Bilgi ve Rezervasyon
Kişisel Verileri Koruma Politikası
İstanbul Ephesus Hotel
Ephesus Otelcilik ve Turizm Anonim Şirketi
KİŞİSEL VERİLERİ KORUMA POLİTİKASI
&
REHBER
TANIMLAR/AÇIKLAMALAR
İstanbul
2
İÇİNDEKİLER:
A. AMAÇ VE KAPSAM ...........................................................................................................................................
B. POLİTİKALARIMIZDA YER ALAN TANIMLAMALAR VE SINIFLANDIRMALAR ................................
1. Kavram Tanımlamaları ve Açıklamalar...................................................................................................
2. Kişisel Verilerin Sınıflandırılması ...........................................................................................................
2.1. Kişisel Veriler ....................................................................................................................................
2.2. Özel Nitelikli Kişisel Veriler..............................................................................................................
2.3. Kişisel Verilere İlişkin Kategoriler ...................................................................................................
3. Kişisel Veri Sahipleri ‘İlgili Kişiler’........................................................................................................
C. İSTANBUL EPHESUS HOTEL TARAFINDAN İŞLENEN KİŞİSEL VERİLER.............................................
D. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI.................................................................................................
1. Genel Veri İşleme Amaçlarımız...............................................................................................................
2. Ticari Faaliyetlerimiz Kapsamında Veri İşleme Amaçlarımız ................................................................
E. HUKUKİ YÜKÜMLÜLÜKLER...........................................................................................................................
1. Aydınlatma Yükümlülüğümüz.................................................................................................................
2. Veri Güvenliğini Sağlama Yükümlülüğümüz..........................................................................................
F. KİŞİSEL VERİLERİN TOPLANMASI VE AKTARILMASI ............................................................................
1. Kişisel Verilerin Toplanması ...................................................................................................................
2. Kişisel Verilerin Aktarılması ...................................................................................................................
2.1. Yurt İçinde Aktarım ...........................................................................................................................
2.2. Yurt Dışına Aktarım...........................................................................................................................
G. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE ALINAN TEDBİRLER ......................................................
1. Saklama Süreleri ......................................................................................................................................
2. Kişisel Verilerin Saklanmasına İlişkin Aldığımız Tedbirler....................................................................
2.1. Teknik Tedbirler.................................................................................................................................
2.2. İdari Tedbirler ....................................................................................................................................
H. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ....................
I. İLGİLİ KİŞİNİN ŞİRKETİMİZE KARŞI HAKLARI...........................................................................................
J. KİŞİSEL VERİLERİN GÜVENLİĞİ ....................................................................................................................
K. AYDINLATMA METNİ VE AÇIK RIZA BEYANLARI...................................................................................
L. İSTANBUL EPHESUS HOTEL KVKK KOMİTESİ VE KOMİTE’NİN ROL VE SORUMLULUĞU ............
1. İstanbul Ephesus Hotel KVKK Komitesi.................................................................................................
2. Komite’nin Rol ve Sorumluluğu ..............................................................................................................
2.1. Denetleme...........................................................................................................................................
2.2. Onaylama ...........................................................................................................................................
2.3. Güncelleme.........................................................................................................................................
2.4. Dağıtım...............................................................................................................................................
2.5. Aydınlatma ........................................................................................................................................
M. POLİTİKANIN YAYINLANMASI, SAKLANMASI, YÜRÜRLÜĞÜ VE GÜNCELLENMESİ.....................
1. Politikanın Yayınlanması ve Saklanması.................................................................................................
2. Politikanın Yürürlüğe Girmesi.................................................................................................................
3. Politikanın Güncellenmesi.......................................................................................................................
3
A. AMAÇ VE KAPSAM
Bu politikanın amacı, Ephesus Otelcilik ve Turizm Anonim Şirketi (“Ephesus”, “Ephesus Hotel” yahut kısaca
“ŞİRKET” olarak kullanılacaktır) oluşturulan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
kapsamında veri sorumlusu sıfatıyla hukuka uygun şekilde yürüttüğü kişisel verileri işleme faaliyetleri ile ilgili
açıklamalarda bulunmaktır. Bu açıklamalarla güdülen amaç; ilgili kişileri bilgilendirmek ve böylece kişisel veriler
hususunda şeffaflık sağlamaktır.
Ephesus Hotel, 6698 sayılı Kanun uyarınca veri sorumlusu sıfatına haiz olup, bu sıfatın gerektirdiği
yükümlülükleri yerine getirmek için Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin Türkiye’nin taraf
olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere Veri
Koruma Hukukuna dair tüm mevzuat hükümleri doğrultusunda işbu Politikada da ifade edilen gerekli uyum
çalışmalarını gerçekleştirmektedir. Bu nedenle, çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin,
müşteri/potansiyel müşterilerimizin, iş ortaklarımızın/potansiyel iş ortaklarımızın, tedarikçilerimizin/potansiyel
tedarikçilerimizin, aracılarımızın, sözleşme ilişkisi içine girdiğimiz üçüncü kişilerin ve ilgili diğer tüm kişilerin
kişisel verilerinin korunmasına ilişkin faaliyetler işbu Politika’daki esaslara uygun olarak Şirketimiz tarafından
yönetilmektedir.
Bu bağlamda, Şirketimiz KVKK kapsamında kişisel verileri işleme faaliyetlerini, kişisel verileri toplama
yöntemlerini ve hukuki sebeplerini, hangi kişi gruplarının kişisel verilerinin işlendiğini, bu kişi gruplarına ilişkin
olarak hangi kategoride kişisel veri işlendiğini, bu kişisel verilerin hangi iş süreçlerinde ve hangi amaçlarla
kullanıldığını, kişisel verilerin güvenliğini sağlamak amacıyla alınan teknik ve idari tedbirleri, kişisel verilerin
kimlere ve hangi amaçla aktarılabileceğini, kişisel verileri saklama sürelerini, ilgili kişilerin kişisel verileri
üzerindeki haklarının neler olduğunu ve bu hakları nasıl kullanabileceklerini, yetkili kurum ve kuruluşlara kişisel
veri paylaşımını işbu Politika başta olmak üzere Ephesus Hotel tarafından hazırlanan ve kamuoyu ile paylaşılan
diğer KVKK politikalarında detaylandırarak açıklamaktadır.
Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve özgürlüklerinin
gözetilmesi kişisel verilerin işlenmesine ilişkin politikalarımızın temel prensibidir. Bu nedenle kişisel verilerin
işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç
özgürlüğü ve etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz.
Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde, ilgili verinin niteliğinin
gerektirdiği tüm idari ve teknik koruma tedbirlerini almaktayız.
Politikalarımız, Ephesus Hotel bünyesindeki kişisel verilerle alakalı bütün işleme faaliyetleri için
uygulanmakta olup, KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası standartlar
gözetilerek ele alınmış ve hazırlanmıştır. Politikalar kapsamındaki hususlar ile ilgili olarak düzenli yapılacak
kontrol ve takip işlemleri, Şirket tarafından oluşturulacak performans takip ve izleme kriterlerine göre
gerçekleştirilecektir. Şirket, bu bağlamda gerekli disiplin yönergelerini ve gizlilik sözleşmelerini de hazırlamıştır.
4
Şirket, 6698 sayılı Kişisel Verilerin Korunması Kanununun 4. maddesinin 2. fıkrası uyarınca ve işbu
Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde belirtilen amaçlar kapsamında, kişisel verilerin
işlenmesine ilişkin aşağıdaki ilkeleri benimser;
✓ Hukuka ve dürüstlük kurallarına uygun olma,
✓ Doğru ve gerektiğinde güncel olma,
✓ Belirli, açık ve meşru amaçlar için işlenme,
✓ İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
✓ İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
B. POLİTİKALARIMIZDA YER ALAN TANIMLAMALAR VE SINIFLANDIRMALAR
1. Kavram Tanımlamaları ve Açıklamalar
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza.
Anonim Hale Getirme/
Anonimleştirme
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesi.
Çalışan/ Personel Çalışanları, personelleri veya stajyerleri
Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği,
değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan
Ortam
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer
ortamlar.
İlgili Kişi Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu
organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat
doğrultusunda kişisel verileri işleyen kişiler.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydı ile otomatik olmayan yollardan işlenen
kişisel verilerin bulunduğu her türlü ortam.
Kayıtlı Elektronik Posta
(KEP) Adresi
Her türlü ticari, hukuki yazışma ve belge paylaşımlarını gönderilen
biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin
kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil
haline getiren sistemi
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
5
Kişisel Verilerin
İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlem.
Kurul Kişisel Verileri Koruma Kurulu
Kurum T.C. Kişisel Verileri Koruma Kurumu
KVKK, Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu
Müşteri Ephesus Hotel ile herhangi bir sözleşme ilişkisi olup olmadığına
bakılmaksızın Şirketin sunmuş olduğu ürün ve hizmetleri kullanmış olan /
kullanan / satın alan gerçek / tüzel kişidir.
Özel Nitelikli Kişisel
Veri
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel
hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik veriler.
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda kişisel verileri saklama ve imha politikasında
belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok
etme veya anonim hale getirme işlemi.
Politika(lar) Aydınlatma Metni, Kişisel Verileri Koruma Politikası, Kişisel Veri
Saklama ve İmha Politikası, Çerez Politikası
Silme Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesidir.
Şirket Ephesus Otelcilik ve Turizm Anonim Şirketi
Tedarikçi Şirketin emir ve talimatlarına uygun olarak hizmet sunan/sunmak isteyen
gerçek/tüzel kişi
Ephesus Hotel Ephesus Otelcilik ve Turizm A.Ş.
Üçüncü Kişi Şirketin Politikalarda bahsi geçen taraflarla arasındaki ticari işlem
güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve
menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek
kişiler (Örnek: Kefil, refakatçi vb.)
6
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri
işleyen gerçek ve tüzel kişi.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemi, dizin.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya
tüzel kişi: Ephesus Otelcilik ve Turizm Anonim Şirketi
Yok Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesidir.
Ziyaretçi Ephesus Hotel’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren
gerçek kişi
2. Kişisel Verilerin Sınıflandırılması
2.1. Kişisel Veriler
Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin
bilgi içermeyen bilgiler kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika kural olarak tüzel
kişilere ait verilere uygulanmaz.
2.2. Özel Nitelikli Kişisel Veriler
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve
kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. 6698 sayılı Kanunun 6. maddesinde
tanımı yapılmaktadır.
2.3. Kişisel Verilere İlişkin Kategoriler
Şirketimiz tarafından, 6698 sayılı KVKK’nın 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, meşru ve
hukuka uygun kişisel veri işleme amaçları doğrultusunda Kanunun 5. Maddesinde belirtilen kişisel veri işleme
şartlarından bir veya birkaçına dayalı ve sınırlı olarak başta kişisel verilerin işlenmesine ilişkin 4. maddede
belirtilen ilkeler olmak üzere Kanunda belirtilen genel ilkelere ve Kanunda düzenlenen bütün yükümlülüklere
uyarak Ephesus Hotel KVKK Saklama ve İmha Politikası’ndaki sürelerle sınırlı olarak aşağıda belirtilen
kategorilerdeki kişisel veriler işlenmektedir.
7
KİŞİSEL VERİ KATEGORİLERİ
KİŞİSEL VERİ
KATEGORİLERİ
AÇIKLAMALAR
Aile Bireyleri ve Yakın
Bilgisi
Şirketin ve veri sahibinin hukuki ve diğer menfaatlerini korumak
amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki
bilgiler
Görsel ve İşitsel
kayıtlar
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan;
fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi
kapsamına giren kayıtlar hariç)
Finans Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan,
kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; şirketimizin kişisel veri
sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü
finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel
veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi,
finansal profil, malvarlığı verisi, gelir bilgisi, ücret verisi gibi veriler
Fiziksel Mekân
Güvenliği Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan
ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel
mekânın içerisinde kalış sırasında (koridorlar gibi ortak kullanım
alanlarında) alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera
kayıtları ve güvenlik alanlarında alınan kayıtlar vb.
Hukuki İşlem Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile
kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum
kapsamında işlenen kişisel veriler (Adli makamlarla yazışmalardaki
bilgiler, dava dosyasındaki bilgiler, Tutanaklar, İzinler, Ruhsatlar, İmza
Sirkülerleri, Hazirun cetveli, Ticaret Sicil Kayıtları, Arıza tamir ve
Bakım formları vb.)
