Medvop Turizm Seyahat Ticaret A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası
Mayıs 2024
1.1. Amaç ve Kapsam
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu Medvop Seyahat Turizm Ticaret Anonim Şirketi Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Medvop Seyahat Turizm Ticaret Anonim Şirketi’nin (“Şirket” veya “Medvop”) Kanun’a uyumluluğunun sağlanması ve Medvop tarafından kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesi amaçlarıyla hazırlanıp yürürlüğe konmuştur. İşbu Politika, kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde Medvop tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Şirket tarafından Medvop çalışanları dışındaki kişilere yönelik olarak gerçekleştirilen Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini ve Medvop tarafından kişisel verisi işlenen tüm kişisel verilerin sahiplerini kapsayan genel açıklamalar içermektedir. İlgili kişilerin kişisel verilerinin ve özel nitelikli kişisel verilerinin işlendiği süreçlere ilişkin, süreçler özelinde ayrıca hazırlanmış aydınlatma metinleri sunulmaktadır. Medvop çalışanlarının kişisel verilerinin işlenmesine ilişkin hususlar, Medvop Seyahat Turizm Ticaret Anonim Şirketi Çalışan Kişisel Verilerinin İşlenmesi ve Korunması Politikasında ayrıca düzenlenmektedir.
1.2. Yürürlük ve Değişiklik
İşbu Politika, Medvop tarafından onaylanarak yürürlüğe girmiştir. Şirket, yasal düzenlemelere paralel olarak Politikada değişiklik yapma hakkını saklı tutar. Politikanın güncel versiyonuna Medvop web sitesinden www.medvop.com erişilebilir. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politikada yer verilen düzenlemelerin çelişmesi halinde, yürürlükteki mevzuat hükümleri uygulanacaktır.
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE ŞARTLAR
2.1. Kişisel Verilerin İşlenmesine İlişkin İlkeler
Medvop tarafından kişisel veriler, Kanun’un 4. maddesinde yer alan kişisel veri işleme ilkelerine uygun olarak işlenmektedir. Bu ilkelere her bir kişisel veri işleme faaliyeti açısından uyulması zorunludur:
-
● Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi; Medvop, kişisel verilerin işlenmesinde ilgili kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine uygun olarak hareket eder; kişisel verileri işlenme amacı ile sınırlı olarak işlemeye ve ilgili kişinin makul beklentilerini dikkate almaya önem verir.
-
● Kişisel verilerin doğru ve güncel olması; Medvop tarafından işlenen kişisel verilerin güncel olup olmadığına ve bu konuda kontrollerin yapılmasına dikkat edilir. İlgili kişilere bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini veya silinmesini isteme hakkı tanınır.
-
● Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi; Medvop, her bir kişisel veri işleme faaliyetinden önce hukuka uygun bir şekilde veri işleme amaçlarını tespit eder.
-
● Kişisel verilerin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması; Medvop tarafından veri işleme faaliyeti toplama amacını gerçekleştirmek için gerekli olan kişisel verilerle sınırlandırılmakta ve bu amaçla ilişkili olmayan kişisel verilerin işlenmemesi için gerekli adımlar atılmaktadır.
-
● Kişisel verilerin mevzuatın ya da işleme amaçlarının gerektirdiği süre kadar saklanması; Medvop tarafından kişisel verilerin saklanmasına ilişkin sektör pratikleri de göz önünde bulundurularak yasalara uygun bir şekilde daha uzun bir saklama süresi belirlenmeyen durumlarda, Şirket tarafından kişisel veri işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile işlenen kişisel veriler silinmekte, yok edilmekte veya anonimleştirilmektedir.
2.2. Kişisel Verilerin İşlenmesine İlişkin Şartlar
Şirket tarafından kişisel verileriniz, Kanun’un 5. maddesinde yer alan kişisel veri işleme şartlarından en az birinin varlığı halinde işlenmektedir. Söz konusu şartlara ilişkin açıklamalar aşağıda yer almaktadır:
-
● İlgili Kişinin açık rızasının olması diğer veri işleme şartlarının var olmadığı durumlarda, 3.1. başlık altında yer verilen genel ilkelere uygun olarak, Medvop tarafından ilgili kişinin kişisel verileri, ilgili kişinin özgür iradesi ile kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olarak onay vermesi halinde işlenebilmektedir.
