I. GİRİŞ

07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tanımlanmakta ve kişisel verilerin korunması ve hukuka uygun olarak işlenmesi için önemli adımlar atılması gerekmektedir.

S.T.O.K. SEYAHAT VE TUR.ORG. ANİMASYON TİC.LTD.ŞTİ olarak (‘Şirket’) kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuata uyumun tam olarak sağlanması ve kişisel verilerin hukuka uygun olarak işlenmesi ve korunması önceliklerimiz arasındadır.

Şirket’in kişisel verilerin işlenmesine ilişkin olan ya da olmayan tüm faaliyetlerini, Şirket olarak kişisel veri sahiplerine karşı sorumluluğumuzun bilincinde olarak yürütülmekte, tüm ilgililer tarafından da bir bütün olarak Şirket’in Kişisel Verileri İşleme, Saklama ve İmha Politikası’na (Politika) uygun davranılması ve azami hassasiyet gösterilmesi gerekmektedir.

II. KAPSAM

İşbu Politika, Şirket’in kişisel veri işleme faaliyetleri hakkında tüm ilgililerin bilgilendirilmesi ve mevzuatın gereği olan şeffaflığın sağlanması amacıyla hazırlanmıştır. Şirket Politikası, ilgili mevzuatın düzenlediği kuralların Şirket uygulamaları çerçevesinde somutlaştırılması ve şeffaf olarak paylaşılmasından ibarettir.

İşbu Politika, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.

a. Kişisel Veri Sahipleri

Söz konusu kişisel veri sahipleri aşağıdaki tabloda belirtilmiştir.

Kişisel Veri Sahibi	Açıklama
Çalışanlar, Stajyerler	Şirket ile olan istihdam ilişkisi hâlihazırda devam eden çalışanlarımızın yanında; kişisel verileri işlenmeye/muhafaza edilmeye devam eden eski çalışanlarımız; deneyim kazanmak amacıyla Şirket’imizde staj yapmış olan veya stajı hâlihazırda devam eden stajyerlerimiz
Çalışan Adayları, Stajyer Adayları	Herhangi bir vesileyle Şirket’e iş başvurusunda / staj başvurusunda bulunan, istihdam veya deneyim amacıyla özgeçmişlerini ve ilgili diğer bilgileri Şirket’in incelemesine sunan çalışan adayı / stajyer adayı gerçek kişiler.
İşbirliği Yapılan, Paydaşların Yetkilileri (Bkz. Tedarikçiler)	Şirket’in her türlü iş ilişkisi içerisinde bulunduğu iş ortağı, tedarikçi gibi kurumlarda (ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler
Müşteriler	Şirket’ten ürün veya hizmet alınması nedeniyle kişisel verileri elde edilen gerçek kişiler
Katılımcılar	Şirket tarafından organize edilen etkinliklere, kongrelere, çevrimiçi eğitimlere katılan gerçek kişiler
Şirket Hissedarı	Şirket Hissedarı gerçek kişiler
Şirket Yetkilisi	Şirket Yönetim Kurulu Üyeleri ve Diğer Yetkili Gerçek Kişiler
Tedarikçiler	Şirket’in faaliyetlerini yürütürken, Şirket’in talimatlarına uygun olarak sözleşmesel ilişkiye dayanarak, Şirket’e hizmet sunan tarafların; yetkilisi veya hissedarı olan gerçek kişiler.
Üçüncü Kişiler	Şirket’in faaliyetleri kapsamında; çalışan, eski çalışan, tedarikçi, müşteri, ziyaretçi kategorilerine dâhil olmayan diğer gerçek kişiler.
Ziyaretçiler	Fiziki olarak Şirket’e veya Şirket’e ait işyerlerine çeşitli amaçlarla gelen veya elektronik ortamda Şirket’e ait siteleri ziyaret eden gerçek kişiler.

b. Kişisel Veri Kategorileri

Şirketimizin faaliyetleri çerçevesinde işlenen veri kategorileri aşağıdaki tabloda belirtilmiş, ayrıca VERBİS’te ilan edilmiştir.

Kimlik	Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b.
İletişim	Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.
Lokasyon	Konum Bilgileri
Özlük	Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b.
Hukuki İşlem	Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.
Müşteri İşlem	Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.
Fiziksel Mekân Güvenliği	Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b.
İşlem Güvenliği	IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b.
Risk Yönetimi	Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.
Finans	Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.
Mesleki Deneyim	Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.
Dernek Üyeliği	Dernek Üyeliği bilgisi
Sağlık Bilgileri	Sağlık raporu, İş göremezlik Raporu, Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri	Ceza mahkûmiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b.

