10. В рамках политики и процедур проводятся регулярные проверки, планируются и осуществляются необходимые действия в отношении областей, требующих улучшения. 
  11. В целях обеспечения соблюдения положений Закона планируются и выполняются действия для незамедлительного устранения недостатков в конфиденциальности и безопасности, обнаруживающихся в результате проверок.
  12. В случае незаконного получения обработанных персональных данных посторонними лицами заинтересованное лицо и Совет незамедлительно оповещаются о такой ситуации.
  1. ТЕХНИЧЕСКИЕ МЕРЫ
  1. Для защиты систем информационных технологий и данных, содержащих персональные данные используются SSL-соединения, антивирусное и межсетевое программное обеспечение и оборудование.
  2. Неиспользуемое программное обеспечение и сервисы удаляются с устройств.
  3. Проводятся регулярные проверки соответствия работы программного и аппаратного обеспечения, адекватности принимаемых мер безопасности, а также обновления безопасности носителей данных; обеспечивается необходимое исправление и обновление программного обеспечения для устранения возможных пробелов в безопасности. Необходимые меры предосторожности предпринимаются по мере выявления рисков, угроз, уязвимостей и, при наличии, недочетов в информационной системе Компании.  
  4. Доступ к системам, содержащим персональные данные, предоставляется в рамках политики доступа, процедур управления пользователями и функциями. Объем и продолжительность авторизации пользователей, имеющих доступ к данным, четко определяются. Контролируется доступ сотрудников отдела ИТ к персональным данным.
  5. При необходимости удаленного доступа к данным используется по меньшей мере двухэтапная система аутентификации.
  6. Проводятся периодические проверки полномочий.
  7. Полномочия сотрудников, сменивших должность или уволившихся с работы, немедленно снимаются. Инвентарь, выделенный таким сотрудникам Компанией, возвращается.
  8. Обеспечивается техническая инфраструктура для предотвращения или определения утечки данных из компании.
  9. Обеспечивается соответствующее хранение записей всех транзакций пользователей (журнал регистрации).
  10. Проверка недостатков системы осуществляется путем проведения планового или аварийного тестирования на проникновение.
  11. Защита носителей и устройств, хранящих персональные данные, обеспечивается с помощью принятия мер физической безопасности. 
  12. В целях безопасности хранения персональных данных обеспечивается их резервное копирование и физическая безопасность резервных копий.
  13. Ведется регистрация доступа к зонам хранения персональных данных, а неправомерный доступ или его попытки тщательно контролируются.
  14. Уничтожение персональных данных происходит с обеспечением невозможности их восстановления и отметок в контрольном журнале.
  15. С целью обеспечения недоступности и непригодности для повторного использования заинтересованными пользователями удаленных персональных данных принимаются необходимые меры.
  16. В соответствии со ст. 12 Закона все данные на любых электронных носителях, содержащие персональные данные особого характера, хранятся криптографическим способом. Обеспечивается безопасное хранение криптографических ключей на различных носителях.
  17. При хранении и использовании персональных данных в облаке, в случаях шифрования персональных данных с использованием криптографических способов обеспечивается использование отдельных ключей шифрования, особенно для каждого обслуживаемого облачного решения. 
  18. При необходимости передачи персональных данных по электронной почте, обеспечивается их передача с зашифрованного корпоративного адреса электронной почты или с использованием учетной записи зарегистрированной электронной почты (KEP).
  19. При необходимости передачи данных на таких носителях, как флэш-карта, CD, DVD, данные зашифровываются криптографическими способами, а криптографический ключ хранится на разных носителях.
  20. При передаче данных между серверами на различных физических носителях передача данных осуществляется путем установки VPN между серверами или методом sFTP.
  21. При передаче данных на бумажных носителях в отношении таких рисков, как кража документов, их потеря или просмотр посторонними лицами принимаются необходимые меры предосторожности.
  1.  Меры, принимаемые для уничтожения ПЕРСОНАЛЬНЫХ ДАННЫХ в соответствии с законодательством 
  1. ПЕРСОНАЛЬНЫХ ДАННЫХ

Удаление персональных данных - это процесс, позволяющий сделать личные данные недоступными и непригодными для обработки заинтересованными пользователями. Компанией принимаются необходимые технические и административные меры с целью обеспечения недоступности и непригодности для повторного использования заинтересованными пользователями удаленных персональных данных.

