KİŞİSEL VERİLERİN KORUNMASI
1. POLİTİKA HAKKINDA
1.1. Amaç
İşbu Kişisel Verilerin Korunması ve Veri Mahremiyeti Politikası’nın (“Politika”) amacı; Blue Ferry Travel Sanayi ve Ticaret Ltd. Şti. (“Blue Ferry Travel”) tarafından işlenen mevcut ve potansiyel müşterilere, iş ortaklarına, ziyaretçilere, pay sahiplerine, şirket yöneticilerine, çalışan adaylarına, iş birliği içerisinde bulunulan kurumların çalışan ve yetkililerine ile diğer ilgili üçüncü kişilere ait kişisel verilerin, başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasına uygun şekilde işlenmesine ilişkin usul ve esasların belirlenmesidir.
Bu Politika ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), Anayasa’nın 20’nci maddesi ve ilgili ikincil mevzuata uyum sağlanması, kişisel verilerin hukuka uygun şekilde işlenmesi, korunması ve veri mahremiyeti konusunda kurumsal farkındalığın artırılması hedeflenmektedir.
1.2. Kapsam
Bu Politika; kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü kişisel veriyi, bu verilerin işlenmesine ilişkin süreçleri, alınan teknik ve idari tedbirleri ve yapılan kurumsal düzenlemeleri kapsamaktadır. Tüzel kişilere ait veriler, Kanun kapsamı dışında değerlendirilir.
1.3. Sorumlular
İşbu Politika’nın hazırlanması, güncellenmesi ve üst yönetimin onayına sunulmasından Blue Ferry Travel Kişisel Verilerin Korunması Komitesi sorumludur. Politika’nın uygulanması ise başta ilgili komite olmak üzere, Blue Ferry Travel bünyesinde kişisel verilerin işlendiği, saklandığı veya aktarıldığı tüm sistemleri kullanan birimler ve yetkili çalışanların sorumluluğundadır.
2. TANIMLAR
Bu Politika’da yer alan kavramlar aşağıdaki anlamları ifade eder.
Tanım Açıklama
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek/vakıf/sendika üyeliği, sağlık bilgileri, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler
Açık Rıza Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilemeyecek hale getirilmesi
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin İşlenmesi Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, aktarılması, açıklanması, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
Şirket Blue Ferry Travel Sanayi ve Ticaret Ltd. Şti.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek veya tüzel kişi
3. KİŞİSEL VERİLERİ İŞLEME PRENSİPLERİ
Blue Ferry Travel, kişisel verileri; hukuka ve dürüstlük kurallarına uygun, doğru, güncel, belirli, açık ve meşru amaçlara bağlı, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde işlemekte ve gerekli süre boyunca muhafaza etmektedir. Bu prensiplerin uygulanmasından Politika kapsamındaki tüm ilgili kişiler sorumludur.
3.1. Kişisel Verileri İşleme İlkeleri
Blue Ferry Travel, kişisel verileri gerekli özen ve dikkat çerçevesinde, hukuka uygun ve meşru amaçlarla elde eder, işler ve güvenli bir şekilde muhafaza eder. İşlenme amacının ortadan kalkması halinde kişisel veriler, ilgili mevzuata ve bu Politika’ya uygun şekilde silinir, yok edilir veya anonim hale getirilir.
Gizlilik
Kişisel verilerin işlenmesi süreçlerinde gizlilik esastır. Blue Ferry Travel, yetkisiz erişimi önlemek amacıyla gerekli teknik ve idari tedbirleri alır ve bu tedbirleri düzenli olarak denetler.
Hukuka Uygunluk ve Yasallık
Kişisel veriler, yürürlükteki mevzuat hükümlerine uygun olarak ve sunulan hizmetlerle bağlantılı şekilde işlenir. Veri sahipleri, veri işleme amaçları hakkında bilgilendirilir ve gerekli hallerde açık rızaları temin edilir.
Doğruluk ve Güncellik
Kişisel verilerin doğru, eksiksiz ve güncel tutulması esastır. Gerekli durumlarda verilerin güncellenmesi, düzeltilmesi veya silinmesine yönelik idari ve teknik süreçler uygulanır.
Belirlilik ve Şeffaflık
Kişisel veriler belirli, açık ve meşru amaçlar doğrultusunda işlenir. Veri işleme faaliyetleri ilgili kişilere şeffaf şekilde açıklanır ve belirtilen amaçlar dışında veri işlenmez.
Ölçülülük ve Sınırlılık
İşlenen kişisel veriler, yalnızca belirlenen amaçla sınırlı ve ölçülü olarak işlenir. Gereksiz veri toplanmamakta olup, minimum veri ilkesi esas alınmaktadır.
Saklama Süresi
Kişisel veriler, işlenme amacının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen saklama sürelerine uygun olarak muhafaza edilir. Sürenin sona ermesi halinde veriler silinir, yok edilir veya anonim hale getirilir.
Seçim ve Onay
Blue Ferry Travel, veri sahiplerini veri işleme faaliyetleri hakkında bilgilendirir ve gerekli hallerde açık rızalarını alır. Veri sahipleri diledikleri zaman rızalarını geri çekme ve verileri ile ilgili talepte bulunma hakkına sahiptir.
3.2. Kişisel Verilerin Hukuka Uygun Olarak İşlenmesi
Blue Ferry Travel, kişisel verileri ve özel nitelikli kişisel verileri, ilgili kişinin açık rızası veya Kanun’da belirtilen hukuka uygunluk sebeplerinden birinin varlığı halinde işler ve tüm veri işleme faaliyetlerini yukarıda belirtilen ilkelere uygun şekilde yürütür.