İletişim Bilgisi Telefon numarası, adres, e-posta, sosyal medya kullanıcı adı, faks
numarası, Kep adresi vb.
İşlem Güvenliği
Bilgisi
Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari
güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin log
kayıtları, IP adresi bilgileri, şifre ve parola bilgileri, internet sitesi giriş
çıkış bilgileri)
Kimlik Bilgisi Kişinin kimliğine dair bilgilerin bulunduğu verilerdir: ad-soyadı, T.C.
kimlik numarası, anne-baba adı, doğum yeri, doğum tarihi, medeni hali,
nüfus cüdanı seri numarası gibi bilgileri içeren ehliyet, nüfus cüzdanı ve
pasaport gibi belgeler ile vergi numarası vb. araç plakası, uyruk bilgileri
8
Cinsiyet Verisi Kişisel veri sahibinin cinsiyetini belirleyen veri (kadın, erkek)
Müşteri İşlem Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan
ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin
kullanımına yönelik müşterinin ürün ve hizmetleri kullanımı için gerekli
olan talimatları ve talepleri gibi bilgiler ile ticari faaliyetlerimiz ve bu
çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi
hakkında kendi iradesiyle tarafımıza iletilen bilgiler.
Ceza Mahkumiyeti
ve Güvenlik Tedbirleri
Özel nitelikli kişisel verilerden olan ceza mahkumiyetine ilişkin bilgileri,
güvenlik tedbirlerine ilişkin bilgiler vb.
Sağlık Bilgileri Engellilik durumuna ilişkin bilgiler, kan grubu bilgisi, kişisel sağlık
bilgileri, kullanılan cihaz ve protez bilgileri vb.
Çalışan İşlem Bilgisi Çalışanlarımızın ve stajyerlerimizin üniformalarının, ayakkabılarının
ölçülerine uygun olmasını temin için işlenen ayakkabı numarası, beden
ölçüsü, boy, kilo vb. verilerdir.
Özlük Bilgisi Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük
haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik
işlenen her türlü kişisel veri (bordro bilgileri, disiplin soruşturması, işe
giriş belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme
raporları, askerlik bilgisi vb.)
Sigorta Bilgisi Çalışanlarımızın ve stajyerlerimizin sosyal güvenlik veya özel sigorta
poliçesi kapsamında işlenen poliçe ve sigorta numarası vb. verileri.
Mesleki Deneyim Çalışan adayı, çalışan, stajyerlere ait diploma bilgileri, gidilen kurslar,
meslek içi eğitim bilgileri, sertifikalar, tedarikçilerin uzmanlık belgeleri,
transkript bilgileri vb.
9
3. Kişisel Veri Sahipleri ‘İlgili Kişiler’
KİŞİSEL VERİ SAHİPLERİ AÇIKLAMALAR
Çalışan /Stajyerler Şirketimizle iş sözleşmesi akdetmiş gerçek kişiler ve stajyerler
Çalışan Adayı Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da
özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan
gerçek kişiler (stajyer adayları dahil)
Ürün Veya Hizmet Alan Kişi
(Müşteriler)
Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya
kullanmış olan gerçek kişiler
Potansiyel Ürün veya Hizmet
Alıcısı (Müşteri Adayı)
Şirketimizle henüz bir sözleşme ilişkisi kurmamış ya da şirketimizin
ürün veya hizmetlerini henüz kullanmamış gerçek kişiler
Hissedar/Ortak Şirketimizin hissedarı gerçek kişiler ile şirket yönetim kurulu üyesi
gerçek kişiler
Tedarikçi Yetkilisi Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda, bu
kurumların hissedarları ve yetkilileri dahil olmak üzere gerçek kişiler
Tedarikçi Çalışanı Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda
çalışan kişiler
Üçüncü Kişiler Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ilişkilerini
yürütmek veya bahsi geçen kişilerin veya şirketimizin haklarını
korumak ve menfaat temin etmek üzere ilişkili olan üçüncü taraf
gerçek kişiler (Örn. Kefil, aile bireyleri ve yakınlar) veya bu politika
kapsamına girmeyen diğer gerçek kişiler
Ziyaretçiler Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla
girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler
C. EPHESUS HOTEL OTELLERİ TARAFINDAN İŞLENEN KİŞİSEL VERİLER
Ephesus Hotel tarafından işlenen kişisel veriler 6698 sayılı Kişisel Verilerin Koruma Kanununun 5.
maddesinde belirtildiği şekilde;
Kanunlarda açıkça öngörülmesi (örneğin, çalışana ait özlük bilgilerinin kanun gereği tutulması),
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması (örneğin restoranda yemek için
rezervasyon yaptıran kişilerin iletişim ve kimlik bilgilerinin kaydedilmesi),
İlgili kişinin kendisi tarafından alenileştirilmiş olması (örneğin otelde konaklayan bir kişinin
konaklama resmini kendi sosyal medya hesabından yayınlaması halinde otelin sosyal medya
hesaplarınca işlenmesi (etiketleme ve repost yapılması)),
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması (örneğin otel güvenliği için ya da olağanüstü
10
durumlarda (su baskını, yangın gibi) erken müdahale için güvenlik kamerası ve bilişim sistemi
kayıtlarının incelenmesi)
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (örneğin, işten
ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması)
Hukuki sebeplerine dayanarak yetkili kişi, kurum ve kuruluş ile idari ve adli makamlardan gelen tebligatlar
ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak toplanmaktadır.
Şirket ile ilgili kişi arasındaki ilişkinin türüne ve niteliğine, kullanılan iletişim kanalına ve kişisel verileri
işleme amacına bağlı olarak çeşitlenen ve farklılaşan ve işbu Politika’daki ilkelere uyumlu bir şekilde işlenen
kişisel veri kategorileri genel olarak aşağıdaki gibidir:
- Şirket tarafından oluşturulan kişileri tanımlayıcı kimlik bilgileri,
- Kimlik doğrulama amaçlı saklanan kişiye özel veriler,
- Görsel ve işitsel veriler,
- İletişim bilgi ve kayıtları,
- Tüzel kişilere yönelik belgelerdeki gerçek kişi bilgileri,
- Çalışan adayı, çalışanlar, stajyerler ve temsilcilere dair tanımlayıcı ve Şirket tarafından üretilen niteleyici
bilgiler,
- Çalışan, çalışan adayı, stajerler ve şirket temsilcilerine ait sağlık verileri,
- Şirket işlemlerinde gerçekleştirilen faaliyetlere ilişkin finansal veriler,
- Çalışan özlük dosyalarında bulunan sağlık ve ceza mahkumiyeti özel verileri,
- Müşteri kayıt dosyalarında bulunan ve tarafımızca istenmeksizin kendi iradeleri ile paylaşılan özel nitelikli
kişisel veriler.