Процесс удаления персональных данных происходит следующим образом:

  1. Идентификация персональных данных, подлежащих удалению.
  2. Определение заинтересованных пользователей для каждого вида персональных данных с использованием матрицы авторизации и контроля доступа или аналогичной системы.
  3. Определение полномочий и операций заинтересованных пользователей, таких как доступ, поиск и повторное использование.
  4. Снятие полномочий доступа, поиска, повторного использование персональных данных с заинтересованных пользователей и закрытие доступа к операциям. 

Персональные данные удаляются с носителей данных соответствующими способами.

  1. Данные в облаке удаляются с помощью команды удаления. Гарантируется отсутствие прав заинтересованного пользователя на восстановление удаленных данных в облачной системе. 
  2. Персональные данные на бумажных носителях удаляется с помощью затемнения. Затемнение выполняется, по возможности, путем вырезания персональных данных из соответствующих документов или обеспечения невидимости таких данных для заинтересованных пользователей с помощью перманентных чернил с обеспечением необратимости затемнения и невозможности прочтения данных с помощью технических решений. 
  3. Офисные файлы на центральном сервере удаляются с помощью команды удаления в операционной системе, или же удаляются права пользователя на доступ к файлу или папке. Пользователь, выполняющий эту операцию, не должен являться администратором базы данных.  
  4. Персональные данные на флэш-накопителях хранятся в зашифрованном виде и удаляется с использованием программного обеспечения, соответствующего для такого вида носителей.  
  5. Персональные данные, хранящиеся в базах данных удаляются с помощью удаления соответствующих строк командой базы данных (Удалить). Пользователь, выполняющий эту операцию, не должен являться администратором базы данных.   
  1. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Уничтожение персональных данных - это процесс, при котором персональные данные никогда не могут быть доступны, восстановлены или использованы повторно. Компанией принимаются все необходимые технические и административные меры, касающиеся уничтожения персональных данных.

В целях уничтожения персональных данных обнаруживаются и последовательно уничтожаются все их копии в соответствии с типом систем, в которых находятся данные:

  1. Данные в локальных системах уничтожаются следующими способами: 
  • Размагничивание: уничтожение данных до несчитываемого состояния обеспечивается путем пропуска магнитного носителя через специальное устройство с сильным магнитным полем. 
  • Физическое разрушение: процесс расплавления, сжигания или превращения в пыль оптических и магнитных носителей. 
  • Наложение записи: процесс предотвращения восстановления старых данных путем по меньшей мере семикратной записи случайного набора данных, состоящих из 0 и 1, на магнитный носитель и перезаписываемый оптический носитель с использованием специального программного обеспечения.  
  1. Данные в периферийных системах уничтожаются следующими способами: 
  • Данные в сетевых устройствах (коммутаторе, маршрутизаторе и т. д.): уничтожаются с помощью одного или нескольких соответствующих способов, указанных в пункте (а). 
  • Носители на основе флэш-памяти: для удаления данных с жестких дисков на основе флэш-памяти с интерфейсом ATA (SATA, PATA и т. Д.), SCSI (SCSI Express и т.д.) используется команда <block erase>, если такая команда поддерживается, или же, при отсутствии поддержки такой команды используется рекомендованный производителем способ удаления, или же используется один или несколько соответствующих методов, указанных в пункте (a).  
  • Магнитная лента: разрушается путем размагничивания при подвергании воздействию очень сильных магнитных сред или же физическими методами разрушения, такими как сжигание или плавление. 
  • Магнитный диск и подобные носители: разрушаются путем размагничивания при подвергании воздействию очень сильных магнитных сред   или же физическими методами разрушения, такими как сжигание или плавление. 
  • Мобильные телефоны (сим-карты и встроенная память): уничтожаются с помощью одного или нескольких соответствующих методов, указанных в пункте (а). 
  • Оптические диски (CD, DVD и т.д): разрушается физическими способами разрушения, такими как сжигание, измельчение, плавление. 
  • Периферийные устройства, такие как принтер, система доступа к дверям по отпечаткам пальцев, с извлекаемым носителем данных: уничтожаются после подтверждения удаления данных с таких носителей с помощью одного или нескольких соответствующих способов, указанных в пункте (а). 
  • Периферийные устройства, такие как принтер со встроенным носителем для записи данных, система доступа к дверям по отпечаткам пальцев: уничтожаются с помощью одного или нескольких соответствующих методов, указанных в пункте (а). 
  1. Персональные данные на бумажных носителях и микрофишах уничтожаются путем основного носителя в связи с постоянной физической записью на нем. При этом процессы носители горизонтально и вертикально измельчаются на мелкие части с помощью измельчителей бумаги (шредеров) таким образом, чтобы носитель не поддавался восстановлению. Персональные данные, переданные с исходного бумажного носителя на электронный носитель путем сканирования, уничтожаются в соответствии с видом электронного носителя одним или несколькими способами, такими как размагничивание, физическое уничтожение, наложение записи.
  1. Персональные данные, хранящиеся в облаке: по истечении срока обслуживания на облаке все копии ключей шифрования, необходимые для предоставления доступа к персональным данным, уничтожаются.  
  1. Персональные данные на неисправных или подлежащих техническому обслуживанию устройствах уничтожаются следующим образом: 
  • Уничтожение персональных данных, содержащихся на устройствах, подлежащих передаче третьим лицам, таким как производитель, продавец, компания по обслуживанию, ремонту, происходит с использованием одного или нескольких соответствующих способов, указанных в пункте (а)
  • В случаях, когда уничтожение невозможно или нецелесообразно, блок памяти, хранящий данные, изымается из устройства, а оставшиеся части устройства отправляются к производителю, продавцу, сервисную компанию или другим третьим лицам.
  • Обеспечивается принятие необходимых мер для предотвращения копирования третьими лицами данных с носителей, переданных для технического обслуживания или ремонта.
  1. АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Анонимизация персональных данных - процесс, обеспечивающий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств Анонимизация означает, что путем удаления или изменения всех прямых и / или косвенных идентификаторов в наборе данных личность соответствующего лица не может быть идентифицирована или выделена в группе или скоплении лиц, а персональные данные не могут быть связаны с конкретным физическим лицом. Данные, не указывающие на конкретное лицо в результате блокировки или потери таких особенностей, считаются анонимизированными. 

