Legal - KVKK | medvop

Medvop Turizm Seyahat Ticaret A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası

Mayıs 2024

1.1. Amaç ve Kapsam

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu Medvop Seyahat Turizm Ticaret Anonim Şirketi Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Medvop Seyahat Turizm Ticaret Anonim Şirketi’nin (“Şirket” veya “Medvop”) Kanun’a uyumluluğunun sağlanması ve Medvop tarafından kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesi amaçlarıyla hazırlanıp yürürlüğe konmuştur. İşbu Politika, kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde Medvop tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Şirket tarafından Medvop çalışanları dışındaki kişilere yönelik olarak gerçekleştirilen Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini ve Medvop tarafından kişisel verisi işlenen tüm kişisel verilerin sahiplerini kapsayan genel açıklamalar içermektedir. İlgili kişilerin kişisel verilerinin ve özel nitelikli kişisel verilerinin işlendiği süreçlere ilişkin, süreçler özelinde ayrıca hazırlanmış aydınlatma metinleri sunulmaktadır. Medvop çalışanlarının kişisel verilerinin işlenmesine ilişkin hususlar, Medvop Seyahat Turizm Ticaret Anonim Şirketi Çalışan Kişisel Verilerinin İşlenmesi ve Korunması Politikasında ayrıca düzenlenmektedir.

1.2. Yürürlük ve Değişiklik

İşbu Politika, Medvop tarafından onaylanarak yürürlüğe girmiştir. Şirket, yasal düzenlemelere paralel olarak Politikada değişiklik yapma hakkını saklı tutar. Politikanın güncel versiyonuna Medvop web sitesinden www.medvop.com erişilebilir. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politikada yer verilen düzenlemelerin çelişmesi halinde, yürürlükteki mevzuat hükümleri uygulanacaktır.

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE ŞARTLAR

2.1. Kişisel Verilerin İşlenmesine İlişkin İlkeler

Medvop tarafından kişisel veriler, Kanun’un 4. maddesinde yer alan kişisel veri işleme ilkelerine uygun olarak işlenmektedir. Bu ilkelere her bir kişisel veri işleme faaliyeti açısından uyulması zorunludur:

● Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi; Medvop, kişisel verilerin işlenmesinde ilgili kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine uygun olarak hareket eder; kişisel verileri işlenme amacı ile sınırlı olarak işlemeye ve ilgili kişinin makul beklentilerini dikkate almaya önem verir.
● Kişisel verilerin doğru ve güncel olması; Medvop tarafından işlenen kişisel verilerin güncel olup olmadığına ve bu konuda kontrollerin yapılmasına dikkat edilir. İlgili kişilere bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini veya silinmesini isteme hakkı tanınır.
● Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi; Medvop, her bir kişisel veri işleme faaliyetinden önce hukuka uygun bir şekilde veri işleme amaçlarını tespit eder.
● Kişisel verilerin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması; Medvop tarafından veri işleme faaliyeti toplama amacını gerçekleştirmek için gerekli olan kişisel verilerle sınırlandırılmakta ve bu amaçla ilişkili olmayan kişisel verilerin işlenmemesi için gerekli adımlar atılmaktadır.
● Kişisel verilerin mevzuatın ya da işleme amaçlarının gerektirdiği süre kadar saklanması; Medvop tarafından kişisel verilerin saklanmasına ilişkin sektör pratikleri de göz önünde bulundurularak yasalara uygun bir şekilde daha uzun bir saklama süresi belirlenmeyen durumlarda, Şirket tarafından kişisel veri işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile işlenen kişisel veriler silinmekte, yok edilmekte veya anonimleştirilmektedir.

