KVKK Politikası
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. BÖLÜM
1.1. GİRİŞ
Kişisel verilerin korunması, LİDER BİNİCİLİK VE TARIM SANAYİ TİCARET ANONİM ŞİRKETİ’nin (“Şirket”) temel yönetim öncelikleri arasında yer almakta olup, Şirketimiz bu alanda yürürlükte bulunan tüm mevzuata, Kişisel Verileri Koruma Kurulu kararlarına, Kurum tarafından yayımlanan rehberlere ve iyi uygulama ilkelerine uygun hareket edilmesi için gerekli özeni göstermektedir.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetlerinde benimsenen temel ilke ve esasları, kişisel verilerin hukuka uygun şekilde elde edilmesi, kaydedilmesi, kullanılması, aktarılması, saklanması, korunması ve imha edilmesi süreçlerini açıklamak amacıyla hazırlanmıştır.
Şirketimiz; çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, misafirler, müşteriler, potansiyel müşteriler, tedarikçiler, iş ortakları, sözleşme tarafları, internet sitesi ziyaretçileri, etkinlik katılımcıları ve sair ilgili kişiler bakımından gerçekleştirdiği tüm kişisel veri işleme faaliyetlerinde şeffaflık, hesap verebilirlik, ölçülülük, veri minimizasyonu ve veri güvenliği ilkelerini esas almaktadır.
Bu Politika ile Şirketimiz, kişisel verilerin korunması konusunda kurumsal yaklaşımını ortaya koymakta; ilgili kişileri bilgilendirmekte; şirket içi uygulamaları standartlaştırmakta ve tüm süreçlerde sürdürülebilir bir veri koruma kültürü oluşturmayı hedeflemektedir.
1.2. AMAÇ
Bu Politika’nın amacı; Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), ilgili ikincil mevzuat, Kurul kararları ve sair düzenlemeler uyarınca Şirketimizin kişisel verilerin işlenmesi ve korunmasına ilişkin yükümlülüklerinin yerine getirilmesine yönelik esasların belirlenmesidir.
Şirketimiz; binicilik ve spor faaliyetleri, konaklama hizmetleri, gastronomi ve kahvaltı hizmetleri, spa ve wellness hizmetleri, etkinlik ve organizasyon faaliyetleri, doğa ve rekreasyon faaliyetleri ile bunlara bağlı satış, pazarlama, rezervasyon, insan kaynakları, muhasebe, finans, bilgi güvenliği, idari işler, tedarik, ziyaretçi yönetimi ve hukuki süreçler kapsamında kişisel veri işlemektedir. Politika ile, kişisel veri işleme süreçlerinin hukuka uygun bir çerçevede yürütülmesi, süreç bazlı risklerin azaltılması, ilgili kişilerin haklarının korunması ve şirket içi uygulamaların yeknesak hale getirilmesi amaçlanmaktadır.
Bu kapsamda temel amaç; kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun davranılmasının sağlanması, iş faaliyetlerinin meşru ve açık amaçlarla yürütülmesi, kişisel verilerin yalnızca ihtiyaç duyulan ölçüde işlenmesi, veri güvenliğinin tesis edilmesi, saklama ve imha süreçlerinin belirli standartlara bağlanması ve ilgili kişi başvurularının etkin şekilde yönetilmesidir.
1.3. KAPSAM
İşbu Politika; Şirketimizin merkez ve ek hizmet alanlarında, tesislerinde, işletmelerinde, konaklama alanlarında, etkinlik alanlarında, restoran ve kahvaltı alanlarında, spa ve wellness alanlarında, açık alan faaliyetlerinde, dijital platformlarında, internet sitesi ve çevrim içi başvuru/iletişim kanallarında yürütülen tüm kişisel veri işleme faaliyetlerini kapsamaktadır.