При определении методов анонимизации, применяемых Компанией, используется один из методов, включенных в «Руководство по удалению, уничтожению или анонимизации», опубликованное Управлением, с учетом следующих особенностей в отношении владельца набора данных:

  • Характер данных,
  • Размер данных,
  • Структура данных на физических носителях,
  • Разнообразие данных,
  • Выгода/цель обработки данных,
  • Частота обработки данных,
  • Обеспечение безопасности стороной-получателем данных
  • Принятие во внимание потенциальных ситуаций, возникающих вследствие анонимизации данных,
  • Размер и область воздействия ущерба, потенциально наносимого вследствие нарушения анонимности данных,
  • Соотношение распределения/централизованности данных,
  • Контроль прав доступа пользователей к данным,
  • Вероятность атаки, направленной на нарушении анонимности данных.
  1. Методы анонимизации, не обеспечивающие нерегулярность показателей:
  • Вычитание переменных
  • Извлечение записей
  • Частичное сокрытие
  • Обобщение
  • Кодирование нижнего и верхнего предела
  • Глобальное кодирование
  • Дискретизация
  • Маскировка 
  • Агрегация/создание накопительных данных
  1. Методы анонимизации, обеспечивающие нерегулярность показателей:
  • Микро-соединение
  • Режим обмена
  • Добавление шума
  1. Статистические способы для усиления анонимизации:
  • K-Анонимность
  • L-Разнообразие
  • Т-Близость
  1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Все отделы и сотрудники Компании, вовлеченные в процессы обработки, хранения и уничтожения персональных данных, несут ответственность за выполнение требований настоящей Политики, надлежащее выполнение технических и административных мер, принятых в рамках Политики, а также за хранение и защиту данных, используемых в процессе их деятельности.

Периодическое уничтожение, влияющие на деятельность Компании и целостность данных, потенциально влекущих за собой нарушение законно-правовых норм, осуществляется отделом информационных технологий с учетом типа персональных данных, систем, в которых они находятся, и подразделения, обрабатываемому такие данные.

Должности, подразделения и должностные инструкции лиц, занимающихся хранением и уничтожением персональных данных, включены в приложение к настоящей Политике.
 

  1. СРОКИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
 

Таблица с указанием сроков хранения и уничтожения персональных данных в Компании приведена ниже.

