İstanbul Otobus Bileti Ankara Otobüs Bileti Otobüs Bileti

METRO TURİZM SEYAHAT ORGANİZASYON VE TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI



BİRİNCİ BÖLÜM

GENEL HÜKÜMLER

Madde 1. Politika’nın Hazırlanma Amacı

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Metro Turizm Seyahat Organizasyon ve Ticaret A.Ş. (“Metro Turizm ” ya da “Şirket”) tarafından hazırlanmıştır.

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle Metro Turizm nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri İşleme, Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

Madde 2. Tanımlar

Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

Veri sorumlusunun ve varsa temsilcisinin kimliği,

Kişisel verilerin hangi amaçla işleneceği,

İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

Kişisel veri toplamanın yöntemi ve hukuki sebebi,

Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi vermek.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi ve/veya kişiler.

İlgili Kişi/Veri Sahibi

Kişisel verisi işlenen gerçek kişi.

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Yönetmelik

28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Kurul

Kişisel Verileri Koruma Kurulu.

Kurum

Kişisel Verileri Koruma Kurumu.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisini, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırılan envanter.

Politika

Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politika.

Sicil

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Periyodik İmha

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Bu Politika’da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.

Madde 3. Kapsam

Bu Politika Metro Turizm’de görev yapmakta olan personelin, personel adaylarının, yöneticilerin, ziyaretçilerin, işbirliği içerisinde olduğumuz üçüncü kişilerin çalışanlarının, yöneticilerinin ve diğer üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ilişkindir.

Bu kapsamda yukarda belirtilen kişisel veri sahipleri gruplarına, işbu Politika’nın tamamı uygulanabileceği gibi, sadece bir takım hükümleri de uygulanabilecektir.

Madde 4. Dayanak

Bu Politika 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 30286 Sayılı Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 Sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik dayanak alınarak hazırlanmıştır.

Kişisel verilerin işlenmesi, korunması ve imhası konusunda yürürlükte bulunan ilgili düzenlemeler öncelikle uygulama alanı bulacaktır. Mevzuat ile Politika arasında uyumsuzluk bulunması halinde ise Metro Turizm yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

İKİNCİ BÖLÜM

UYGULANACAK ESASLAR

Madde 5. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi

Metro Turizm, kişisel verilerin elde edilmesi esnasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Metro Turizm kişisel veri sahiplerine, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağını, kişisel veri toplama yöntemini ve hukuki sebebini Kanun’daki haklarıyla birlikte açıklamaktadır.

Kişisel veri sahibinin hakları arasında “bilgi talep etme” de bulunmaktadır. Metro Turizm kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapacaktır.

Metro Turizm hukuka ve dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetinde bulunduğunu, kişisel veri sahipleri ile ilgililere başta işbu Politika olmak üzere kamuoyuna açık çeşitli dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi, bu çerçevede hesap verilebilirliği ve şeffaflığı sağlamaktadır. 

Madde 6. Veri Sahibinin Haklarının Gözetilmesi

Metro Turizm kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gerekli bilgilendirmenin yapılması için Kanuna uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

Kişisel veri sahipleri aşağıda sayılan haklarına ilişkin taleplerini yazılı olarak Metro Turizm’e iletmeleri durumunda Metro Turizm talebin niteliğine göre talebi en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyet gerektirmesi halinde, Metro Turizm tarafından Kurul tarafından belirlenen tarifedeki ücret alınacaktır.

Kişisel veri sahipleri;

  • Kişisel veri işlenip işlenmediğini öğrenme;
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme;
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme;
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
  • Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme;
  • Kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini

Talep etme haklarına sahiptir.

Veri sahipleri yukarıda belirtilen haklarını kullanırken taleplerini “yazılı” veya Kanun’un belirlediği yöntemler ile Metro Turizm‘e iletmelidirler. Kurul’un işbu Politika tarihinde henüz başkaca bir yöntem belirlememesi sebebiyle, şu aşamada veri sahiplerinin taleplerini yazılı olarak iletmeleri aranmaktadır.

