KVKK Saklama ve İmha Politikası

İstanbul Ephesus Hotel

Ephesus Otelcilik ve Turizm Anonim Şirketi

 KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

Kasım 2025

1. POLİTİKANIN AMACI

Hazırlanan işbu Kişisel Veri Saklama ve İmha Politikası (‘‘Politika’’), 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘‘KVKK’’ veya ‘‘Kanun’’) ve 28 Ekim 2017 tarihinde Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (‘‘Yönetmelik’’) başta olmak üzere ilgili mevzuat uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirilmesi amacıyla veri sorumlusu sıfatıyla Ephesus Otelcilik ve Turizm A.Ş. (“İstanbul Ephesus Hotel”, “Ephesus Hotel” veya kısaca “Şirket”) tarafından  hazırlanmıştır.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun gerçekleştirilir.

1. TANIMLAR VE AÇIKLAMALAR

Ephesus Otelcilik ve Turizm A.Ş. tarafından hazırlanan ve kamuoyu ile paylaşılan Ephesus Hotel Veri Koruma Politikası’nda kişisel verilerin korunmasına dair temel kavram tanımları ve açıklamalara ulaşabilirsiniz.

1. SORUMLULUK

İstanbul Ephesus Hotel tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

1. DÜZENLENEN KAYIT ORTAMLARI

Şirket bünyesinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklere uygun bir şekilde aşağıdaki kayıt ortamlarında hassas bir şekilde muhafaza edilir.

5. İLKELER

İstanbul Ephesus Hotel tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir: 

4. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken ve işbu Politikada belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
5. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler İstanbul Ephesus Hotel tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 2 yıl süreyle saklanmaktadır.
6. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
7. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler İstanbul Ephesus Hotel tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından İstanbul Ephesus Hotel’e başvurulması halinde;
8. i) İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,
9. ii) Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

6. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

            Şirket bünyesinde bulunan kişisel veriler, Şirketin hizmetlerinin sunulması, ticari faaliyetlerinin kesintisiz olarak sürdürülmesi, insan kaynakları süreçlerinin planlanması ve yürütülmesi, müşteri ilişkilerinin yürütülmesi, çalışan hak ve menfaatlerinin planlanması, tedarik ve iş ortağı süreçlerinin planlanması ve  yürütülmesi, etkin iletişimin sağlanması, yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesi, sektöre özgü yükümlülüklerin yerine getirilmesi, gerekli kalite ve standart denetim süreçlerinin yerine getirilmesi, kamu kurum ve kuruluşlarına bilgi verilmesi, kurumsal iletişimin sağlanması, güvenliğin sağlanması, istatistiksel çalışmaların yapılması, analiz çalışmalarının yapılması, raporlama çalışmalarının yapılması, imzalanan sözleşme ve protokollerin yüklediği edimlerin ifa edilmesi, mevzuatının gerektirdiği şartların yerine getirilmesi, ileride doğabilecek hukuki uyuşmazlıklarda delil olarak kullanılması veya ispat yükümlülüğünün yerine getirilmesi, yazılı, basılı ve elektronik dergi ve bülten çalışmalarının yapılması, eğitim süreçlerinin planlanması, arşiv süreçlerinin işletilmesi, tedarik zincirinin yürütülmesi amaçlarıyla aşağıda yer alan veri işleme şartları dahilinde İşbu Politikada belirtilen elektronik ya da elektronik olmayan ortamlarda güvenli ve hassas bir şekilde saklanır.

            Şirket bünyesinde bulunan kişisel veriler, aşağıda yer alan veri işleme şartlarının ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine imha edilir. Bu şartlar şunlardır:

• Açık rızanın varlığı,
• Yasal düzenleme varlığı (Mevzuatta açıkça belirtilmesi),
• Fiili imkânsızlık nedeniyle açık rızanın alınamaması,
• Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kişisel verisinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.

Aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, İSTANBUL EPHESUS HOTEL tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir: 

1. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
2. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
3. İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
4. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
5. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
6. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
7. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

7. SAKLAMANIN HUKUKİ SEBEPLERİ

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 6102 sayılı Türk Ticaret Kanunu
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 sayılı İş Kanunu,
• 6502 Tüketicinin Korunması Hakkında Kanun,
• Bu kanunlar uyarınca ve bunlarla sınırlı olmamak üzere yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama amaçları ve saklama süreleri kadar saklanmaktadır

8. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla 6698 sayılı KVKK’nın 12. maddesindeki ilkeler çerçevesinde, İSTANBUL EPHESUS HOTEL   tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır: 

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güçlü şifre ve parola kullanımının yanı sıra, düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri envanteri hazırlanmıştır.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

9. KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

İSTANBUL EPHESUS HOTEL tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde İSTANBUL EPHESUS HOTEL tarafından re’sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

Kişisel verileri imha etmeye (silmeye, yok etmeye ve anonim hale getirmeye) yönelik Şirket bünyesinde bulunan uygulamalar aşağıdaki gibidir:

Kişisel Verilerin Silinmesi

• Kâğıt ortamında bulunan kişisel veriler; karartma yöntemi (çizilerek/ boyanarak/ silinerek) kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
• Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.
• Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
• Merkezi sunucuda yer alan ofis dosyaları, dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması ile gerçekleştirilmektedir.
• Taşınabilir medyada bulunan kişisel veriler (örneğin flash tabanlı saklama ortamında bulunan veriler) ise şifreli olarak saklanmakta ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.
• Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir. Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.
• Veri tabanlarında bulunan kişisel veriler, ilgili satırların/sütunların ya da tablo içerisinde yer alan hücrelerin veri tabanı komutları ile (DELETE vb.) silinmektedir.

