Kişisel Verileri Koruma Politikası

Bilgi ve Rezervasyon

Bir sorunuz mu var?
Bize Ulaşın!

+90 212 518 5130

Kişisel Verileri Koruma Politikası

 İstanbul Ephesus Hotel

Ephesus Otelcilik ve Turizm Anonim Şirketi

 KİŞİSEL VERİLERİ KORUMA POLİTİKASI & REHBER

TANIMLAR/AÇIKLAMALAR

İstanbul

Kasım 2025

İÇİNDEKİLER:

  1. AMAÇ VE KAPSAM
  2. POLİTİKALARIMIZDA YER ALAN TANIMLAMALAR VE SINIFLANDIRMALAR
  3. Kavram Tanımlamaları ve Açıklamalar
  4. Kişisel Verilerin Sınıflandırılması

                 2.1. Kişisel Veriler

                 2.2. Özel Nitelikli Kişisel Veriler

                 2.3. Kişisel Verilere İlişkin Kategoriler

  1. Kişisel Veri Sahipleri ‘İlgili Kişiler’
  2. İSTANBUL EPHESUS HOTEL TARAFINDAN İŞLENEN KİŞİSEL VERİLER
  3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
  4. Genel Veri İşleme Amaçlarımız
  5. Ticari Faaliyetlerimiz Kapsamında Veri İşleme Amaçlarımız
  6. HUKUKİ YÜKÜMLÜLÜKLER
  7. Aydınlatma Yükümlülüğümüz
  8. Veri Güvenliğini Sağlama Yükümlülüğümüz
  9. KİŞİSEL VERİLERİN TOPLANMASI VE AKTARILMASI
  10. Kişisel Verilerin Toplanması
  11. Kişisel Verilerin Aktarılması

                 2.1. Yurt İçinde Aktarım

                 2.2. Yurt Dışına Aktarım

  1. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE ALINAN TEDBİRLER
  2. Saklama Süreleri
  3. Kişisel Verilerin Saklanmasına İlişkin Aldığımız Tedbirler

   2.1. Teknik Tedbirler

                 2.2. İdari Tedbirler

  1. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
  2. İLGİLİ KİŞİNİN ŞİRKETİMİZE KARŞI HAKLARI
  3. KİŞİSEL VERİLERİN GÜVENLİĞİ
  4. AYDINLATMA METNİ VE AÇIK RIZA BEYANLARI
  5. İSTANBUL EPHESUS HOTEL KVKK KOMİTESİ VE KOMİTE’NİN ROL VE SORUMLULUĞU
  6. İstanbul Ephesus Hotel KVKK Komitesi
  7. Komite’nin Rol ve Sorumluluğu

   2.1. Denetleme

   2.2. Onaylama

   2.3. Güncelleme

   2.4. Dağıtım

   2.5. Aydınlatma

  1. POLİTİKANIN YAYINLANMASI, SAKLANMASI, YÜRÜRLÜĞÜ VE GÜNCELLENMESİ
  2. Politikanın Yayınlanması ve Saklanması
  3. Politikanın Yürürlüğe Girmesi
  4. Politikanın Güncellenmesi

 

 

 

 

 

  1. AMAÇ VE KAPSAM

Bu politikanın amacı, Ephesus Otelcilik ve Turizm Anonim Şirketi (“Ephesus”, “Ephesus Hotel” yahut kısaca “ŞİRKET” olarak kullanılacaktır) oluşturulan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu sıfatıyla hukuka uygun şekilde yürüttüğü kişisel verileri işleme faaliyetleri ile ilgili açıklamalarda bulunmaktır. Bu açıklamalarla güdülen amaç; ilgili kişileri bilgilendirmek ve böylece kişisel veriler hususunda şeffaflık sağlamaktır.

Ephesus Hotel, 6698 sayılı Kanun uyarınca veri sorumlusu sıfatına haiz olup, bu sıfatın gerektirdiği yükümlülükleri yerine getirmek için Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin Türkiye’nin taraf olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere Veri Koruma Hukukuna dair tüm mevzuat hükümleri doğrultusunda işbu Politikada da ifade edilen gerekli uyum çalışmalarını gerçekleştirmektedir. Bu nedenle, çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, müşteri/potansiyel müşterilerimizin, iş ortaklarımızın/potansiyel iş ortaklarımızın, tedarikçilerimizin/potansiyel tedarikçilerimizin, aracılarımızın, sözleşme ilişkisi içine girdiğimiz üçüncü kişilerin ve ilgili diğer tüm kişi ve kurumların kişisel verilerinin korunmasına ilişkin faaliyetler işbu Politika’daki esaslara uygun olarak Şirketimiz tarafından yönetilmektedir.

Bu bağlamda, Şirketimiz KVKK kapsamında kişisel verileri işleme faaliyetlerini, kişisel verileri toplama yöntemlerini ve hukuki sebeplerini, hangi kişi gruplarının kişisel verilerinin işlendiğini, bu kişi gruplarına ilişkin olarak hangi kategoride kişisel veri işlendiğini, bu kişisel verilerin hangi iş süreçlerinde ve hangi amaçlarla kullanıldığını, kişisel verilerin güvenliğini sağlamak amacıyla alınan teknik ve idari tedbirleri, kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel verileri saklama sürelerini, ilgili kişilerin kişisel verileri üzerindeki haklarının neler olduğunu ve bu hakları nasıl kullanabileceklerini, yetkili kurum ve kuruluşlara kişisel veri paylaşımını işbu Politika başta olmak üzere Ephesus Hotel tarafından hazırlanan ve kamuoyu ile paylaşılan diğer KVKK politikalarında detaylandırarak açıklamış bulunmaktadır.

Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve özgürlüklerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikalarımızın temel prensibidir. Bu nedenle kişisel verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü ve etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz.

Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde, ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini almaktayız.

Politikalarımız, Ephesus Hotel bünyesindeki kişisel verilerle alakalı bütün işleme faaliyetleri için uygulanmakta olup, KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası standartlar gözetilerek ele alınmış ve hazırlanmıştır. Politikalar kapsamındaki hususlar ile ilgili olarak düzenli yapılacak kontrol ve takip işlemleri, Şirket tarafından oluşturulacak performans takip ve izleme kriterlerine göre gerçekleştirilecektir. Şirket, bu bağlamda gerekli disiplin yönergelerini ve gizlilik sözleşmelerini de hazırlamıştır.

Şirket, 6698 sayılı Kişisel Verilerin Korunması Kanununun 4. maddesinin 2. fıkrası uyarınca ve işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde belirtilen amaçlar kapsamında, kişisel verilerin işlenmesine ilişkin aşağıdaki ilkeleri benimser;

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
  1. POLİTİKALARIMIZDA YER ALAN TANIMLAMALAR VE SINIFLANDIRMALAR
  2. Kavram Tanımlamaları ve Açıklamalar

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme/ Anonimleştirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Çalışan/ Personel

Çalışanları, personelleri veya stajyerleri

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

İlgili Kişi

Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollardan işlenen kişisel verilerin bulunduğu her türlü ortam.

Kayıtlı Elektronik Posta (KEP) Adresi

Her türlü ticari, hukuki yazışma ve belge paylaşımlarını gönderilen biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemi

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

T.C. Kişisel Verileri Koruma Kurumu

KVKK, Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Müşteri

Ephesus Hotel ile herhangi bir sözleşme ilişkisi olup olmadığına bakılmaksızın Şirketin sunmuş olduğu ürün ve hizmetleri kullanmış olan / kullanan / satın alan gerçek / tüzel kişidir.

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Periyodik İmha

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika(lar)

Aydınlatma Metni, Kişisel Verileri Koruma Politikası, Kişisel Veri Saklama ve İmha Politikası, Çerez Politikası

Silme

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.

Şirket

Ephesus Otelcilik ve Turizm Anonim Şirketi

Tedarikçi

Şirketin emir ve talimatlarına uygun olarak hizmet sunan/sunmak isteyen gerçek/tüzel kişi

Ephesus Hotel

Ephesus Otelcilik ve Turizm A.Ş.

Üçüncü Kişi

Şirketin Politikalarda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örnek: Kefil, refakatçi vb.)

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi: Ephesus Otelcilik ve Turizm Anonim Şirketi

Yok Etme

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.

Ziyaretçi

Ephesus Hotel’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren gerçek kişi

 

  1. Kişisel Verilerin Sınıflandırılması

2.1. Kişisel Veriler

Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika kural olarak tüzel kişilere ait verilere uygulanmaz.

2.2. Özel Nitelikli Kişisel Veriler

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. 6698 sayılı Kanunun 6. maddesinde tanımı yapılmaktadır.

2.3. Kişisel Verilere İlişkin Kategoriler

Şirketimiz tarafından, 6698 sayılı KVKK’nın 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda Kanunun 5. Maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere Kanunda belirtilen genel ilkelere ve Kanunda düzenlenen bütün yükümlülüklere uyarak Ephesus Hotel KVKK Saklama ve İmha Politikası’nda ki sürelerle  sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler işlenmektedir.

KİŞİSEL VERİ KATEGORİLERİ

KİŞİSEL VERİ KATEGORİLERİ

AÇIKLAMALAR

Aile Bireyleri ve Yakın Bilgisi

 

Şirketimiz operasyonları çerçevesinde ve sunduğumuz ürün ve hizmetlerle ilgili veya Şirketin ve veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler

Görsel ve İşitsel kayıtlar

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamına giren kayıtlar hariç)

Finans

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi, ücret verisi gibi veriler

Fiziksel Mekân Güvenliği Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar vb.

Hukuki İşlem

Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler (Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler, Tutanaklar, İzinler, Ruhsatlar, İmza Sirkülerleri, Hazirun cetveli, Ticaret Sicil Kayıtları, Arıza tamir ve Bakım formları,  vb)

İletişim Bilgisi

 

Telefon numarası, adres, e-posta, sosyal medya kullanıcı adı, cep telefonu, faks numarası, Kep adresi vb.

Pazarlama Verisi

Şirketimizin iş faaliyetleri kapsamında elde etmiş olduğu anket bilgisi, çerez kayıtları, kampanya çalışması ile elde edilen bilgiler vb.

İşlem Güvenliği Bilgisi

Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin log kayıtları, IP adresi bilgileri, şifre ve parola bilgileri, internet sitesi giriş çıkış bilgileri)

Kimlik Bilgisi

Kişinin kimliğine dair bilgilerin bulunduğu verilerdir: ad-soyadı, T.C. kimlik numarası, anne-baba adı, doğum yeri, doğum tarihi, medeni hali, nüfus cüdanı seri numarası gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası vb. araç plakası, uyruk bilgileri

Cinsiyet Verisi

Kişisel veri sahibinin cinsiyetini belirleyen veri (kadın, erkek)

Müşteri İşlem Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler ile ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler, ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek sunulmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler.