Veri sahipleri, başvurularını tamamlarken yazılı taleplerinin yanı sıra kimliklerini tespit edici gerekli bilgileri Metro Turizm’e ilettikleri takdirde, söz konusu başvuruya ilişkin cevapları hızlı ve etkili bir biçimde alacaklardır.

Veri sahipleri yukarıda sayılan haklardan kullanmayı talep ettikleri takdirde, söz konusu talebi yazılı olarak imzalı bir nüshası ve kimliğinizi tevsik edecek belgeler ile bizzat elden, noter kanalıyla veya güvenli elektronik imzalı olarak şirketimizin Büyük İstanbul Otogarı B2 Geçiş Bloğu A2 Kulesi Arası Kot:61-90 Bayrampaşa/İSTANBUL adresine iletebilmektedir.

Madde 7. Kişisel Verilerin Saklandığı ve İmha Edileceği Kayıt Ortamı

Metro Turizm tarafından edinilmiş ve tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı olarak kabul edilmektedir.

Metro Turizm bünyesindeki tüm kişisel veriler aşağıdaki sistemlerinde azami güvenli bir biçimde bulundurulmakta ve saklanmaktadır.

Veri sahiplerine ait kişisel veriler, Metro Turizm tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

  • Elektronik ortamlar:
  • Mdaemon Mail Server
  • Mikro / Logo / ETA – Muhasebe Ve Bordro
  • Netbus Oracle Database Server
  • Corfeva ERP Server
  • McAfee Log ve Siem Sistemi
  • CRM Server
  • DHCP
  • DC
  • DC 2
  • Kişisel bilgisayarlar (Masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Optik diskler (CD, DVD vb.)
  • Çıkartılabilir bellekler (USB, Hafıza Kartı vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi
  • Fiziksel ortamlar:
  • Birim Dolapları
  • Arşiv
  • Kâğıt
  • Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
  • Yazılı, basılı, görsel ortamlar

Madde 8. Kişisel Verilerin Güvenliğinin Sağlanması

Metro Turizm olarak yürütülmekte olan ticari faaliyetler de dikkate alındığında, Metro Turizm için kişisel verilerin korunması en öncelikli konular arasındadır. Metro Turizm veri güvenliği konusunda gerekli hukuki, teknik ve idari tedbirleri almakta, bu konuda en üst düzeyde önem ve özeni göstermektedir.

Metro Turizm personeli öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamayacağı, ilgili verileri işleme dışında başka amaçlarla kullanamayacağı, bu yükümlülüklerinin Metro Turizm’den ayrılmaları durumunda da aynen devam edeceği konularında bilgilendirilmiş, bu konuda kendilerinden gerekli taahhütler alınmıştır.

Metro Turizm ayrıca kişisel verilerin hukuka aykırı bir şekilde işlenmesinin önlenmesi, kişisel verilere hukuka aykırı bir biçimde erişilmesinin önlenmesi ve hukuka uygun saklanması konusunda iş ortakları, tedarikçiler ve benzer üçüncü kişiler nezdinde de gerekli farkındalıkları arttırmaktadır. Kişisel verilerin Metro Turizm ile çalışmakta olan üçüncü kişiler nezdinde de hukuka uygun işlenmesi, korunması ve saklanması hususu ilgili üçüncü kişilerle de sözleşmesel olarak düzenlenmiş olup, ilgili kişisel verilerin işlenmesi sebebi ile üçüncü kişilerle gerçekleştirilen faaliyet uyumlu bir hale getirilmiştir.

Metro Turizm, kendi bünyesinde gerekli tüm denetimleri yapmakta ve yaptırmaktadır. Denetim neticesinde alınan tedbirlerin iyileştirilmesi gerektiği tespit edildiğinde Metro Turizm tarafından derhal gerekli aksiyonlar alınmaktadır.

Aşağıda belirtilen tüm genel, teknik ve idari tedbirlerin alınmasına rağmen kişisel verilerin kanuni olmayan yollarla başkaları tarafından öğrenilmesi ve/veya edinilmesi halinde, Metro Turizm durumu veri sahibine ve Kurul’a bildirme yükümlülüğünü en kısa sürede yerine getirmektedir.