Politika hükümleri;
şirket bünyesindeki tüm departmanları, birimleri, yöneticileri ve çalışanları,
stajyerleri, geçici personeli ve sözleşmeli personeli,
veri işleyen sıfatıyla hareket eden tedarikçileri, hizmet sağlayıcıları ve dış kaynak firmaları,
çözüm ortaklarını ve kişisel verilere erişim ihtimali bulunan üçüncü tarafları,
elektronik ve fiziki tüm veri kayıt ortamlarını, sistemleri, kayıt altyapılarını, saklama alanlarını ve iş süreçlerini kapsamaktadır.
Şirket ile iş ilişkisi bulunan tüm tarafların, kişisel verilerin korunmasına ilişkin yükümlülüklere uygun hareket etmesi esastır. Şirketimiz, üçüncü taraflarla kurduğu ilişkilerde de kişisel veri güvenliğine ilişkin yeterli idari ve teknik koruma mekanizmalarının tesis edilmesini gözetir.
1.4. HEDEF
Şirketimizin temel hedefi; kişisel verilerin korunması alanında mevzuata tam uyum sağlanması, şirket genelinde farkındalık oluşturulması, kişisel veri işleme faaliyetlerinin envanter bazlı ve hukuki dayanak esaslı olarak yürütülmesi, veri güvenliği kontrollerinin etkinleştirilmesi ve olası ihlal risklerinin önceden yönetilmesidir.
Bu hedef doğrultusunda Politika; Şirket çalışanlarına, yöneticilerine ve ilişkili taraflara rehberlik eden bağlayıcı bir iç düzenleme niteliğindedir.
2. BÖLÜM
2.1. TANIMLAR VE KISALTMALAR
ŞİRKET: LİDER BİNİCİLİK VE TARIM SANAYİ TİCARET ANONİM ŞİRKETİ AÇIK RIZA: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. ANONİM HALE GETİRME: Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. İLGİLİ KİŞİ: Kişisel verisi işlenen gerçek kişi. KİŞİSEL VERİ: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. ÖZEL NİTELİKLİ KİŞİSEL VERİ: KVKK’nın 6. maddesinde sınırlı sayıda sayılan; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. KİŞİSEL VERİLERİN İŞLENMESİ: Kişisel verilerin tamamen veya kısmen otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açıklanması, aktarılması, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. VERİ SORUMLUSU: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi. VERİ İŞLEYEN: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi. VERBİS: Veri Sorumluları Sicil Bilgi Sistemi. KURUM: Kişisel Verileri Koruma Kurumu. KURUL: Kişisel Verileri Koruma Kurulu. AYDINLATMA METNİ: KVKK’nın 10. maddesi kapsamında ilgili kişilerin bilgilendirilmesi amacıyla hazırlanan metin. SAKLAMA VE İMHA POLİTİKASI: Kişisel verilerin saklama süreleri ile silme, yok etme ve anonim hale getirme süreçlerini düzenleyen politika. PERİYODİK İMHA: İşleme şartlarının ortadan kalkması hâlinde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işleminin tekrar eden aralıklarla gerçekleştirilmesi. KEP: Kayıtlı Elektronik Posta. İRTİBAT KİŞİSİ: VERBİS ve Kurum nezdindeki süreçlerde veri sorumlusu adına iletişim ve koordinasyonu sağlayan kişi.