Категория данных

Максимальный период хранения

Период уничтожения

Идентификационные и контактные данные сотрудника, информация об опыте работы, личном деле, финансовая, визуальная и аудио информация, сведения об управлении рисками, инвалидности, наличии/отсутствии судимости

10 лет после окончания трудовых отношений

В течение 180 дней после окончания срока хранения

Сведения о состоянии здоровья, группе крови сотрудников

15 лет после окончания трудовых отношений

В течение 180 дней после окончания срока хранения

Данные о деятельности/информационной безопасности сотрудников

На протяжении трудовых отношений

В течение 180 дней после окончания срока хранения

Данные об автомобиле сотрудника

На протяжении трудовых отношений

В течение 180 дней после окончания трудовых отношений

Данные о местонахождении сотрудников

1 месяц

В течение 180 дней после окончания срока хранения

Идентификационные и контактные данные соискателя, сведения об опыте работы

2 года

В течение 180 дней после окончания срока хранения

Идентификационные и контактные данные партнера Компании, финансовая информация, сведения об управлении рисками

10 лет после окончания деловых отношений

В течение 180 дней после окончания срока хранения

Идентификационные и контактные данные сотрудника поставщика, финансовая и аудио-визуальная информация, сведения об управлении рисками

10 лет после окончания деловых отношений

В течение 180 дней после окончания срока хранения

Данные о деятельности/информационной безопасности сотрудников поставщика

 На протяжении деловых отношений

В течение 180 дней после окончания деловых отношений

Информация о входе посетителя на сайт

2 года

В течение 180 дней после окончания срока хранения

Учетные данные посетителя

2 месяца

В течение 180 дней после окончания срока хранения

Информация, обеспечивающая безопасность физического пространства

2 месяца

В течение 180 дней после окончания срока хранения

Договоры

10 лет после окончания договорных отношений

В течение 180 дней после окончания срока хранения

Документы, реестры и записи

10 лет

В течение 180 дней после окончания срока хранения

  1. Сроки официального удаления, уничтожения или анонимизации персональных данных

При устранении причин для обработки информации Компания регулярно через каждые шесть месяцев официально удаляет, уничтожает или анонимизирует персональные данные.  Периодическое официальное удаление, уничтожение или анонимизация персональных данных происходит в течение первой сессии уничтожения персональных данных после наступления срока их уничтожения.

В случае передачи соответствующих персональных данных третьим лицам, об этом сообщается сторонам, обрабатывающим данные от имени Компании, и обеспечивается выполнение ими соответствующих операций с персональным данными.

  1. Срок удаления и уничтожения персональных данных по запросу заинтересованного лица

В случае запроса заинтересованного лица об удалении или уничтожении персональных данных:

  1. При устранении условий для обработки персональных данных персональные данные, являющиеся предметом запроса, удаляются, уничтожаются или анонимизируются Компанией не позднее чем через тридцать дней после получения запроса, а заинтересованное лицо уведомляется о совершении этой операции.
  1. При устранении условий для обработки персональных данных и в случае передачи соответствующих персональных данных третьим лицам, об этом сообщается сторонам, обрабатывающим данные от имени Компании, и обеспечивается выполнение ими соответствующих операций с персональным данными.
  1. В случае действительности условий для обработки персональных данных запрос на удаление персональных данных может быть отклонен с соответствующим обоснованием согласно статье 13 Закона; ответ с отказом направляется заинтересованному лицу в письменной или электронной форме не позднее чем через тридцать дней.

Все операции, связанные с удалением, уничтожением и анонимизацией персональных данных, соответствующим образом регистрируются, и записи о них хранятся не менее трех лет, кроме случаев, предусмотренных законодательством. 

ПРИЛОЖЕНИЕ1. ПЕРСОНАЛ, УЧАСТВУЮЩИЙ В ПРОЦЕССЕ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

ДОЛЖНОСТЬ

ПОДРАЗДЕЛЕНИЕ

ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ

Высшее руководство

Совет директоров, генеральный координатор, генеральный директор

Ответственность за подготовку, публикацию, обновление политики и соблюдение ее сотрудниками.

Руководители отделов

Все подразделения

Ответственность за реализацию Политики в рамках своих должностных обязанностей и должностных обязанностей сотрудников, находящихся в ведении отдела.

Начальник отдела информационных технологий

Информационные технологии

Ответственность за защиту обработку, доступ к персональным данным, их уничтожение законным способом, а также управление процессом уничтожения персональных данных.  

Начальник отдела кадров

Начальник финансового отдела 

Начальник бухгалтерии

Начальник юридического отдела

Начальник отдела обеспечения и контроля качества

Отдел кадров

Финансовый отдел

Бухгалтерия

Юридический отдел

Отдел обеспечения и контроля качества 

Ответственный за реализацию политики в отношении хранения и уничтожения персональных данных: несет ответственность в рамках своих полномочий за надлежащее хранение данных на протяжении соответствующего срока, а также за руководство процессом периодического уничтожения персональных данных.  