Madde 9. Kişisel Verilerin Güvenli Bir Şekilde Saklanması İle Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınacak Genel Tedbirler

Kişisel veriler Metro Turizm tarafından ancak Kanunda ve diğer yasal mevzuatta öngörülen usul ve esaslara uygun olarak işlenmektedir. Metro Turizm kişisel verileri işlerken aşağıda belirtilen ilkelere uymaktadır:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma

Metro Turizm, kişisel verilerin işlenmesinde ilgili mevzuat ile getirilen ilkeler ve dürüstlük kuralına uygun hareket etmektedir. Metro Turizm kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almak suretiyle kişisel verileri ilgili amacın gerçekleştirilmesinin gerektirdiği ölçünün dışında kullanmamaktadır.

  1. b) Doğru ve gerektiğinde güncel olma

Metro Turizm, kişisel veri sahiplerinin temel haklarını ve menfaatlerini göz önünde bulundurmakta, işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu amaç doğrultusunda Metro Turizm gerekli tedbirleri de almaktadır.

  1. c) Belirli, açık ve meşru amaçlar için işlenme

Metro Turizm, meşru ve hukuka uygun olan kişisel veri işleme amacını kesin ve net bir şekilde belirlemektedir ve kişisel verileri sağlamakta olduğu hizmetle bağlantılı ve söz konusu hizmetin gerektirdiği ölçüde işlemektedir. Metro Turizm, kişisel verilerin hangi amaçla işleneceğini henüz kişisel veriler işlenmeye başlamadan evvel ortaya koymaktadır.

  1. d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Metro Turizm, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemektedir. Bu kapsamda kişisel verileri işleme amacının gerçekleştirilmesiyle ilgili olmayan ya da ihtiyaç duyulmayan kişisel verileri işlemekten kaçınmaktadır.

  1. e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

Metro Turizm, kişisel verileri ilgili mevzuatta belirtildiği ya da işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede Metro Turizm öncelikle ilgili mevzuatta kişisel verilerin ne kadar süre saklanması gerektiği ifade edilmiş ise bu süreye uygun davranmakta, ifade edilmemiş ise işlenmesini gerektiren süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebebin ortadan kalkması halinde, kişisel veriler Metro Turizm tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Madde 10. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınacak Teknik ve İdari Tedbirler

Metro Turizm;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak,

Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu bilmekte ve bu çerçevede azami özen ve ehemmiyeti göstermektedir.

Metro Turizm, sahip olduğu kişisel verilerin başkaca bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacaktır.

Nitekim Metro Turizm, Kanun ve ilgili mevzuat hükümlerinin uygulanmasını sağlamak amacıyla tüm gerekli denetimleri yapmak ve yaptırmak zorunda olduğunun bilincindedir ve buna yönelik gerekli işlemleri yapmaktadır.

İdari tedbirler kapsamında;

  1. a) Şirket içi kişisel verilere erişim, iş tanımı gereği erişmesi gerekli personel ile verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınarak sınırlandırılmaktadır.
  2. b) İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmektedir.
  3. c) Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin sözleşme imzalanmakta veya mevcut sözleşmelere eklenen hükümler ile veri güvenliğini sağlanmaktadır.
  4. d) Personele, kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilmektedir.
  5. e) Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimler yapılmakta ve denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri giderilmektedir.