2.2. İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI
Şirketimiz tarafından işlenen kişisel veriler, faaliyet alanı ve süreç bazlı ihtiyaçlar doğrultusunda aşağıdaki ana kategoriler altında değerlendirilmektedir:
Kimlik Verisi: Ad, soyad, T.C. kimlik numarası, pasaport bilgisi, doğum tarihi, doğum yeri, uyruk bilgisi, imza bilgisi ve benzeri kimlik tanımlayıcı veriler. İletişim Verisi: Telefon numarası, e-posta adresi, yerleşim yeri bilgisi, adres bilgisi, teslimat ve fatura adresi, iletişim tercihleri. Müşteri İşlem Verisi: Rezervasyon bilgileri, konaklama kayıtları, sipariş bilgileri, talep/şikâyet kayıtları, ödeme bilgileri, hizmet kullanım kayıtları, müşteri memnuniyeti geri bildirimleri. Finans Verisi: Fatura bilgileri, tahsilat bilgileri, cari hesap verileri, banka bilgileri, ödeme hareketleri. Fiziksel Mekân Güvenliği Verisi: Kamera kayıtları, ziyaretçi giriş-çıkış kayıtları, araç plaka bilgileri, tesis giriş kontrol verileri. İşlem Güvenliği Verisi: IP adresi, internet erişim logları, kullanıcı işlem kayıtları, sistem oturum verileri, web sitesi kullanım kayıtları. Özlük Verisi: Personel özlük dosyası kapsamındaki bilgiler, işe giriş-çıkış kayıtları, izin, bordro, performans ve disiplin kayıtları. Mesleki Deneyim Verisi: Özgeçmiş, diploma, sertifika, eğitim bilgileri, referans bilgileri, görev/unvan bilgileri. Görsel ve İşitsel Veri: Fotoğraf, video görüntüsü, ses kaydı, etkinlik kayıtları. Sağlık Verisi: İş sağlığı ve güvenliği süreçleri, acil durum yönetimi, hizmet niteliğine göre gerekli olabilecek sınırlı sağlık bilgileri. Özel Nitelikli Kişisel Veri: KVKK’nın 6. maddesinde düzenlenen diğer özel nitelikli kişisel veri kategorileri.
Şirketimiz, veri minimizasyonu ilkesi gereği, yalnızca ilgili işleme amacı bakımından gerekli olan kişisel verileri işlemeyi esas almaktadır.
2.3. KİŞİSEL VERİLERİN BULUNDUĞU ORTAMLAR
Kişisel veriler, iş süreçlerinin niteliğine göre elektronik ve fiziki ortamlarda işlenebilmektedir.
Elektronik Ortamlar:
Sunucular, bulut sistemleri, yedekleme sistemleri
Rezervasyon ve satış programları
E-posta altyapıları
Muhasebe ve finans yazılımları
İnsan kaynakları yazılımları
Web sitesi, iletişim ve başvuru formları
Güvenlik duvarı, antivirüs, log ve ağ güvenliği sistemleri
Masaüstü ve dizüstü bilgisayarlar
Mobil cihazlar, tabletler
Çıkarılabilir medya ve yedekleme ortamları
Elektronik Olmayan Ortamlar:
Sözleşmeler ve başvuru formları
Ziyaretçi kayıt defterleri
Personel dosyaları
Yazılı ve basılı evraklar
Kamera kayıt sistemlerine ilişkin fiziki destekler
Arşiv dolapları ve fiziksel dosyalama alanları
2.4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirketimiz kişisel verileri, faaliyet alanı ile bağlantılı, belirli, açık ve meşru amaçlarla işlemektedir. Bu amaçlar, bunlarla sınırlı olmamak üzere aşağıdaki gibidir:
Konaklama, rezervasyon ve müşteri kabul süreçlerinin yürütülmesi
Binicilik, spor, doğa etkinlikleri ve organizasyon süreçlerinin planlanması ve icrası
Restoran, kahvaltı, gastronomi ve servis operasyonlarının yürütülmesi
Spa ve wellness hizmetlerinin planlanması ve sunulması
Satış, pazarlama, teklif, kampanya ve müşteri ilişkileri süreçlerinin yürütülmesi
Ürün ve hizmet satış sonrası destek süreçlerinin yürütülmesi
Talep, öneri ve şikâyetlerin değerlendirilmesi
Finans ve muhasebe işlemlerinin yerine getirilmesi
Sözleşme süreçlerinin kurulması, ifası ve takibi
İnsan kaynakları süreçlerinin yürütülmesi
Çalışan adaylarının başvuru ve değerlendirme süreçlerinin yönetilmesi
Personel özlük, ücret, yan haklar ve performans süreçlerinin yürütülmesi
İş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi
Fiziksel mekân güvenliğinin ve tesis güvenliğinin sağlanması
Ziyaretçi kayıtlarının oluşturulması ve takibi
Bilgi güvenliği süreçlerinin yürütülmesi
Risk yönetimi, iç denetim ve uyum faaliyetlerinin yürütülmesi
Hukuki işlerin takibi ve mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi
Yetkili kurum ve kuruluşlara bilgi verilmesi
Saklama ve arşiv faaliyetlerinin yürütülmesi
İş sürekliliğinin sağlanması
Tedarikçi ve iş ortağı ilişkilerinin yürütülmesi
Şirket internet sitesinin işletilmesi, geliştirilmesi ve güvenliğinin sağlanması
Kurumsal iletişim, tanıtım ve marka yönetimi faaliyetlerinin yürütülmesi
3. BÖLÜM
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
3.1. Kişisel Verilerin Güvenliğinin Sağlanması
Şirketimiz, KVKK’nın 12. maddesi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ve uygun güvenlik düzeyini temin etmek amacıyla verinin niteliğine uygun her türlü teknik ve idari tedbiri almaktadır.