Bu veriler, Şirket için özel olarak hazırlanan Kişisel Veri Envanteri aracılığıyla VERBİS üzerinde detaylı
bir şekilde tanımlanmaktadır. Bunlardan bazıları özel nitelikli kişisel veri olup işlenmesi daha sıkı prosedürlere
dayanmaktadır.
Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu’nun öngördüğü idari ve teknik tedbirler
alınarak, ilgili kişinin açık rızasının varlığı halinde veya mevzuatın zorunlu kıldığı hallerde tarafımızca işlenir.
Tarafımızca işlenen ilgili kişilere ait belirli özel nitelikli kişisel veriler şunlardır.
❖ Çalışanlara ait tıbbi geçmiş bilgisi dâhil sağlık bilgileri; yasal yükümlülüklerimiz gereği, özlük
dosyası kapsamında ve kan grubu bilgisi ise çalışanlarımızın ve yakınlarının acil kan ihtiyaçlarının
temini amacıyla işlenir.
❖ Müşterilerimize ait sağlık bilgileri (herhangi bir gıda alerjisi olup olmadığı, engellilik durumu vb.
gibi) kişiye özel hizmet vermek amacıyla işlenir.
❖ Çalışanlara ait kılık, kıyafet ve beden ölçüleri bilgileri, çalışanlarımızın ve stajyerlerimizin
görevlerini ifa ederken kullanacakları kıyafetlerin ölçülerine uygun temin edilmesi amacıyla işlenir.
11
D. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
1. Genel Veri İşleme Amaçlarımız
Kişisel veriler, Şirket tarafından aşağıda örneklenen amaçlar kapsamında işlenebilmekte olup, bu
amaçların ve ilgili yasal sürelerin öngördüğü müddetçe saklanabilmektedir;
✓ Otelimizdeki konaklama ve diğer hizmetlerin eksiksiz ve kaliteli bir şekilde yürütülmesi,
✓ Otelimizdeki restoranlar üzerinden doğrudan satış faaliyetlerinin eksiksiz olarak sürdürülmesi,
✓ Otelimizdeki toplantı, seminer, düğün ve davet etkinliklerinin eksiksiz olarak sürdürülmesi,
✓ Yasal ve idari yükümlülükler kapsamında iş faaliyetlerinin yürütülmesi,
✓ Sözleşmelerin müzakeresi, oluşturulması ve ifası,
✓ Talep ve sorular kapsamında ilgili kişiye desteğin sağlanması,
✓ Tanıtım ve pazarlama faaliyetlerinin yürütülmesi,
✓ Anket ve oylamalar ile ilgili kişilerin görüşünün alınması ve müşteri memnuniyetinin sağlanması,
✓ Aday değerlendirme ve işe alım süreçlerinin yürütülmesi
✓ Şirket insan kaynakları yönetiminin yapılması,
✓ Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
✓ Şirket ile iş ortaklıklarının yürütülmesi amaçlarıyla ticari faaliyetlerin yürütülmesi,
✓ Şirket ile üçüncü kişiler arasında yapılan sözleşmelerin ifası ve diğer yasal yükümlülüklerin yerine
getirilmesi,
✓ Kimlik doğrulama ve kayıt oluşturulması,
✓ Ticari faaliyetlerin yerine getirilebilmesi ve sürekliliğinin sağlanabilmesi,
✓ Alınan hizmet süreçleri ile alakalı bilgilendirme maksadıyla,
✓ İşlemlerle ilgili istatistiklerin yapılabilmesi ve bağlantılı listelerin oluşturulması, ticari istatistik ve
analizlerin bir araya getirilmesi,
✓ Ürünlerin, hizmetlerin ve kişisel seçim olanaklarının araştırılması ve geliştirilmesi,
✓ Yazılım, kurumsal kaynak planlaması, raporlama, pazarlama gibi işlevlerin yerine getirilmesi,
✓ Promosyonlar ve kampanyalardan faydalandırılma amacıyla,
✓ İşyerinde güvenlik uygulamaları nedeniyle,
✓ Gerekli kalite, gizlilik ve standart denetimlerinin yapılabilmesi,
✓ Kanun ve yönetmelikler ile belirlenmiş gerekliliklerin ifa edilmesi (vergi mevzuatı, tüketicilerin
korunmasına yönelik mevzuat, borçlar hukuku mevzuatı, ticaret hukuku mevzuatı ve ilgili tüm mevzuat)
✓ e-fatura, e-arşiv ve e-irsaliye ile ilgili yükümlülüklerin yerine getirilmesi,
✓ Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde kamu kurum ve kuruluşlarının taleplerinin
yerine getirilmesi (bilgi paylaşımı vs.)
✓ 6698 sayılı Kanunda belirtilmiş yasal yükümlülüklerin yerine getirilmesi,
✓ Önceden onay verilmesi kaydıyla yeni ürünler, kampanyalar ve promosyonlar hakkında bilgi vermek
amacıyla elektronik ileti gönderilmesi,
✓ Personelin istihdamı ile ilgili olarak yasal yükümlülüklerin yerine getirilmesi,
12
✓ Personellere maaş hesabı açılması, gerektiği durumlarda kiralık araç verilmesi, telefon verilmesi, telefon
hattı verilmesi, yemek kartı verilmesi, otomatik bireysel emeklilik işlemlerinin yerine getirilmesi,
✓ Çeşitli insan kaynakları uygulamaları,
✓ Acil tıbbi müdahaleler,
✓ Hastalık izinlerinin takibi ve izlenmesi veya personelin görevini yerine getirebilmesi için gerekli sağlık
koşullarının takibi,
✓ Personelin maaşına konulan maaş hacizlerinin takibi,
✓ Kalite, bilgi güvenliği ve gizlilik politikalarının ve standartlarının sağlıklı olarak temini ve denetimi,
✓ Acil durumların varlığı halinde personelin kendi rızası ile verdiği kişiler ile iletişime geçilmesi,
✓ Personel masraflarının hesaplanması,
✓ İşe giriş ve çıkışların tespiti ve kontrolü,
✓ Şirket üst yönetimine yapılacak raporlama ve analizlerin hazırlanması,
✓ Performans değerlendirmesi yapmak ve ücret politikaları belirlemek,
✓ İşyerinde gizlilik ve güvenlik uygulamaları nedeniyle kamera görüntülerinin kaydedilmesi,
Bu amaçlar, Kişisel Veri Envanteri aracılığıyla VERBİS üzerinde detaylandırılmaktadır.