Ceza Mahkumiyeti ve Güvenlik Tedbirleri

Özel nitelikli kişisel verilerden olan ceza mahkumiyetine ilişkin bilgileri, güvenlik tedbirlerine ilişkin bilgiler vb.

Sağlık Bilgileri

Engellilik durumuna ilişkin bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri vb.

Çalışan İşlem Bilgisi

Çalışanlarımızın ve stajyerlerimizin üniformalarının, ayakkabılarının ölçülerine uygun olmasını temin için işlenen ayakkabı numarası, beden ölçüsü, boy, kilo vb. verilerdir.

Özlük Bilgisi

Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri (bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları, askerlik bilgisi vb.)

Sigorta Bilgisi

Çalışanlarımızın ve stajyerlerimizin sosyal güvenlik veya özel sigorta poliçesi kapsamında işlenen poliçe no, sigorta numarası vb. verileri.

Mesleki Deneyim

Çalışan adayı, çalışan, stajyerlere ait diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, tedarikçilerin uzmanlık belgeleri, transkript bilgileri vb.

 

 

 

 

  1. Kişisel Veri Sahipleri ‘İlgili Kişiler’

KİŞİSEL VERİ SAHİPLERİ

AÇIKLAMALAR

Çalışan /Stajyerler

Şirketimizle iş sözleşmesi akdetmiş gerçek kişiler ile stajyerler dahil

Çalışan Adayı

Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler (stajyer adayları dahil)

Ürün Veya Hizmet Alan Kişi (Müşteriler)

Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler

Potansiyel Ürün veya Hizmet Alıcısı (Müşteri Adayı)

Şirketimizle henüz bir sözleşme ilişkisi kurmamış yada şirketimizin ürün veya hizmetlerini henüz kullanmamış gerçek kişiler

  Hissedar/Ortak

Şirketimizin hissedarı gerçek kişiler ile şirket yönetim kurulu üyesi gerçek kişiler

Tedarikçi Yetkilisi

Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda, bu kurumların hissedarları ve yetkilileri dahil olmak üzere gerçek kişiler

Tedarikçi Çalışanı

Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda çalışan kişiler

Üçüncü Kişiler

Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ilişkilerini yürütmek, veya bahsi geçen kişilerin veya şirketimizin haklarını korumak ve menfaat temin etmek üzere ilişkili olan üçüncü taraf gerçek kişiler (Örn. Kefil, aile bireyleri ve yakınlar) veya bu politika kapsamına girmeyen diğer gerçek kişiler

Ziyaretçiler

Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler

  1. EPHESUS HOTEL OTELLERİ TARAFINDAN İŞLENEN KİŞİSEL VERİLER

Ephesus Hotel tarafından işlenen kişisel veriler 6698 sayılı Kişisel Verilerin Koruma Kanununun 5. maddesinde belirtildiği şekilde

  • Kanunlarda açıkça öngörülmesi (örneğin, çalışana ait özlük bilgilerinin kanun gereği tutulması),
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (örneğin, restoranda yemek için rezervasyon yaptıran kişilerin iletişim ve kimlik bilgilerinin kaydedilmesi),
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması (örneğin, otelde konaklayan bir kişinin konaklama resmini kendi sosyal medya hesabından yayınlaması halinde otelin sosyal medya hesaplarınca işlenmesi (repost yapılması)),
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (örneğin otel güvenliği için ya da olağanüstü durumlarda (su baskını, yangın gibi) erken müdahale için güvenlik kamerası ve bilişim sistemi kurulması)
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (örneğin, işten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması)

Hukuki sebeplerine dayanarak yetkili kişi, kurum ve kuruluş ile idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak toplanmaktadır.

Şirket ile ilgili kişi arasındaki ilişkinin türüne ve niteliğine, kullanılan iletişim kanalına ve kişisel verileri işleme amacına bağlı olarak çeşitlenen ve farklılaşan ve işbu Politika’daki ilkelere uyumlu bir şekilde işlenen kişisel veri kategorileri genel olarak aşağıdaki gibidir:

  • Şirket tarafından oluşturulan kişileri tanımlayıcı kimlik bilgileri,
  • Kimlik doğrulama amaçlı saklanan kişiye özel veriler,
  • Görsel ve işitsel veriler,
  • İletişim bilgi ve kayıtları,
  • Tüzel kişilere yönelik belgelerdeki gerçek kişi bilgileri,
  • Çalışan adayı, çalışanlar, stajyerler ve temsilcilere dair tanımlayıcı ve Şirket tarafından üretilen niteleyici bilgiler,
  • Çalışan, çalışan adayı, stajerler ve şirket temsilcilerine ait sağlık verileri,
  • Şirket işlemlerinde gerçekleştirilen faaliyetlere ilişkin finansal veriler,
  • Çalışan özlük dosyalarında bulunan sağlık, ceza mahkumiyeti, sendika, din ve inanç özel verileri,
  • Müşteri kayıt dosyalarında bulunan özel nitelikli kişisel veriler.

Bu veriler, Şirket için özel olarak hazırlanan Kişisel Veri Envanteri aracılığıyla VERBİS üzerinde detaylı bir şekilde tanımlanmaktadır. Bunlardan bazıları özel nitelikli kişisel veri olup; işlenmesi daha sıkı prosedürlere dayanmaktadır.

Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu’nun öngördüğü idari ve teknik tedbirler alınarak, ilgili kişinin açık rızasının varlığı halinde veya mevzuatın zorunlu kıldığı hallerde tarafımızca işlenir. Tarafımızca işlenen ilgili kişilere ait belirli özel nitelikli kişisel veriler şunlardır.