Teknik tedbirler kapsamında;

  1. a) Kurum içerisinde erişim yetki ve kontrol matrisi oluşturulmuştur. Bununla beraber erişim politika ve prosedürü oluşturulmuş ve KVK prosedürü organizasyonu içinde uygulamaya alınmıştır. Bu sayede hangi kullanıcının hangi veriye erişebileceği takip edilmektedir. Erişimler kayıt altına alınarak uygunsuz erişim denemeleri için alarmlar üretilmektedir. Kişisel verilerin işlendiği ortamlarda da güçlü parolalar kullanılmaktadır.
  2. b) Kişisel verilerin bulunduğu sistemlerde erişimler sistemler üzerine kurulan takip programları ve donanımları ile kontrol altında tutulmaktadır. Kişisel verileri içeren sistemlere erişim sınırlandırılmıştır. Çalışanlara işi ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanımlanarak, kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişimleri sağlanmaktadır.
  3. c) Şirket içi ve dışarıdan erişimlerde tüm kullanıcıların her türlü erişim bilgisi düzenli olarak kayıt altına alınmaktadır. Ayrıca loglama sistemleri ile izinli yapılan veya izinsiz yapılmaya çalışılan her işlem kayıt altına alınmaktadır.
  4. d) Kullanıcı hesap yönetimi tek bir merkezden online olarak her kullanıcı için gerçekleştirilmektedir. Kullanıcının hangi kişisel veriye erişip hangisine erişmeyeceği kontrol altında tutulmakta olup kişisel verilerin bulunduğu elektronik ortamlar güçlü parolalar ile korunmaktadır.
  5. e) Kaba kuvvet saldırılarından korunmak için parola girişi deneme sayısı sınırlandırılmıştır ve düzenli aralıklarla şifre ve parola değişimi sağlanmaktadır. Yönetici ve admin yetkisi sadece ihtiyaç olduğu durumlarda kullanılmak için açılmaktadır. Şİrket veya veri ile ilişikleri kesildiği anda zaman kaybetmeden hesapları silinmekte ve girişleri kapatılmaktadır.
  6. f) Kişisel verilerin olduğu elektronik ortamlara erişimlerin yapıldığı dahili ağlar güvenlik yazılımları ve donanımları ile kontrol altında tutulmaktadır. Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunması için güvenlik duvarı ve ağ geçidi tedbiri uygulanmaktadır. Bu sayede erişim yetkisi olmayan personelin buralara erişimleri engellenmektedir.
  7. g) Uygulama güvenliği açısından kişisel verilerin işlendiği elektronik ortamlarda güvenlik yazılımları ve iki aşamalı doğrulama sistemleri kullanılmaktadır. Uygulama sistem girdilerinin doğru ve uygun olduğuna dair kontroller yapılmakta, yapılan işlemler sırasında bilginin kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmektedir.

ğ) Şirkete ait taşınabilir cihazlar içerisinde bulunan kişisel veriler disk şifreleme yöntemi ile şifrelenmekte ya da cihazda bulunan önemli veriler dosya halinde şifrelenmekte ve Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve şifreleme yöntemleri kullanılmaktadır. Şifre anahtarı sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve böylece yetkisiz erişim önlenmektedir.

  1. h) Düzenli olarak zafiyet taramaları ve sızma testleri yapılmakta ve ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirme yapılarak tedbirler alınmaktadır.

ı) Kötü amaçlı yazılımlardan korunmak amaçlı, bilgi sistem ağı güvenlik duvarları ve güvenlik yazılımları ile korunmakta ve sistemler düzenli olarak taranmaktadır.