1. Kişisel Veri İşleme Üst Amaçlarımız
Şirketimiz tarafından hazırlanan kategorizasyona göre kişisel verilerin işlenmesine ilişkin üst amaçlar
aşağıda paylaşılmaktadır:
➢ Şirketimizin insan kaynakları politikalarının ve süreçlerinin planlanması ve icra edilmesi,
➢ Şirketimiz tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz
tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
➢ Şirketimiz tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli
çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi,
➢ Şirket’in ticari ve iş stratejilerinin planlanması ve icrası,
➢ Şirketimizin ve şirketimiz ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş
güvenliğinin temini,
➢ Şirketimizin ticari ve iş stratejilerinin planlanması ve icrası.
2. Özel Veri İşleme Amaçlarımız
➢ Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
➢ Bilgi Güvenliği Süreçlerinin yürütülmesi,
➢ Çalışan Adayı / Stajyer Seçme ve Yerleştirme Süreçlerinin Yürütülmesi,
➢ Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi,
➢ Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,
➢ Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
➢ Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
13
➢ Denetim / Etik Faaliyetlerinin Yürütülmesi,
➢ Çalışanların üniformalarının ölçülerine uygun temin edilmesini sağlamak,
➢ Eğitim Faaliyetlerinin Yürütülmesi,
➢ Erişim Yetkilerinin Yürütülmesi,
➢ Faaliyetlerin Mevzuata Uygun Yürütülmesi,
➢ Finans ve Muhasebe İşlerinin Yürütülmesi,
➢ Firma/Ürün/Hizmetlere Bağlılık Süreçlerinin Yürütülmesi,
➢ Fiziksel Mekân Güvenliğinin Temini,
➢ Görevlendirme Süreçlerinin Yürütülmesi,
➢ Hukuk İşlerinin Takibi ve Yürütülmesi,
➢ İç Denetim/ Soruşturma Faaliyetlerinin Yürütülmesi,
➢ İletişim Faaliyetlerinin Yürütülmesi,
➢ İnsan Kaynakları Süreçlerinin Planlanması,
➢ İş Faaliyetlerinin Yürütülmesi / Denetimi,
➢ İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,
➢ İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
➢ İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi,
➢ Mal/Hizmet Satın Alım Süreçlerinin Yürütülmesi,
➢ Mal/Hizmet Satış Süreçlerinin Yürütülmesi,
➢ Mal/Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi,
➢ Kayıp ve Bulunan Eşya Süreçlerinin Yürütülmesi,
➢ Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
➢ Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,
➢ Organizasyon ve Etkinlik Yönetimi,
➢ Pazarlama Analiz Çalışmalarının Yürütülmesi,
➢ Performans Değerlendirme Süreçlerinin Yürütülmesi,
➢ Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi,
➢ Risk Yönetimi Süreçlerinin Yürütülmesi,
➢ Sigorta işlemlerinin takibi,
➢ Sözleşme Süreçlerinin Yürütülmesi,
➢ Talep/Şikayetlerin Takibi,
➢ Taşınır Mal ve Kaynakların Güvenliğinin Temini,
➢ Ücret Politikasının Yürütülmesi,
➢ Ürün /Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi,
➢ Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
➢ Yabancı Personel Çalışma ve Oturma İzni İşlemleri,
➢ Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,
➢ Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
➢ Yönetim Faaliyetlerinin Yürütülmesi,
➢ Ziyaretçi Kayıtlarının Oluşturulması ve Takibi.
14
2. Ticari Faaliyetlerimiz Kapsamında Veri İşleme Amaçlarımız
Şirket otellerimize aracı acente ve tur şirketleri ile rezervasyon yapılabileceği gibi hizmet satın alımı da
yapılabilmektedir. Ayrıca internet sitemiz üzerinden halihazırda online rezervasyon ve satış hizmeti olmasa da bu
hizmeti yürürlüğe sokmak tamamen Şirketimizin tasarrufundadır.
Şirketimiz tarafından sunulan hizmetlere elektronik ortamlar üzerinden ulaşan müşterilerimizin ve
müşteri adaylarımızın 6698 sayılı Kanun ve ilgili mevzuat uyarınca kişisel verileri işlenmektedir. Kanunen yetki
verilmediği durumlarda kişisel verilerinizin işlenebilmesi için açık rızanız aranmaktadır. Bu durumlarda açık rıza
vermemeniz halinde kişisel verileriniz hiçbir şekilde işlenmemektedir. Ephesus Hotel olarak mevzuatın bize yetki
verdiği durumlarda dahi hukuka ve dürüstlük kurallarına uygun bir şekilde aydınlatma vazifemizi yerine getirerek
mevzuata uygun şekilde veri işleme faaliyetlerini icra etmekteyiz.
E. HUKUKİ YÜKÜMLÜLÜKLER
Veri sorumlusu olarak kişisel verilerin korunması ve işlenmesi kapsamındaki hukuki yükümlülüklerimiz
aşağıda sıralanmaktadır:
1. Aydınlatma Yükümlülüğümüz
Veri sorumlusu olarak kişisel verileri toplarken;
➢ Kişisel verilerinizin hangi amaçla işleneceği,
➢ Kimliğimiz, varsa temsilcimizin kimliğine ilişkin bilgiler,
➢ İşlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği,
➢ Verileri toplama yöntemimiz ve hukuki sebebi ve
➢ 6698 sayılı KVKK’dan doğan haklarınız.
Hususlarında ilgili kişiyi aydınlatma yükümlülüğümüz bulunmaktadır.
Ephesus Hotel olarak, işbu Politikanın anlaşılır ve kolay erişilebilir olmasına özen göstermekteyiz.