  • Çalışanlara ait tıbbi geçmiş bilgisi dâhil sağlık bilgileri; yasal yükümlülüklerimiz gereği, özlük dosyası kapsamında ve kan grubu bilgisi ise çalışanlarımızın ve yakınlarının acil kan ihtiyaçlarının temini amacıyla işlenir.
  • Müşterilerimize ait sağlık bilgileri (herhangi bir gıda alerjisi olup olmadığı, engellilik durumu vb. gibi) kişiye özel hizmet vermek amacıyla işlenir.
  • Çalışanlara ait kılık, kıyafet ve beden ölçüleri bilgileri, çalışanlarımızın ve stajyerlerimizin görevlerini ifa ederken kullanacakları kıyafetlerin ölçülerine uygun temin edilmesi amacıyla işlenir.

 

  1. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
  2. Genel Veri İşleme Amaçlarımız

Kişisel veriler, Şirket tarafından aşağıda örneklenen amaçlar kapsamında işlenebilmekte olup, bu amaçların ve ilgili yasal sürelerin öngördüğü müddetçe saklanabilmektedir;

  • Otellerimizde konaklama hizmetlerinin eksiksiz ve kaliteli bir şekilde yürütülmesi,
  • Otellerdeki restoranlar üzerinden doğrudan satış faaliyetlerinin eksiksiz olarak sürdürülmesi,
  • Otellerdeki toplantı, seminer, düğün ve davet etkinliklerinin eksiksiz olarak sürdürülmesi,
  • Yasal ve idari yükümlülükler kapsamında faaliyetlerin yürütülmesi,
  • Sözleşmelerin müzakeresi, oluşturulması ve ifası,
  • Talep ve sorular kapsamında ilgili kişiye desteğin sağlanması,
  • Tanıtım ve pazarlama faaliyetlerinin yürütülmesi,
  • Anket ve oylamalar ile ilgili kişilerin görüşünün alınması ve müşteri memnuniyetinin sağlanması,
  • Aday değerlendirme ve işe alım süreçlerinin yürütülmesi
  • Şirket insan kaynakları yönetiminin yapılması,
  • Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
  • Şirket ile iş ortaklıklarının yürütülmesi amaçlarıyla ticari faaliyetlerin yürütülmesi,
  • Şirket ile üçüncü kişiler arasında yapılan sözleşmelerin ifası ve diğer yasal yükümlülüklerin yerine getirilmesi,
  • Kimlik doğrulama ve kayıt oluşturulması,
  • Ticari faaliyetlerin yerine getirilebilmesi ve sürekliliğinin sağlanabilmesi,
  • Alınan hizmet süreçleri ile alakalı bilgilendirme maksadıyla,
  • İşlemlerle ilgili istatistiklerin yapılabilmesi ve bağlantılı listelerin oluşturulması, ticari istatistik ve analizlerin bir araya getirilmesi,
  • Ürünlerin, hizmetlerin ve kişisel seçim olanaklarının araştırılması ve geliştirilmesi,
  • Yazılım, kurumsal kaynak planlaması, raporlama, pazarlama vs. gibi işlevlerin yerine getirilmesi,
  • Risk limitlerinin belirlenmesi ve teminatlandırma çalışmalarının yapılması,
  • Promosyonlar ve kampanyalardan faydalandırılma amacıyla,
  • İşyerinde güvenlik uygulamaları nedeniyle,
  • Gerekli kalite, gizlilik ve standart denetimlerinin yapılabilmesi,
  • Kanun ve yönetmelikler ile belirlenmiş gerekliliklerin ifa edilmesi (vergi mevzuatı, tüketicilerin korunmasına yönelik mevzuat, borçlar hukuku mevzuatı, ticaret hukuku mevzuatı ve ilgili tüm mevzuat)
  • e-fatura, e-arşiv ve e-irsaliye ile ilgili yükümlülüklerin yerine getirilmesi, 
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde kamu kurum ve kuruluşlarının taleplerinin yerine getirilmesi (bilgi paylaşımı vs.)
  • 6698 sayılı Kanunda belirtilmiş yasal yükümlülüklerin yerine getirilmesi,
  • Önceden onay verilmesi kaydıyla yeni ürünler, kampanyalar ve promosyonlar hakkında bilgi vermek amacıyla elektronik ileti gönderilmesi,
  • Personelin istihdamı ile ilgili olarak yasal yükümlülüklerin yerine getirilmesi,
  • Personellere maaş hesabı açılması, gerektiği durumlarda kiralık araç verilmesi, telefon verilmesi, telefon hattı verilmesi, yemek kartı verilmesi, otomatik bireysel emeklilik işlemlerinin yerine getirilmesi, 
  • Çeşitli insan kaynakları uygulamaları, 
  • Acil tıbbi müdahaleler, 
  • Hastalık izinlerinin takibi ve izlenmesi veya personelin görevini yerine getirebilmesi için gerekli sağlık koşullarının takibi,
  • Personelin maaşına konulan maaş hacizlerinin takibi, 
  • Kalite, bilgi güvenliği ve gizlilik politikalarının ve standartlarının sağlıklı olarak temini ve denetimi, 
  • Acil durumların varlığı halinde personelin kendi rızası ile verdiği kişiler ile iletişime geçilmesi?, 
  • Personel masraflarının hesaplanması, 
  • İşe giriş ve çıkışların tespiti ve kontrolü,  
  • Şirket üst yönetimine yapılacak raporlama ve analizlerin hazırlanması, 
  • Performans değerlendirmesi yapmak ve ücret politikaları belirlemek,
  • İşyerinde gizlilik ve güvenlik uygulamaları nedeniyle kamera görüntülerinin kaydedilmesi,

Bu amaçlar, Kişisel Veri Envanteri aracılığıyla VERBİS üzerinde detaylandırılmaktadır.