İşlenen verilerin elde edilmesi ve işlenme amaçlarına ilişkin detaylı bilgi; VERBİS’ten veya S.T.O.K. SEYAHAT VE TUR.ORG. ANİMASYON TİC.LTD.ŞTİ Kişisel Verilerin Korunması Ve İşlenmesi Hakkında Müşteri Aydınlatma Metni, Tedarikçi Aydınlatma Metni Ve Çalışan Aydınlatma Metni içeriklerinden edinilebilir.

III. GÜNCELLEME - ERİŞİM

İşbu Politika, mevzuat değişikliklerine ve değişen şartlara uyum sağlamak ve kişisel verilerin korunması ve işlenmesine ilişkin uygulamaları doğru yansıtmak amacıyla güncellenebilir. Politika, Şirket’in internet sitesinde yayımlanır; talep ve şikâyetler doğrultusunda kişisel veri sahiplerinin erişimine sunulur.

IV. KİŞİSEL VERİLERİN İŞLENMESİ

a. Kişisel Veriler Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmektedir.

• I. Hukuka ve Dürüstlük Kuralına Uygunluk

  Şirket, kişisel verilerin işlenmesine ilişkin mevzuatın getirdiği ilkeler ile genel güven ve dürüstlük kuralına riayet etmektedir. Bu çerçevede, ilgili kişilerin verileri, Şirket’in iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

• II. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

  Şirket, kişisel verilerin işlendikleri süre boyunca doğru ve gerekli oldukları sürece güncel olması için gerekli önlemleri almaktadır. Şirket ayrıca, belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli teyit çalışmalarını yürütmektedir.

• III. Belirli, Açık ve Meşru Amaçlarla İşleme

  Şirket, kişisel verileri sadece meşru amaçlar için işlemekte; işlenme amaçlarını ortaya koymakta ve Şirket’in meşru faaliyetleri ile bağlantılı amaçlar kapsamında işlemektedir.

• IV. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

  Şirket, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği ölçüde; belirlenen amaçlarla sınırlı olarak işlemektedir.

• V. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

  Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre boyunca; ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen asgari sürelerle muhafaza etmektedir. Bu doğrultuda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için öngörülen süreyi tespit etmekte, belirlenen süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme) ile imha edilmektedir.

b. Kişisel Verilerin İşlenme Şartları

Kişisel veri işleme faaliyeti, aşağıda belirtilen şartlardan birine dayanabilir. Ayrıca, kişinin açık rızası haricinde; aşağıdaki şartlardan birden fazlası aynı kişisel veri işleme faaliyetine dayanak oluşturabilir.

• I. Kişisel Veri Sahibinin Açık Rızası

  Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve kişinin özgür iradesiyle açıklanmalıdır. Aşağıda belirtilen kişisel veri işleme şartlardan birinin varlığı durumunda; kişisel veri sahibinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür.

• II. Kanunlarda Açıkça Öngörülmesi

  İlgili mevzuatta, kişisel verilerin işlenmesine ilişkin açık bir hüküm olması halinde, veri işleme şartı sağlanmış olur ve kişisel veri işlenebilir.

• III. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

  Kişisel veri sahibi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda ise; veya kişinin rızasına geçerlilik tanınamayacak ise; kişisel veri sahibinin ya da başka bir kişinin hayatını veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde; kişisel veriler işlenebilir.

• IV. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

  Kişisel veri sahibinin bir sözleşmeye taraf olması; kişisel veri işlemenin bu sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla ve veri işlenmesinin gerekli olması halinde, kişisel veriler işlenebilir.

• V. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

  Şirket’in hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde, kişisel veriler işlenebilir.

• VI. Kişisel Verinin, Kişisel Verinin Sahibi Tarafından Alenileştirilmesi

  Kişisel veri sahibi, kişisel verisini alenileştirmiş ise; ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilir.

• VII. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilir.

• VIII. Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması

  Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde; kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla; kişisel veriler işlenebilir.

V. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel nitelikli kişisel veriler, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, inanç, kılık kıyafet, dernek üyeliği, vakıf üyeliği, sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti – güvenlik tedbirleri, biyometrik ve genetik veriler olarak tanımlanmaktadır.

Şirketimiz kanuni zorunluluk veya işin niteliği ve güvenlik gereği olanlar hariç; özel nitelikli kişisel verileri işlememektedir. Bazı durumlarda, derneklerin üyelerine yönelik organizasyonları kapsamında, dernek üyeliği verisi mevzuata uygun olarak işlenebilir.