2. Veri Güvenliğini Sağlama Yükümlülüğümüz
Veri sorumlusu olarak uhdemizde bulunan kişisel verilerin güvenliğini sağlamak için mevzuatta
öngörülen idari ve teknik tedbirleri almaktayız. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler Ephesus
Hotel KVKK Saklama ve İmha Politikası’nda detaylandırılmaktadır.
15
F. KİŞİSEL VERİLERİN TOPLANMASI VE AKTARILMASI
1. Kişisel Verilerin Toplanması
Şirket, işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlarını
karşılamak için, 6698 sayılı KVKK’nın 5 ve 6’ncı maddelerinde öngörülen şartlar çerçevesinde, direkt olarak
çalışanlar ve müşterilerden, temsilcilerden, iş ortaklarından, çağrı merkezinden, canlı yardım kanalından,
şubelerden ve diğer fiziki ortamlardan kişisel veri edinebileceği gibi; internet siteleri, mobil uygulamalar, sosyal
medya ve diğer kamuya açık mecralar veya organizasyonlar ve benzeri etkinlikler aracılığı ile de kişisel veri
toplayabilmektedir.
2. Kişisel Verilerin Aktarılması
Şirket, işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar
çerçevesinde ve 6698 sayılı Kanunun 8’inci maddesi hükümleri doğrultusunda, gerektiğinde ve ölçülü bir şekilde
şube, temsilci, iş ortakları ve yetkili resmi kurum/kuruluşlara idari ve teknik tedbirleri alarak veri aktarımı
yapmaktadır.
Yurt içinde oldukça sınırlı bir şekilde yapılan veri aktarımı, yurt dışına hiçbir şekilde yapılmamaktadır.
Ancak turizm acenteleri ve benzer alanlarda faaliyet gösteren aracı kişi ve şirketlerle yapılan ikili sözleşmeler
kapsamında Ephesus Hotel ad ve hesabına müşteri kabul eden diğer veri sorumlularının yurt dışına veri aktarımı
hususu Şirketimizle bağlantılı değildir.
2.1. Yurt İçinde Aktarım
Ephesus Hotel olarak, kişisel verilerin aktarılması konusunda KVKK’da öngörülen düzenlemelere ve
Kişisel Verileri Koruma Kurulu tarafından alınan kararlara uygun bir şekilde hareket etmekteyiz. Mevzuatta yer
alan hukuka uygunluk nedenleri saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler İlgili Kişi’nin açık
rızası olmadan üçüncü kişilere aktarılmaz. Bununla beraber ilgili kişinin açık rızasının aranmadığı durumlarda
6698 sayılı Kanunun verdiği yetki ile kişisel verilerin yetkili kişi ve kurumlara aktarımı söz konusu olmaktadır.
2.2. Yurt Dışına Aktarım
Kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. 6698 sayılı
Kanunda 2/3/2024 tarih ve 7499 sayılı Kanunun 34. maddesi ile yapılan değişiklikler kapsamında belirli hallerde
kişisel verilerin yurtdışına aktarımı mümkün kılınmıştır. Ancak, Ephesus Hotel olarak ikili iş ilişkisi içerisinde
olduğumuz iş ortaklarımızın faaliyetlerinden bağımsız olarak veri sorumlusu sıfatıyla doğrudan tarafımıza ulaşan
kişisel verileri yurt dışına aktarmıyoruz.
16
2.3. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler
Tarafımızca işlenen kişisel veriler işbu Politika’da belirtilen kurallar kapsamında, Kanun’un 8. ve 9.
maddelerine uygun olarak aşağıda sıralanan kişi kategorilerine yurtiçinde aktarılabilir:
1) Hissedarlarımız
2) İş Ortaklarımız
3) Gerçek kişiler veya özel hukuk tüzel kişileri
4) Yetkili Kamu Kurum ve Kuruluşları
5) Tedarikçiler
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda
belirtilmektedir.
Aktarım Yapılan Kişiler Veri Aktarım Amacı
Hissedarlarımız Şirketimiz hissedarlarına İstanbul
Ticaret Sicil Müdürlüğü’nün web
sayfasından ulaşılabilmektedir.
Şirketimizin ticari faaliyetlerine
ilişkin bilgilendirme veya denetim
amaçlarıyla sınırlı olarak
İş Ortağı Şirketimizin ürün ve hizmetlerinin
satışı, tanıtımı ve pazarlanması gibi
amaçlarla iş ortaklarımız, ödeme ve
tahsilat işlemlerinin yapılması için iş
ortağımız bankalar.
İş ortaklığının kurulma amaçlarının
yerine getirilmesini temin etmek
amacıyla sınırlı olarak
Gerçek Kişiler veya Özel
Hukuk tüzel Kişileri
İlgili mevzuat hükümleri uyarınca
kanunen belirlenmiş belirli şartlara
uygun olarak kurulmuş ve yine
kanunun belirlediği çerçevede
faaliyetlerini devam ettiren kurum
veya kuruluşlar (Örneğin; bağımsız
denetçiler, hukuki hizmet aldığımız
avukatlar, muhasebeci, işyeri hekimi)
anlaşılmalıdır.
İş ortaklığının kurulma amaçlarının
yerine getirilmesini temin etmek
amacıyla sınırlı olarak
Yetkili Kamu Kurum ve
Kuruluşları
İlgili mevzuat hükümlerine göre
Şirketimizden bilgi ve belge almaya
yetkili kamu kurum ve kuruluşları
(Mahkemeler, Savcılıklar, Emniyet
Müdürlükleri, Vergi Daireleri,
İŞKUR, SGK, GİB, Rekabet
Kurumu, Bakanlıklar, vb)
İlgili kamu kurum ve kuruluşlarının
hukuki yetkisi dahilinde talep ettiği
amaçla sınırlı olarak
Tedarikçiler Şirketimizin ticari faaliyetlerinin
yürütülmesi kapsamında Şirketimizin
veri işleme amaçları ve talimatları
doğrultusunda Şirketimize hizmet
sunan taraflar
Şirketimizin tedarikçiden dış
kaynaklı olarak temin ettiği ve
Şirketimizin ticari faaliyetlerini
yerine getirmek için gerekli
hizmetlerin sunulmasını sağlamak
amacıyla sınırlı olarak
2.4. Kişisel Verilerin Hukuka Uygun Olarak Aktarılmasını Sağlamak İçin Aldığımız Tedbirler
Kişisel verileri korumak için aldığımız idari ve teknik tedbirler Ephesus Hotel Veri Saklama ve İmha
Politikası’nda yer almaktadır.