3.3. Kişisel Verilerin İşlenme Amaçları
Toplanan kişisel veriler;
· Seyahat hizmetlerinin planlanması ve sunulması,
· Rezervasyon, biletleme, sigorta ve vize süreçlerinin yürütülmesi,
· Müşteri hizmetlerinin sağlanması ve geliştirilmesi,
· Talep, şikâyet ve geri bildirim süreçlerinin yönetilmesi,
· Hizmet kalitesinin artırılması ve kullanıcı deneyiminin iyileştirilmesi,
· Yasal yükümlülüklerin yerine getirilmesi
amaçlarıyla işlenmektedir.
3.4. Kişisel Verilerin Aktarılması
Kişisel veriler, yukarıda belirtilen amaçlar doğrultusunda ve Kanun hükümlerine uygun olarak; yetkili acentelere, iş ortaklarına, hizmet sağlayıcılara, resmi kurum ve kuruluşlara ve iş birliği yapılan üçüncü kişilere aktarılabilir.
Veri aktarımı, aktarım amacına uygun, sınırlı ve gerekli ölçüde gerçekleştirilir ve veri güvenliğine ilişkin gerekli teknik ve idari tedbirler alınır.
Yurt dışına veri aktarımı ise ilgili mevzuat, Kurul kararları ve gerekli güvenlik taahhütleri çerçevesinde gerçekleştirilir.
4. YÜKÜMLÜLÜKLERİMİZ
4.1. Aydınlatma Yükümlülüğü
Blue Ferry Travel, kişisel verilerin elde edilmesi sırasında ilgili kişileri; veri sorumlusunun kimliği, veri işleme amaçları, veri aktarımı yapılabilecek kişi ve kuruluşlar, veri toplama yöntemi ve hukuki sebebi ile Kanun kapsamındaki hakları konusunda bilgilendirir.
4.2. Veri Güvenliğine İlişkin Yükümlülükler
Teknik Tedbirler:
Blue Ferry Travel, kişisel verilere yetkisiz erişimin önlenmesi, veri güvenliğinin sağlanması ve veri kaybı risklerinin azaltılması amacıyla güncel teknolojiye uygun teknik güvenlik önlemleri (şifreleme, erişim kontrolü, log kayıtları, anonimleştirme vb.) uygular.
İdari Tedbirler:
Çalışanlar, kişisel verilere yalnızca görev tanımları kapsamında erişebilir ve bu verileri işleme amacı dışında kullanamaz, üçüncü kişilerle paylaşamaz veya ifşa edemez. Bu yükümlülük, iş akdinin sona ermesinden sonra da devam eder.
4.3. Veri Sorumluları Sicili
Blue Ferry Travel, yürürlükteki mevzuat kapsamında Veri Sorumluları Sicili’ne (VERBİS) kayıtlıdır/kaydolacaktır ve ilgili yükümlülüklerini mevzuata uygun şekilde yerine getirir.
4.4. Denetim Yükümlülüğü
Blue Ferry Travel, kişisel verilerin korunmasına ilişkin politika ve mevzuat hükümlerine uyumu sağlamak amacıyla, hem kendi bünyesinde hem de veri aktarımı yapılan üçüncü kişiler nezdinde periyodik denetimler gerçekleştirir.
4.5. İlgili Kişinin Hakları
İlgili kişiler, Kanun’un 11. maddesi uyarınca Blue Ferry Travel’e başvurarak;
1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
2. İşlenmişse buna ilişkin bilgi talep etme,
3. İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
5. Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme,
6. Kişisel verilerin silinmesini veya yok edilmesini talep etme,
7. Bu işlemlerin üçüncü kişilere bildirilmesini isteme,
8. Otomatik sistemler ile analiz edilmesi sonucunda aleyhine bir sonucun ortaya çıkmasına itiraz etme,
9. Kanuna aykırı veri işlenmesi nedeniyle zarara uğraması halinde zararın giderilmesini talep etme
haklarına sahiptir.
Başvurular, mevzuatta öngörülen süreler içerisinde değerlendirilerek en geç 30 gün içinde sonuçlandırılır.
5. İŞYERLERİNDE GÜVENLİK AMAÇLI VERİ İŞLEME FAALİYETLERİ
Blue Ferry Travel işyeri girişlerinde ve hizmet alanlarında, güvenliğin sağlanması amacıyla kamera kayıtları ve ziyaretçi kayıtları tutulabilmektedir. Bu faaliyetler Anayasa, Kanun ve ilgili mevzuata uygun şekilde yürütülür.
Ziyaretçiler, veri işleme faaliyetleri hakkında bilgilendirilir ve gerekli aydınlatma metinleri kendilerine sunulur. İnternet erişimi sağlanan alanlarda log kayıtları tutulabilir. Bu kayıtlar yalnızca yetkilendirilmiş kişiler tarafından ve veri güvenliği ilkelerine uygun şekilde erişilebilir.
6. KİŞİSEL VERİLERİN KORUNMASI KOMİTESİ
Şirket bünyesinde, kişisel verilerin korunmasına ilişkin politika, prosedür ve uygulamaların etkin şekilde yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi oluşturulmuştur.
Komite; mevzuata uyumun sağlanması, iç denetimlerin yürütülmesi, risklerin tespiti, farkındalık çalışmalarının yapılması, eğitim faaliyetlerinin planlanması, veri sahiplerinden gelen başvuruların değerlendirilmesi ve Kurul ile ilişkilerin koordinasyonu gibi görevleri yerine getirir.
Komite ayrıca, kişisel verilerin korunmasına ilişkin gelişmeleri ve yasal düzenlemeleri takip ederek üst yönetime gerekli iyileştirme önerilerini sunar.