Bu kapsamda Şirketimiz, kişisel veri güvenliğini yalnızca teknik bir konu olarak değil, yönetsel, operasyonel ve hukuki bir uyum başlığı olarak ele almakta; süreç sahipliği, yetki matrisi, erişim kontrolü, loglama, yedekleme, sözleşmesel güvence, farkındalık eğitimleri ve periyodik gözden geçirme mekanizmaları ile veri güvenliği sistematiğini işletmektedir.
Tüm çalışanlar, görev alanlarına giren kişisel verileri gizlilik ve güvenlik yükümlülükleri çerçevesinde korumakla yükümlüdür. Şirketimiz bünyesinde kişisel verilere erişim “bilmesi gereken” ve “yetkisi kadar erişim” ilkeleri doğrultusunda sınırlandırılmaktadır.
3.2. Özel Nitelikli Kişisel Verilerin Korunması
Özel nitelikli kişisel veriler, ilgili kişi bakımından ayrımcılık veya mağduriyet riski doğurabilecek nitelikte olduğundan, Şirketimiz tarafından daha yüksek dikkat ve özenle korunmaktadır. Şirketimiz, özel nitelikli kişisel verilerin işlenmesi ve korunmasında KVKK’nın 6. maddesi ile Kurul tarafından belirlenen yeterli önlemleri esas almaktadır.
Bu kapsamda özel nitelikli kişisel veriler bakımından ayrıca rol bazlı erişim kısıtlamaları, özel gizlilik taahhütleri, sınırlı erişim, güvenli aktarım, kayıt altına alma, fiziksel ve elektronik ortam güvenliği, artırılmış denetim ve düzenli farkındalık faaliyetleri uygulanır.
3.3. İş Birimlerinin Farkındalığının Artırılması ve Denetimi
Şirketimiz, kişisel verilerin korunmasına ilişkin şirket içi farkındalığın artırılması amacıyla düzenli eğitimler, iç duyurular, politika ve prosedür güncellemeleri, uyum bilgilendirmeleri ve denetim faaliyetleri yürütmektedir.
İş birimleri, kendi süreçlerinde işlenen kişisel verilerin hukuki sebep, amaç, aktarım, saklama süresi ve güvenlik tedbirleri bakımından güncel ve mevzuata uygun şekilde yönetilmesinden sorumludur.
3.4. Tedarikçi ve İş Ortaklarının Farkındalığının Artırılması
Şirketimiz, veri işleyen veya üçüncü taraf sıfatıyla kişisel verilere erişen tedarikçi ve iş ortakları ile yürüttüğü ilişkilerde; sözleşmesel güvence, gizlilik yükümlülüğü, veri işleme hükümleri, gerektiğinde teknik ve idari güvenlik taahhütleri ve denetim hakları tesis etmektedir.