17
G. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE ALINAN TEDBİRLER
1. Saklama Süreleri
Kişisel veriler, Şirket bünyesinde, ilgili yasal saklama süreleri müddetince veya bu verilerle ilişkili
faaliyetlerin ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır.
Kullanım amacı ortadan kalkan veya yasal saklama süresi sona eren kişisel veriler ise, Şirket tarafından Veri
Saklama ve İmha Politikası’na uygun olarak imha edilmektedir.
Kişisel verileri birden fazla amaç ile işlediğimiz hallerde, verinin işleme amaçlarının hepsinin ortadan
kalkması veya ilgili kişinin talebi üzerine, verilerin silinmesine mevzuatta bir engel olmaması durumunda veriler
silinir, yok edilir veya anonim hale getirilerek saklanır. Yok etme, silme veya anonim hale getirme hususlarında
mevzuat hükümleri ve KVK Kurulu kararlarına uyulur.
2. Kişisel Verilerin Saklanmasına İlişkin Aldığımız Tedbirler
2.1. Teknik Tedbirler
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için teknik alt yapılar ve bunlara
ilişkin denetim mekanizmaları oluşturmakta, kişisel verilerin güvenli şekilde saklanması için gerekli tedbirleri
almakta ve kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri
kurmaktayız.
2.2. İdari Tedbirler
Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek
farkındalık yaratmakta, eğitimler verdirmekte ve kişisel verilerin saklanması için üçüncü kişilerle iş birliği
yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelerde, aktarılan kişisel verilerin
korunması ve güvenli bir şekilde saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere
yer vermekteyiz.
H. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE
GETİRİLMESİ
İşleme amaçlarımız kapsamında toplanan kişisel veriler işleme amaçlarımız ve yürürlükteki mevzuat
hükümleri kapsamında işlenmekte ve saklanmaktadır.
Kişisel veriler; işleme amaçlarımızın tamamen sona ermesi veya ilgili Kişinin talebi halinde silinir, yok
edilir veya anonim hale getirilir. Söz konusu silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat
hükümleri saklı kalmak kaydıyla “Ephesus Hotel KVKK Saklama ve İmha Politikası” kapsamında yapılır.
18
Kişisel verileriniz, silinirken, yok edilirken veya anonim hale getirilirken işbu Politika’da yer alan
güvenlik tedbirleri alınır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yapılan
işlemlere dair kayıtlar diğer kanun ve mevzuat hükümleri saklı kalmak üzere en az 10 yıl boyunca saklanır.
Ephesus Hotel, aksi KVK Kurulu tarafından belirtilmediği sürece kişisel verileri silme, yok etme veya anonim
hale getirme yöntemlerinden uygun olanını seçer. İlgili Kişinin talebi halinde ise uygun yöntem gerekçesi
açıklanarak seçilir.
I. İLGİLİ KİŞİNİN ŞİRKETİMİZE KARŞI HAKLARI
Şirketimizde, 6698 sayılı KVKK’nın 11. Maddesine paralel olarak kişisel verileri işlenen gerçek kişilerin
hakları düzenlenmektedir ve bu madde uyarınca ilgili kişiler Şirketimizde aşağıdaki haklara sahiptir:
- Kişisel verisinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, verilerin silinmesini veya
yok edilmesini isteme,
- Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarar ortaya çıkması halinde zararın
giderilmesini talep etme.
Yukarıdaki haklardan birinin kullanılması amacıyla ilgili kişilerden gelecek talepler, Şirket tarafından en geç 30
gün içerisinde karşılanacaktır.
Bu talepleri, Şirketimizin iletişim kanalları aracılığıyla yahut ayrıca hazırladığımız münhasır Veri Sahibi
Talep Formu aracılığıyla; belirtilmiş yöntemlerle iletebilecektir. Bu yöntemler;
- İnternet sitemizde yer alan Veri Sahibi Talep Formunun ıslak imzalı ve kimlik fotokopisi ile “Mesih
Paşa, Aksaray Cad. No:24, 34130 Fatih/İstanbul” adresine gönderimi,
- Geçerli bir kimlik belgesi ile birlikte Şirketimizin ticari merkez adresi olan “Mesih Paşa, Aksaray
Cad. No:24, 34130 Fatih/İstanbul” adresine bizzat başvuru,
Olarak sıralanabilir.
Kişisel verilerinize ilişkin hak talepleriniz değerlendirilerek, bize ulaştığı tarihten itibaren en geç 30 gün
içerisinde cevaplanır. Başvurunuzun olumsuz değerlendirilmesi halinde gerekçeli ret sebepleri başvuruda
belirttiğiniz adrese elektronik posta veya posta yolu ile gönderilir.
19
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, ilgili kişinin, başvurusunda isim,
soy isim, başvuru yazılı ise imza, T.C. kimlik numarası, (başvuruda bulunan kişinin yabancı olması halinde
pasaport numarası), tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi,
telefon numarası ve faks numarası ile talep konusuna dair bilgilerin bulunması zorunludur.
İlgili kişi, yukarıda belirtilen hakları kullanmak için yapacağı ve kullanmayı talep ettiği hakka ilişkin
açıklamaları içeren başvuruda talep edilen hususu açık ve anlaşılır şekilde belirtilmelidir. Başvuruya ilişkin bilgi
ve belgelerin başvuruya eklenmesi gerekmektedir.
Talep konusunun başvuranın şahsı ile ilgili olması gerekmekle birlikte, başkası adına hareket ediliyor ise
başvuruyu yapanın bu konuda özel olarak yetkili olması ve bu yetkinin belgelendirilmesi (özel vekâletname)
gerekmektedir. Ayrıca başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliği doğrulayıcı belgelerin
eklenmesi gerekmektedir.
Yetkisiz üçüncü kişilerin başkası adına yaptığı talepler değerlendirmeye alınmayacaktır.