  1. i) Tehlikeleri tespit eden antivirüs, antispam ürünlerin kullanılmakta ve kullanılan ürünler güncel tutularak gereken sistem ve dosyaların düzenli olarak tarandığı kontrol edilmektedir.
  2. j) Sistemdeki tüm kullanıcıların işlem hareketleri kaydı düzenli olarak tutularak güvenlik sorunları hızlı bir şekilde raporlanmaktadır.
  3. k) Kişisel verilerin bilerek veya bilmeyerek yetkisiz şekilde diğer ortamlara (mail, harici disk, DVD, CD, USB vs.) aktarılmasını önlemek amacı ile veri kaybı önleme yazılımı kullanılarak kişisel verilerin sistem dışına çıkarılması engellenmektedir.
  4. l) Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda kullanılmak üzere sistemlerde yedekleme sistemi kullanılmaktadır. Yedeklenen verilerin kullanılarak sistemin en kısa sürede yeniden faaliyete geçmesini sağlanmaktadır.
  5. m) Dışarıdan, kişisel verilerin olduğu sistemlere erişimi içerideki personelin işi ile alakası olmayan veya kişisel veriyi çalmaya yönelik zararlı sitelere, sistemlere erişimlerini kontrol altında tutmak amacı ile güvenlik duvarı kullanılmaktadır. Bu güvenlik duvarlarında oluşturulan erişim kurallarında Saldırı Tespit Sistemleri, İzinsiz Giriş Önleme Sistemleri, Gelişmiş Tehdit Koruması, Bootnet Filtresi, Antivirüs, AntiSpyware, Uygulama Kontrol ve İçerik Filtreleme servisleri aktif edilerek yapılandırılmaktadır.
  6. n) Tüm sistemlerde global ölçekte kendini kanıtlamış, geniş DB’ye sahip, uç nokta güvenlik sistemi (Antivirüs) kullanılmaktadır. Güvenlik servisleri yapılandırılmış ve taşınabilir cihazlar için kurallar yerel network dışında da aktif edilmiştir.
  7. o) Kişisel veriler bulundukları ortamlara göre farklı şekillerde silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi durumlarında yazılımdan güvenli olarak silme prosedürü uygulanır. Bu aşamada tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılmaktadır. Kâğıt ortamında bulunan kişisel verilerin karartılması için ise ya kâğıt üzerindeki kişisel veri kesilerek çıkartılmakta ya da sabit mürekkep ile kapatılarak okunamayacak hale getirilmektedir. Kişisel verilerin yok edilmesi gerektiği durumlarda ise de-manyetize etme, fiziksel yok etme veya üzerine yazma seçeneklerinden uygun olan prosedür uygulanarak kişisel veri yok edilir. Anonim hale getirme durumlarında ise bölgesel gizleme prosedürü kullanılmaktadır.

ö) Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanmaktadır.

  1. p) Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli yöntemler ile korunmaktadır.

Madde 11. Kişisel Verileri Saklama ve İmha Süreçlerinde Metro Turizm Adına Yer Alan Sorumluların Unvanları, Birimleri, Görev Tanımları

Kişisel veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve görev tanımlarına işbu Politika’nın EK-1’inde yer alan listeden ulaşabilirsiniz.

İlgili kişiler işbu Politika’da düzenlenen kişisel verilerin saklanması ve imha süreçlerinde tüm yükümlülüklerini eksiksiz ifa edecektir.

ÜÇÜNCÜ BÖLÜM

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Madde 12. Kişisel Verilerin İşlenmesi Şartları

Kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası gerekmektedir. Kişisel verilerin işlenebilmesi için açık rıza hukuki dayanaklardan sadece biridir. Açık rıza dışında aşağıda belirtilen hallerden birinin ya da aynı anda birkaçının gerçekleşmesi halinde de kişisel veriler işlenebilir.

Metro Turizm ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verileri işlemektedir.

  1. a) Açık rıza: Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradesiyle açıklanmalıdır. Bu çerçevede Metro Turizm kişisel veri sahibinin kişisel verisinin işlenebilmesi için açık rızasını alacaktır.
  2. b) Kanunlarda açıkça öngörülmesi: Veri sahibinin kişisel verileri, kanuna açıkça öngörülmesi halinde Metro Turizm tarafından hukuka uygun olarak işlenebilecektir.
  3. c) Fiili imkânsızlık nedeniyle ilgilinin açık rızasının alınamaması: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin Metro Turizm personelinin kalp krizi geçirmesi durumunda kan grubunun doktorlara bildirilmesi.
  4. d) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
  5. e) Metro Turizm’in hukuki yükümlülüğünü yerine getirmesi: Metro Turizm’in hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması halinde veri sahibinin verileri işlenebilecektir.
  6. f) Kişisel veri sahibinin kişisel verisini alenileştirmesi: Veri sahibinin kişisel verisini kendisi tarafından alenileştirmiş olması halinde kişisel veriler işlenebilecektir.
  7. g) Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
  8. h) Metro Turizm’in meşru menfaati için veri işlemenin zorunlu olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Metro Turizm’in meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Metro Turizm kişisel verileri işleyebilecektir.