Şirket, işbu Politika’da belirtilen ilkeler uyarınca ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirleri alarak, aşağıdaki şartların varlığı halinde özel nitelikli kişisel verileri işleyebilir:

• (I) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Kanunlarda açıkça öngörülmemiş ise, ilgili özel nitelikli kişisel verinin işlenebilmesi için kişisel veri sahibinin açık rızası alınacaktır.
• (II) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir. Aksi halde; ilgili özel nitelikli kişisel verinin işlenebilmesi için kişisel veri sahibinin açık rızası alınacaktır. İşlenmesi gereken özel nitelikli kişisel veriler; ilgili mevzuat ve Şirket Politikası uyarınca; gerçek kişilerin veya kurumların gerçek kişi yetkililerinin açık rızası doğrultusunda, işlenme amacına uygun olarak sınırlı şekilde işlenebilir.

VI. KİŞİSEL VERİ SAHİPLERİNE KARŞI AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ

Şirket, Kişisel Verilerin Korunması Hakkında Kanun’un 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu doğrultuda ilgili kişiler; kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı; bunların hukuki sebebi ve veri sahiplerinin sahip olduğu haklara ilişkin olarak bilgilendirilmektedir.

S.T.O.K. SEYAHAT VE TUR.ORG. ANİMASYON TİC.LTD.ŞTİ Kişisel Verilerin Korunması Ve İşlenmesi Hakkında Müşteri Aydınlatma Metni, Tedarikçi Aydınlatma Metni Ve Çalışan Aydınlatma Metinleri, durumun gereklerine göre ilgililerine fiziki veya elektronik ortamda ulaştırılarak veya doğrudan Şirket yetkililerinin açıklamalarıyla aydınlatma yükümlülüğünün yerine getirilmesine yönelik olarak düzenlenmiştir./sharing and unless otherwise stipulated, in accordance with the current legislation. These parties are obliged by contract to protect the personal data obtained in such a manner.

VII. KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR

Fiziki mekân güvenliğinin sağlanması amacıyla, Şirket binalarında ve işyerlerinde güvenlik kamerasıyla izlenmesi ile kişisel veri işleme faaliyetlerinde bulunulmaktadır. Şirket tarafından bina ve işyerlerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir.

Şirket tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem (telefon, e-mail, internet sitesi) ile kişisel veri sahibi aydınlatılmaktadır. Şirket ayrıca, Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

Görsel ve işitsel kayıtlar ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetine güvenlik amaçlarını aşan şekilde orantısız müdahale sonucu doğurabilecek alanlarda (örneğin tuvaletler) görüntüleme yapılmamaktadır.

Güvenlik kamerası ile dijital ortamda muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bu kişiler gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını taahhüt etmişlerdir.

VIII. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMACI

Yukarıda kategorileri sayılan kişisel verilerin işlenmesinin ana amaçları aşağıdaki gibidir.

• Şirket'in insan kaynakları süreçlerinin planlanması ve yönetilmesi
• Şirket’in ticari faaliyetlerin gerçekleştirilmesi için gerekli çalışmaların yapılması ve buna bağlı süreçlerin yönetimi
• Şirket'in ticari ve/veya iş stratejilerinin planlanması ve icrası
• Şirket’in gelişim faaliyetlerinin yürütülmesi ve kurumsal kimliğin güçlendirilmesi
• Şirket’in ticari itibarının uyandırdığı güvenin korunması
• Şirket’in yönetim ve denetim faaliyetlerinin planlanması ve icrası
• Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-işlerinin ve işlem güvenliğinin temini

Kişisel veriler, sayılan ana amaçlara yönelik olarak, temel hak ve özgürlükleri gözeterek; Şirketin meşru menfaatleri doğrultusunda; amaç ile bağlantılı, sınırlı ve ölçülü olarak; elektronik ve fiziki ortamlarda yazılı olarak, otomatik ya da otomatik olmayan yöntemlerle işlenmektedir.

Yukarıda belirtilen ana amaçlar, kişisel veri işleme faaliyeti ve veri konusu kişi grubuna göre özelleşmekte ve/veya farklılaşabilmektedir. İkincil amaçlar aşağıda belirtilmiş olup, ilgili amaçlar ayrıca, Aydınlatma Metinlerinde veri konusu kişi grubuna ve işlenen verilere yönelik özelleştirilerek belirtilmektedir.

• Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
• Yönetim Faaliyetlerinin Yürütülmesi
• Yatırım Süreçlerinin Yürütülmesi
• Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Taşınır Mal Ve Kaynakların Güvenliğinin Temini
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Talep / Şikâyetlerin Takibi
• Stratejik Planlama Faaliyetlerinin Yürütülmesi
• Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
• Risk Yönetimi Süreçlerinin Yürütülmesi
• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
• Lojistik Faaliyetlerinin Yürütülmesi
• Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
• Fiziksel Mekân Güvenliğinin Temini
• Acil Durum Yönetimi Süreçlerinin Yürütülmesi
• Görevlendirme Süreçlerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
• Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
• Ücret Politikasının Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Performans Değerlendirme Süreçlerinin Yürütülmesi
• Organizasyon Ve Etkinlik Yönetimi
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• İnsan Kaynakları Süreçlerinin Planlanması
• İletişim Faaliyetlerinin Yürütülmesi
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
• Hukuk İşlerinin Takibi Ve Yürütülmesi
• Finans Ve Muhasebe İşlerinin Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Denetim / Etik Faaliyetlerinin Yürütülmesi
• Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
• Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
• Sponsorluk Faaliyetlerinin Yürütülmesi

IX. KİŞİSEL VERİLERİN AKTARIMI

Kişisel veriler ve özel nitelikli kişisel veriler; Şirket’in hukuka uygun olan kişisel veri işleme amaçları doğrultusunda; gerekli güvenlik önlemleri alınarak üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Şirket aktarıma ilişkin olarak Kişisel Verilerin Korunması Hakkında Kanun’un 8. ve 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

a. Kişisel Verilerin Aktarılabileceği Kişiler

Veri Aktarılabilecek Kişi	Açıklama	Veri Aktarımının Amacı
İş ortaklarımız	Şirket’in ticari faaliyetlerini yürütürken bizzat veya diğer kişilerle birlikte çeşitli projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflardır. Örneğin: Dernekler, Bankalar, Tabip Odası vs.	İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
Tedarikçilerimiz	Şirket’in faaliyetleri yürütmesi için gerekli hammadde, mal, hizmet vb. unsurları, bir sözleşmeye dayanarak tedarik eden taraflardır. Örneğin: üretim için gerekli malzeme tedarikçileri; İş Sağlığı ve Güvenliği hizmet sağlayıcıları, danışmanlar, lojistik hizmeti sağlayıcıları, mali müşavirlik hizmeti sağlayıcıları, komünikasyon aracıları, hukuki hizmet sunucuları, bilgi işlem hizmetleri sağlayıcıları, Konaklama hizmeti sunucuları, seyahat hizmeti sunucuları	Şirket’in dış kaynaklardan tedarik ettiği gerekli mal ve hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak
Yetkili Kamu Kurum ve Kuruluşları	İlgili mevzuata göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları	İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak
Yetkili Özel Hukuk Kişileri	İlgili mevzuata göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri	İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak

b. Kişisel Verilerin Aktarılmasının Şartları

Kişisel veriler, veri sahibinin açık rızasına dayanarak aktarılabilir.

Kişisel veri sahibinin açık rızası yoksa aşağıda belirtilen şartlardan bir ya da birkaçının varlığı halinde; kişisel veriler Şirket tarafından gerekli özen gösterilerek ve Kişisel Verileri Koruma Kurulu tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak üçüncü kişilere aktarılabilecektir.

• Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin aktarılmasının Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla olarak Şirket tarafından aktarılması,
• Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla; Şirket’in meşru menfaatleri için kişisel veri aktarımının zorunlu olması,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Ayrıca; yukarıdaki şartlardan herhangi birinin varlığı halinde Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere kişisel veri aktarılabilir.

Yeterli korumanın bulunmaması halinde; mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması halinde; yabancı ülkelere kişisel veri aktarılabilir.

Kişisel veri sahibinin doğrudan talimat vermesi ve ilgili verileri paylaşması neticesinde, seyahat vb. organizasyonların düzenlenmesi amacı ile elde edilen kişisel veriler; kişinin talebi doğrultusunda yurt içi veya yurtdışına seyahat organizasyonu düzenlenmesi kapsamında yurt içi veya yurtdışı hizmet sağlayıcılara aktarılabilir.

İlgili kişisel veriler ayrıca, Şirketin kurumsal hesapları da dâhil olmak üzere, kullanılan yazılım ve işletim sistemleri dolayısıyla, dünyanın çeşitli ülkelerinde bulunan güvenli sunucularında tutulabilir.