Başvuruyu Reddetme Hakkımız:
Kişisel veriler ile ilgili başvurular, sayılanlarla sınırlı olmamakla birlikte aşağıdaki hallerde reddedilebilir:
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik
gibi amaçlarla işlenmesi,
Kişisel verilerin, İlgili Kişinin özel hayatının gizliliğini veya kişilik haklarını ihlal etmemek ya da
suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi,
İlgili Kişi tarafından alenileştirilen kişisel verilerin işlenmesi,
Başvurunun haklı bir nedene dayanmaması,
Başvurunun ilgili mevzuata aykırı bir istek içermesi,
Başvuru usulüne uyulmaması.
J. KİŞİSEL VERİLERİN GÜVENLİĞİ
Ephesus Hotel, kişisel verilerin gizliliğini ve güvenliğini korumaya önem verir. Bu doğrultuda, kişisel
verileri yetkisiz erişim, zarar, kayıp veya ifşaya karşı korumak için gerekli teknik ve idari güvenlik önlemleri alınır.
Bu doğrultuda Kanun’un 12. Maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için
gerekli sistemsel erişim kontrolleri, veri erişim kontrolleri, güvenli transfer kontrolleri, iş sürekliliği kontrolleri ve
diğer gerekli kurumsal kontroller uygulanır.
Tarafımızca alınan idari ve teknik tedbirler genel olarak şunlardır:
✓ Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
20
✓ Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
✓ Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
✓ Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
✓ Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
✓ Veri Kaybı Önleme Yazılımı (DLP) kullanılmaktadır.
✓ Güçlü şifre ve parola kullanımının yanı sıra, düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanır.
✓ Uzak bağlantı güvenliği için en yüksek şifreleme ve güvenlik içeren yöntem kullanılır.
✓ Güvenlik açıkları olup olmadığı düzenli olarak takip edilerek, uygun güvenlik yamaları yüklenir.
✓ Erişim logları düzenli olarak tutulmaktadır.
✓ Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve
uygulamaya başlanmıştır.
✓ Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
✓ Gizlilik taahhütnameleri yapılmaktadır.
✓ Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
✓ Güncel anti-virüs sistemleri kullanılmaktadır.
✓ Güvenlik duvarları kullanılmaktadır.
✓ İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
✓ Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
✓ Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
✓ Kişisel veri güvenliğinin takibi yapılmaktadır.
✓ Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
✓ Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
✓ Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
✓ Kişisel veriler mümkün olduğunca azaltılmaktadır.
✓ Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
✓ Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
✓ Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
✓ Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
✓ Mevcut risk ve tehditler belirlenmiştir.
Alınan tüm önlemlere rağmen bir veri ihlali tespit edilir edilmez ilgili kişisel veri sahiplerine ve T.C.
Kişisel Verileri Koruma Kurumu’na bildirilecek ve en kısa sürede kamuoyu ile paylaşılacaktır.
K. AYDINLATMA METNİ VE AÇIK RIZALAR
Ephesus Hotel, her bir veri sahibi grubu için ayrı aydınlatma metinleri düzenleyerek fiziki ortamlara ve
sanal ortamlara ilgili kişilerin ulaşabilecekleri şekilde koymuştur. Şirketin hazırlamış olduğu aydınlatma metinleri;
➢ Çalışan/Çalışan Adaylarına (Stajyerler de dahil)
➢ İş Ortaklarına/Tedarikçilerine/Bayilerine/Aracılara/ (Potansiyeller de dahil)
➢ Konaklayacak müşteri ve diğer ürün ve hizmetlerimizi alacak müşterilere (Potansiyeller de dahil)
➢ Ziyaretçilere
Yöneliktir.
21
L. EPHESUS HOTEL KVKK KOMİTESİ, KOMİTE’NİN ROL VE SORUMLULUĞU
1. Ephesus Hotel KVKK Komitesi
Ephesus Hotel olarak Şirket bünyesinde kurulacak KVKK Komitesi 1 başkan ve yeteri kadar üyeden
oluşacaktır.
2. Komite’nin Rol ve Sorumluluğu
2. 1. Denetleme
Genel Müdürlük birimi, işbu Politika’ya, kural ve düzenlemelere uyulmaması durumunda bildirim,
inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.
2.2. Onaylama
İşbu Politika, Ephesus Hotel’in KVK Komitesi tarafından onaylanmış olup, KVK Komitesi, Politikanın
oluşturulmasının, uygulanmasının ve gerektiğinde güncellenmesinin sağlanması konusunda yetkili onay
mekanizmasıdır. KVK Komitesi, sorumlu oldukları faaliyetlerde, görev alan çalışanlarla beraber dış hizmet alınan
firmaların Politika’ya uyumu için gerekli tedbirlerin alınması, Politika’ya aykırı hususların tespiti amacıyla
konuların incelenmesi ve ‘Denetleme’ birimine bildirilmesinden sorumludur.
2.3. Güncelleme
İşbu Politikanın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden, Genel Müdürlük
sorumludur. Bu Politikayı gerektiğinde güncelliği ve geliştirme ihtiyaçları açısından değerlendirir.
2.4. Dağıtım
Hazırlanan dokümanın kurum içi dağıtımının yapılması Genel Müdürlük biriminin sorumluluğundadır.
2.5. Aydınlatma
İşbu Politika çerçevesinde, hazırlanan dokümanın intranet sisteminde yayınlanması Genel Müdürlük
biriminin sorumluluğundadır.
22
M. POLİTİKANIN YAYINLANMASI, SAKLANMASI, YÜRÜRLÜĞÜ VE GÜNCELLENMESİ
1. Politikanın Yayınlanması ve Saklanması
İşbu Politika, Ephesus Hotel KVK Komitesinin kabulü ile yürürlüğe girer.
İşbu Politika basılı kâğıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanır. Şirket internet
sayfasında dokümanların güncel versiyonu yer alır.
2. Politikanın Yürürlüğe Girmesi
İşbu Politika, Şirket internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. İşbu
Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın eski nüshaları Genel Müdürlük
tarafından iptal edilerek 5 yıl süresince saklanır.
3. Politikanın Güncellenmesi
İşbu Politika herhangi bir bildirimde bulunmaksızın yılda en az bir kez gözden geçirilir ve ihtiyaç halinde
Dokümantasyon Yönetimi Prosedüründe belirlenen esaslar dâhilinde güncellenir. Bu nedenle belirli aralıklarla
işbu Politikayı gözden geçirmeniz tavsiye edilir.
İlk Yayınlanma Tarihi: 3/11/2025
Güncellemeler: 28 Nisan