  1. Kişisel Veri İşleme Üst Amaçlarımız

Şirketimiz tarafından hazırlanan kategorizasyona göre kişisel verilerin işlenmesine ilişkin üst amaçlar aşağıda paylaşılmaktadır:

  • Şirketimizin insan kaynakları politikalarının ve süreçlerinin planlanması ve icra edilmesi,
  • Şirketimiz tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
  • Şirketimiz tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi,
  • Şirket’in ticari ve iş stratejilerinin planlanması ve icrası,
  • Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası,
  • Şirketimizin ve şirketimiz ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini,
  • Şirketimizin ticari ve iş stratejilerinin planlanması ve icrası.

 

 

 

  1. Özel Veri İşleme Amaçlarımız
  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
  • Bilgi Güvenliği Süreçlerinin yürütülmesi,
  • Çalışan Adayı / Stajyer Seçme ve Yerleştirme Süreçlerinin Yürütülmesi,
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi,
  • Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
  • Denetim / Etik Faaliyetlerinin Yürütülmesi,
  • Çalışanların üniformalarının ölçülerine uygun temin edilmesini sağlamak,
  • Eğitim Faaliyetlerinin Yürütülmesi,
  • Erişim Yetkilerinin Yürütülmesi,
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi,
  • Finans ve Muhasebe İşlerinin Yürütülmesi,
  • Firma/Ürün/Hizmetlere Bağlılık Süreçlerinin Yürütülmesi,
  • Fiziksel Mekân Güvenliğinin Temini,
  • Görevlendirme Süreçlerinin Yürütülmesi,
  • Hukuk İşlerinin Takibi ve Yürütülmesi,
  • İç Denetim/ Soruşturma Faaliyetlerinin Yürütülmesi,
  • İletişim Faaliyetlerinin Yürütülmesi,
  • İnsan Kaynakları Süreçlerinin Planlanması,
  • İş Faaliyetlerinin Yürütülmesi / Denetimi,
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi,
  • Mal/Hizmet Satın Alım Süreçlerinin Yürütülmesi,
  • Mal/Hizmet Satış Süreçlerinin Yürütülmesi,
  • Mal/Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi,
  • Kayıp ve Bulunan Eşya Süreçlerinin Yürütülmesi,
  • Kişiye Özel Hizmet Vermek Amacıyla,
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,
  • Organizasyon ve Etkinlik Yönetimi,
  • Pazarlama Analiz Çalışmalarının Yürütülmesi,
  • Performans Değerlendirme Süreçlerinin Yürütülmesi,
  • Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi,
  • Risk Yönetimi Süreçlerinin Yürütülmesi,
  • Sigorta işlemlerinin takibi,
  • Sözleşme Süreçlerinin Yürütülmesi,
  • Talep/Şikayetlerin Takibi,
  • Taşınır Mal ve Kaynakların Güvenliğinin Temini,
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi,
  • Ücret Politikasının Yürütülmesi,
  • Ürün /Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi,
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
  • Yabancı Personel Çalışma ve Oturma İzni İşlemleri,
  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,
  • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
  • Yönetim Faaliyetlerinin Yürütülmesi,
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi.
  1. Ticari Faaliyetlerimiz Kapsamında Veri İşleme Amaçlarımız

 Şirket otellerimize aracı acente ve tur şirketleri ile rezervasyon yapılabileceği gibi hizmet satın alımı da yapılabilmektedir. Ayrıca internet sitemiz üzerinden halihazırda online rezervasyon ve satış hizmeti olmasa da bu hizmeti yürürlüğe sokmak tamamen Şirketimizin tasarrufundadır.

Şirketimiz tarafından sunulan hizmetlere elektronik ortamlar üzerinden ulaşan müşterilerimizin ve müşteri adaylarımızın 6698 sayılı Kanun ve ilgili mevzuat uyarınca kişisel verileri işlenmektedir.  Kanunen yetki verilmediği durumlarda kişisel verilerinizin işlenebilmesi için açık rızanız aranmaktadır. Bu durumlarda açık rıza vermemeniz halinde kişisel verileriniz hiçbir şekilde işlenmemektedir.  Ephesus Hotel olarak mevzuatın bize yetki verdiği durumlarda dahi hukuka ve dürüstlük kurallarına uygun bir şekilde aydınlatma vazifemizi yerine getirerek mevzuata uygun şekilde veri işleme faaliyetlerini icra etmekteyiz.

  1. HUKUKİ YÜKÜMLÜLÜKLER

Veri sorumlusu olarak kişisel verilerin korunması ve işlenmesi kapsamındaki hukuki yükümlülüklerimiz aşağıda sıralanmaktadır:

  1. Aydınlatma Yükümlülüğümüz

Veri sorumlusu olarak kişisel verileri toplarken;

  • Kişisel verilerinizin hangi amaçla işleneceği,
  • Kimliğimiz, varsa temsilcimizin kimliğine ilişkin bilgiler,
  • İşlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği,
  • Verileri toplama yöntemimiz ve hukuki sebebi ve
  • 6698 sayılı KVKK’dan doğan haklarınız.

Hususlarında ilgili kişiyi aydınlatma yükümlülüğümüz bulunmaktadır.

Ephesus Hotel olarak, işbu Politikanın anlaşılır ve kolay erişilebilir olmasına özen göstermekteyiz.