4. BÖLÜM
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
4.1. Kişisel Verilerin Genel İlkelere Uygun Olarak İşlenmesi
4.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirketimiz, kişisel verileri hukuka ve dürüstlük kurallarına uygun şekilde işlemekte; ilgili kişilerin makul beklentilerini, temel hak ve özgürlüklerini ve veri güvenliği gerekliliklerini gözetmektedir.
4.1.2. Doğru ve Gerektiğinde Güncel Olma
Kişisel verilerin doğru ve güncel tutulması için gerekli idari ve teknik mekanizmalar tesis edilmekte; ilgili kişilere güncelleme ve düzeltme taleplerini iletebilecekleri kanallar sunulmaktadır.
4.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, kişisel verileri yalnızca belirli, açık ve meşru amaçlarla işlemekte; sonradan amaçla bağdaşmayan kullanımlardan kaçınmaktadır.
4.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
İşlenen kişisel veriler, ilgili faaliyetin gerektirdiği kapsam ile sınırlı tutulmakta; ihtiyaç fazlası veri işlenmemesine özen gösterilmektedir.
4.1.5. Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmekte; sürenin sona ermesi hâlinde Saklama ve İmha Politikası çerçevesinde silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4.2. Kişisel Verilerin İşlenme Şartları
Şirketimiz, kişisel verileri açık rıza bulunması hâlinde veya KVKK’nın 5. maddesinde düzenlenen işleme şartlarından birinin varlığı halinde işlemektedir. Bu kapsamda kişisel veriler aşağıdaki hukuki sebeplere dayanılarak işlenebilmektedir:
Kanunlarda açıkça öngörülmesi
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla gerekli olması
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
İlgili kişinin kendisi tarafından alenileştirilmiş olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması
4.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirketimiz, özel nitelikli kişisel verileri KVKK’nın güncel 6. maddesine uygun olarak işlemektedir. Bu çerçevede özel nitelikli kişisel veriler, kural olarak ilgili kişinin açık rızası ile işlenir; ancak Kanunda sayılan istisnai işleme şartlarının varlığı halinde açık rıza aranmaksızın da işlenebilir. 2024 değişiklikleri sonrasında özel nitelikli kişisel verilerin işlenmesi bakımından hukuki sebepler genişletilmiş; özellikle kanunlarda açıkça öngörülme, fiili imkânsızlık, alenileştirme iradesine uygunluk, bir hakkın tesisi/kullanılması/korunması, istihdam ve iş sağlığı güvenliği yükümlülükleri gibi dayanaklar açık şekilde düzenlenmiştir.
Şirketimiz özel nitelikli kişisel verileri aşağıdaki hâllerde işleyebilmektedir:
İlgili kişinin açık rızasının bulunması
Kanunlarda açıkça öngörülmesi
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
İlgili kişinin kendisi tarafından alenileştirilmiş olması ve alenileştirme iradesine uygun hareket edilmesi
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması
Siyasi, felsefi, dini veya sendikal amaçlı vakıf, dernek ve diğer kâr amacı gütmeyen kuruluşların, kendi mevzuatlarına ve amaçlarına uygun olarak, kendi faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla mevcut veya eski üyelerine, mensuplarına ya da kendileriyle düzenli temas hâlinde bulunan kişilere yönelik işleme faaliyetleri
Sağlık ve cinsel hayata ilişkin veriler bakımından, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi
4.3.1. Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Önlemler
Şirketimiz, özel nitelikli kişisel veriler bakımından Kurul tarafından belirlenen yeterli önlemleri uygular. Bu kapsamda:
özel nitelikli kişisel verilerin işlendiği süreçler ayrıca tanımlanır,
erişim yetkileri dar kapsamlı tutulur,
erişimler kayıt altına alınır,
özel gizlilik yükümlülükleri uygulanır,
güvenli aktarım yöntemleri kullanılır,
fiziksel ve elektronik ortam güvenliği artırılmış seviyede sağlanır,
görev değişikliği ve işten ayrılışlarda yetkiler derhal gözden geçirilir,
eğitim ve farkındalık faaliyetleri düzenli olarak yürütülür.