Madde 13. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Metro Turizm özel nitelikli kişisel verilerin, kişisel veri sahiplerinin açık rızası olmaksızın işlememektedir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finans programlarının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Metro Turizm özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen gerekli önlemleri de almaktadır.

Madde 14. Kişisel Verilerin Aktarılması

Metro Turizm yürütmekte olduğu ticari faaliyetlerin niteliği dikkate alındığında Kanuna ve ilgili mevzuata uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini almak suretiyle kişisel veri sahiplerinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarmaktadır.

Metro Turizm ayrıca Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı ülke”) kişisel verileri aktarmaktadır. Bu doğrultuda Metro Turizm Kanun’da öngörülen düzenlemelere uygun hareket etmektedir.

Madde 15. İşyeri Girişleri ile İşyeri İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri ile İnternet Sitesi Ziyaretçileri

Metro Turizm tarafından güvenliğin sağlanması amacıyla, Metro Turizm işyerlerinde güvenlik kamerasıyla izleme faaliyeti ile misafir/müşteri/tedarikçi/personel giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve misafir/müşteri/tedarikçi/personel giriş çıkışlarının kayıt altına alınması yoluyla Metro Turizm tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Metro Turizm bu yolla veri işlerken Anayasa başta olmak üzere Kanun ve diğer tüm mevzuata uygun hareket etmektedir.

Metro Turizm işyerinde güvenlik kamerası ile izleme faaliyetini; sunmakta olduğu hizmetin kalitesini arttırmak, güvenilirliğini sağlamak, Metro Turizm’in, ziyaretçilerin ve diğer kişilerin güvenliğini sağlamak ve bu kişilerin aldıkları hizmete ilişkin menfaatlerini korumak amacıyla yürütmektedir.

Metro Turizm bünyesinde dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Metro Turizm çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıdaki gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

Misafir olarak Metro Turizm işyerlerine gelen kişilerin ad ve soyadları elde edilirken, misafir giriş çıkış takibi yapılması amacıyla ilgili veriler elde edildiği sebebiyle söz konusu veriler sadece bu amaçla işlenmekte veya ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir. Misafir kayıtları Metro Turizm işyeri binasının dışarıdan hizmet aldığı tedarikçi şirket tarafından tutulmaktadır. Hizmet alınan tedarikçi şirketten erişilen verilerin gizliliğini koruyacağına dair beyan alınmaktadır.

DÖRDÜNCÜ BÖLÜM

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİNE İLİŞKİN İLKELER

Madde 16. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesine İlişkin Esaslar

Metro Turizm Madde 12 ve Madde 13’te yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması hallerinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi konusunda yükümlülüklerini yerine getirmektedir.

Metro Turizm kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde işbu Politika’da Madde 9 ve Madde 10’da düzenlenen genel ilkeler ile teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun olarak hareket etmektedir.

Metro Turizm tarafından kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Metro Turizm, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer. Bu hususta İlgili Kişi tarafından Metro Turizm’e başvurulması halinde; iletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması sağlanmaktadır.

Madde 17. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Metro Turizm, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır.

Madde 18. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Metro Turizm, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

Madde 19. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Metro Turizm, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

Madde 20. Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi İşlemleriyle İlgili Uygulanacak Yöntemler

Metro Turizm bünyesinde bulunan kişisel verileri aşağıda düzenlenen yöntemleri kullanmak suretiyle silecek, yok edecek ve/veya anonim hale getirecektir.

Yazılımdan Güvenli Olarak Silme; Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medya ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilmektedir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılmaktadır.

− Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

− Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

Merkezi Sunucuda Yer Alan Ofis Dosyaları: Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. Metro Turizm anılan işlemi gerçekleştirirken ilgili kullanıcının aynı zamanda Metro Turizm’de sistem yöneticisi olmadığına dikkat etmektedir.