-
● Kişisel veri işleme faaliyetinin kanunlarda açıkça öngörülmesi halinde Medvop tarafından kişisel veriler, ilgili kişinin açık rızası olmadan işlenebilecektir. Bu durumda Şirket, ilgili hukuki düzenleme çerçevesinde kişisel verileri işleyecektir.
-
● Fiili imkânsızlık nedeniyle ilgili kişinin açık rızasının elde edilememesi ve kişisel veri işlemenin zorunlu olması halinde, Medvop tarafından rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan ilgili kişiye ait kişisel veriler, ilgili kişinin veya üçüncü bir kişinin hayatı veya beden bütünlüğünü korumak adına kişisel veri işlemenin zorunlu olması durumunda işlenecektir.
-
● Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması durumunda, ilgili kişi ile Medvop arasında kurulan yazılı veya sözlü bir sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise kişisel veri işleme faaliyeti gerçekleştirilecektir.
-
● Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için kişisel veri işleme faaliyetinin yürütülmesinin zorunlu olması durumunda Medvop, yürürlükteki mevzuat kapsamında öngörülen hukuki yükümlülüklerini yerine getirme amacıyla kişisel verileri işleyecektir.
-
● İlgili kişinin kişisel verilerini alenileştirmiş olması, ilgili kişi tarafından herhangi bir şekilde kamuoyuna açıklanmış, alenileştirilme sonucu herkesin bilgisine açılmış olan kişisel veriler, alenileştirme amacı ile sınırlı olarak Medvop tarafından ilgili kişinin açık rızası olmaksızın işlenebilecektir.
-
● Bir hakkın tesisi, kullanılması veya korunması için kişisel veri işlemenin zorunlu olması durumunda, Medvop zorunluluk kapsamında ilgili kişinin açık rızası olmaksızın kişisel verilerini işleyebilecektir.
-
● İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde Medvop ile ilgili kişinin menfaat dengesinin gözetilmesi şartıyla Medvop tarafından kişisel veriler işlenebilecektir. Bu kapsamda, meşru menfaate dayanarak verilerin işlenmesinde Şirket öncelikle işleme faaliyeti 4 sonucunda elde edeceği meşru menfaati belirler. Kişisel verilerin işlenmesinin ilgili kişinin hak ve özgürlükleri üzerindeki olası etkisini değerlendirir ve dengenin bozulmadığı kanaatindeyse işleme faaliyetini gerçekleştirir.
2.3. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Şartlar
Kanun’un 6. maddesinde özel nitelikli kişisel veriler, sınırlı sayıda olacak şekilde belirtilmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Medvop, özel nitelikli kişisel verileri, ilgili yasal düzenlemelere uygun olarak ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenen ilave tedbirlerin alınmasını sağlayarak aşağıdaki durumlarda işlemektedir:
-
● Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi, kanunlarda açıkça öngörülmesi, diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rıza aranmaksızın işlenebilecektir. Aksi halde söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.
-
● Sağlık ve cinsel hayata ilişkin kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.
3. KİŞİSEL VERİLERİN AKTARILMASI
Medvop, Kanun’un 8. ve 9. maddelerinde sıralanan ve Kurul tarafından belirlenmiş olan ilave düzenlemelere uygun olarak veri işleme sürecinde gerektiği hallerde; kişisel verilerin aktarılması şartlarının bulunması durumunda, kişisel verileri, yurt içinde veya yurt dışına üçüncü kişilere aktarabilmektedir.
● Kişisel verilerin yurt içinde üçüncü kişilere aktarımı:
Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politikada açıklanmış olan veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartıyla kişisel veriler Medvop tarafından yurt içinde üçüncü kişilere aktarılabilmektedir.
● Kişisel verilerin yurt dışında üçüncü kişilere aktarımı:
Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip güvenli ülkelerden olması halinde; Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politikada açıklanmış olan veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartıyla Medvop tarafından kişisel verileriniz yurt dışındaki üçüncü kişilere aktarılabilmektedir.
Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip güvenli ülkelerden olmaması halinde; kişisel veriler işbu Politikada açıklanmış olan veri işleme şartlarından en az birinin varlığı halinde ve Kanun’un 4’üncü maddesinde belirtilen temel ilkelere uygun olarak aşağıda yer verilen durumlarda yurt dışındaki üçüncü taraflara aktarılabilmektedir:
-
● İlgili kişinin açık rızasının varlığı
-
● Şirket ve ilgili ülkedeki veri alıcısının yeterli korumayı yazılı olarak taahhüt etmesi ve Kurul’un ilgili aktarıma yönelik izninin alınması Kanun’un genel ilkeleri ile 8. ve 9. maddelerinde yer alan veri işleme şartları dahilinde Medvop, ilgili taraflara veri işleme sürecinde gerektiği hallerde veri aktarımı gerçekleştirebilmektedir. Kişisel verilerin aktarıldığı taraflar ve aktarım amaçları süreç özelinde sunulan aydınlatma metni içerisinde açıklanmaktadır.
4. İLGİLİ KİŞİNİN AYDINLATILMASI VE HAKLARI
Kanun’un 10. maddesine göre kişisel verilerin işlenmesinden önce veya en geç kişisel verilerin işlenmesi anında, ilgili kişinin kişisel verilerinin işlenmesine ilişkin aydınlatılmaları gerekmektedir. İlgili madde gereğince veri sorumlusu sıfatıyla Medvop tarafından kişisel veri işleme faaliyetinin yürütüldüğü her durumda ilgili kişinin aydınlatılmasını sağlamak üzere şirket içi gerekli yapı oluşturulmuştur.
Kişisel verilerinize ilişkin olarak Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği”ne uygun şekilde uygun şekilde yazılı olarak ya da kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Medvop’a daha önce bildirdiğiniz ve sistemimizde kayıtlı bulunan elektronik posta adresinizi kullanarak aşağıdaki adreslere her zaman iletebilirsiniz.
Veri Sorumlusu: Medvop Seyahat Turizm Ticaret A.Ş.
E-posta: info@medvop.com
Kep Adresi: medvopturizm@hs01.kep.tr
Adres: Doğu Mah. Aydınlı Yolu Cad. No:63 İç Kapı No:1 Pendik/İstanbul
Kanun kapsamındaki haklarınıza yönelik başvurularınızı bizlerle paylaşırken www.medvop.com data adresinde İlgili Kişi Başvuru Formundan yararlanabilirsiniz. Talebinizin niteliğine göre mümkün olan en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
Medvop, başvuruların değerlendirilmesi sırasında öncelikle talepte bulunan kişinin gerçek hak sahibi olup olmadığını tespit etmektedir. Bununla birlikte Şirket gerek gördüğü durumlarda talebin daha iyi anlaşılabilmesi için detaylı ve ek bilgi isteyebilmektedir.
Şirket tarafından ilgili kişi başvurularına yanıtlar, yazılı olarak veya elektronik ortamda ilgili kişilere bildirilmektedir. Başvurunun reddedilmesi halinde ret nedenleri gerekçeli olarak ilgili kişiye açıklanacaktır.
Kişisel verilerin doğrudan ilgili kişiden elde edilmemesi halinde; Şirket tarafından (1) kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, (2) kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, (3) kişisel verilerin aktarılacak olması 6 halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişinin aydınlatılmasına ilişkin faaliyetler yürütülmektedir.
5. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Kanun’un 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, Medvop tarafından kişisel verilerin saklanmasına ilişkin sektör pratikleri de göz önünde bulundurularak yasalara uygun bir şekilde daha uzun bir saklama süresi belirlenmeyen durumlarda, kişisel veriler resen veya ilgili kişinin talebi üzerine, Kişisel
Verileri Koruma Kurumu tarafından yayımlanan rehberlere, periyodik imha sürelerine ve ilgili kişi başvurusuna uygun olarak Medvop tarafından silinir, yok edilir veya anonim hale getirilir.
Şirket tarafından işlenmekte olan kişisel veriler kategorik bazda ele alınarak, her bir kişisel veri kategorisi için ilgili olduğu veri işleme süreci doğrultusunda azami veri saklama süreleri belirlenmiştir. Bahsi geçen azami süreler de dahil olmak üzere saklama ve imha sürecinin ne şekilde yürütüleceğine ilişkin detaylı bilgiler, Şirket tarafından düzenlenmiş olan Kişisel Veri Saklama ve İmha Politikasında ortaya konulmaktadır.