4.4. Kişisel Veri Sahibinin Aydınlatılması
Şirketimiz, KVKK’nın 10. maddesi uyarınca ilgili kişileri; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin hakları konusunda bilgilendirmektedir.
4.5. Kişisel Verilerin Aktarılması
Şirketimiz, kişisel verileri yalnızca hukuka uygun amaçlarla ve ilgili mevzuatta öngörülen usul ve esaslara uygun olarak üçüncü kişilere aktarır. Aktarım yapılan taraflar; tedarikçiler, iş ortakları, grup şirketleri bulunması halinde ilgili şirketler, yetkili kamu kurum ve kuruluşları, hukuk, mali müşavirlik, denetim, bilgi teknolojileri, ödeme ve rezervasyon altyapı sağlayıcıları ile hizmetin niteliği gereği veri aktarımı zorunlu olan diğer taraflar olabilir.
4.5.1. Yurt İçinde Aktarım
Kişisel veriler, KVKK’nın 8. maddesi uyarınca, ilgili işleme şartlarından birinin varlığı ve gerekli güvenlik tedbirlerinin alınması kaydıyla yurt içinde aktarılabilmektedir.
4.5.2. Yurt Dışına Aktarım
Şirketimiz, kişisel verilerin yurt dışına aktarımında KVKK’nın güncel 9. maddesi ile “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” hükümlerine uygun hareket eder. Güncel sistemde yurt dışına veri aktarımı; yeterlilik kararı, uygun güvenceler veya arızi nitelikteki istisnai hâller çerçevesinde değerlendirilmektedir. Kurul ayrıca 2024 yılında standart sözleşme metinlerini kabul etmiş, Kurum da 2025 yılında yurt dışı aktarım rehberini yayımlamıştır.
Bu kapsamda Şirketimiz:
aktarımın dayandığı işleme şartını tespit eder,
aktarımın ülke, alıcı, veri kategorisi ve amaç bazında hukuki zeminini belirler,
yeterlilik kararı bulunup bulunmadığını değerlendirir,
yeterlilik kararı yoksa uygun güvenceleri tesis eder,
uygun güvence de bulunmuyorsa yalnızca arızi ve mevzuatta öngörülen istisnai hâllerde aktarım gerçekleştirir,
aktarım süreçlerini kayıt altına alır ve gerektiğinde Kurum bildirim yükümlülüklerini yerine getirir.
5. BÖLÜM
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Şirketimiz, kişisel verileri ilgili mevzuatta öngörülen süreler ile işleme amacının gerektirdiği süre boyunca muhafaza etmektedir. Saklama süresi belirlenirken; ilgili kanuni yükümlülükler, sözleşmesel ilişkiler, ispat yükümlülükleri, zamanaşımı süreleri, sektörel gereklilikler, hizmet süreçleri ve veri minimizasyonu ilkesi birlikte değerlendirilmektedir.
Saklama süresinin sona ermesi veya işleme şartlarının ortadan kalkması halinde kişisel veriler; resen veya ilgili kişinin usulüne uygun talebi üzerine, Saklama ve İmha Politikası çerçevesinde silinir, yok edilir veya anonim hale getirilir.
6. BÖLÜM
KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
6.1. Kişisel Veri Sahibinin Hakları
İlgili kişiler, KVKK’nın 11. maddesi kapsamında;
kişisel veri işlenip işlenmediğini öğrenme,
kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme,
eksik veya yanlış işlenen verilerin düzeltilmesini isteme,
şartları oluştuğunda kişisel verilerin silinmesini veya yok edilmesini isteme,
yapılan düzeltme, silme veya yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz etme,
kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
6.2. Başvuru Usulü
İlgili kişiler, haklarına ilişkin başvurularını Şirketimiz tarafından yayımlanan ilgili kişi başvuru formu, yazılı başvuru, KEP, kayıtlı elektronik posta, güvenli elektronik imza, mobil imza veya Kurul tarafından belirlenebilecek sair yöntemlerle Şirketimize iletebilirler.