Kişisel Verilerin Yok Edilmesi

• Yerel sistemler üzerindeki kişisel verilerin yok edilmesi; ‘de-manyetize’ etme (medyanın özel bir cihazdan geçirilerek yüksek bir değerde manyetik alana maruz bırakılması), fiziksel yok etme (Medya ve manyetik medyanın eritilmesi, yakılması, öğütücülerin kullanılması) ve üzerine yazma gibi yöntemlerle yok edilmektedir.
• Çevresel sistemler üzerindeki kişisel verilerin yok edilmesi; Ağ cihazları (switch, router), Flash tabanlı ortamlar/sabit disklerin (ATA “SATA, PATA vb.”, SCSI “SCSI Express vb.), Manyetik bant, Manyetik disk gibi üniteler, Mobil telefonlar (Sim kart ve sabit hafıza alanları), Veri kayıt ortamı çıkartılabilir ya da sabit olan yazıcı ve parmak izli kapı geçiş sistemi gibi çevre birimler, Optik diskler olarak belirtebileceğimiz çevresel kayıt sistemleri dijital ortam ise ürün özelliği olarak destekleniyorsa <block erase> gibi yok etme komutunu kullanmak, dijital ortamın ürün özelliği olarak desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da "de-manyetize etme, fiziksel yok etme, üzerine yazma” olarak belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak, son olarak dijital ortam değil ise "de-manyetize etme, fiziksel yok etme, üzerine yazma” yöntemlerin uygun bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
• Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kâğıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.
• Üzerine Yazma: Üzerine yazma yöntemi, verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.
• Bulut ortamında bulunan kişisel veriler şifrelenerek saklanmakta ve imha süresi geldiğinde yok etme komutu uygulanmaktadır.

Yukarıda sayılan durumların gerçekleşmesi sırasında İSTANBUL EPHESUS HOTEL; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

Kişisel Verilerin Anonim Hale Getirilmesi

• Maskeleme yöntemi ile veri sahibinin tanımlanmasını sağlayan temel belirleyici bilgiler (Örn: isim, soy-isim, TCKN) çıkartılarak anonimleştirme gerçekleştirilmektedir.
• Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkaralar saklanan veriler anonim hale getirilmektedir.
• Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır.
• Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilmektedir.
• Toplulaştırma yöntemi ile kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek bir şekilde (Örn: 25 ile 30 yaş aralığındaki kişilerden gelen iş başvurusunun daha fazla olması) çıkartılarak anonimleştirme gerçekleştirilmektedir.
• Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.
• Veri Türetme yöntemi ile kişisel verilerin içeriğinden daha genel bir içerik oluşturularak ve kişisel verinin herhangi bir şekilde bir kişiyle bağdaştırılamayacak şekilde (örn: doğum tarihleri yerine yaş yazılması) anonim hale getirme gerçekleştirilmektedir.

1. SAKLAMA VE İMHA SÜRECİ VE SÜRELERE İLİŞKİN TABLO

            Şirket bünyesinde bulunan kişisel veriler; ilgili mevzuatta öngörülmesi durumunda bu mevzuatta belirtilen süre boyunca saklanmaktadır.

            Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketin belirlediği saklama süresinin de sonuna gelinmişse, kişisel veriler olası hukuki uyuşmazlıkların çözümlenmesi, yetkili kamu kurum ve kuruluşların hukuka uygun taleplerinin karşılanması veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi amacıyla saklanmaktadır.

İstanbul Ephesus Hotel tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

1. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.
2. Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
3. Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının İstanbul Ephesus Hotel nezdindeki önem derecesine göre belirlenir.
4. Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında İstanbul Ephesus Hotel’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
5. Kişisel Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi ya da hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

İstanbul Ephesus Hotel tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın devam eden kısmında yer alan ‘‘Saklama ve İmha Süreleri Belgesinden ulaşabilirsiniz. 

Saklama süresi dolan kişisel veriler, devam eden bölümde yer alan Saklama ve İmha Süreleri belgesi çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir.

            Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır. 

EK - KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ :            

Veri Kategorisi                                             Veri Saklama Süresi

1-Kimlik Kişisel Veri                                           10 Yıl

2-İletişim Kişisel Veri                                          10 Yıl

3-Özlük Kişisel Veri                                            10 Yıl

4-Hukuki İşlem Kişisel Veri                                 10 Yıl

5-Müşteri İşlem Kişisel Veri                                10 Yıl

6-Fiziksel Mekân Güvenlik Kamerası kayıtları    30 gün                 

7-İşlem Güvenliği Kişisel Veri                                          2 Yıl

8-Finans Kişisel Veri                                           10 Yıl

9-Mesleki Deneyim Kişisel Veri                         10 Yıl

10-Pazarlama Kişisel Veri                                  10 Yıl

11-Görsel Ve İşitsel Kayıtlar Kişisel Veri           10 Yıl

12-Sağlık Bilgileri Özel Nitelikli Kişisel Veri       10 Yıl

13-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri

Özel Nitelikli Kişisel Veri                                    10 Yıl         

14-Çalışan işlem bilgisi Kişisel Veri                    10 Yıl

15-Aile bireyleri ve yakın bilgisi Kişisel Veri       10 Yıl

16-Cinsiyet Kişisel Veri                                       10 Yıl

17-Sigorta bilgisi Kişisel Veri                              10 Yıl    

11. PERİYODİK İMHA SÜRELERİ

Periyodik imhanın gerçekleşeceği işlem zaman aralıkları Şirket yetkililerince belirlenecektir. Ancak iki periyodik imha işleminin aralığı prensip olarak en fazla 6 ay olacaktır.

Kişisel verilerin imha edilmesine ilişkin yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir.

Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin bulunduğu tutanaklar diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süre ile saklanır.