Kişisel verilerin aktarılabileceği üçüncü kişiler; yürürlükteki mevzuat uyarınca aksi öngörülmedikçe ve aktarım / paylaşım amacıyla bağlı ve sınırlı olarak kişisel verilerinizi işleyebilir. Böyle bir durumda bu kişiler, Şirket ile girdikleri sözleşme ilişkisi bünyesinde elde ettikleri kişisel verileri korumakla yükümlüdürler.

Müşterilere dair kişisel veriler ayrıca, hukuki sorumluluk ve yükümlülüklerimizi yerine getirmek amacıyla resmi kurum, kuruluşlar ve yargı makamları ile yürürlükteki mevzuata uygun olarak paylaşılabilir.

c. Özel Nitelikli Kişisel Verilerin Aktarılmasının Şartları

Şirket, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu tarafından belirlenen yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirleri alarak ve aşağıdaki şartların varlığı halinde özel nitelikli kişisel verileri aktarabilir.

• (I) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rıza aranmaksızın aktarılabilir. Aksi halde veri sahibinin açık rızası alınacaktır.
• (II) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir, bu kişilere aktarım yapılabilir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yeterli Korumaya Sahip Yabancı Ülkelere aktarım ise, yukarıdaki (b) bölümünde sayılan şartlardan herhangi birinin varlığı halinde mümkün olabilir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartlarına riayet edilerek Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarım mümkün olabilir.

X. KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Şirket uhdesindeki tüm kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesini, hukuka uygun olmayan şekilde hatalı işlenmesini, ifşa edilmesini, değiştirilmesini, silinmesini önlemek; muhafazasını ve güvenliğini sağlamak için yürürlükteki mevzuata uygun olarak her türlü idari ve teknik tedbiri alır, alınan tedbirler VERBİS’te gösterilir.

XI. KİŞİSEL VERİLERİNİZİN SAKLANMASI VE İMHASI

Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre boyunca; ilgili faaliyetin tabi olduğu mevzuatta öngörülen asgari sürelerle muhafaza etmektedir.

Çevrimiçi organizasyonlar kapsamında elde edilen kişisel verilerin saklama süresi depolama kapasitesine bağlı olarak değişkenlik gösterebilmekle birlikte en fazla 1 ay süre ile saklanmaktadır.

Fiziksel mekân güvenliği kayıtları kullanılan teknolojiye ve depolama kapasitesine bağlı olarak değişkenlik gösterebilmekle; VERBİS’te belirtilen sürelerle saklanmaktadır.

Kişisel veriler; Şirket bünyesinde

• (I) Elektronik olarak; faaliyetin niteliği ile uygun düştüğü şekilde, yetkili kişilerce erişim sağlanabilen şirket bilgisayarları, telefonları ve tabletlerinde, taşınabilir hafızalarda (CD, DVD, USB, Harici harddisk), kurumsal e-posta kutularında; şirketin güvenli elektronik sistemleri, veri tabanı ve bilgi güvenliği sistemlerinde; yurtdışı merkezli sunucularında;
• (II) Fiziki olarak; yetkili kişiler tarafından erişilebilen ve ilgili birimlerce işlenen verileriniz, şirketin merkezinde yer alan kilitli dolaplarda muhafaza edilebilir.

Şirketin arşivleri, sunucuları ve/veya diğer sistemlerine yapılan saldırılar sonucunda veri güvenliğinin zarar görmesi ve/veya verilerin üçüncü kişiler tarafından ele geçirilmesi/ifşası durumunda, Şirket veri konusu müşterileri ve KVKK’yı mevzuata uygun olarak bilgilendirir.

Arızalanan ya da bakıma gönderilmesi gereken cihazlarda muhafaza edilen kişisel veriler için aşağıdaki adımlar izlenir:

• (I) İlgili cihazlar bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel veriler uygun yöntemlerle yok edilir,
• (II) Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamı sökülerek saklanır, arızalı diğer parçalar üretici, satıcı, servis gibi üçüncü kurumlara gönderilir,
• (III) Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınır.

Şirket ilgili mevzuatta kişisel verilerin saklanması için öngörülen süreyi tespit etmekte, belirlenen süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.

Şirketin arşivleri, sunucuları ve/veya diğer sistemlerine karşı ihlal gerçekleştirilmesi sonucunda saklanan verilerin güvenliğinin zarar görmesi ve/veya verilerin üçüncü kişiler tarafından ele geçirilmesi/ifşası durumunda, Şirket veri konusu kişileri ve KVKK’yı mevzuata uygun olarak bilgilendirir.

Saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme) ile imha edilmektedir.

Her bir kişisel veri kategorisiyle ilgili yasal düzenlemede öngörülen sürenin veya kişisel verinin işlendiği amaç için gerekli olan sürenin sona ermesi halinde; kişisel veri mevzuata uygun olarak ilgili elektronik veya fiziki ortamlardan silinir veya yok edilir. Mevzuata uygun olarak, uygun düştüğü ölçüde, anonimleştirme de uygulanabilir.

Kişisel veriler silinirken; Şirket aşağıdaki adımları izlemektedir.

1. Silme işlemine konu kişisel veriler belirlenir.
2. Her bir kişisel veri için erişime yetkililer tespit edilir.
3. Erişim yetkililerinin; yetki kapsamları tespit edilir.
4. Erişim yetkililerinin; kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri kapatılır veya ortadan kaldırılır.

Bulut sisteminde tutulan veriler varsa, bu veriler ‘Silme Komutu’ verilerek silinir. Silinen verilerin geri getirilmesinin söz konusu olmadığı teyit edilir.

Kağıt ortamında tutulan veriler varsa, bu veriler ‘Karartma Yöntemi’ kullanılarak silinir. Karartma işlemi yapılırken; ilgili evrak üzerindeki kişisel veriler mümkünse kesilir, kesme mümkün değilse, veri geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit/kalıcı mürekkep kullanılarak ilgililere görünemez hale getirilir.

Merkezi sunucuda yer alan ofis dosyaları, işletim sistemindeki ‘Silme Komutu’ ile silinir. Ayrıca, dosya ya da dosyanın bulunduğu dizin üzerinde erişim hakları da kaldırılır.

Taşınabilir medyada (Flash tabanlı saklama ortamlarında) bulunan kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.

Veri tabanlarında bulunan kişisel veriler; verinin bulunduğu ilgili satırların veri tabanı komutları ile (‘Silme Komutu’) silinir.

Kişisel veriler yok edilirken verilerin bulunduğu tüm kopyalar tespit edilir. Verilerin bulunduğu sistemlerin türüne göre yok etme yöntemi belirlenir. Kullanılabilir yöntemler aşağıdaki gibidir:

1. De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
2. Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleri kullanılabilir.
3. Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Kâğıt ortamdaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.
4. Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.
5. Kâğıt ortamdaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.
6. Bulut Ortamında yer alan kişisel verilerin depolanması ve kullanımı sırasında, şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.

XII. HAKLARINIZ - TALEPLERİNİZ

Kanunun ilgili kişinin haklarını düzenleyen 11. maddesi kapsamında, kişisel veri sahiplerinin Şirket’e başvurarak; kişisel verilerinin

1. işlenip işlenmediğini öğrenme;
2. işlenmişse buna ilişkin bilgi talep etme,
3. işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme;
4. yurt içinde veya yurt dışında aktarıldığı kişileri bilme,
5. eksik veya yanlış işlenmişse düzeltilmesini isteme;
6. KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme;
7. kişisel verilerinizin KVKK’nın 7. maddesi kapsamında silinmesi ve yok edilmesi ve eksik veya yanlış işlenmiş kişisel verilerinin düzeltilmesi taleplerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
8. münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme;
9. kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

hakkı bulunmaktadır.

Yukarıda yer verilen, Kanunun 11. Maddesi kapsamındaki talepler, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre, kişisel veri sahibi; ad, soyad, TC kimlik no, adres, telefon ve e-mail bilgilerini belirtmek kaydıyla,

• S.T.O.K. SEYAHAT VE TUR.ORG. ANİMASYON TİC.LTD.ŞTİ ’ye bizzat veya normal posta yoluyla,
• Elektronik posta üzerinden (kvkk@stokmice.com)e-posta adresine iletebilirsiniz.

Şirkete ulaşan bilgi edinme başvuruları ve talepleri; talebin niteliği göz önünde bulundurularak, başvurucunun kimliği teyit edilerek ve Kanunun 13. Maddesi uyarınca en geç otuz (30) gün içinde sonuçlandırılacak; red halinde gerekçeli olarak bildirim yapılacaktır.

Böyle bir başvurunun maliyeti, varsa, Kişisel Verilerin Korunması Kurulunun belirlemiş olduğu resmi tarife uyarınca ücretlendirilebilir.