  1. Veri Güvenliğini Sağlama Yükümlülüğümüz

Veri sorumlusu olarak uhdemizde bulunan kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen idari ve teknik tedbirleri almaktayız. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler Ephesus Hotel KVKK Saklama ve İmha Politikası’nda detaylandırılmaktadır.

  1. KİŞİSEL VERİLERİN TOPLANMASI VE AKTARILMASI
  2. Kişisel Verilerin Toplanması

Şirket, işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlarını karşılamak için, 6698 sayılı KVKK’nın 5 ve 6’ncı maddelerinde öngörülen şartlar çerçevesinde, direkt olarak çalışanlar ve müşterilerden, temsilcilerden, iş ortaklarından, çağrı merkezinden, canlı yardım kanalından, şubelerden ve diğer fiziki ortamlardan kişisel veri edinebileceği gibi; internet siteleri, mobil uygulamalar, sosyal medya ve diğer kamuya açık mecralar veya organizasyonlar ve benzeri etkinlikler aracılığı ile de kişisel veri toplayabilmektedir.

  1. Kişisel Verilerin Aktarılması

Şirket, işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde ve 6698 sayılı Kanunun 8’inci maddesi hükümleri doğrultusunda, gerektiğinde ve ölçülü bir şekilde şube, temsilci, iş ortakları ve yetkili resmi kurum/kuruluşlara idari ve teknik tedbirleri alarak veri aktarımı yapmaktadır.

Yurt içinde oldukça sınırlı bir şekilde yapılan veri aktarımı, yurt dışına hiçbir şekilde yapılmamaktadır. Ancak turizm acenteleri ve benzer alanlarda faaliyet gösteren aracı kişi ve şirketlerle yapılan ikili sözleşmeler kapsamında Ephesus Hotel ad ve hesabına müşteri kabul eden diğer veri sorumlularının yurt dışına veri aktarımı hususu Şirketimizle bağlantılı değildir.

2.1. Yurt İçinde Aktarım

Ephesus Hotel olarak, kişisel verilerin aktarılması konusunda KVKK’da öngörülen düzenlemelere ve Kişisel Verileri Koruma Kurulu tarafından alınan kararlara uygun bir şekilde hareket etmekteyiz. Mevzuatta yer alan hukuka uygunluk nedenleri saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler İlgili Kişi’nin açık rızası olmadan üçüncü kişilere aktarılmaz.

2.2. Yurt Dışına Aktarım

Kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. 6698 sayılı Kanunda 2/3/2024 tarih ve 7499 sayılı Kanunun 34. maddesi ile yapılan değişiklikler kapsamında belirli hallerde kişisel verilerin yurtdışına aktarımı mümkün kılınmıştır. Ancak, Ephesus Hotel olarak ikili iş ilişkisi içerisinde olduğumuz iş ortaklarımızın faaliyetlerinden bağımsız olarak veri sorumlusu sıfatıyla doğrudan tarafımıza ulaşan kişisel verileri yurt dışına aktarmıyoruz.

2.3. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler

Tarafımızca işlenen kişisel veriler işbu Politika’da belirtilen kurallar kapsamında, Kanun’un 8. ve 9. maddelerine uygun olarak aşağıda sıralanan kişi kategorilerine yurtiçinde aktarılabilir:

  • Hissedarlarımız
  • İş Ortaklarımız
  • Gerçek kişiler veya özel hukuk tüzel kişileri
  • Yetkili Kamu Kurum ve Kuruluşları
  • Tedarikçiler

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.

 

Aktarım Yapılan Kişiler

Veri Aktarım Amacı

Hissedarlarımız

Şirketimiz hissedarlarına İstanbul Ticaret Sicil Müdürlüğü’nün web sayfasından ulaşılabilmektedir.

Şirketimizin ticari faaliyetlerine ilişkin bilgilendirme veya denetim amaçlarıyla sınırlı olarak

 İş Ortağı

Şirketimizin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması gibi amaçlarla iş ortaklarımız, ödeme ve tahsilat işlemlerinin yapılması için iş ortağımız bankalar.

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak

Gerçek Kişiler veya Özel Hukuk tüzel Kişileri

İlgili mevzuat hükümleri uyarınca kanunen belirlenmiş belirli şartlara uygun olarak kurulmuş ve yine kanunun belirlediği çerçevede faaliyetlerini devam ettiren kurum veya kuruluşlar (Örneğin; bağımsız denetçiler, hukuki hizmet aldığımız avukatlar, muhasebeci, işyeri hekimi) anlaşılmalıdır.

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak

Yetkili Kamu Kurum ve Kuruluşları

İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları (Mahkemeler, Savcılıklar, Emniyet Müdürlükleri, Vergi Daireleri, İŞKUR, SGK, GİB, Rekabet Kurumu, Bakanlıklar, vb)

İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

Tedarikçiler

Şirketimizin ticari faaliyetlerinin yürütülmesi kapsamında Şirketimizin veri işleme amaçları ve talimatları doğrultusunda Şirketimize hizmet sunan taraflar

Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak

2.4. Kişisel Verilerin Hukuka Uygun Olarak Aktarılmasını Sağlamak İçin Aldığımız Tedbirler

Kişisel verileri korumak için aldığımız idari ve teknik tedbirler Ephesus Hotel Veri Saklama ve İmha Politikası’nda yer almaktadır.