Başvuruların değerlendirilebilmesi için başvuru sahibinin kimliğinin doğrulanması ve talebin açık, anlaşılır ve mevzuata uygun şekilde iletilmesi gerekmektedir.
6.3. Başvuruların Sonuçlandırılması
Şirketimiz, usulüne uygun başvuruları talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca maliyet gerektirmesi hâlinde Kurul tarafından belirlenen tarifedeki ücret talep edilebilir.
6.4. Hakların Kullanılamayacağı Haller
KVKK’nın 28. maddesi kapsamında, Kanunda öngörülen istisna hâllerinde ilgili kişilerin bazı haklarını kullanmaları mümkün olmayabilir. Şirketimiz, her başvuruyu somut olay özelinde değerlendirir.
7. BÖLÜM
KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
7.1. Kamera ile İzleme Faaliyetleri
Şirketimiz tarafından tesis güvenliğinin sağlanması, ziyaretçi ve çalışan güvenliğinin temini, fiziksel alanların korunması, olası olayların aydınlatılması ve hizmet kalitesinin sürdürülebilir şekilde yönetilebilmesi amacıyla kamera ile izleme faaliyeti yürütülebilmektedir.
Kamera izleme faaliyetleri, KVKK’nın genel ilkelerine uygun, amaca bağlı, sınırlı ve ölçülü şekilde yürütülmekte; ilgili kişiler uygun yöntemlerle aydınlatılmaktadır. Kamera kayıtlarına erişim yetkisi sınırlandırılmakta ve kayıtlar yalnızca belirlenen saklama süreleri boyunca muhafaza edilmektedir.
7.2. Ziyaretçi Giriş Çıkışlarının Takibi
Şirket tesislerinde güvenliğin sağlanması, denetim izi oluşturulması ve fiziksel mekân güvenliğinin temini amacıyla ziyaretçi giriş-çıkış kayıtları tutulabilmektedir. Bu veriler yalnızca ilgili amaçlarla sınırlı şekilde işlenir.
7.3. İnternet Sitesi ve Çerezler
Şirketimizin internet sitesinde teknik, fonksiyonel, analitik ve gerektiğinde reklam/pazarlama amaçlı çerezler kullanılabilmektedir. Çerezler vasıtasıyla elde edilen kişisel veriler, internet sitesinin güvenliğinin ve işlevselliğinin sağlanması, kullanıcı deneyiminin iyileştirilmesi, tercihlerin hatırlanması, performans ölçümü ve mevzuata uygun açık rıza yönetimi amaçlarıyla işlenebilmektedir.
Çerez kullanımı ile ilgili detaylı açıklamalar ayrıca Çerez Aydınlatma Metni ve çerez tercih yönetim paneli üzerinden ilgili kişilere sunulur.
7.4. Rezervasyon, Konaklama ve Etkinlik Süreçleri
Şirketimiz, rezervasyon alınması, konaklama hizmetlerinin sunulması, etkinlik organizasyonlarının yürütülmesi, katılım kayıtlarının oluşturulması, müşteri taleplerinin karşılanması ve mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi amacıyla kişisel veri işlemektedir.
7.5. Binicilik, Spor ve Doğa Faaliyetleri
Binicilik eğitimleri, sportif faaliyetler, doğa turları ve benzeri hizmetler kapsamında ilgili kişinin yaşı, deneyim seviyesi, acil durumda ulaşılacak kişi bilgisi, güvenli hizmet sunumu bakımından zorunlu olması halinde sınırlı sağlık bilgileri ve hizmete ilişkin operasyonel veriler işlenebilmektedir. Bu süreçlerde, veri minimizasyonu ve amaçla sınırlılık ilkelerine azami dikkat gösterilir.