КОД ДОКУМЕНТА

:

GM-P001

УТВЕРДИЛ

ПРАВЛЕНИЕ

ДАТА УТВЕРЖДЕНИЯ

:

05/01/2019

ДАТА ПОСЛ. РЕД.

:

00/0000

ВЕРСИЯ

:

01

СВЯЗАННЫЕ ДОКУМЕНТЫ

:

Политика в отношении хранения и уничтожения персональных данных

Пояснительная записка о защите и обработке персональных данных

Прямое согласие на обработку персональных данных

Политика в отношении защиты и обработки персональных данных особого характера

Форма заявки владельца данных

 

СОДЕРЖАНИЕ

   

1.   ЦЕЛЬ. 3

2.   СФЕРА ДЕЙСТВИЯ. 3

3.   ОТВЕТСТВЕННОСТЬ. 3

4.   ОПРЕДЕЛЕНИЯ. 3

5.   ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ. 5

5.1.   ОБЩИЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. 5

5.2.   УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. 6

5.3.   УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОСОБОГО ХАРАКТЕРА.. 8

5.4.   КАТЕГОРИИ ГРУПП ЛИЦ И ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. 9

5.5.   ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. 11

5.6.   УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ИЛИ АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. 13

5.7.   ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ. 14

5.7.1. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ В ПРЕДЕЛАХ СТРАНЫ.. 14

5.7.2. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА РУБЕЖ... 15

5.7.3. ПЕРЕДАЧА КОМПАНИИ ДАННЫХ, ОБРАБОТАННЫХ АССОЦИАЦИЕЙ КОМПАНИЙ.. 15

6.   ПОЛОЖЕНИЯ О БЕЗОПАСНОСТИ ДАННЫХ. 16

6.1 АДМИНИСТРАТИВНЫЕ МЕРЫ.. 16

6.2 ТЕХНИЧЕСКИЕ МЕРЫ.. 16

7.   ОПОВЕЩЕНИЕ. 17

8.   ПРАВА ВЛАДЕЛЬЦА ДАННЫХ. 18

8.1 ОБСТОЯТЕЛЬСТВА, НА КОТОРЫЕ НЕ РАСПРОСТРАНЯЮТСЯ ПРАВА ВЛАДЕЛЬЦА ДАННЫХ. 18

  1. ЦЕЛЬ

 Цель настоящей Политики состоит в предоставлении сведений об обработке, обеспечении безопасности, мерах контроля и предосторожности, оперативных правилах и ответственности, направленных на защиту основных прав и свобод в отношении конфиденциальности личной жизни, а также повышении осведомленности владельцев данных и сотрудников в отношении персональных данных   АО "АНЕКС СЕРВИСЕЗ ТУРИЗМ ОРГАНИЗАСЬОН ТАШИМАДЖИЛЫК ТИДЖАРЕТ (ANEXSERVİCES TURİZM ORGANİZASYON TAŞIMACILIK TİCARET ANONİM ŞİRKETİ)      (Компания),   действующего в качестве ответственного лица за обработку персональных данных на основании Закона №6698 "О защите персональных данных" (Закон) 

  1. СФЕРА ДЕЙСТВИЯ

Положения настоящей политики применяются к физическим лицам, чьи персональные данные обрабатываются Компанией полностью или частично с помощью автоматизированных систем или неавтоматизированных систем, являющихся частью системы обработки данных. Группы лиц, персональные данные о которых подлежат обработке, перечислены в ст. 5.4 настоящей Политики.

  1. ОТВЕТСТВЕННОСТЬ

Настоящая политика утверждена и введена в действие правлением Компании. Все действия, осуществляемые Компанией в рамках своей деятельности, а также принимаемые меры в рамках настоящей политики определяются соответствующими процедурами. Высшее руководство Компании несет ответственность за подготовку, обновление и реализацию данных процедур.

Все сотрудники Компании несут ответственность за выполнение своих обязанностей в соответствии с настоящей Политикой и всеми соответствующими процедурами и правилами.

  1. ОПРЕДЕЛЕНИЯ

Ниже перечислены важные определения, использующиеся в настоящей Политике. 

Прямое согласие

Согласие, выражаемое по собственной воле, получив полную информацию в отношении конкретного вопроса

Анонимизация

Процесс, предоставляющий возможность сопоставления данных лица без их связи с конкретным или идентифицируемым физическим лицом путем применения соответствующих технических средств

Заинтересованное лицо