Veri Tabanları: Metro Turizm kişisel verilerin bulunduğu ilgili satırları veri tabanı komutları ile (DELETE vb.) silecektir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı Metro Turizm’de veri tabanı yöneticisi olmadığına dikkat etmektedir.

Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kâğıt ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.

Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.

Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden yüksek dereceli betimleyici olanlar çıkarılarak mevcut veri anonim hale getirilmektedir.

Kayıtları Çıkartma: Veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkarılarak saklanan veriler anonim hale getirilmektedir.

Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir birleşim yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır.

Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmektedir.

Genelleştirme: Veri genelleştirme yöntemi ile birçok veri genelleştirilmekte ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir. Genel olarak kategorize edilebilen veriler için kullanılan bu yöntemde amaç veri sahiplerine ait verilerin birbirleri ile değiştirilerek veri tabanının dönüştürülmesidir.

KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.

Madde 21. Kişisel Verileri Resen Silme, Yok Etme veya Anonim Hale Getirme Süreleri

Metro Turizm, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Periyodik imhanın gerçekleştirileceği Metro Turizm aralığı, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden 30 gün içerisinde Metro Turizm tarafından gerçekleştirilecektir. Zorunlu hallerde bu süre en fazla 30 gün daha uzatılabilir. 

Metro Turizm, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul’un bu maddede belirlenen süreleri kısaltabileceğini kabul eder.

Madde 22. Veri Sahibinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi

Veri Sahibi, Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle Metro Turizm’e iletir.

Metro Turizm başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas alınabilir.

Metro Turizm talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Metro Turizm tarafından gereği yerine getirilir. Başvurunun Metro Turizm’in hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Madde 23. Kişisel Verileri Veri Sahibinin Talep Etmesi Durumunda Silme ve Yok Etme Süreleri

Veri Sahibi, işbu Politika’da Madde 22’ye istinaden Metro Turizm’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  1. a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Metro Turizm talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Metro Turizm, ilgili kişinin talebini en geç 30 gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
  2. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Metro Turizm bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  3. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Metro Turizm tarafından işbu Politika’nın 22/3. Maddesi uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı Veri Sahibine en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

BEŞİNCİ BÖLÜM

DİĞER HÜKÜMLER

Madde 24. Yürürlük

Bu Politika, 01.12.2019 tarihli olup aynı tarihte yürürlüğe girmiştir. Politika Metro Turizm’in internet sitesinde yayımlanmaktadır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulmaktadır.

Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenmektedir.

EK -1-

PERSONEL

GÖREV

SORUMLULUK

İnsan Kaynakları Müdürü

İnsan Kaynakları Departmanı - Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Muhasebe Sorumlu Uzmanı

Muhasebe Departmanı - Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Finans Müdürü

Finans Departmanı - Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Operasyon Sorumlu Müdürü

Operasyon Departmanı - Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Müşteri Hizmetleri Sorumlu Amiri

Müşteri Hizmetleri Departmanı - Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Pazarlama Müdürü

Pazarlama Departmanı - Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Satış Müdürü

Satış Departmanı - Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Avukat

Hukuk Departmanı - Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

EK -2-

SAKLAMA VE İMHA SÜRELERİ TABLOSU

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Genel Kurul İşlemleri

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İhale/işyeri açma/bakanlıklar/müsteşarlıklar evrak hazırlama süreçleri

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Üçüncü kişilerle imzalanan sözleşmeler

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İşe alım

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Bordrolama

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel özel sağlık ve ferdi kaza sigorta poliçeleri

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışanlara araç tahsis edilmesi

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İş sağlığı ve güvenliği uygulamaları

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Kayıt/Takip Sistemleri

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Ödeme işlemleri

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel Finansman Süreçleri

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazası

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Kaza Raporlama

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Toplantı notlarının, katılımcılar ile paylaşılması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Her türlü dokümanın dosyalanması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Eğitim kayıtlarının dosyalanması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde
Bilet almakta sorun mu yaşıyorsunuz? Sizi Arayalım
X

SİZİ ARAYALIM

Bu alanda yalnızca bilet almakta sorun yaşayan yolcularımız için hizmet sağlamaktayız.
GÖNDER