  1. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE ALINAN TEDBİRLER
  2. Saklama Süreleri

Kişisel veriler, Şirket bünyesinde, ilgili yasal saklama süreleri müddetince veya bu verilerle ilişkili faaliyetlerin ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı ortadan kalkan veya yasal saklama süresi sona eren kişisel veriler ise, Şirket tarafından Veri Saklama ve İmha Politikası’na uygun olarak imha edilmektedir.

Kişisel verileri birden fazla amaç ile işlediğimiz hallerde, verinin işleme amaçlarının hepsinin ortadan kalkması veya ilgili kişinin talebi üzerine, verilerin silinmesine mevzuatta bir engel olmaması durumunda veriler silinir, yok edilir veya anonim hale getirilerek saklanır. Yok etme, silme veya anonim hale getirme hususlarında mevzuat hükümleri ve KVK Kurulu kararlarına uyulur.

  1. Kişisel Verilerin Saklanmasına İlişkin Aldığımız Tedbirler

2.1. Teknik Tedbirler

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları oluşturmakta, kişisel verilerin güvenli şekilde saklanması için gerekli tedbirleri almakta ve kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurmaktayız.

2.2. İdari Tedbirler

Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmakta, eğitimler verdirmekte ve kişisel verilerin saklanması için üçüncü kişilerle iş birliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelerde, aktarılan kişisel verilerin korunması ve güvenli bir şekilde saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer vermekteyiz.

  1. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

İşleme amaçlarımız kapsamında toplanan kişisel veriler işleme amaçlarımız ve yürürlükteki mevzuat hükümleri kapsamında işlenmekte ve saklanmaktadır.

Kişisel veriler; işleme amaçlarımızın tamamen sona ermesi veya ilgili Kişinin talebi halinde silinir, yok edilir veya anonim hale getirilir. Söz konusu silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat hükümleri saklı kalmak kaydıyla “Ephesus Hotel KVKK Saklama ve İmha Politikası” kapsamında yapılır.

Kişisel verileriniz, silinirken, yok edilirken veya anonim hale getirilirken işbu Politika’da yer alan güvenlik tedbirleri alınır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yapılan işlemlere dair kayıtlar diğer kanun ve mevzuat hükümleri saklı kalmak üzere en az 10 yıl boyunca saklanır. Ephesus Hotel, aksi KVK Kurulu tarafından belirtilmediği sürece kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili Kişinin talebi halinde ise uygun yöntem gerekçesi açıklanarak seçilir.

  1. İLGİLİ KİŞİNİN ŞİRKETİMİZE KARŞI HAKLARI

Şirketimizde, 6698 sayılı KVKK’nın 11. Maddesine paralel olarak kişisel verileri işlenen gerçek kişilerin hakları düzenlenmektedir ve bu madde uyarınca ilgili kişiler Şirketimizde aşağıdaki haklara sahiptir:

  • Kişisel verisinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, verilerin silinmesini veya yok edilmesini isteme,
  • Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarar ortaya çıkması halinde zararın giderilmesini talep etme.

Yukarıdaki haklardan birinin kullanılması amacıyla ilgili kişilerden gelecek talepler, Şirket tarafından en geç 30 gün içerisinde karşılanacaktır.

Bu talepleri, Şirketimizin iletişim kanalları aracılığıyla yahut ayrıca hazırladığımız münhasır Veri Sahibi Talep Formu aracılığıyla; belirtilmiş yöntemlerle iletebilecektir. Bu yöntemler;

  • İnternet sitemizde yer alan Veri Sahibi Talep Formunun ıslak imzalı ve kimlik fotokopisi ile “Mesih Paşa, Aksaray Cad. No:24, 34130 Fatih/İstanbul” adresine gönderimi,
  • Geçerli bir kimlik belgesi ile birlikte Şirketimizin ticari merkez adresi olan “Mesih Paşa, Aksaray Cad. No:24, 34130 Fatih/İstanbul” adresine bizzat başvuru,
  • Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza ya da mobil imza kullanmak suretiyle ephesus@hs01.kep.tr kayıtlı elektronik posta adresimize gönderim

Olarak sıralanabilir.

Kişisel verilerinize ilişkin hak talepleriniz değerlendirilerek, bize ulaştığı tarihten itibaren en geç 30 gün içerisinde cevaplanır. Başvurunuzun olumsuz değerlendirilmesi halinde gerekçeli ret sebepleri başvuruda belirttiğiniz adrese elektronik posta veya posta yolu ile gönderilir.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, ilgili kişinin, başvurusunda isim, soy isim, başvuru yazılı ise imza, T.C. kimlik numarası, (başvuruda bulunan kişinin yabancı olması halinde pasaport numarası), tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon numarası ve faks numarası ile talep konusuna dair bilgilerin bulunması zorunludur.

İlgili kişi, yukarıda belirtilen hakları kullanmak için yapacağı ve kullanmayı talep ettiği hakka ilişkin açıklamaları içeren başvuruda talep edilen hususu açık ve anlaşılır şekilde belirtilmelidir. Başvuruya ilişkin bilgi ve belgelerin başvuruya eklenmesi gerekmektedir.

Talep konusunun başvuranın şahsı ile ilgili olması gerekmekle birlikte, başkası adına hareket ediliyor ise başvuruyu yapanın bu konuda özel olarak yetkili olması ve bu yetkinin belgelendirilmesi (özel vekâletname) gerekmektedir. Ayrıca başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliği doğrulayıcı belgelerin eklenmesi gerekmektedir.

Yetkisiz üçüncü kişilerin başkası adına yaptığı talepler değerlendirmeye alınmayacaktır.