8. BÖLÜM
KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER
8.1. VERBİS’e Kayıt ve Bildirim Yükümlülüğü
Şirketimiz, mevzuat kapsamında VERBİS kayıt yükümlülüğünün bulunması halinde bu yükümlülüğünü süresinde ve usulüne uygun olarak yerine getirir; kayıt bilgilerinin güncelliğini sağlar.
8.2. Aydınlatma Yükümlülüğü
Şirketimiz, kişisel verilerin elde edilmesi sırasında ilgili kişileri KVKK ve ikincil mevzuata uygun şekilde aydınlatır; aydınlatma metinlerini erişilebilir ve anlaşılabilir şekilde sunar.
8.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
8.3.1. İdari Tedbirler
Şirketimizce alınan başlıca idari tedbirler şunlardır:
Politika, prosedür ve talimatların oluşturulması
Aydınlatma metinleri ve açık rıza metinlerinin hazırlanması
Gizlilik taahhütnameleri ve veri koruma hükümleri içeren sözleşmeler yapılması
Görev tanımları, yetki matrisi ve erişim kurallarının belirlenmesi
Çalışanlara düzenli eğitim ve farkındalık çalışmaları verilmesi
İhlal yönetimi, başvuru yönetimi ve saklama-imha süreçlerinin tanımlanması
Tedarikçi ve veri işleyenlerin sözleşmesel olarak denetlenmesi
Kişisel veri işleme envanterinin ve saklama-imha planlarının güncel tutulması
8.3.2. Teknik Tedbirler
Şirketimizce alınan başlıca teknik tedbirler şunlardır:
Ağ ve sistem güvenliğinin sağlanması
Güncel antivirüs ve zararlı yazılım koruma sistemlerinin kullanılması
Erişim kontrolü ve yetkilendirme mekanizmalarının uygulanması
Log kayıtlarının tutulması ve izlenmesi
Yedekleme ve geri dönüş testlerinin yapılması
Veri tabanı, uygulama ve uç nokta güvenlik tedbirlerinin uygulanması
Güncelleme, zafiyet ve yama yönetimi süreçlerinin işletilmesi
Veri aktarımında güvenli iletişim yöntemlerinin kullanılması
Bulut, e-posta ve mobil cihaz güvenliğine yönelik ek kontrollerin sağlanması
8.4. Kurul Kararlarına Uyum
Şirketimiz, Kurul tarafından verilen ilke kararları, kurul kararları ve yönlendirici düzenlemeleri takip eder; iç uygulamalarını gerektiğinde revize eder.
8.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü
Şirketimiz, veri sahibi başvurularını mevzuata uygun yöntemlerle kabul eder, kayıt altına alır, değerlendirir ve süresinde sonuçlandırır.
8.6. Silme, Yok Etme ve Anonim Hale Getirme Yükümlülüğü
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, Şirketimiz veri türüne ve bulunduğu ortama uygun yöntemlerle kişisel verileri siler, yok eder veya anonim hale getirir. Bu süreçler Saklama ve İmha Politikası çerçevesinde yürütülür.
9. BÖLÜM
9.1. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin korunması ve işlenmesi konusunda yürürlükte bulunan mevzuat hükümleri öncelikle uygulama alanı bulacaktır. Politika hükümleri ile mevzuat hükümleri arasında farklılık bulunması halinde, Şirketimiz yürürlükteki mevzuat hükümlerini esas alır.
9.2. POLİTİKA’NIN YÜRÜRLÜĞÜ
İşbu Politika’nın yürürlük tarihi …/…/2026’dır. Politika, Şirket internet sitesinde yayımlanmak suretiyle kamuoyu ile paylaşılır ve gerekli hâllerde ilgili kişilerin erişimine sunulur.
9.3. DAĞITIM
Politika; Şirket yönetimi, tüm çalışanlar, ilgili departmanlar, veri işleyenler, tedarikçiler ve gerektiğinde üçüncü taraflar bakımından duyurulur ve uygulanır.