2.2. Kişisel Verilerin İşlenmesine İlişkin Şartlar

Şirket tarafından kişisel verileriniz, Kanun’un 5. maddesinde yer alan kişisel veri işleme şartlarından en az birinin varlığı halinde işlenmektedir. Söz konusu şartlara ilişkin açıklamalar aşağıda yer almaktadır:

● İlgili Kişinin açık rızasının olması diğer veri işleme şartlarının var olmadığı durumlarda, 3.1. başlık altında yer verilen genel ilkelere uygun olarak, Medvop tarafından ilgili kişinin kişisel verileri, ilgili kişinin özgür iradesi ile kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olarak onay vermesi halinde işlenebilmektedir.
● Kişisel veri işleme faaliyetinin kanunlarda açıkça öngörülmesi halinde Medvop tarafından kişisel veriler, ilgili kişinin açık rızası olmadan işlenebilecektir. Bu durumda Şirket, ilgili hukuki düzenleme çerçevesinde kişisel verileri işleyecektir.
● Fiili imkânsızlık nedeniyle ilgili kişinin açık rızasının elde edilememesi ve kişisel veri işlemenin zorunlu olması halinde, Medvop tarafından rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan ilgili kişiye ait kişisel veriler, ilgili kişinin veya üçüncü bir kişinin hayatı veya beden bütünlüğünü korumak adına kişisel veri işlemenin zorunlu olması durumunda işlenecektir.
● Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması durumunda, ilgili kişi ile Medvop arasında kurulan yazılı veya sözlü bir sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise kişisel veri işleme faaliyeti gerçekleştirilecektir.
● Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için kişisel veri işleme faaliyetinin yürütülmesinin zorunlu olması durumunda Medvop, yürürlükteki mevzuat kapsamında öngörülen hukuki yükümlülüklerini yerine getirme amacıyla kişisel verileri işleyecektir.
● İlgili kişinin kişisel verilerini alenileştirmiş olması, ilgili kişi tarafından herhangi bir şekilde kamuoyuna açıklanmış, alenileştirilme sonucu herkesin bilgisine açılmış olan kişisel veriler, alenileştirme amacı ile sınırlı olarak Medvop tarafından ilgili kişinin açık rızası olmaksızın işlenebilecektir.
● Bir hakkın tesisi, kullanılması veya korunması için kişisel veri işlemenin zorunlu olması durumunda, Medvop zorunluluk kapsamında ilgili kişinin açık rızası olmaksızın kişisel verilerini işleyebilecektir.
● İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde Medvop ile ilgili kişinin menfaat dengesinin gözetilmesi şartıyla Medvop tarafından kişisel veriler işlenebilecektir. Bu kapsamda, meşru menfaate dayanarak verilerin işlenmesinde Şirket öncelikle işleme faaliyeti 4 sonucunda elde edeceği meşru menfaati belirler. Kişisel verilerin işlenmesinin ilgili kişinin hak ve özgürlükleri üzerindeki olası etkisini değerlendirir ve dengenin bozulmadığı kanaatindeyse işleme faaliyetini gerçekleştirir.

2.3. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Şartlar

Kanun’un 6. maddesinde özel nitelikli kişisel veriler, sınırlı sayıda olacak şekilde belirtilmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Medvop, özel nitelikli kişisel verileri, ilgili yasal düzenlemelere uygun olarak ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenen ilave tedbirlerin alınmasını sağlayarak aşağıdaki durumlarda işlemektedir:

● Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi, kanunlarda açıkça öngörülmesi, diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rıza aranmaksızın işlenebilecektir. Aksi halde söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.
● Sağlık ve cinsel hayata ilişkin kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.

3. KİŞİSEL VERİLERİN AKTARILMASI

Medvop, Kanun’un 8. ve 9. maddelerinde sıralanan ve Kurul tarafından belirlenmiş olan ilave düzenlemelere uygun olarak veri işleme sürecinde gerektiği hallerde; kişisel verilerin aktarılması şartlarının bulunması durumunda, kişisel verileri, yurt içinde veya yurt dışına üçüncü kişilere aktarabilmektedir.

● Kişisel verilerin yurt içinde üçüncü kişilere aktarımı:

Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politikada açıklanmış olan veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartıyla kişisel veriler Medvop tarafından yurt içinde üçüncü kişilere aktarılabilmektedir.

● Kişisel verilerin yurt dışında üçüncü kişilere aktarımı:

Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip güvenli ülkelerden olması halinde; Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politikada açıklanmış olan veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartıyla Medvop tarafından kişisel verileriniz yurt dışındaki üçüncü kişilere aktarılabilmektedir.

Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip güvenli ülkelerden olmaması halinde; kişisel veriler işbu Politikada açıklanmış olan veri işleme şartlarından en az birinin varlığı halinde ve Kanun’un 4’üncü maddesinde belirtilen temel ilkelere uygun olarak aşağıda yer verilen durumlarda yurt dışındaki üçüncü taraflara aktarılabilmektedir:

● İlgili kişinin açık rızasının varlığı
● Şirket ve ilgili ülkedeki veri alıcısının yeterli korumayı yazılı olarak taahhüt etmesi ve Kurul’un ilgili aktarıma yönelik izninin alınması Kanun’un genel ilkeleri ile 8. ve 9. maddelerinde yer alan veri işleme şartları dahilinde Medvop, ilgili taraflara veri işleme sürecinde gerektiği hallerde veri aktarımı gerçekleştirebilmektedir. Kişisel verilerin aktarıldığı taraflar ve aktarım amaçları süreç özelinde sunulan aydınlatma metni içerisinde açıklanmaktadır.

4. İLGİLİ KİŞİNİN AYDINLATILMASI VE HAKLARI

Kanun’un 10. maddesine göre kişisel verilerin işlenmesinden önce veya en geç kişisel verilerin işlenmesi anında, ilgili kişinin kişisel verilerinin işlenmesine ilişkin aydınlatılmaları gerekmektedir. İlgili madde gereğince veri sorumlusu sıfatıyla Medvop tarafından kişisel veri işleme faaliyetinin yürütüldüğü her durumda ilgili kişinin aydınlatılmasını sağlamak üzere şirket içi gerekli yapı oluşturulmuştur.

Kişisel verilerinize ilişkin olarak Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği”ne uygun şekilde uygun şekilde yazılı olarak ya da kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Medvop’a daha önce bildirdiğiniz ve sistemimizde kayıtlı bulunan elektronik posta adresinizi kullanarak aşağıdaki adreslere her zaman iletebilirsiniz.

Veri Sorumlusu: Medvop Seyahat Turizm Ticaret A.Ş.

E-posta: info@medvop.com

Kep Adresi: medvopturizm@hs01.kep.tr

Adres: Doğu Mah. Aydınlı Yolu Cad. No:63 İç Kapı No:1 Pendik/İstanbul

Kanun kapsamındaki haklarınıza yönelik başvurularınızı bizlerle paylaşırken www.medvop.com data adresinde İlgili Kişi Başvuru Formundan yararlanabilirsiniz. Talebinizin niteliğine göre mümkün olan en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

Medvop, başvuruların değerlendirilmesi sırasında öncelikle talepte bulunan kişinin gerçek hak sahibi olup olmadığını tespit etmektedir. Bununla birlikte Şirket gerek gördüğü durumlarda talebin daha iyi anlaşılabilmesi için detaylı ve ek bilgi isteyebilmektedir.

Şirket tarafından ilgili kişi başvurularına yanıtlar, yazılı olarak veya elektronik ortamda ilgili kişilere bildirilmektedir. Başvurunun reddedilmesi halinde ret nedenleri gerekçeli olarak ilgili kişiye açıklanacaktır.

Kişisel verilerin doğrudan ilgili kişiden elde edilmemesi halinde; Şirket tarafından (1) kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, (2) kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, (3) kişisel verilerin aktarılacak olması 6 halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişinin aydınlatılmasına ilişkin faaliyetler yürütülmektedir.

5. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Kanun’un 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, Medvop tarafından kişisel verilerin saklanmasına ilişkin sektör pratikleri de göz önünde bulundurularak yasalara uygun bir şekilde daha uzun bir saklama süresi belirlenmeyen durumlarda, kişisel veriler resen veya ilgili kişinin talebi üzerine, Kişisel

Verileri Koruma Kurumu tarafından yayımlanan rehberlere, periyodik imha sürelerine ve ilgili kişi başvurusuna uygun olarak Medvop tarafından silinir, yok edilir veya anonim hale getirilir.

Şirket tarafından işlenmekte olan kişisel veriler kategorik bazda ele alınarak, her bir kişisel veri kategorisi için ilgili olduğu veri işleme süreci doğrultusunda azami veri saklama süreleri belirlenmiştir. Bahsi geçen azami süreler de dahil olmak üzere saklama ve imha sürecinin ne şekilde yürütüleceğine ilişkin detaylı bilgiler, Şirket tarafından düzenlenmiş olan Kişisel Veri Saklama ve İmha Politikasında ortaya konulmaktadır.