Başvuruyu Reddetme Hakkımız:

Kişisel veriler ile ilgili başvurular, sayılanlarla sınırlı olmamakla birlikte aşağıdaki hallerde reddedilebilir:

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin, İlgili Kişinin özel hayatının gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • İlgili Kişi tarafından alenileştirilen kişisel verilerin işlenmesi,
  • Başvurunun haklı bir nedene dayanmaması,
  • Başvurunun ilgili mevzuata aykırı bir istek içermesi,
  • Başvuru usulüne uyulmaması.
  1. KİŞİSEL VERİLERİN GÜVENLİĞİ

Ephesus Hotel, kişisel verilerin gizliliğini ve güvenliğini korumaya önem verir. Bu doğrultuda, kişisel verileri yetkisiz erişim, zarar, kayıp veya ifşaya karşı korumak için gerekli teknik ve idari güvenlik önlemleri alınır. Bu doğrultuda Kanun’un 12. Maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için gerekli sistemsel erişim kontrolleri, veri erişim kontrolleri, güvenli transfer kontrolleri, iş sürekliliği kontrolleri ve diğer gerekli kurumsal kontroller uygulanır.

Tarafımızca alınan idari ve teknik tedbirler genel olarak şunlardır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Veri Kaybı Önleme Yazılımı (DLP) kullanılmaktadır.
  • Güçlü şifre ve parola kullanımının yanı sıra, düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanır.
  • Uzak bağlantı güvenliği için en yüksek şifreleme ve güvenlik içeren yöntem kullanılır.
  • Güvenlik açıkları olup olmadığı düzenli olarak takip edilerek, uygun güvenlik yamaları yüklenir.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.

Alınan tüm önlemlere rağmen bir veri ihlali tespit edilir edilmez ilgili kişisel veri sahiplerine ve T.C. Kişisel Verileri Koruma Kurumu’na bildirilecek ve en kısa sürede kamuoyu ile paylaşılacaktır.

  1. AYDINLATMA METNİ VE AÇIK RIZALAR

Ephesus Hotel, her bir veri sahibi grubu için ayrı aydınlatma metinleri düzenleyerek fiziki ortamlara ve sanal ortamlara ilgili kişilerin ulaşabilecekleri şekilde koymuştur. Şirketin hazırlamış olduğu aydınlatma metinleri;

  • Çalışan/Çalışan Adaylarına (Stajyerler de dahil)
  • İş Ortaklarına/Tedarikçilerine/Bayilerine/Aracılara/ (Potansiyeller de dahil)
  • Konaklayacak müşteri ve diğer ürün ve hizmetlerimizi alacak müşterilere (Potansiyeller de dahil)
  • Ziyaretçilere

Yöneliktir. 

  1. EPHESUS HOTEL KVKK KOMİTESİ, KOMİTE’NİN ROL VE SORUMLULUĞU
  2. Ephesus Hotel KVKK Komitesi

Ephesus Hotel olarak Şirket bünyesinde kurulacak KVKK Komitesi 1 başkan ve yeteri kadar üyeden oluşacaktır.

  1. Komite’nin Rol ve Sorumluluğu
  2. 1. Denetleme

Genel Müdürlük birimi, işbu Politika’ya, kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.

2.2. Onaylama

İşbu Politika, Ephesus Hotel’nın KVK Komitesi tarafından onaylanmış olup, KVK Komitesi, Politikanın oluşturulmasının, uygulanmasının ve gerektiğinde güncellenmesinin sağlanması konusunda yetkili onay mekanizmasıdır. KVK Komitesi, sorumlu oldukları faaliyetlerde, görev alan çalışanlarla beraber dış hizmet alınan firmaların Politika’ya uyumu için gerekli tedbirlerin alınması, Politika’ya aykırı hususların tespiti amacıyla konuların incelenmesi ve ‘Denetleme’ birimine bildirilmesinden sorumludur.

2.3. Güncelleme

İşbu Politikanın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden, Genel Müdürlük sorumludur. Bu Politikayı gerektiğinde güncelliği ve geliştirme ihtiyaçları açısından değerlendirir.

2.4. Dağıtım

Hazırlanan dokümanın kurum içi dağıtımının yapılması Genel Müdürlük biriminin sorumluluğundadır.

2.5. Aydınlatma

İşbu Politika çerçevesinde, hazırlanan dokümanın intranet sisteminde yayınlanması Genel Müdürlük biriminin sorumluluğundadır.

 

 

 

 

 

  1. POLİTİKANIN YAYINLANMASI, SAKLANMASI, YÜRÜRLÜĞÜ VE GÜNCELLENMESİ 1. Politikanın Yayınlanması ve Saklanması

İşbu Politika, Ephesus Hotel KVK Komitesinin kabulü ile yürürlüğe girer.

İşbu Politika basılı kâğıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanır. Şirket internet sayfasında dokümanların güncel versiyonu yer alır.

  1. Politikanın Yürürlüğe Girmesi

İşbu Politika, Şirket internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. İşbu Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın eski nüshaları Genel Müdürlük tarafından iptal edilerek 5 yıl süresince saklanır.

  1. Politikanın Güncellenmesi

İşbu Politika herhangi bir bildirimde bulunmaksızın yılda en az bir kez gözden geçirilir ve ihtiyaç halinde Dokümantasyon Yönetimi Prosedüründe belirlenen esaslar dâhilinde güncellenir. Bu nedenle belirli aralıklarla işbu Politikayı gözden geçirmeniz tavsiye edilir.

İlk Yayınlanma Tarihi: 3/11/2025

Güncellemeler:

Son Güncelleme: